IPv6-Adressen

In diesem Thema wird die Unterstützung von IPv6-Adressen in einem VCN beschrieben.

Highlights

  • Die IPv6-Adressierung wird für alle kommerziellen und Regierungsregionen unterstützt.
  • Während der VCN-Erstellung wählen Sie aus, ob das VCN für IPv6 aktiviert ist. Sie können IPv6 auch auf vorhandenen Nur-IPv4-VCNs aktivieren. Sie können auch festlegen, ob die einzelnen Subnetze in einem IPv6-fähigen VCN für IPv6 aktiviert sind.
  • IPv6-fähige VCNs können ein von Oracle zugewiesenes Präfix der globalen Unicast-Adresse (GUA) der Größe /56 IPv6 verwenden, ein /64- oder größeres Präfix der eindeutigen lokalen Adresse (ULA) angeben oder ein /48- oder größeres Präfix der Größe BYOIPv6 importieren.
  • Ein von Oracle zugewiesenes /56-Präfix kann für die Internetkommunikation global routbar an das VCN sein, je nachdem, ob das Subnetz, das einen /64-Teil des Präfixes verwendet, öffentlich oder privat ist. Ein ULA-Präfix ist für die Internetkommunikation nicht global routbar.
  • Alle IPv6-fähigen Subnetze sind /64. Sie können die Internetkommunikation mit einem Subnetz entweder zulassen oder untersagen, indem Sie das Flag auf Subnetzebene "öffentlich/privat" angeben.
  • Wenn Sie BYOIP verwenden, können Sie ein IPv6-GUA-Präfix von /48 oder größer importieren und müssen einem VCN ein Präfix von /64 oder größer zuweisen.
  • Sie wählen aus, ob eine bestimmte VNIC in einem IPv6-fähigen Subnetz über IPv6-Adressen (max. 32 Adressen pro VNIC) verfügt.
  • Nur diese Networking-Gateways unterstützen den IPv6-Traffic: Dynamisches Routinggateway (DRG), lokales Peering-Gateway (LPG) und Internetgateway .
  • Sowohl eingehende als auch ausgehende initiierte IPv6-Verbindungen werden zwischen einem VCN und dem Internet sowie zwischen einem VCN und einem On-Premise-Netzwerk unterstützt. Die Kommunikation zwischen Ressourcen in einem VCN oder zwischen VCNs wird ebenfalls unterstützt.
  • IPv6-Traffic zwischen Ressourcen innerhalb einer Region (innerhalb und zwischen VCNs) wird unterstützt. Weitere wichtige Details finden Sie unter Routing für IPv6-Traffic und Internetkommunikation.
  • Sowohl FastConnect als auch Site-to-Site-VPN unterstützen IPv6-Traffic zwischen einem VCN und einem On-Premise-Netzwerk. Sie müssen FastConnect oder ein Site-to-Site-VPN für IPv6 konfigurieren.
  • IPv6-Adressen unterstützen eine optionale Verknüpfung mit einer benutzerdefinierten Routentabelle (siehe Routing pro Ressource).

IPv6-Adressen - Überblick

Oracle-VCNs unterstützen die reine IPv4-Adressierung sowie die Dual-Stack-Adressierung von IPv4 und IPv6. Jedes VCN verfügt immer über mindestens ein privates IPv4 CIDR. Sie können IPv6 während der VCN-Erstellung aktivieren. Sie können auch ein IPv6-Präfix zu einem Nur-IPv4-VCN hinzufügen, während Sie IPv6 aktivieren. Wenn IPv6 für ein VCN aktiviert ist, können Sie beim Erstellen eines Subnetzes dieses VCN aktivieren, dass es auch nur IPv4-Adressen oder sowohl IPv4- als auch IPv6-Adressen enthält. Daher kann ein VCN eine Mischung aus ausschließlich IPv4-Subnetzen und Subnetzen haben, die sowohl IPv4 als auch IPv6 haben.

Wenn Sie eine Compute-Instanz erstellen, können Sie der VNIC eine oder mehrere IPv6-Adressen hinzufügen. Diese IP-Adressen können aus mehreren IPv6-Präfixen zugewiesen werden, wenn sie dem Subnetz zugewiesen sind. Sie können eine IPv6-Adresse jederzeit aus einer VNIC entfernen.

IPv6-Präfixe, die einem IPv6-fähigen VCN zugewiesen sind

Ein IPv6-fähiges VCN ist ein Dual-Stack, d.h. es ist sowohl ein IPv4 CIDR als auch ein IPv6-Präfix zugewiesen. Ein VCN kann bis zu fünf IPv4-CIDRs und bis zu fünf IPv6-Präfixe aufweisen. Ein IPv6-fähiges VCN kann eine von Oracle zugewiesene /56 Global Unicast Address (GUA) verwenden, Ihnen ermöglichen, ein BYOIPv6-Präfix zu importieren und zuzuweisen oder ein ULA-Präfix (Unique Local Address) anzugeben. Oracle kann ein GUA-IPv6-Präfix zuweisen, das hier auch als global routbares IPv6-Präfix bezeichnet wird. Sie können auch Bring Your Own IP (BYOIP) verwenden, um ein /48-Präfix zu verwenden. Die Präfixe von ULA und BYOIPv6 müssen mindestens /64 groß sein, wenn sie einem VCN zugewiesen sind. In der folgenden Tabelle sind die Optionen zusammengefasst.

IPv4 oder IPv6 Anwendung und Größe Wer weist den Adressblock zu? Zulässige Werte
Privates IPv4-CIDR

Private Kommunikation

/16 bis /30

Sie Typischer RFC 1918-Bereich
Global routbares IPv6-Präfix

Internet- oder private Kommunikation

/56

Oracle

Oracle weist das Präfix IPv6 zu.

BYOIP-IPv6-Präfix

Internet- oder private Kommunikation

/64 (Minimum)

Sie IPv6 GUA liegen immer im Bereich 2000::/3.
IPv6-ULA

Private Kommunikation

/64 (Minimum)

Sie

Dieser Adresstyp kann im ULA-Bereich fc00::/7 oder im GUA-Bereich 2000:/3 liegen.

Es wird empfohlen, ULA-Präfixe aus der fd00-Hälfte des Bereichs zuzuweisen.

Hinweis

IPv6 ULA-Adressen, die VCNs zugewiesen sind, werden nur für die interne Kommunikation verwendet, selbst wenn die Adressen im GUA-Bereich liegen. OCI veröffentlicht die Präfixe nicht im Internet und leitet auch keinen Traffic zwischen diesen internen Präfixen und dem Internet weiter.

Eindeutige lokale Adressen sind global eindeutige Adressen, die eine Kommunikation zwischen Knoten auf verschiedenen Links innerhalb derselben Site oder zwischen Sites ermöglichen. Sie sind administrativ segmentiert und dienen nicht dem Routing im Internet. RFC 4193 bietet weitere Informationen zu ULAs.

Internetkommunikation

Wenn Sie IPv6 in einem VCN aktivieren, können Sie entscheiden, welche Typen von IPv6-Adressen zugewiesen werden: von Oracle zugewiesen, BYOIPv6 oder ULA. Dann können Sie IPv6 in Subnetzen aktivieren (siehe Aufgabe 2: Regionales IPv6-fähiges öffentliches Subnetz erstellen) und den VNICs oder Load Balancern einer einzelnen Instanz IPv6-Adressen zuweisen, sofern sie in einem IPv6-fähigen Subnetz mit einem IPv6-Präfix erstellt wurden. Sie können auch entscheiden, ob die Internetkommunikation mit IPv6-fähigen Ressourcen zulässig oder unzulässig ist, indem Sie angeben, ob das Subnetz öffentlich oder privat ist. Wenn einer IPv6-fähigen Ressource eine GUA-Adresse zugewiesen ist und sie in einem öffentlichen Subnetz gehostet wird, ist die Kommunikation mit dem Internet zulässig. Wenn eine IPv6-fähige Ressource in einem privaten Subnetz gehostet wird, ist die wechselseitige Kommunikation mit dem Internet unzulässig, auch wenn der Ressource eine GUA-Adresse zugewiesen ist.

Zuweisung von IPv6-Adressen zu einem VNIC

Wenn Sie IPv6 für eine bestimmte VNIC aktivieren möchten, weisen Sie der VNIC eine IPv6 zu. Optional können Sie die Funktion "IP-Adressmaske" verwenden, um einen Bereich von zusammenhängenden IPv6-Host-IP-Adressen als einzelne Netzwerkdarstellung mit einer IP-Adress-CIDR-Maske zuzuweisen. Wenn Sie IPv6-Adressen zuweisen, können Sie ganz flexibel bestimmte Adressen auswählen oder Oracle diese für Sie auswählen lassen.

Wenn Sie die API CreateIpv6 mit dem Attribut cidrPrefixLength verwenden, können Sie einer virtuellen Netzwerkschnittstellenkarte (VNIC) einen zusammenhängenden Bereich von Host-IP-Adressen innerhalb eines Subnetzes zuweisen, der eine optimierte, netzwerkbasierte Darstellung mehrerer IP-Adressen als einzelnes Objekt bereitstellt. Es gibt jedoch einige Anforderungen, die Sie beachten sollten:

  1. Sekundäre IP-Zuweisung: Die IP-Adressmaske muss der VNIC als sekundäre IP-Adresse zugewiesen werden.
  2. Erforderliche Netzwerkkonfiguration: Das Netzwerkpräfix, das Subnetz oder das VCN, in dem die IP-Adressmaske verwendet wird, müssen neu erstellt werden.
  3. Maskenwertbereich: Der Maskenwert muss im Bereich von 80-128 liegen.
  4. Divisibilität: Der Maskenwert muss ohne Rest durch 4 teilbar sein.
  5. Konflikte vermeiden: Stellen Sie sicher, dass der Maskenbereich keine Host-IP-Adressen enthält, die bereits im Subnetz verwendet oder reserviert sind. Außerdem sind das erste und das letzte /80 des Subnetzpräfix für ephemere Host-IPs reserviert und können die Konfiguration der IP-Adressmaske nicht unterstützen.
  6. Boundary Restriction: Wenn Sie IP-Adressen manuell auswählen, müssen sie sich an der Netzwerkgrenze der IP-Adressmaske befinden. Beispiel: fd00:aaaa:0123:1111::1000/80 ist keine gültige Konfiguration, da sich die Host-IP-Adresse nicht an der Netzwerkgrenze befindet.

Das Attribut cidrPrefixLength bietet eine leistungsstarke Möglichkeit, die IPv6-Adressierung effizient zu verwalten. Beispiel: Wenn Sie den Wert cidrPrefixLength auf 112 setzen, wird ein /112 IPv6-Präfix erstellt, das insgesamt 65.536 Host-IP-Adressen innerhalb dieses Präfixes bereitstellt. Dies vereinfacht die Verwaltung von IP-Adressen, insbesondere in Szenarien mit umfangreichen Deployments, wie containerisierten Anwendungen oder Kubernetes-Clustern, in denen zahlreiche IP-Adressen mit einer VNIC verknüpft werden müssen.

Sie können einer VNIC beim Erstellen einer Compute-Instanz eine IPv6-Adresse zuweisen oder sie anschließend hinzufügen. Beachten Sie, dass eine VNIC ausschließlich die IPv6-Adressierung verwenden kann, wenn das ausgewählte Betriebssystemimage den Nur-IPv6-Modus unterstützt und das Subnetz entsprechend konfiguriert ist.

Darüber hinaus können Sie flexibel eine IPv6-Adresse von einer VNIC in ein anderes im selben Subnetz verschieben.

Format von IPv6-Adressen

IPv6-Adressen haben 128 Bit.

Für ein VCN ist ein IPv6-Präfixblock der Größe /56 erforderlich. Die 56 Bit auf der linken Seite identifizieren den VCN-Teil der Adresse. Beispiel:

2001:0db8:0123:7800::/56 (oder fd00::/56 für ULA-Adressen)

Für ein Subnetz ist ein IPv6-Präfixblock der Größe /64 erforderlich. Die 16 Bit ganz rechts im Präfix eines Subnetzes identifizieren den Subnetzteil der Adresse. Im folgenden Beispiel ist 7811 der eindeutige Teil für das Subnetz:

2001:0db8:0123:7811::/64

Im folgenden ULA-Beispiel ist 11 der eindeutige Teil des Subnetzes:

fd00:0:0:11::/64

In den ersten 64 Bit einer IPv6-Adresse wird der eindeutige Teil identifiziert, der für die jeweilige IPv6-Adresse spezifisch ist. Beispiel:

2001:0db8:0123:7811:abcd:ef01:2345:6789

Wenn Sie einer VNIC ein IPv6 zuweisen, können Sie angeben, welche spezifische IPv6-Adresse verwendet werden soll (diese 64 Bit).

Beispiel für die Aktivierung von IPv6 in einem VCN

In diesem Beispiel gibt es zwei IPv6-Präfixe, die von Oracle zugewiesen wurden Global Unicast Address (GUA) 2001:0db8:7800:1200::/56 und eine vom Kunden definierte eindeutige lokale Adresse (ULA) fd00:aaaa:0123:0::/56.

Das folgende Diagramm veranschaulicht das VCN und umfasst zwei Subnetze: öffentliches Subnetz A und privates Subnetz B.

Diese Abbildung zeigt ein Beispiel für IPv4- und IPv6-Adressen, die in einem VCN mit einem von Oracle bereitgestellten IPv6-Präfix verwendet werden.

Der Internetzugriff wird hauptsächlich durch die Konfiguration des Subnetzes bestimmt. Für die IPv6-Konnektivität ist ein öffentliches Subnetz zusammen mit GUA-Adressen erforderlich.

Innerhalb von Subnetz A wird VNIC 1 mit einer primären privaten IPv4-Adresse (10.0.1.4) und drei IPv6-Adressen konfiguriert:

  1. Öffentlicher Host IPv6: 2001:0db8:7800:1230::0004
  2. Öffentlicher Host IPv6 mit Adressmaske: 2001:0db8:7800:1230:1111::/96
  3. Privater ULA-Host IPv6: fd00::aaaa:0123::0004

Da Subnetz A ein öffentliches Subnetz ist, sind die GUA IPv6-Adressen internetfähig. Die private ULA-IPv6-Adresse ist jedoch nicht über das Internet erreichbar und umgekehrt.

In Subnetz B wird VNIC 1 eine primäre private IPv4-Adresse (10.0.2.4) und drei IPv6-Adressen zugewiesen:

  1. Öffentlicher Host IPv6: 2001:0db8:7800:1231::0004
  2. Privater ULA-Host IPv6: fd00::aaaa:0123:0001::0005
  3. Privater ULA-Host IPv6 mit Adressmaske: fd00:aaaa:0123:0001:1111/80

Subnetz B ist ein privates Subnetz, was bedeutet, dass IPv6-Konnektivität zum und vom Internet nicht möglich ist, selbst mit dem GUA-Präfix. Der IPv4-Traffic kann jedoch über ein Network Address Translation-(NAT-)Gateway das Internet erreichen, was eine von Egress initiierte Konnektivität ermöglicht.

Routing für IPv6-Traffic

Sowohl eingehende als auch ausgehende initiierte IPv6-Verbindungen werden zwischen einem VCN und dem Internet sowie zwischen einem VCN und einem On-Premise-Netzwerk unterstützt. Die Kommunikation zwischen Ressourcen in einem VCN oder zwischen VCNs wird ebenfalls unterstützt.

Hier finden Sie weitere wichtige Details zum Routing von IPv6-Traffic:

  • IPv6-Traffic wird nur über die folgenden Gateways unterstützt:

    • Dynamisches Routinggateway (DRG): Für den Zugriff auf ein On-Premise-Netzwerk oder andere Netzwerke außerhalb der Region (mit Remote-Peering). Sowohl Oracle Cloud Infrastructure FastConnect als auch Site-to-Site-VPN unterstützen IPv6-Traffic. Weitere Einzelheiten zur IPv6-Konfiguration finden Sie in den nächsten Abschnitten.
    • Internetgateway: Für den Zugriff auf das Internet.
    • Lokales Peering-Gateway: Zum Verbinden zweier VCNs in derselben Region, sodass ihre Ressourcen über private IP-Adressen kommunizieren können, ohne den Traffic über das Internet oder über ein On-Premise-Netzwerk zu leiten.
  • IPv6-Traffic zwischen Ressourcen innerhalb einer Region (innerhalb und zwischen VCNs) wird unterstützt. VCNs sind Dual-Stack, d.h. sie unterstützen immer IPv4 und können optional auch IPv6 unterstützen. Die Routentabellen eines VCN unterstützen die Regeln IPv4 und IPv6 in derselben Tabelle. IPv4- und IPv6-Regeln müssen separat angegeben werden. Regeln zum Weiterleiten von Traffic, der mit einem bestimmten IPv6-Präfix übereinstimmt, an das angehängte DRG, Internetgateway, lokale Peering-Gateway oder an eine IPv6-Adresse (nächster Hop) des VCN.

VCN-Routentabellen und IPv6

Die Routentabellen des VCN unterstützen sowohl IPv4- als auch IPv6-Regeln, die ein DRG, ein lokales Peering-Gateway oder Internetgateway als Ziel verwenden. Die Routentabelle für ein bestimmtes Subnetz könnte beispielsweise folgende Regeln haben:

  • Regel zur Weiterleitung von Traffic, der mit einem bestimmten IPv4-CIDR übereinstimmt, an das angehängte DRG des VCN
  • Regel zur Weiterleitung von Traffic, der mit einem bestimmten IPv4-CIDR übereinstimmt, zum Servicegateway des VCN
  • Regel zur Weiterleitung von Traffic, der mit einem bestimmten IPv4-CIDR übereinstimmt, zum NAT-Gateway des VCN
  • Regel zur Weiterleitung von Traffic, der mit einem bestimmten IPv6-Präfix übereinstimmt, an das angehängte DRG des VCN
  • Regel zum Weiterleiten von Traffic, der mit einem bestimmten IPv6-Präfix übereinstimmt, an das angehängte Internetgateway des VCN

Sicherheitsregeln für IPv6-Traffic

Die Netzwerksicherheitsgruppen und Sicherheitslisten des VCN unterstützen sowohl IPv4- als auch IPv6-Sicherheitsregeln. Eine Netzwerksicherheitsgruppe oder Sicherheitsliste könnte beispielsweise folgende Sicherheitsregeln haben:

  • Regel, mit der SSH-Traffic vom IPv4-CIDR des On-Premise-Netzwerks zugelassen wird
  • Regel, mit der Ping-Verkehr vom IPv4-CIDR des On-Premise-Netzwerks zugelassen wird
  • Regel zum Zulassen von SSH-Traffic vom IPv6-Präfix des On-Premise-Netzwerks
  • Regel, mit der Ping-Traffic vom Präfix IPv6 des On-Premise-Netzwerks zugelassen wird

Die Standardsicherheitsliste in einem IPv6-fähigen VCN umfasst IPv4-Standardregeln und die folgenden IPv6-Standardregeln:

  • Zustandsbehafteter Ingress: IPv6-TCP-Traffic von ::/0 und allen Quellports zu Zielport 22 (SSH) zulassen. Mit dieser Regel können Sie einfach ein VCN mit einem öffentlichen Subnetz und Internetgateway erstellen, eine Linux-Instanz erstellen, ein internetfähiges IPv6 hinzufügen und dann sofort mit SSH eine Verbindung zu dieser Instanz herstellen, ohne dass Sie selbst Sicherheitsregeln schreiben müssen.

    Wichtig

    Die Standardsicherheitsliste enthält keine Regel für den Zugriff auf Remote Desktop Protocol (RDP). Wenn Sie Windows-Images verwenden, fügen Sie eine Regel für zustandsbehafteten Ingress für TCP-Traffic auf Zielport 3389 von Quelle ::/0 und jedem Quellport hinzu.

    Weitere Informationen finden Sie unter So aktivieren Sie RDP-Zugriff.

  • Zustandsbehafteter Ingress: ICMPv6-Traffic vom Typ 2 Code 0 (Paket zu groß) von ::/0 und allen Quellports zulassen. Mit dieser Regel können Instanzen Path MTU Discovery-Fragmentierungsmeldungen erhalten.
  • Zustandsbehafteter Egress: Wenn Sie festlegen, dass der gesamte IPv6-Traffic zulässig sein soll, können Instanzen IPv6-Traffic jeder Art zu jedem beliebigen Ziel starten. Beachten Sie, dass Instanzen mit internetfähigem IPv6 mit beliebigen IPv6-Adressen im Internet kommunizieren können, wenn das VCN über ein konfiguriertes Internetgateway verfügt. Da Sicherheitsregeln für zustandsbehafteten Traffic Verbindungstracking verwenden, wird der Antworttraffic unabhängig von Ingress-Regeln automatisch zugelassen. Weitere Informationen finden Sie unter Zustandsbehaftete Regeln im Vergleich zu zustandslosen Regeln.

FastConnect und IPv6

Wenn Sie FastConnect  verwenden, können Sie es so konfigurieren, dass On-Premise-Hosts mit IPv6-Adressen mit einem IPv6-fähigen VCN kommunizieren können. Im Allgemeinen müssen Sie sicherstellen, dass der FastConnect-VM über IPv6-BGP-Adressen verfügt, und die Routing- und Sicherheitsregeln des VCN für IPv6-Traffic aktualisieren.

IPv6-BGP-Adressen

Ein FastConnect-Virtual Circuit erfordert immer IPv4-BGP-Adressen, während IPv6-BGP-Adressen optional und nur für IPv6-Traffic erforderlich sind. Je nachdem, wie Sie FastConnect verwenden, werden Sie möglicherweise aufgefordert, die BGP-Adressen des Virtual Circuits selbst anzugeben (sowohl IPv4 als auch IPv6).

Die Adressen bestehen aus einem Paar: einem für die On-Premise-Seite der BGP-Session und einem weiteren für die Oracle-Seite der BGP-Session.

Das angegebene BGP-Adresspaar muss eine Subnetzmaske enthalten, die beide Adressen enthält. Für IPv6 lauten die zulässigen Subnetzmasken:

  • /64
  • /96
  • /126
  • /127

Beispiel: Sie können 2001:db8::6/64 für die Adresse am On-Premise-Ende der BGP-Session und 2001:db8::7/64 für das Oracle-Ende angeben.

Prozess zur Aktivierung von IPv6

Im Allgemeinen wird IPv6 auf folgende Weise für einen FastConnect-Virtual Circuit aktiviert:

  • BGP des Virtual Circuit: Stellen Sie sicher, dass der FastConnect-VM IPv6-BGP-Adressen aufweist. Wenn Sie für die Angabe der BGP-IP-Adressen verantwortlich sind, verfügt die Konsole beim Einrichten eines neuen Virtual Circuit über einen Platz für die beiden IPv4-BGP-Adressen. Die Konsole verfügt außerdem über ein separates Kontrollkästchen für IPv6-Adresszuweisung aktivieren und ein Feld zur Angabe der beiden IPv6-Adressen. Wenn Sie einen vorhandenen Virtual Circuit bearbeiten, um Unterstützung für IPv6 hinzuzufügen, wird er beim erneuten Provisioning zur Verwendung der neuen BGP-Informationen heruntergefahren.
  • VCN-Routentabellen: Aktualisieren Sie für jedes IPv6-fähige Subnetz im VCN die Routentabelle mit Regeln, um den IPv6-Traffic aus dem VCN zu den IPv6-Subnetzen in einem On-Premise-Netzwerk zu leiten. Beispiel: Der Ziel-CIDR-Block für eine Routingregel ist ein IPv6-Subnetz in einem On-Premise-Netzwerk, und das Ziel ist das Dynamische Routinggateway (DRG) , das an das IPv6-fähige VCN angehängt ist.
  • VCN-Sicherheitsregeln: Aktualisieren Sie für jedes IPv6-fähige Subnetz im VCN die entsprechenden Sicherheitslisten oder Netzwerksicherheitsgruppen, um den IPv6-Traffic zwischen dem VCN und einem On-Premise-Netzwerk zuzulassen. Siehe Sicherheitsregeln für IPv6-Traffic.

Wenn Sie noch keine FastConnect-Verbindung haben, lesen Sie die folgenden Themen:

Site-to-Site-VPN und IPv6

Wenn Sie Site-to-Site-VPN verwenden, können Sie es so konfigurieren, dass On-Premise-Hosts mit IPv6-Adressen mit einem IPv6-fähigen VCN kommunizieren können. So aktivieren Sie IPv6 für die Verbindung:

  • statische Routen für IPSec-Verbindung: Konfigurieren Sie die Verbindung IPSec mit den statischen Routen IPv6 eines On-Premise-Netzwerks.
  • VCN-Routentabellen: Aktualisieren Sie für jedes IPv6-fähige Subnetz im VCN die Routentabelle mit Regeln, um den IPv6-Traffic aus dem VCN zu den IPv6-Subnetzen in einem On-Premise-Netzwerk zu leiten. Beispiel: Der Ziel-CIDR-Block für eine Routingregel ist eine statische Route IPv6 für ein On-Premise-Netzwerk, und das Ziel ist das Dynamische Routinggateway (DRG) , das an das IPv6-fähige VCN angehängt ist.
  • VCN-Sicherheitsregeln: Aktualisieren Sie für jedes IPv6-fähige Subnetz im VCN die entsprechenden Sicherheitslisten oder Netzwerksicherheitsgruppen, um den gewünschten IPv6-Traffic zwischen dem VCN und einem On-Premise-Netzwerk zuzulassen. Siehe Sicherheitsregeln für IPv6-Traffic.

Wenn eine Site-to-Site-VPN-IPSec-Verbindung vorhanden ist, die statisches Routing verwendet, können Sie die Liste der statischen Routen aktualisieren, um sie für IPv6 einzuschließen. Wenn Sie die Liste der statischen Routen ändern, wird das Site-to-Site-VPN beim Reprovisioning heruntergefahren. Siehe Statische Routen ändern.

Informationen zu den ersten Schritten finden Sie in den folgenden Themen:

DHCPv6

Die automatische Konfiguration von IP-Adressen DHCPv6 wird unterstützt. Sie müssen keine IPv6-Adresse statisch konfigurieren.

DNS

Der VCN-Internet Resolver unterstützt IPv6. Das bedeutet, dass Ressourcen in einem VCN IPv6-Adressen von Hosts außerhalb des VCN auflösen können. Die Zuweisung eines Hostnamens zu einer IPv6-Adresse wird nicht unterstützt.

Load Balancer

Wenn Sie einen Load Balancer erstellen, können Sie festlegen, dass eine reine IPv4- oder IPv4- und IPv6-Dual-Stackkonfiguration verwendet werden soll. Wenn Sie die Option für den doppelten Stack verwenden, weist der Load Balancer-Service dem Load Balancer sowohl eine IPv4- als auch eine IPv6-Adresse zu. Der Load Balancer empfängt Clienttraffic, der an die zugewiesene IPv6-Adresse gesendet wird. Der Load Balancer verwendet nur IPv4-Adressen für die Kommunikation mit Backend-Servern. Die IPv6-Kommunikation zwischen dem Load Balancer und den Backend-Servern wird nicht unterstützt.

Hinweis

IPv6-Adressen werden nur bei der Erstellung eines Load Balancers zugewiesen. Sie können einem vorhandenen Load Balancer keine IPv6-Adresse zuweisen.

IPV6-Listener für Load Balancer werden nur in regionalen Subnetzen unterstützt.

Vergleich von IPv4 und IPv6 für ein VCN

In der folgenden Tabelle werden die Unterschiede zwischen der IPv4- und IPv6-Adressierung in einem VCN zusammengefasst.

Merkmal IPv4 IPv6
Unterstützter Adressierungstyp IPv4-Adressierung ist immer erforderlich, unabhängig davon, ob IPv6 aktiviert ist. Dabei kann es sich um ein privates IPv4 CIDR handeln. Die IPv6-Adressierung ist pro VCN optional, optional pro Subnetz in einem IPv6-fähigen VCN und optional pro VNIC in einem IPv6-fähigen Subnetz. Ein Subnetz oder eine VNIC nur IPv6 ist zulässig.
Unterstützte Traffictypen IPv4-Traffic wird für alle Gateways unterstützt. IPv4-Traffic wird zwischen Instanzen innerhalb des VCN unterstützt (Ost-West-Traffic). IPv6-Traffic wird nur mit den folgenden Gateways unterstützt: Internetgateway, lokales Peering-Gateway und DRG. Sowohl eingehende als auch ausgehende initiierte IPv6-Verbindungen werden zwischen einem VCN und dem Internet sowie zwischen einem VCN und einem On-Premise-Netzwerk unterstützt. Der IPv6-Traffic zwischen Ressourcen innerhalb einer Region (innerhalb oder zwischen VCNs) wird vollständig unterstützt (Ost-/Westtraffic). Siehe auch Routing für IPv6-Traffic.
VCN-Größe /16 bis /30

Oracle-GUA: nur /56

BYOIPv6: /64 oder größer

ULA: /64 oder größer

Subnetzgröße /16 bis /30, mit 3 Adressen, die von Oracle in jedem Subnetz reserviert wurden (zuerst 2 und zuletzt 1). Nur /64 mit 8 Adressen in dem Subnetz, die von Oracle reserviert sind (zuerst 4 und zuletzt 4).
Privater und öffentlicher IP-Adressraum

Privat: Das private IPv4-CIDR eines VCN kann aus einem RFC-1918-Bereich oder einem öffentlich routbaren Bereich stammen (als privat behandelt). Sie können den Bereich angeben, es sei denn, Sie verwenden den VCN-Erstellungsworkflow der Konsole, der immer 10.0.0.0/16 verwendet.

Öffentlich: Das VCN verfügt über keinen dedizierten öffentlichen IPv4-Adressraum. Oracle wählt alle öffentlichen Adressen in einem VCN aus.

Im Gegensatz zu IPv4 kann ein VCN ein von Oracle zugewiesenes /56-GUA-Präfix erhalten oder ein BYOIP-Präfix importieren und zuweisen. Beide können über das Internet routbar sein, sofern sie Ressourcen in öffentlichen Subnetzen zugewiesen werden. Sie können auch ULA-Adressen zuweisen, die unabhängig davon, ob das Subnetz öffentlich oder privat ist, nicht über das Internet routbar sind.

IP-Adresszuweisung

Privat: Jede VNIC erhält eine private IPv4-Adresse. Sie können die Adresse auswählen oder von Oracle auswählen lassen.

Public: Sie entscheiden, ob der privaten IPv4-Adresse eine öffentliche IP-Adresse zugeordnet ist (vorausgesetzt, die VNIC befindet sich in einem öffentlichen Subnetz). Oracle wählt die öffentliche IP-Adresse.

Von einem API-Standpunkt aus: Das PrivateIp-Objekt ist von dem PublicIp-Objekt getrennt. Sie können die öffentliche IP-Adresse jederzeit aus der privaten IPv4-Adresse entfernen.

Wenn Sie IPv6-Adressen für eine VNIC konfigurieren, können Sie eine einzelne Host-IP oder einen zusammenhängenden Bereich von Host-IPs zuweisen, die durch eine IP-Adress-CIDR-Maske dargestellt werden. Sie können:
  • Wählen Sie ein IPv6-Präfix aus, um die IPs ephemer zuzuweisen.
  • Wählen Sie manuell die genaue IP.
  • Lassen Sie Oracle eine IPv6-Adresse für Sie auswählen.

Aus API-Sicht werden IPv6-Adressen im Objekt Ipv6 dargestellt. Das Kennzeichen "Öffentliches oder privates Subnetz" zusammen mit dem Präfixtyp "Eindeutige lokale Adresse" (ULA) oder "Globally Unicast Address" (GUA) wird verwendet, um zwischen öffentlichen und privaten IPv6-Adressen zu unterscheiden und eine korrekte Routing- und Zugriffskontrolle sicherzustellen. Wenn Sie mit IPv6-Adressen arbeiten, können Sie mit der API das gewünschte Präfix angeben oder Oracle ein Präfix basierend auf den verfügbaren Adressbereichen im Subnetz zuweisen lassen. Diese Flexibilität erstreckt sich sowohl auf manuelle als auch auf automatisierte IP-Adresszuweisungen, sodass sie für verschiedene Netzwerkkonfigurationen geeignet sind.

Internetzugriff Sie bestimmen, ob ein Subnetz öffentlich oder privat ist. Sie können eine öffentliche IP-Adresse zu einer privaten IPv4-Adresse in einer VNIC hinzufügen oder daraus entfernen (vorausgesetzt, die VNIC befindet sich in einem öffentlichen Subnetz). Sie bestimmen, ob ein Subnetz öffentlich oder privat ist. Wie beim IPv4 wird der VNIC keine öffentliche IP-Adresse hinzugefügt oder daraus entfernt. Stattdessen aktivieren oder deaktivieren Sie den Internetzugriff für alle IPv6-fähigen Ressourcen im Subnetz mit dem Subnetz-Flag "öffentlich/privat".
Primäre und sekundäre Label Jede VNIC wird automatisch mit einer primären privaten IP-Adresse bereitgestellt, und Sie können ihr bis zu 64 sekundäre private IP-Adressen zuweisen. Sie können einer VNIC IPv6-Adressen ohne Unterscheidung des primären oder sekundären Labels zuweisen. Eine VNIC kann bis zu 32 IPv6-Adressobjekte aufnehmen. Beispiel: Wenn Sie einer VNIC eine einzelne Hostadresse IPv6 (/128) und eine IPv6-Adresse mit einer /120-Maske zuweisen, werden zwei IPv6-Adressobjekte gezählt, sodass insgesamt 257 Hostadressen IPv6 innerhalb der VNIC bereitgestellt werden.
Hostnamen Sie können IPv4-Adressen Hostnamen zuweisen. Sie können IPv6-Adressen keine Hostnamen zuweisen.
Limits für Routingregeln Siehe Servicelimits. IPv4- und IPv6-Routingregeln können in ein und derselben Routentabelle enthalten sein. IPv6-Routingregeln können nur ein Internetgateway, ein lokales Peering-Gateway oder ein DRG als Ziel verwenden. Höchstanzahl von IPv6-Routingregeln in einer Routentabelle: 50.
Limits für Sicherheitsregeln Siehe Servicelimits. IPv4- und IPv6-Sicherheitsregeln können sich in derselben Netzwerksicherheitsgruppe oder Sicherheitsliste befinden. IPv6-Sicherheitsregeln können nur IPv6-Präfixbereiche als Quelle oder Ziel verwenden, nicht aber ein Servicepräfixlabel, das für ein Servicegateway verwendet wird. Höchstanzahl von IPv6-Sicherheitsregeln in einer Sicherheitsliste: 50 Ingress und 50 Egress. Höchstanzahl von IPv6-Sicherheitsregeln in einer Netzwerksicherheitsgruppe: insgesamt 16.
Reservierte öffentliche IP-Adressen Unterstützt. Nicht unterstützt.
Regional oder AD-spezifisch Primäre private IPv4-Adressen sind AD -spezifisch. Sekundäre private IPv4-Adressen sind AD-spezifisch, außer wenn sie einer VNIC in einem regionalen Subnetz zugewiesen werden. Öffentliche IP-Adressen können je nach Typ (ephemer oder reserviert) AD-spezifisch oder regional sein. Siehe Öffentliche IP-Adressen. IPv6-Adressen sind regional.

IPv6-fähiges VCN mit Internetzugriff einrichten

Mit dem folgenden Prozess können Sie ein IPv6-fähiges VCN mit Internetzugriff einrichten, damit Sie eine Instanz einfach erstellen und starten und über ihre global routbare IPv6-Adresse eine Verbindung zu ihr herstellen können.

Aufgabe 1: IPv6-fähiges VCN erstellen
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie dann Virtuelle Cloud-Netzwerke aus.
  2. Wählen Sie unter Listengeltungsbereich ein Compartment aus, für das Sie die Berechtigung haben, in.The-Seitenupdates zu bearbeiten, um nur die Ressourcen in diesem Compartment anzuzeigen. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, wenden Sie sich an einen Administrator. Weitere Informationen finden Sie unter Zugriffskontrolle.
  3. Wählen Sie Virtuelles Cloud-Netzwerk erstellen aus.
  4. Geben Sie Folgendes ein:

    • Name: Ein aussagekräftiger Name für das VCN. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • In Compartment erstellen: Übernehmen Sie die Vorgabe.
    • CIDR-Block: Ein einzelner, zusammenhängender IPv4-CIDR-Block für das VCN. Beispiel: 172.16.0.0/16. Sie können diesen Wert später nicht ändern. Siehe Zulässige VCN-Größe und Adressbereiche. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.
    • Adressenzuweisung IPv6 aktivieren: Oracle kann Ihnen ein IPv6-Präfix zuweisen. Sie können auch ein bereits importiertes BYOIPv6-Präfix auswählen oder ein ULA-Präfix angeben. Sie können nicht später IPv6 für das VCN deaktivieren. Sie können jedoch das IPv6-Präfix oder die Präfixe im VCN ändern, wenn dem VCN immer mindestens ein IPv6-Präfix zugewiesen ist. Wenn Sie ein von Oracle zugewiesenes IPv6-Präfix akzeptieren, hat dieses die Größe /56. Geben Sie für BYOIPv6 oder ULA eine beliebige Präfixgröße ab /64 an. Alle IPv6-fähigen Subnetze weisen eine Größe von /64 auf.
    • DNS-Hostnamen in diesem VCN verwenden (nur für IPv4 unterstützt): Diese Option ist erforderlich, um Hosts im VCN DNS-Hostnamen zuzuweisen. Sie ist erforderlich, wenn Sie das Standard-DNS-Feature des VCN verwenden möchten (als Internet- undVCN-Resolver bezeichnet). Wenn Sie diese Option auswählen, können Sie ein DNS-Label für das VCN angeben, oder Sie können mit der Konsole eines für Sie generieren lassen. Im Dialogfeld wird automatisch der entsprechende DNS-Domainname für das VCN (<VCN_DNS_label>.oraclevcn.com) angezeigt. Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.
    • Tags: Übernehmen Sie die Vorgabe. Sie können Tags später hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.
  5. Wählen Sie Virtuelles Cloud-Netzwerk erstellen aus.

    Das VCN wird dann erstellt und auf der Seite Virtuelle Cloud-Netzwerke im von Ihnen gewählten Compartment angezeigt.

Aufgabe 2: Regionales IPv6-fähiges öffentliches Subnetz erstellen
  1. Wählen Sie beim Anzeigen des VCN die Option Subnetz erstellen aus.
  2. Geben Sie Folgendes ein:

    • Name: Ein aussagefähiger Name für das Subnetz (Beispiel: Regionales öffentliches Subnetz). Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
    • Regionales oder für Availability-Domain bestimmtes Subnetz: Es wird empfohlen, nur regionale Subnetze zu erstellen. Das bedeutet, dass das Subnetz Ressourcen in einer der Availability-Domains der Region enthalten kann. Wenn Sie stattdessen Spezifisch für Availability-Domains auswählen, müssen Sie auch eine Availability-Domain angeben. Dies bedeutet, dass Instanzen oder andere Ressourcen, die später in diesem Subnetz erstellt werden, auch in dieser Availability-Domain enthalten sein müssen.
    • CIDR-Block: Ein einzelner, zusammenhängender IPv4-CIDR-Block für das Subnetz (Beispiel: 172.16.0.0/24). Der Adressblock muss sich innerhalb des IPv4-CIDR-Blocks des VCN befinden und darf sich nicht mit anderen Subnetzen überschneiden. Sie können diesen Wert später nicht ändern. Siehe Zulässige VCN-Größe und Adressbereiche. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.
    • IPv6-Adressenzuweisung aktivieren: Sie können Präfixe einem IPv6-fähigen Subnetz hinzufügen und daraus entfernen. Allerdings muss stets mindestens ein IPv6-Präfix erhalten bleiben, nachdem IPv6 aktiviert wurde. Ein für IPv6 aktiviertes Subnetz kann nicht in ein Nur-IPv4-Subnetz geändert werden. Das Subnetz darf nur ein IPv6-Präfix aufweisen. Alle IPv6-fähigen Subnetze weisen immer eine Größe von /64 auf. Wenn Sie dem VCN, das dieses Subnetz enthält, bereits mehrere IPv6-Präfixe zugewiesen haben, können Sie auswählen, welches Präfix Sie dem Subnetz zuweisen möchten.
      • Wenn das VCN ein von Oracle zugewiesenes Präfix hat, aktivieren Sie das Kontrollkästchen, und geben Sie zwei Hexadezimalzeichen (00-FF) ein.
      • Wenn Sie ein BYOIPv6- oder ULA-Präfix im VCN zugewiesen haben, wählen Sie es aus, und geben Sie Hexadezimalzeichen an, um dem Subnetz ein /64 zuzuweisen.
      Weitere Informationen zum IPv6-Adressformat finden Sie unter IPv6-Adressen - Überblick.
    • Routentabelle: Wählen Sie die Standardroutentabelle.
    • Privates oder öffentliches Subnetz: Wählen Sie Öffentliches Subnetz aus. Das heißt, dass Instanzen im Subnetz optional öffentliche IPv4-Adressen haben können. Die Internetkommunikation mit IPv6 ist zulässig, wenn GUA-IPv6-Adressen zu Ressourcen zugewiesen werden, die in einem öffentlichen Subnetz gehostet werden. Weitere Informationen finden Sie unter Zugriff auf das Internet.
    • DNS-Hostnamen in diesem Subnetz verwenden (nur für IPv4 unterstützt): Diese Option ist nur verfügbar, wenn Sie während der Erstellen ein DNS-Label für das VCN angegeben haben Die Option ist für die Zuweisung von DNS-Hostnamen zu Hosts im Subnetz erforderlich und auch, wenn Sie das DNS-Standardfeature des VCN verwenden möchten (als Internet- und VCN-Resolver bezeichnet). Wenn Sie das Kontrollkästchen aktivieren, können Sie ein DNS-Label für das Subnetz angeben oder die Konsole ein Label für Sie generieren lassen. Im Dialogfeld wird automatisch der entsprechende DNS-Domänenname für das Subnetz als FQDN angezeigt Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.
    • DHCP-Optionen: Wählen Sie das Standardset von DHCP-Optionen.
    • Sicherheitslisten: Wählen Sie die Standardsicherheitsliste aus.
    • Tags: Übernehmen Sie die Vorgabe. Sie können Tags später bei Bedarf hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.
  3. Wählen Sie Subnetz erstellen aus.

    Das Subnetz wird dann erstellt und auf der Seite Subnetze angezeigt.

Aufgabe 3: Internetgateway erstellen
  1. Wählen Sie unter Ressourcen die Option Internetgateways aus.
  2. Wählen Sie Internetgateway erstellen aus.
  3. Geben Sie Folgendes ein:

    • Name: Ein aussagefähiger Name für das Internetgateway. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • In Compartment erstellen: Übernehmen Sie die Vorgabe.
    • Tags: Übernehmen Sie die Vorgabe. Sie können Tags später hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.
  4. Wählen Sie Internetgateway erstellen aus.

    Ein Internetgateway wird erstellt und auf der Seite Internetgateways angezeigt. Das Internetgateway ist bereits aktiviert, aber Sie müssen Routingregeln hinzufügen, die IPv4- und IPv6-Traffic zulassen.

Aufgabe 4: Standardroutentabelle zur Verwendung des Internetgateways aktualisieren

Die Standardroutentabelle enthält anfangs keine Regeln. In dieser Aufgabe fügen Sie Regeln hinzu, mit denen der gesamte IPv4- und IPv6-Traffic, der für Adressen außerhalb des VCN bestimmt ist, an das Internetgateway weitergeleitet wird. Mit diesen Regeln können auch eingehende Verbindungen über das Internetgateway aus dem Internet im Subnetz eingehen. Mit Sicherheitsregeln können Sie die zulässigen Traffictypen in die und aus den Instanzen steuern (siehe nächste Aufgabe).

Es ist keine Routingregel erforderlich, um den Traffic innerhalb des VCN weiterzuleiten.

  1. Wählen Sie unter Ressourcen die Option Routentabellen aus.
  2. Wählen Sie die Standardroutentabelle aus, um ihre Details anzuzeigen.
  3. Wählen Sie Weiterleitungsregeln hinzufügen aus.
  4. Geben Sie Folgendes ein:

    • Zieltyp: Internetgateway
    • Ziel-CIDR-Block: 0.0.0.0/0 (d.h. der gesamte IPv4-Nicht-Intra-VCN-Traffic, der noch nicht von anderen Regeln in der Routentabelle abgedeckt wird, wird zu dem in dieser Regel angegebenen Ziel geleitet).
    • Compartment: Das Compartment mit dem Internetgateway.
    • Ziel: Das von Ihnen erstellte Internetgateway.
    • Beschreibung: Eine optionale Beschreibung der Regel.
  5. Wählen Sie + Weitere Routingregel aus.
  6. Geben Sie Folgendes ein:

    • Zieltyp: Internetgateway
    • Ziel-CIDR-Block: ::/0 (für den IPv6-Traffic).
    • Compartment: Das Compartment mit dem Internetgateway.
    • Ziel: Das von Ihnen erstellte Internetgateway.
    • Beschreibung: Eine optionale Beschreibung der Regel.
  7. Wählen Sie Weiterleitungsregeln hinzufügen aus.

Die Standardroutentabelle enthält jetzt zwei Regeln für das Internetgateway, eine für den IPv4-Traffic und eine für den IPv6-Traffic. Da das Subnetz für die Verwendung der Standardroutentabelle eingerichtet wurde, können die Ressourcen im Subnetz jetzt das Internetgateway verwenden. Im nächsten Schritt geben Sie die Traffictypen an, die in die und aus den später erstellten Instanzen fließen dürfen.

Aufgabe 5: Standardsicherheitsliste aktualisieren (optional)
Hinweis:

In dieser Aufgabe konfigurieren Sie Sicherheitsregeln, um Traffic zu und aus Compute-Instanzen zu ermöglichen. Obwohl die Regeln in dieser Aufgabe mittels einer Sicherheitsliste implementiert werden, können Sie auch Netzwerksicherheitsgruppen zur Implementierung von Sicherheitsregeln verwenden.

In einer vorherigen Aufgabe haben Sie bereits das Subnetz eingerichtet, um die Standardsicherheitsliste des VCN zu verwenden. Diese Liste enthält bereits grundlegende Regeln, mit denen Sie wichtigen IPv4- und IPv6-Traffic zulassen. In dieser Aufgabe fügen Sie alle anderen Sicherheitsregeln hinzu, mit denen die Verbindungstypen zugelassen werden, die von den Instanzen im VCN benötigt werden.

Beispiel: In einem öffentlichen Subnetz mit einem Internetgateway müssen die von Ihnen erstellten Instanzen möglicherweise eingehende HTTPS-Verbindungen vom Internet empfangen (wenn es sich um Webserver handelt). So fügen Sie der Standardsicherheitsliste eine weitere Regel hinzu, um diesen Traffic zu aktivieren:

  1. Wählen Sie unter Ressourcen die Option Sicherheitslisten aus.
  2. Wählen Sie die Standardsicherheitsliste aus, um die zugehörigen Details anzuzeigen. Standardmäßig wird die Seite Ingressregeln angezeigt.
  3. Wählen Sie Ingress-Regel hinzufügen aus.
  4. Um eingehende Verbindungen für HTTPS (TCP-Port 443) zu aktivieren, geben Sie Folgendes ein:

    • Zustandslos: Auswahl aufgehoben (dies ist eine Regel für zustandsbehafteten Traffic)
    • Quelltyp: CIDR
    • Quell-CIDR: 0.0.0.0/0 (oder ::/0, um IPv6-Traffic mit dieser Regel zu aktivieren)
    • IP-Protokoll: TCP
    • Quellportbereich: Alle
    • Zielportbereich: 443
    • Beschreibung: Eine optionale Beschreibung der Regel.
  5. Wählen Sie Ingress-Regel hinzufügen aus.
Wichtig

Sicherheitslistenregel für Windows-Instanzen

Wenn Sie Windows-Instanzen erstellen möchten, müssen Sie eine Sicherheitsregel hinzufügen, um den Remote Desktop Protocol-(RDP-)Zugriff zu aktivieren. RDP erfordert eine zustandsbehaftete Ingress-Regel für TCP-Traffic auf Zielport 3389 von 0.0.0.0/0 (und eine separate Regel mit ::/0 für IPv6-Traffic) und jedem Quellport. Weitere Informationen finden Sie unter Sicherheitsregeln.

Bei einem Produktions-VCN richten Sie in der Regel eine oder mehrere benutzerdefinierte Sicherheitslisten für jedes Subnetz ein. Sie können das Subnetz bearbeiten, um andere Sicherheitslisten zu verwenden. Wenn Sie sich entscheiden, die Standardsicherheitsliste nicht zu verwenden, müssen Sie sich sorgfältig überlegen, welche ihrer Standardregeln in einer benutzerdefinierten Sicherheitsliste dupliziert werden sollen. Beispiel: Die ICMP-Standardregeln in der Standardsicherheitsliste sind für den Empfang von Konnektivitätsmeldungen für IPv4 wichtig.

Aufgabe 6: Instanz erstellen

Im nächsten Schritt wird eine Instanz im Subnetz erstellt. Beim Erstellen der Instanz wählen Sie die von VCN und Subnetz zu verwendende Availability-Domain und verschiedene andere Merkmale aus.

Jede Instanz erhält automatisch eine private IPv4-Adresse. Wenn Sie eine Instanz in einem öffentlichen Subnetz erstellen, wählen Sie, ob die Instanz eine öffentliche IPv4-Adresse erhält. Für global routbaren IPv6-Traffic ist keine öffentliche IPv4-Adresse erforderlich. Um jedoch eine Verbindung zur Instanz von einem IPv4-Host herzustellen, müssen Sie der Instanz eine öffentliche IP-Adresse zuweisen, da Sie andernfalls nicht über das Internetgateway darauf zugreifen können. Gemäß Standardeinstellung (bei einem öffentlichen Subnetz) erhält die Instanz eine öffentliche IP-Adresse.

Wenn die VNIC der Instanz mit einem VCN und Subnetz verknüpft ist, die IPv6-Adressierung unterstützen, können Sie eine Compute-Instanz mit IPv6-Adressen erstellen, die beim Erstellen der Instanz zugewiesen wurden, oder IPv6-Adressen zu einem anderen Zeitpunkt zuweisen.

Weitere Informationen und Anweisungen finden Sie unter Instanz starten.

Aufgabe 7: IPv6-Adresse zur Instanz hinzufügen
  1. Zeigen Sie die Instanz an, die Sie im vorherigen Schritt erstellt haben, und wählen Sie Angehängte VNICs aus.
  2. Wählen Sie den Namen der primären VNIC in der Liste der angehängten VNICs aus.
  3. Wählen Sie unter Ressourcen die Option IPv6-Adressen aus.
  4. Wählen Sie IPv6-Adresse zuweisen aus.
  5. Geben Sie Folgendes ein:

    • Präfix: Wählen Sie ein IPv6-Präfix aus, dem die IPv6-Adresse automatisch zugewiesen wird (das Subnetz der VNIC muss bereits aktiviert sein, um IPv6 zu verwenden, und es müssen mindestens ein IPv6-Präfix zugewiesen sein). Die verfügbaren Optionen hängen davon ab, was Sie unter IPv6-Adressenzuweisung auswählen:
      • IPv6-Adressen automatisch aus Präfix zuweisen: Wählen Sie diese Option aus, damit die Konsole eine verfügbare IPv6-Adresse aus einem IPv6-Präfix auswählen kann, das diesem Subnetz zugewiesen ist. Ein Subnetz kann mehrere IPv6-Präfixe enthalten, und die Präfixe können einen der drei Typen aufweisen: ULA, BYOIP oder von Oracle zugewiesen.
      • Weisen Sie IPv6-Adressen manuell aus Präfix zu: Wählen Sie diese Option aus, um eine bestimmte Adresse aus einem IPv6-Präfix zu verwenden, das diesem Subnetz zugewiesen ist. Beispiel: 0000:0000:1a1a:1a2b. Diese Option ist nur für IPv6-fähige Subnetze verfügbar.
      • Zuweisung aufheben, wenn sie bereits einer anderen VNIC zugewiesen ist: (Nur verfügbar, wenn Sie IPv6-Adressen manuell aus Präfix zuweisen:) Lassen Sie dieses Kontrollkästchen unverändert (deaktiviert). Verwenden Sie diese Option nur, um die Neuzuweisung einer IPv6-Adresse zu erzwingen, die bereits einer anderen VNIC im Subnetz zugewiesen ist.
    • Routentabelle: (Optional) Weisen Sie dieser IP-Adresse eine benutzerdefinierte Routentabelle zu. Weitere Informationen finden Sie unter Routing pro Ressource. Wenn Sie diese Option verwenden, beachten Sie, dass der Traffic von dieser IP-Adresse nicht die Standardroutentabellen für VCN oder Subnetz verwendet.
    • Tags: Übernehmen Sie die Vorgabe. Sie können Tags später hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.

    Wenn Sie + Weiteres Subnetzpräfix auswählen, können Sie der Instanz-VNIC weitere IPv6-Adressen zuweisen. Sie können der VNIC aus jedem IPv6-Präfix nur eine IPv6-Adresse zuweisen (einem Subnetz können mehrere IPv6-Präfixe zugewiesen sein). Wenn diese VNIC nach ihrer Erstellung an eine vorhandene Instanz angehängt wird, beachten Sie, dass ein Instanz-BS eine bestimmte Konfiguration benötigt, um die IPv6-Adressierung zu verwenden.

  6. Wählen Sie Zuweisen aus.

    IPv6 wird erstellt und dann auf der Seite IPv6-Adressen für die VNIC angezeigt.

Aufgabe 8: Betriebssystem der Instanz für die Verwendung von IPv6 konfigurieren

Sie müssen das Betriebssystem der Instanz für die Verwendung von IPv6 konfigurieren. Weitere Informationen finden Sie unter Instanz-BS für die Verwendung von IPv6 konfigurieren.

Weisen Sie die IPv6-Adresse dynamisch zu, wenn Sie Oracle Linux 8 verwenden. Die Aktivierung von IPv6 während der Instanzerstellung wird nicht unterstützt. Daher wird die Adresse IPv6 möglicherweise nicht direkt nach der Instanzerstellung angezeigt. Nachdem die Compute-Instanz hochgefahren ist, können Sie auf den nächsten DHCPv6-Zyklus warten, um die IPv6-Adresse abzurufen. Sie können aber auch den DHCPv6-Clientservice verwenden, um den DHCP-Zyklus manuell zu starten und mit der neu hinzugefügten IPv6-Adresse zu aktualisieren. Um den DHCPv6-Client zu verwenden, geben Sie Folgendes ein:

sudo dhclient -6 ens3
Hinweis

Sie können den folgenden Befehl verwenden, um den DHCPv6-Clientservice vom Firewall-cmd-Daemon auf der virtuellen Maschine zu starten:
sudo firewall-cmd --add-service=dhcpv6-client 

IPv6 in der Konsole verwalten

Dieser Abschnitt enthält grundlegende Aufgaben für die Arbeit mit IPv6-bezogenen Ressourcen.

So erstellen Sie ein IPv6-fähiges VCN:
Wichtig

Nachdem IPv6 für ein VCN aktiviert wurde, kann es nicht mehr deaktiviert werden.

Weitere Informationen finden Sie unter Aufgabe 1:IPv6-fähiges VCN erstellen.

So erstellen Sie ein IPv6-fähiges Subnetz
Wichtig

Nachdem IPv6 für ein Subnetz aktiviert wurde, können Sie es nicht mehr deaktivieren.

Zusammenfassung: Das Erstellen eines IPv6-fähigen Subnetzes ähnelt dem Erstellen eines IPv4-Subnetzes. Der Unterschied besteht darin, dass Sie das VCN-IPv6-Präfix, aus dem Sie ein /64 zuweisen möchten, auswählen und gegebenenfalls Zeichen angeben müssen. Wenn Sie ein von Oracle zugewiesenes Präfix auswählen, können Sie 8 Bit für den Subnetzteil des Präfixes IPv6 angeben. Siehe IPv6-Adressen - Überblick.

Allgemeine Anweisungen finden Sie unter Aufgabe 2: Regionales IPv6-fähiges öffentliches Subnetz erstellen. Wenn Sie ein privates Subnetz erstellen möchten, aktivieren Sie beim Erstellen des Subnetzes das Optionsfeld für Privates Subnetz.

So weisen Sie einer VNIC eine IPv6-Adresse zu

Der Prozess zum Hinzufügen einer IPv6-Adresse zu einer VNIC ähnelt dem zum Hinzufügen einer zweiten privaten IPv4-Adresse. Sie können die zu verwendende IPv6-Adresse angeben oder sie von Oracle aus dem Subnetz auswählen lassen. Weitere Informationen finden Sie unter IPv6-Adressen - Überblick. Nachdem Sie der VNIC das IPv6 zugewiesen haben, müssen Sie das Betriebssystem für die Verwendung des IPv6 konfigurieren.

  1. Weisen Sie das IPv6 zu. Allgemeine Anweisungen finden Sie unter Aufgabe 7: IPv6-Adresse zur Instanz hinzufügen.
  2. Konfigurieren Sie das Betriebssystem für die Verwendung der IPv6-Adresse. Weitere Informationen finden Sie unter Instanz-BS für die Verwendung von IPv6 konfigurieren.
So verschieben Sie eine IPv6-Adresse in eine andere VNIC im Subnetz

Der Prozess ähnelt dem zum Verschieben einer sekundären privaten IPv4-Adresse von einer VNIC zu einer anderen (hier als Original-VNIC und Neue VNIC) bezeichneten). Weisen Sie die IPv6 der neuen VNIC zu, geben Sie die Adresse IPv6 an, und wählen Sie Eventuelle Zuweisung zu anderer VNIC aufheben aus. Oracle hebt die Zuweisung zur ursprünglichen VNIC automatisch auf und weist sie der neuen VNIC zu.

  1. Bestätigen Sie, dass Sie das Compartment anzeigen, das die gewünschte Instanz enthält.
  2. Öffnen Sie das Navigationsmenü , und wählen Sie Compute aus. Wählen Sie unter Compute die Option Instanzen aus.
  3. Wählen Sie die Instanz aus, um die Details anzuzeigen.
  4. Wählen Sie unter Ressourcen die Option Angehängte VNICs aus.

    Die primäre VNIC und alle sekundären VNICs, die an die Instanz angehängt sind, werden angezeigt.

  5. Wählen Sie die gewünschte VNIC aus.
  6. Wählen Sie unter Ressourcen die Option IPv6-Adressen aus.
  7. Wählen Sie Private IP-Adresse zuweisen aus.
  8. Geben Sie Folgendes ein:

    • IPv6-Adresse: Die IPv6-Adresse, die verschoben werden soll.
    • Deaktivieren Sie die Zuweisung, wenn sie bereits einer anderen VNIC zugewiesen ist: Aktivieren Sie dieses Kontrollkästchen, um die IPv6-Adresse von der zugewiesenen VNIC zu verschieben.
    • Tags: Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen verfügen, den Tag-Namespace zu verwenden. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
  9. Wählen Sie Zuweisen aus.

Die IP-Adresse wird von der ursprünglichen VNIC in die neue VNIC verschoben.

So löschen Sie eine IPv6-Adresse aus einer VNIC
  1. Bestätigen Sie, dass Sie das Compartment anzeigen, das die gewünschte Instanz enthält.
  2. Öffnen Sie das Navigationsmenü , und wählen Sie Compute aus. Wählen Sie unter Compute die Option Instanzen aus.
  3. Wählen Sie die Instanz aus, um die Details anzuzeigen.
  4. Wählen Sie unter Ressourcen die Option Angehängte VNICs aus.

    Die primäre VNIC und alle sekundären VNICs, die an die Instanz angehängt sind, werden angezeigt.

  5. Wählen Sie die gewünschte VNIC aus.
  6. Wählen Sie unter Ressourcen die Option IPv6-Adressen aus.
  7. Wählen Sie für die zu löschende IPv6 das Menü Aktionen (drei Punkte) aus, und wählen Sie IPv6 löschen aus.
  8. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.

Die IPv6-Adresse wird an den Pool der verfügbaren Adressen im Subnetz zurückgegeben.

Instanz-BS für die Verwendung von IPv6 konfigurieren

Nach der Zuweisung einer IPv6-Adresse zur VNIC über die Konsole muss das zugehörige Instanzbetriebssystem die zugewiesene Adresse erlernen. DHCPv6 übernimmt dies automatisch. Sie müssen jedoch auf den nächsten Aktualisierungszyklus warten. Sie können das BS der Instanz anweisen, die IPv6-Adresse sofort zu aktualisieren.

Oracle Linux -Konfiguration

Oracle Linux 8 verwendet den folgenden Befehl, um eine IPv6-Adresse auf einer Instanz zu aktualisieren:

sudo dhclient -6 <interface>
Hinweis

Der NetworkManager-Service in Oracle Linux 8 ist standardmäßig aktiviert. Wenn Sie ein benutzerdefiniertes Image verwenden, müssen Sie möglicherweise zuerst die folgenden Befehle ausführen:
sudo firewall-cmd --add-service=dhcpv6-client --permanent
sudo firewall-cmd --reload

Weitere Informationen finden Sie in der Dokumentation Networking einrichten für Oracle Linux 8.

Sofern noch nicht geschehen, stellen Sie sicher, dass die Routentabelle und Sicherheitsregeln des VCN für den gewünschten IPv6-Traffic konfiguriert sind. Siehe Routing für IPv6-Traffic und Sicherheitsregeln für IPv6-Traffic.

Windows-Konfiguration

Mit dem folgenden Befehl können Sie die Instanz in der Windows-Befehlszeile oder der Netzwerkverbindungs-UI anweisen, die IPv6-Adresse zu aktualisieren:

ipconfig /renew6

Wenn Sie PowerShell verwenden, müssen Sie es als Administrator ausführen. Die Konfiguration bleibt über einen Neustart der Instanz hinweg bestehen. Wenden Sie sie so bald wie möglich an, nachdem die Instanz erstellt wurde.

Sofern noch nicht geschehen, stellen Sie sicher, dass die Routentabelle und Sicherheitsregeln des VCN für den gewünschten IPv6-Traffic konfiguriert sind. Siehe Routing für IPv6-Traffic und Sicherheitsregeln für IPv6-Traffic.