Preguntas generales
¿Qué es una red virtual en la nube (VCN)?
Una VCN es una red privada personalizable en Oracle Cloud Infrastructure. Al igual que una red de centro de datos tradicional, una VCN te proporciona control completo de tu entorno de red. Esto incluye asignar su propio espacio privado de direcciones IP, crear subredes, crear tablas de rutas y configurar cortafuegos con estado. Una sola tenencia (una cuenta de Oracle Cloud Infrastructure) puede tener múltiples VCN, lo que proporciona agrupación y aislamiento de recursos relacionados. Por ejemplo, puedes usar múltiples VCN para separar los recursos en diferentes departamentos de tu empresa.
¿Cuáles son los componentes principales de una VCN?
Para obtener una lista completa de componentes, consulte Descripción general de las redes.
¿Cómo empiezo a usar las VCN?
Para obtener un tutorial rápido sobre cómo iniciar una instancia dentro de una VCN en Oracle Cloud Infrastructure, consulte la Guía de inicio.
Consulte también estos temas:
¿Qué direcciones IP puedo usar dentro de mi VCN?
Cuando creas tu VCN, le asignas un bloque CIDR IPv4 contiguo de tu elección. Se pueden asignar a un VCN tamaños de CIDR IPv4 que van desde /16 (65,533 direcciones IP) hasta /30 (1 dirección IP). Ejemplo: 10.0.0.0/16, 192.168.0.0/24
Recomendamos usar un bloque CIDR de los intervalos de direcciones privadas especificados por RFC1918. Si utiliza un bloque CIDR no RFC1918, tenga en cuenta que todavía se trata como un intervalo de direcciones IP privadas y no se puede enrutar desde Internet a través de la puerta de enlace de Internet de Oracle. Opcionalmente, también puedes asignar prefijos IPv6 ULA o GUA a un VCN. Un VCN puede tener hasta 16 CIDR IPv4 y hasta 16 prefijos IPv6.
Para usar las direcciones IP, crea subredes subdividiendo el bloque CIDR del VCN en rangos CIDR de red más pequeños. El bloque CIDR de una subred debe caer dentro del bloque CIDR de la VCN. Cuando lanzas una instancia en una subred, la dirección IP privada de la instancia se asigna desde el bloque CIDR de esa subred.
¿Cuántas redes IP puedo asignar a una subred dentro de un VCN?
Una subred de un VCN puede tener hasta 16 bloques CIDR IPv4 y 16 prefijos IPv6. Cada bloque CIDR IPv4 y cada prefijo IPv6 asignado a una subred debe estar contenido dentro de uno de los bloques CIDR IPv4 del VCN o de los prefijos IPv6 del VCN, respectivamente. Para IPv6, una subred solo puede tener un prefijo ::/64 asignado desde cada prefijo IPv6 padre del VCN.
¿Puedo marcar una subred como privada?
Sí. Al crear una subred, puede especificar el tipo de acceso: privado o público. Se crea una subred con acceso público de forma predeterminada, en cuyo caso se puede asignar una dirección IP pública a las instancias de la subred. Las instancias iniciadas en una subred con acceso privado no pueden incluir direcciones IP públicas, lo que garantiza que estas instancias no tengan acceso directo a Internet.
¿Puede una VCN abarcar múltiples dominios de disponibilidad?
Sí.
¿Puede una subred abarcar múltiples dominios de disponibilidad o múltiples VCN?
Las subredes pueden abarcar múltiples dominios de disponibilidad, pero no múltiples VCN. Si crea una subred regional, los recursos de la subred pueden residir en cualquier dominio de disponibilidad de la región. Sin embargo, si crea una subred específica del dominio de disponibilidad, los recursos de la subred deben residir en el dominio de disponibilidad particular de la subred.
¿Puedo crear las VCN con direcciones IP superpuestas?
Sí. Sin embargo, si planeas conectar un VCN a tu red on-premises u otro VCN, te recomendamos asegurarte de que los rangos de direcciones IP no se superpongan.
¿Cuántas VCN, subredes y otros recursos de red puedo crear?
Para conocer los límites actuales de todos los servicios y las instrucciones para solicitar un aumento del límite de servicio, consulte la documentación de ayuda de Límites de servicio.
¿Puedo modificar mi subred después de crearla?
Sí. Puede modificar el nombre de la subred y cambiar la tabla de rutas, las listas de seguridad y el conjunto de opciones de DHCP que están asociados a ella. Para IPv4, también puedes redimensionar la red modificando la longitud del prefijo del bloque CIDR. También puedes agregar o eliminar bloques CIDR IPv4 y prefijos IPv6.
Puerta de enlace de enrutamiento dinámico (DRG)
¿En qué dominios está disponible la nueva funcionalidad de DRG?
La nueva funcionalidad está disponible en el dominio comercial. Estará disponible en otros dominios en el futuro.
¿En qué regiones está disponible la nueva funcionalidad de puerta de enlace de enrutamiento dinámico (Dynamic Routing Gateway, DRG)?
La nueva funcionalidad está disponible en todas las regiones comerciales de Oracle Cloud Infrastructure (OCI).
¿La nueva funcionalidad está disponible en mis DRG existentes (creadas antes del 15 de abril de 2021)?
Sí. Sin embargo, debe actualizar la DRG mediante el proceso de actualización que se especifica en la documentación.
¿Cómo puedo controlar qué redes virtuales en la nube (virtual cloud networks, VCN) se pueden comunicar entre sí?
Las comunicaciones entre asociaciones de DRG (incluidas las VCN) se controlan mediante tablas de rutas y sus políticas de importación asociadas. La tabla de rutas de asociación de VCN predeterminada permite que todas las VCN asociadas se comuniquen entre sí. Puede cambiar la política de importación asociada para lograr el aislamiento de las VCN como se muestra aquí.
¿Puedo asociar una VCN de otro arrendamiento a mi DRG?
Sí. Sin embargo, esto requiere que se configuren políticas específicas de IAM.
¿Cuál es la configuración de enrutamiento predeterminada en la DRG?
La DRG admite el enrutamiento dinámico y estático entre redes conectadas. La DRG tiene dos tablas de rutas predeterminadas. Una para sus asociaciones de conexión de intercambio de tráfico de FastConnect, red privada virtual (virtual private network, VPN) con seguridad del protocolo de Internet (Internet Protocol security, IPsec) y llamada a procedimiento remoto (remote procedure call, RPC) y otra para las asociaciones de VCN. Puede crear tablas de rutas adicionales para un control más detallado del flujo de tráfico entre los archivos adjuntos. Las rutas deciden la asociación de siguiente salto en función de la dirección IP de destino del paquete.
¿Cómo resuelve la DRG los conflictos de rutas?
Las rutas estáticas tienen mayor preferencia que las dinámicas. No puedes crear múltiples rutas estáticas para el mismo CIDR. En el caso de las rutas dinámicas, los conflictos se resuelven de la siguiente manera:
- En el caso de las rutas destinadas a asociaciones de VCN: si se importan CIDR idénticos de dos asociaciones de VCN, se toma una decisión de reenvío determinista y uniforme sobre la preferencia de ruta. El cliente no puede controlar este orden de preferencia.
- En el caso de las rutas destinadas a circuitos virtuales de FastConnect o VPN con IPsec: si se importan varias rutas con la misma longitud de ruta de AS y CIDR a una tabla de rutas de DRG y el enrutamiento de rutas múltiples de igual costo (Equal Cost Multi-Path, ECMP) está desactivado, se selecciona la ruta con la dirección IP de siguiente salto más baja. Si el ECMP está activado, se utilizarán ambas rutas, y el tráfico destinado al CIDR se enrutará mediante ECMP. Si las rutas tienen CIDR idénticos pero longitudes de ruta de AS diferentes, solo se utilizará la ruta con la longitud de ruta de AS más corta.
- En el caso de las rutas destinadas a asociaciones de RPC/intercambio de tráfico: si se importan CIDR idénticos de dos asociaciones RPC/intercambio de tráfico, se utiliza el que tenga la longitud de ruta de AS más corta. Si las dos rutas tienen la misma longitud que la ruta de AS, se selecciona la ruta con la menor distancia de red. La distancia de red hace referencia al número de DRG que recorrerá la ruta. Si dos rutas tienen distancias de red idénticas, la selección se basará en el siguiente orden: {Static, VCN, VC, IPSec}). Si todavía hay un conflicto, Oracle enrutará el tráfico a través de la ruta más eficiente de su red interna.
¿Cómo se propagan las rutas a la DRG?
Puede especificar cómo se importan y exportan las rutas por tabla de rutas modificando las políticas de importación y exportación asociadas. Las rutas se propagan de la siguiente manera:
- Rutas propagadas a/desde redes locales: al conectar VPN de IPsec o circuitos virtuales de FastConnect a una DRG, las rutas se propagan entre la DRG y el enrutador local mediante el protocolo de puerta de enlace de borde (Border Gateway Protocol, BGP). Las VPN con IPsec también admiten el enrutamiento estático, pero para garantizar una conmutación por error automática óptima para la redundancia, la mejor práctica es utilizar el BGP.
- Rutas propagadas desde VCN: al asociar una VCN a una DRG, la tabla de rutas de la asociación se actualizará automáticamente para incluir rutas a todas las subredes de la VCN y todos los CIDR de la tabla de rutas de entrada de la VCN asociada a la asociación de la VCN.
- Rutas propagadas a las VCN: las rutas de DRG no se propagan automáticamente a su VCN. Debe crear rutas estáticas en las tablas de rutas de VCN para el tráfico destinado a redes locales u otras VCN de OCI. Estas tablas de rutas se gestionan como parte de la configuración de la VCN.
¿Puedo conectar VCN de OCI con CIDR de subred idénticos a la misma DRG?
Puede conectar dos VCN de OCI con CIDR solapados a la misma DRG. La tabla de rutas del DRG toma una decisión de reenvío determinista y uniforme para determinar qué asociación de VCN es el siguiente salto para los CIDR de subred en conflicto. El cliente no puede controlar este orden de preferencia. Debido a la complejidad de controlar este comportamiento, no se recomiendan CIDR solapados.
¿Puedo utilizar un único circuito virtual de FastConnect para conectar mi red local a todas las VCN de OCI independientemente de la región?
Sí, la DRG ahora permite utilizar FastConnect en una región para comunicarse con los recursos de una VCN de otra región.
Rendimiento y límites: ¿cuáles son los límites o cuotas predeterminados de la DRG?
Puede encontrar más información sobre los límites y las cuotas en nuestra documentación.
Si necesita exceder estos límites, cree un caso de soporte.
Interoperabilidad de funciones: ¿La DRG admite IPv6?
Sí. La DRG admite la conexión de VCN con CIDR IPv6.
¿Y si quiero seguir utilizando mi DRG como está y no necesito las capacidades mejoradas?
El comportamiento predeterminado de la DRG no ha cambiado. Debe activar explícitamente las nuevas funciones.
¿Cuál es el contenido de las tablas de rutas predeterminadas asociadas a la DRG?
La DRG tiene dos tablas de rutas predeterminadas. Una para sus asociaciones de conexión de intercambio de tráfico de FastConnect, red privada virtual (virtual private network, VPN) con seguridad del protocolo de Internet (Internet Protocol security, IPsec) y llamada a procedimiento remoto (remote procedure call, RPC) y otra para las asociaciones de VCN. Estas dos tablas de rutas predeterminadas implementan el comportamiento de la DRG existente.
¿Debería utilizar la puerta de enlace de intercambio de tráfico local o la DRG para permitir la comunicación entre las VCN en la misma región?
Cada VCN puede tener hasta 10 puertas de enlace de intercambio de tráfico locales y una DRG. Una única DRG admite hasta 300 asociaciones de VCN. Recomendamos utilizar la DRG si necesita conectarse con un gran número de VCN. Además, si desea tener un ancho de banda extremadamente alto y un tráfico de latencia muy baja entre dos VCN de la misma región, utilice el escenario descrito en Intercambio de tráfico de VCN local mediante puertas de enlace de intercambio de tráfico locales. Intercambiar tráfico entre dos VCN de la misma región a través de una DRG brinda más flexibilidad en el enrutamiento, pero conlleva el costo de una mayor latencia y un ancho de banda potencialmente menor.
¿Cuál es el número máximo de rutas de ECMP admitidas?
El límite actual es de 8 rutas.
¿Cómo actualizo mi DRG para utilizar la nueva funcionalidad?
Consulte la sección “Actualización de una DRG” aquí.
Tarjetas de interfaz de red virtual (VNIC)
¿Qué es una tarjeta de interfaz de red virtual (VNIC)?
Los servidores de los centros de datos de Oracle Cloud Infrastructure cuentan con tarjetas de interfaz de red (NIC) físicas. Cuando lanzas una instancia en uno de estos servidores, la instancia se comunica mediante las NIC virtuales (VNIC) del servicio de red asociadas con las NIC físicas. Una VNIC permite que una instancia de computación se conecte a una VCN y determina cómo se comunica la instancia con los puntos finales dentro y fuera de la VCN.
Cada VNIC reside en una subred y tiene la siguiente configuración:
- Una dirección IPv4 privada principal de la subred en la que se encuentra la tarjeta de interfaz de red virtual (virtual network interface card, VNIC) asignada por ti o por Oracle.
- Hasta 64 objetos IPv4 secundarios y 32 objetos IPv6 de la subred donde se encuentra el VNIC, asignados por ti o por Oracle.
- Un objeto de IP secundaria que puede ser una dirección IP de host o una dirección IP CIDR.
- Las direcciones IP de host asignan una única IP a un VNIC.
- Las direcciones IP CIDR asignan un rango contiguo de IPs de host en formato CIDR a un VNIC mediante un único parámetro de configuración.
- Dirección IPv4 pública opcional para cada dirección IP privada de host.
- Nombre de host opcional para DNS para cada dirección IP privada de host (consulta DNS en tu red de nube virtual).
- Una dirección MAC.
- Etiqueta VLAN asignada por Oracle y disponible cuando se completa la conexión del VNIC a la instancia (relevante solo para instancias bare metal). Para más información, consulta Virtual Network Interface Cards (VNICs).
Para más información, consulte Tarjetas de interfaz de red virtual (VNIC).
¿Qué es la VNIC primaria de una instancia?
Cada instancia de la VCN se crea con una VNIC, que tiene una dirección IP privada (asignada por ti o por Oracle) desde la subred proporcionada en la creación de la instancia, y una dirección IP pública correspondiente. Esta VNIC se conoce como VNIC principal, y su dirección IP privada, como dirección IP privada principal.
La VNIC primaria no se puede separar de la instancia. Se elimina automáticamente cuando finaliza la instancia.
¿Qué son las VNIC secundarias de una instancia?
Cada instancia de la VCN tiene al menos una VNIC, que es su VNIC primaria. Puede asociar a una instancia VNIC adicionales, denominadas VNIC secundarias. Las VNIC secundarias pueden pertenecer a diferentes VCN o subredes.
¿Cuál es el número máximo de VNIC admitidas en una instancia?
El límite de VNIC que se pueden asociar a una instancia varía según la forma. Para conocer esos límites, consulte la documentación de soporte de Formas de computación.
¿Puedo encontrar información de la VNIC desde dentro de la instancia?
Sí. Consulte el servicio de metadatos de instancia disponible en http://169.254.169.254/opc/v1/vnics/.
¿Puedo asignar una dirección IP privada específica a una VNIC?
Sí. En el caso de la VNIC primaria, puede especificar la dirección IP privada al iniciar la instancia. En el caso de las VNIC secundarias, puede especificar una dirección IP privada cuando asocie la VNIC a una instancia. La dirección IP privada especificada debe pertenecer a la misma subred que la VNIC y no debe estar en uso.
¿Puedo mover una VNIC de una instancia a otra?
No. Actualmente, las VNIC siempre están vinculadas a la instancia y no existen de forma independiente. La VNIC primaria se crea y se destruye a la vez que la instancia. Todas las VNIC secundarias se crean y se destruyen cuando se conectan y se desconectan, respectivamente.
¿Puedo asociar dos VNIC de la misma subred a una instancia?
Sí. No obstante, asociar múltiples VNIC del mismo bloque CIDR de subred a una instancia puede introducir un enrutamiento asimétrico, especialmente en las instancias que utilizan una variante de Linux. Si necesita este tipo de configuración, Oracle recomienda asignar varias direcciones IP privadas a una VNIC o usar el enrutamiento basado en políticas. Para obtener un ejemplo, consulte el script en Linux: configuración del sistema operativo para VNIC secundarias.
¿Pueden las VNIC asociadas a una instancia pertenecer a subredes en diferentes dominios de disponibilidad?
No. Todas las VNIC deben pertenecer a subredes que estén en el mismo dominio de disponibilidad que la instancia. Cuando se utilizan subredes regionales, las VNIC deben crearse en el mismo dominio de disponibilidad que la instancia.
¿Pueden las VNIC asociadas a una instancia pertenecer a subredes en diferentes VCN?
Sí. Puede asociar VNIC secundarias que pertenezcan a una subred de una VCN diferente a la VCN de la VNIC primaria.
Direccionamiento IP
¿Puedo asignar una o más direcciones IP privadas de mi elección a mi instancia de computación?
Cada instancia de computación de su VCN se crea con una tarjeta de interfaz de red virtual (VNIC) y se le asigna una dirección IP privada desde la subred proporcionada en el inicio de la instancia. Estas son la VNIC primaria y la dirección IP privada primaria, respectivamente. También puedes asociar a una instancia VNIC adicionales, denominadas VNIC secundarias, que también tienen una dirección IP privada primaria.
Puede dejar que Oracle elija la dirección IP privada o puede elegirla del grupo disponible de la subred. Si la dirección que especifique ya está en uso, la solicitud de inicio fallará.
Además, puedes asignar objetos de IP privada secundaria a un VNIC. Al igual que las direcciones IP privadas primarias, un objeto de IP privada secundaria ofrece conectividad a destinos dentro de tu VCN y/u on-premises (cuando existe conectividad mediante VPN u Oracle Cloud Infrastructure FastConnect).
¿Puedo mover un objeto de IP privada secundaria del VNIC de una instancia al de otra?
Sí. Puedes mover una dirección IP privada secundaria de una VNIC en una instancia a una VNIC en otra instancia, siempre que ambas VNIC pertenezcan a la misma subred y la autorización permita la operación. Cuando se utilizan subredes regionales, la IP privada secundaria también se puede mover a una VNIC en un dominio de disponibilidad diferente.
¿Cuántos objetos de IP privada secundaria puedo asignar a un VNIC de una instancia?
Actualmente puedes asignar hasta 64 objetos IPv4 secundarios y 32 objetos IPv6 secundarios a un VNIC. Un objeto de IP secundaria puede ser una dirección IP de host o una dirección IP CIDR. Un objeto de IP primaria solo puede ser una dirección IP de host.
¿Puedo asignar un rango de IPs a un VNIC?
Sí, puedes hacerlo. Un VNIC tiene una única dirección IPv4 primaria como IP de host. Además, un VNIC puede tener varias direcciones IPv4 y IPv6 secundarias asignadas como IPs de host. Todas las direcciones IP de host tienen una longitud de prefijo implícita de /32 para IPv4 y de /128 para IPv6. Para asignar un rango contiguo de IPs de host a un VNIC, usa una dirección IP CIDR. Una dirección IP CIDR es una IP con su longitud de prefijo en notación CIDR (por ejemplo, “10.0.0.32/28”), que asigna todas las IPs de host dentro de ese prefijo al VNIC. Puedes asignar direcciones IP CIDR a cualquier VNIC de una instancia de cómputo como un objeto de IP secundaria.
Para obtener más información, consulta Objetos IP privados y Asignación de direcciones IPv6 a una VNIC.
¿Cuáles son las restricciones para la asignación de direcciones IP CIDR a un VNIC?
Las siguientes son las restricciones para las direcciones IP CIDR:
- Siempre son objetos de IP secundaria; no pueden ser una IP primaria asignada a un VNIC.
- No pueden incluir ninguna dirección IP que esté en uso o reservada por usuarios u OCI.
- Deben estar completamente contenidas dentro de uno de los bloques CIDR IPv4 o prefijos IPv6 de la subred.
- Para IPv4, la longitud del prefijo debe estar entre /18 y /32 y ser al menos 2 bits más larga que la máscara de red de la subred; para IPv6, el prefijo debe estar entre /80 y /128 (incluidos).
- Deben comenzar en un límite de red válido tanto para IPv4 como para IPv6; en IPv6, debe incrementarse por un dígito hexadecimal (un nibble o límite de 4 bits).
Para más detalles, consulta la documentación de redes de OCI.
¿Cuáles son las limitaciones de las direcciones IP CIDR?
Las siguientes son las limitaciones de las direcciones IP CIDR:
- No hay asociación de IPv4 pública para direcciones IPv4 definidas dentro de una dirección IP CIDR; usa un NAT Gateway para acceso a internet en IPv4.
- Solo se admiten en VNICs informáticas
- La creación de FQDN no es compatible mediante DNS del VCN para direcciones dentro de una IP CIDR.
- No se admiten en VNICs L2/VLAN.
- Las consultas enviadas desde objetos de IP privados secundarios (incluyendo direcciones IP CIDR) no son compatibles con el servicio Instance Metadata Service (IMDS).
Para más detalles, consulta la documentación de redes de OCI.
¿Puede el sistema operativo de la instancia descubrir y configurar la dirección IP privada secundaria automáticamente (mediante DHCP)?
No. El sistema operativo no puede detectar la dirección IP privada secundaria mediante mecanismos como DHCP. Debe configurar las direcciones IP privadas secundarias mediante un procedimiento específico del sistema operativo. Para obtener más información, consulte los scripts proporcionados en Tarjetas de interfaz de red virtual (VNIC).
¿Qué es una dirección IP pública y en qué se diferencia de una dirección IP privada?
Una dirección IP pública es una dirección IPv4 a la que se puede acceder desde Internet (una dirección IP enrutable por Internet). Una instancia de su VCN se comunica con los hosts en Internet a través de una dirección IP pública. Una dirección IP privada no es enrutable por Internet. Las instancias dentro de VCN se comunican entre sí mediante direcciones IP privadas.
Puede asignar una dirección IP pública a una dirección IP privada de una instancia de computación o a una instancia de equilibrador de carga, y permitir que se comuniquen con Internet. Para que una dirección IP pública sea accesible a través de Internet, la VCN donde se encuentra debe tener una puerta de enlace de Internet, y las tablas de rutas y listas de seguridad de la subred pública deben configurarse en consecuencia.
¿Cuáles son los tipos de direcciones IP públicas?
Hay dos tipos de direcciones IP públicas:
- Direcciones IP públicas efímeras: piense que son temporales y que existen durante toda la vida de la instancia. A petición suya, Oracle asignará una del grupo de direcciones IP públicas disponibles de Oracle. Esta dirección IP pública está vinculada al ciclo de vida de la dirección IP privada. Si desasigna la dirección IP pública explícitamente o desasigna la dirección IP privada de la VNIC, o bien si finaliza la instancia correspondiente, esta dirección IP pública se libera al grupo disponible. Si luego solicita asignar una dirección IP pública nuevamente, puede ser una dirección diferente a la anterior.
- Direcciones IP públicas reservadas: piense que son direcciones IP públicas flotantes que residen en el compartimento que elija. Son persistentes y existen más allá de la vida útil de las instancias a las que están asignadas. Pertenecen a una región específica. Puede mantener una dirección IP pública reservada sin asignar dentro de su compartimento o asignarla a una dirección IP privada de una instancia o a un equilibrador de carga dentro de la misma región en la que se creó. También puede moverla a cualquier otra dirección IP privada dentro de la misma región.
Para obtener más detalles y una tabla en la que se comparan los dos tipos, consulte la documentación de ayuda de Direcciones IP públicas.
¿Por qué necesito direcciones IP públicas reservadas?
Una dirección IP pública se convierte en la identidad de su servicio para los clientes que no pueden usar el FQDN de DNS. Una dirección IP pública reservada le permite mantener esta identidad independientemente de cualquier cambio en los recursos subyacentes. Aquí hay un par de escenarios específicos que pueden beneficiarse al usar una dirección IP pública reservada:
- Aísle a sus clientes de cualquier fallo específico de la instancia: puede asignar una dirección IP pública reservada a su instancia y moverla fácilmente a otra instancia si se produce un fallo. Sus clientes están aislados de este cambio mientras continúan conectándose a la misma dirección IP pública.
- Optimización del uso de recursos informáticos sin impacto para los usuarios: tanto si desea cambiar el tamaño de una instancia como finalizar las instancias basándose en los patrones de uso para ahorrar costos, una dirección IP pública reservada le permite exponer la misma dirección IP pública a sus clientes.
¿Cuántas direcciones IP públicas reservadas puedo asignar a una instancia?
Puede asignar solo una dirección IP pública reservada a cualquier dirección IP privada (primaria o secundaria). Sin embargo, puede asignar múltiples direcciones IP privadas a cada VNIC asociada a su instancia. Luego puede asignar una dirección IP pública reservada a cada una de estas direcciones IP privadas.
Existe un límite en cuanto a la cantidad máxima de direcciones IP públicas reservadas que puede crear en su tenencia. Consulta la documentación de ayuda de Límites de servicio.
¿Cuántas direcciones IP públicas efímeras puedo asignar a una instancia?
Puede asignar solo una dirección IP pública efímera a cualquier dirección IP privada primaria de la VNIC. Sin embargo, puede crear y asociar múltiples VNIC a su instancia. Luego puede asignar una dirección IP privada efímera a cada una de las direcciones IP primarias de cada VNIC.
Existe un límite en cuanto al número máximo de direcciones IP públicas efímeras que se pueden asignar a una instancia. Consulta la documentación de ayuda de Límites de servicio.
¿Puedo mover una dirección IP pública efímera de una VNIC o instancia a otra?
Sí, pero solo si está asignada a una IP secundaria privada en una VNIC. Si mueve esa IP privada secundaria a una VNIC diferente (que debe estar en la misma subred), la IP pública efímera va con ella.
¿Puedo mover una dirección IP pública reservada de una VNIC o instancia a otra?
Sí, y puede moverla de un dominio de disponibilidad o una VCN a otro. Las VCN deben estar en la misma región.
Hay dos formas de mover una IP pública reservada:
- Anule la asignación de la IP pública reservada y luego vuelva a asignarla a otra IP privada. La IP privada puede estar en una VNIC de un dominio de disponibilidad o una VCN diferentes a los de la VNIC original.
- Si la IP pública reservada se asigna a una IP privada secundaria, puede mover la IP privada a una VNIC diferente (que debe estar en la misma subred) y la IP pública reservada va con ella.
¿Cuándo se libera una dirección IP pública efímera?
- Cuando elimina una dirección IP privada, se libera su dirección IP pública efímera correspondiente.
- Cuando separa una VNIC secundaria, se liberan las direcciones IP públicas efímeras correspondientes.
- Cuando finaliza la instancia, se liberan las direcciones IP efímeras correspondientes.
Tenga en cuenta que cuando reinicia la instancia, no hay impacto en las direcciones IP públicas efímeras correspondientes.
¿Qué direcciones IP veo cuando inicio sesión en mi instancia de computación?
Solo ve la dirección IP privada de su instancia de computación. Si se asigna una dirección IP pública a la instancia, el servicio de red proporciona una NAT individual (NAT estática) entre las direcciones IP privadas y públicas cuando la instancia intenta comunicarse con un destino en Internet (a través de la puerta de enlace de Internet).
¿Cómo se muestra el tráfico de una dirección IP pública en la instancia?
En el nivel del sistema operativo de la instancia, solo verá la dirección IP privada de la VNIC asociada a la instancia. Cuando se recibe el tráfico enviado a la dirección IP pública, el servicio de red realiza una traducción de la dirección de red (NAT) de la dirección IP pública a la dirección IP privada correspondiente. El tráfico se muestra dentro de la instancia con la dirección IP de destino establecida en la dirección IP privada.
¿Puedo asignar una dirección MAC a mi instancia de computación?
No. El servicio de red asigna la dirección MAC.
¿Es compatible con IPv6?
Sí. Es compatible con IPv6. Para más información, consulte Direcciones IPv6.
¿Se admite la multidifusión IP o la difusión dentro de VCN?
No, actualmente no.
¿VCN admite la adquisición de IP transparente mediante ARP gratuitos (GARP)?
No, actualmente no.
BYOIP (trae tu propia dirección IP)
¿Qué es Bring Your Own IP Address (BYOIP)?
Bring your own IP (BYOIP) le permite importar bloques IPv4 CIDR enrutables públicamente a Oracle Cloud Infrastructure para que sus recursos puedan usarlos.
¿Cuáles son las ventajas de BYOIP?
Las direcciones IP son activos que una organización gestiona y controla cuidadosamente. Algunas aplicaciones requieren una buena reputación de IP para enviar correo, otras han establecido políticas de accesibilidad en despliegues globales y otras cumplen los estándares en la arquitectura de sus direcciones IP. La migración de un prefijo IP desde una infraestructura on-premises a OCI le permite minimizar el impacto en sus clientes y aplicaciones a la vez que aprovecha todos los beneficios de Oracle Cloud Infrastructure. BYOIP en OCI le permitirá minimizar el tiempo de inactividad durante la migración al anunciar simultáneamente el prefijo de su dirección IP desde OCI y retirarlo del entorno on-premises.
¿Cómo puedo empezar a usar BYOIP?
El proceso de mover un prefijo IP para su uso en OCI comienza en el portal, en Redes>Gestión de IP, o puede iniciarse a través de la API. Solo hay que seguir unos pocos pasos sencillos.
1 - Inicie la solicitud para traer un CIDR de IP a OCI (el CIDR de IP debe ser /24 o mayor y pertenecer a su organización).
2 - Registre un token de validación generado a partir de la solicitud con el servicio de registro regional de Internet (regional Internet registry, RIR) (ARIN, RIPE o APNIC). Siga los pasos de la documentación.
3. Después de registrar su token, vuelva a la consola y haga clic en “Validar bloque CIDR” para que Oracle pueda completar el proceso de validación. Oracle valida que su bloque CIDR se haya registrado correctamente para la transferencia y aprovisiona su BYOIP. Este paso puede tardar hasta 10 días hábiles. Se le notificará por correo electrónico cuando el proceso finalice. También puede comprobar el progreso de este paso en sus solicitudes de trabajo.
¿Qué se hace con el token de validación emitido por Oracle?
¿Qué se hace con el token de validación emitido por Oracle? Como parte de la importación de un bloque CIDR de BYOIP, Oracle emite un token de validación. Una vez que tenga su token, deberá modificarlo ligeramente, añadiendo la información que se muestra a continuación. Puede utilizar cualquier editor de texto para ello.
OCITOKEN:: <CIDRblock> : <validation_token>
Para enviar el token de validación a su RIR (Registro regional de Internet).
ARIN: agregue la cadena de token modificada en la sección “Comentarios públicos” de su rango de direcciones. No la agregue en la sección de comentarios de su organización.
RIPE: agregue la cadena de token modificada como un nuevo campo “descr” para su rango de direcciones. No la agregue en la sección de comentarios de su organización.
APNIC: agréguela al campo “Comentarios” para su rango de direcciones enviando por correo electrónico la cadena de token modificada a helpdesk@apnic.net. Envíe el correo electrónico utilizando el contacto autorizado de APNIC para las direcciones IP.
¿Cómo se usan las direcciones BYOIP con recursos de OCI?
Una vez que el CIDR de IP se valida, tienes control total de él. Para gestionar el prefijo, divídalo en grupos de IP menores y cree direcciones IP reservadas para usarlas con sus recursos.
¿Qué recursos de OCI pueden utilizarse con el CIDR de BYOIP?
Puede asignar direcciones BYOIP para instancias de computación, puerta de enlace NAT y LBaaS. Puede gestionar el espacio IP mediante grupos de IP y crear direcciones IP reservadas.
¿Puedo controlar el anuncio del prefijo BYOIP después de haberse incorporado?
Una vez que el prefijo IP se incorpora a OCI, tú controlas el anuncio y la retirada del prefijo.
¿Cuánto tiempo tarda la validación e incorporación de BYOIP?
La validación y el aprovisionamiento de BYOIP pueden tardar hasta 10 días laborales. Se le notificará por correo electrónico cuando el proceso finalice.
¿Se puede mover un prefijo BYOIP entre distintas regiones de OCI?
No. El prefijo BYOIP está asignado a una región específica de OCI y solo se anunciará en la región en la que se ha incorporado.
¿Qué tamaños mínimo y máximo de los prefijos puedo usar para BYOIP?
El prefijo mínimo para BYOIP es /24 y el máximo es /8. No es necesario que lleve a OCI todo su espacio IP. Si tiene un bloque de IP mayor, puede elegir los prefijos que lleva a OCI.
¿Cómo distribuyo mi prefijo BYOIP en grupos de IP?
Una vez incorporado el prefijo, controlas la distribución de las direcciones y la política dentro de tu cliente de OCI. Puede mantener el prefijo en un grupo de IP o rebajarlo hasta /28 para usarlo con sus recursos de OCI.
¿Puedo crear direcciones IP reservadas a partir de mi prefijo BYOIP?
Sí. Puede crear direcciones IP reservadas a partir de un prefijo BYOIP. Consulte más información en “Direccionamiento IP” aquí: https://www.oracle.com/cloud/networking/virtual-cloud-network-faq.html
¿Puedo traer a OCI mi propio prefijo IPv6?
La prestación BYOIP solo admite prefijos IPv4.
¿Puedo seguir usando direcciones IP reservadas y efímeras propiedad de Oracle si traigo mi propio prefijo a OCI?
Sí. Puede seguir usando direcciones IP reservadas y efímeras propiedad de Oracle junto con sus propias direcciones IP. Se aplican los límites estándar a las direcciones de Oracle.
Conectividad
¿Qué opciones de conectividad están disponibles para las instancias que se ejecutan en mi VCN?
Las instancias pueden conectarse a:
- Internet (a través de una puerta de enlace de Internet)
- Tu centro de datos local mediante una conexión VPN IPSec o FastConnect (a través de un gateway de enrutamiento dinámico)
- Instancias en VCN interconectadas (en la misma región o en otra)
- Servicios de Oracle Cloud Infrastructure como Object Storage, ADW (a través de una puerta de enlace del servicio)
¿Qué es una puerta de enlace de Internet?
Una puerta de enlace de Internet es un enrutador tolerante a fallos, altamente disponible y definido por software que proporciona conectividad pública a Internet para los recursos dentro de su VCN. Al usar una puerta de enlace de Internet, una instancia de computación que tenga asignada una dirección IP pública puede comunicarse con hosts y servicios en Internet.
En lugar de utilizar una puerta de enlace de Internet, puedes conectar la VCN al centro de datos local, desde donde el tráfico a Internet se puede enrutar a través de los puntos de salida de la red existente.
¿Qué es una puerta de enlace NAT?
Una puerta de enlace NAT es un enrutador fiable y de alta disponibilidad que proporciona conectividad de Internet solo de salida para los recursos dentro de la VCN. Con una puerta de enlace NAT, las instancias privadas (con solo una dirección IP privada) pueden iniciar conexiones a hosts y servicios en Internet, pero no recibir conexiones entrantes iniciadas desde Internet.
¿Puede haber más de una puerta de enlace NAT por cada VCN?
No. El límite predeterminado es una puerta de enlace NAT por cada VCN. Esperamos que esto sea suficiente para la gran mayoría de las aplicaciones.
Si deseas asignar más de una puerta de enlace NAT en una VCN específica, solicita un aumento de límite. Para obtener instrucciones sobre cómo solicitar un aumento de los límites, consulte Límites de servicio.
¿Existen nuevos límites de rendimiento al usar una puerta de enlace NAT?
Las instancias obtienen el mismo rendimiento con la puerta de enlace NAT que cuando el tráfico se enruta a través de una puerta de enlace de Internet. Además, un flujo de tráfico único a través de la puerta de enlace NAT está limitado a 1 Gbps (o menos para las formas de instancias pequeñas).
¿Existe un límite de conexión concurrente cuando se usa una puerta de enlace NAT?
Sí. Hay un límite de aproximadamente 20 000 conexiones simultáneas a un solo puerto y dirección IP de destino. Este límite es la suma de todas las conexiones iniciadas por instancias a través de la VCN que utilizan la puerta de enlace NAT.
¿Qué es una puerta de enlace de enrutamiento dinámico (DRG)?
Una puerta de enlace de enrutamiento dinámico es un enrutador tolerante a fallos, altamente disponible y definido por software que se puede agregar a una VCN. Proporciona una ruta privada para el tráfico entre la VCN y otras redes fuera de la región de la VCN, como tu centro de datos local o una VCN interconectada en otra región. Para conectar la VCN con tu centro de datos local, puedes configurar una VPN IPSec o FastConnect para la DRG de la VCN. La conexión permite que sus hosts e instancias locales se comuniquen de forma segura.
¿Qué es un objeto de equipo de las instalaciones del cliente (CPE) y por qué lo necesito?
Este objeto se utiliza si configura una VPN IPSec. Es una representación virtual del enrutador real que se encuentra en las instalaciones de su sitio, al final de la VPN. Cuando cree este objeto como parte de la configuración de una VPN IPSec, especifica la dirección IP pública de tu enrutador local.
¿Necesito una puerta de enlace a Internet para establecer una VPN IPSec en mi centro de datos local?
No. Solo necesitas aprovisionar una DRG, asociarla a su VCN, configurar el objeto CPE y la conexión IPSec y configurar las tablas de rutas.
¿Qué enrutadores o puertas de enlace de equipos de las instalaciones del cliente se han probado con la VPN IPSec de Oracle Cloud Infrastructure?
Consulte la lista de configuraciones de dispositivos probados.
Tengo un enrutador VPN IPSec que no está en la lista anterior de equipos probados. ¿Puedo usarlo para conectarme a mi VCN?
Sí. Puede usarlo si lo configura de acuerdo con la información de configuración de CPE genérico. Admitimos múltiples opciones de configuración para maximizar la interoperabilidad con diferentes dispositivos VPN.
¿Cómo garantizo la disponibilidad de mi conexión VPN IPSec entre Oracle Cloud Infrastructure y mi centro de datos local?
Oracle aprovisiona dos túneles VPN como parte de la conexión IPSec. Asegúrate de configurar ambos túneles en tu CPE para redundancia.
Además, puedes implementar dos enrutadores CPE en tu centro de datos local con cada uno configurado para ambos túneles.
¿Puedo usar una VPN de software para conectarme a mi VCN?
VPN IPSec es un estándar abierto y las VPN IPSec de software pueden interoperar con Oracle Cloud Infrastructure. Debe verificar que su VPN IPSec de software admita al menos un parámetro IPSec Oracle compatible en cada grupo de configuración de acuerdo con la información de configuración de CPE genérico.
¿El tráfico entre dos direcciones IP públicas de OCI permanece dentro de OCI?
Sí. El tráfico entre dos direcciones IP públicas de OCI de la misma región permanece dentro de la región de OCI. El tráfico entre direcciones IP públicas de OCI de diferentes regiones viaja a través de la red troncal privada de OCI. En cualquier caso, el tráfico no atraviesa Internet. Puede encontrar la lista completa de direcciones IP públicas de OCI aquí: https://docs.cloud.oracle.com/en-us/iaas/tools/public_ip_ranges.json.
Puerta de enlace de servicio
¿Qué es Oracle Services Network?
Oracle Services Network es una red conceptual de Oracle Cloud Infrastructure que está reservada para los servicios de Oracle. La red comprende una lista de bloques CIDR regionales. Cada servicio de Oracle Services Network expone un punto final de servicio que usa direcciones IP públicas de la red. Actualmente hay una gran cantidad de servicios de Oracle disponibles en esta red (consulte la lista completa) y se agregarán más servicios en el futuro a medida que se implementen en Oracle Cloud Infrastructure.
¿Qué es una puerta de enlace de servicio?
Una puerta de enlace de servicio permite que los recursos de su VCN accedan de manera privada y segura a los servicios de Oracle en Oracle Services Network, como Oracle Cloud Infrastructure Object Storage, ADW y ATP. El tráfico entre una instancia de la VCN y un servicio de Oracle compatible utiliza la dirección IP privada de la instancia para el enrutamiento, viaja a través del tejido de Oracle Cloud Infrastructure y nunca atraviesa Internet. Al igual que la puerta de enlace de Internet o la puerta de enlace NAT, la puerta de enlace de servicio es un dispositivo virtual que tiene un alto grado de disponibilidad y se escala dinámicamente para admitir el ancho de banda de red de la VCN.
¿A qué servicios de Oracle Cloud Infrastructure puedo acceder a través de una puerta de enlace de servicio?
Actualmente, puede configurar la puerta de enlace de servicio para acceder a los servicios de Oracle en Oracle Services Network. Actualmente hay una gran cantidad de servicios de Oracle disponibles en esta red (consulte la lista completa) y se agregarán más servicios en el futuro a medida que se implementen en Oracle Cloud Infrastructure.
Actualmente estoy usando una puerta de enlace de Internet o NAT para acceder a un servicio de Oracle como ADW. ¿Cómo uso la puerta de enlace de servicio para acceder al mismo punto final del servicio de Oracle?
- Cree una puerta de enlace de servicio para la VCN.
- Actualice el enrutamiento VCN para reenviar todo el tráfico de los servicios de Oracle a Oracle Services Network mediante la puerta de enlace de servicio, en lugar de usar la puerta de enlace de Internet o la puerta de enlace NAT.
Para obtener instrucciones, consulte la sección de Acceso a Object Storage: puerta de enlace de servicio. Tenga en cuenta que la puerta de enlace de servicio permite el acceso a los servicios de Oracle dentro de la región para proteger sus datos en Internet. Es posible que sus aplicaciones requieran acceso a los puntos finales o servicios públicos que la puerta de enlace de servicio no admite, por ejemplo, para actualizaciones o parches. Asegúrese de tener una puerta de enlace NAT u otro acceso a Internet si es necesario.
¿Qué es una etiqueta de servicio CIDR?
La puerta de enlace de servicio utiliza el concepto de etiqueta CIDR de servicio, que es una cadena que representa todos los intervalos de direcciones IP públicas regionales para el servicio o un grupo de servicios (por ejemplo, OCI IAD Services en Oracle Services Network es la etiqueta que asigna a los bloques CIDR regionales en la red de servicios de Oracle en us-ashburn-1). La etiqueta CIDR del servicio se utiliza al configurar la puerta de enlace de servicio y las reglas de ruta y de seguridad. Para obtener instrucciones, consulte la sección de Acceso a Oracle Services: puerta de enlace de servicio.
¿Puedo configurar la puerta de enlace de servicio para acceder a los servicios que se ejecutan en otra región?
No. La puerta de enlace de servicio es regional y solo se puede acceder a los servicios que se ejecutan en la misma región.
¿Puedo permitir el acceso a un depósito de Object Storage solo desde unas VCN o subredes específicas?
Sí. Si está utilizando una puerta de enlace de servicio, puede definir una política de IAM que permita el acceso a un depósito solo si las solicitudes provienen de un intervalo específico de VCN o CIDR. La política de IAM solo funciona para el tráfico enrutado a través de la puerta de enlace de servicio. El acceso se bloquea si la política de IAM está en su lugar y el tráfico pasa a través de una puerta de enlace a Internet. Además, tenga en cuenta que la política de IAM le impide acceder al depósito a través de la consola. El acceso solo se permite mediante programación desde los recursos de la VCN.
Para obtener una política de IAM de ejemplo, consulte la sección de Acceso a Object Storage: puerta de enlace de servicio.
¿Puedo tener múltiples puertas de enlace de servicio dentro de mi VCN?
No. Una VCN solo puede tener una puerta de enlace de servicio en este momento.
¿Puedo usar una puerta de enlace de servicio con una VCN interconectada?
No. Una VCN interconectada con otra VCN que tiene una puerta de enlace de servicio no puede usar esa puerta de enlace de servicio para acceder a los servicios de Oracle.
¿Puedo aprovechar una puerta de enlace de servicio para establecer la conectividad (a través de FastConnect) desde mi red local a mi VCN?
No. Sin embargo, puedes usar la interconexión pública FastConnect para hacer esto (sin pasar por Internet).
¿Existen nuevos límites de rendimiento al usar una puerta de enlace de servicio?
No. Con la puerta de enlace de servicio, las instancias obtienen el mismo rendimiento que cuando el tráfico se enruta a través de una puerta de enlace de Internet.
¿Cuánto cuesta la puerta de enlace de servicio?
La puerta de enlace de servicio es gratuita para todos los clientes de Oracle Cloud Infrastructure.
Seguridad de la VCN
¿Qué son las listas de seguridad y por qué las necesito?
Una lista de seguridad proporciona un cortafuegos virtual para una instancia, con reglas de entrada y salida que especifican los tipos de tráfico permitidos dentro y fuera de la instancia. Puede proteger su instancia de computación utilizando listas de seguridad. Configure sus listas de seguridad en el nivel de subred, lo que significa que todas las instancias en la subred están sujetas al mismo conjunto de reglas de la lista de seguridad. Las reglas se aplican en el nivel de instancia y controlan el tráfico en el nivel de paquete.
¿Qué listas de seguridad son aplicables a una instancia dada? ¿Qué implicaciones tiene la lista de seguridad predeterminada de la VCN?
Una VNIC dada en una instancia está sujeta a las listas de seguridad asociadas con la subred de la VNIC. Cuando cree una subred, especifique una o más listas de seguridad para asociarlas con ella. Esto puede incluir la lista de seguridad predeterminada de la VCN. Si no especifica al menos una lista de seguridad durante la creación de la subred, la lista de seguridad predeterminada de la VCN se asocia con la subred. Las listas de seguridad están asociadas a nivel de subred, pero las reglas se aplican al tráfico de la VNIC a nivel de paquete.
¿Puedo cambiar las listas de seguridad utilizadas por mi subred después de crear la subred?
Sí. Puede editar las propiedades de la subred para agregar o eliminar listas de seguridad. También puedes editar las reglas individuales en una lista de seguridad.
¿Cuántas listas de seguridad y reglas puedo configurar?
Existe un límite en cuanto al número de listas de seguridad que puede crear, al número de listas que puede asociar a una subred y al número de reglas que puede agregar a una lista determinada. Para conocer los límites de servicio actuales y las instrucciones sobre cómo solicitar un aumento en los límites, consulte la documentación de ayuda de Límites de servicio.
¿Puedo usar reglas de "denegación" dentro de las listas de seguridad?
No. Las listas de seguridad solo usan reglas de "permitir". Todo el tráfico se deniega de manera predeterminada y solo se permite el tráfico de red que coincida con los atributos especificados en las reglas.
¿Qué tipo de reglas se admiten en las listas de seguridad?
Cada regla tiene estado o no tiene estado, y puede ser una regla de entrada o de salida.
Mediante las reglas con estado, una vez que se permite un paquete de red que coincide con la regla, se utiliza el seguimiento de la conexión y todos los paquetes de red adicionales que pertenecen a esta conexión se permiten automáticamente. Por lo tanto, si creas una regla de ingreso con estado, tanto el tráfico entrante que coincide con la regla como el tráfico saliente (respuesta) correspondiente están permitidos.
Con reglas sin estado, solo se permiten los paquetes de red que coinciden con la regla. Por lo tanto, si creas una regla de ingreso sin estado, solo se permite el tráfico entrante. Debe crear una regla de salida sin estado correspondiente para que coincida con el tráfico de salida (respuesta) correspondiente.
Para más información, consulta la documentación de soporte de Listas de seguridad.
¿Qué son los grupos de seguridad de red y en qué se diferencian de las listas de seguridad?
Los grupos de seguridad de red y las listas de seguridad son dos formas diferentes de implementar reglas de seguridad, que son reglas que controlan el ingreso permitido y el tráfico de salida hacia y desde las VNIC.
Las listas de seguridad te permiten definir un conjunto de reglas de seguridad que se aplican a todas las VNIC en una subred dada. Los grupos de seguridad de red (NSG) te permiten definir un conjunto de reglas de seguridad que se aplican a un grupo de VNIC de su elección. Por ejemplo, un grupo de instancias informáticas que tienen la misma estrategia de seguridad.
Para obtener más información, consulta:
¿Existe un orden o prioridad de las reglas de seguridad en los NSG frente a las listas de seguridad?
No. Todo el tráfico se deniega de forma predeterminada. Las reglas de seguridad solo permiten el tráfico. El conjunto de reglas que se aplica a una VNIC determinada es la unión de estos elementos:
- Las reglas de seguridad en las listas de seguridad asociadas con la subred de la VNIC.
- Las reglas de seguridad en todos los NSG en los que se encuentra la VNIC.
¿Qué servicios de Oracle admiten el uso de los NSG?
Computación, equilibrio de carga y servicios de bases de datos. Esto significa que, cuando crea una instancia de computación, un equilibrador de carga o un sistema de base de datos, puede especificar uno o más grupos de seguridad de red para controlar el tráfico de esos recursos.
Con la introducción de la característica NSG, ¿necesitamos una lista de seguridad?
Con la introducción de los NSG, no hay cambios en el comportamiento de la lista de seguridad. La VCN todavía tiene una lista de seguridad predeterminada que puede usar opcionalmente con las subredes de la VCN.
¿Podemos definir NSG como origen o destino para las reglas de seguridad?
Al escribir reglas para un NSG, tiene la opción de especificar un NSG como origen del tráfico (para las reglas de entrada) o como destino del tráfico (para las reglas de salida). La capacidad de especificar un NSG significa que puede escribir fácilmente reglas para controlar el tráfico entre dos NSG diferentes. Los NSG deben estar en la misma VCN.
¿Puedo escribir reglas de seguridad que controlen el tráfico explícitamente entre NSG en diferentes VCN?
No. Cuando escribe una regla de seguridad de NSG que especifica otro NSG como origen o destino, ese NSG debe estar en la misma VCN. Esto es cierto incluso si el otro NSG está en una VCN interconectada diferente de la lista de seguridad.
Las listas de seguridad le permiten definir un conjunto de reglas de seguridad que se aplican a todas las VNIC en una subred completa, mientras que los grupos de seguridad de red (NSG) le permiten definir un conjunto de reglas de seguridad que se aplican a un grupo de VNIC de su elección (incluidas las VNIC de los equilibradores de carga o sistemas de bases de datos) dentro de una VCN.
Enrutamiento VCN
¿Qué es una tabla de rutas de VCN?
Una tabla de rutas de VCN contiene reglas para enrutar el tráfico que finalmente se destina a ubicaciones fuera de la VCN.
Cada regla de una tabla de rutas consta de un destino de ruta y un bloque CIDR de destino. Cuando el tráfico saliente de la subred coincide con el bloque CIDR de destino de la regla de ruta, el tráfico se enruta al destino de la ruta. Entre los ejemplos de destinos de rutas habituales se incluyen los siguientes: una puerta de enlace de Internet o una puerta de enlace de enrutamiento dinámico.
Para más información, consulta Tablas de rutas.
¿Qué tablas de rutas son aplicables a una instancia dada? ¿Cómo se involucra la tabla de rutas predeterminada de VCN?
Una VNIC dada en una instancia está sujeta a la tabla de rutas asociadas con la subred de la VNIC. Cuando creas una subred, especifica una tabla de rutas para asociarla, que puede ser la tabla de rutas predeterminada de la VCN u otra que ya hayas creado. Si no especificas una tabla de rutas durante la creación de la subred, la tabla de rutas predeterminada de VCN se asocia con la subred. La tabla de rutas está asociada a nivel de subred, pero las reglas se aplican al tráfico de la VNIC a nivel de paquete.
¿Puedo crear una regla de ruta para cualquier bloque CIDR de destino?
No. Actualmente, puedes agregar una regla de ruta solo para un bloque CIDR que no se superpone con el espacio de direcciones de la VCN.
¿Puedo cambiar la tabla de rutas utilizada por mi subred después de crear la subred?
Sí. Puedes editar las propiedades de subred para cambiar la tabla de rutas. También puedes editar las reglas individuales en una tabla de rutas.
¿VCN admite el enrutamiento basado en el origen?
No, actualmente no.
¿Cuántas reglas de ruta puedo crear en una sola tabla de rutas?
Hay un límite en cuanto al número de reglas en una tabla de rutas. Consulta la documentación de ayuda de Límites de servicio.
¿Puedo usar una IP privada como destino de ruta en la regla de ruta de la VCN?
Sí. Puedes usar una IP privada como destino de una regla de ruta en situaciones en las que deseas enrutar el tráfico de una subred a otra instancia en la misma VCN. Para conocer los requisitos y otros detalles, consulte Usar una IP privada como destino de ruta.
Interconexión de VCN
¿Qué es la interconexión de VCN?
La interconexión de VCN es un proceso de conexión de dos VCN para permitir la conectividad privada y el flujo de tráfico entre ellas. Hay dos tipos generales de interconexión:
- Intercambio de tráfico de VCN local (o intercambio de tráfico dentro de la región): las dos VCN están en la misma región. Pueden estar en la misma tenencia (del mismo compartimento o de compartimientos diferentes) o en tenencias diferentes.
- Intercambio de tráfico de VCN remota (o intercambio de tráfico de VCN entre regiones): las dos VCN están en regiones diferentes.
Para obtener más información, consulta Acceso a otras VCN: intercambio de tráfico.
¿Se admite la interconexión de VCN en todas las regiones?
- La interconexión local de VCN (o interconexión dentro de la misma región) se admite en todas las regiones.
- Actualmente se admite la interconexión remota de VCN (o interconexión entre regiones). La lista de regiones admitidas se puede encontrar en la documentación del producto.
¿Por qué necesito la interconexión de VCN?
- Con la interconexión local de VCN, obtienes la flexibilidad para organizar sus recursos en VCN separadas y cumplir con los requisitos de gobernanza y presencia regional, al tiempo que permite la conectividad privada a través de estas VCN. Con la interconexión local de VCN entre tenencias, obtienes la flexibilidad para organizar sus recursos en VCN separadas de diferentes tenencias, al tiempo que permite la conectividad privada a través de estas VCN. También puedes habilitar un modelo de proveedor de servicios al proporcionar acceso privado a sus servicios para múltiples VCN de consumidores (de diferentes tenencias) ubicadas en la misma región.
- Con la interconexión remota de VCN, obtienes la flexibilidad para organizar sus recursos en VCN separadas y cumplir con sus requisitos de gobernanza, de presencia en varias regiones y de enrutamiento dinámico, al tiempo que permite la conectividad privada entre estas VCN en diferentes regiones.
¿Cuáles son los beneficios de la interconexión local de VCN?
- Una alternativa fiable y sin costo a los modelos de conectividad como VPN que elimina las puertas de enlace de Internet, las IP públicas para las instancias, el cifrado y los cuellos de botella de rendimiento.
- Facilidad de habilitación de la interconexión entre dos VCN sin tiempo de inactividad programado.
- Conectividad privada para recursos en VCN interconectadas que utilizan los enlaces altamente redundantes del tejido de Oracle Cloud Infrastructure con ancho de banda y latencia predecibles.
¿Cómo establezco una interconexión local de VCN entre dos VCN?
Para obtener instrucciones, consulta Interconexión local de VCN.
¿Puedo establecer la interconexión local entre dos VCN con intervalos de direcciones superpuestos?
No. Las dos VCN de una relación de interconexión local no pueden tener CIDR superpuestos.
¿Puedo establecer la interconexión local desde mi VCN a otras dos VCN que tengan intervalos de direcciones IP superpuestos?
Sí. Si la VCN-1 se interconecta con otras dos VCN (por ejemplo, VCN-2 y VCN-3), esas dos VCN (VCN-2 y VCN-3) pueden tener CIDR superpuestos.
¿Puedo establecer una interconexión local a una VCN que pertenece a otra cuenta?
Sí.
¿Cuántas interconexiones locales puedo establecer por cada VCN?
Una VCN determinada puede tener un máximo de diez interconexiones locales a la vez.
¿Cuáles son los beneficios de la interconexión remota de VCN?
- Una alternativa fiable y de bajo costo a los modelos de conectividad como VPN que elimina las puertas de enlace de Internet, las IP públicas para las instancias, el cifrado y los cuellos de botella de rendimiento.
- Facilidad de habilitación de la interconexión entre dos VCN sin tiempo de inactividad programado.
- Conectividad privada para recursos en VCN interconectadas que utilizan los enlaces altamente redundantes de la red troncal de Oracle Cloud Infrastructure con ancho de banda y latencia predecibles.
¿Necesito una puerta de enlace a Internet para crear una interconexión remota?
No. Una interconexión remota se establece mediante una puerta de enlace de enrutamiento dinámico (DRG).
¿Cómo establezco una interconexión remota de VCN entre dos VCN?
Para obtener instrucciones, consulta Interconexión remota de VCN.
¿Puedo establecer la interconexión remota entre dos VCN con intervalos de direcciones superpuestos?
No. Las dos VCN de una relación de interconexión remota no pueden tener CIDR superpuestos.
¿Puedo establecer la interconexión remota desde mi VCN a otras dos VCN que tengan intervalos de direcciones IP superpuestos?
No. Si la VCN-1 se interconecta de forma remota con otras dos VCN (por ejemplo, VCN-2 y VCN-3), esas dos VCN (VCN-2 y VCN-3) no pueden tener CIDR superpuestos.
¿Puedo establecer una interconexión remota a una VCN que pertenece a otra cuenta?
No.
¿Está encriptado mi tráfico de interconexión remota de VCN?
Sí. El tráfico de interconexión remota de VCN se cifra mediante el cifrado de enlace estándar de la industria.
¿Cuántas interconexiones remotas puedo establecer por cada VCN?
Una VCN determinada puedes tener un máximo de diez interconexiones remotas a la vez.
Como administrador de VCN-A, ¿puedo controlar la conectividad a una sola subred específica en la VCN-B interconectada?
Sí. Puedes usar las tablas de rutas y las listas de seguridad de la VCN-A para controlar la conectividad con la VCN-B interconectada. Puedes permitir la conectividad al intervalo completo de direcciones de VCN-B o limitarla a una o más subredes.
Como administrador de VCN-A, ¿puedo controlar qué subredes de VCN-A son accesibles desde la VCN-B interconectada?
Sí. Una vez establecida la interconexión local o remota, las instancias en VCN-B pueden enviar tráfico al intervalo completo de direcciones de VCN-A. Sin embargo, puede limitar el acceso de las instancias en VCN-B a una subred específica en VCN-A mediante el uso de reglas de entrada apropiadas en las listas de seguridad de la subred.
¿Afectan el rendimiento y la latencia a la interconexión local establecida entre dos VCN?
No. El rendimiento y la latencia deben ser próximos a los de las conexiones dentro de la VCN. El tráfico sobre la interconexión local tiene una disponibilidad y restricciones de ancho de banda similares a las del tráfico entre instancias en una VCN.
¿Afectan el rendimiento y la latencia a la interconexión remota establecida entre dos VCN?
El emparejamiento remoto de VCN utiliza la columna vertebral de interconexión entre regiones de Oracle Cloud Infrastructure, diseñada para ofrecer características de desempeño y disponibilidad, con un SLA del 99,5 % para la conectividad entre regiones. Como referencia, Oracle ofrece más de 75 Mb/seg de rendimiento y una latencia menor a 60 ms entre regiones de EE. UU., 80 ms entre la UE y EE. UU., 175 ms entre EE. UU. y APAC, y 275 ms entre la UE y APAC.
¿Cuál es el precio de la interconexión de VCN?
- Intercambio de tráfico local (dentro de la misma región): sin cargo.
- Intercambio de tráfico remoto (entre regiones): el precio se basa en la transferencia de datos salientes. Consulta el último precio publicado para "Transferencia de datos salientes".
Enrutamiento del tránsito de VCN
¿Qué es el enrutamiento de tránsito de VCN (VTR)?
La solución de enrutamiento de tránsito de VCN (VTR) se basa en una topología de concentrador y radio que permite que la VCN central proporcione conectividad de tránsito entre varias VCN radiales (dentro de la región) y en las redes locales. Solo se requiere una única VPN FastConnect o IPSec (conectada a la VCN central) para que la red local se comunique con todas las VCN radiales.
¿Cómo empiezo con el enrutamiento de tránsito de VCN (VTR)?
Consulte las instrucciones en Configuración del enrutamiento de tránsito de VCN en la consola.
¿A qué tipos de redes remotas pueden acceder las VCN radiales mediante la VCN central?
Actualmente, las VCN radiales pueden acceder a sus redes locales mediante la VCN central.
¿Puedo configurar la VCN central para proporcionar conectividad a las VCN radiales en regiones remotas de Oracle Cloud Infrastructure?
No. La solución de enrutamiento de tránsito de VCN solo admite la conectividad consolidada entre VCN en la misma región.
¿Puedo configurar la VCN central para que una VCN radial pueda acceder solo a subredes específicas en la red local?
Sí. Tú lo controlas con la tabla de rutas asociada con la LPG en la VCN central. Puedes configurar reglas de ruta restrictivas que especifiquen solo las subredes locales que deseas poner a disposición de la VCN radial. Las rutas anunciadas a la VCN radial son las de la tabla de rutas y el CIDR de la VCN central.
¿Puedo configurar la VCN central para que una red local pueda acceder solo a subredes específicas en la VCN radial?
Sí. Tú lo controlas con la tabla de rutas asociada con la DRG en la VCN central. Puedes configurar reglas de ruta restrictivas que especifiquen solo las subredes de VCN radiales que desea poner a disposición de la red local. Las rutas anunciadas a la red local son las de la tabla de rutas y el CIDR de la VCN central.
¿Existe un límite para la cantidad de VCN radiales que pueden interconectarse con la VCN central?
Sí. La VCN central está limitada a un máximo de 10 interconexiones locales con VCN radiales.
¿Puedo configurar la VCN central para que la red local pueda acceder a los servicios de Oracle?
Sí. Puedes agregar una puerta de enlace de servicio a una VCN que esté conectada a tu red local mediante FastConnect o VPN de sitio a sitio. Luego puedes configurar las reglas de ruta en las tablas de rutas asociadas con la DRG y con la puerta de enlace de servicio de la VCN para dirigir el tráfico local a través de VCN a los servicios de Oracle de interés. Los hosts locales pueden usar tus IP privadas cuando se comunican con los servicios de Oracle y el tráfico no atraviesa Internet.
Para obtener más información, consulta Enrutamiento del tránsito: acceso privado a los servicios de Oracle.
¿Puedo habilitar el enrutamiento a través de un dispositivo virtual de red (por ejemplo, una instancia de cortafuegos) en la VCN central?
Sí. Puedes configurar el enrutamiento del tránsito a través de una IP privada en la VCN central. En este caso, el tráfico se enruta a una IP privada en la instancia del cortafuegos de la VCN central. La instancia de cortafuegos puede inspeccionar todo el tráfico entre la red local y las VCN radiales.
¿Hay algún límite de rendimiento relacionado con el enrutamiento del tránsito de VCN?
Si se enruta a través de una instancia de cortafuegos (o cualquier otro dispositivo virtual de red) en la VCN central, los límites de rendimiento se basan en las características de E/S del dispositivo virtual de red. Si el tráfico no se enruta a través de un dispositivo virtual de red —y se enruta directamente a través de las puertas de enlace de la VCN central—, no hay límites de rendimiento. Las puertas de enlace son dispositivos virtuales que están altamente disponibles y se escalan dinámicamente para admitir los requisitos de ancho de banda de la red.
Opciones de DHCP
¿Qué son las opciones de DHCP?
El Protocolo de configuración dinámica de host (DHCP) proporciona un marco para pasar la información de configuración a los hosts en una red IP. Los parámetros de configuración y otra información de control se llevan a la instancia en el campo de opciones ( RFC 2132) del mensaje DHCP. Cada subred de una VCN puede tener un solo conjunto de opciones de DHCP asociadas.
¿Qué opciones de DHCP puedo configurar?
Puedes configurar dos opciones que controlan cómo las instancias de la VCN resuelven los nombres de host del sistema de nombres de dominio (DNS):
- Buscar dominio. Puedes especificar un solo dominio de búsqueda.
- Tipo de DNS. Elige uno de los dos:
- Resolución de Internet y de VCN (predeterminado).
- Resolución personalizada (puedes especificar hasta tres servidores DNS de tu elección que tú mismo configures, administres y mantengas).
Al resolver una consulta DNS, el sistema operativo de la instancia utiliza los servidores DNS especificados con Tipo de DNS y agrega el dominio de búsqueda al valor que se consulta. Para obtener más información, consulta Opciones de protocolo de configuración dinámica de host (Dynamic Host Configuration Protocol, DHCP).
¿Puedo cambiar las opciones de DHCP que utiliza mi subred después de crear la subred?
Sí. Puedes editar las propiedades de subred para cambiar qué conjunto de opciones de DHCP usa la subred. También puedes cambiar los valores de las opciones de DHCP.
DNS
¿Cómo configuro un nombre de host DNS para mi instancia?
Cuando inicies una instancia, puedes especificar un nombre de host para la instancia, junto con un nombre para mostrar. Este nombre de host, combinado con el nombre de dominio de la subred, se convierte en el nombre de dominio completo (FQDN) de tu instancia. Este FQDN es único dentro de la VCN y se resuelve en la dirección IP privada de tu instancia. Para más detalles, consulte DNS en tu red virtual en la nube.
Ten en cuenta que, para especificar un nombre de host para la instancia, la VCN y la subred deben configurarse para habilitar los nombres de host DNS.
¿Cómo configuro la VCN y la subred para habilitar los nombres de host?
Cuando creas una VCN, puede especificar su etiqueta DNS. Esto, combinado con el dominio principal oraclevcn.com, se convierte en el nombre de dominio de la VCN.
Cuando creas una subred, puedes especificar su etiqueta DNS. Esto, combinado con el nombre de dominio de VCN, se convierte en el nombre de dominio de la subred.
Puede habilitar un nombre de host para una instancia de computación solo si el VCN y la subred se crean con una etiqueta DNS.
¿Qué es un nombre de host DNS de una instancia de computación?
Un nombre de host DNS es un nombre que corresponde a la dirección IP de una instancia conectada a una red. En el caso de una VCN de Oracle Cloud Infrastructure, cada instancia se puede configurar con un nombre de host DNS que corresponda a la dirección privada de la instancia.
Un nombre de dominio completo (FQDN) de una instancia es similar a hostname.subnetdnslabel.vcndnslabel.oraclevcn.com, donde hostname es el nombre de host DNS de la instancia, subnetdnslabel y vcndnslabel son las etiquetas DNS de la subred de la instancia y de la VCN, respectivamente.
El dominio principal oraclevcn.com está reservado para su uso con nombres de host DNS creados en Oracle Cloud Infrastructure.
¿Puedo cambiar el nombre de host de mi instancia?
Sí.
¿Puedo cambiar el nombre de la etiqueta DNS de una VCN o de una subred existentes?
No.
Si mi subred está configurada para usar un solucionador personalizado para DNS, ¿se crean nombres de host DNS para las instancias en esta subred?
Sí. Los nombres de host DNS se crean para instancias independientemente del tipo de DNS seleccionado para la subred.
¿Puede mi instancia resolver nombres de host de instancias en otras VCN?
No. La instancia puedes resolver los nombres de host solo de instancias dentro de la misma VCN.
¿Puedo configurar mis servidores DNS personalizados para resolver los nombres de host DNS internos de la VCN?
Sí, puedes hacerlo con servidores DNS personalizados configurados dentro de la VCN. Puedes configurar los servidores DNS personalizados para usar 169.254.169.254 como reenviador para el dominio VCN (por ejemplo, contoso.oraclevcn.com).
Ten en cuenta que los servidores DNS personalizados deben configurarse en una subred que use "Resolución de Internet y de VCN" como tipo de DNS (para permitir el acceso a la dirección IP 169.254.169.254).
Para ver un ejemplo de implementación con el proveedor Oracle Terraform, consulte Configuración de DNS híbrido.
Facturación
¿Me cobran por usar una VCN?
No se factura nada por crear y utilizar las VCN. Sin embargo, se aplican cargos por el uso de otros servicios de Oracle Cloud Infrastructure (incluidos los volúmenes de cálculo y de bloque) y por la transferencia de datos con arreglo a las tarifas publicadas. No hay cargos por transferencia de datos para ninguna comunicación entre los recursos dentro de una VCN.
¿Cómo se me cobrará cuando conecte mi VCN a mi centro de datos on-premises usando una VPN IPSec?
Solo se te cobran las tarifas de transferencia de datos salientes de Oracle Cloud Infrastructure publicadas. No se factura nada por la conexión VPN por hora o por mes.
¿Qué cargos de uso se aplican si utilizo otros recursos, como el servicio de base de datos o de almacenamiento de objetos, desde instancias dentro de mi VCN?
No incurre en cargos por transferencia de datos al acceder a otros servicios públicos de Oracle Cloud Infrastructure, como el almacenamiento de objetos, en la misma región. Todo el tráfico de red a través de IP privadas o públicas entre sus instancias y otros recursos dentro de su VCN, como una base de datos o un equilibrador de carga, está libre de cargos de transferencia de datos.
Si accedes a recursos públicos de Oracle Cloud Infrastructure a través de su VPN IPSec desde su VCN, se facturarán los cargos publicados de transferencia de datos salientes.
¿Sus precios incluyen impuestos?
A menos que se indique lo contrario, los precios de Oracle Cloud Infrastructure, incluidos los cargos de transferencia de datos salientes, excluyen los impuestos y los aranceles aplicables, incluido el IVA y cualquier impuesto a las ventas aplicable.