1. 瞭解 OCI 上的網路部署
  2. 瞭解網路設計

瞭解網路設計

在未正確規劃的情況下使用預設參數所建立的 OCI 網路基礎架構元件 (例如 VCN、子網路和閘道),可能會導致部署後難以解決的問題。計畫良好的網路設計可協助設定成功的實作,並讓您的團隊和組織輕鬆使用。

提早執行您的網路設計

在部署之前完全設計網路,可讓您提早擷取問題,並移除障礙以成功部署。雖然稍後可能會變更部分 OCI 網路設計元素,但可能需要大量努力,並可能會暫時中斷業務流程。

Oracle 建議您使用下列 OCI 網路設計:

  1. 規劃適當的時間,並在專案計畫中配置足夠的資源,以正確設計 OCI 網路。
  2. 最少包括配置、拓樸、VCN 和子網路的大小、網域名稱服務 (DNS) 以及任何與內部部署或其他 CSP 的外部網路連線。
  3. 請考慮與您的 Oracle 帳戶團隊合作,看看 Oracle 是否能提供 OCI 網路專家協助您。

以下為網路設計圖的範例。


vcn-network-design-example.png 的說明如下
vcn-network-design-example.png 圖解描述

秘訣:

搜尋特定部署的相關參考架構,以用作起點。例如,Oracle 在 Oracle Architecture Center 上有許多常見的 Oracle OCI 部署參考架構,例如 Oracle E-Business Suite 、Siebel 及 ExaCS。

考慮軸輻式 VCN 設計

Oracle 對大多數 OCI 部署的最佳實務和建議,是在利用 DRG 進行連線的軸輻拓樸中使用多個 VCN 設計。

以下為使用 DRG 的多個 VCN 集線器設計所帶來的優點:

  • 隔離及區隔不同的環境。
  • 提供集線器 VCN 內所有網輻 VCN 可共用的通用服務,例如日誌伺服器、DNS 和檔案共用。
  • 透過 DRG,您可以輕鬆調整網路規模,連線最多可達 300 個 VCN。擁有集線器和支點 VCN 設計之後,便可以輕鬆新增額外的 VCN。
  • 將網路安全設備 (例如防火牆) 放置在集線器 VCN 中,以檢查定向或源自分支 VCN 的流量。

下圖顯示使用軸輻式網路架構的範例:


hub-and-spoke-topology.png 的描述如下
hub-and-spoke-topology.png 圖解描述

Oracle 建議下列項目:

  • 決定區隔不同網路環境的方式和地點,並考慮將每個環境放入自己的 VCN 中。以下是針對環境使用個別 VCN 的常見客戶範例:
    • 生產環境和非實際環境執行
    • 內部或外部客戶
  • 如果您有非常簡單或小型的 OCI 部署 (例如概念驗證 (POC),而且不需要此處討論的任何優點,那麼使用單一 VCN 是個不錯的方法。即使使用單一 VCN,您未來還是可以將環境放入不同的 VCN 中,以利用這些建議。

使用標準 OCI 命名慣例

在 OCI 中佈建必要的網路資源 (例如 VCN、子網路、安全清單和動態路由閘道 (DRG) 時,系統會提示您輸入資源名稱。使用 OCI 資源的標準命名慣例,可協助您和其他 OCI 使用者瞭解資源的用途和位置,並指出資源與其他資源的差異。

部分資源名稱稍後可以變更,但有些無法變更,例如 DNS 標籤。其他如 VCN 名稱則必須使用命令行介面 (CLI) 進行變更。

Oracle 建議下列項目:

  1. 在名稱中的某處使用描述性縮寫來描述資源的用途。舉例而言:
    • vcn VCN 名稱中的某個位置 (VCN 名稱:vcn-prod-ashburn)
    • drg DRG 名稱中的某個位置 (DRG 名稱:drg-ashburn)
    • sl 您安全清單名稱中的某個位置 (安全清單名稱:web-sn-sl)
  2. 確定您的 OCI 網路資源命名慣例是整體 OCI 資源命名慣例的一部分。
  3. 請考慮使用標記將中繼資料資訊新增至資源。

使用 OCI 專用 DNS 設計混合式 DNS

OCI 的預設行為僅限於使用 oraclevcn.com 作為預設網域,對 VCN 執行內部 DNS 解析。這在之後可能會導致連線問題,因為您無法解析其他 VCN 或內部部署環境中的資源 DNS 名稱。

OCI 專用 DNS 服務可讓您在 OCI 與內部部署基礎架構之間無縫解析 DNS:

  • 建立和維護您 VCN 內的自訂 DNS 網域和記錄 (例如 oci.customer.com)。
  • 整合跨 VCN 的 DNS 解析、內部部署 DNS,以及其他環境 (例如 CSP 或信任的合作夥伴 DNS)。

Oracle 建議下列項目:

  • 包含 DNS 作為早期網路設計的一部分,並涉及您的 DNS 管理員。
  • 請考慮所有需要無縫解析 DNS 名稱的環境 (包括內部部署環境、OCI VCN、其他 CSP 等),並使用 OCI 專用 DNS 啟用混合式 DNS 解決方案。
  • 請提早考慮洞穴,並確定您要繼續的方向。決定是否要使用預設 oraclevcn.com 網域名稱或自訂網域名稱。

下圖顯示使用專用 DNS 解析器解析本機內部資源與自訂網域名稱的自訂網域名稱範例架構:

architecture-deploy-private-dns.png 的描述如下
architecture-deploy-private-dns.png 圖解描述

秘訣:

當您使用自訂 OCI 網域名稱時,自訂區域和記錄的管理是手動的。預設的 oraclevcn.com 為自動。

在佈建之前先決定子網路類型

VCN CIDR 必須細分為一或多個子網路,才能組織資源。子網路可以是區域子網路或可用性網域 (AD) 特定子網路,也可以是公用子網路或專用子網路。

區域子網路與 AD 特定子網路的決策,之後無法變更公用與專用子網路。確保它們在初始佈建時是正確的,以便在後續階段將中斷和複雜性降到最低。

Oracle 建議下列項目:

  • 請先判斷是否需要公用子網路或專用子網路,再建立子網路。考慮潛在的流量,以及流量的來源或目的地。
  • 在公用子網路和專用子網路中的所有其他資源中,放置具有輸入網際網路連線特定需求的資源。
  • 佈建區域子網路,除非您有特定需求需要使用 AD 特定子網路。

秘訣:

若要稍後進行變更,您必須終止子網路,然後重新佈建。您還必須終止部署在子網路中的資源,然後重新佈建新子網路中的資源。

設計及調整子網路大小

設計子網路並調整其大小,以滿足目前和未來的需求。在設計期間適當地調整 VCN 和子網路大小將有助於:

  • 準備因應未來的成長和擴展
  • 使用連續且可彙總的 IP 位址空間,簡化您的 IP 配置

Oracle 建議下列項目:

  • 建立 VCN 之前,請根據計畫在 VCN 中部署的資源和子網路數目,判斷所需的 CIDR 區塊數目和每個區塊的大小。
  • 請務必允許子網路和 VCN 內的部分未來成長。
  • 最好用來建立比太小的 CIDR 更大的 CIDR。
  • 您可以將多達 5 個 CIDR 新增至 VCN,但稍後再新增以因應成長,可能會導致非連續的 CIDR (視您的 IP 位址配置而定)。
    • 例如,您將 10.0.0.0/24 配置給 VCN 以開始測試工作負載。成功測試之後,如果您想要將工作負載擴充至更多 VM,就需要更多 IP 與子網路。不過,您的 IP 位址工具中已配置下一個 IP 區塊 10.0.1.0/24 以供其他用途使用。因此,系統會強制您將非連續的 CIDR 新增至 VCN。
  • 如果可以,請使用標準 RFC 1918 專用 IP 位址空間內的 CIDR 區塊。
  • 請避免使用 169.254.0.0/16 IP 位址空間。許多提供者 (包括 Oracle) 在其網路中使用相同的 IP 空間,因此可能會造成問題。
  • 選取未與任何其他網路重疊的唯一 CIDR 區塊 (在 OCI、您的內部部署資料中心或其他 CSP 中)。
  • 設計子網路時,請考慮流量和安全性需求。將特定層或角色內的所有資源連附至相同的子網路。

為每個子網路使用自訂路由表和安全清單

佈建子網路時,系統將會提示您選擇要與每個子網路搭配使用的 VCN 路由表和安全清單。

OCI 提供預設路由表和預設安全清單 (若有使用) 與與其關聯的所有子網路共用。對於包含多個子網路的生產設計,使用這些預設選項非常適合簡單部署或讓您開始使用,但不建議使用這些選項。使用每個子網路特定的 VCN 路由表和安全清單,您可以針對個別子網路維護精細的路由和安全控制,而不用共用這些資源。

舉例而言:

  • 您可以讓專用子網路使用 NAT 閘道的預設路由,而公用子網路則是連線至網際網路閘道的預設路由,而網際網路閘道必須要有個別的 VCN 路由表。
  • 您可能會想要允許特定流量流向一個子網路,但不會允許另一個子網路,這將需要個別的安全清單

Oracle 建議下列項目:

  • 為每個子網路建立唯一的 VCN 路由表並建立關聯
  • 建立並關聯每個子網路的唯一安全清單

秘訣:

佈建子網路時,請建立這些唯一的 VCN 路由表和安全清單並建立關聯,因為之後將難以從預設路由表變更。