VCN 是 Oracle Cloud Infrastructure 中的一个可定制的专用网络。就像传统的数据中心网络一样,VCN 让您能够全面控制您的网络环境,包括分配您自己的专用 IP 地址空间、创建子网和路由表以及配置状态防火墙。此外,单一租户(Oracle Cloud Infrastructure 账户)可以设置多个 VCN,从而对相关资源进行分组和隔离。例如,您可以使用多个 VCN 来隔离公司不同部门中的资源。
有关其组成要素的完整列表,请参阅网络概述。
有关如何在 Oracle Cloud Infrastructure 的 VCN 中启动实例的简要教程,请参阅快速入门指南
另请参阅以下主题:
在创建 VCN 时,您将选择分配一个连续的 IPv4 CIDR 块。允许的 VCN 大小范围为 /16(65533 个 IP 地址)到 /30(1 个 IP 地址)。例如:10.0.0.0/16、192.168.0.0/24。
我们建议使用 RFC1918 指定的专用地址范围中的 CIDR 块。请注意,如果您使用非 RFC1918 CIDR 块,那么它仍被视为专有 IP 地址范围,而且无法通过 Oracle 的互联网网关经由互联网路由。
您可以将 VCN 的地址范围细分为多个连续的 IPv4 CIDR 块来创建子网。子网的 CIDR 块必须位于 VCN 的 CIDR 块内。当您在子网中启动实例时,为实例分配的专用 IP 地址将来自子网的 CIDR 块。
可以。创建子网时,您可以指定访问类型:专用或公共。系统默认会创建一个公共接入类型的子网,在这种情况下,可以为子网中的实例分配一个公共 IP 地址。在专用接入类型的子网中启动的实例不得拥有公共 IP 地址,这将确保这些实例不能直接接入互联网。
可以。
子网可以跨越多个可用性域,但不能跨越多个 VCN。如果创建区域子网,则子网的资源可以位于该区域中的任何可用性域 (AD) 中。然而,如果创建特定于 AD 的子网,则该子网的资源必须位于该子网的特定可用性域中。
可以。但是,如果您计划将 VCN 连接至本地部署网络或其他 VCN,我们建议您确保 IP 地址范围未发生重叠。
要了解所有服务的当前限额以及如何请求提高服务限额,请参阅服务限额帮助文档。
可以。您可以修改子网的名称,并更改与其相关联的路由表、安全列表和 DHCP 选项集。但是,您不能更改子网的 CIDR 块。
目前在商业领域中提供了新功能,未来也将在其他领域提供。
所有商业 Oracle Cloud Infrastructure (OCI) 区域都提供新功能。
可以。但是,您应使用文档中指定的更新流程更新 DRG。
DRG 连接(包括 VCN)之间的通信受路由表及其关联的导入策略控制。默认 VCN 连接路由表支持连接的所有 VCN 相互通信。您可以更改关联的导入策略,实现 VCN 隔离,如此处所示。
可以。但是,需要配置特定的 IAM 策略。
DRG 支持连接网络之间的动态和静态路由。DRG 有两个默认路由表。一个用于 FastConnect、IPsec VPN 和 RPC 对等连接,一个用于 VCN 连接。您可以创建更多路由表,更精确地控制连接之间的通信流。路由会根据数据包的目标 IP 地址决定下一个跃点连接。
静态路由优先于动态路由。不能为同一个 CIDR(无类域间路由)创建多个静态路由。对于动态路由,按下列方法解决冲突:
通过修改相关导入和导出策略,您可以按路由表指定路由导入和导出方式。路由传播方式如下:
您可以将两个具有重叠 CIDR 的 OCI VCN 连接到同一个 DRG。DRG 的路由表将做出决定性的一致转发决定,确定哪个 VCN 连接是冲突子网 CIDR 的下一个跃点。用户不能控制该首选项命令。鉴于这一行为控制的复杂性,Oracle 不建议您使用重叠 CIDR。
可以,DRG 现在支持您在一个区域中使用 FastConnect 与另一个区域中 VCN 的资源通信。
请参阅文档,了解 DRG 的限制和配额详情。
如需超出 DRG 限制,请创建一个支持案例。
支持,DRG 支持您使用 IPv6 CIDR 连接 VCN。
DRG 的默认行为并未发生变化,您需要启用这些新功能。
DRG 有两个默认路由表。一个用于 FastConnect、IPsec VPN 和 RPC 对等连接,一个用于 VCN 连接。这两个默认路由表将实现现有的 DRG 行为。
每个 VCN 最多可以有 10 个本地对等连接网关和一个 DRG。单个 DRG 最多支持 300 个 VCN 连接。如果您需要对等连接大量 VCN,我们建议使用 DRG。此外,如果您希望在同一区域中的两个 VCN 间实现超高带宽和超低延迟,请参阅基于本地对等连接网关的本地 VCN 对等连接中介绍的方案。通过 DRG 对等连接同一区域中的两个 VCN 可提高路由的灵活性,但会导致延迟较高并且可能会降低带宽。
目前最多支持 8 个路径
请点击此处,参阅“升级 DRG”部分。
Oracle Cloud Infrastructure 数据中心中的服务器具有物理网络接口卡 (NIC)。在这些服务器上启动实例时,该实例将使用网络服务与物理 NIC 相关联的虚拟 NIC (VNIC) 来进行通信。VNIC 可支持将计算实例连接至 VCN,并确定该实例如何与 VCN 内部和外部的端点进行通信。
每个 VNIC 均位于一个子网中,并具有以下配置:
详情参阅虚拟网络接口卡 (VNIC)。
VCN 中的每一个实例在创建时均具有一个 VNIC,该 VNIC 中包含在实例创建时提供的子网中的一个专用 IP 地址(由您或 Oracle 指定),以及一个对应的公共 IP 地址。此 VNIC 称为主用 VNIC,其专用 IP 地址称为主用专用 IP 地址。
主用 VNIC 不能与实例相分离,它会在实例终止后自动删除。
VCN 中的每一个实例至少有一个 VNIC,这是其主用 VNIC。您可以在实例上附加更多 VNIC,称作辅助 VNIC。辅助 VNIC 可以属于不同的 VCN 或子网。
一个实例可以关联至多少个 VNIC 的限制因规格而异。要了解这些限制,请参阅计算配置支持文档。
可以。可以通过 http://169.254.169.254/opc/v1/vnics/ 查询实例元数据服务。
可以。对于主用 VNIC,可以在实例启动时指定专用 IP 地址。对于辅助 VNIC,可以在将 VNIC 关联至实例时指定专用 IP 地址。指定的专用 IP 地址应当属于 VNIC 所属的同一子网,并且不应当在使用中。
不可以。目前,VNIC 始终与其实例绑定在一起,而不独立存在。主用 VNIC 随实例一同创建和删除。所有辅助 VNIC 将在与实例关联时创建,并且将在与实例分离时删除。
可以。然而,将同一子网 CIDR 块中的多个 VNIC 关联至一个实例可能会引入非对称路由,尤其是在使用 Linux 变体的实例上。如果您需要此类配置,Oracle 建议将多个专有 IP 地址分配给一个 VNIC,或者使用基于策略的路由。具体示例,请参见 Linux:为辅助 VNIC 配置 OS 中的脚本。
不可以。所有 VNIC 都必须属于与实例相同的 AD 中的子网。当使用区域子网时,必须在与实例相同的 AD 中创建 VNIC。
可以。辅助 VNIC 所属子网所在的 VCN 可以与主用 VNIC 的 VCN 不同。
VCN 中的每一个计算实例在创建时都会配有一个虚拟网络接口卡 (VNIC),并且会分配一个专用 IP 地址,该专用 IP 地址来自实例启动时提供的子网。这分别是主用 VNIC 及其主用专用 IP 地址。您还可以将其他 VNIC 关联至同一个实例,称作辅助 VNIC,每个辅助 VNIC 也有一个主用专用 IP 地址。
您可以让 Oracle 来选择专用 IP 地址,也可以从子网的可用池中进行选择。如果您指定的地址已经在使用中,则启动请求将会失败。
此外,您还可以为 VNIC 指定辅助专用 IP 地址。与主要专有 IP 地址类似,辅助专有 IP 地址可连接至 VCN 和/或本地部署环境(如果通过 VPN 或 Oracle Cloud Infrastructure 进行连接)中的目标。
可以。您可以将一个实例上的 VNIC 中的辅助专用 IP 地址转移给另一个实例上的 VNIC,前提是两个 VNIC 均属于同一子网且授权允许此操作。当使用区域子网时,辅助专用 IP 也可以转移给不同 AD 中的 VNIC。
目前,您最多可以为一个 VNIC 指定 31 个辅助专用 IP 地址。
不可以。OS 无法使用 DHCP 之类的机制来发现辅助专用 IP 地址。您需要使用 OS 特有的方式来配置辅助专用 IP 地址。详情参阅虚拟网络接口卡 (VNIC) 中提供的脚本。
公共 IP 地址是可通过互联网访问的 IPv4 地址(可通过互联网路由的 IP 地址)。VCN 中的实例通过公共 IP 地址与互联网上的主机通信。专用 IP 地址则不可通过互联网路由。VCN 内部实例相互之间使用专用 IP 地址进行通信。
您可以为计算实例的专用 IP 地址分配一个公共 IP 地址,或者为负载均衡器实例分配一个公共 IP 地址,让它们能够与互联网通信。为使公共 IP 地址可通过互联网进行访问,其所在的 VCN 必须配有一个互联网网关,并且必须为公共子网配置相应的路由表和安全列表。
公共 IP 地址可分为两种类型:
有关更多详细信息以及这两种类型的对比列表,请参阅公共 IP 地址帮助文档。
对于无法使用 DNS FQDN 的客户端,公共 IP 地址可用于标识您的服务的身份。您可以通过预留公共 IP 地址保持此身份标识,而不受任何底层资源变动的影响。下面列出了一些可受益于预留公共 IP 地址的具体场景:
您只能为任何(主用或辅助)专用 IP 地址分配一个预留公共 IP 地址。但是您可以为与实例相关联的每一个 VNIC 分配多个专用 IP 地址。随后,您可以为每一个专用 IP 地址分配一个预留公共 IP 地址。
在您的租户中可创建的预留公共 IP 地址的最大数量是有限制的。请参阅服务限额帮助文档。
您只能为 VNIC 的任何主用专用 IP 地址分配一个临时公共 IP 地址。但是,您可以创建多个 VNIC 并将它们关联至您的实例。随后,您可以为每一个 VNIC 的每一个主要 IP 地址分配一个临时专有 IP 地址。
可为一个实例分配的临时公共 IP 地址的最大数量是有限制的。请参阅服务限额帮助文档。
可以,但前提是该地址分配给 VNIC 上的辅助专用 IP。如果将辅助专用 IP 移至其他 VNIC(必须位于同一子网中),则临时公共 IP 也将随之一同转移。
可以,您可以将其从一个可用性域或 VCN 转移至另一个可用性域或 VCN。两个 VCN 必须位于同一区域中。
可以通过两种方式来转移预留公共 IP:
请注意,重新启动实例不会影响相应的临时公共 IP 地址。
您只会看您的计算实例的专用 IP 地址。如果为实例分配了公共 IP 地址,则当实例尝试(通过互联网网关)与互联网上的目标进行通信时,网络服务将在专有 IP 地址与公共 IP 地址之间提供一对一 NAT(静态 NAT)。
在实例操作系统级别,您只能看到与实例相关联的 VNIC 的专用 IP 地址。当接收到发送至公共 IP 地址的流量时,网络服务将执行从公共 IP 地址到相应专有 IP 地址的网络地址转换 (NAT)。该流量将显示在实例内部,且目标 IP 地址将设置为专用 IP 地址。
不可以。网络服务将分配 MAC 地址。
可以。支持 IPv6。详情参阅 IPv6 地址。
不支持,目前还不行。
不支持,目前还不行。
借助自有 IP (BYOIP),您可以将支持公开路由的 IPv4 CIDR 块导入到 Oracle Cloud Infrastructure,以便于供您的资源使用。
IP 地址是由组织严格管理和控制的资产。一些应用需要强大的 IP 信誉才能发送邮件,另一些应用已经在全球部署中建立了可访问性策略,还有一些应用为其 IP 地址建立了架构规范。通过将 IP 前缀从本地部署基础设施迁移至 OCI,您可以尽可能减少对客户和应用的影响,同时充分发挥 Oracle Cloud Infrastructure 的全部优势。OCI 中的 BYOIP 可以同时在本地部署环境中撤回 IP 地址前缀并在 OCI 中进行通告,从而尽可能减少迁移期间的停机时间。
要移动 IP 前缀以便于在 OCI 中使用,请在“网络”>“IP 管理”下的门户中,或者通过 API 来启动相关步骤。这包括一些简单的步骤。
1 - 发起在 OCI 中使用自有 IP CIDR 的请求(IP CIDR 应当为组织所拥有,并且应当是 /24 或更大的值)。
2 - 向区域互联网注册表 (RIR) 服务(ARIN、RIPE 或 APNIC)注册请求中生成的验证令牌。请按照文档中的步骤进行操作。
3 - 注册令牌后将返回控制台,点击“验证 CIDR 模块”,以便 Oracle 完成验证过程。Oracle 将验证您的 CIDR 块已正确注册传输,并且供应了 BYOIP。此步骤最多可能需要 10 个工作日。此过程完成后将向您发送电子邮件通知。您还可以在工作请求中检查此步骤的进度。
如何使用 Oracle 发放的验证令牌?在导入 BYOIP CIDR 块的过程中,Oracle 会发放一个验证令牌。获得令牌后,您需要对其稍加修改,在其中添加以下信息。您可以使用任何文本编辑器。
OCITOKEN:: <CIDRblock> : <validation_token>
将验证令牌提交至您的 RIR(区域互联网注册表)。
ARIN:在地址范围的“公共注释”部分添加修改后的令牌字符串。不要将其添加到您组织的注释部分。
RIPE:在地址范围的新"descr"字段中,添加修改后的令牌字符串。不要将其添加到您组织的注释部分。
APNIC:通过电子邮件将修改后的令牌字符串发送至 helpdesk@apnic.net,从而将其添加到您地址范围的“注释”字段中。请使用 IP 地址的 APNIC 授权联系人来发送电子邮件。
验证 IP CIDR 之后,您可以完全控制 IP CIDR。将前缀细分为较小的 IP 池来加以管理,并创建预留 IP 地址以供您的资源使用。
您可以将 BYOIP 地址分配给计算、NAT 网关和 LBaaS 实例。您可以通过 IP 池来管理 IP 空间并创建预留的 IP 地址。
当 IP 前缀在 OCI 中启用后,您就可以控制其发布和撤消。
BYOIP 验证和供应最多需要 10 个工作日。此过程完成后将向您发送电子邮件通知。
不可以。BYOIP 前缀会分配给特定 OCI 区域,并且只会在其启用的区域中发布。
BYOIP 的最小前缀是 /24,最大前缀是 /8。您并不需要将所有自有 IP 空间都引入到 OCI 中。如果您拥有较大的 IP 块,则可以选择将哪些前缀引入到 OCI 中。
启用前缀后,您可以控制 OCI 租户中的地址分配和策略。您可以将前缀保留在一个 IP 池中,也可以将前缀分发至 /28,以便于与 OCI 资源一同使用。
可以。您可以可以使用 BYOIP 前缀来创建预留 IP 地址。请访问下列链接,参阅“IP 地址”下面的更多信息:https://www.oracle.com/cloud/networking/virtual-cloud-network-faq.html
BYOIP 特性仅支持 IPv4 前缀。
可以。除了您自己的 IP 地址之外,您仍然可以使用 Oracle 拥有的临时和预留 IP 地址。标准限制适用于 Oracle 地址。
实例可以连接至:
互联网网关是一种软件定义的高可用性容错路由器,旨在为 VCN 内部的资源提供公共互联网连接。利用互联网网关,分配有公共 IP 地址的计算实例可以与互联网上的主机和服务进行通信。
作为互联网网关的替代,您可以将 VCN 连接至本地部署数据中心,再通过现有的网络出口点将流量路由至互联网。
NAT 网关是一种可靠的高可用性路由器,旨在为 VCN 内部的资源提供单向出站互联网连接。借助 NAT 网关,专用实例(仅具有一个专用 IP 地址)可以向互联网上主机和服务发起连接,但不能接收从互联网发起的入站连接。
不可以。默认限制是每个 VCN 只能有一个 NAT 网关。我们预计这已经足以满足绝大多数应用的需求。
如果希望在特定 VCN 中分配多个 NAT 网关,您可以请求增加该限额。要了解如何请求提高限额,请参阅服务限额。
使用 NAT 网关时实例可获得的吞吐量与通过互联网网关路由流量时可获得的吞吐量相同。此外,通过 NAT 网关的单一通信流限制为 1Gbps(针对小型实例的流量限制更低)。
可以。单一目标 IP 地址和端口的并发连接数量限制为 20000。此限制是指使用 NAT 网关的 VCN 上的实例发起的所有连接的总和。
动态路由网关是一种软件定义的高可用性容错路由器,可添加到 VCN 中。它为 VCN 与 VCN 区域外部的其他网络之间的流量提供了一个专有路径,例如您的本地部署数据中心或其他区域中的对等 VCN。要连接您的 VCN 与本地部署数据中心,您可以设置通过 IPSec VPN 或 FastConnect 连接至 VCN 的 DRG。本地部署主机和实例可以通过该连接安全通信。
如果您设置了 IPSec VPN,则需要使用此对象。它是您本地 VPN 端的实际路由器的虚拟表示。在设置 IPSec VPN 的过程中创建此对象时,请指定本地部署路由器的公共 IP 地址。
不需要。您只需要配置一个 DRG,将其关联至您的 VCN,配置 CPE 对象和 IPSec 连接,并配置路由表。
请参阅经过测试的设备配置列表。
可以。前提是您根据“通用 CPE 配置信息”对其进行了配置。为了尽可能提高与不同 VPN 设备的互操作性,我们支持多种配置选项。
Oracle 提供两个 VPN 隧道作为 IPSec 连接的一部分。请确保在您的 CPE 上配置两个隧道以实现冗余。
此外,您还可以在本地部署数据中心中部署两个 CPE 路由器,并分别针对两个隧道进行配置。
IPSec VPN 是一个开放标准,软件 IPSec VPN 可以与 Oracle Cloud Infrastructure 互操作。您需要在每个配置组中,根据通用 CPE 配置信息验证您的软件 IPSec VPN 是否至少支持一个受支持的 Oracle IPSec 参数。
可以。同一区域中两个 OCI 公共 IP 地址之间的流量将保持在 OCI 区域内。不同区域的 OCI 公共 IP 地址之间的流量将通过专有 OCI 主干传输。无论哪种情况,流量都不会经过互联网。要查看 OCI 公共 IP 地址的完整列表,请访问:https://docs.cloud.oracle.com/en-us/iaas/tools/public_ip_ranges.json。
Oracle 服务网络是 Oracle Cloud Infrastructure 中为 Oracle 服务预留的一个概念网络。该网络包含一系列区域 CIDR 块。Oracle 服务网络中的每一个服务都将公开一个服务端点,该服务端点使用该网络中的公共 IP 地址。目前,该网络中提供大量可用的 Oracle 服务(请参阅完整列表),并且随着更多的服务部署到 Oracle Cloud Infrastructure 上,未来会提供更多的服务。
借助服务网关,您的 VCN 中的资源可以通过专有连接安全地访问 Oracle 服务网络中的 Oracle 服务,例如 Oracle Cloud Infrastructure Object Storage、ADW 和 ATP。VCN 中的实例与受支持的 Oracle 服务之间的流量将使用该实例的专用 IP 地址进行路由,通过 Oracle Cloud Infrastructure 结构进行传输,并且永远不会经过互联网。与互联网网关或 NAT 网关类似,服务网关是一种高可用的虚拟设备,可动态扩展以支持您的 VCN 的网络带宽。
目前,您可以配置通过服务网关访问 Oracle 服务网络中的 Oracle 服务。目前,该网络中提供大量可用的 Oracle 服务(请参阅完整列表),并且随着更多的服务部署到 Oracle Cloud Infrastructure 上,未来会提供更多的服务。
有关说明,请参阅访问对象存储:服务网关。请注意,您可以通过服务网关来访问区域内的 Oracle 服务,从而避开互联网,保护您的数据。您的应用可能需要访问服务网关不支持的公共端点或服务,例如更新或补丁。如果需要,请确保您拥有 NAT 网关或其他互联网接入方式。
服务网关使用服务 CIDR 标签的概念。服务 CIDR 标签是一个字符串,用于表示一个服务或一组服务的所有区域公共 IP 地址范围(例如,Oracle 服务网络中的 OCI IAD 服务就是一个标签,它映射至 us-ashburn-1 的 Oracle 服务网络中的区域 CIDR 块)。在配置服务网关和路由/安全规则时,您需要使用服务 CIDR 标签。有关说明,请参阅访问 Oracle 服务:服务网关。
不可以。服务网关是区域性的,只能访问在同一区域中运行的服务。
可以。如果您使用服务网关,则可以定义一个 IAM 策略,通过该策略规定只有当请求来自特定的 VCN 或 CIDR 范围时,才允许访问该存储桶。该 IAM 策略仅对通过服务网关路由的流量生效。如果实施了该 IAM 策略,而流量通过互联网网关路由,则访问将被阻止。此外,请注意 IAM 策略会阻止您通过控制台访问存储桶。仅允许以编程方式从 VCN 中的资源进行访问。
要查看 IAM 策略示例,请参阅访问对象存储:服务网关。
不可以。目前,一个 VCN 中只能有一个服务网关。
不可以。当一个 VCN 与另一个具有服务网关的 VCN 建立了对等互联时,前者并不能使用后者的服务网关访问 Oracle 服务。
不可以。但是您可以使用 FastConnect 公共对等互联来实现此目标(无需经过互联网)。
没有。使用服务网关时实例可获得的吞吐量与通过互联网网关路由流量时可获得的吞吐量相同。
所有 Oracle Cloud Infrastructure 客户都可以免费使用服务网关。
安全列表为实例提供虚拟防火墙,它通过传入和传出规则指定允许进出实例的流量类型。您可以使用安全列表来保护自己的计算实例。您可以在子网级配置安全列表,这意味着子网中的所有实例均受同一组安全列表规则的约束。规则将在实例级执行,并在数据包级控制流量。
实例上的特定 VNIC 将受到与 VNIC 子网相关联的安全列表的约束。在创建子网时,您可以指定一个或多个安全列表与该子网相关联,其中可以包含 VCN 的默认安全列表。如果在子网创建过程中未指定至少一个安全列表,则 VCN 的默认安全列表将与该子网相关联。安全列表在子网级相关联,但规则将在数据包级作用于 VNIC 流量。
可以。您可以编辑子网属性以添加或删除安全列表。您还可以编辑安全列表中的各项规则。
用户可以创建的安全列表数量、与子网相关联的列表数量以及添加到特定列表的规则数量是有限制的。要了解当前服务限额以及如何请求提高限额,请参阅服务限额帮助文档。
不可以。安全列表只使用 "allow" 规则。默认情况下所有流量都会被拒绝,只有与规则中指定的属性相匹配的网络流量会被允许。
规则分为有状态规则和无状态规则,它们要么是传入规则,要么是传出规则。
对于有状态规则,一旦允许了某个与该规则相匹配的网络数据包,就会使用连接跟踪,自动允许属于该连接的所有后续网络数据包。因此,如果创建了一个有状态传入规则,则不但会允许与该规则匹配的传入流量,也会允许相应的传出(响应)流量。
对于无状态规则,仅允许与该规则相匹配的网络数据包。因此,如果创建了一个无状态传入规则,则仅允许传入流量。您需要创建一个相应的无状态传出规则以匹配相应的传出(响应)流量。
有关详细信息,请参阅安全列表支持文档。
网络安全组和安全列表是实现安全规则的两种不同方式。前者的安全规则将控制可允许哪些流量传入和传出 VNIC。
您可以通过安全列表定义一系列适用于特定子网中所有 VNIC 的安全规则。借助网络安全组 (NSG),您可以为所选的一组 VNIC 定义安全规则集。例如:一组具有相同安全状态的计算实例。
如需了解更多信息,请参见:
没有。默认情况下,所有流量都将被拒绝。安全规则只能允许流量。适用于特定 VNIC 的规则集合是以下各项的并集:
计算、负载均衡和数据库服务。具体来说,在创建计算实例、负载均衡器或数据库系统时,您可以指定一个或多个网络安全组来控制这些资源的流量。
在 NSG 推出之后,安全列表行为没有任何变化。您的 VCN 仍然有默认安全列表,您可以在 VCN 的子网中选用它。
在为 NSG 编写规则时,可以选择将某个 NSG 指定为流量的源(对于传入规则)或流量的目标(对于传出规则)。通过指定 NSG,您可以轻松编写规则来控制两个不同 NSG 之间的流量。两个 NSG 必须位于同一个 VCN 中。
不可以。在编写将其他 NSG 指定为源或目标的 NSG 安全规则时,两个 NSG 必须位于同一个 VCN 中。即使另一个 NSG 位于与安全列表不同的对等 VCN 中,也是如此。
安全列表用于为整个子网中所有 VNIC 定义适用的安全规则集,而网络安全组 (NSG) 则用于为您从 VCN 中选择的一组 VNIC(包括负载均衡器或数据库系统的 VNIC)定义适用的安全规则集。
VCN 路由表包含以 VCN 外部位置作为目标的流量的路由规则。
路由表中的每一条规则都有一个目标 CIDR 块和一个路由目标。当子网的传出流量与路由规则的目标 CIDR 块相匹配时,则会将流量路由到路由目标。常见的路由目标包括:互联网网关或动态路由网关。
详情参阅路由表。
实例上的特定 VNIC 将受到与 VNIC 子网相关联的路由表的约束。在创建子网时,您可以指定一个路由表与该子网相关联,该路由表可以是 VCN 的默认路由表,也可以是您创建的其他路由表。如果在子网创建过程中未指定路由表,则 VCN 的默认路由表将与该子网相关联。路由表在子网级相关联,但规则将在数据包级作用于 VNIC 流量。
不可以。目前,您只能为未与 VCN 的地址空间相重叠的 CIDR 块添加路由规则。
可以。您可以通过编辑子网属性来更改路由表。您还可以编辑路由表中的各条规则。
不支持,目前还不行。
路由表中的规则数量是有限制的。请参阅服务限额帮助文档。
可以。如果要将子网的流量路由到同一 VCN 中的另一个实例,则可以使用专用 IP 作为路由规则的目标。要了解具体需求和其他详细信息,请参阅使用专有 IP 作为路由目标。
VCN 对等互联是指连接两个 VCN 以启用两者之间的专用连接和通信流。对等互联有两种基本类型:
如需了解更多信息,请参阅接入其他 VCN:对等互连。
有关说明请参阅本地 VCN 对等互联。
不可以。本地对等互联关系中的两个 VCN 不能具有重叠的 CIDR。
可以。如果 VCN-1 与另外两个 VCN(例如 VCN-2 和 VCN-3)建立对等互联,这两个 VCN(VCN-2 和 VCN-3)可以具有重叠的 CIDR。
可以。
一个 VCN 同时可以建立最多 10 个本地对等互联。
不需要。您可以使用动态路由网关 (DRG) 来建立远程对等互联。
有关说明请参阅远程 VCN 对等互联。
不可以。远程对等互联关系中的两个 VCN 不能具有重叠的 CIDR。
不可以。如果 VCN-1 与另外两个 VCN(VCN-2 和 VCN-3)建立了远程对等互联,那么这两个 VCN(VCN-2 和 VCN-3)不能具有重叠的 CIDR。
不能。
可以。您的远程 VCN 对等互联流量将使用行业标准链路加密算法进行加密。
一个 VCN 同时可以建立最多 10 个远程对等互联。
可以。您可以使用 VCN-A 的路由表和安全列表来控制与对等 VCN-B 的连接。您可以允许连接至 VCN-B 的整个地址范围,也可以将其限制为一个或多个子网。
可以。在建立本地或远程对等互联之后,VCN-B 中的实例可以将流量发送至 VCN-A 的整个地址范围。但是,您可以使用子网安全列表中的适当传入规则来限制 VCN-B 中的实例只能访问 VCN-A 中的特定子网。
不会。吞吐量和延迟性能与 VCN 内部连接相差无几。在可用性和带宽限制方面,本地对等互联连接与 VCN 中的实例之间的连接几乎无异。
远程 VCN 对等互联使用性能卓越且高可用的 Oracle Cloud Infrastructure 区域间主干网络,可在区域间连接中实现 99.5% 的可用性 SLA。作为指导准则,Oracle 在美国各个区域之间提供超过 75Mbps 的吞吐量以及低于 60 毫秒的延迟;欧盟与美国之间的延迟低于 80 毫秒;美国与亚太地区之间的延迟低于 175 毫秒;欧盟与亚太地区之间的延迟低于 275 毫秒。
VCN 传输路由 (VTR) 解决方案基于中心辐射型拓扑,可通过中心 VCN 在多个分支 VCN(区域内)和本地部署网络之间提供传输连接。本地部署网络只需利用单一 FastConnect 或 IPSec VPN(连接至中心 VCN)即可与所有分支 VCN 通信。
有关说明请参阅在控制台中设置 VCN 传输路由。
目前,分支 VCN 可以通过中心 VCN 来访问您的本地部署网络。
不可以。VCN 传输路由解决方案仅支持同一区域内的 VCN 之间的整合连接。
可以。您可以通过与中心 VCN 上的 LPG 相关联的路由表来进行这种控制。您可以配置限制性路由规则,指定分支 VCN 只能访问哪些本地部署子网。只有该路由表和中心 VCN 的 CIDR 中的路由才会发布给分支 VCN。
可以。您可以通过与中心 VCN 上的 DRG 相关联的路由表来进行这种控制。您可以配置限制性路由规则,指定本地部署网络只能访问哪些分支 VCN。只有该路由表和中心 VCN 的 CIDR 中的路由才会发布给本地部署网络。
可以。中心 VCN 最多只能与分支 VCN 建立 10 个本地对等互联。
可以。您可以将服务网关添加至通过 FastConnect 或站点到站点 VPN 连接至您本地部署网络的 VCN。然后,您可以在 VCN 的 DRG 和服务网关的相关路由表上配置路由规则,以便通过该 VCN 将您的本地流量定向至所需的 Oracle 服务。与 Oracle 服务进行通信时,本地部署主机可以使用其专用 IP,并且流量不会通过互联网传输。
如需了解更多信息,请参阅传输路由:对 Oracle 服务的专用访问。
可以。您可以通过中心 VCN 中的专有 IP 设置传输路由。通过这种方式,您可以将流量路由至中心 VCN 中的防火墙实例上的专用 IP。防火墙实例可以检查您的本地部署网络与分支 VCN 之间的所有流量。
如果通过中心 VCN 中的防火墙实例(或任何其他网络虚拟设备)进行路由,则性能限制将取决于网络虚拟设备的 I/O 特性。如果未通过网络虚拟设备路由通信,而是直接通过中心 VCN 的网关来进行路由,则没有性能限制。网关是高度可用的虚拟设备,可通过动态扩展来支持网络的带宽需求。
动态主机配置协议 (DHCP) 为将配置信息传递给 IP 网络上的主机提供了一个框架。DHCP 消息选项字段 ( RFC 2132) 的实例将携带配置参数和其他控制信息。VCN 中的每一个子网都可以有一个与其相关联的 DHCP 选项集。
您可以配置两个选项来控制 VCN 中的实例如何解析域名系统 (DNS) 主机名:
在解析 DNS 查询时,实例的 OS 将使用指定了 DNS 类型的 DNS 服务器,并将搜索域附加到要查询的值中。详情参阅 DHCP 选项。
可以。您可以通过编辑子网属性来更改子网络所使用的 DHCP 选项集。您还可以更改 DHCP 选项的值。
在启动实例时,您可以为实例指定主机名和显示名称。该主机名与子网的域名将共同构成您的实例的完全限定域名 (FQDN)。该 FQDN 在 VCN 中是唯一的,并且将解析为实例的专用 IP 地址。有关更多详细信息,请参阅虚拟云网络中的 DNS。
请注意,要为实例指定主机名,必须将 VCN 和子网配置为启用 DNS 主机名。
在创建 VCN 时,您可以指定其 DNS 标签。该标签与父域 oraclevcn.com 共同构成 VCN 的域名。
在创建子网时,您可以指定其 DNS 标签。该标签与 VCN 的域名共同构成子网的域名。
仅当 VCN 和子网在创建时均指定了 DNS 标签情况下,才可以为计算实例启用主机名。
DNS 主机名是与连接到网络的实例的 IP 地址相对应的名称。对于 Oracle Cloud Infrastructure VCN,可以为每一个实例配置与实例的专有地址相对应的 DNS 主机名。
实例的完全限定域名 (FQDN) 采用 hostname.subnetdnslabel.vcndnslabel.oraclevcn.com 形式,其中 hostname 是实例的 DNS 主机名,subnetdnslabel 和 vcndnslabel 分别是实例的子网和 VCN 的 DNS 标签。
父域 oraclevcn.com 预留给 Oracle Cloud Infrastructure 中创建的 DNS 主机名使用。
可以。
不能。
可以。无论为子网选择什么 DNS 类型,都将为实例创建 DNS 主机名。
不可以。实例只能解析同一个 VCN 中的实例的主机名。
可以,您可以在 VCN 中配置自定义 DNS 服务器。您可以配置自定义 DNS 服务器使用 169.254.169.254 作为 VCN 域(如 contoso.oraclevcn.com)的转发器。
请注意,您需要在使用“互联网和 VCN 解析器”作为 DNS 类型的子网中配置自定义 DNS 服务器(以允许访问 169.254.169.254 IP 地址)。
要查看使用 Oracle Terraform 提供程序的实施示例,请参阅“混合 DNS 配置”。
创建和使用 VCN 是免费的。然而,其他 Oracle Cloud Infrastructure 服务的用量费用(包括计算和块存储卷)和数据传输费用将按已发布的费率计费。VCN 中的资源之间的任何通信均不收取数据传输费用。
您只需要根据已发布的 Oracle Cloud Infrastructure 传出数据传输费率支付费用。没有按小时或按月计的 VPN 连接费用。
访问同一区域内的其他公共 Oracle Cloud Infrastructure 服务(例如对象存储)不会产生数据传输费用。您的实例与 VCN 内部其他资源(例如数据库或负载均衡器)之间通过专有 IP 或公共 IP 传输的所有网络流量均无需支付数据传输费用。
如果从 VCN 内部通过 IPSec VPN 访问公共 Oracle Cloud Infrastructure 资源,则应当根据已发布的传出数据传输费率支付费用。
除非另有说明,否则 Oracle Cloud Infrastructure 的价格(包括传出数据传输费用)均不含适用的税费和关税,包括增值税和任何适用的营业税。
注:为免疑义,本网页所用以下术语专指以下含义: