Virtuelle Netzwerkkarten (VNICs)

In diesem Thema wird beschrieben, wie die virtuellen Netzwerkkarten (VNICs) in einem virtuellen Cloud-Netzwerk (VCN) verwaltet werden.

VNICs und physische NICs - Überblick

Die Server in Oracle Cloud Infrastructure-Data Centern weisen physische Netzwerkkarten (NICs) auf. Wenn Sie eine Instanz auf einem dieser Server erstellen, kommuniziert die Instanz über die virtuellen NICs (VNICs) des Networking-Service, die mit den physischen NICs verknüpft sind. Die nächsten Abschnitte enthalten Informationen zu VNICs und NICs und wie diese miteinander in Beziehung stehen.

VNICs

Mit einer VNIC kann eine Instanz eine Verbindung zu einem VCN herstellen. Sie legt fest, wie die Instanz mit Endpunkten innerhalb und außerhalb des VCN verbunden wird. Jede VNIC befindet sich in einem Subnetz in einem VCN und umfasst die folgenden Elemente:

  • Eine von Ihnen oder von Oracle gewählte primäre private IPv4-Adresse des Subnetzes, in dem sich die VNIC befindet. Die primäre IP-Adresse kann eine IPv6-Adresse sein, wenn dem Subnetz ein IPv6-Präfix zugewiesen ist.
  • Bis zu 64 von Ihnen oder von Oracle gewählte sekundäre private IPv4-Adressen des Subnetzes, in dem sich die VNIC befindet.
  • Bis zu 32 optionale sekundäre IPv6-Adressen. Die IPv6-Adressierung wird für alle kommerziellen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen und Service-Limits.
  • Eine optionale öffentliche IPv4-Adresse für jede private IP, die von Oracle gewählt, aber von Ihnen zugewiesen wird.
  • Ein optionaler DNS-Hostname für jede private IP-Adresse (siehe DNS in einem virtuellen Cloud-Netzwerk).
  • Eine MAC-Adresse.
  • Ein von Oracle zugewiesenes VLAN-Tag, das verfügbar ist, wenn der Anhang der VNIC zu der Instanz abgeschlossen ist (nur für Bare-Metal-Instanzen relevant).
  • Ein Flag zum Aktivieren oder Deaktivieren der Quell-/Zielprüfung im Netzwerktraffic der VNIC (siehe VNICs und physische NICs - Überblick).
  • Optionale Mitgliedschaft in einer oder mehreren Netzwerksicherheitsgruppen (NSGs), die Sie auswählen. NSGs verfügen über Sicherheitsregeln, die nur für die VNICs in dieser NSG gelten.
  • Optionale Verknüpfung der VNIC mit einer benutzerdefinierten Routentabelle. Dies wird als Routing pro Ressource bezeichnet und ermöglicht die Definition von Routingentscheidungen für die VNIC, mit denen die Routentabellen des Subnetzes außer Kraft gesetzt werden.

Jede VNIC verfügt außerdem über einen benutzerfreundlichen Namen, den Sie zuweisen können, sowie eine von Oracle zugewiesene OCID (siehe Ressourcen-IDs).

Jede Instanz verfügt über eine primäre VNIC, die beim Erstellen der Instanz automatisch erstellt und angehängt wird. Diese VNIC befindet sich in dem von Ihnen angegebenen Subnetz. Die primäre VNIC kann nicht aus der Instanz entfernt werden. Eine sekundäre VNIC kann von einer Instanz entfernt oder getrennt werden. Sie wird jedoch immer sofort gelöscht und kann nicht vorhanden sein, wenn sie nicht mehr an eine Instanz angehängt ist.

Beziehung zwischen VNICs und physischen NICs

Dieser Abschnitt ist für Bare-Metal-Instanzen relevant.

Das Betriebssystem auf einer Bare-Metal-Instanz erkennt zwei physische Netzwerkgeräte und konfiguriert sie als zwei physische NICs: 0 und 1. Ob sie beide aktiv sind, hängt von der zugrunde liegenden Hardware ab. Sie können entscheiden, welche NICs für eine Ausprägung aktiv sind, indem Sie die Netzwerkbandbreitenspezifikationen für Bare-Metal-Ausprägungen prüfen. Wenn die Netzwerkbandbreite als "2 x <Bandbreite> Gbit/s" aufgeführt ist, bedeutet das, dass NIC 0 und NIC 1 aktiv sind und jede physische NIC die angegebene Bandbreite aufweist. Wenn die Netzwerkbandbreite als "1 x <Bandbreite> Gbit/s" aufgeführt ist, bedeutet das, dass nur NIC 0 aktiv ist. Bei den Standard- und DenseIO-Ausprägungen der aktuellen Generation sind in der Regel sowohl NIC 0 als auch NIC 1 aktiv.

NIC 0 erhält automatisch die IP-Konfiguration der primären VNIC (IP-Adressen, DNS-Hostname usw.).

Wenn Sie eine sekundäre VNIC zu eine Instanz hinzufügen, müssen Sie angeben, welche physische NIC die sekundäre VNIC verwendet. Außerdem müssen Sie das Betriebssystem so konfigurieren, dass die physische NIC die IP-Konfiguration der sekundären VNIC aufweist. Informationen zu Linux-Instanzen finden Sie unter Linux: Betriebssystem für sekundäre VNICs konfigurieren. Informationen zu Windows-Instanzen finden Sie unter Windows: Betriebssystem für sekundäre VNICs konfigurieren.

Informationen zu sekundären VNICs

Sie können sekundäre VNICs zu einer Instanz hinzufügen, nachdem diese erstellt wurde. Jede sekundäre VNIC kann sich in einem Subnetz im selben VCN wie die primäre VNIC oder in einem anderen Subnetz entweder im selben VCN oder einem anderen Subnetz befinden. Alle VNICs müssen sich jedoch in derselben Availability-Domain wie die Instanz befinden.

Hier einige Gründe, sekundäre VNICs zu verwenden:

  • Verwenden Sie einen Hypervisor auf einer Bare-Metal-Instanz: Die virtuellen Maschinen auf der Bare-Metal-Instanz verfügen jeweils über ihre eigene sekundäre VNIC und stellen direkte Konnektivität zu anderen Instanzen und Services im VCN der VNIC bereit.
  • Verbinden Sie eine Instanz mit Subnetzen in mehreren VCNs: Sie können beispielsweise eine Firewall einrichten, um Traffic zwischen VCNs zu schützen, sodass die Instanz Verbindungen zu Subnetzen in verschiedenen VCNs herstellen muss.

Im Folgenden finden Sie weitere Details zu sekundären VNICs:

  • Je nach ausgewählter Ausprägungen können Sie eine begrenzte Anzahl von VNICs an eine Instanz anschließen. Die genauen Limits finden Sie unter Compute-Ausprägungen.
  • Sie können erst nach dem Erstellen der Instanz hinzugefügt werden.
  • Sie müssen immer an eine Instanz angehängt werden und können nicht verschoben werden. Im Rahmen der Erstellung einer sekundären VNIC wird diese automatisch an die Instanz angehängt. Beim Trennen einer sekundären VNIC wird diese automatisch gelöscht.
  • Sie werden automatisch getrennt und gelöscht, wenn Sie die Instanz beenden.
  • Die Bandbreite der Instanz bleibt unabhängig von der Anzahl angehängter VNICs unverändert. Sie können kein Bandbreitenlimit für eine bestimmte VNIC auf einer Instanz angeben.
  • Wenn Sie mehrere VNICs aus demselben Subnetz-CIDR-Block zu einer Instanz hinzufügen, kann dies asymmetrisches Routing verursachen, insbesondere bei Instanzen, die eine Variante von Linux verwenden. Wenn diese Art von Konfiguration erforderlich ist, wird empfohlen, einer VNIC mehrere private IP-Adressen zuzuweisen oder das Policy-basierte Routing zu verwenden, wie im Skript weiter unten in diesem Thema dargestellt.
  • Wenn Sie mehrere VNICs hinzufügen, wird der iSCSI -Traffic möglicherweise von der primären VNIC weggeleitet, wodurch die iSCSI-Volume-Anhänge unterbrochen werden. Um dieses Problem zu vermeiden, fügen Sie bestimmte Routen für die neuen VNICs hinzu, und verwenden Sie die primäre VNIC-Routeradresse als Gateway. iSCSI-Boot-Volumes verwenden die Adresse 169.254.0.2/32, und Block-Volumes verwenden das Netzwerk 169.254.2.0/24.

Quell-/Zielprüfung

Standardmäßig führt jede VNIC die Quell-/Zielprüfung für den Netzwerktraffic durch. Die VNIC prüft die Quelle und das Ziel im Header jedes Netzwerkpakets. Wenn die VNIC nicht die Quelle oder das Ziel ist, wird das Paket verworfen.

Wenn die VNIC Traffic weiterleiten muss (wenn beispielsweise NAT (Network Address Translation) durchgeführt werden muss), müssen Sie die Quell-/Zielprüfung für die VNIC deaktivieren. Anweisungen hierzu finden Sie unter VNIC aktualisieren. Informationen zum allgemeinen Szenario finden Sie unter Private IP als Routingziel verwenden.

VNIC-Informationen in den Instanzmetadaten

Der Instance Metadata Service (IMDS) enthält Informationen zu den VNICs unter den folgenden URLs:

  • IMDS-Version 2:

    http://169.254.169.254/opc/v2/vnics/
  • Legacy-IMDS-Version 1:

    http://169.254.169.254/opc/v1/vnics/

Nachfolgend finden Sie eine Beispielantwort, in der die an eine Instanz angehängten VNICs angezeigt werden:

[ {
    "vnicId" : "ocid1.vnic.oc1.phx.exampleuniqueID",
    "privateIp" : "10.0.3.6",
    "vlanTag" : 11,
    "macAddr" : "00:00:00:00:00:01",
    "virtualRouterIp" : "10.0.3.1",
    "subnetCidrBlock" : "10.0.3.0/24",
    "nicIndex" : 0
}, {
    "vnicId" : "ocid1.vnic.oc1.phx.exampleuniqueID",
    "privateIp" : "10.0.4.3",
    "vlanTag" : 12,
    "macAddr" : "00:00:00:00:00:02",
    "virtualRouterIp" : "10.0.4.1",
    "subnetCidrBlock" : "10.0.4.0/24",
    "nicIndex" : 0
} ]

Erforderliche IAM Policy

Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der Sicherheitszugriff in einer Policy von einem Mandantenadministrator erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen sie den Mandantenadministrator, welcher Zugriffstyp Ihnen zugewiesen wurde und In welchem Compartment Ihr Zugriff funktioniert.

VNICs befinden sich in einem Subnetz, werden jedoch an eine Instanz angehängt. Der Anhang der VNIC an die Instanz ist ein von der VNIC oder der Instanz selbst unabhängiges Objekt. Beachten Sie, dass VNIC und Subnetz immer in demselben Compartment vorhanden sind, der Anhang der VNIC an die Instanz sich jedoch immer im Compartment der Instanz befindet. Dieser Unterschied ist nicht wichtig, wenn Sie ein Access Control-Szenario haben, bei dem alle Cloud-Ressourcen in demselben Compartment enthalten sind (z.B. bei einem Proof of Concept). Beim Übergang zu einer Produktionsimplementierung können Sie entscheiden, dass Netzwerkadministratoren das Netzwerk und andere Mitarbeiter Instanzen verwalten sollen. Das bedeutet, dass Sie Instanzen in einem anderen Compartment als dem Subnetz ablegen können.

Für Administratoren: Weitere Informationen finden Sie unter IAM-Policys für Networking.

VNICs überwachen

Mit Metriken, Alarmen und Benachrichtigungen können Sie den Zustand, die Kapazität und die Performance von Oracle Cloud Infrastructure-Ressourcen überwachen. Weitere Informationen finden Sie unter Monitoring und Notifications.

Informationen zum Monitoring des Traffics in die und aus den VNICs finden Sie unter VNIC-Metriken.

Linux: Betriebssystem für sekundäre VNICs konfigurieren

Oracle Linux

Es wird empfohlen, dass Instanzen, die Oracle Linux verwenden, das Utility oci-network-config verwenden, um die für sekundäre VNICs erforderliche BS-Konfiguration auszuführen.

Red Hat Enterprise Linux

Instanzen, die Red Hat Enterprise Linux (RHEL) 9.6 oder höher und RHEL 10.0 oder höher verwenden, können NetworkManager verwenden, um die BS-Konfiguration auszuführen, die für sekundäre VNICs erforderlich ist. Diese Funktion wird auf Intel-(x86_64-) und ARM-(aarch64-)Architekturen für Virtual-Machine- und Bare-Metal-Instanzen unterstützt. Für NetworkManager müssen die folgenden Anweisungen aus der Eingabeaufforderung (oder als Skript) in der angezeigten Sequenz und als sudo-Benutzer ausgeführt werden:

dnf -y install NetworkManager-config-server
dnf -y install NetworkManager-cloud-setup
mkdir /etc/systemd/system/nm-cloud-setup.service.d
touch /etc/systemd/system/nm-cloud-setup.service.d/oci.conf
echo -e "[Service]\nEnvironment=NM_CLOUD_SETUP_OCI=yes\nEnvironment=NM_CLOUD_SETUP_LOG=TRACE" >> /etc/systemd/system/nm-cloud-setup.service.d/oci.conf
systemctl daemon-reload
systemctl enable --now nm-cloud-setup

Um zu prüfen, ob die sekundäre VNIC wie erwartet ausgeführt wird, führen Sie den Befehl nmcli device show aus. Der folgende Auszug aus der Bildschirmausgabe zeigt eine erfolgreiche Konfiguration einer sekundären VNIC:

GENERAL.DEVICE:             SecondaryVnicId
GENERAL.TYPE:               vlan
GENERAL.HWADDR:             00:00:5E:00:53:01
GENERAL.MTU:                9000
GENERAL.STATE:              100 (connected)
GENERAL.CONNECTION:         vlan1
GENERAL.CON-PATH:           /org/freedesktop/NetworkManager/ActiveConnection/4
IP4.ADDRESS[1]:             10.0.0.178/23
IP4.GATEWAY:                --
IP4.ROUTE[1]:               dst = 10.0.0.0/23, nh = 0.0.0.0, mt = 10, table=30201
IP4.ROUTE[2]:               dst = 10.0.0.0/23, nh = 0.0.0.0, mt = 400
IP4.ROUTE[3]:               dst = 0.0.0.0/0, nh = 10.0.0.1, mt = 10, table=30401
IP6.ADDRESS[1]:             fe80::d7fb:c283:e45:abf5/64
IP6.GATEWAY:                --
IP6.ROUTE[1]:               dst = fe80::/64, nh = ::, mt = 1024

In der Ausgabe entspricht jeder Block einer VNIC, wobei die primäre VNIC zuerst aufgeführt wird. Folgende Komponenten müssen im Fokus stehen:

  1. GENERAL.HWADDR: Dies entspricht der MAC-Adresse der VNIC, die in der OCI-Konsole angezeigt wird.
  2. GENERAL.STATE: Gibt den Status der Verbindung an. 100 (connected) gibt eine erfolgreiche Verbindung an.

Windows: Betriebssystem für sekundäre VNICs konfigurieren

Sekundäre VNICs werden auf VM- und Bare-Metal-Instanzen unterstützt (außer bei Instanzen, die Standard1- und StandardB1-Ausprägungen der vorherigen Generation verwenden). Auf Bare-Metal-Instanzen werden sekundäre VNICs nur auf der zweiten physischen NIC unterstützt.

Tipp

Die erste physische NIC lautet NIC 0, und die zweite lautet NIC 1.

Sie müssen die sekundäre VNIC innerhalb des Betriebssystems konfigurieren. Oracle schlägt vor, ein PowerShell-Skript zu schreiben, um die Konfiguration auszuführen. Bei der Ausführung des Skripts können Sie optional die OCID der sekundären VNIC angeben (die Sie aus den VNIC-Metadaten der Instanz abrufen können).

Andernfalls sollte das Skript eine Liste der sekundären VNICs auf der Instanz anzeigen und Sie bitten, die zu konfigurierende VNIC auszuwählen. Folgendes muss das Skript ausführen:

  1. Prüfen Sie, ob die Netzwerkschnittstelle eine IP-Adresse und eine Standardroute hat.
  2. Aktivieren Sie das Betriebssystem, um die sekundäre VNIC zu erkennen. Das Skript muss die IP-Adresse und die Standardroute mit statischen Einstellungen überschreiben (was DHCP effektiv deaktiviert). Das Skript sollte Sie auffordern zu wählen, ob Sie die Einstellungen mit den statischen Einstellungen überschreiben oder den Vorgang beenden möchten.

Der Gesamtprozess für die Konfiguration variiert je nach Instanztyp (VM oder Bare Metal) und abhängig davon, wie viele sekundäre VNICs Sie der Instanz hinzufügen.

Windows-VM-Instanzen

Der Gesamtprozess sieht folgendermaßen aus:

  1. Fügen Sie eine oder mehrere sekundäre VNICs zu der Instanz hinzu. Notieren Sie sich die OCIDs jeder VNIC, damit Sie sie später bei der Ausführung des Konfigurationsskripts angeben können. Sie können die OCID auch aus den VNIC-Metadaten der Instanz abrufen.
  2. Stellen Sie über Remotedesktop eineVerbindung zur Instanz her.
  3. Führen Sie das Skript als Administrator aus. Wiederholen Sie den Vorgang bei Bedarf für eine der zusätzlichen sekundären VNICs.
Bare-Metal-Instanzen unter Windows: erste sekundäre VNIC hinzufügen

Wenn Sie nur eine einzige sekundäre VNIC zur Bare-Metal-Instanz hinzufügen, sieht der allgemeine Prozess wie folgt aus:

  1. Fügen Sie die sekundäre VNIC zur Instanz hinzu. Halten Sie die OCIC bereit, damit Sie sie später bei der Ausführung eines Konfigurationsskripts angeben können. Sie können die OCID auch aus den VNIC-Metadaten der Instanz abrufen.
  2. Stellen Sie über Remotedesktop eineVerbindung zur Instanz her.
  3. Aktivieren Sie die zweite physische NIC in der Instanz:
    1. Öffnen Sie den Geräte-Manager, und wählen Sie Netzwerkadapter aus.
    2. Wählen Sie den Adapter aus, der der zweiten physischen NIC der Instanz entspricht, und wählen Sie Aktivieren aus.
  4. Führen Sie das Skript PowerShell als Administrator aus.
Windows-Bare-Metal-Instanzen: Weitere sekundäre VNICs hinzufügen

Wenn Sie eine sekundäre VNIC auf der zweiten physischen NIC einer Bare-Metal-Instanz haben und eine oder mehrere zusätzliche VNICs verwenden möchten, führen Sie den folgenden allgemeinen Prozess aus. Er umfasst eine Aufgabe zur Einrichtung von NIC-Teaming, das erforderlich ist, wenn die Instanz auf der zweiten physischen NIC über mehr als eine VNIC verfügt.

Hinweis

Wenn Sie die Anzahl der sekundären VNICs auf der zweiten physischen NIC von eins auf zwei oder mehr erhöhen, müssen Sie das NIC-Teaming für die zweite physische NIC aktivieren (siehe Anweisungen unten). Im NIC-Team erstellen Sie eine separate Schnittstelle für jede sekundäre VNIC auf dieser physischen NIC, einschließlich der ersten. Das bedeutet, dass die ursprüngliche Schnittstelle für diese erste sekundäre VNIC nicht mehr funktioniert. Alle späteren Konfigurationen, die Sie für diese VNIC vornehmen möchten, müssen stattdessen auf der neuen Schnittstelle der VNIC erfolgen, die zum "Team" gehört.
  1. Hinzufügen einer oder mehrerer sekundärer VNICs zu der Instanz. Halten Sie die OCID und das VLAN-Tag jeder VNIC bereit, damit Sie sie später bei der Ausführung des Konfigurationsskripts angeben können. Sie können die Werte auch aus den VNIC-Metadaten der Instanz abrufen.
  2. Stellen Sie über Remotedesktop eineVerbindung zur Instanz her.
  3. Richten Sie ein NIC-Teaming auf der Instanz ein:
    1. Öffnen Sie den Servermanager, und wählen Sie Lokaler Server.
    2. Suchen Sie in der Liste der Eigenschaften nach NIC-Teaming, und wählen Sie Deaktiviert aus, um das NIC-Teaming zu aktivieren und einzurichten.
    3. Wählen Sie im Abschnitt Teams unten links auf dem Bildschirm die Option Aufgaben und dann Neues Team aus.
    4. Geben Sie einen Namen für das Team ein, wählen Sie die zweite physische NIC auf der Instanz, und wählen Sie OK.

      Das neue Team wird erstellt und in der Liste der Teams im Abschnitt Teams angezeigt.

    5. Wählen Sie das neue Team aus, damit es ausgewählt wird. Wählen Sie anschließend im rechten Bereich der Seite im Abschnitt Adapter und Schnittstellen die Registerkarte Teamschnittstellen aus.
    6. Wählen Sie Aufgaben und dann Schnittstelle hinzufügen aus (Sie erstellen eine separate Schnittstelle für jede sekundäre VNIC auf der zweiten physischen NIC).
    7. Aktivieren Sie das Kontrollkästchen für das spezifische VLAN, und geben Sie dann die von Oracle zugewiesene VLAN-Tagnummer für das VLAN ein (Beispiel: 1). Sie können das VLAN-Tag aus der Konsole oder den VNIC-Metadaten der Instanz abrufen.
    8. Wählen Sie OK.
    9. Wiederholen Sie die vier vorherigen Schritte (e bis h) für jede der weiteren sekundären VNICs. Für jede sekundäre VNIC erstellen Sie eine separate Schnittstelle.

  4. Führen Sie das Skript als Administrator aus. Wiederholen Sie den Vorgang bei Bedarf für eine der zusätzlichen sekundären VNICs.

VNICs verwalten