瞭解網路設計
提早執行您的網路設計
Oracle 建議您使用下列 OCI 網路設計:
- 規劃適當的時間,並在專案計畫中配置足夠的資源,以正確設計 OCI 網路。
- 最少包括配置、拓樸、VCN 和子網路的大小、網域名稱服務 (DNS) 以及任何與內部部署或其他 CSP 的外部網路連線。
- 請考慮與您的 Oracle 帳戶團隊合作,看看 Oracle 是否能提供 OCI 網路專家協助您。
以下為網路設計圖的範例。
秘訣:
搜尋特定部署的相關參考架構,以用作起點。例如,Oracle 在 Oracle Architecture Center 上有許多常見的 Oracle OCI 部署參考架構,例如 Oracle E-Business Suite 、Siebel 及 ExaCS。考慮軸輻式 VCN 設計
Oracle 對大多數 OCI 部署的最佳實務和建議,是在利用 DRG 進行連線的軸輻拓樸中使用多個 VCN 設計。
以下為使用 DRG 的多個 VCN 集線器設計所帶來的優點:
- 隔離及區隔不同的環境。
- 提供集線器 VCN 內所有網輻 VCN 可共用的通用服務,例如日誌伺服器、DNS 和檔案共用。
- 透過 DRG,您可以輕鬆調整網路規模,連線最多可達 300 個 VCN。擁有集線器和支點 VCN 設計之後,便可以輕鬆新增額外的 VCN。
- 將網路安全設備 (例如防火牆) 放置在集線器 VCN 中,以檢查定向或源自分支 VCN 的流量。
下圖顯示使用軸輻式網路架構的範例:
Oracle 建議下列項目:
- 決定區隔不同網路環境的方式和地點,並考慮將每個環境放入自己的 VCN 中。以下是針對環境使用個別 VCN 的常見客戶範例:
- 生產環境和非實際環境執行
- 內部或外部客戶
- 如果您有非常簡單或小型的 OCI 部署 (例如概念驗證 (POC),而且不需要此處討論的任何優點,那麼使用單一 VCN 是個不錯的方法。即使使用單一 VCN,您未來還是可以將環境放入不同的 VCN 中,以利用這些建議。
使用標準 OCI 命名慣例
部分資源名稱稍後可以變更,但有些無法變更,例如 DNS 標籤。其他如 VCN 名稱則必須使用命令行介面 (CLI) 進行變更。
Oracle 建議下列項目:
- 在名稱中的某處使用描述性縮寫來描述資源的用途。舉例而言:
vcn
VCN 名稱中的某個位置 (VCN 名稱:vcn-prod-ashburn
)drg
DRG 名稱中的某個位置 (DRG 名稱:drg-ashburn
)sl
您安全清單名稱中的某個位置 (安全清單名稱:web-sn-sl
)
- 確定您的 OCI 網路資源命名慣例是整體 OCI 資源命名慣例的一部分。
- 請考慮使用標記將中繼資料資訊新增至資源。
使用 OCI 專用 DNS 設計混合式 DNS
oraclevcn.com
作為預設網域,對 VCN 執行內部 DNS 解析。這在之後可能會導致連線問題,因為您無法解析其他 VCN 或內部部署環境中的資源 DNS 名稱。
OCI 專用 DNS 服務可讓您在 OCI 與內部部署基礎架構之間無縫解析 DNS:
- 建立和維護您 VCN 內的自訂 DNS 網域和記錄 (例如
oci.customer.com
)。 - 整合跨 VCN 的 DNS 解析、內部部署 DNS,以及其他環境 (例如 CSP 或信任的合作夥伴 DNS)。
Oracle 建議下列項目:
- 包含 DNS 作為早期網路設計的一部分,並涉及您的 DNS 管理員。
- 請考慮所有需要無縫解析 DNS 名稱的環境 (包括內部部署環境、OCI VCN、其他 CSP 等),並使用 OCI 專用 DNS 啟用混合式 DNS 解決方案。
- 請提早考慮洞穴,並確定您要繼續的方向。決定是否要使用預設
oraclevcn.com
網域名稱或自訂網域名稱。
下圖顯示使用專用 DNS 解析器解析本機內部資源與自訂網域名稱的自訂網域名稱範例架構:
![architecture-deploy-private-dns.png 的描述如下 architecture-deploy-private-dns.png 的描述如下](img/architecture-deploy-private-dns.png)
architecture-deploy-private-dns.png 圖解描述
秘訣:
當您使用自訂 OCI 網域名稱時,自訂區域和記錄的管理是手動的。預設的oraclevcn.com
為自動。
在佈建之前先決定子網路類型
VCN CIDR 必須細分為一或多個子網路,才能組織資源。子網路可以是區域子網路或可用性網域 (AD) 特定子網路,也可以是公用子網路或專用子網路。
區域子網路與 AD 特定子網路的決策,之後無法變更公用與專用子網路。確保它們在初始佈建時是正確的,以便在後續階段將中斷和複雜性降到最低。
Oracle 建議下列項目:
- 請先判斷是否需要公用子網路或專用子網路,再建立子網路。考慮潛在的流量,以及流量的來源或目的地。
- 在公用子網路和專用子網路中的所有其他資源中,放置具有輸入網際網路連線特定需求的資源。
- 佈建區域子網路,除非您有特定需求需要使用 AD 特定子網路。
秘訣:
若要稍後進行變更,您必須終止子網路,然後重新佈建。您還必須終止部署在子網路中的資源,然後重新佈建新子網路中的資源。設計及調整子網路大小
設計子網路並調整其大小,以滿足目前和未來的需求。在設計期間適當地調整 VCN 和子網路大小將有助於:
- 準備因應未來的成長和擴展
- 使用連續且可彙總的 IP 位址空間,簡化您的 IP 配置
Oracle 建議下列項目:
- 建立 VCN 之前,請根據計畫在 VCN 中部署的資源和子網路數目,判斷所需的 CIDR 區塊數目和每個區塊的大小。
- 請務必允許子網路和 VCN 內的部分未來成長。
- 最好用來建立比太小的 CIDR 更大的 CIDR。
- 您可以將多達 5 個 CIDR 新增至 VCN,但稍後再新增以因應成長,可能會導致非連續的 CIDR (視您的 IP 位址配置而定)。
- 例如,您將
10.0.0.0/24
配置給 VCN 以開始測試工作負載。成功測試之後,如果您想要將工作負載擴充至更多 VM,就需要更多 IP 與子網路。不過,您的 IP 位址工具中已配置下一個 IP 區塊10.0.1.0/24
以供其他用途使用。因此,系統會強制您將非連續的 CIDR 新增至 VCN。
- 例如,您將
- 如果可以,請使用標準 RFC 1918 專用 IP 位址空間內的 CIDR 區塊。
- 請避免使用
169.254.0.0/16
IP 位址空間。許多提供者 (包括 Oracle) 在其網路中使用相同的 IP 空間,因此可能會造成問題。 - 選取未與任何其他網路重疊的唯一 CIDR 區塊 (在 OCI、您的內部部署資料中心或其他 CSP 中)。
- 設計子網路時,請考慮流量和安全性需求。將特定層或角色內的所有資源連附至相同的子網路。
為每個子網路使用自訂路由表和安全清單
佈建子網路時,系統將會提示您選擇要與每個子網路搭配使用的 VCN 路由表和安全清單。
OCI 提供預設路由表和預設安全清單 (若有使用) 與與其關聯的所有子網路共用。對於包含多個子網路的生產設計,使用這些預設選項非常適合簡單部署或讓您開始使用,但不建議使用這些選項。使用每個子網路特定的 VCN 路由表和安全清單,您可以針對個別子網路維護精細的路由和安全控制,而不用共用這些資源。
舉例而言:
- 您可以讓專用子網路使用 NAT 閘道的預設路由,而公用子網路則是連線至網際網路閘道的預設路由,而網際網路閘道必須要有個別的 VCN 路由表。
- 您可能會想要允許特定流量流向一個子網路,但不會允許另一個子網路,這將需要個別的安全清單
Oracle 建議下列項目:
- 為每個子網路建立唯一的 VCN 路由表並建立關聯
- 建立並關聯每個子網路的唯一安全清單
秘訣:
佈建子網路時,請建立這些唯一的 VCN 路由表和安全清單並建立關聯,因為之後將難以從預設路由表變更。