Oracle Cloud Infrastructure - Dokumentation

Cloud Shell-Networking

In diesem Abschnitt werden die drei Netzwerkmodi beschrieben, die von Cloud Shell bereitgestellt werden.

  • OCI-Servicenetzwerk: Dies ist der Standardmodus und bietet nur Zugriff auf andere OCI-Ressourcen in Ihrer Hauptregion für Ihren Mandanten.
  • Öffentliches Cloud Shell-Netzwerk: Dieser Networkingmodus ermöglicht den Zugriff auf das öffentliche Internet, muss jedoch von Ihrem Administrator aktiviert werden
  • Privater Netzwerkzugriff: Ein konfigurierbares Netzwerk, mit dem Sie auf Ressourcen in Ihrem privaten Netzwerk zugreifen können, ohne dass der Netzwerkdatenverkehr über öffentliche Netzwerke fließen muss.

Der Networkingmodus für Ihre Cloud Shell-Session hängt davon ab, wie Ihr Administrator Ihre Identitäts-Policy konfiguriert hat.

Cloud Shell-OCI-Servicenetzwerk

Mit dem Cloud Shell-OCI-Servicenetzwerk können Sie auf OCI Wide Services zugreifen, ohne Zugriff auf das öffentliche Internet zu gewähren. Dies ist der standardmäßige Cloud Shell-Netzwerkzugriff, wenn der Administrator keine Identitäts-Policy konfiguriert hat.

Wenn der Administrator keine Identitäts-Policy eingerichtet hat, wird beim Starten von Cloud Shell das folgende Dialogfeld angezeigt:

Dialogfeld "Eingeschränktes Cloud Shell-Netzwerk"

Dialogfeld "Eingeschränktes Cloud Shell-Netzwerk"

Wählen Sie Privates Netzwerk aus, um eine Verbindung zu einem neuen privaten Netzwerk herzustellen oder es zu erstellen und zu konfigurieren, oder wählen Sie OCI-Servicenetzwerk aus, um die Standardeinstellung beizubehalten.

Öffentliches Cloud Shell-Netzwerk

Das öffentliche Cloud Shell-Netzwerk ermöglicht den Zugriff auf das öffentliche Internet von Ihrer Cloud Shell-Session aus.

Hinweis

Ihr Administrator muss den Zugriff auf das öffentliche Cloud Shell-Netzwerk mit einer Identitäts-Policy konfigurieren.

Anforderungen und IAM-Policy

Damit Benutzer auf das von Cloud Shell verwaltete öffentliche Netzwerk zugreifen können, müssen Sie Benutzerzugriff über eine Identitäts-Policy erteilen.

Der Ressourcenname für das von Cloud Shell verwaltete öffentliche Netzwerk lautet "cloud-shell-public-network". Das folgende Beispiel zeigt eine Beispiel-Policy, die Zugriff auf das öffentliche Cloud Shell-Netzwerk erteilt:
allow group <GROUP-NAME> to use cloud-shell-public-network in tenancy
Hinweis

IAM-Policys und Sicherheitszonen-Policys für öffentliche Netzwerke können bis zu 24 Stunden dauern, bis sie für vorhandene Cloud Shell-Sessions wirksam werden. Sie können Policy-Updates sofort aktivieren, indem Sie die Cloud Shell im Menü Aktionen neu starten.
Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys.

Cloud Shell-Administratoren können mit der Cloud Shell-Sicherheitszonen-Policy die öffentliche Netzwerknutzung für alle Benutzer im Mandanten (einschließlich Mandantenadministratoren) unabhängig von der IAM-Policy einschränken. Die Sicherheitszonen-Policy schränkt die von cloud shell verwaltete öffentliche Netzwerknutzung für alle Benutzer im Mandanten ein, einschließlich Mandantenadministratoren. Weitere Informationen finden Sie unter Sicherheitszonen.

Cloud Shell Private Networking

Mit Cloud Shell Private Networking können Sie eine Cloud Shell-Session mit einem privaten Netzwerk verbinden, sodass Sie auf Ressourcen in Ihrem privaten Netzwerk zugreifen können, ohne dass der Netzwerkdatenverkehr über öffentliche Netzwerke fließt. Private Networking kann beispielsweise nützlich sein, um SSH-Verbindungen zu Compute-Instanzen innerhalb eines privaten Netzwerks herzustellen oder um ein privates OKE-Cluster zu verwalten.

Hinweis

Eine Cloud Shell-Instanz ist eine private Instanz und funktioniert für die Netzwerkeinrichtung wie eine private Instanz. Wenn Sie nur ein Internetgateway verwenden, ist Egress-Traffic zum Internet aus einem privaten Subnetz nicht zulässig. Sie müssen ein Servicegateway oder ein NAT-Gateway verwenden. Weitere Informationen finden Sie in der Internetgateway-Dokumentation.

Anforderungen und IAM-Policy

Um Private Networking nutzen zu können, müssen Sie (oder ein Administrator) die folgenden Policys festlegen:

  • allow group <group> to use subnets in compartment <compartment>
  • allow group <group> to use vnics in compartment <compartment>
  • allow group <group> to use network-security-groups in compartment <compartment>
  • allow group <group> to inspect vcns in compartment <compartment>

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys.

Außerdem müssen Sie private VCNs und Subnetze in den entsprechenden Compartments erstellen. Weitere Informationen finden Sie unter VCNs und Subnetze in der Networking-Dokumentation.

Einschränkungen bei Cloud Shell Private Networking

Beachten Sie bei der Nutzung von Private Networking die folgenden Einschränkungen:
  • Sie müssen private VCNs und Subnetze in den entsprechenden Compartments erstellen. Weitere Informationen finden Sie unter VCN- und Subnetzverwaltung in der Networking-Dokumentation.
  • Sie können bis zu 5 bevorzugte private Netzwerke zuweisen.
  • Ein temporäres ephemeres Netzwerk ist nur für die Dauer der Cloud Shell-Session gültig und wird nicht dauerhaft in der Liste der definierten privaten Netzwerke gespeichert.
  • Zum Erstellen eines privaten Netzwerks sind nur VCNs und Subnetze in Ihrer Hauptregion verfügbar. Wenn Sie auf ein Subnetz in einer anderen Region als Ihrer Hauptregion zugreifen müssen, ist dies mittels Peering aus dem Subnetz möglich, das für Private Networking verwendet wird. Weitere Informationen finden Sie unter Remote-VCN-Peering.
  • Ein für ein privates Cloud Shell-Netzwerk ausgewähltes Subnetz muss mindestens eine verfügbare, nicht reservierte IP-Adresse für den CIDR-Block des Subnetzes aufweisen. Wenn alle nicht reservierten IP-Adressen bereits zugewiesen wurden, kann Cloud Shell keine Verbindung zu diesem Subnetz herstellen.
  • Ein Subnetz kann maximal 5 zugehörige Netzwerksicherheitsgruppen besitzen.
  • Das Auflösen von Endpunkten über benutzerdefinierte DNS-Resolver wird nicht unterstützt.

Private Cloud Shell-Netzwerke verwenden

In diesem Abschnitt wird beschrieben, wie Sie private Cloud Shell-Netzwerke verwenden.

Auswählen eines Netzwerks

Welches Netzwerk eine Cloud Shell-Session verwendet, können Sie mit dem Dropdown-Menü Netzwerk im oberen Bereich des Cloud Shell-Terminalfensters ändern: Position des Cloud Shell-Menüs "Netzwerk"

Das Netzwerkauswahlmenü wird angezeigt:

Menüoption zum Einrichten eines privaten Netzwerks.

In diesem Menü können Sie eine Netzwerkverbindung auswählen, auf die Liste der privaten Netzwerkdefinitionen zugreifen oder ein flüchtiges (temporäres) privates Netzwerk erstellen.

Liste der Definition privater Netzwerke verwenden

Im Menü "Netzwerkauswahl" unter Liste der Definition privater Netzwerke wird der Bereich Liste der Definition privater Netzwerke angezeigt: Liste der Definition privater Cloud Shell-Netzwerke

In diesem Bereich können Sie private Netzwerke erstellen oder ändern, bevorzugte private Netzwerke angeben und ein Standardnetzwerk auswählen.

Festlegen von bevorzugten Netzwerken

Sie können bis zu 5 bevorzugte Netzwerke angeben. Um ein Netzwerk als Favorit zu kennzeichnen, klicken Sie in der Spalte Favorit auf den Stern.

Auswählen eines Standardnetzwerks

Sie können ein Standardnetzwerk aus der Dropdown-Liste im Bereich Standardnetzwerk auswählen. Dies ist das Netzwerk, das beim Starten einer neuen Cloud Shell-Session verwendet wird.

Neue Definition eines privaten Netzwerks erstellen

Sie können eine neue Definition eines privaten Netzwerks erstellen, indem Sie auf die Schaltfläche Definition eines privaten Netzwerks erstellen klicken. Daraufhin wird der Bereich Definition eines privaten Netzwerks erstellen angezeigt.
Hinweis

Wählen Sie zum Erstellen eines temporären ephemeren Netzwerks in der Dropdown-Liste für die Netzwerkauswahl die Option Setup von ephemerem privatem Netzwerk aus. Dieses temporäre Netzwerk ist nur für die Dauer der Cloud Shell-Session gültig und wird nicht dauerhaft in der Liste der definierten privaten Netzwerke gespeichert.

Geben Sie in das Textfeld Name einen Namen für die Definition des privaten Netzwerks ein.

Wählen Sie in den Dropdown-Listenfeldern das gewünschte VCN und das zu verwendende Subnetz aus. Sie können optional auch eine oder mehrere Netzwerksicherheitsgruppen auswählen, die verwendet werden sollen.
Hinweis

Nur VCNs und Subnetze in Ihrer Hauptregion sind verfügbar. Wenn Sie auf ein Subnetz in einer anderen Region als Ihrer Hauptregion zugreifen müssen, ist dies mittels Peering aus dem Subnetz möglich, das für Private Networking verwendet wird. Weitere Informationen finden Sie unter Remote-VCN-Peering.
Hinweis

Ein für ein privates Cloud Shell-Netzwerk ausgewähltes Subnetz muss über mindestens eine nicht reservierte IP-Adresse für den CIDR-Block des Subnetzes verfügen. Wenn alle nicht reservierten IP-Adressen bereits zugewiesen wurden, kann Cloud Shell keine Verbindung zu diesem Subnetz herstellen.

Beispiel:

Beispiel: Dialogfeld nach abgeschlossener Einrichtung eines privaten Cloud Shell-Netzwerks

Wenn Sie diese Definition als aktives Netzwerk festlegen möchten, aktivieren Sie das Kontrollkästchen Als aktives Netzwerk verwenden.

Klicken Sie auf die Schaltfläche Erstellen, um die Definition des privaten Cloud Shell-Netzwerks zu erstellen.

Wenn Sie das Kontrollkästchen Als aktives Netzwerk verwenden aktiviert haben, wird die Cloud Shell-Session mit dem privaten Netzwerk verbunden. Dies wird in der Dropdown-Liste "Netzwerk" oben in der Cloud Shell-Terminalsession angezeigt:

Cloud Shell-Dropdown-Liste "Networking"

Klicken Sie zum Anzeigen von Details zu Ihrer privaten Netzwerkverbindung auf den Link Details:

Detailansicht zum privaten Cloud Shell-Netzwerk