// CHAPTER 01
OCI에서 가상 네트워크를 구성하는 핵심 개념과 구성요소를 정리합니다.
VCN을 시작으로 서브넷, 게이트웨이, 보안 설정까지 전체 흐름을 이해합니다.
// KEY CONCEPTS
OCI 네트워크를 구성하는 주요 요소입니다. 각 요소가 어떤 역할을 하는지 먼저 파악하세요.
NETWORK
OCI 데이터센터 안에 만드는 가상 사설망. 하나의 Region에 속하며, 하나 이상의 CIDR 대역을 가질 수 있습니다.
NETWORK
VCN을 용도별로 나눈 네트워크 구역. Public과 Private으로 나뉘며, 각 서브넷에 다른 자원을 배치합니다.
GATEWAY
Public Subnet이 인터넷과 양방향으로 통신할 때 사용하는 게이트웨이입니다.
GATEWAY
Private Subnet의 서버가 외부 인터넷으로 나가는 요청만 허용합니다. 외부에서 내부로의 직접 접근은 차단됩니다.
GATEWAY
인터넷을 거치지 않고 OCI 내부 서비스(Object Storage 등)에 사설망으로 직접 접근할 때 사용합니다.
GATEWAY
Dynamic Routing Gateway. VPN, FastConnect, 다른 VCN 또는 온프레미스 네트워크와 연결할 때 사용합니다.
ROUTING
트래픽의 목적지 CIDR과 다음 홉(Next Hop)을 지정해 트래픽이 어디로 나갈지 결정하는 경로표입니다.
SECURITY
인바운드·아웃바운드 트래픽을 제어하는 방화벽 역할을 합니다. NSG는 Security List보다 더 세밀한 제어가 가능합니다.
// ARCHITECTURE
OCI 네트워크는 인터넷 → 게이트웨이 → VCN → 서브넷 → 인스턴스 순서로 연결됩니다.
Public Subnet은 외부와 직접 통신하고, Private Subnet은 외부에서 직접 접근할 수 없습니다.
// COMPONENTS
각 구성요소의 역할과 사용 시점을 정리합니다.
OCI 네트워크 구성의 첫 번째 단계. OCI 데이터센터 안에 만드는 가상 사설망으로, 하나의 Region 내에 존재합니다.
하나 이상의 CIDR 대역을 설정할 수 있으며, 일반적으로 10.0.0.0/16 같은 넓은 대역을 잡은 뒤 서브넷으로 나눠 사용합니다.
Public Subnet에 연결해 인터넷과 양방향 통신을 가능하게 합니다. 웹 서버, 로드 밸런서처럼 외부에서 직접 접근이 필요한 서버가 있는 서브넷에 사용합니다.
Private Subnet 안의 서버가 소프트웨어 업데이트나 외부 API 호출 등을 위해 인터넷으로 나갈 수 있게 해줍니다. 단, 외부에서 Private Subnet 안으로 직접 들어오는 요청은 차단됩니다. 일반적인 NAT는 왕복이 가능하지만, OCI의 NAT Gateway는 아웃바운드만 허용하는 점이 특징입니다.
Private Subnet에서 Object Storage 같은 OCI 서비스에 접근할 때, 인터넷을 거치지 않고 OCI 내부망을 통해 직접 통신합니다. 보안성을 높이고 불필요한 인터넷 트래픽 비용을 줄일 수 있습니다.
VPN 터널, FastConnect(전용선), 다른 VCN 또는 온프레미스 데이터센터와의 연결에 사용합니다. 하이브리드 클라우드 구성 시 핵심 구성요소입니다.
각 서브넷에 연결하는 경로표입니다. 목적지 CIDR와 다음 홉(Next Hop)을 쌍으로 설정합니다.
예를 들어 0.0.0.0/0 → Internet Gateway로 설정하면 모든 외부 트래픽이 인터넷으로 나갑니다.
인바운드·아웃바운드 트래픽을 프로토콜, 포트, IP 기준으로 허용 또는 차단합니다. Security List는 서브넷 단위로 적용되고, NSG(Network Security Group)는 개별 인스턴스 단위로 더 세밀하게 적용할 수 있습니다. 운영 환경에서는 두 가지를 함께 활용하는 것이 좋습니다.
// SUBNET COMPARISON
두 서브넷의 차이를 명확히 이해하는 것이 OCI 설계의 핵심입니다.
DB 서버는 외부에서 직접 접근할 이유가 없습니다. 항상 App 서버나 Bastion 서버를 통해서만 접근하도록 구성하면, 외부 공격이나 실수로 인한 직접 접근을 원천 차단할 수 있습니다. 만약 DB를 Public Subnet에 두면 공인 IP가 노출되어 브루트포스, SQL 인젝션 시도 등 직접적인 외부 공격에 노출될 위험이 있습니다. 운영 환경에서 DB는 반드시 Private Subnet에 배치하세요.
// SUBNET DESIGN
VCN CIDR를 10.0.0.0/16으로 잡고 용도별로 서브넷을 나눈 일반적인 구성입니다.
// PRACTICAL TIPS
OCI 네트워크 설계 시 꼭 기억해야 할 핵심 원칙들입니다.
DB 서버를 Public Subnet에 두는 것은 매우 위험합니다. 반드시 Private Subnet에 두고 App 서버나 Bastion을 통해서만 접근하도록 설계하세요.
Private Subnet에 직접 SSH 접속이 불가능하므로, Public Subnet의 Bastion 서버를 중계 거점으로 활용해 내부 서버에 접근합니다.
모바일 클라이언트는 반드시 Private Subnet의 App Server를 통해 처리해야 합니다. 직접 DB 접근 구조는 지양하세요.
Security List는 서브넷 전체에 적용하고, NSG로 개별 인스턴스마다 세밀한 포트 제어를 추가하는 것이 좋습니다.
Object Storage 같은 OCI 서비스는 인터넷을 경유하지 않고 Service Gateway를 통해 접근하면 보안성과 비용 효율성이 모두 높아집니다.
Public Subnet은 Internet Gateway로, Private Subnet은 NAT Gateway나 Service Gateway로 연결되도록 서브넷별 Route Table을 별도로 관리하세요.