Oracle Cloud Infrastructure - Dokumentation

Cloud Shell-Netzwerk

In diesem Abschnitt werden die drei von Cloud Shell bereitgestellten Netzwerkmodi beschrieben.

  • OCI-Servicenetzwerk: Dies ist der Standardmodus und ermöglicht nur den Zugriff auf andere OCI-Ressourcen in Ihrer Hauptregion für Ihren Mandanten
  • Öffentliches Cloud Shell-Netzwerk: Dieser Networkingmodus ermöglicht den Zugriff auf das öffentliche Internet, muss jedoch von Ihrem Administrator aktiviert werden
  • Privater Netzwerkzugriff: Ein konfigurierbares Netzwerk, mit dem Sie auf Ressourcen in Ihrem privaten Netzwerk zugreifen können, ohne dass der Netzwerktrafficfluss über öffentliche Netzwerke erfolgt

Der Networkingmodus für die Cloud Shell-Session hängt davon ab, wie der Administrator Ihre Identitäts-Policy konfiguriert hat.

Cloud Shell-OCI-Servicenetzwerk

Mit dem Cloud Shell-OCI-Servicenetzwerk können Sie auf OCI-weite Services zugreifen, ohne Zugriff auf das öffentliche Internet zu gewähren. Dies ist der standardmäßige Cloud Shell-Netzwerkzugriff, wenn der Administrator keine Identitäts-Policy konfiguriert hat.

Wenn Ihr Administrator keine Identitäts-Policy eingerichtet hat, wird beim Starten von Cloud Shell das folgende Dialogfeld angezeigt:

Dialogfeld für eingeschränktes Cloud Shell-Netzwerk

Dialogfeld für eingeschränktes Cloud Shell-Netzwerk

Wählen Sie Privates Netzwerk aus, um eine Verbindung herzustellen, ein neues privates Netzwerk zu erstellen und zu konfigurieren, oder wählen Sie OCI-Servicenetzwerk aus, um die Standardeinstellung beizubehalten.

Öffentliches Cloud Shell-Netzwerk

Das öffentliche Cloud Shell-Netzwerk ermöglicht den Zugriff auf das öffentliche Internet über Ihre Cloud Shell-Session.

Hinweis

Ihr Administrator muss den Zugriff auf das öffentliche Cloud Shell-Netzwerk mit einer Identitäts-Policy konfigurieren.

Anforderungen und IAM-Policy

Damit Benutzer auf das von Cloud Shell verwaltete öffentliche Netzwerk zugreifen können, müssen Sie Benutzerzugriff über eine Identitäts-Policy erteilen.

Der Ressourcenname für das von Cloud Shell verwaltete öffentliche Netzwerk lautet "cloud-shell-public-network". Im Folgenden finden Sie eine Beispiel-Policy, die Zugriff auf das öffentliche Cloud Shell-Netzwerk erteilt:
allow group <GROUP-NAME> to use cloud-shell-public-network in tenancy
Hinweis

IAM-Policys und Sicherheitszonen-Policys für öffentliche Netzwerke können bis zu 24 Stunden in Anspruch nehmen, um für vorhandene Cloud Shell-Sessions wirksam zu werden. Sie können Policy-Updates sofort aktivieren, indem Sie die Cloud Shell aus dem Menü Aktionen neu starten.
Informationen zu Policys finden Sie unter Identitätsdomains verwalten und Allgemeine Policys.

Cloud Shell-Administratoren können die Cloud Shell-Sicherheitszonen-Policy verwenden, um die Nutzung des öffentlichen Netzwerks für alle Benutzer im Mandanten (einschließlich Mandantenadministratoren) unabhängig von der IAM-Policy einzuschränken. Die Sicherheitszonen-Policy schränkt die von cloud shell verwaltete öffentliche Netzwerknutzung für alle Benutzer im Mandanten ein, einschließlich Mandantenadministratoren. Weitere Informationen finden Sie unter Sicherheitszonen.

Cloud Shell Private Networking

Mit Cloud Shell Private Networking können Sie eine Cloud Shell-Session mit einem privaten Netzwerk verbinden, sodass Sie auf Ressourcen in Ihrem privaten Netzwerk zugreifen können, ohne dass der Netzwerkdatenverkehr über öffentliche Netzwerke fließt. Private Networking kann beispielsweise nützlich sein, um SSH-Verbindungen zu Compute-Instanzen innerhalb eines privaten Netzwerks herzustellen oder um ein privates OKE-Cluster zu verwalten.

Hinweis

Eine Cloud Shell-Instanz ist eine private Instanz und funktioniert für die Netzwerkeinrichtung wie eine private Instanz. Wenn Sie nur ein Internetgateway verwenden, ist Egress-Traffic zum Internet aus einem privaten Subnetz nicht zulässig. Sie müssen ein Servicegateway oder ein NAT-Gateway verwenden. Weitere Informationen finden Sie in der Internetgateway-Dokumentation.

Anforderungen und IAM-Policy

Um Private Networking nutzen zu können, müssen Sie (oder ein Administrator) die folgenden Policys festlegen:

  • allow group <group> to use subnets in compartment <compartment>
  • allow group <group> to use vnics in compartment <compartment>
  • allow group <group> to use network-security-groups in compartment <compartment>
  • allow group <group> to inspect vcns in compartment <compartment>

Informationen zu Policys finden Sie unter Identitätsdomains verwalten und Allgemeine Policys.

Außerdem müssen Sie private VCNs und Subnetze in den entsprechenden Compartments erstellen. Weitere Informationen finden Sie unter VCNs und Subnetze in der Networking-Dokumentation.

Einschränkungen bei Cloud Shell Private Networking

Beachten Sie bei der Nutzung von Private Networking die folgenden Einschränkungen:
  • Sie müssen private VCNs und Subnetze in den entsprechenden Compartments erstellen. Weitere Informationen finden Sie unter VCN- und Subnetzverwaltung in der Networking-Dokumentation.
  • Sie können bis zu 5 bevorzugte private Netzwerke zuweisen.
  • Ein temporäres ephemeres Netzwerk ist nur für die Dauer der Cloud Shell-Session gültig und wird nicht dauerhaft in der Liste der definierten privaten Netzwerke aufbewahrt.
  • Zum Erstellen eines privaten Netzwerks sind nur VCNs und Subnetze in Ihrer Hauptregion verfügbar. Wenn Sie auf ein Subnetz in einer anderen Region als Ihrer Hauptregion zugreifen müssen, ist dies mittels Peering aus dem Subnetz möglich, das für Private Networking verwendet wird. Weitere Informationen finden Sie unter Remote-VCN-Peering.
  • Ein für ein privates Cloud Shell-Netzwerk ausgewähltes Subnetz muss mindestens eine verfügbare, nicht reservierte IP-Adresse für den CIDR-Block des Subnetzes aufweisen. Wenn alle nicht reservierten IP-Adressen bereits zugewiesen wurden, kann Cloud Shell keine Verbindung zu diesem Subnetz herstellen.
  • Ein Subnetz kann maximal 5 zugehörige Netzwerksicherheitsgruppen besitzen.
  • Das Auflösen von Endpunkten über benutzerdefinierte DNS-Resolver wird nicht unterstützt.

Private Cloud Shell-Netzwerke verwenden

In diesem Abschnitt wird beschrieben, wie Sie Cloud Shell Private Networking verwenden.

Netzwerk auswählen

Welches Netzwerk eine Cloud Shell-Session verwendet, können Sie mit dem Dropdown-Menü Netzwerk im oberen Bereich des Cloud Shell-Terminalfensters ändern:Position des Cloud Shell-Menüs "Netzwerk"

Das Menü zur Netzwerkauswahl wird angezeigt:

Menüoption zum Einrichten eines privaten Netzwerks.

In diesem Menü können Sie eine Netzwerkverbindung auswählen, auf die Liste der Definitionen privater Netzwerke zugreifen oder ein flüchtiges (temporäres) privates Netzwerk erstellen.

Liste der Definitionen privater Netze verwenden

Das Element Liste der privaten Netzwerkdefinitionen im Netzwerkauswahlmenü zeigt den Bereich Liste der privaten Netzwerkdefinitionen an: Liste der Definition privater Cloud Shell-Netzwerke

In diesem Bereich können Sie private Netzwerke erstellen oder ändern, private bevorzugte Netzwerke festlegen und ein Standardnetzwerk auswählen.

Festlegen von bevorzugten Netzwerken

Sie können bis zu 5 Lieblingsnetzwerke angeben. Um ein Netzwerk als Favorit zu kennzeichnen, klicken Sie in der Spalte Favorit auf den Stern.

Standardnetzwerk auswählen

Sie können ein Standardnetzwerk aus der Dropdown-Liste im Bereich Standardnetzwerk auswählen. Dies ist das Netzwerk, das beim Start einer neuen Cloud Shell-Session verwendet wird.

Neue Definition eines privaten Netzwerks wird erstellt

Sie können eine neue Definition des privaten Netzwerks erstellen, indem Sie auf die Schaltfläche Definition des privaten Netzwerks erstellen klicken. Daraufhin wird der Bereich Definition privates Netzwerk erstellen angezeigt.
Hinweis

Wählen Sie zum Erstellen eines temporären ephemeren Netzwerks die Option Setup von ephemerem privaten Netzwerk aus der Dropdown-Liste für die Netzwerkwahl aus. Dieses temporäre Netzwerk ist nur für die Dauer der Cloud Shell-Session gültig und wird nicht dauerhaft in der Liste der definierten privaten Netzwerke gespeichert.

Geben Sie einen Namen für die Definition Ihres privaten Netzwerks in das Textfeld Name ein.

Wählen Sie in den Dropdown-Listen das VCN und das zu verwendende Subnetz aus. Sie können optional auch eine oder mehrere Netzwerksicherheitsgruppen auswählen, die verwendet werden sollen.
Hinweis

Nur VCNs und Subnetze in Ihrer Hauptregion sind verfügbar. Wenn Sie auf ein Subnetz in einer anderen Region als Ihrer Hauptregion zugreifen müssen, ist dies mittels Peering aus dem Subnetz möglich, das für Private Networking verwendet wird. Weitere Informationen finden Sie unter Remote-VCN-Peering.
Hinweis

Ein für ein privates Cloud Shell-Netzwerk ausgewähltes Subnetz muss über mindestens eine nicht reservierte IP-Adresse für den CIDR-Block des Subnetzes verfügen. Wenn alle nicht reservierten IP-Adressen bereits zugewiesen wurden, kann Cloud Shell keine Verbindung zu diesem Subnetz herstellen.

Beispiel:

Beispiel: Dialogfeld nach abgeschlossener Einrichtung eines privaten Cloud Shell-Netzwerks

Wenn Sie diese Definition als aktives Netzwerk festlegen möchten, deaktivieren Sie das Kontrollkästchen Als aktives Netzwerk verwenden.

Klicken Sie auf die Schaltfläche Erstellen, um die Definition eines privaten Cloud Shell-Netzwerks zu erstellen.

Wenn Sie das Kontrollkästchen Als aktives Netzwerk verwenden aktiviert haben, wird Ihre Cloud Shell-Session mit Ihrem privaten Netzwerk verbunden. Dies wird auch in der Dropdown-Liste "Netzwerk" oben in der Cloud Shell-Terminalsession angezeigt.

Cloud Shell-Dropdown-Liste "Networking"

Sie können Details zu Ihrer privaten Netzwerkverbindung anzeigen, indem Sie auf den Link Details klicken:

Detailansicht zum privaten Cloud Shell-Netzwerk