Networking - Überblick

Wenn Sie mit Oracle Cloud Infrastructure arbeiten, ist einer der ersten Schritte die Einrichtung eines virtuellen Cloud-Netzwerks (VCN) für Cloud-Ressourcen. In diesem Thema erhalten Sie einen Überblick über Oracle Cloud Infrastructure Networking-Komponenten und typische Szenarios für die Verwendung eines VCN.

Tipp

Sehen Sie sich ein Einführungsvideo zum Service an.

Networking-Komponenten

Der Networking-Service verwendet virtuelle Versionen herkömmlicher Netzwerkkomponenten, mit denen Sie möglicherweise bereits vertraut sind:

Virtuelles Cloud-Netzwerk (VCN): Ein virtuelles, privates Netzwerk, das Sie in Oracle-Data Centern einrichten. Es ähnelt in etwa einem herkömmlichen Netzwerk mit Firewallregeln und spezifischen Typen von Kommunikationsgateways, die Sie verwenden können. Ein VCN befindet sich in einer einzelnen Oracle Cloud Infrastructure-Region und umfasst mindestens einen CIDR-Block (IPv4 und IPv6, sofern aktiviert). Siehe Zulässige VCN-Größe und Adressbereiche. Die Begriffe "Virtuelles Cloud-Netzwerk", "VCN" und "Cloud-Netzwerk"" werden in dieser Dokumentation gleichbedeutend verwendet. Weitere Informationen finden Sie unter VCNs und Subnetze.
SUBNETZE: Unterteilungen, die Sie in einem VCN definieren (Beispiel: 10.0.0.0/24, 10.0.1.0/24 oder 2001:DB8::/64). Subnetze enthalten virtuelle Netzwerkkarten (VNICs), die an Instanzen angehängt werden. Jedes Subnetz besteht aus einem zusammenhängenden Bereich von IP-Adressen (für IPv4 und IPv6, sofern aktiviert), die sich mit keinen anderen Subnetzen im VCN überschneiden. Sie können ein Subnetz so festlegen, dass es in einer einzelnen Availability-Domain oder in einer gesamten Region vorhanden ist (regionale Subnetze werden empfohlen). Subnetze fungieren als eine Konfigurationseinheit im VCN: Alle VNICs in einem bestimmten Subnetz verwenden dieselbe Routentabelle sowie dieselben Sicherheitslisten und DHCP-Optionen (siehe folgende Definitionen). Sie können ein Subnetz beim Erstellen als öffentlich oder privat definieren. Private bedeutet, dass VNICs im Subnetz keine öffentlichen IPv4-Adressen haben können und dass die Internetkommunikation mit IPv6-Endpunkten unzulässig ist. "Öffentlich" bedeutet, dass VNICs im Subnetz öffentliche IPv4-Adressen haben können und dass die Internetkommunikation mit IPv6-Endpunkten zulässig ist. Siehe Zugriff auf das Internet.
VNIC: Eine virtuelle Netzwerkkarte (VNIC), die an eine Instanz angehängt wird und sich in einem Subnetz befindet, um eine Verbindung zum VCN des Subnetzes herzustellen. Eine VNIC ist die Komponente, mit der die Instanz eine Verbindung zu Endpunkten innerhalb und außerhalb des VCN herstellt. Jede Instanz verfügt über eine primäre VNIC, die beim Erstellen der Instanz erstellt wird und nicht entfernt werden kann. Sie können sekundäre VNICs nach Bedarf zu einer vorhandenen Instanz (in derselben Availability-Domain wie die primäre VNIC) hinzufügen und entfernen. Jede sekundäre VNIC kann sich in einem Subnetz im selben VCN wie die primäre VNIC oder in einem anderen Subnetz entweder im selben VCN oder einem anderen Subnetz befinden. Alle VNICs müssen sich jedoch in derselben Availability-Domain wie die Instanz befinden. Weitere Informationen finden Sie unter Virtuelle Netzwerkkarten (VNICs). Einer VNIC, die an eine Compute-Instanz angehängt ist und sich in einem IPv6-fähigen Subnetz befindet, kann optional eine IPv6-Adresse zugewiesen werden.
PRIVATE IP: Eine private IPv4-Adresse und zugehörige Informationen zur Adressierung einer Instanz (z.B. ein Hostname für DNS). Jede VNIC verfügt über eine primäre private IP, und Sie können sekundäre private IPs hinzufügen und entfernen. Die primäre private IP-Adresse einer Instanz ändert sich während der Lebensdauer der Instanz nicht und kann nicht aus der Instanz entfernt werden. Weitere Informationen finden Sie unter Private IP-Adressen.
ÖFFENTLICHE IP: Eine öffentliche IPv4-Adresse und zugehörige Informationen. Sie können optional eine öffentliche IP zu Instanzen oder anderen Ressourcen zuweisen, die über eine private IP verfügen. Öffentliche IPs können ephemer oder reserviert sein. Weitere Informationen finden Sie unter Öffentliche IP-Adressen.
IPV6: Eine IPv6-Adresse und zugehörige Informationen. Die IPv6-Adressierung wird für alle kommerziellen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen.
Dynamisches Routinggateway (DRG): Einen optionalen virtuellen Router, den Sie einem VCN hinzufügen können. Er stellt einen Pfad für privaten Netzwerkverkehr zwischen einem VCN und einem On-Premise-Netzwerk bereit. Sie können ihn zusammen mit anderen Netzwerkkomponenten und einem Router in einem On-Premise-Netzwerk verwenden, um eine Verbindung über Site-to-Site-VPN oder Oracle Cloud Infrastructure FastConnect herzustellen. Sie kann auch einen Pfad für privaten Netzwerktraffic zwischen einem VCN und einem anderen VCN in einer anderen Region bereitstellen. Weitere Informationen finden Sie unter Zugriff auf Ihr On-Premise-Netzwerk, Dynamische Routinggateways und Remote-VCN-Peering mit einem Legacy-DRG.
INTERNETGATEWAY: Ein weiterer optionaler virtueller Router, den Sie einem VCN für direkten Internetzugang hinzufügen können. Weitere Informationen finden Sie unter Zugriff auf das Internet und auch Szenario A: Öffentliches Subnetz.
NAT-(NETWORK ADDRESS TRANSLATION-)GATEWAY: Ein weiterer optionaler virtueller Router, den Sie einem VCN hinzufügen können. Er ermöglicht Cloud-Ressourcen ohne öffentliche IP-Adressen den Zugriff auf das Internet, ohne dass diese Ressourcen für eingehende Internetverbindungen freigegeben werden. Weitere Informationen finden Sie unter Öffentliche und private Subnetze im Vergleich und unter NAT-Gateway.
SERVICEGATEWAY: Ein weiterer optionaler virtueller Router, den Sie einem VCN hinzufügen können. Es stellt einen Pfad für privaten Netzwerkverkehr zwischen einem VCN und nicht unterstützten Services im Oracle Services Network bereit (Beispiele: Oracle Cloud Infrastructure Object Storage und Autonomous Database). Beispiel: DB-Systeme in einem privaten Subnetz in einem VCN können Daten in Object Storage sichern, ohne dass öffentliche IP-Adressen oder der Internetzugang erforderlich sind. Weitere Informationen finden Sie unter Zugriff auf Oracle Services: Servicegateway.
LOKALES PEERING-GATEWAY (LPG): Ein weiterer optionaler virtueller Router, den Sie einem VCN hinzufügen können. Damit können Sie eine Peering-Beziehung zwischen zwei VCNs in ein und derselben Region herstellen. Peering bezeichnet die Kommunikation der VCNs über private IP-Adressen, ohne dass der Traffic über das Internet oder ein On-Premise-Netzwerk geleitet wird. Ein VCN muss für jedes einzelne Peering ein eigenes LPG haben. Weitere Informationen finden Sie unter Lokales VCN-Peering mit lokalen Peering-Gateways.
REMOTE-PEERING-VERBINDUNG (RPC): Eine Komponente, die Sie einem DRG hinzufügen können. Damit können Sie eine Peering-Beziehung zwischen zwei VCNs in unterschiedlichen Regionen herstellen. Weitere Informationen finden Sie unter Remote-VCN-Peering mit einem Legacy-DRG.
ROUTENTABELLEN: Virtuelle Routentabellen für ein VCN. Sie verfügen über Regeln, um Traffic von Subnetzen über Gateways oder speziell konfigurierte Instanzen an Ziele außerhalb des VCN weiterzuleiten. Ein VCN enthält eine leere Standardroutentabelle, und Sie können benutzerdefinierte Routentabellen hinzufügen. Weitere Informationen finden Sie unter VCN-Routentabellen.
SICHERHEITSREGELN: Virtuelle Firewallregeln für ein VCN. Ingress- und Egress-Regeln werden die Traffictypen (Protokoll und Port) angegeben, die in und aus den Instanzen zulässig sind. Sie können entscheiden, ob eine bestimmte Regel zustandsbehaftet oder zustandslos ist. Beispiel: Sie können eingehenden SSH-Verkehr von einer beliebigen Quelle zu Instanzen zulassen, indem Sie eine Regel für zustandsbehafteten Ingress mit Quell-CIDR 0.0.0.0/0 und Ziel-TCP-Port 22 einrichten. Zur Implementierung von Sicherheitsregeln können Sie Netzwerksicherheitsgruppen oder Sicherheitslisten verwenden. Eine Netzwerksicherheitsgruppe besteht aus einem Set von Sicherheitsregeln, die nur für die Ressourcen in dieser Gruppe gelten. Im Gegensatz dazu werden bei einer Sicherheitsliste die Regeln auf alle Ressourcen in einem Subnetz angewendet, das die Liste verwendet. Ein VCN enthält eine Standardsicherheitsliste mit Standardsicherheitsregeln. Weitere Informationen finden Sie unter Sicherheitsregeln.
DHCP-OPTIONEN: Konfigurationsinformationen, die automatisch den Instanzen beim Booten bereitgestellt werden. Weitere Informationen finden Sie unter DHCP-Optionen.
CIDR-NOTATION: Eine kompakte Methode zur Angabe von IP-Adressen oder Adressbereichen und Netzwerkmasken. Beispiel: Wenn Sie IPv4 verwenden, stellt ein privater IP-Adressbereich von 10.0.0.0/24 alle Adressen zwischen 10.0.0.0 und 10.0.0.255 dar. /24 stellt eine Subnetzmaske von 255.255.255.0 dar, da die ersten 24 Bit maskiert sind. IPv6 verwendet eine ähnliche Notation wie für Adressblöcke. Weitere Informationen finden Sie in RFC1817 und RFC1519.

Zulässige VCN-Größen- und Adressbereiche

Ein VCN deckt einen oder mehrere IPv4 CIDR-Blöcke oder IPv6-Präfixe ab. Der zulässige VCN-Größenbereich liegt bei /16 bis /30. Beispiel: 10.0.0.0/16. Der Networking-Service reserviert die ersten beiden IP-Adressen und die letzte IP-Adresse im CIDR jedes Subnetzes. Sie können IPv6 beim Erstellen für VCNs oder IPv6 auf vorhandenen Nur-IPv4-VCNs aktivieren. Wenn Sie sich für ein von Oracle zugewiesenes IPv6-Präfix entscheiden, erhalten Sie immer ein /56. Alternativ können Sie ein eigenes BYOIP-IPv6-Präfix importieren, aus dem Sie einem VCN ein beliebiges Präfix von /64 oder größer zuweisen können, oder Sie können ein ULA-Präfix von /64 oder größer zuweisen. GUA-Bereiche können bis zu 2000::/3 sein und ULA-Bereiche bis zu fc00::/7. Alle IPv6-Subnetze weisen stets eine Größe von /64 auf.

Für ein VCN wird empfohlen, die in RFC 1918 angegebenen privaten IP-Adressbereiche zu verwenden (der RFC empfiehlt 10.0/8 oder 172.16/12. Oracle unterstützt diese Größen jedoch nicht. Verwenden Sie daher 10.0/16, 172.16/16 und 192.168/16). Sie können jedoch einen öffentlich routbaren Bereich verwenden. Unabhängig davon wird in dieser Dokumentation der Begriff Private IP-Adresse verwendet, wenn auf IP-Adressen im CIDR des VCN Bezug genommen wird. Nicht zulässige Adressbereiche werden unter Für die Verwendung durch Oracle reservierte IP-Adressen beschrieben. Bei IPv6-fähigen VCNs kann entweder von Oracle ein Global Unicast Address-(GUA-)Präfix der Größe /56 zugewiesen werden, oder Sie können ein VCN mit einem BYOIPv6-Präfix erstellen.

Die CIDR-Blöcke des VCN dürfen weder untereinander noch mit CIDRs in einem verbundenen On-Premise-Netzwerk oder mit dem CIDRs eines anderen VCN, mit dem Sie eine Peering-Beziehung haben, überschneiden. Die Subnetze in einem bestimmten VCN dürfen sich nicht gegenseitig überschneiden. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.

Die IPv6-Adressierung wird für alle kommerziellen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen.

Availability-Domains und VCNs

Ein VCN befindet sich in einer einzelnen Oracle Cloud Infrastructure-Region. Eine Region kann über mehrere Availability-Domains verfügen, um Isolation und Redundanz zu gewährleisten. Weitere Informationen finden Sie unter Regionen und Availability-Domains.

Ursprünglich waren Subnetze für die Abdeckung von nur einer Availability-Domain (AD) in einer Region konzipiert. Dabei handelte es sich ausschließlich um AD-spezifische Subnetze, die sich also in einer bestimmten Availability-Domain befinden mussten. Jetzt können Subnetze AD-spezifisch oder regional sein. Sie wählen den Typ beim Erstellen des Subnetzes aus. Beide Arten von Subnetzen können in demselben VCN vorhanden sein. Im folgenden Diagramm sind die Subnetze 1 bis 3 AD-spezifisch und Subnetz 4 regional.

Diese Abbildung zeigt ein VCN mit einem regionalen Subnetz und drei AD-spezifischen Subnetzen.

Abgesehen vom Entfernen des AD-Constraints verhalten sich regionale Subnetze genauso wie AD-spezifische Subnetze. Es wird empfohlen, regionale Subnetze zu verwenden, da sie flexibler sind. Sie machen es einfacher, ein VCN effizient in Subnetze zu unterteilen, während sie gleichzeitig für Availability-Domainausfälle konzipiert sind.

Wenn Sie eine Ressource wie eine Compute-Instanz erstellen, entscheiden Sie, in welcher Availability-Domain sich die Ressource befindet. Vom Standpunkt des virtuellen Netzwerks aus müssen Sie auch entscheiden, in welchem VCN und Subnetz sich die Instanz befindet. Sie können entweder ein regionales oder ein AD-spezifisches Subnetz auswählen, das der für die Instanz gewählten AD entspricht.

Standardkomponenten eines VCN

Ein VCN umfasst automatisch die folgenden Standardkomponenten:

Standardroutentabelle ohne Routingregeln
Standardsicherheitsliste mit Standardsicherheitsregeln
Standardset von DHCP-Optionen mit Standardwerten

Diese Standardkomponenten können nicht gelöscht werden. Sie können den Inhalt jedoch ändern (z.B. die Regeln in der Standardsicherheitsliste). Sie können auch benutzerdefinierte Versionen jeder Art von Komponente in einem VCN erstellen. Es gibt Limits für die Anzahl der erstellten Regeln und die maximale Anzahl der Regeln. Weitere Informationen finden Sie unter Servicelimits.

Jedem Subnetz sind immer die folgenden Komponenten zugeordnet:

Eine Routentabelle
Eine oder mehrere Sicherheitslisten (die maximale Anzahl finden Sie unter Servicelimits)
Ein Set von DHCP-Optionen

Während der Erstellung eines Subnetzes können Sie entscheiden, welche Routentabelle, Sicherheitsliste und welches Set von DHCP-Optionen das Subnetz verwendet. Wenn Sie keine bestimmte Komponente angeben, verwendet das Subnetz automatisch die Standardkomponente des VCN. Sie können jederzeit die vom Subnetz verwendeten Komponenten ändern.

Tipp

Über die Sicherheitslisten kann der Traffic in die und aus den Ressourcen des VCN gesteuert werden. Sie können auch Netzwerksicherheitsgruppen verwenden.

Konnektivitätsauswahl

Sie können bestimmen, ob Subnetze öffentlich oder privat sind und ob Instanzen öffentliche IP-Adressen abrufen. Sie können ein VCN einrichten, um bei Bedarf Zugriff auf das Internet zu haben. Sie können ein VCN auch mit öffentlichen Oracle Cloud Infrastructure-Services, wie Object Storage, mit einem On-Premise-Netzwerk oder einem anderen VCN verbinden.

Öffentliche und private Subnetze im Vergleich

Wenn Sie ein Subnetz erstellen, wird es standardmäßig als öffentlich betrachtet. Instanzen in diesem Subnetz können also öffentliche IPv4-Adressen haben, und die Internetkommunikation mit IPv6-Endpunkten ist zulässig. Die Person, die die Instanz startet, wählt aus, ob diese eine öffentliche IPv4-Adresse hat oder ob eine IPv6-Adresse aus dem zugewiesenen Präfix zugewiesen wird. Sie können dieses Verhalten beim Erstellen des Subnetzes außer Kraft setzen und anfordern, dass es privat ist. Hierdurch werden die Verwendung öffentlicher IPv4-Adressen und die Internetkommunikation mit IPv6-Endpunkten unzulässig. Netzwerkadministratoren können also sicherstellen, dass Instanzen im Subnetz keinen Internetzugriff haben, selbst wenn das VCN über ein funktionsfähiges Internetgateway verfügt, und Sicherheitsregeln und Firewallregeln den Traffic zulassen.

Zuweisung von IP-Adressen

Jede Instanz verfügt über eine primäre VNIC, die beim Starten der Instanz erstellt wird und nicht entfernt werden kann. Sie können sekundäre VNICs beliebig zu einer vorhandenen Instanz (in derselben Availability-Domain wie die primäre VNIC) hinzufügen und entfernen.

Jede VNIC verfügt über eine private IP-Adresse aus dem CIDR des zugehörigen Subnetzes. Sie können die jeweilige IP-Adresse (beim Starten der Instanz oder bei der Erstellung der sekundären VNIC) wählen, oder Oracle kann sie für Sie auswählen. Die private IP-Adresse ändert sich während der Gültigkeitsdauer der Instanz nicht und kann nicht entfernt werden. Sie können auch sekundäre private IPv4-Adressen oder sekundäre IPv6-Adressen zu einer VNIC hinzufügen.

Wenn die VNIC sich in einem öffentlichen Subnetz befindet, kann jeder privaten IP in dieser VNIC nach Wunsch eine öffentliche IPv4-Adresse oder IPv6-Adresse zugewiesen werden. Für IPv4 wählt Oracle die jeweilige IP-Adresse. Für IPv6 können Sie die IP-Adresse angeben. Es gibt zwei Arten von öffentlichen IPs: ephemer und reserviert. Eine ephemere öffentliche IP ist nur während der Gültigkeitsdauer der privaten IP vorhanden, der sie zugewiesen ist. Im Gegensatz dazu ist eine reservierte öffentliche IP so lange vorhanden, wie Sie es wünschen. Sie verwalten einen Pool reservierter öffentlicher IPs und weisen sie den Instanzen nach Bedarf zu. Sie können sie nach Bedarf zwischen den Ressourcen in einer Region verschieben.

Zugriff auf das Internet

Es gibt zwei optionale Gateways (virtuelle Router), die Sie je nach dem gewählten Internetzugriff zu Ihrer VCN hinzufügen können:

Internetgateway: Für Ressourcen mit öffentlichen IP-Adressen, die über das Internet erreichbar sein (Beispiel: ein Webserver) oder Verbindungen zum Internet initiieren müssen.
NAT-Gateway: Für Ressourcen ohne öffentliche IP-Adressen, die Verbindungen zum Internet initiieren (Beispiel: für Softwareupdates), jedoch vor eingehenden Verbindungen aus dem Internet geschützt werden müssen.

Nur mit einem Internetgateway allein werden die Instanzen in den Subnetzen des VCN nicht direkt für das Internet zugänglich gemacht. Folgende Anforderungen müssen ebenfalls erfüllt sein:

Das Internetgateway muss aktiviert sein (standardmäßig wird das Internetgateway beim Erstellen aktiviert).
Das Subnetz muss öffentlich sein.
Das Subnetz muss über eine Routingregel verfügen, die Traffic an das Internetgateway weiterleitet.
Das Subnetz muss Sicherheitslistenregeln aufweisen, die den Traffic zulassen (und die Firewall jeder Instanz muss den Traffic zulassen).
Die Instanz muss eine öffentliche IP-Adresse haben.

Tipp

Um vom VCN aus ohne den Traffic über das Internet auf öffentliche Services wie Object Storage zuzugreifen, verwenden Sie ein Servicegateway.

Beachten Sie auch, dass Traffic über ein Internetgateway zwischen einem VCN und einer öffentlichen IP-Adresse , die Teil von Oracle Cloud Infrastructure ist (wie Object Storage) weitergeleitet wird, ohne über das Internet gesendet zu werden.

Sie können auch einen indirekten Subnetzzugriff auf das Internet gewähren, indem Sie einen Internetproxy in Ihrem On-Premise-Netzwerk einrichten und dieses Netzwerk dann über ein DRG mit dem VCN verbinden. Weitere Informationen finden Sie unter Zugriff auf Ihr On-Premise-Netzwerk.

Zugriff auf öffentliche Oracle Cloud Infrastructure-Services

Sie können ein Servicegateway mit dem VCN verwenden, um privaten Zugriff auf öffentliche Oracle Cloud Infrastructure-Services wie Object Storage zu ermöglichen. Beispiel: DB-Systeme in einem privaten Subnetz im VCN können Daten in Object Storage sichern, ohne dass öffentliche IP-Adressen oder der Internetzugriff erforderlich sind. Es ist kein Internetgateway oder NAT erforderlich. Weitere Informationen finden Sie unter Zugriff auf Oracle Services: Servicegateway.

Zugriff auf Ihr On-Premise-Network

Es gibt zwei Möglichkeiten, um Ihr On-Premise-Netzwerk mit Oracle Cloud Infrastructure zu verbinden:

Site-to-Site-VPN: Bietet mehrere IPSec-Tunnel zwischen der Edge Ihres vorhandenen Netzwerks und Ihrem VCN über ein DRG an, das Sie erstellen und an Ihr VCN anhängen.
Oracle Cloud Infrastructure FastConnect: Bietet eine private Verbindung zwischen der Edge Ihres vorhandenen Netzwerks und Oracle Cloud Infrastructure. Traffic wird nicht über das Internet geführt. Private Peering und Public Peering werden unterstützt. Das bedeutet, dass Ihre On-Premise-Hosts auf private IPv4- oder IPv6-Adressen im VCN sowie auf regionale öffentliche IPv4- oder IPv6-Adressen in Oracle Cloud Infrastructure zugreifen können (z.B. Object Storage oder öffentliche Load Balancer im VCN).

Sie können einen oder beide Typen der vorherigen Verbindungen verwenden. Wenn Sie beide verwenden, können Sie sie gleichzeitig oder in einer redundanten Konfiguration verwenden. Diese Verbindungen erreichen Ihr VCN über ein einzelnes DRG, das Sie erstellen und an Ihr VCN anhängen. Ohne diesen DRG-Anhang und eine Routingregel für DRG kann kein Traffic zwischen Ihrem VCN und On-Premise-Netzwerk fließen. Sie können das DRG jederzeit vom VCN trennen, aber alle übrigen Komponenten der Verbindung beibehalten. Sie können dann das DRG erneut anhängen oder an ein anderes VCN anhängen.

Zugriff auf ein anderes VCN

Sie können Ihr VCN über eine private Verbindung, für die kein Trafficfluss über das Internet erforderlich ist, mit einem anderen VCN verbinden. Im Allgemeinen wird dieser Verbindungstyp als VCN-Peering bezeichnet. Jedes VCN muss über bestimmte Komponenten verfügen, um das Peering zu aktivieren. Die VCNs müssen auch über bestimmte IAM-Policys, -Routingregeln und -Sicherheitsregeln verfügen, mit denen die Verbindung hergestellt werden und der gewünschte Netzverkehr über die Verbindung fließen kann. Weitere Informationen finden Sie unter Zugriff auf andere VCNs: Peering.

Verbindung zu Microsoft Azure

Oracle und Microsoft haben in bestimmten Regionen eine cloud-übergreifende Verbindung zwischen Oracle Cloud Infrastructure und Microsoft Azure erstellt. Mit dieser Verbindung können Sie cloud-übergreifende Workloads einrichten, ohne dass der Traffic zwischen den Clouds über das Internet geleitet wird. Weitere Informationen finden Sie unter Interconnect for Azure.

Verbindung zu anderen Clouds mit Libreswan

Sie können Ihr VCN mit einem anderen Cloud-Provider verbinden, indem Sie ein Site-to-Site-VPN mit einer Libreswan-VM als Customer-Premise-Equipment (CPE) verwenden. Weitere Informationen finden Sie unter Auf andere Clouds mit Libreswan zugreifen.

Netzwerkszenarios

Diese Dokumentation enthält einige grundlegende Networking-Szenarios, mit denen Sie den Networking-Service und die Zusammenarbeit der Komponenten im Allgemeinen verstehen können. Weitere Informationen finden Sie in diesen Themen:

Transitrouting

Szenarios A–C zeigen ein On-Premise-Netzwerk, das über ein DRG und FastConnect oder ein Site-to-Site-VPN mit einem oder mehreren VCNs verbunden ist und nur auf die Ressourcen in diesen VCNs zugreift.

Die folgenden erweiterten Routingszenarios bieten einem On-Premise-Netzwerk Zugriff über die Ressourcen im verbundenen VCN hinaus. Traffic wird von einem On-Premise-Netzwerk zum DRG und anschließend durch das DRG an das Ziel geleitet. Weitere Informationen finden Sie in diesen Themen:

Transitrouting in einem Hub-VCN: Ein On-Premise-Netzwerk hat Zugriff auf mehrere-VCNs in derselben Region über einen einzelnen FastConnect privaten Virtual Circuit oder über Site-to-Site-VPN. Das DRG und die angehängten VCNs basieren auf einer Hub-and-Spoke-Topologie, wobei das On-Premise-Netzwerk mit dem DRG verbunden ist, das als Hub fungiert. Die Spoke-VCNs sind per Peering verbunden.
Privater Zugriff auf Oracle-Services: Ein On-Premise-Netzwerk hat privaten Zugriff auf Oracle-Services in einem Oracle Services Network über ein verbundenes VCN und das Servicegateway des VCN. Der Traffic geht nicht über das Internet.

Regionen und Availability-Domains

Ein VCN befindet sich in einer einzelnen Oracle Cloud Infrastructure-Region. Jedes Subnetz befindet sich in einer einzelnen Availability-Domain (AD). Availability-Domains sind für die Bereitstellung von Isolation und Redundanz im VCN konzipiert, wie in Szenario B und Szenario C bereits erwähnt dargestellt. Beispiel: Sie können ein primäres Set von Subnetzen in einer einzelnen AD einrichten und dann ein doppeltes Set von Subnetzen in einer sekundären AD einrichten. Die beiden ADs werden in den Oracle-Data Centern voneinander isoliert. Wenn also ein Fehler auftritt, können Sie einfach zu der anderen AD wechseln. Weitere Informationen finden Sie unter Regionen und Availability-Domains.

Öffentliche IP-Adressbereiche

Eine Liste der öffentlichen IP-Bereiche von Oracle Cloud Infrastructure finden Sie unter IP-Adressbereiche.

Für die Verwendung durch Oracle reservierte IP-Adressen

Einige IP-Adressen sind für die Verwendung mit Oracle Cloud Infrastructure reserviert und können nicht in einem Adressnummerierungsschema verwendet werden.

169.254.0.0/16

Diese Adressen werden für iSCSI-Verbindungen zu Boot- und Block-Volumes, Instanzmetadaten und anderen Services verwendet.

Klasse D und Klasse E

Alle Adressen von 224.0.0.0 bis 239.255.255.255 (Klasse D) sind für die Verwendung in einem VCN nicht zulässig. Sie sind für Multicastadressenzuweisungen in den IP-Standards reserviert. Weitere Informationen finden Sie unter RFC 3171.

Alle Adressen von 240.0.0.0 bis 255.255.255.255 (Klasse E) sind für die Verwendung in einem VCN nicht zulässig. Sie sind für eine zukünftige Verwendung in den IP-Standards reserviert. Weitere Informationen finden Sie unter RFC 1112, Abschnitt 4.

Drei IP-Adressen in jedem Subnetz

Diese Adressen bestehen aus:

Der ersten IP-Adresse im CIDR (die Netzwerkadresse)
Der letzten IP-Adresse im CIDR (die Broadcast-Adresse)
Der ersten Hostadresse im CIDR (die Standardgatewayadresse des Subnetzes)

Beispiel: In einem Subnetz mit CIDR 192.168.0.0/24 sind die folgenden Adressen reserviert:

192.168.0.0 (die Netzwerkadresse)
192.168.0.255 (die Broadcast-Adresse)
192.168.0.1 (die Standardgatewayadresse des Subnetzes)

Die verbleibenden Adressen im CIDR (192.168.0.2 bis 192.168.0.254) stehen zur Verwendung zur Verfügung.

Automatisierung mit Events erstellen

Sie können Automatisierung basierend auf Statusänderungen für Oracle Cloud Infrastructure-Ressourcen erstellen, indem Sie Ereignistypen, Regeln und Aktionen verwenden. Weitere Informationen finden Sie unter Überblick über Events.

Ressourcen-IDs

Die meisten Oracle Cloud Infrastructure-Ressourcentypen verfügen über eine eindeutige, von Oracle zugewiesene ID, die als Oracle Cloud-ID (OCID) bezeichnet wird. Informationen zum OCID-Format und zu anderen Möglichkeiten zur Identifizierung der Ressourcen finden Sie unter Ressourcen-IDs.

Möglichkeiten für den Zugriff auf Oracle Cloud Infrastructure

Auf Oracle Cloud Infrastructure (OCI) können Sie über die Konsole (eine browserbasierte Schnittstelle), die REST-API oder die OCI-CLI zugreifen. Anweisungen zur Verwendung der Konsole, API und CLI sind in verschiedenen Themen in dieser Dokumentation enthalten. Eine Liste der verfügbaren SDKs finden Sie unter Softwareentwicklungs-Kits und Befehlszeilenschnittstelle.

Um auf die Konsole zuzugreifen, müssen Sie einen unterstützten Browser verwenden. Um zur Anmeldeseite der Konsole zu wechseln, öffnen Sie das Navigationsmenü oben auf dieser Seite, und wählen Sie Infrastrukturkonsole aus. Dort werden Sie aufgefordert, Ihren Cloud-Mandanten, Benutzernamen und Ihr Kennwort einzugeben.

Allgemeine Informationen zur Verwendung der API finden Sie unter REST-APIs.

Authentifizierung und Autorisierung

Jeder Service in Oracle Cloud Infrastructure kann zur Authentifizierung und Autorisierung für alle Schnittstellen (Konsole, SDK oder CLI und REST-API) in IAM eingebunden werden.

Ein Administrator in einer Organisation muss Gruppen , Compartments und Policys einrichten, die den Zugriffstyp sowie den Zugriff der Benutzer auf Services und Ressourcen steuern. Beispiel: Die Policys steuern, wer neue Benutzer erstellen, das Cloud-Netzwerk erstellen und verwalten, Instanzen erstellen, Buckets erstellen, Objekte herunterladen kann usw. Weitere Informationen finden Sie unter Identitätsdomains verwalten. Einzelheiten zum Schreiben von Policys für die einzelnen Services finden Sie in der Policy-Referenz.

Wenn Sie ein regulärer Benutzer sind (nicht ein Administrator), der die Oracle Cloud Infrastructure-Ressourcen verwenden muss, für die das Unternehmen verantwortlich ist, bitten Sie einen Administrator, eine Benutzer-ID für Sie einzurichten. Der Administrator kann festlegen, welche Compartments Sie verwenden können.

IAM-Policys für Networking

Die einfachste Methode zum Erteilen des Zugriffs auf Networking ist die Policy, die unter Verwalten eines Cloud-Netzwerks durch Netzwerkadministratoren zulassen aufgeführt wird. Sie deckt das Cloud-Netzwerk und alle anderen Netzwerkkomponenten (Subnetze, Sicherheitslisten, Routing-Tabellen, Gateways usw.) ab. Weitere Informationen finden Sie unter Starten von Compute-Instanzen durch Benutzer zulassen.

Wenn Sie mit Policys neu sind, finden Sie weitere Informationen unter Identitätsdomains verwalten und Allgemeine Policys.

Referenzmaterial für das Schreiben detaillierter Policys für Networking finden Sie unter Details zu den Coreservices.

Einzelne Ressourcentypen

Sie können Policys schreiben, die sich auf einzelne Ressourcentypen konzentrieren (z.B. nur Sicherheitslisten) und nicht auf den umfassenderen Ressourcentyp virtual-network-family. Der Ressourcentyp instance-family enthält auch mehrere Berechtigungen für VNICs, die sich in einem Subnetz befinden, aber an eine Instanz angehängt sind. Weitere Informationen finden Sie unter Details für Kombinationen aus Verb + Ressourcentyp und Virtuelle Netzwerkkarten (VNICs).

Der Ressourcentyp local-peering-gateways ist in virtual-network-family enthalten und enthält zwei weitere zum lokalen VCN-Peering (innerhalb der Region) zugehörige Ressourcentypen:

local-peering-from
local-peering-to

Der Ressourcentyp local-peering-gateways deckt alle zu lokalen Peering-Gateways (LPGs) zugehörigen Berechtigungen ab. Die Ressourcentypen local-peering-from und local-peering-to dienen dazu, die Berechtigung zum Verbinden von zwei LPGs zu erteilen und eine Peering-Beziehung innerhalb einer einzelnen Region zu definieren. Weitere Informationen finden Sie unter Lokales Peering mit einem LPG (VCNs im selben Mandanten) oder Lokales Peering mit einem LPG (VCNs in verschiedenen Mandanten).

Außerdem ist ein Ressourcentyp mit dem Namen remote-peering-connections in virtual-network-family enthalten und enthält zwei andere zu Remote-VCN-Peering (regionsübergreifend) zugehörigen Ressourcentypen:

remote-peering-from
remote-peering-to

Der Ressourcentyp remote-peering-connections deckt alle zu Remote-Peering-Verbindungen (RPCs) zugehörigen Berechtigungen ab. Die Ressourcentypen remote-peering-from und remote-peering-to dienen dazu, die Berechtigung zum Verbinden von zwei RPCs zu erteilen und eine regionsübergreifende Peering-Beziehung zu definieren. Weitere Informationen finden Sie unter Remote-Peering mit einem Legacy-DRG und Remote-Peering mit einem upgegradeten DRG.

Nuancen verschiedener Verben

Sie können Policys schreiben, die den Zugriff einschränken, indem Sie ein anderes Policy-Verb (manage anstelle von use usw.) verwenden. In diesem Fall finden Sie nachfolgend einige Nuancen zu den Policy-Verben für Networking.

Beachten Sie, dass das Verb inspect nicht nur allgemeine Informationen zu den Komponenten des Cloud-Netzwerks zurückgibt (Beispiel: Name und OCID einer Sicherheitsliste oder einer Routentabelle). Es enthält außerdem den Inhalt der Komponente (Beispiel: die eigentlichen Regeln in der Sicherheitsliste, die Routen in der Routentabelle usw.).

Außerdem sind die folgenden Arten von Fähigkeiten nur mit dem Verb manage und nicht mit dem Verb use verfügbar:

internet-gateways aktualisieren (aktivieren/deaktivieren)
security-lists aktualisieren
route-tables aktualisieren
dhcp-options aktualisieren
Ein dynamisches Routinggateway (DRG) an ein virtuelles Cloud-Netzwerk (VCN) anhängen
Eine IPSec-Verbindung zwischen einem DRG und Customer Premises Equipment (CPE) erstellen
Peer-VCNs

Wichtig

Jedes VCN verfügt über verschiedene Komponenten, die sich direkt auf das Verhalten des Netzwerks auswirken (Routentabellen, Sicherheitslisten, DHCP-Optionen, Internetgateway usw.). Wenn Sie eine dieser Komponenten erstellen, legen Sie eine Beziehung zwischen dieser Komponente und dem VCN fest. Dies bedeutet, dass eine Policy Sie berechtigen muss, sowohl die Komponente zu erstellen als auch das VCN selbst zu verwalten. Die Möglichkeit, diese Komponente zu aktualisieren (um die Routingregeln, Sicherheitslistenregeln usw. zu ändern) erfordert jedoch nicht die Berechtigung zur Verwaltung des VCN selbst, obwohl sich die Änderung dieser Komponente direkt auf das Verhalten des Netzwerks auswirkt. Diese Abweichung bietet Ihnen Flexibilität, Benutzern die wenigsten Berechtigungen zu erteilen, und Sie müssen dem VCN keinen übermäßigen Zugriff gewähren, damit der Benutzer andere Komponenten des Netzwerks verwalten kann. Beachten Sie, dass wenn Sie jemandem die Möglichkeit geben, einen bestimmten Komponententyp zu aktualisieren, Sie dieser Person implizit vertrauen, das Verhalten des Netzwerks zu steuern.

Weitere Informationen zu Policy-Verben finden Sie unter Policy-Grundlagen.

Peering-Policys

Policys, die zum Verbinden eines DRG mit VCNs und DRGs in anderen Regionen und Mandanten verwendet werden, finden Sie unter IAM-Policys für Routing zwischen VCNs.

Limits für Netzwerkkomponenten

In den Servicelimits finden Sie eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie Sie eine Erhöhung beantragen.

Oracle Cloud Infrastructure - Dokumentation