1. Oracle Deutschland
  2. Cloud
  3. Cloud-Netzwerke
  4. Virtuelle Cloud-Netzwerke

Virtual Cloud Network – FAQ

 

Häufig gestellte Fragen – Themen

Allgemeine Fragen

Was ist ein Virtual Cloud Network (VCN)?

Ein VCN ist ein anpassbares privates Netzwerk in Oracle Cloud Infrastructure. Genau wie bei einem herkömmlichen Rechenzentrums-Netzwerk bietet Ihnen ein VCN die vollständige Kontrolle über Ihre Netzwerkumgebung. Dies umfasst das Zuweisen Ihres eigenen privaten IP-Adressraums, das Erstellen von Subnetzen sowie Routingtabellen und das Konfigurieren von Stateful Firewalls. Ein einzelner Mandant (ein Oracle Cloud Infrastructure-Konto) kann über mehrere VCNs verfügen, wodurch die Gruppierung und Isolation verwandter Ressourcen ermöglicht wird. Beispielsweise können Sie mehrere VCNs verwenden, um die Ressourcen in verschiedenen Abteilungen Ihres Unternehmens zu verteilen.

Was sind die Kernkomponenten eines VCN?

Eine vollständige Liste der Komponenten finden Sie unter Überblick über Netzwerke.

Wie sehen die ersten Schritte mit VCN aus?

Eine kurze Anleitung zum Starten einer Instanz in einem VCN in Oracle Cloud Infrastructure finden Sie unter Erste Schritte.

Siehe auch diese Themen:

Welche IP-Adressen kann ich in meinem VCN verwenden?

Beim Erstellen Ihres VCN wählen Sie einen durchgehenden IPv4-CIDR-Block (Classless Inter-Domain Routing) Ihrer Wahl. Für ein VCN sind IPv4-CIDR-Größen von /16 (65.533 IP-Adressen) bis /30 (1 IP-Adresse) möglich. Beispiel: 10.0.0.0/16, 192.168.0.0/24

Wir empfehlen die Verwendung eines CIDR-Blocks aus den privaten Adressbereichen, die in RFC1918 angegeben sind. Wenn Sie einen nicht in RFC1918 angegebenen CIDR-Block verwenden, beachten Sie, dass dieser weiterhin als privater IP-Adressbereich behandelt wird und nicht über das Internet-Gateway von Oracle aus dem Internet weitergeleitet werden kann. Optional können Sie auch IPv6 ULA- oder GUA-Präfixe zuweisen. Ein VCN unterstützt bis zu 16 IPv4-CIDRs und bis zu 16 IPv6-Präfixe.

Um die IP-Adressen zu nutzen, legen Sie Subnetze an, indem Sie den CIDR-Block Ihres VCN in kleinere Bereiche unterteilen. Der CIDR-Block eines Subnetzes muss in den CIDR-Block des VCN fallen. Wenn Sie eine Instanz in einem Subnetz starten, wird die private IP-Adresse der Instanz aus dem CIDR-Block des Subnetzes zugewiesen.

Wie viele IP-Netzwerke kann ich einem Subnetz in einem VCN zuweisen?

Ein Subnetz kann bis zu 16 IPv4-CIDR-Blöcke und 16 IPv6-Präfixe erhalten. Jeder einem Subnetz zugewiesene IPv4-CIDR-Block und jedes IPv6-Präfix muss vollständig innerhalb eines der IPv4-CIDR-Blöcke bzw. IPv6-Präfixe des VCN liegen. Für IPv6 kann einem Subnetz pro übergeordnetem VCN-IPv6-Präfix nur ein ::/64-Präfix zugewiesen werden.

Kann ich ein Subnetz als privat markieren?

Ja. Wenn Sie ein Subnetz erstellen, können Sie den Zugriffstyp festlegen: entweder Privat oder Öffentlich. Standardmäßig wird ein Subnetz mit öffentlichem Zugriff erstellt. In diesem Fall kann den Instanzen im Subnetz eine öffentliche IP-Adresse zugewiesen werden. In einem Subnetz mit privatem Zugriff gestartete Instanzen dürfen keine öffentlichen IP-Adressen haben, wodurch sichergestellt wird, dass diese Instanzen keinen direkten Internetzugang haben.

Kann ein VCN mehrere Verfügbarkeitsdomänen umfassen?

Ja.

Kann ein Subnetz mehrere Verfügbarkeitsdomänen oder mehrere VCNs umfassen?

Subnetze können sich über mehrere Verfügbarkeitsdomänen erstrecken, jedoch nicht über mehrere VCNs. Wenn Sie ein regionales Subnetz erstellen, können sich die Ressourcen des Subnetzes in einer beliebigen Verfügbarkeitsdomäne (AD) in der Region befinden. Wenn Sie jedoch ein AD-spezifisches Subnetz erstellen, müssen sich die Ressourcen des Subnetzes in der speziellen Verfügbarkeitsdomäne des Subnetzes befinden.

Kann ich VCNs mit sich überschneidenden IP-Adressen erstellen?

Ja. Wenn Sie jedoch ein VCN mit Ihrem On-Premises-Netzwerk oder einem anderen VCN verbinden möchten, sollten Sie sicherstellen, dass sich die IP-Adressbereiche nicht überschneiden.

Wie viele VCNs, Subnetze und andere Netzwerkressourcen kann ich erstellen?

Aktuelle Limits für alle Services und Anweisungen zum Anfordern einer Service-Limit-Erhöhung finden Sie in der Hilfedokumentation zu Service-Limits.

Kann ich mein Subnetz nach dem Erstellen ändern?

Ja. Sie können den Namen des Subnetzes bearbeiten und ändern, welche Routingtabelle, Sicherheitslisten und DHCP-Optionen ihm zugeordnet sind. Für IPv4 können Sie das Netzwerk auch durch Ändern der Präfixlänge des CIDR-Blocks vergrößern oder verkleinern. Zudem können Sie IPv4-CIDR-Blöcke und IPv6-Präfixe hinzufügen oder entfernen.

Dynamic Routing Gateway (DRG)

In welchen Realms ist die neue DRG-Funktionalität verfügbar?

Die neue Funktionalität ist in der kommerziellen Realm verfügbar. Sie wird künftig auch in anderen Realms zur Verfügung gestellt werden.

In welchen Regionen ist die neue DRG-Funktionalität verfügbar?

Die neue Funktionalität ist in allen kommerziellen Oracle Cloud Infrastructure (OCI)-Regionen verfügbar.

Ist die neue Funktionalität auf meinen vorhandenen DRGs (erstellt vorm 15. April 2021) verfügbar?

Ja. Sie müssten das DRG allerdings über den Aktualisierungsprozess, der in der Dokumentation beschrieben ist, aktualisieren.

Wie kann ich steuern, welche virtuellen Cloud-Netzwerke (VCNs) miteinander kommunizieren können.

Die Kommunikation zwischen DRG-Anhängen (einschließlich VCNs) wird von Routentabellen und den zugehörigen Import-Policys gesteuert. Mit der Standardroutentabelle für VCN-Anhänge können alle angehängten VCNs miteinander kommunizieren. Sie können die zugehörige Import-Policy ändern, um VCNs wie hier dargestellt zu isolieren.

Kann ich ein VCN von einem anderen Mandanten an mein DRG anhängen?

Ja. Dazu muss allerdings eine bestimmte IAM-Policy konfiguriert werden

Wie lautet die Standardroutingkonfiguration im DRG?

Das DRG unterstützt dynamisches und statisches Routing zwischen verbundenen Netzwerken. Das DRG verfügt über zwei Standardroutentabellen. Eine für Ihre FastConnect-, IPsec-VPN- und RPC-Peering-Anhänge und eine für VCN-Anhänge. Sie können weitere Routentabellen erstellen, um eine feinstufigere Kontrolle des Verkehrsflusses zwischen Anhängen zu ermöglichen. Die Routen entscheiden je nach IP-Zieladresse des Pakets über den nächsten Hop.

Wie löst das DRG Routingkonflikte?

Statische Routen haben eine höhere Präferenz als dynamische Routen. Sie können keine mehrfachen statischen Routen für denselben CIDR erstellen. Bei dynamischen Routen werden Konflikte wie folgt aufgelöst:

  • For Routen, die für VCN-Anhänge bestimmt sind: Wenn identische CIDRs aus zwei VCN-Ahängen importiert werden, wird eine deterministische und konsistente Weiterleitungsentscheidung in Bezug auf die Routenpräferenz getroffen. Diese Reihenfolge der Präferenzen kann vom Kunden nicht gesteuert werden.
  • Für Routen, die für FastConnect Virtual Circuits oder ein IPsec-VPN bestimmt sind: Wenn mehrere Routen mit der selben CIDR und AS-Pfadlänge in eine DRG-Routentabelle importiert werden und Equal Cost Multi Path (ECMP)-Routing deaktiviert ist, wird die Route mit der niedrigsten IP-Adresse des nächsten Hops ausgewählt. Wenn ECMP aktiviert ist, werden beide Routen verwendet und der Traffic, der für das CIDR bestimmt ist, wird ECMP weitergeleitet. Wenn die Routen identische CIDRs aber unterschiedliche AS-Pfadlängen aufweisen, wird nur die Route mit der kürzesten AS-Pfadlänge verwendet.
  • Für Routen, die für RPC/Peering-Anhänge bestimmt sind: Wenn identische CIDRs aus zwei RPC/Peering-Anhängen importiert werden, wird das mit der kürzesten AS-Pfadlänge verwendet. Wenn die beiden Routen dieselbe Pfadlänge aufweisen, wird die Route mit der niedrigsten Netzwerkentfernung ausgewählt. Die Netzwerkentfernung bezieht sich auf die Anzahl der DRGs, die von der Route durchlaufen werden. Wenn zwei Routen identische Netzwerkentfernungen aufweisen, geschieht die Auswahl auf der Basis der folgenden Reihenfolge: {Static, VCN, VC, IPSec}). Sollte dann immer noch ein Konflikt bestehen, wird Oracle den Traffic über den effizientesten Pfad in seinem internen Netzwerk weiterleiten.

Wie werden Routen in das DRG weitergegeben?

Sie können festlegen, wie Routen auf der Basis einer jeweiligen Routentabelle importiert und exportiert werden, indem Sie die zugehörigen Import- und Export-Policys ändern. Routen werden wie folgt weitergegeben:

  • Routen, die an/von einem On-Premises-Netzwerk weitergegeben werden: Wenn Sie IPsec-VPNs oder virtuelle FastConnect-Verbindungen mit einem DRG verbinden, werden die Routen zwischen dem DRG und Ihrem On-Premises-Router mithilfe des Border Gateway Protocol (BGP) weitergegeben. IPsec-VPNs unterstützen auch statisches Routing. Aber um ein optimales automatisches Failover zur Redundanz sicherzustellen, empfiehlt es sich, BGP zu verwenden.
  • Routen, die von VCNs weitergegeben werden: Wenn Sie ein VCN an ein DRG anhängen, wird die Routentabelle des Anhangs automatisch aktualisiert, sodass Routen zu allen Subnetzen im VCN und alle CIDRS in der VCN-Ingress-Routentabelle, die mit dem VCN-Anhang verbunden ist, einbezogen werden.
  • Routen, die an VCNs weitergegeben werden: DRG-Routen werden nicht automatisch an Ihr VCN weitergegeben. Sie müssen für Traffic, der für On-Premises-Netzwerke oder andere OCI-VCNs bestimmt ist, statische Routen in Ihren VCN-Routentabellen erstellen. Die Routentabellen werden als Teil der VCN-Konfiguration verwaltet.

Kann ich OCI-VCNs mit identischen Subnetz-CIDRs mit demselben DRG verbinden?

Sie können zwei OCI-VCNs mit sich überschneidenden CIDRs mit dem selben DRG verbinden. Die Routentabelle des DRGs fällt eine deterministische und konsistente Weiterleitungsentscheidung, um zu bestimmen, welcher VCN-Anhang der nächste Hop für die unvereinbaren Subnetz-CIDRs ist. Diese Reihenfolge der Präferenzen kann vom Kunden nicht gesteuert werden. Da die Steuerung dieses Verhaltens sehr komplex ist, werden sich überschneidende CIDRs nicht empfohlen.

Kann ich einen einzelnen FastConnect-Virtual Circuit verwenden, um mein On-Premises-Netzwerk mit allen OCI-VCNs, unabhängig von der Region, zu verbinden?

Ja, das DRG ermöglicht Ihnen jetzt, ein FastConnect in einer Region zu verwenden, um mit Ressourcen in einem VCN in einer anderen Region zu kommunizieren.

Leistung und Limits: Was sind die Standardlimits oder -quoten für das DRG?

Einzelheiten zu Limits oder Quoten finden Sie in unserer Dokumentation.
Sollten Sie diese Limits überschreiten müssen, erstellen Sie bitte einen Supportfall.

Funktionsinteroperabilität: Unterstützt das DRG IPv6?

Ja, das DRG unterstützt das Anhängen von VCNs an IPv6-CIDRs.

Was, wenn ich mein DRG im derzeitigen Zustand weiterverwenden möchte und die erweiterten Funktionen nicht benötige?

Das Standardverhalten des DRG hat sich nicht verändert. Die neuen Funktionen müssen explizit aktiviert werden.

Wie lauten die Inhalte der Standardroutentabellen, die mit dem DRG verknüpft sind.

Das DRG verfügt über zwei Standardroutentabellen. Eine für Ihre FastConnect-, IPsec-VPN- und RPC-Peering-Anhänge und eine für VCN-Anhänge. Diese beiden Standardroutentabellen implementieren das bestehende DRG-Verhalten.

Sollte ich das lokale Peering-Gateway oder das DRG verwenden, um die Kommunikation zwischen VCNs in der selben Region zu ermöglichen?

Jedes VCN kann bis zu 10 lokale Peering-Gateways und ein DRG aufweisen. Ein einzelnes DRG unterstützt bis zu 300 VCN-Anhänge. Wir empfehlen die Verwendung des DRG, wenn Sie Peering mit einer großen Anzahl von VCNs ausführen müssen. Sollten Sie außerdem eine extrem hohe Bandbreite und eine äußerst geringe Latenz zwischen zwei VCNs in der selben Region benötigen, sollten Sie das Szenario, das in Local VCN Peering mit lokalen Peering-Gateways beschrieben wird, verwenden. Durch das Peering von zwei VCNs in der selben Region über ein DRG sichern Sie sich bei Ihrem Routing mehr Flexibilität. Allerdings müssen Sie dabei höhere Latenzzeiten und möglicherweise eine geringere Bandbreite in Kauf nehmen.

Was ist die maximale Anzahl der unterstützen ECMP (Equal-Cost Multipath Routing)-Pfade?

Das derzeitige Limit liegt bei 8 Pfaden

Wie kann ich mein DRG upgraden, damit ich die neue Funktionalität nutzen kann?

Ziehen Sie bitte hier den Abschnitt „Upgraden eines DRG“ zu Rate.

Virtuelle Netzwerk-Schnittstellenkarten (VNICs)

Was ist eine virtuelle Netzwerk-Schnittstellenkarte (VNIC)?

Die Server in Oracle Cloud Infrastructure-Rechenzentren verfügen über physische Netzwerk-Schnittstellenkarten (NICs). Wenn Sie eine Instanz auf einem dieser Server starten, kommuniziert sie über die virtuellen Netzwerk-VNICs des Networkings, die den physischen NICs zugeordnet sind. Eine VNIC ermöglicht die Verbindung einer Compute-Instanz mit einem VCN und bestimmt, wie die Instanz mit Endpunkten innerhalb und außerhalb des VCN kommuniziert.

Jede VNIC befindet sich in einem Subnetz und besitzt die folgende Konfiguration:

  • Eine primäre private IPv4-Adresse aus dem Subnetz, in dem sich die VNIC befindet, die entweder von Ihnen oder von Oracle zugewiesen wird.
  • Es können bis zu 64 sekundäre IPv4-Objekte und bis zu 32 IPv6-Objekte aus dem Subnetz, in dem sich das VNIC befindet, zugewiesen werden – entweder von Ihnen oder von Oracle.
  • Ein sekundäres IP-Objekt kann entweder eine Host-IP-Adresse oder eine IP-CIDR-Adresse sein
    • Host-IP-Adressen weisen einem VNIC eine einzelne IP zu
    • IP-CIDR-Adressen weisen einem VNIC über einen einzigen Konfigurationsparameter einen zusammenhängenden Bereich von Host-IPs im CIDR-Format zu
  • Für jede private Host-IPv4-Adresse kann optional eine öffentliche IPv4-Adresse vergeben werden
  • Für jede private Host-IP-Adresse kann zudem optional ein Hostname für DNS vergeben werden (siehe DNS in Ihrem Virtual Cloud Network)
  • MAC-Adresse
  • Das VLAN-Tag wird von Oracle zugewiesen und steht zur Verfügung, sobald das VNIC an die Instanz angehängt wurde (nur relevant für Bare-Metal-Instanzen). Weitere Informationen finden Sie unter Virtual Network Interface Cards (VNICs).

Weitere Informationen finden Sie unter Virtuelle Netzwerkschnittstellenkarten (VNICs).

Was ist die primäre VNIC einer Instanz?

Jede Instanz in Ihrem VCN wird mit einer VNIC erstellt, die eine private IP-Adresse (von Ihnen oder Oracle zugewiesen) aus dem bei der Instanzerstellung bereitgestellten Subnetz und eine entsprechende öffentliche IP-Adresse besitzt. Diese VNIC wird als die primäre VNIC bezeichnet und ihre private IP-Adresse als primäre private IP-Adresse.

Die primäre VNIC kann nicht von der Instanz getrennt werden. Sie wird automatisch gelöscht, wenn die Instanz beendet wird.

Was sind sekundäre VNICs in einer Instanz?

Jede Instanz in Ihrem VCN verfügt über mindestens eine VNIC, bei der es sich um die primäre VNIC handelt. Sie können einer Instanz zusätzliche VNICs hinzufügen, die als sekundäre VNICs bezeichnet werden . Die sekundären VNICs können zu verschiedenen VCNs oder Subnetzen gehören.

Wie viele VNICs werden in einer Instanz maximal unterstützt?

Die Anzahl der VNICs, die an eine Instanz angehängt werden können, hängt von der Form ab. Informationen zu diesen Limits finden Sie in der Support-Dokumentation zu Compute-Ausprägungen.

Kann ich VNIC-Informationen in der Instanz finden?

Ja. Fragen Sie den unter http://169.254.169.254/opc/v1/vnics/ verfügbaren Instanz-Metadatendienst ab.

Kann ich einer VNIC eine bestimmte private IP-Adresse zuweisen?

Ja. Bei der primären VNIC können Sie die private IP-Adresse beim Start der Instanz angeben. Bei sekundären VNICs können Sie eine private IP-Adresse angeben, wenn Sie die VNIC an eine Instanz anhängen. Die angegebene private IP-Adresse sollte zu demselben Subnetz gehören, zu dem die VNIC gehört, und sollte nicht verwendet werden.

Kann ich eine VNIC von einer Instanz in eine andere verschieben?

Nein. Derzeit sind VNICs immer an die Instanz gebunden und existieren nicht unabhängig voneinander. Die primäre VNIC wird mit der Instanz erstellt und zerstört. Alle sekundären VNICs werden erstellt und zerstört, wenn sie angehängt bzw. getrennt werden.

Kann ich einer Instanz zwei VNICs aus demselben Subnetz hinzufügen?

Ja. Das Anhängen mehrerer VNICs aus demselben CIDR-Subnetzblock an eine Instanz kann jedoch zu asymmetrischem Routing führen, insbesondere bei Instanzen, die eine Linux-Variante verwenden. Wenn Sie diese Art der Konfiguration benötigen, empfiehlt Oracle, einer VNIC mehrere private IP-Adressen zuzuweisen oder richtlinienbasiertes Routing zu verwenden. Ziehen Sie zum Beispiel das Skript Linux: Konfiguration des BS für sekundäre VNICs zu Rate.

Können die an eine Instanz angehängten VNICs zu Subnetzen in verschiedenen Verfügbarkeitsdomänen (AD) gehören?

Nein. Alle VNICs müssen zu Subnetzen in derselben AD wie die Instanz gehören. Bei Verwendung regionaler Subnetze müssen die VNICs in derselben AD wie die Instanz erstellt werden.

Können die an eine Instanz angehängten VNICs zu Subnetzen in verschiedenen VCNs gehören?

Ja. Sie können sekundäre VNICs anfügen, die zu einem Subnetz eines VCN gehören, das sich vom VCN der primären VNIC unterscheidet.

IP-Adressierung

Kann ich meiner Compute-Instanz eine oder mehrere private IP-Adressen meiner Wahl zuweisen?

Jede Recheninstanz in Ihrem VCN wird mit einer virtuellen Netzwerk-Schnittstellenkarte (VNIC) erstellt und erhält eine private IP-Adresse aus dem Subnetz, das beim Start der Instanz bereitgestellt wird. Dies sind die primäre VNIC bzw. ihre primäre private IP-Adresse . Sie können einer Instanz, die als sekundäre VNIC bezeichnet wird, weitere VNICs hinzufügen, die auch über eine primäre private IP-Adresse verfügen.

Oracle kann die private IP-Adresse auswählen oder Sie wählen Sie aus dem verfügbaren Pool des Subnetzes aus. Wenn die von Ihnen angegebene Adresse bereits verwendet wird, schlägt die Startanforderung fehl.

Zusätzlich können Sie einem VNIC sekundäre private IP-Objekte zuweisen. Wie primäre private IP-Adressen ermöglichen auch sekundäre private IP-Objekte die Konnektivität zu Zielen innerhalb Ihres VCN und/oder zu Ihrem On-Premises-Netzwerk (bei vorhandener Verbindung über VPN oder Oracle Cloud Infrastructure FastConnect).

Kann ich ein sekundäres privates IP-Objekt von einem VNIC einer Instanz auf ein anderes verschieben?

Ja. Sie können ein sekundäres privates IP-Objekt von einem VNIC einer Instanz auf ein VNIC einer anderen Instanz verschieben, sofern beide VNICs zum selben Subnetz gehören und die erforderlichen Berechtigungen vorhanden sind. Bei Verwendung regionaler Subnetze kann die sekundäre private IP-Adresse auch auf eine VNIC in einer anderen AD verschoben werden.

Wie viele sekundäre private IP-Objekte kann ich einem VNIC zuweisen?

Derzeit können Sie einem VNIC bis zu 64 sekundäre IPv4-Objekte und 32 IPv6-Objekte zuweisen. Ein sekundäres IP-Objekt kann eine Host-IP-Adresse oder eine IP-CIDR-Adresse sein. Ein primäres IP-Objekt kann hingegen nur eine Host-IP-Adresse sein.

Kann ich einem VNIC einen Bereich von IP-Adressen zuweisen?

Ja, das können Sie. Ein VNIC verfügt über eine einzelne primäre IPv4-Adresse als Host-IP. Zusätzlich kann ein VNIC mehrere sekundäre IPv4- und IPv6-Adressen als Host-IPs erhalten. Alle Host-IP-Adressen besitzen implizit die Präfixlänge /32 für IPv4 bzw. /128 für IPv6. Um einem VNIC einen zusammenhängenden Bereich von Host-IPs zuzuweisen, verwenden Sie eine IP-CIDR-Adresse. Eine IP-CIDR-Adresse ist eine IP-Adresse mit Netzwerkpräfix in CIDR-Notation (z. B. „10.0.0.32/28“), die alle Host-IPs innerhalb dieses Präfixes dem VNIC zuordnet. Sie können IP-CIDR-Adressen jedem VNIC einer Compute-Instanz als sekundäres IP-Objekt zuweisen.

Weitere Informationen finden Sie unter Private IP-Objekte und Zuweisung von IPv6-Adressen zu einem VNIC.

Welche Einschränkungen gelten für IP-CIDR-Adresszuweisungen an ein VNIC?

Für IP-CIDR-Adressen gelten folgende Vorgaben:

  • Sie sind immer sekundäre IP-Objekte und können nicht als primäre IP eines VNIC verwendet werden.
  • Sie dürfen keine IP-Adresse enthalten, die von Nutzern oder von OCI genutzt oder reserviert wird.
  • Der gesamte Bereich muss vollständig innerhalb eines IPv4-CIDR-Blocks bzw. eines IPv6-Präfixes des Subnetzes liegen.
  • Für IPv4 muss die Präfixlänge zwischen /18 und /32 liegen und mindestens 2 Bits länger sein als die Subnetzmaske. Für IPv6 muss das Präfix zwischen /80 und /128 liegen.
  • Der Bereich muss bei IPv4 und IPv6 auf einer gültigen Netzgrenze beginnen; bei IPv6 erfolgt die Erhöhung in ganzen Hexadezimalstellen (Nibble bzw. 4-Bit-Grenze).

Weitere Einzelheiten finden Sie in der Dokumentation zu OCI Networking.

Was sind die Einschränkungen von IP-CIDR-Adressen?

Für IP-CIDR-Adressen gelten folgende Einschränkungen:

  • Es ist keine öffentliche IPv4-Zuordnung für IPv4-Adressen innerhalb einer IP-CIDR-Adresse möglich; für den Internetzugang über IPv4 müssen Sie ein NAT-Gateway verwenden.
  • Sie werden nur auf Compute-VNICs unterstützt.
  • Die Erstellung von FQDNs durch den VCN-DNS-Dienst wird für Adressen innerhalb einer IP-CIDR-Adresse nicht unterstützt.
  • Sie werden nicht auf L2/VLAN-VNICs unterstützt.
  • Abfragen, die von sekundären privaten IP-Objekten ausgehen (einschließlich IP-CIDR-Adressen), werden vom Instance Metadata Service (IMDS) nicht unterstützt.

Weitere Einzelheiten finden Sie in der Dokumentation zu OCI Networking.

Kann das Betriebssystem der Instanz die sekundäre private IP-Adresse automatisch erkennen und konfigurieren (über DHCP)?

Nein. Das Betriebssystem kann die sekundäre private IP-Adresse nicht über Mechanismen wie DHCP erkennen. Sie müssen die sekundären privaten IP-Adressen mithilfe eines betriebssystemspezifischen Verfahrens konfigurieren. Weitere Informationen finden Sie in den Skripten, die unter Virtuelle Netzwerkschnittstellenkarten (VNICs) bereitgestellt werden.

Was ist eine öffentliche IP-Adresse und wie unterscheidet sie sich von einer privaten IP-Adresse?

Eine öffentliche IP-Adresse ist eine IPv4-Adresse, die über das Internet erreichbar ist (eine IP-Adresse, die über das Internet weitergeleitet werden kann). Eine Instanz in Ihrem VCN kommuniziert mit Hosts im Internet über eine öffentliche IP-Adresse. Eine private IP-Adresse kann nicht über das Internet weitergeleitet werden. Instanzen innerhalb des VCN kommunizieren unter Verwendung privater IP-Adressen miteinander.

Sie können einer privaten IP-Adresse einer Compute-Instanz oder einer Load Balancer-Instanz eine öffentliche IP-Adresse zuweisen und diese für die Kommunikation mit dem Internet aktivieren. Damit eine öffentliche IP-Adresse über das Internet erreichbar ist, muss die VCN, in der sie sich befindet, über ein Internet-Gateway verfügen. Im öffentlichen Subnetz müssen Routingtabellen und Sicherheitslisten entsprechend konfiguriert sein.

Welche Arten von öffentlichen IP-Adressen gibt es?

Es gibt zwei Arten von öffentlichen IP-Adressen:

  • Vorübergehende öffentliche IP-Adressen: Betrachten Sie sie als temporär und für die gesamte Lebensdauer der Instanz vorhanden. Auf Ihren Wunsch weist Oracle eine der öffentliche IP-Adressen aus dem verfügbaren Pool von Oracle zu. Diese öffentliche IP-Adresse ist an den Lebenszyklus der privaten IP-Adresse gebunden. Wenn Sie die Zuweisung der öffentlichen IP-Adresse explizit aufheben oder die Zuweisung der privaten IP-Adresse von der VNIC aufheben oder die entsprechende Instanz beenden, wird diese öffentliche IP-Adresse für den verfügbaren Pool freigegeben. Wenn Sie später erneut eine öffentliche IP-Adresse anfordern, kann sich diese von der vorherigen Adresse unterscheiden.
  • Reservierte öffentliche IP-Adressen: Stellen Sie sich diese als öffentliche IP-Adressen vor, die sich in einem Bereich Ihrer Wahl befinden. Sie sind persistent und existieren über die Lebensdauer der Instanzen hinaus, denen sie zugewiesen sind. Sie gehören zu einer bestimmten Region. Sie brauchen eine reservierte öffentliche IP-Adresse in Ihrer Abteilung nicht zuweisen oder Sie können sie einer privaten IP-Adresse einer Instanz oder eines Load Balancer in derselben Region zuweisen, in der sie erstellt wurde. Außerdem können Sie sie auch in eine andere private IP-Adresse innerhalb derselben Region verschieben.

Weitere Informationen und eine Tabelle zum Vergleich der beiden Typen finden Sie unter Hilfedokumentation zu öffentlichen IP-Adressen.

Warum brauche ich reservierte öffentliche IP-Adressen?

Eine öffentliche IP-Adresse wird zur Identität Ihres Dienstes für Clients, die den DNS-FQDN nicht verwenden können. Mit einer reservierten öffentlichen IP-Adresse können Sie diese Identität unabhängig von Änderungen an den zugrunde liegenden Ressourcen beibehalten. Im Folgenden sind einige spezifische Szenarien aufgeführt, die von der Verwendung einer reservierten öffentlichen IP-Adresse profitieren können:

  • Isolieren Sie Ihre Clients von Instanz-spezifischen Fehlern: Sie können Ihrer Instanz eine reservierte öffentliche IP-Adresse zuweisen und diese im Fehlerfall nahtlos auf eine andere Instanz verschieben. Ihre Clients sind von dieser Änderung isoliert, da sie weiterhin eine Verbindung mit derselben öffentlichen IP-Adresse herstellen.
  • Optimieren Sie die Verwendung von Compute-Ressourcen ohne Auswirkungen auf die Nutzer: Unabhängig davon, ob Sie die Größe einer Instanz ändern oder Ihre Instanzen basierend auf den Verwendungsmustern beenden möchten, um Kosten zu sparen, können Sie mit einer reservierten öffentlichen IP-Adresse Ihren Clients dieselbe öffentliche IP-Adresse zur Verfügung stellen.

Wie viele reservierte öffentliche IP-Adressen kann ich einer Instanz zuweisen?

Sie können jeder (primären oder sekundären) privaten IP-Adresse nur eine reservierte öffentliche IP-Adresse zuweisen. Sie können jedoch jeder VNIC, die an Ihre Instanz angehängt ist, mehrere private IP-Adressen zuweisen. Sie können dann jeder dieser privaten IP-Adressen eine reservierte öffentliche IP-Adresse zuweisen.

Die maximale Anzahl reservierter öffentlicher IP-Adressen, die Sie in Ihrer Tenancy erstellen können, ist begrenzt. Weitere Informationen finden Sie in der Hilfedokumentation zu Servicelimits.

Wie viele vorübergehende öffentliche IP-Adressen kann ich einer Instanz zuweisen?

Sie können jeder primären privaten IP-Adresse der VNIC nur eine vorübergehende öffentliche IP-Adresse zuweisen. Sie können jedoch mehrere VNICs erstellen und an Ihre Instanz anhängen. Anschließend können Sie jeder primären IP-Adresse jeder VNIC eine vorübergehende private IP-Adresse zuweisen.

Es gibt eine Begrenzung der maximalen Anzahl von vorübergehenden öffentlichen IP-Adressen, die einer Instanz zugewiesen werden können. Weitere Informationen finden Sie in der Hilfedokumentation zu Servicelimits.

Kann ich eine vorübergehende öffentliche IP-Adresse von einer VNIC/Instanz in eine andere verschieben?

Ja, aber nur wenn sie einem zweiten privaten IP auf einer VNIC zugewiesen ist. Wenn Sie diese sekundäre private IP auf eine andere VNIC verschieben (die sich im selben Subnetz befinden muss), gilt dies auch für das vorübergehende öffentliche IP.

Kann ich eine reservierte öffentliche IP-Adresse von einer VNIC/Instanz in eine andere verschieben?

Ja, und Sie können sie unter Verfügbarkeitsdomänen oder VCNs verschieben. Die VCNs müssen sich in derselben Region befinden.

Es gibt zwei Möglichkeiten, ein reserviertes öffentliches IP zu verschieben:

  • Heben Sie die Zuweisung des reservierten öffentlichen IPs auf und weisen Sie es dann einem anderen privaten IP zu. Das private IP kann sich auf einer VNIC in einer anderen Verfügbarkeitsdomäne oder einem anderen VCN als die ursprüngliche VNIC befinden.
  • Wenn das reservierte öffentliche IP einem sekundären privaten IP zugewiesen ist, können Sie das private IP in eine andere VNIC verschieben (die sich im selben Subnetz befinden muss). Dies betrifft auch das reservierte öffentliche IP.

Wann wird eine vorübergehende öffentliche IP-Adresse freigegeben?

  • Wenn Sie eine private IP-Adresse löschen, wird die entsprechende vorübergehende öffentliche IP-Adresse freigegeben.
  • Wenn Sie eine sekundäre VNIC trennen, werden alle entsprechenden vorübergehenden öffentlichen IP-Adressen freigegeben.
  • Wenn Sie die Instanz beenden, werden die entsprechenden vorübergehenden IP-Adressen freigegeben.

Beachten Sie, dass der Neustart der Instanz keine Auswirkungen auf die entsprechenden vorübergehenden öffentlichen IP-Adressen hat.

Welche IP-Adressen sehe ich, wenn ich mich bei meiner Compute-Instanz anmelde?

Sie sehen nur die private IP-Adresse Ihrer Compute-Instanz. Wenn der Instanz eine öffentliche IP-Adresse zugewiesen wurde, stellt der Netzwerkdienst eine 1:1-NAT (statische NAT) zwischen der privaten und der öffentlichen IP-Adresse bereit, wenn die Instanz versucht, mit einem Ziel im Internet (über das Internet-Gateway) zu kommunizieren.

Wie erscheint der Datenverkehr für eine öffentliche IP-Adresse auf der Instanz?

Auf der Betriebssystemebene der Instanz wird nur die private IP-Adresse der VNIC angezeigt, die an die Instanz angehängt ist. Wenn an die öffentliche IP-Adresse gesendeter Datenverkehr empfangen wird, führt der Netzwerkdienst eine Netzwerkadressübersetzung (NAT) von der öffentlichen IP-Adresse zur entsprechenden privaten IP-Adresse durch. Der Datenverkehr wird in Ihrer Instanz mit der Ziel-IP-Adresse angezeigt, die auf die private IP-Adresse festgelegt ist.

Kann ich meiner Compute-Instanz eine MAC-Adresse zuweisen?

Nein. Der Netzwerkdienst weist die MAC-Adresse zu.

Wird IPv6 unterstützt?

Ja. IPv6-Support Weitere Informationen finden Sie unter IPv6-Adressen.

Unterstützen Sie IP-Multicast oder Broadcast innerhalb des VCN?

Nein, derzeit nicht.

Unterstützt VCN die transparente IP-Übernahme mithilfe von unentgeltlichen ARPs (GARP)?

Nein, derzeit nicht.

Bring your own IP Address (BYOIP)

Was versteht man unter Bring your own IP Address (BYOIP)?

Mit Bring your own IP (BYOIP) können Sie öffentlich routbare IPv4 CIDR-Blöcke in Oracle Cloud Infrastructure importieren, damit Ihre Ressourcen sie verwenden können.

Was sind die Vorteile von BYOIP?

IP-Adressen sind Assets, die von einer Firma sorgfältig verwaltet und kontrolliert werden. Einige Anwendungen erfordern eine starke IP-Reputation für das Senden von E-Mails, andere Anwendungen haben Zugriffsrichtlinien globalen Bereitstellungen festgelegt und einige Anwendungen haben Architektur-Regeln in ihren IP-Adressen. Durch die Migration eines IP-Präfixes von einer On-Premises-Infrastruktur zu OCI können Sie die Auswirkungen auf Ihre Kunden und Anwendungen minimieren und gleichzeitig alle Vorteile von Oracle Cloud Infrastructure nutzen. Mit BYOIP in OCI können Sie Ausfallzeiten während der Migration minimieren, indem Sie gleichzeitig Ihr IP-Adresspräfix von OCI bekannt geben und es aus der On-Premises-Umgebung entfernen.

Wie sehen die ersten Schritte mit BYOIP aus?

Der Vorgang zum Verschieben eines IP-Präfixes zur Verwendung in OCI beginnt im Portal unter Netzwerk>IP-Verwaltung oder kann über die API initiiert werden. Es sind nur ein paar einfache Schritte.

  1 – Starten Sie die Anfrage, um ein IP-CIDR zu OCI zu bringen (das IP-CIDR muss ein /24 oder größer sein und Ihrem Unternehmen gehören).
  2 – Registrieren Sie ein Validierungstoken, das aus der Anfrage generiert wurde, beim regionalen Internet-Registry-Dienst (RIR) wie ARIN, RIPE oder APNIC. Folgen Sie den Schritten in der Dokumentation.
  3 – Nachdem Sie Ihr Token registriert haben, kehren Sie zur Konsole zurück und klicken auf „CIDR-Block validieren“, damit Oracle den Validierungsprozess abschließen kann. Oracle überprüft, ob Ihr CIDR-Block für die Übertragung ordnungsgemäß registriert wurde, und stellt Ihr BYOIP bereit. Dieser Schritt kann bis zu 10 Werktage dauern. Sie werden per E-Mail benachrichtigt, wenn der Vorgang abgeschlossen ist. Sie können den Fortschritt dieses Prozesses auch in Ihren Arbeitsanforderungen überprüfen.

Was tun mit dem von Oracle ausgegebenen Validierungstoken?

Was tun mit dem von Oracle ausgegebenen Validierungstoken? Beim Importieren eines BYOIP-CIDR-Blocks gibt Oracle ein Validierungstoken aus. Sobald Sie Ihr Token haben, müssen Sie es leicht ändern und die unten gezeigten Informationen hinzufügen. Sie können einen beliebigen Texteditor verwenden.

OCITOKEN:: <CIDRblock> : <validation_token>

So senden Sie das Validierungstoken an Ihr RIR (Regionales Internet-Register).

ARIN: Fügen Sie die geänderte Token-Zeichenfolge im Abschnitt „Öffentliche Kommentare“ für Ihren Adressbereich hinzu. Fügen Sie es nicht zum Kommentarbereich für Ihre Firma hinzu.
RIPE: Fügen Sie die geänderte Token-Zeichenfolge als neues „descr“-Feld für Ihren Adressbereich hinzu. Fügen Sie es nicht zum Kommentarbereich für Ihre Firma hinzu.
APNIC: Fügen Sie es dem Feld „Bemerkungen“ für Ihren Adressbereich hinzu, indem Sie die geänderte Token-Zeichenfolge per E-Mail an helpdesk@apnic.net senden. Senden Sie die E-Mail über den von APNIC autorisierten Kontakt für die IP-Adressen.

Wie verwende ich BYOIP-Adressen mit OCI-Ressourcen?

Nach der Validierung des IP-CIDR haben Sie die volle Kontrolle über den IP-CIDR. Verwalten Sie das Präfix, indem Sie es in kleinere IP-Pools aufteilen und reservierte IP-Adressen für die Verwendung mit Ihren Ressourcen erstellen.

Welche OCI-Ressourcen können mit BYOIP-CIDR verwendet werden?

Sie können Compute-, NAT Gateway- und LBaaS-Instanzen BYOIP-Adressen zuweisen. Sie können den IP-Speicher über IP-Pools verwalten und reservierte IP-Adressen erstellen.

Kontrolliere ich die Anzeige des BYOIP-Präfixes, nachdem es integriert wurde?

Sobald das IP-Präfix in OCI integriert ist, steuern Sie die Anzeige und das Zurückziehen des Präfixes.

Wie lange dauert die BYOIP-Validierung und das Onboarding?

Die BYOIP-Validierung und -Bereitstellung kann bis zu 10 Arbeitstage dauern. Sie werden per E-Mail benachrichtigt, wenn der Vorgang abgeschlossen ist.

Kann ein BYOIP-Präfix zwischen OCI-Regionen verschoben werden?

Nein. Das BYOIP-Präfix ist einer bestimmten OCI-Region zugeordnet und wird nur in der Region angezeigt, in der es eingebunden ist.

Welches ist die minimale und maximale Größe für Präfixe, die ich für BYOIP verwenden kann?

Das minimale Präfix für BYOIP ist ein /24 und das maximale Präfix ist ein /8. Sie müssen nicht Ihren gesamten IP-Speicherplatz in OCI integrieren. Wenn Sie einen größeren IP-Block besitzen, können Sie auswählen, welche Präfixe in OCI integriert werden sollen.

Wie verteile ich mein BYOIP-Präfix in IP-Pools?

Nachdem das Präfix integriert wurde, steuern Sie die Verteilung von Adressen und Richtlinien innerhalb Ihres OCI-Mandanten. Sie können das Präfix in einem IP-Pool behalten oder das Präfix zur Verwendung mit Ihren OCI-Ressourcen auf /28 verteilen.

Kann ich reservierte IP-Adressen aus meinem BYOIP-Präfix erstellen?

Ja. Sie können reservierte IP-Adressen aus einem BYOIP-Präfix erstellen. Weitere Informationen finden hier unter„IP-Adressierung“: https://www.oracle.com/cloud/networking/virtual-cloud-network-faq.html

Kann ich mein eigenes IPv6-Präfix in OCI integrieren?

Die BYOIP-Funktion unterstützt nur IPv4-Präfixe.

Kann ich immer noch Oracle-eigene flüchtige und reservierte IP-Adressen verwenden, wenn ich mein eigenes Präfix mit in OCI integriere?

Ja. Sie können weiterhin Oracle-eigene flüchtige und reservierte IP-Adressen zusammen mit Ihren eigenen IP-Adressen verwenden. Standardlimits gelten für Oracle Adressen.

Konnektivität

Welche Konnektivitätsoptionen sind für Instanzen verfügbar, die in meinem VCN ausgeführt werden?

Die Instanzen können eine Verbindung herstellen zu:

  • Dem Internet (über ein Internet-Gateway)
  • Ihr On-Premises-Data-Center über eine IPSec-VPN-Verbindung oder FastConnect (über ein Dynamic Routing Gateway).
  • Instanzen in gleichrangigen VCNs (in derselben oder einer anderen Region)
  • Oracle Cloud Infrastructure-Services wie Object Storage, ADW (über ein Service-Gateway)

Was ist ein Internet-Gateway?

Ein Internet-Gateway ist ein softwaredefinierter, hochverfügbarer, fehlertoleranter Router, der eine öffentliche Internetverbindung für Ressourcen in Ihrem VCN bereitstellt. Über ein Internet-Gateway kann eine Compute-Instanz mit einer zugewiesenen öffentlichen IP-Adresse mit Hosts und Diensten im Internet kommunizieren.

Anstelle eines Internet-Gateways können Sie Ihr VCN mit Ihrem On-Premises-Data-Center verbinden und den Internetverkehr über Ihre vorhandenen Netzwerk-Egress-Punkte ausleiten.

Was ist ein NAT-Gateway?

Ein NAT-Gateway ist ein zuverlässiger und hochverfügbarer Router, der ausschließlich ausgehende Internetverbindungen für Ressourcen in Ihrem VCN bereitstellt. Mit einem NAT-Gateway können private Instanzen (nur mit einer privaten IP-Adresse) Verbindungen zu Hosts und Diensten im Internet initiieren, jedoch keine eingehenden Verbindungen empfangen, die über das Internet initiiert wurden.

Kann ich mehr als ein NAT-Gateway pro VCN haben?

Nein. Die Standardbeschränkungen ist ein NAT-Gateway pro VCN. Wir gehen davon aus, dass dies für die meisten Anwendungen ausreicht.

Wenn Sie mehr als ein NAT-Gateway in einem bestimmten VCN zuweisen möchten, fordern Sie eine Limiterhöhung an. Anweisungen zum Anfordern einer Limiterhöhung finden Sie unter Service-Limits.

Gibt es neue Durchsatzbeschränkungen bei der Verwendung eines NAT-Gateways?

Instanzen erhalten mit dem NAT-Gateway den gleichen Durchsatz wie beim Routing des Datenverkehrs über ein Internet-Gateway. Darüber hinaus ist ein einzelner Datenverkehrsfluss durch das NAT-Gateway auf 1 Gbit/s (oder weniger für kleine Instanzausprägungen) beschränkt.

Gibt es eine Beschränkung gleichzeitiger Verbindungen bei der Verwendung eines NAT-Gateways?

Ja. Es gibt eine Beschränkung von ungefähr 20.000 gleichzeitigen Verbindungen zu einer einzelnen Ziel-IP-Adresse und einem Port. Dieses Limit ist die Summe aller Verbindungen, die von Instanzen im gesamten VCN initiiert wurden, die das NAT-Gateway verwenden.

Was ist ein dynamisches Routing-Gateway (DRG)?

Ein dynamisches Routing-Gateway ist ein softwaredefinierter, hochverfügbarer, fehlertoleranter Router, den Sie einem VCN hinzufügen können. Es bietet einen privaten Pfad für den Datenverkehr zwischen dem VCN und anderen Netzwerken außerhalb der Region des VCN, z. B. Ihrem On-Premises-Data-Center oder einem gleichrangigen VCN in einer anderen Region. Um Ihr VCN mit Ihrem On-Premises-Data-Center zu verbinden, können Sie ein IPSec-VPN oder FastConnect zum DRG des VCN einrichten. Diese Verbindung ermöglicht eine sichere Kommunikation zwischen Ihren On-Premises-Hosts und den Instanzen.

Was ist ein Customer-Premises-Equipment-(CPE)-Objekt und warum benötige ich es?

Sie verwenden dieses Objekt, wenn Sie ein IPSec-VPN einrichten. Es ist eine virtuelle Darstellung des eigentlichen Routers, der sich On-Premises an Ihrem Standort am Ende des VPN befindet. Wenn Sie dieses Objekt im Rahmen der Einrichtung eines IPSec-VPN erstellen, geben Sie die öffentliche IP-Adresse Ihres On-Premises-Routers an.

Benötige ich ein Internet-Gateway, um ein IPSec-VPN zu meinem On-Premises-Data-Center aufzubauen?

Nein. Sie müssen lediglich ein DRG bereitstellen, dieses an Ihr VCN anhängen, das CPE-Objekt und die IPSec-Verbindung sowie die Routentabellen konfigurieren.

Welche Customer-Premises-Equipment-Router oder -Gateways wurden mit Oracle Cloud Infrastructure IPSec VPN getestet?

Siehe die Liste der getesteten Gerätekonfigurationen.

Ich habe einen IPSec-VPN-Router, der nicht in der obigen Liste der getesteten Geräte aufgeführt ist. Kann ich damit eine Verbindung zu meinem VCN herstellen?

Ja. Wenn Sie ihn entsprechend der allgemeinen CPE-Konfigurationsinformationen konfigurieren. Wir unterstützen mehrere Konfigurationsoptionen, um die Interoperabilität mit verschiedenen VPN-Geräten zu maximieren.

Wie stelle ich die Verfügbarkeit meiner IPSec-VPN-Verbindung zwischen Oracle Cloud Infrastructure und meinem On-Premises-Data-Center sicher?

Oracle stellt zwei VPN-Tunnel als Teil der IPSec-Verbindung bereit. Stellen Sie sicher, dass Sie beide Tunnel aus Gründen der Redundanz auf Ihrem CPE konfigurieren.

Zusätzlich können Sie in Ihrem On-Premises-Data-Center zwei CPE-Router bereitstellen, wobei jeder für beide Tunnel konfiguriert ist.

Kann ich mit einem Software-VPN eine Verbindung zu meinem VCN herstellen?

IPSec VPN ist ein offener Standard und Software-IPSec-VPNs können mit Oracle Cloud Infrastructure zusammenarbeiten. Sie müssen sicherstellen, dass Ihr Software-IPSec-VPN mindestens einen unterstützten Oracle IPSec-Parameter in jeder Konfigurationsgruppe gemäß den allgemeinen CPE-Konfigurationsinformationen unterstützt.

Bleibt der Datenverkehr zwischen zwei öffentlichen OCI-IP-Adressen innerhalb von OCI?

Ja. Der Datenverkehr zwischen zwei öffentlichen OCI-IP-Adressen in derselben Region bleibt innerhalb der OCI-Region. Der Datenverkehr zwischen öffentlichen OCI-IP-Adressen in verschiedenen Regionen wird über den privaten OCI-Backbone übertragen. In beiden Fällen wird der Datenverkehr nicht durch das Internet geleitet. Die vollständige Liste der öffentlichen OCI-IP-Adressen finden Sie hier: https://docs.cloud.oracle.com/en-us/iaas/tools/public_ip_ranges.json.

Service-Gateway

Was ist das Oracle Services Network?

Das Oracle Services Network ist ein konzeptionelles Netzwerk in Oracle Cloud Infrastructure, das für Oracle Services reserviert ist. Das Netzwerk umfasst eine Liste regionaler CIDR-Blöcke. Jeder Service im Oracle Services Network macht einen Service-Endpunkt verfügbar, der öffentliche IP-Adressen aus dem Netzwerk nutzt. Derzeit ist in diesem Netzwerk eine große Anzahl von Oracle Services verfügbar (siehe die vollständige Liste ) und in Zukunft werden weitere Services hinzugefügt, sobald sie auf Oracle Cloud Infrastructure bereitgestellt werden.

Was ist ein Service-Gateway?

Über ein Service-Gateway können Ressourcen in Ihrem VCN privat und sicher auf Oracle Services im Oracle Services Network zugreifen, z. B. auf Oracle Cloud Infrastructure Object Storage, ADW und ATP. Der Datenverkehr zwischen einer Instanz im VCN und einem unterstützten Oracle Service nutzt die private IP-Adresse der Instanz zum Routing, wird über die Oracle Cloud Infrastructure-Struktur übertragen und durchläuft niemals das Internet. Ähnlich wie das Internet-Gateway oder das NAT-Gateway ist das Service-Gateway ein virtuelles Gerät, das hochverfügbar ist und sich dynamisch skalieren lässt, um die Netzwerkbandbreite Ihres VCN zu unterstützen.

Auf welche Services von Oracle Cloud Infrastructure kann ich über ein Service-Gateway zugreifen?

Derzeit können Sie das Service-Gateway so konfigurieren, dass es auf die Oracle Services im Oracle Services Network zugreift. Derzeit ist in diesem Netzwerk eine große Anzahl von Oracle Services verfügbar (siehe die vollständige Liste ) und in Zukunft werden weitere Services hinzugefügt, sobald sie auf Oracle Cloud Infrastructure bereitgestellt werden.

Ich verwende derzeit ein Internet-Gateway oder NAT-Gateway, um auf einen Oracle Service wie ADW zuzugreifen. Wie verwende ich das Service-Gateway, um auf denselben Oracle Service-Endpunkt zuzugreifen?

  • Erstellen Sie ein Service-Gateway für das VCN.
  • Aktualisieren Sie das VCN-Routing, um den gesamten Datenverkehr für Oracle Services im Oracle Services Network über das Service-Gateway weiterzuleiten, anstatt das Internet-Gateway oder das NAT-Gateway zu verwenden.

Eine Anleitung finden Sie unter Zugriff auf Objektspeicher: Servicegateway. Bitte beachten Sie, dass das Service-Gateway den Zugriff auf Oracle Services in Ihrer Region ermöglicht, um Ihre Daten vor dem Internet zu schützen. Ihre Anwendungen erfordern möglicherweise Zugriff auf öffentliche Endpunkte oder Services, die vom Service-Gateway nicht unterstützt werden, z. B. Updates oder Patches. Stellen Sie bei Bedarf sicher, dass Sie über ein NAT-Gateway oder einen anderen Zugriff auf das Internet verfügen.

Was ist eine Service-CIDR-Kennzeichnung?

Das Service-Gateway verwendet das Konzept einer Service-CIDR-Kennzeichnung. Hierbei handelt es sich um eine Zeichenfolge, die alle regionalen öffentlichen IP-Adressbereiche für den Service oder eine Gruppe von Services darstellt (z. B. ist OCI IAD Services in Oracle Services Network die Kennzeichnung, die den regionalen CIDR-Blöcken im Oracle Services Network in us-ashburn-1 zugeordnet wird). Sie verwenden die Service-CIDR-Kennzeichnung, wenn Sie das Service-Gateway und die Routen-/Sicherheitsregeln konfigurieren. Eine Anleitung finden Sie unter Zugriff auf Oracle Services: Servicegateway.

Kann ich das Service-Gateway für den Zugriff auf Services konfigurieren, die in einer anderen Region ausgeführt werden?

Nein. Das Service-Gateway ist regional und kann nur auf Services zugreifen, die in derselben Region ausgeführt werden.

Kann ich den Zugriff auf einen Object Storage-Bucket nur von bestimmten VCNs oder Subnetzen aus zulassen?

Ja. Wenn Sie ein Service-Gateway verwenden, können Sie eine IAM-Richtlinie definieren, die den Zugriff auf einen Bucket nur dann ermöglicht, wenn die Anfragen von einem bestimmten VCN- oder CIDR-Bereich stammen. Die IAM-Richtlinie funktioniert nur für Datenverkehr, der über das Service-Gateway weitergeleitet wird. Der Zugriff wird blockiert, wenn die IAM-Richtlinie gilt und der Datenverkehr stattdessen ein Internet-Gateway durchläuft. Beachten Sie auch, dass die IAM-Richtlinie Sie daran hindert, durch die Konsole auf den Bucket zuzugreifen. Der Zugriff ist nur programmgesteuert über Ressourcen im VCN zulässig.

Ein Beispiel für eine IAM-Policy finden Sie unter Zugriff auf Object Storage: Servicegateway.

Kann ich mehrere Service-Gateways in meinem VCN haben?

Nein. Ein VCN kann zu diesem Zeitpunkt nur ein Service-Gateway haben.

Kann ich ein Service-Gateway mit VCN-Peering verwenden?

Nein. Ein VCN, das mit einem anderen VCN mit einem Service-Gateway verbunden wird, kann dieses Service-Gateway nicht für den Zugriff auf Oracle Services verwenden.

Kann ich ein Service-Gateway nutzen, um (über FastConnect) eine Verbindung von meinem On-Premises-Netzwerk zu meinem VCN herzustellen?

Nein. Sie können dazu jedoch das öffentliche FastConnect-Peering verwenden (ohne über das Internet zu gehen).

Gibt es neue Durchsatzbeschränkungen bei der Verwendung eines Service-Gateways?

Nein. Instanzen erhalten mit dem Service-Gateway den gleichen Durchsatz wie beim Routing des Datenverkehrs über ein Internet-Gateway.

Was kostet das Service-Gateway?

Das Service-Gateway ist für alle Oracle Cloud Infrastructure-Kunden kostenlos.

VCN-Sicherheit

Was sind Sicherheitslisten und warum benötige ich sie?

Eine Sicherheitsliste bietet eine virtuelle Firewall für eine Instanz mit Eingangs- und Ausgangsregeln, die die Arten des Datenverkehrs festlegen, der in die Instanz und aus der Instanz zugelassen wird. Sie können Ihre Compute-Instanz mithilfe von Sicherheitslisten sichern. Sie konfigurieren Ihre Sicherheitslisten auf der Subnetzebene. Das bedeutet, dass alle Instanzen im Subnetz denselben Sicherheitslistenregeln unterliegen. Die Regeln werden auf der Instanzebene durchgesetzt und steuern den Datenverkehr auf der Paketebene.

Welche Sicherheitslisten gelten für eine bestimmte Instanz? Inwiefern ist die Standardsicherheitsliste des VCN betroffen?

Eine bestimmte VNIC in einer Instanz unterliegt den Sicherheitslisten, die dem Subnetz der VNIC zugeordnet sind. Wenn Sie ein Subnetz erstellen, geben Sie eine oder mehrere Sicherheitslisten an, die mit dem Subnetz verknüpft werden sollen. Hierzu kann die Standardsicherheitsliste des VCN gehören. Wenn Sie während der Subnetzerstellung nicht mindestens eine Sicherheitsliste angeben, wird die Standardsicherheitsliste des VCN dem Subnetz zugeordnet. Die Sicherheitslisten werden auf Subnetzebene zugeordnet, die Regeln gelten jedoch für den Datenverkehr der VNIC auf Paketebene.

Kann ich die von meinem Subnetz verwendeten Sicherheitslisten ändern, nachdem ich das Subnetz erstellt habe?

Ja. Sie können Subnetz-Eigenschaften bearbeiten, um Sicherheitslisten hinzuzufügen oder zu entfernen. Sie können auch die einzelnen Regeln in einer Sicherheitsliste bearbeiten.

Wie viele Sicherheitslisten und -regeln kann ich konfigurieren?

Die Anzahl der Sicherheitslisten, die Sie erstellen können, die Anzahl der Listen, die Sie einem Subnetz zuordnen können, und die Anzahl der Regeln, die Sie einer bestimmten Liste hinzufügen können, sind begrenzt. Weitere Informationen zu den Standardbeschränkungen und Anweisungen zum Anfordern einer Service-Limit-Erhöhung finden Sie in der Hilfe-Dokumentation zu den Service-Limits.

Kann ich in den Sicherheitslisten Ablehnungsregeln verwenden?

Nein. Sicherheitslisten verwenden nur Zulassungsregeln. Der gesamte Datenverkehr wird standardmäßig abgelehnt. Nur Netzwerkdatenverkehr, der den in den Regeln angegebenen Attributen entspricht, ist zulässig.

Welche Art von Regeln werden in den Sicherheitslisten unterstützt?

Jede Regel ist entweder zustandsbehaftet oder zustandslos und entweder eine Eingangsregel oder eine Ausgangsregel.

Bei statusbehafteten Regeln wird nach dem Zulassen eines Netzwerkpakets, das der Regel entspricht, die Verbindungsnachverfolgung verwendet. Alle weiteren Netzwerkpakete, die zu dieser Verbindung gehören, werden dann automatisch zugelassen. Wenn Sie also eine statusbehaftete Eingangsregel erstellen, sind sowohl eingehender Datenverkehr, der mit der Regel übereinstimmt, als auch der entsprechende ausgehende (Antwort-) Datenverkehr zulässig.

Bei zustandslosen Regeln sind nur die Netzwerkpakete zulässig, die mit der Regel übereinstimmen. Wenn Sie also eine zustandslose Eingangsregel erstellen, ist nur der eingehende Datenverkehr zulässig. Sie müssen eine entsprechende zustandslose Ausgangsregel erstellen, die dem entsprechenden ausgehenden (Antwort-) Datenverkehr entspricht.

Weitere Informationen finden Sie in der Support-Dokumentation zu Sicherheitslisten.

Was sind Netzwerk-Sicherheitsgruppen und wie unterscheiden sie sich von Sicherheitslisten?

Netzwerk-Sicherheitsgruppen und -Sicherheitslisten sind zwei verschiedene Methoden zum Implementieren von Sicherheitsregeln. Diese Regeln steuern den ein- und ausgehenden Datenverkehr zu und von VNICs.

Security Lists ermöglichen es Ihnen, einen Satz von Sicherheitsregeln zu definieren, die für alle VNICs in einem bestimmten Subnetz gelten. Mit Netzwerksicherheitsgruppen (NSGs) können Sie eine Reihe von Sicherheitsregeln definieren, die für eine Gruppe von VNICs Ihrer Wahl gelten. Zum Beispiel: eine Gruppe von Compute-Instanzen mit derselben Sicherheitslage.

Weitere Informationen finden Sie unter:

Gibt es eine Reihenfolge oder Priorität von Sicherheitsregeln in NSGs gegenüber Sicherheitslisten?

Nein. Standardmäßig wird der gesamte Datenverkehr abgelehnt. Nur Sicherheitsregeln lassen Datenverkehr zu. Die Regeln, die für eine bestimmte VNIC gelten, ist die Kombination der folgenden Elemente:

  • Die Sicherheitsregeln in den Sicherheitslisten, die dem Subnetz der VNIC zugeordnet sind
  • Die Sicherheitsregeln in allen NSGs, in denen sich die VNIC befindet

Welche Oracle Services unterstützen die Verwendung von NSGs?

Compute-, Lastausgleichs- und Datenbankservices. Dies bedeutet, dass Sie beim Erstellen einer Compute-Instanz, eines Load Balancer oder eines Datenbanksystems eine oder mehrere Netzwerk-Sicherheitsgruppen angeben können, um den Datenverkehr für diese Ressourcen zu steuern.

Benötigen wir mit der Einführung der NSG-Funktion eine Sicherheitsliste?

Mit der Einführung von NSGs ändert sich nichts am Verhalten der Sicherheitsliste. Ihr VCN verfügt weiterhin über eine Standardsicherheitsliste, die Sie optional für die Subnetze Ihres VCN verwenden können.

Können wir NSG als Quelle oder Ziel für Sicherheitsregeln definieren?

Wenn Sie Regeln für eine NSG schreiben, können Sie eine NSG als Quelle des Datenverkehrs (für Eingangsregeln) oder als Ziel des Datenverkehrs (für Ausgangsregeln) angeben. Die Möglichkeit, eine NSG anzugeben, bedeutet, dass Sie auf einfache Weise Regeln schreiben können, um den Datenverkehr zwischen zwei verschiedenen NSGs zu steuern. Die NSGs müssen sich in demselben VCN befinden.

Kann ich Sicherheitsregeln schreiben, die den Datenverkehr zwischen NSGs in verschiedenen VCNs explizit steuern?

Nein. Wenn Sie eine NSG-Sicherheitsregel schreiben, die eine andere NSG als Quelle oder Ziel angibt, muss sich diese NSG in demselben VCN befinden. Dies gilt auch dann, wenn sich die andere NSG in einer von der Sicherheitsliste abweichenden VCN befindet.

Mit Sicherheitslisten können Sie eine Reihe von Sicherheitsregeln definieren, die für alle VNICs in einem vollständigen Subnetz gelten. Mit Netzwerk-Sicherheitsgruppen (NSGs) können Sie eine Reihe von Sicherheitsregeln definieren, die für eine Gruppe von VNICs Ihrer Wahl (einschließlich der VNICs von Load Balancers oder Datenbanksystemen) innerhalb eines VCN gelten.

VCN-Routing

Was ist eine VCN-Routingtabelle?

Eine VCN-Routingtabelle enthält Regeln zum Weiterleiten von Datenverkehr, der letztendlich für Standorte außerhalb des VCN bestimmt ist.

Jede Regel in einer Routingtabelle hat einen Ziel-CIDR-Block und ein Routenziel. Wenn der ausgehende Datenverkehr des Subnetzes mit dem Ziel-CIDR-Block der Routingregel übereinstimmt, wird der Datenverkehr an das Routing-Ziel weitergeleitet. Beispiele üblicher Routingziele beinhalten: ein Internet-Gateway oder ein dynamisches Routing-Gateway.

Weitere Informationen finden Sie unter Routingtabellen.

Welche Routingtabellen gelten für eine bestimmte Instanz? Inwiefern ist die Standard-Routingtabelle des VCN beteiligt?

Eine bestimmte VNIC in einer Instanz unterliegt den Routingtabellen, die dem Subnetz der VNIC zugeordnet sind. Wenn Sie ein Subnetz erstellen, geben Sie eine Routingtabelle an, die mit dem Subnetz verknüpft werden soll. Dies kann die Standardroutingtabelle des VCN oder eine andere sein, die Sie bereits erstellt haben. Wenn Sie während der Subnetzerstellung keine Routingtabelle angeben, wird die Standardroutingtabelle des VCN dem Subnetz zugeordnet. Die Routingtabelle wird auf Subnetzebene zugeordnet, die Regeln gelten jedoch für den Datenverkehr der VNIC auf Paketebene.

Kann ich eine Routingregel für einen beliebigen Ziel-CIDR-Block erstellen?

Nein. Derzeit können Sie eine Routingregel nur für einen CIDR-Block hinzufügen, der sich nicht mit dem Adressraum des VCN überschneidet.

Kann ich die von meinem Subnetz verwendete Routingtabelle ändern, nachdem ich das Subnetz erstellt habe?

Ja. Sie können Subnetzeigenschaften bearbeiten, um die Routingtabelle zu ändern. Sie können auch die einzelnen Regeln in einer Routingtabelle bearbeiten.

Unterstützt VCN quellbasiertes Routing?

Nein, derzeit nicht.

Wie viele Routingregeln kann ich in einer einzelnen Routingtabelle erstellen?

Die Anzahl der Regeln in einer Routingtabelle ist begrenzt. Weitere Informationen finden Sie in der Hilfedokumentation zu Servicelimits.

Kann ich eine private IP als Routingziel in der VCN-Routingregel verwenden?

Ja. Sie können eine private IP als Ziel einer Routingregel in Situationen verwenden, in denen Sie den Datenverkehr eines Subnetzes an eine andere Instanz im gleichen VCN weiterleiten möchten. Anforderungen und weitere Details finden Sie unter Verwenden einer privaten IP als Routingziel.

VCN-Peering

Was ist VCN-Peering?

Beim VCN-Peering werden zwei VCNs verbunden, um die private Konnektivität und den Datenverkehrsfluss zwischen ihnen zu ermöglichen. Es gibt zwei allgemeine Peering-Typen:

  • Lokales VCN-Peering (oder intraregionales Peering): Die beiden VCNs befinden sich in der selben Region. Sie können sich in derselben Tenancy (in derselben oder in unterschiedlichen Abteilungen) oder in unterschiedlichen Tenancys befinden.
  • Remote VCN Peering (oder Inter-Region-VCN-Peering): Die beiden VCNs befinden sich in unterschiedlichen Regionen.

Weitere Informationen finden Sie unter Zugriff auf andere VCNs: Peering.

Wird VCN-Peering in allen Regionen unterstützt?

  • Lokales VCN-Peering (oder intraregionales Peering) wird in allen Regionen unterstützt.
  • Remote VCN Peering (oder Inter-Region-Peering) wird derzeit unterstützt. Die Liste der unterstützten Regionen finden Sie in der Produktdokumentation.

Warum brauche ich VCN-Peering?

  • Mit lokalem VCN-Peering erhalten Sie die Flexibilität, Ihre Ressourcen in getrennten VCNs zu organisieren, die Anforderungen an Governance und regionale Präsenz zu erfüllen und gleichzeitig die private Konnektivität über diese VCNs hinweg zu ermöglichen. Mit Tenancy-übergreifendem lokalem VCN-Peering erhalten Sie die Flexibilität, Ihre Ressourcen in separaten VCNs in verschiedenen Tenancys zu organisieren und gleichzeitig die private Konnektivität über diese VCNs hinweg zu ermöglichen. Sie können auch ein Service Provider-Modell aktivieren, indem Sie mehreren Verbraucher-VCNs (in verschiedenen Tenancys) in derselben Region privaten Zugriff auf Ihre Services gewähren.
  • Mit Remote-VCN-Peering erhalten Sie die Flexibilität, um Ihre Ressourcen in separaten VCNs zu organisieren und Ihre Anforderungen an Governance, Präsenz in mehreren Regionen und DR zu erfüllen, während Sie die private Konnektivität zwischen diesen VCNs in verschiedenen Regionen ermöglichen.

Was sind die Vorteile des lokalen VCN-Peering?

  • Eine kostenlose, zuverlässige Alternative zu Konnektivitätsmodellen wie VPN, da Internet-Gateways, öffentliche IP-Adressen für Instanzen, Verschlüsselung und Performance-Engpässe beseitigt werden.
  • Einfache Peering-Aktivierung zwischen VCNs ohne geplante Ausfallzeit.
  • Private Konnektivität für Ressourcen in gleichrangigen VCNs mithilfe der hochgradig redundanten Verbindungen der Oracle Cloud Infrastructure-Struktur mit vorhersehbarer Bandbreite und Latenz.

Wie richte ich lokales VCN-Peering zwischen zwei VCNs ein?

Anweisungen finden Sie unter Lokales VCN-Peering.

Kann ich lokales Peering zwischen zwei VCNs mit überlappenden Adressbereichen einrichten?

Nein. Die beiden VCNs in einer lokalen Peering-Beziehung dürfen keine überlappenden CIDRs aufweisen.

Kann ich lokales Peering von meinem VCN zu zwei anderen VCNs einrichten, deren IP-Adressbereiche sich überschneiden?

Ja. Wenn VCN-1 mit zwei anderen VCNs (z. B. VCN-2 und VCN-3) verbunden wird, können diese beiden VCNs (VCN-2 und VCN-3) überlappende CIDRs aufweisen.

Kann ich eine lokale Peering-Verbindung zu einem VCN herstellen, das zu einem anderen Konto gehört?

Ja.

Wie viele lokale Peerings kann ich pro VCN einrichten?

Ein bestimmtes VCN kann maximal zehn lokale Peerings gleichzeitig aufweisen.

Was sind die Vorteile von lokalem Remote-VCN-Peering?

  • Eine kostengünstige, zuverlässige Alternative zu Konnektivitätsmodellen wie VPN, da Internet-Gateways, öffentliche IP-Adressen für Instanzen, Verschlüsselung und Performance-Engpässe beseitigt werden.
  • Einfache Peering-Aktivierung zwischen VCNs ohne geplante Ausfallzeit.
  • Private Konnektivität für Ressourcen in gleichrangigen VCNs mithilfe der hochgradig redundanten Backbone-Verbindungen von Oracle Cloud Infrastructure mit vorhersehbarer Bandbreite und Latenz.

Benötige ich ein Internet-Gateway, um eine Remote-Peering-Verbindung herzustellen?

Nein. Sie stellen eine Remote-Peering-Verbindung mithilfe eines dynamischen Routing-Gateways (DRG) her.

Wie richte ich Remote-VCN-Peering zwischen zwei VCNs ein?

Anweisungen finden Sie unter Remote-VCN-Peering.

Kann ich Remote-Peering zwischen zwei VCNs mit überlappenden Adressbereichen einrichten?

Nein. Die beiden VCNs in einer Remote-Peering-Beziehung dürfen keine überlappenden CIDRs aufweisen.

Kann ich Remote-Peering von meinem VCN zu zwei anderen VCNs einrichten, deren IP-Adressbereiche sich überschneiden?

Nein. Wenn VCN-1 mit zwei anderen VCNs (z. B. VCN-2 und VCN-3) remote verbunden wird, können diese beiden VCNs (VCN-2 und VCN-3) keine überlappenden CIDRs aufweisen.

Kann ich eine Remote-Peering-Verbindung zu einem VCN herstellen, das zu einem anderen Konto gehört?

Nein.

Ist mein Remote-VCN-Peering-Datenverkehr verschlüsselt?

Ja. Ihr Remote-VCN-Peering-Datenverkehr wird mit der branchenüblichen Verbindungsverschlüsselung verschlüsselt.

Wie viele Remote-Peerings kann ich pro VCN einrichten?

Ein bestimmtes VCN kann maximal zehn Remote-Peerings gleichzeitig aufweisen.

Kann ich als Administrator von VCN-A die Konnektivität zu nur einem bestimmten Subnetz auf dem gleichrangigen VCN-B steuern?

Ja. Sie können die Routingtabellen und Sicherheitslisten von VCN-A verwenden, um die Konnektivität mit dem gleichrangigen VCN-B zu steuern. Sie können die Konnektivität für den gesamten Adressbereich von VCN-B zulassen oder auf ein oder mehrere Subnetze beschränken.

Kann ich als Administrator von VCN-A steuern, auf welche Subnetze von VCN-A über das gleichrangige VCN-B zugegriffen werden kann?

Ja. Nachdem das lokale oder Remote-Peering eingerichtet wurde, können die Instanzen in VCN-B Datenverkehr an den gesamten Adressbereich von VCN-A senden. Sie können jedoch den Zugriff von Instanzen in VCN-B auf ein bestimmtes Subnetz in VCN-A einschränken, indem Sie die entsprechenden Eingangsregeln in den Sicherheitslisten des Subnetzes verwenden.

Gibt es Auswirkungen auf die Performance basierend auf dem Durchsatz und der Latenz im Vergleich zum eingerichteten lokalen Peering zwischen zwei VCNs?

Nein. Durchsatz und Latenz sollten ähnlich der intraregionalen VCN-Verbindungen liegen. Der Datenverkehr über das lokale Peering unterliegt ähnlichen Verfügbarkeits- und Bandbreitenbeschränkungen wie der Datenverkehr zwischen Instanzen in einem VCN.

Gibt es Performance auf die Leistung basierend auf dem Durchsatz und der Latenz im Vergleich zum eingerichteten Remote-Peering zwischen zwei VCNs?

Remote-VCN-Peering verwendet das Oracle Cloud Infrastructure-Inter-Region-Backbone, das auf hohe Leistung und Verfügbarkeit ausgelegt ist und eine SLA-Verfügbarkeit von 99,5 % für die Inter-Region-Konnektivität bietet. Als Richtwert stellt Oracle mehr als 75 Mbit/s Durchsatz und eine Latenz von unter 60 ms zwischen Regionen in den USA, 80 ms zwischen der EU und den USA, 175 ms zwischen den USA und APAC sowie 275 ms zwischen der EU und APAC bereit.

Wie hoch sind die Preise für VCN-Peering?

  • Lokales Peering (intraregional): Kostenlos.
  • Remote-Peering (regionsübergreifend): Die Preise hängen von der ausgehenden Datenübertragung ab. Weitere Details finden Sie in den aktuellen veröffentlichten Preisen für den Outbound-Datentransfer.

VCN-Transit-Routing

Was ist VCN-Transit-Routing (VTR)?

Die VCN-Transit-Routing-Lösung (VTR) basiert auf einer Hub-and-Spoke-Topologie und ermöglicht es dem Hub-VCN, Transitkonnektivität zwischen mehreren Spoke-VCNs (innerhalb der Region) und On-Premises-Netzwerken bereitzustellen. Für die Kommunikation des On-Premises-Netzwerks mit allen Spoke-VCNs ist nur eine einzelne FastConnect- oder IPSec-VPN-Verbindung zum Hub-VCN erforderlich.

Wie sehen die ersten Schritte mit VCN-Transit-Routing (VTR) aus?

Anweisungen finden Sie unter Einrichten von VCN-Transit-Routing in der Konsole.

Auf welche Arten von Remote-Netzwerken können die Spoke-VCNs über das Hub-VCN zugreifen?

Aktuell können die Spoke-VCNs über das Hub-VCN auf Ihre On-Premises-Netzwerke zugreifen.

Kann ich das Hub-VCN so konfigurieren, dass Konnektivität zu Spoke-VCNs in Oracle Cloud Infrastructure-Remoteregionen bereitgestellt wird?

Nein. Die Lösung VCN-Transit-Routing unterstützt nur die konsolidierte Konnektivität zwischen VCNs in derselben Region.

Kann ich das Hub-VCN so konfigurieren, dass ein Spoke-VCN nur auf bestimmte Subnetze im On-Premises-Netzwerk zugreifen kann?

Ja. Sie steuern dies mit der Routingtabelle, die dem LPG auf dem Hub-VCN zugeordnet ist. Sie können restriktive Routingeinträge konfigurieren, die nur die On-Premises-Subnetze freigeben, die dem Spoke-VCN zur Verfügung stehen sollen. Die dem Spoke-VCN angezeigten Routen entsprechen denen in dieser Routingtabelle und des CIDR des Hub-VCN.

Kann ich das Hub-VCN so konfigurieren, dass das On-Premises-Netzwerk nur auf bestimmte Subnetze im Spoke-VCN zugreifen kann?

Ja. Sie steuern dies mit der Routingtabelle, die dem DRG auf dem Hub-VCN zugeordnet ist. Sie können restriktive Routingeinträge konfigurieren, die nur die Spoke-VCN-Subnetze freigeben, die dem On-Premises-Netzwerk zur Verfügung stehen sollen. Die an das On-Premises-Netzwerk angekündigten Routen entsprechen den Einträgen in dieser Routentabelle sowie dem CIDR des Hub-VCN.

Gibt es eine begrenzte Anzahl von Spoke-VCNs, die mit dem Hub-VCN zusammengeschlossen werden können?

Ja. Das Hub-VCN ist auf maximal 10 lokale Peerings mit Spoke-VCNs beschränkt.

Kann ich das Hub-VCN so konfigurieren, dass das On-Premises-Netzwerk auf Oracle Services zugreifen kann?

Ja. Sie können einem VCN, das über FastConnect oder eine Site-to-Site-VPN-Verbindung mit Ihrem On-Premises-Netzwerk verbunden ist, ein Servicegateway hinzufügen. Anschließend können Sie Routingregeln in den Routingtabellen konfigurieren, die mit dem DRG und dem Service-Gateway des VCN verknüpft sind, um den On-Premises-Datenverkehr durch das VCN zu den relevanten Oracle Services leiten. Ihre On-Premises-Hosts können ihre privaten IP-Adressen für die Kommunikation mit den Oracle Services verwenden und der Datenverkehr wird nicht über das Internet übertragen.

Weitere Informationen finden Sie unter Transitrouting: Privater Zugriff auf Oracle Services.

Kann ich Routing über eine virtuelle Netzwerk-Appliance (z. B. eine Firewall-Instanz) im Hub-VCN aktivieren?

Ja. Sie können das Transit-Routing über eine private IP im Hub-VCN einrichten. In diesem Fall leiten Sie den Datenverkehr an ein privates IP in der Firewall-Instanz im Hub-VCN weiter. Die Firewall-Instanz kann den gesamten Datenverkehr zwischen Ihrem On-Premises-Netzwerk und den Spoke-VCNs überprüfen.

Gibt es Performance-Limits im Zusammenhang mit dem VCN-Transit-Routing?

Wenn Sie das Routing über eine Firewall-Instanz (oder eine andere virtuelle Netzwerk-Appliance) im Hub-VCN ausführen, basieren die Performance-Limits auf den E/A-Eigenschaften der virtuellen Netzwerk-Appliance. Wenn Sie den Datenverkehr nicht über eine virtuelle Netzwerk-Appliance weiterleiten, sondern direkt über die Gateways des Hub-VCN, gibt es keine Performance-Limits. Die Gateways sind virtuelle Geräte, die hochverfügbar sind und dynamisch skaliert werden, um die Bandbreitenanforderungen Ihres Netzwerks zu unterstützen.

DHCP-Optionen

Was sind DHCP-Optionen?

Das Dynamic Host Configuration Protocol (DHCP) bietet ein Framework für die Weitergabe von Konfigurationsinformationen an Hosts in einem IP-Netzwerk. Konfigurationsparameter und andere Steuerungsinformationen werden an die Instanz im Optionsfeld ( RFC 2132) der DHCP-Nachricht übertragen. Jedem Subnetz in einem VCN kann ein einzelner Satz von DHCP-Optionen zugeordnet sein.

Welche DHCP-Optionen kann ich konfigurieren?

Sie können zwei Optionen konfigurieren, die steuern, wie Instanzen in Ihrem VCN DNS-Hostnamen (Domain Name System) auflösen:

  • Suchdomäne. Sie können eine einzelne Suchdomäne angeben.
  • DNS-Typ. Wählen Sie aus:
    • Internet- und VCN-Resolver (Standard)
    • Benutzerdefinierter Resolver (Sie können bis zu drei DNS-Server Ihrer Wahl angeben, die von Ihnen eingerichtet, verwaltet und gewartet werden)

Beim Auflösen einer DNS-Abfrage verwendet das Betriebssystem der Instanz die mit DNS-Typ angegebenen DNS-Server und fügt die Suchdomäne an den abgefragten Wert an. Weitere Informationen finden Sie unter DHCP-Optionen.

Kann ich die von meinem Subnetz verwendeten DHCP-Optionen ändern, nachdem ich das Subnetz erstellt habe?

Ja. Sie können die Subnetz-Eigenschaften bearbeiten, um die vom Subnetz verwendeten DHCP-Optionen zu ändern. Sie können auch die Werte der DHCP-Optionen ändern.

DNS

Wie konfiguriere ich einen DNS-Hostnamen für meine Instanz?

Wenn Sie eine Instanz starten, können Sie einen Hostnamen für die Instanz zusammen mit einem Anzeigenamen angeben. Dieser Hostname wird in Kombination mit dem Domänennamen des Subnetzes zum vollqualifizierten Domänennamen (FQDN) Ihrer Instanz. Dieser FQDN ist innerhalb des VCN eindeutig und wird in die private IP-Adresse Ihrer Instanz aufgelöst. Weitere Informationen finden Sie unter DNS in Ihrem virtuellen Cloud-Netzwerk.

Beachten Sie, dass zur Angabe eines Hostnamens für die Instanz das VCN und Subnetz so konfiguriert sein müssen, dass DNS-Hostnamen aktiviert werden können.

Wie konfiguriere ich das VCN und das Subnetz, um Hostnamen zu aktivieren?

Wenn Sie ein VCN erstellen, können Sie dessen DNS-Bezeichnung angeben. Dies wird in Kombination mit der übergeordneten Domäne oraclevcn.com zum Domänennamen des VCN.

Wenn Sie ein Subnetz erstellen, können Sie dessen DNS-Bezeichnung angeben. In Kombination mit dem Domänennamen des VCN wird diese zum Domänennamen des Subnetzes.

Sie können einen Hostnamen für eine Computerinstanz nur aktivieren, wenn sowohl das VCN als auch das Subnetz mit einer DNS-Bezeichnung erstellt wurden.

Was ist ein DNS-Hostname einer Compute-Instanz?

Ein DNS-Hostname ist ein Name, der der IP-Adresse einer mit einem Netzwerk verbundenen Instanz entspricht. Bei einem VCN von Oracle Cloud Infrastructure kann jede Instanz mit einem DNS-Hostnamen konfiguriert werden, der der privaten Adresse der Instanz entspricht.

Ein vollqualifizierter Domainname (FQDN) einer Instanz sieht wie folgt aus: hostname.subnetdnslabel.vcndnslabel.oraclevcn.com, wobei Hostname der DNS-Hostname der Instanz ist. Subnetdnslabel und vcndnslabel sind die DNS-Labels des Subnetzes der Instanz bzw. des VCN.

Die übergeordnete Domäne oraclevcn.com ist für die Verwendung mit DNS-Hostnamen reserviert, die in Oracle Cloud Infrastructure erstellt wurden.

Kann ich den Hostnamen meiner Instanz umbenennen?

Ja.

Kann ich die DNS-Bezeichnung eines vorhandenen VCN oder eines Subnetzes umbenennen?

Nein.

Wenn mein Subnetz für die Verwendung eines benutzerdefinierten Resolvers für DNS konfiguriert ist, werden DNS-Hostnamen für Instanzen in diesem Subnetz erstellt?

Ja. DNS-Hostnamen werden für Instanzen unabhängig vom für das Subnetz ausgewählten DNS-Typ erstellt.

Kann meine Instanz Hostnamen von Instanzen in anderen VCNs auflösen?

Nein. Die Instanz kann nur Hostnamen von Instanzen innerhalb desselben VCN auflösen.

Kann ich meine benutzerdefinierten DNS-Server so konfigurieren, dass VCN-interne DNS-Hostnamen aufgelöst werden?

Ja, dies ist mit benutzerdefinierten DNS-Servern möglich, die im VCN eingerichtet sind. Sie können die benutzerdefinierten DNS-Server so konfigurieren, dass sie 169.254.169.254 als Weiterleitung für die VCN-Domain (wie contoso.oraclevcn.com) verwenden.

Beachten Sie, dass die benutzerdefinierten DNS-Server in einem Subnetz konfiguriert werden müssen, das "Internet und VCN-Resolver" als DNS-Typ verwendet (um den Zugriff auf die IP-Adresse 169.254.169.254 zu ermöglichen).

Ein Beispiel für eine Implementierung mit dem Oracle Terraform-Anbieter finden Sie unter "Hybrid-DNS-Konfiguration".

Abrechnung

Wird mir die Verwendung eines VCN in Rechnung gestellt?

Das Erstellen und Verwenden von VCNs ist kostenlos. Es fallen jedoch Nutzungsgebühren für andere Oracle Cloud Infrastructure-Dienste (einschließlich Compute- und Blockvolumes) und Datenübertragungsgebühren zu den veröffentlichten Tarifen an. Für die Kommunikation zwischen Ressourcen innerhalb eines VCN fallen keine Datenübertragungsgebühren an.

Wie werde ich abgerechnet, wenn ich mein VCN über ein IPSec-VPN mit meinem On-Premises-Data-Center verbinde?

Ihnen werden nur die veröffentlichten ausgehenden Datenübertragungsraten in Oracle Cloud Infrastructure berechnet. Es gibt keine stündliche oder monatliche VPN-Verbindungsgebühr.

Wie hoch sind meine Nutzungsgebühren, wenn ich andere Ressourcen wie die Datenbank oder den Object Storage-Service von Instanzen innerhalb meines VCN verwende?

Beim Zugriff auf andere öffentliche Oracle Cloud Infrastructure-Dienste wie z. B. Object Storage in derselben Region fallen keine Datenübertragungsgebühren an. Der gesamte Netzwerkverkehr über private oder öffentliche IP-Adressen zwischen Ihren Instanzen und anderen Ressourcen in Ihrem VCN, z. B. einer Datenbank oder einem Load Balancer, ist kostenlos.

Wenn Sie über Ihr IPSec-VPN von Ihrem VCN aus auf öffentliche Oracle Cloud Infrastructure-Ressourcen zugreifen, fallen die veröffentlichten Gebühren für die ausgehende Datenübertragung an.

Verstehen sich Ihre Preise inklusive Steuern?

Sofern nicht anders angegeben, enthalten die Oracle Cloud Infrastructure-Preise sowie die Gebühren für die ausgehende Datenübertragung, keine Steuern und Abgaben, einschließlich Mehrwertsteuer und etwaiger anfallender Umsatzsteuern.