Oracle Cloud Infrastructure - Dokumentation

VCN zur Verwendung mit API-Gateway erstellen, falls noch nicht vorhanden

Erfahren Sie, wie Sie ein VCN zur Verwendung mit API Gateway erstellen.

Bevor Benutzer mit dem API-Gateway-Service API-Gateways erstellen und APIs darin bereitstellen können, müssen Sie als Mandantenadministrator mindestens ein VCN mit einem öffentlichen oder privaten regionalen Subnetz erstellen, in dem API-Gateways erstellt werden sollen.

Das VCN kann, muss jedoch nicht, zum selben Compartment gehören, zu dem auch weitere API-Gateway-bezogene Ressourcen gehören. Um High Availability sicherzustellen, können API-Gateways nur in regionalen Subnetzen (und nicht in AD-spezifischen Subnetzen) erstellt werden. Beachten Sie, dass ein API-Gateway in der Lage sein muss, die Backends zu erreichen, die in der API-Deployment-Spezifikation definiert sind. Beispiel: Wenn sich das Backend im öffentlichen Internet befindet, muss das VCN über ein Internetgateway verfügen, damit das API-Gateway Anforderungen an das Backend weiterleiten kann. Das VCN muss über ein Set von DHCP-Optionen mit einem geeigneten DNS-Resolver verfügen, um Hostnamen, die in einer API-Deployment-Spezifikation definiert sind, IP-Adressen zuzuordnen.

Das öffentliche oder private regionale Subnetz, in dem API-Gateways erstellt werden sollen, muss einen CIDR-Block enthalten, der mindestens 32 freie IP-Adressen bereitstellt. Oracle empfiehlt unbedingt, dass der CIDR-Block mehr als den Mindestwert bereitstellt.

Zur Unterstützung der größten möglichen Anzahl nebenläufiger Verbindungen empfiehlt Oracle unbedingt, dass die vom Subnetz verwendeten Sicherheitslisten nur zustandslose Regeln enthalten.

Wenn bereits ein geeignetes VCN vorhanden ist, muss kein neues erstellt werden.

Wenn Sie beschließen, ein neues VCN zu erstellen, stehen Ihnen verschiedene Optionen zur Verfügung, darunter die folgenden:

  • Sie können zunächst nur das VCN erstellen und später dann die regionalen Subnetze sowie weitere zugehörige Ressourcen (wie in diesem Thema beschrieben). In diesem Fall können Sie auswählen, ob ein öffentliches regionales Subnetz und ein Internetgateway (siehe Internetgateway) oder ein privates regionales Subnetz und ein Servicegateway (siehe Zugriff auf Oracle Services: Servicegateway) erstellt werden sollen. Beispiel: Wenn Sie Traffic nicht über das öffentliche Internet verfügbar machen möchten, erstellen Sie ein privates regionales Subnetz und ein Servicegateway.
  • Sie können das neue VCN erstellen und gleichzeitig zugehörige Ressourcen automatisch erstellen lassen, indem Sie die Option VCN-Assistenten starten auswählen. In diesem Fall werden ein öffentliches regionales Subnetz und ein privates regionales Subnetz zusammen mit einem Internetgateway, einem NAT-Gateway und einem Servicegateway erstellt. Obwohl auch eine Standardsicherheitsliste erstellt wird, müssen Sie eine neue zustandsfähige Ingress-Regel für das regionale Subnetz (entweder in einer Sicherheitsliste oder in einer Netzwerksicherheitsgruppe) hinzufügen, um Traffic auf Port 443 zu ermöglichen. Das liegt daran, dass API-Gateway auf Port 443 kommuniziert und Port 443 standardmäßig nicht geöffnet ist (siehe entsprechender Schritt in diesem Thema).

Details zu typischen Netzwerkkonfigurationen finden Sie unter Beispiele für Netzwerkressourcenkonfigurationen.

So erstellen Sie ein VCN zur Verwendung mit API-Gateway:

  1. Melden Sie sich als Mandantenadministrator in der Konsole an.
  2. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie dann Virtuelle Cloud-Netzwerke aus.

  3. Wählen Sie das Compartment aus, das über die Netzwerkressourcen verfügen soll (links auf der Seite). Beispiel: acme-network.

    Das VCN kann, muss jedoch nicht, zum selben Compartment gehören, zu dem API-Gateway-bezogene Ressourcen gehören. Die Seite wird aktualisiert, damit nur die Ressourcen in dem von Ihnen ausgewählten Compartment angezeigt werden.

  4. Wählen Sie VM-Netzwerk erstellen aus, um ein neues VCN zu erstellen.

  5. Geben Sie im Dialogfeld Virtuelles Cloud-Netzwerk erstellen Folgendes ein:

    • Name: Einen aussagekräftigen Namen für das VCN, wie acme-apigw-vcn. Der Name muss nicht eindeutig sein, Sie können ihn aber später nicht mit der Konsole ändern (mit der API kann er geändert werden). Vermeiden Sie die Eingabe von vertraulichen Informationen.
    • Weitere Details für das VCN (siehe VCN erstellen).

  6. Wählen Sie VM-Netzwerk erstellen aus, um das VCN zu erstellen.

    Das VCN wird auf der Seite Virtuelle Cloud-Netzwerke im ausgewählten Compartment erstellt und angezeigt.

  7. Wählen Sie auf der Seite Virtuelle Cloud-Netzwerke die Option Subnetz erstellen aus.

  8. Geben Sie im Dialogfeld Subnetz erstellen Folgendes ein:

    • Name: Einen aussagekräftigen Namen für das Subnetz, wie acme-apigw-subnet. Der Name muss nicht eindeutig sein, Sie können ihn aber später nicht mit der Konsole ändern (mit der API kann er geändert werden). Vermeiden Sie die Eingabe von vertraulichen Informationen.
    • Subnetztyp: Wählen Sie Regional (empfohlen) aus. Um High Availability sicherzustellen, können API-Gateways nur in regionalen Subnetzen (und nicht in AD-spezifischen Subnetzen) erstellt werden.
    • CIDR-Block: Einen CIDR-Block, der mindestens 32 freie IP-Adressen bereitstellt.
    • DHCP-Optionen: (Optional) Wählen Sie ein Set von DHCP-Optionen mit einem geeigneten DNS-Resolver aus, um Hostnamen, die in einer API-Deployment-Spezifikation definiert sind, IP-Adressen zuzuordnen. Wenn Sie kein DHCP-Optionsset explizit angeben, verwendet das standardmäßige DHCP-Optionsset den von Oracle bereitgestellten Internet- und VCN-Resolver, um IP-Adressen für Hostnamen zurückzugeben, die öffentlich im Internet veröffentlicht werden, und Hostnamen, die zu einer Instanz in demselben VCN gehören.
    • Weitere Details für das Subnetz (siehe Subnetz erstellen).

  9. Wählen Sie Erstellen aus, um das Subnetz zu erstellen.

    Das Subnetz wird auf der Seite Subnetze im ausgewählten Compartment erstellt und angezeigt.

    API Gateway kommuniziert auf Port 443, der standardmäßig nicht geöffnet ist. Sie müssen eine neue zustandsbehaftete Ingress-Regel für das regionale Subnetz hinzufügen, um Traffic auf Port 443 zuzulassen.

  10. Wählen Sie den Namen des regionalen Subnetzes, dann den Namen der Standardsicherheitsliste und dann Ingress-Regeln hinzufügen aus, und geben Sie Folgendes ein:

    • Quelltyp: CIDR
    • Quell-CIDR: 0.0.0.0/0
    • IP-Protokoll: TCP
    • Quellportbereich: Alle
    • Zielportbereich: 443

  11. Wählen Sie Ingress-Regeln hinzufügen aus, um die neue Regel zur Standardsicherheitsliste hinzuzufügen.