未找到结果

您的搜索操作未匹配到任何结果。

我们建议您尝试以下操作,以帮助您找到所需内容:

  • 检查关键词搜索的拼写。
  • 使用同义词代替键入的关键词,例如,尝试使用“应用”代替“软件”。
  • 请尝试下方显示的热门搜索之一。
  • 重新搜索。
热门问题

常见问题解答

全部展开 全部收起

    基本问题

  • 虚拟云网络 (VCN) 是什么?

    VCN 是 Oracle 云基础设施中的一个可定制的专用网络。就像传统的数据中心网络一样,VCN 让您能够全面控制您的网络环境,包括分配您自己的专用 IP 地址空间、创建子网和路由表以及配置状态防火墙。此外,单一租户(Oracle 云基础设施帐户)可以设置多个 VCN,从而对相关资源进行分组和隔离。例如,您可以使用多个 VCN 来隔离公司不同部门中的资源。

  • VCN 有哪些核心组成要素?

    有关其组成要素的完整列表,请参阅网络概述

  • 如何开始使用 VCN?
  • 我可以在自己的 VCN 内部使用哪些 IP 地址?

    在创建 VCN 时,您将选择分配一个连续的 IPv4 CIDR 块。允许的 VCN 大小范围为 /16(65533 个 IP地址)到 /30(1 个 IP 地址)。例如:10.0.0.0/16, 192.168.0.0/24.

    我们建议使用 RFC1918 指定的专用地址范围中的 CIDR 块。如果使用非 RFC1918 CIDR 块,那么请注意,它仍会被当作专用 IP 地址范围,并且无法通过互联网(即通过 Oracle 互联网网关)来路由。

    您可以将 VCN 的地址范围细分为多个连续的 IPv4 CIDR 块来创建子网。子网的 CIDR 块必须位于 VCN 的 CIDR 块内。当您在子网中启动实例时,为实例分配的专用 IP 地址将来自子网的 CIDR 块。

  • 是否可以将子网标记为“专用”?

    可以。在创建子网时,您可以指定以下接入类型:专用或公共。系统默认会创建一个公共接入类型的子网,在这种情况下,可以为子网中的实例分配一个公共 IP 地址。在专用接入类型的子网中启动的实例不得拥有公共 IP 地址,这将确保这些实例不能直接接入互联网。

  • VCN 可以跨越多个可用性域吗?

    可以。

  • 子网可以跨越多个可用性域或多个 VCN 吗?

    子网可以跨越多个可用性域,但不能跨越多个 VCN。如果创建区域子网,则该子网的资源可以位于该区域的任何可用性域中。然而,如果创建特定于 AD 的子网,则该子网的资源必须位于该子网的特定可用性域中。

  • 是否可以创建 IP 地址重叠的 VCN?

    可以。然而,如果您打算将一个 VCN 连接至您的本地网络或另一个 VCN,则我们建议您确保 IP 地址范围没有重叠。

  • 我可以创建多少个 VCN、子网和其他网络资源?

    有关所有服务的当前限制以及请求增加服务限额的指导方法,请参阅服务限制帮助文档

  • 在创建子网后,是否可以对其进行修改?

    可以,您可以修改子网名称并更改与之相关联的路由表、安全列表和 DHCP 选项集。但是,您不能更改子网的 CIDR 块。

    虚拟网络接口卡 (VNIC)

  • 虚拟网络接口卡 (VNIC) 是什么?

    Oracle 云基础设施数据中心中的服务器具有物理网络接口卡 (NIC)。在这些服务器上启动实例时,该实例将使用与物理 NIC 相关联的网络服务虚拟 NIC (VNIC) 进行通信。VNIC 可支持将计算实例连接至 VCN,并确定该实例如何与 VCN 内部和外部的端点进行通信。

    每个 VNIC 均位于一个子网中,并具有以下配置:

    • 一个主用专用 IPv4 地址,来自 VNIC 所在的子网,由您或 Oracle 指定
    • 最多 31 个辅助专用 IPv4 地址,来自 VNIC 所在的子网,由您或 Oracle 指定
    • 每个专用 IP 地址的可选公共 IPv4 地址
    • 每个专用 IP 地址的可选 DNS 主机名(请参阅虚拟云网络中的 DNS
    • MAC 地址
    • VLAN 标记,由 Oracle 指定,仅当将 VNIC 关联至实例之后才可以使用(仅与裸金属实例相关)

    详情参阅虚拟网络接口卡 (VNIC)

  • 实例的主用 VNIC 是什么?

    VCN 中的每一个实例在创建时均具有一个 VNIC,该 VNIC 中包含在实例创建时提供的子网中的一个专用 IP 地址(由您或 Oracle 指定),以及一个对应的公共 IP 地址。此 VNIC 称为主用 VNIC,其专用 IP 地址称为主用专用 IP 地址。

    主用 VNIC 不能与实例相分离,它会在实例终止后自动删除。

  • 实例上的辅助 VNIC 是什么?

    VCN 中的每一个实例至少有一个 VNIC,这是其主用 VNIC。您可以将其他 VNIC 关联至实例,这称为辅助 VNIC。辅助 VNIC 可以属于不同的 VCN 或子网。

  • 一个实例上支持的最大 VNIC 数量是多少?

    一个实例可以关联至多少个 VNIC 的限制因规格而异。有关这些限制请参阅计算规格支持文档

  • 是否可以从实例中找到 VNIC 信息?

    是。可以通过 http://169.254.169.254/opc/v1/vnics/ 查询实例元数据服务。

  • 是否可以为 VNIC 指定具体的专用 IP 地址?

    是。对于主用 VNIC,可以在实例启动时指定专用 IP 地址。对于辅助 VNIC,可以在将 VNIC 关联至实例时指定专用 IP 地址。指定的专用 IP 地址应当属于 VNIC 所属的同一子网,并且不应当在使用中。

  • 是否可以将一个实例的 VNIC 转移给另一个实例?

    不可以。目前,VNIC 始终与其实例绑定在一起,而不独立存在。主用 VNIC 随实例一同创建和删除。所有辅助 VNIC 将在与实例关联时创建,并且将在与实例分离时删除。

  • 是否可以将同一子网中的两个 VNIC 关联至同一实例?

    可以。然而,将同一子网 CIDR 块中的多个 VNIC 关联至一个实例可能会引入非对称路由,尤其是在使用 Linux 变体的实例上。如果您需要此类配置,Oracle 建议将多个专用 IP 地址分配给一个 VNIC,或者使用基于策略的路由。作为示例,请参见 Linux:为辅助 VNIC 配置 OS 中的脚本。

  • 与同一实例相关联的 VNIC 是否可以属于不同可用性域 (AD) 中的子网?

    不可以。所有 VNIC 都必须属于与实例相同的 AD 中的子网。当使用区域子网时,必须在与实例相同的 AD 中创建 VNIC。

  • 与同一实例相关联的 VNIC 是否可以属于不同 VCN 中的子网?

    可以。辅助 VNIC 所属子网所在的 VCN 可以与主用 VNIC 的 VCN 不同。

    IP 寻址

  • 我可以为自己的计算实例指定一个或多个自选的专用 IP 地址吗?

    VCN 中的每一个计算实例在创建时都会配有一个虚拟网络接口卡 (VNIC),并且会分配一个专用 IP 地址,该专用 IP 地址来自实例启动时提供的子网。这分别是主用 VNIC 及其 主用专用 IP 地址。您还可以将其他 VNIC 关联至同一个实例,称作辅助 VNIC,每个辅助 VNIC 也有一个主用专用 IP 地址。

    您可以让 Oracle 来选择专用 IP 地址,也可以从子网的可用池中进行选择。如果您指定的地址已经在使用中,则启动请求将会失败。

    此外,您还可以为 VNIC 指定辅助专用 IP 地址。类似于主用专用 IP 地址,辅助专用 IP 地址用于连接至您的 VCN 和/或本地部署环境(通过 VPN 或 FastConnect 进行连接时)中的目标。

  • 是否可以将一个实例的 VNIC 中的辅助专用 IP 地址转移给另一个实例的 VNIC?

    是。您可以将一个实例上的 VNIC 中的辅助专用 IP 地址转移给另一个实例上的 VNIC,前提是两个 VNIC 均属于同一子网且授权允许此操作。当使用区域子网时,辅助专用 IP 也可以转移给不同 AD 中的 VNIC。

  • 可以为一个实例的 VNIC 指定多少个辅助专用 IP 地址?

    目前,您最多可以为一个 VNIC 指定 31 个辅助专用 IP 地址。

  • 实例 OS 是否可以自动(通过 DHCP)发现和配置辅助专用 IP 地址?

    不可以。OS 无法使用 DHCP 之类的机制来发现辅助专用 IP 地址。您需要使用 OS 特有的方式来配置辅助专用 IP 地址。详情参阅虚拟网络接口卡 (VNIC) 中提供的脚本。

  • 公共 IP 地址是什么?它与专用 IP 地址有何不同?

    公共 IP 地址是可通过互联网访问的 IPv4 地址(可通过互联网路由的 IP 地址)。VCN 中的实例通过公共 IP 地址与互联网上的主机通信。专用 IP 地址则不可通过互联网路由。VCN 内部实例相互之间使用专用 IP 地址进行通信。

    您可以为计算实例的专用 IP 地址分配一个公共 IP 地址,或者为负载平衡器实例分配一个公共 IP 地址,让它们能够与互联网通信。为使公共 IP 地址可通过互联网进行访问,其所在的 VCN 必须配有一个互联网网关,并且必须为公共子网配置相应的路由表安全列表

  • 公共 IP 地址有哪些类型?

    公共 IP 地址有两种类型。

    • 临时公共 IP 地址:此类公共 IP 地址是临时的,存续期仅限于实例的生命周期。Oracle 将根据您的请求,从 Oracle 可用公共 IP 地址池中分配一个这样的地址。此公共 IP 地址将与专用 IP 地址的生命周期相绑定。如果您显式取消分配该公共 IP 地址,或取消分配 VNIC 中的相应专用 IP 地址,或终止相应实例,则此公共 IP 地址将释放到可用池中。如果您之后请求重新分配公共 IP 地址,则该地址可能与之前的地址不同。
    • 预留公共 IP 地址:可以认为它们是位于您所选择的隔离区中的浮动公共 IP 地址。它们是持久性的,存续期并不仅限于所属实例的生命周期。它们属于特定区域。您可以不分配隔离区中的预留公共 IP 地址,或者将其分配给相同区域中的某个实例或负载平衡器的专用 IP 地址。您还可以将其转移给同一区域中的任何其他专用 IP 地址。

    有关详情以及这两种类型的对比表,请参阅公共 IP 地址帮助文档

  • 为什么需要预留公共 IP 地址?

    对于无法使用 DNS FQDN 的客户端,公共 IP 地址可用于标识您的服务的身份。您可以通过预留公共 IP 地址保持此身份标识,而不受任何底层资源变动的影响。下面列出了一些可受益于预留公共 IP 地址的具体场景:

    • 确保您的客户端免受任何实例相关故障的影响:您可以为实例分配一个预留公共 IP 地址,并在发生故障时将其无缝转移至另一个实例。您的客户端可以继续连接至相同的公共 IP 地址,而不受此变动的影响。
    • 优化计算资源使用,同时避免对用户产生影响:无论您是希望更改实例大小,还是根据使用模式终止实例以节省成本,您都可以通过预留公共 IP 地址向客户端公开相同的公共 IP 地址。
  • 可以为一个实例分配多少个预留公共 IP 地址?

    您只能为任何(主用或辅助)专用 IP 地址分配一个预留公共 IP 地址。但是您可以为与实例相关联的每一个 VNIC 分配多个专用 IP 地址。随后,您可以为每一个专用 IP 地址分配一个预留公共 IP 地址。

    在您的租户中可创建的预留公共 IP 地址的最大数量是有限制的。请参阅服务限制帮助文档

  • 可以为一个实例分配多少个临时公共 IP 地址?

    您只能为 VNIC 的任何主用专用 IP 地址分配一个临时公共 IP 地址。但是,您可以创建多个 VNIC 并将它们关联至您的实例。随后,您可以为每个 VNIC 的每个主用 IP 地址分配一个临时公共 IP 地址。

    可为一个实例分配的临时公共 IP 地址的最大数量是有限制的。请参阅服务限制帮助文档

  • 是否可以将一个 VNIC/实例的临时公共 IP 地址转移给另一个 VNIC/实例?

    可以,但前提是该地址分配给 VNIC 上的辅助专用 IP。如果将辅助专用 IP 移至其他 VNIC(必须位于同一子网中),则临时公共 IP 也将随之一同转移。

  • 是否可以将一个 VNIC/实例的预留公共 IP 地址转移给另一个 VNIC/实例?

    可以,您可以将其从一个可用性域或 VCN 转移至另一个可用性域或 VCN。两个 VCN 必须位于同一区域中。

    可以通过两种方式来转移预留公共 IP:

    • 取消分配预留公共 IP,然后将其重新分配给另一个专用 IP。该专用 IP 可以位于与原始 VNIC 不同的可用性域或 VCN 中的 VNIC 上。
    • 如果预留公共 IP 已分配给辅助专用 IP,您可以将该专用 IP 转移给另一个 VNIC(必须在同一子网中),预留公共 IP 则会随之一同转移。
  • 何时会释放临时公共 IP 地址?

    当您显式取消分配该地址时。此外:

    • 当您删除专用 IP 地址时,会释放其相应的临时公共 IP 地址。
    • 当您取消关联辅助 VNIC 时,会释放任何相应的临时公共 IP 地址。
    • 当您终止实例时,会释放相应的临时公共 IP 地址。

    请注意,重新启动实例不会影响相应的临时公共 IP 地址。

  • 我在登录计算实例时会看到哪些 IP 地址?

    您只会看您的计算实例的专用 IP 地址。如果为实例分配了公共 IP 地址,则当实例尝试(通过互联网网关)与互联网上的目标通信时,网络服务会在专用 IP 地址与公共 IP 地址之间提供一对一 NAT(静态 NAT)。

  • 实例上如何显示公共 IP 地址的流量?

    在实例操作系统级别,您只能看到与实例相关联的 VNIC 的专用 IP 地址。当接收到发送至公共 IP 地址的流量时,网络服务会通过网络地址转换 (NAT) 将公共 IP 地址转换为相应的专用 IP 地址。该流量将显示在实例内部,且目标 IP 地址将设置为专用 IP 地址。

  • 我可以为自己的计算实例分配一个 MAC 地址吗?

    不可以。MAC 地址将由网络服务分配。

  • 是否支持 IPv6?

    目前仅在政府云中支持 IPv6 寻址。详情参阅 IPv6 地址

  • 是否支持在 VCN 内部进行 IP 多播或广播?

    否,目前还不支持。

  • VCN 是否支持使用无故 ARP (GARP) 进行透明 IP 接管?

    否,目前还不支持。

    连接

  • 我的 VCN 中运行的实例有哪些可用的连接选项?

    实例支持:

    • (通过互联网网关)连接至互联网
    • 通过 IPSec VPN 连接或 FastConnect(通过动态路由网关)连接至本地部署数据中心
    • 连接至对等 VCN 中的实例(位于同一区域或不同区域中)
    • (通过服务网关)连接至 Oracle 云基础设施服务,例如对象存储和 ADW
  • 互联网网关是什么?

    互联网网关是一种软件定义的高可用性容错路由器,旨在为 VCN 内部的资源提供公共互联网连接。利用互联网网关,分配有公共 IP 地址的计算实例可以与互联网上的主机和服务进行通信。

    作为使用互联网网关的替代方法,您可以将 VCN 连接至本地部署数据中心,从这里通过现有网络出口点将流量路由至互联网。

  • NAT 网关是什么?

    NAT 网关是一种可靠的高可用性路由器,旨在为 VCN 内部的资源提供单向出站互联网连接。借助 NAT 网关,专用实例(仅具有一个专用 IP 地址)可以向互联网上主机和服务发起连接,但不能接收从互联网发起的入站连接。

  • 一个 VCN 是否可以有多个 NAT 网关?

    否。默认限制是每个 VCN 只能有一个 NAT 网关。我们预计这已经足以满足绝大多数应用的需求。

    如果希望在特定 VCN 中分配多个 NAT 网关,您可以请求增加该限额。要了解如何请求增加限额,请参阅服务限制

  • 使用 NAT 网关时是否有任何新的吞吐量限制?

    使用 NAT 网关时实例可获得的吞吐量与通过互联网网关路由流量时可获得的吞吐量相同。此外,通过 NAT 网关的单一通信流限制为 1Gbps(针对小型实例的流量限制更低)。

  • 使用 NAT 网关时是否有任何并发连接限制?

    有的,到单一目标 IP 地址和端口的并发连接数量限制大约为 20000。此限制是指使用 NAT 网关的 VCN 上的实例发起的所有连接的总和。

  • 动态路由网关 (DRG) 是什么?

    动态路由网关是一种软件定义的高可用性容错路由器,可添加到 VCN 中。它为 VCN 与该 VCN 区域之外的其他网络(例如您的本地部署数据中心或另一个区域中的对等 VCN)之间的流量提供一条专用路径。要将 VCN 与本地部署数据中心相连接,您可以设置通过 IPSec VPN 或 FastConnect 连接至 VCN 的 DRG。通过此连接,您的本地部署主机和实例可以安全地进行通信。

  • 用户端设备 (CPE) 对象是什么?为什么需要它?

    如果您设置了 IPSec VPN,则需要使用此对象。它是您本地 VPN 端的实际路由器的虚拟表示。您可以在设置 IPSec VPN 时创建此对象,同时指定本地部署路由器的公共 IP 地址。

  • 是否需要互联网网关才能与本地部署数据中心建立 IPSec VPN 连接?

    不需要。您只需要配置一个 DRG,将其关联至您的 VCN,配置 CPE 对象和 IPSec 连接,并配置路由表。

  • 你们使用 Oracle 云基础设施 IPSec VPN 对哪些用户端设备路由器或网关进行了测试?
  • 我有一个 IPSec VPN 路由器不在上述经过测试的设备列表中。是否可以使用它连接至我的 VCN?

    可以,前提是要根据“通用 CPE 配置信息”对其进行配置。为了尽可能提高与不同 VPN 设备的互操作性,我们支持多种配置选项。

  • 如何确保 Oracle 云基础设施与我的本地部署数据中心之间的 IPSec VPN 连接的可用性?

    Oracle 提供两个 VPN 隧道作为 IPSec 连接的一部分。请确保在您的 CPE 上配置两个隧道以实现冗余。

    此外,您可以在本地部署数据中心中部署两个 CPE 路由器,并为每个路由器配置这两个隧道。

  • 是否可以使用软件 VPN 连接至我的 VCN?

    IPSec VPN 是一个开放标准,软件 IPSec VPN 可以与 Oracle 云基础设施互操作。您需要在每个配置组中,根据通用 CPE 配置信息验证您的软件 IPSec VPN 是否至少支持一个受支持的 Oracle IPSec 参数。

    服务网关

  • Oracle 服务网络是什么?

    Oracle 服务网络是 Oracle 云基础设施中为 Oracle 服务预留的一个概念网络。该网络包含一系列区域 CIDR 块。Oracle 服务网络中的每一个服务都将公开一个服务端点,该服务端点使用该网络中的公共 IP 地址。目前,该网络中提供大量可用的 Oracle 服务(请参阅完整列表),并且随着更多的服务部署到 Oracle 云基础设施上,未来会提供更多的服务。

  • 服务网关是什么?

    服务网关让 VCN 中的资源可以通过安全的专用连接访问 Oracle 服务网络中的 Oracle 服务,例如对象存储、ADW 和ATP。VCN 中的实例与受支持的 Oracle 服务之间的流量将使用该实例的专用 IP 地址进行路由,通过 Oracle 云基础设施结构进行传输,并且永远不会经过互联网。与互联网网关或 NAT 网关类似,服务网关是一种高可用的虚拟设备,可动态扩展以支持您的 VCN 的网络带宽。

  • 可以通过服务网关访问哪些 Oracle 云基础设施服务?

    目前,您可以配置通过服务网关访问 Oracle 服务网络中的 Oracle 服务。目前,该网络中提供大量可用的 Oracle 服务(请参阅完整列表),并且随着更多的服务部署到 Oracle 云基础设施上,未来会提供更多的服务。

  • 目前我在使用互联网网关或 NAT 网关访问 Oracle 服务(例如 ADW)。如何使用服务网关访问相同的 Oracle 服务端点?
    1. 为 VCN 创建一个服务网关。
    2. 更新 VCN 的路由,使用服务网关(而不是互联网网关或 NAT 网关)转发 Oracle 服务网络中的 Oracle 服务的所有流量。

    有关说明请参阅访问对象存储:服务网关。请注意,您可以通过服务网关来访问区域内的 Oracle 服务,从而避开互联网,保护您的数据。您的应用可能需要访问不受服务网关支持的公共端点或服务(例如,需要获取更新或补丁)。如果需要,请确保您拥有 NAT 网关或其他互联网接入方式。

  • 服务 CIDR 标签是什么?

    服务 CIDR 标签是服务网关中所使用的一个概念,该标签是一个字符串,代表了一个或一组服务的所有区域公共 IP 地址范围(例如,“Oracle 服务网络中的 OCI IAD 服务”标签将映射至 us-ashburn-1 中的 Oracle 服务网络中的区域 CIDR 块)。在配置服务网关和路由/安全规则时,您需要使用服务 CIDR 标签。有关说明请参阅访问 Oracle 服务:服务网关

  • 是否可以配置通过服务网关访问另一个区域中运行的服务?

    不可以,服务网关是区域性的,只能访问在同一区域中运行的服务。

  • 是否可以只允许从特定的 VCN 或子网访问某个对象存储桶 (bucket)?

    是。如果您使用服务网关,则可以定义一个 IAM 策略,通过该策略规定只有当请求来自特定的 VCN 或 CIDR 范围时,才允许访问该存储桶。该 IAM 策略仅对通过服务网关路由的流量生效。如果实施了该 IAM 策略,而流量通过互联网网关路由,则访问将被阻止。此外还请注意,该 IAM 策略会阻止您通过控制台访问该存储桶。仅允许以编程方式从 VCN 中的资源进行访问。

    有关 IAM 策略示例,请参阅访问对象存储:服务网关

  • 我的 VCN 中是否可以有多个服务网关?

    否。目前,一个 VCN 中只能有一个服务网关。

  • 是否可以通过 VCN 对等互联使用某个服务网关?

    否。当一个 VCN 与另一个具有服务网关的 VCN 建立了对等互联时,前者并不能使用后者的服务网关访问 Oracle 服务。

  • 是否可以利用服务网关建立从本地网络到 VCN 的连接(通过 FastConnect)?

    不可以。但是您可以使用 FastConnect 公共对等互联来实现此目标(无需经过互联网)。

  • 使用服务网关时是否有任何新的吞吐量限制?

    没有。使用服务网关时实例可获得的吞吐量与通过互联网网关路由流量时可获得的吞吐量相同。

  • 服务网关的费用是多少?

    所有 Oracle 云基础设施客户都可以免费使用服务网关。

    VCN 安全性

  • 安全列表是什么?为什么需要安全列表?

    安全列表为实例提供虚拟防火墙,它通过传入和传出规则指定允许进出实例的流量类型。您可以使用安全列表来保护自己的计算实例。您可以在子网级配置安全列表,这意味着子网中的所有实例均受同一组安全列表规则的约束。规则将在实例级执行,并在数据包级控制流量。

  • 哪些安全列表适用于特定实例?VCN 的默认安全列表如何发挥作用?

    实例上的特定 VNIC 将受到与 VNIC 子网相关联的安全列表的约束。在创建子网时,您可以指定一个或多个安全列表与该子网相关联,其中可以包含 VCN 的默认安全列表。如果在子网创建过程中未指定至少一个安全列表,则 VCN 的默认安全列表将与该子网相关联。安全列表在子网级相关联,但规则将在数据包级作用于 VNIC 流量。

  • 在创建子网后,是否可以更改子网所使用的安全列表?

    可以,您可以通过编辑子网属性来添加或删除安全列表。您还可以编辑安全列表中的各项规则。

  • 我可以配置多少个安全列表和规则?

    用户可以创建的安全列表数量、与子网相关联的列表数量以及添加到特定列表的规则数量是有限制的。要了解当前的服务限制以及如何请求增加限额,请参阅服务限制帮助文档

  • 是否可以在安全列表中使用 "deny" 规则?

    不可以。安全列表只使用 "allow" 规则。默认情况下所有流量都会被拒绝,只有与规则中指定的属性相匹配的网络流量会被允许。

  • 安全列表支持哪些类型的规则?

    规则分为有状态规则和无状态规则,它们要么是传入规则,要么是传出规则。

    对于有状态规则,一旦允许了某个与该规则相匹配的网络数据包,就会使用连接跟踪,自动允许属于该连接的所有后续网络数据包。因此,如果创建了一个有状态传入规则,则不但会允许与该规则匹配的传入流量,也会允许相应的传出(响应)流量。

    对于无状态规则,仅允许与该规则相匹配的网络数据包。因此,如果创建了一个无状态传入规则,则仅允许传入流量。您需要创建一个相应的无状态传出规则以匹配相应的传出(响应)流量。

    详情参阅安全列表支持文档

  • 网络安全组是什么?它们与安全列表有何不同?

    网络安全组和安全列表是实现安全规则的两种不同方式。前者的安全规则将控制可允许哪些流量传入和传出 VNIC。

    您可以通过安全列表定义一系列适用于特定子网中所有 VNIC 的安全规则。网络安全组 (NSG) 则可用于定义一系列适用于您所选择的一组 VNIC 的安全规则(例如:一组具有相同安全态势的计算实例)。

    详情参阅:

  • NSG 与安全列表中的安全规则是否有先后顺序或优先级?

    否。默认情况下,所有流量都将被拒绝。安全规则只能允许流量。适用于特定 VNIC 的规则集合是以下各项的并集:

    • 与 VNIC 子网相关联的安全列表中的安全规则
    • VNIC 所在的所有 NSG 中的安全规则

  • 哪些 Oracle 服务支持使用 NSG?

    计算、负载平衡和数据库服务。也就是说,在创建计算实例、负载平衡器或数据库系统时,您可以指定一个或多个网络安全组来控制这些资源的流量。

  • 在 NSG 功能推出之后,我们是否需要安全列表?

    在 NSG 推出之后,安全列表行为没有任何变化。您的 VCN 仍然有默认安全列表,您可以在 VCN 的子网中选用它。

  • 是否可以将 NSG 指定为安全规则的源或目标?

    在为 NSG 编写规则时,可以选择将某个 NSG 指定为流量的源(对于传入规则)或流量的目标(对于传出规则)。通过指定 NSG,您可以轻松编写规则来控制两个不同 NSG 之间的流量。两个 NSG 必须位于同一个 VCN 中。

  • 是否可以编写安全规则来显式控制不同 VCN 中的 NSG 之间的流量?

    不可以。在编写将其他 NSG 指定为源或目标的 NSG 安全规则时,两个 NSG 必须位于同一个 VCN 中。即使另一个 NSG 位于对等互联的 VCN 中,也是如此。这与安全列表不同。

    安全列表可用于定义适用于整个子网中的所有 VNIC 的安全规则集,而网络安全组 (NSG) 则用于定义适用于 VCN 内您选择的一组 VNIC(包括负载平衡器或数据库系统的 VNIC)的安全规则集。

    VCN 路由

  • VCN 路由表是什么?

    VCN 路由表包含以 VCN 外部位置作为目标的流量的路由规则。

    路由表中的每一条规则都有一个目标 CIDR 块和一个路由目标。当子网的传出流量与路由规则的目标 CIDR 块相匹配时,则会将流量路由到路由目标。常见的路由目标示例包括:互联网网关和动态路由网关。

    详情参阅路由表

  • 哪些路由表适用于特定实例?VCN 的默认路由表如何发挥作用?

    实例上的特定 VNIC 将受到与 VNIC 子网相关联的路由表的约束。在创建子网时,您可以指定一个路由表与该子网相关联,该路由表可以是 VCN 的默认路由表,也可以是您创建的其他路由表。如果在子网创建过程中未指定路由表,则 VCN 的默认路由表将与该子网相关联。路由表在子网级相关联,但规则将在数据包级作用于 VNIC 流量。

  • 是否可以为任何目标 CIDR 块创建路由规则?

    不可以。目前,您只能为未与 VCN 的地址空间相重叠的 CIDR 块添加路由规则。

  • 在创建子网后,是否可以更改子网所使用的路由表?

    可以,您可以通过编辑子网属性来更改路由表。您还可以编辑路由表中的各条规则。

  • VCN 是否支持基于源的路由?

    否,目前还不支持。

  • 可以在一个路由表中创建多少条路由规则?

    路由表中的规则数量是有限制的。请参阅服务限制帮助文档

  • 是否可以在 VCN 路由规则中使用专用 IP 作为路由目标?

    是。如果要将子网的流量路由到同一 VCN 中的另一个实例,则可以使用专用 IP 作为路由规则的目标。有关具体要求和更多详细信息,请参阅“使用专用 IP 作为路由目标”。

    VCN 对等互联

  • VCN 对等互联是什么?

    VCN 对等互联是指连接两个 VCN 以启用两者之间的专用连接和通信流。对等互联有两种基本类型:

    • 本地 VCN 对等互联(即区域内对等互联):两个 VCN 位于同一区域中。两个 VCN 既可以位于相同的租户中(位于相同或不同的隔离区中),也可以位于不同的租户中。
    • 远程 VCN 对等互联(即区域间 VCN 对等互联):两个 VCN 位于不同区域中。

    详情参阅访问其他 VCN:对等互联

  • 所有区域中都支持 VCN 对等互联吗?
    • 所有区域中均支持本地 VCN 对等互联(即区域内对等互联)。
    • 现在支持远程 VCN 对等互联(即区域间对等互联)。有关受支持区域的的列表,请参阅 产品文档
  • 为什么需要 VCN 对等互联?
    • 借助本地 VCN 对等互联,您可以灵活组地将资源组织到各个独立的 VCN 中,满足治理和区域运营需求,同时在这些 VCN 之间启用专用连接。借助跨租户本地 VCN 对等互联,您可以灵活组地将资源组织到不同租户中的各个独立的 VCN 中,同时在这些 VCN 之间启用专用连接。您还可以为同一区域中(位于不同租户中的)多个用户 VCN 提供对服务的专用接入,从而启用服务提供商模式。
    • 借助远程 VCN 对等互联,您可以灵活组地将资源组织到各个独立的 VCN 中,并满足治理、多区域运营和 DR 需求,同时在位于不同区域的这些 VCN 之间启用专用连接。
  • 本地 VCN 对等互联有什么好处?
    • 作为 VPN 等连接模式的免费且可靠的替代方案,可以消除互联网网关、实例的公共 IP、加密以及性能瓶颈。
    • 轻松在 VCN 之间实现对等互联,而无需计划内停机。
    • 使用 Oracle 云基础设施结构的高度冗余式链路(可预测带宽和延迟),为对等 VCN 中的资源提供专用连接。
  • 如何在两个 VCN 之间建立本地 VCN 对等互联?

    有关说明请参阅本地 VCN 对等互联

  • 是否可以在地址范围重叠的两个 VCN 之间建立本地对等互联?

    不可以。本地对等互联关系中的两个 VCN 不能具有重叠的 CIDR。

  • 我的 VCN 是否可以与 IP 地址范围重叠的另外两个 VCN 建立本地对等互联?

    可以。如果 VCN-1 与另外两个 VCN(例如 VCN-2 和 VCN-3)建立对等互联,这两个 VCN(VCN-2 和 VCN-3)可以具有重叠的 CIDR。

  • 是否可以与另一个帐户的 VCN 建立本地对等互联?

    可以。

  • 每个 VCN 可以建立多少个本地对等互联?

    一个 VCN 同时可以建立最多 10 个本地对等互联。

  • 远程 VCN 对等互联有什么好处?
    • 作为 VPN 等连接模式的低成本且可靠的替代方案,可以消除互联网网关、实例的公共 IP、加密以及性能瓶颈。
    • 轻松在 VCN 之间实现对等互联,而无需计划内停机。
    • 使用 Oracle 云基础设施的高度冗余式主干链路(可预测带宽和延迟),为对等 VCN 中的资源提供专用连接。
  • 是否需要互联网网关才能创建远程对等互联?

    不需要。您可以使用动态路由网关 (DRG) 来建立远程对等互联。

  • 如何在两个 VCN 之间建立远程 VCN 对等互联?

    有关说明请参阅远程 VCN 对等互联

  • 是否可以在地址范围重叠的两个 VCN 之间建立远程对等互联?

    不可以。远程对等互联关系中的两个 VCN 不能具有重叠的 CIDR。

  • 我的 VCN 是否可以与 IP 地址范围重叠的另外两个 VCN 建立远程对等互联?

    不可以,如果 VCN-1 与另外两个 VCN(例如 VCN-2 和 VCN-3)建立远程对等互联,则这两个 VCN(VCN-2 和 VCN-3)不能具有重叠的 CIDR。

  • 是否可以与另一个帐户的 VCN 的建立远程对等互联?

    不可以。

  • 我的远程 VCN 对等互联流量是否经过加密?

    是。您的远程 VCN 对等互联流量将使用行业标准链路加密算法进行加密。

  • 每个 VCN 可以建立多少个远程对等互联?

    一个 VCN 同时可以建立最多 10 个远程对等互联。

  • 作为 VCN-A 管理员,我可以仅允许连接至对等 VCN-B 上的特定子网吗?

    可以。您可以使用 VCN-A 的路由表和安全列表来控制与对等 VCN-B 的连接。您可以允许连接至 VCN-B 的整个地址范围,或者将其限制为一个或多个子网。

  • 作为 VCN-A 管理员,我可以控制可从对等 VCN-B 访问 VCN-A 的哪些子网吗?

    可以。在建立本地或远程对等互联之后,VCN-B 中的实例可以将流量发送至 VCN-A 的整个地址范围。但是,您可以使用子网安全列表中的适当传入规则来限制 VCN-B 中的实例只能访问 VCN-A 中的特定子网。

  • 在两个 VCN 之间建立本地对等互联是否会对延迟和吞吐量性能产生影响?

    不会。吞吐量和延迟性能与 VCN 内部连接相差无几。在可用性和带宽限制方面,本地对等互联连接与 VCN 中的实例之间的连接几乎无异。

  • 在两个 VCN 之间建立远程对等互联是否会对延迟和吞吐量性能产生影响?

    远程 VCN 对等互联使用性能卓越且高可用的 Oracle 云基础设施区域间主干网络,可在区域间连接中实现 99.5% 的可用性 SLA。在可用性和带宽限制方面,远程对等互联连接与到动态路由网关的任何其他连接几乎无异。您可以使用 FastConnect 或 IPSec VPN 回传对等流量来实现冗余。

  • VCN 对等互联的费用是多少?
    • 本地对等互联(区域内):免费。
    • 远程对等互联(区域间):根据传出数据传输来定价。请参阅最新发布的“传出数据传输”定价。

    VCN 传输路由

  • VCN 传输路由 (VTR) 是什么?

    VCN 传输路由 (VTR) 解决方案基于星型拓扑,允许中心 VCN 在(区域内的)多个分支 VCN 与本地部署网络之间提供传输连接。本地部署网络只需要一个 FastConnect 或 IPSec VPN(已连接至中心 VCN)即可与所有分支 VCN 通信。

  • 如何开始使用 VCN 传输路由 (VTR)?

    有关说明请参阅在控制台中设置 VCN 传输路由

  • 分支 VCN 可以通过中心 VCN 访问哪些远程网络?

    目前,分支 VCN 可以通过中心 VCN 访问您的本地部署网络。

  • 是否可以配置中心 VCN 连接至远程 Oracle 云基础设施区域中的分支 VCN?

    不可以,VCN 传输路由解决方案仅支持在同一区域内的 VCN 之间建立一体式连接。

  • 是否可以在配置中心 VCN 时控制分支 VCN 只能访问本地部署网络中的特定子网?

    是。您可以通过与中心 VCN 上的 LPG 相关联的路由表来进行这种控制。您可以配置限制性路由规则,通过这些规则指定分支 VCN 只能访问哪些本地部署子网。只有该路由表和中心 VCN 的 CIDR 中的路由才会发布给分支 VCN。

  • 是否可以在配置中心 VCN 时控制本地部署网络只能访问分支 VCN 中的特定子网?

    是。您可以通过与中心 VCN 上的 DRG 相关联的路由表来进行这种控制。您可以配置限制性路由规则,通过这些规则指定本地部署网络只能访问哪些分支 VCN 子网。只有该路由表和中心 VCN 的 CIDR 中的路由才会发布给本地部署网络。

  • 可以与中心 VCN 建立对等互联的分支 VCN 的数量有任何限制吗?

    有。中心 VCN 最多只能与分支 VCN 建立 10 个本地对等互联。

  • 是否可以配置中心 VCN 以允许本地部署网络访问 Oracle 服务?

    是。您可以在通过 FastConnect 或 VPN Connect 连接至本地部署网络的 VCN 中添加一个服务网关。然后,您可以在 VCN 的 DRG 和服务网关的相关路由表上配置路由规则,以便通过该 VCN 将您的本地流量定向至所需的 Oracle 服务。与 Oracle 服务进行通信时,本地部署主机可以使用其专用 IP,并且流量不会通过互联网传输。

    详情参阅传输路由:通过专用连接访问 Oracle 服务.

  • 是否可以通过中心 VCN 中的网络虚拟设备(例如防火墙实例)来启用路由?

    可以,您可以通过中心 VCN 中的专用 IP 来设置传输路由。通过这种方式,您可以将流量路由至中心 VCN 中的防火墙实例上的专用 IP。该防火墙实例可以检查您的本地部署网络与分支 VCN 之间的所有流量。

  • VCN 传输路由是否有任何性能限制?

    如果通过中心 VCN 中的防火墙实例(或任何其他网络虚拟设备)进行路由,则性能限制将取决于网络虚拟设备的 I/O 特性。如果不通过网络虚拟设备进行路由(而是直接通过中心 VCN 的网关进行路由),则不会有任何性能限制。网关是高度可用的虚拟设备,可通过动态扩展来支持网络的带宽需求。

    DDos 防护

  • Oracle 云基础设施是否提供第 7 层 (L7) 分布式拒绝服务攻击 (DDoS) 防护?

    是。Oracle 云基础设施为 Web 应用和服务提供无限的 DDos 防护。

  • L7 DDoS 防护在哪里执行?

    DDoS 防护由 Oracle 云基础设施边缘网络提供,该边缘网络由分布于全球的高容量接入点 (PoP) 组成,这些接入点支持广泛的边缘应用。Oracle 边缘 PoP 位于 Oracle 云基础设施的各个区域,遍布全球的各个独立位置。具体来说,L7 DDoS 攻击防护由 Oracle Web 应用防火墙 (WAF) 来执行,该防火墙具备全面的访问控制和僵尸防护功能,可有效抵御 L7 DDoS 威胁。Oracle WAF 能够在各个 PoP 上防范绝大多数 DDoS 攻击。当发生大规模 L7 DDoS 攻击时,Oracle 将通过遍布于全球的 DDoS 清理中心来确保快速响应。

  • 如何配置 Oracle 云基础设施 L7 DDoS 防护服务?

    可通过 Oracle 云基础设施控制台配置该服务。客户可以从控制台的 WAF 机器人管理菜单中选择 L7 DDoS 防护。客户可以选择以下两个选项之一:

    • On-demand:客户可以自行决定是否启用 L7 DDoS 防护。
    • Always-on:L7 DDoS 防护将始终不间断运行,自动提供防护。
  • L7 DDoS 防护包括哪些措施?

    L7 DDoS 防护是 Oracle 云基础设施 WAF 的一部分,当用户选择一系列旨在抵御复杂 L7 DDoS 攻击的策略选项时会启用该服务。这些策略选项包括但不仅限于 JavaScript 质询、IP 速率限制、设备指纹识别和人类交互质询。当选择 “always-on” 选项后,这些应对策略将进入全自动模式。用户还可以选择 “on-demand” 选项以自行决定是否要手动启用 L7 DDoS 防护。

  • L7 DDoS 防护服务的费用是多少?

    L7 DDoS 防护是 Oracle 云基础设施 WAF 的一部分。它采用基于流量和请求量的计量订阅模式。详情参见 Oracle 定价页面。

  • Oracle 云基础设施 L7 DDoS 防护服务是如何工作的?

    流量通过反向代理架构自动路由至 Oracle 云基础设施边缘网络。边缘网络包括遍布全球的 PoP,这些 PoP 将在所有 HTTP 和 HTTPS 流量到达 Web 应用之前对其进行检查。PoP 使用激活的 DDoS 应对策略,自动消除被识别为来自恶意僵尸网络的流量。

  • 提供哪些报告功能?

    Oracle 云基础设施门户在控制台中提供关于警报、阻止的请求、僵尸防护和日志的近实时报告。

  • Oracle 是否提供针对第 3 层 (L3) 和第 4 层 (L4) 攻击的 DDoS 防护?

    是。Oracle DDoS 可为客户抵御 L3 和 L4 攻击。

  • Oracle DDoS 防护是什么?

    Oracle DDoS 防护服务可有效检测和抵御大规模分布式拒绝服务攻击,避免面向互联网的资源因不胜负荷而瘫痪,从而不能用于合法用户和负载。

  • Oracle 如何检测和抵御 DDoS 攻击?

    我们经验丰富的安全团队会持续监视和分析网络流量,以检测并消除恶意流量。

  • Oracle DDoS 防护服务如何能够抵御 L3 和 L4 攻击?

    Oracle 通过一系列 DDoS 防护技术来保护面向互联网的资源,这些 DDoS 防护技术可过滤掉恶意流量,同时允许有效流量到达 Oracle 云资源。Oracle 使用各种技术来检测和抵御 DDoS 攻击。其中包括分布于全球的 DDoS 清理中心,它们是 Oracle 云基础设施边缘服务网络的一部分。Oracle 还在 Oracle 云基础设施区域中采用了 DDoS 清理技术,并且还会根据需要采用额外的上游清理措施。为了加强防护,Oracle 不会要求客户发布 Oracle 云 IP 地址。

  • Oracle 能够抵御哪些类型的 DDoS 攻击?

    Oracle DDoS 防护服务可帮助客户抵御 UDP 反射、DNS 反射、NTP 反射和 ICMP 洪水等大规模攻击。这些类型的 DDoS 攻击通常称为 L3、L4 或网络 DDoS 攻击,其目的是霸占被攻击主机的带宽。此外,Oracle 还会自动检测和抵御各种协议攻击,例如 SYN 洪水攻击和分段数据包攻击。

  • 如何启用 Oracle DDoS 防护?

    客户订阅 Oracle 云基础设施服务时,Oracle DDoS 防护将自动进行配置并处于不间断运行状态。

  • Oracle DDoS 防护服务的费用是多少?

    Oracle DDoS 防护服务随所有 Oracle 云基础设施服务免费提供,并且适用于所有客户。

  • 是否所有 Oracle 云基础设施区域均提供 Oracle DDoS 防护?

    是。Oracle DDoS 防护服务将在所有 Oracle 云基础设施区域中监视和防范 DDoS 攻击。

  • 在受到 DDoS 攻击时,我会收到通知吗?

    Oracle DDoS 防护服务在遇到攻击时不会自动通知客户。但是,Oracle 会适时与客户进行标准支持服务通信。

    DHCP 选项

  • DHCP 选项是什么?

    动态主机配置协议 (DHCP) 为将配置信息传递给 IP 网络上的主机提供了一个框架。配置参数和其他控制信息将通过 DHCP 消息的 "options" 字段 (RFC 2132) 传递给实例。VCN 中的每一个子网都可以有一个与其相关联的 DHCP 选项集。

  • 我可以配置哪些 DHCP 选项?

    您可以配置两个选项来控制 VCN 中的实例如何解析域名系统 (DNS) 主机名:

    • Search Domain。您可以指定一个搜索域。
    • DNS Type。选择以下选项之一:
      • Internet and VCN Resolver(默认)
      • Custom Resolver(您最多可以指定三个 DNS 服务器,并自行对其进行设置、管理和维护)

    在解析 DNS 查询时,实例的 OS 将使用 DNS Type 指定的 DNS 服务器,并将 Search Domain 指定的搜索域附加到要查询的值中。

    详情参阅 DHCP 选项

  • 在创建子网后,我可以更改子网所使用的 DHCP 选项吗?

    可以,您可以通过编辑子网属性来更改子网所使用的 DHCP 选项集。您还可以更改 DHCP 选项的值。

    DNS

  • 如何为我的实例配置 DNS 主机名?

    在启动实例时,您可以为实例指定主机名和显示名称。该主机名与子网的域名将共同构成您的实例的完全限定域名 (FQDN)。该 FQDN 在 VCN 中是唯一的,并且将解析为实例的专用 IP 地址。有关详情请参阅“虚拟云网络中的 DNS”。

    请注意,要为实例指定主机名,必须将 VCN 和子网配置为启用 DNS 主机名。

  • 如何配置 VCN 和子网以启用主机名?

    在创建 VCN 时,您可以指定其 DNS 标签。该标签与父域 oraclevcn.com 共同构成 VCN 的域名。

    在创建子网时,您可以指定其 DNS 标签。该标签与 VCN 的域名共同构成子网的域名。

    仅当 VCN 和子网在创建时均指定了 DNS 标签情况下,才可以为计算实例启用主机名。

  • 计算实例的 DNS 主机名是什么?

    DNS 主机名是与连接到网络的实例的 IP 地址相对应的名称。对于 Oracle 云基础设施 VCN,每一个实例都可以配置一个与实例的专用 IP 地址相对应的 DNS 主机名。

    实例的完全限定域名 (FQDN) 采用 hostname.subnetdnslabel.vcndnslabel.oraclevcn.com 形式,其中 hostname 是实例的 DNS 主机名,subnetdnslabelvcndnslabel 分别是实例的子网和 VCN 的 DNS 标签。

    父域 oraclevcn.com 预留给 Oracle 云基础设施中创建的 DNS 主机名使用。

  • 我可以重新命名实例的主机名吗?

    可以。

  • 我可以重新命名现有 VCN 或子网的 DNS 标签吗?

    不可以。

  • 如果我的子网配置为对 DNS 使用“Custom Resolver”,那么是否会为此子网中的实例创建 DNS 主机名?

    是。无论为子网选择什么 DNS 类型,都将为实例创建 DNS 主机名。

  • 我的实例是否可以解析其他 VCN 中实例的主机名?

    不可以。实例只能解析同一个 VCN 中的实例的主机名。

  • 我可以配置自定义 DNS 服务器来解析 VCN 内部 DNS 主机名吗?

    可以,您可以在 VCN 中配置自定义 DNS 服务器。您可以配置自定义 DNS 服务器使用 169.254.169.254 作为 VCN 域(如 contoso.oraclevcn.com)的转发器。

    请注意,您必须在使用“Internet and VCN Resolver”作为 DNS 类型的子网中配置自定义 DNS 服务器(以允许访问 169.254.169.254 IP 地址)。

    要查看使用 Oracle Terraform 提供程序的实施示例,请参阅“混合 DNS 配置”。

    计费

  • 使用 VCN 是否需要付费?

    创建和使用 VCN 是免费的。但是,其他 Oracle 云基础设施服务(包括计算量和块存储卷)的使用费和数据传输费将使用已发布的费率。VCN 中的资源之间的任何通信均不收取数据传输费用。

  • 当我的 VCN 通过 IPSec VPN 连接至本地部署数据中心时,需要支付哪些费用?

    您只需要根据已发布的 Oracle 云基础设施传出数据传输费率支付费用。没有按小时或按月计的 VPN 连接费用。

  • 如果我在 VCN 的实例中使用其他资源(例如数据库或对象存储服务),那么应当如何支付费用?

    当您访问同一区域的其他公共 Oracle 云基础设施服务(例如对象存储)时,无需支付数据传输费用。您的实例与 VCN 中的其他资源(例如数据库或负载平衡器)之间通过专用 IP 或公共 IP 传输的所有网络流量均无需支付数据传输费用。

    如果从 VCN 内部通过 IPSec VPN 访问公共 Oracle 云基础设施资源,则应当根据已发布的传出数据传输费率支付费用。

  • 价格是否含税?

    除非另有说明,否则 Oracle 云基础设施的价格(包括传出数据传输费用)均不含适用的税费和关税,包括增值税和任何适用的营业税。