Virtuelle Netzwerkkarten (VNICs)
In diesem Thema wird beschrieben, wie die virtuellen Netzwerkkarten (VNICs) in einem virtuellen Cloud-Netzwerk (VCN) verwaltet werden.
VNICs und physische NICs - Überblick
Die Server in Oracle Cloud Infrastructure-Data Centern weisen physische Netzwerkkarten (NICs) auf. Wenn Sie eine Instanz auf einem dieser Server erstellen, kommuniziert die Instanz über die virtuellen NICs (VNICs) des Networking-Service, die mit den physischen NICs verknüpft sind. Die nächsten Abschnitte enthalten Informationen zu VNICs und NICs und wie diese miteinander in Beziehung stehen.
VNICs
Mit einer VNIC kann eine Instanz eine Verbindung zu einem VCN herstellen. Sie legt fest, wie die Instanz mit Endpunkten innerhalb und außerhalb des VCN verbunden wird. Jede VNIC befindet sich in einem Subnetz in einem VCN und umfasst die folgenden Elemente:
- Eine von Ihnen oder von Oracle gewählte primäre private IPv4-Adresse des Subnetzes, in dem sich die VNIC befindet. Die primäre IP-Adresse kann eine IPv6-Adresse sein, wenn dem Subnetz ein IPv6-Präfix zugewiesen ist.
- Bis zu 64 von Ihnen oder von Oracle gewählte sekundäre private IPv4-Adressen des Subnetzes, in dem sich die VNIC befindet.
- Bis zu 32 optionale sekundäre IPv6-Adressen. Die IPv6-Adressierung wird für alle kommerziellen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen und Service-Limits.
- Eine optionale öffentliche IPv4-Adresse für jede private IP, die von Oracle gewählt, aber von Ihnen zugewiesen wird.
- Ein optionaler DNS-Hostname für jede private IP-Adresse (siehe DNS in einem virtuellen Cloud-Netzwerk).
- Eine MAC-Adresse.
- Ein von Oracle zugewiesenes VLAN-Tag, das verfügbar ist, wenn der Anhang der VNIC zu der Instanz abgeschlossen ist (nur für Bare-Metal-Instanzen relevant).
- Ein Flag zum Aktivieren oder Deaktivieren der Quell-/Zielprüfung im Netzwerktraffic der VNIC (siehe VNICs und physische NICs - Überblick).
- Optionale Mitgliedschaft in einer oder mehreren Netzwerksicherheitsgruppen (NSGs), die Sie auswählen. NSGs verfügen über Sicherheitsregeln, die nur für die VNICs in dieser NSG gelten.
- Optionale Verknüpfung der VNIC mit einer benutzerdefinierten Routentabelle. Dies wird als Routing pro Ressource bezeichnet und ermöglicht die Definition von Routingentscheidungen für die VNIC, mit denen die Routentabellen des Subnetzes außer Kraft gesetzt werden.
Jede VNIC verfügt außerdem über einen benutzerfreundlichen Namen, den Sie zuweisen können, sowie eine von Oracle zugewiesene OCID (siehe Ressourcen-IDs).
Jede Instanz verfügt über eine primäre VNIC, die beim Erstellen der Instanz automatisch erstellt und angehängt wird. Diese VNIC befindet sich in dem von Ihnen angegebenen Subnetz. Die primäre VNIC kann nicht aus der Instanz entfernt werden. Eine sekundäre VNIC kann von einer Instanz entfernt oder getrennt werden. Sie wird jedoch immer sofort gelöscht und kann nicht vorhanden sein, wenn sie nicht mehr an eine Instanz angehängt ist.
Beziehung zwischen VNICs und physischen NICs
Dieser Abschnitt ist für Bare-Metal-Instanzen relevant.
Das Betriebssystem auf einer Bare-Metal-Instanz erkennt zwei physische Netzwerkgeräte und konfiguriert sie als zwei physische NICs: 0 und 1. Ob sie beide aktiv sind, hängt von der zugrunde liegenden Hardware ab. Sie können entscheiden, welche NICs für eine Ausprägung aktiv sind, indem Sie die Netzwerkbandbreitenspezifikationen für Bare-Metal-Ausprägungen prüfen. Wenn die Netzwerkbandbreite als "2 x <Bandbreite> Gbit/s" aufgeführt ist, bedeutet das, dass NIC 0 und NIC 1 aktiv sind und jede physische NIC die angegebene Bandbreite aufweist. Wenn die Netzwerkbandbreite als "1 x <Bandbreite> Gbit/s" aufgeführt ist, bedeutet das, dass nur NIC 0 aktiv ist. Bei den Standard- und DenseIO-Ausprägungen der aktuellen Generation sind in der Regel sowohl NIC 0 als auch NIC 1 aktiv.
NIC 0 erhält automatisch die IP-Konfiguration der primären VNIC (IP-Adressen, DNS-Hostname usw.).
Wenn Sie eine sekundäre VNIC zu eine Instanz hinzufügen, müssen Sie angeben, welche physische NIC die sekundäre VNIC verwendet. Außerdem müssen Sie das Betriebssystem so konfigurieren, dass die physische NIC die IP-Konfiguration der sekundären VNIC aufweist. Informationen zu Linux-Instanzen finden Sie unter Linux: Betriebssystem für sekundäre VNICs konfigurieren. Informationen zu Windows-Instanzen finden Sie unter Windows: Betriebssystem für sekundäre VNICs konfigurieren.
Informationen zu sekundären VNICs
Sie können sekundäre VNICs zu einer Instanz hinzufügen, nachdem diese erstellt wurde. Jede sekundäre VNIC kann sich in einem Subnetz im selben VCN wie die primäre VNIC oder in einem anderen Subnetz entweder im selben VCN oder einem anderen Subnetz befinden. Alle VNICs müssen sich jedoch in derselben Availability-Domain wie die Instanz befinden.
Hier einige Gründe, sekundäre VNICs zu verwenden:
- Verwenden Sie einen Hypervisor auf einer Bare-Metal-Instanz: Die virtuellen Maschinen auf der Bare-Metal-Instanz verfügen jeweils über ihre eigene sekundäre VNIC und stellen direkte Konnektivität zu anderen Instanzen und Services im VCN der VNIC bereit.
- Verbinden Sie eine Instanz mit Subnetzen in mehreren VCNs: Sie können beispielsweise eine Firewall einrichten, um Traffic zwischen VCNs zu schützen, sodass die Instanz Verbindungen zu Subnetzen in verschiedenen VCNs herstellen muss.
Im Folgenden finden Sie weitere Details zu sekundären VNICs:
-
Sie werden für folgende Instanztypen unterstützt:
- Linux: Sowohl VM- als auch Bare-Metal-Instanzen. Siehe auch Linux: Betriebssystem für sekundäre VNICs konfigurieren.
- Windows: Sowohl VM- als auch Bare-Metal-Instanzen (außer Instanzen, die Standard1- und StandardB1-Ausprägungen) der vorherigen Generation verwenden. Auf Bare-Metal-Instanzen werden sekundäre VNICs nur auf der zweiten physischen NIC unterstützt. Beachten Sie, dass die erste physische NIC NIC 0 und die zweite NIC 1 lautet. Siehe auch Windows: Betriebssystem für sekundäre VNICs konfigurieren.
- Je nach ausgewählter Ausprägungen können Sie eine begrenzte Anzahl von VNICs an eine Instanz anschließen. Die genauen Limits finden Sie unter Compute-Ausprägungen.
- Sie können erst nach dem Erstellen der Instanz hinzugefügt werden.
- Sie müssen immer an eine Instanz angehängt werden und können nicht verschoben werden. Im Rahmen der Erstellung einer sekundären VNIC wird diese automatisch an die Instanz angehängt. Beim Trennen einer sekundären VNIC wird diese automatisch gelöscht.
- Sie werden automatisch getrennt und gelöscht, wenn Sie die Instanz beenden.
- Die Bandbreite der Instanz bleibt unabhängig von der Anzahl angehängter VNICs unverändert. Sie können kein Bandbreitenlimit für eine bestimmte VNIC auf einer Instanz angeben.
- Wenn Sie mehrere VNICs aus demselben Subnetz-CIDR-Block zu einer Instanz hinzufügen, kann dies asymmetrisches Routing verursachen, insbesondere bei Instanzen, die eine Variante von Linux verwenden. Wenn diese Art von Konfiguration erforderlich ist, wird empfohlen, einer VNIC mehrere private IP-Adressen zuzuweisen oder das Policy-basierte Routing zu verwenden, wie im Skript weiter unten in diesem Thema dargestellt.
- Wenn Sie mehrere VNICs hinzufügen, wird der iSCSI -Traffic möglicherweise von der primären VNIC weggeleitet, wodurch die iSCSI-Volume-Anhänge unterbrochen werden. Um dieses Problem zu vermeiden, fügen Sie bestimmte Routen für die neuen VNICs hinzu, und verwenden Sie die primäre VNIC-Routeradresse als Gateway. iSCSI-Boot-Volumes verwenden die Adresse 169.254.0.2/32, und Block-Volumes verwenden das Netzwerk 169.254.2.0/24.
Quell-/Zielprüfung
Standardmäßig führt jede VNIC die Quell-/Zielprüfung für den Netzwerktraffic durch. Die VNIC prüft die Quelle und das Ziel im Header jedes Netzwerkpakets. Wenn die VNIC nicht die Quelle oder das Ziel ist, wird das Paket verworfen.
Wenn die VNIC Traffic weiterleiten muss (wenn beispielsweise NAT (Network Address Translation) durchgeführt werden muss), müssen Sie die Quell-/Zielprüfung für die VNIC deaktivieren. Anweisungen hierzu finden Sie unter VNIC aktualisieren. Informationen zum allgemeinen Szenario finden Sie unter Private IP als Routingziel verwenden.
VNIC-Informationen in den Instanzmetadaten
Der Instance Metadata Service (IMDS) enthält Informationen zu den VNICs unter den folgenden URLs:
-
IMDS-Version 2:
http://169.254.169.254/opc/v2/vnics/
-
Legacy-IMDS-Version 1:
http://169.254.169.254/opc/v1/vnics/
Nachfolgend finden Sie eine Beispielantwort, in der die an eine Instanz angehängten VNICs angezeigt werden:
[ {
"vnicId" : "ocid1.vnic.oc1.phx.exampleuniqueID",
"privateIp" : "10.0.3.6",
"vlanTag" : 11,
"macAddr" : "00:00:00:00:00:01",
"virtualRouterIp" : "10.0.3.1",
"subnetCidrBlock" : "10.0.3.0/24",
"nicIndex" : 0
}, {
"vnicId" : "ocid1.vnic.oc1.phx.exampleuniqueID",
"privateIp" : "10.0.4.3",
"vlanTag" : 12,
"macAddr" : "00:00:00:00:00:02",
"virtualRouterIp" : "10.0.4.1",
"subnetCidrBlock" : "10.0.4.0/24",
"nicIndex" : 0
} ]
Erforderliche IAM Policy
Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der Sicherheitszugriff in einer Policy von einem Mandantenadministrator erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen sie den Mandantenadministrator, welcher Zugriffstyp Ihnen zugewiesen wurde und In welchem Compartment Ihr Zugriff funktioniert.
Für Administratoren: Weitere Informationen finden Sie unter IAM-Policys für Networking.
VNICs überwachen
Mit Metriken, Alarmen und Benachrichtigungen können Sie den Zustand, die Kapazität und die Performance von Oracle Cloud Infrastructure-Ressourcen überwachen. Weitere Informationen finden Sie unter Monitoring und Notifications.
Informationen zum Monitoring des Traffics in die und aus den VNICs finden Sie unter VNIC-Metriken.
Linux: Betriebssystem für sekundäre VNICs konfigurieren
Oracle Linux
Es wird empfohlen, dass Instanzen, die Oracle Linux verwenden, das Utility oci-network-config verwenden, um die für sekundäre VNICs erforderliche BS-Konfiguration auszuführen.
Red Hat Enterprise Linux
Instanzen, die Red Hat Enterprise Linux (RHEL) 9.6 oder höher und RHEL 10.0 oder höher verwenden, können NetworkManager verwenden, um die BS-Konfiguration auszuführen, die für sekundäre VNICs erforderlich ist. Diese Funktion wird auf Intel-(x86_64-) und ARM-(aarch64-)Architekturen für Virtual-Machine- und Bare-Metal-Instanzen unterstützt. Für NetworkManager müssen die folgenden Anweisungen aus der Eingabeaufforderung (oder als Skript) in der angezeigten Sequenz und als sudo-Benutzer ausgeführt werden:
dnf -y install NetworkManager-config-server
dnf -y install NetworkManager-cloud-setup
mkdir /etc/systemd/system/nm-cloud-setup.service.d
touch /etc/systemd/system/nm-cloud-setup.service.d/oci.conf
echo -e "[Service]\nEnvironment=NM_CLOUD_SETUP_OCI=yes\nEnvironment=NM_CLOUD_SETUP_LOG=TRACE" >> /etc/systemd/system/nm-cloud-setup.service.d/oci.conf
systemctl daemon-reload
systemctl enable --now nm-cloud-setup
Um zu prüfen, ob die sekundäre VNIC wie erwartet ausgeführt wird, führen Sie den Befehl nmcli device show
aus. Der folgende Auszug aus der Bildschirmausgabe zeigt eine erfolgreiche Konfiguration einer sekundären VNIC:
GENERAL.DEVICE: SecondaryVnicId
GENERAL.TYPE: vlan
GENERAL.HWADDR: 00:00:5E:00:53:01
GENERAL.MTU: 9000
GENERAL.STATE: 100 (connected)
GENERAL.CONNECTION: vlan1
GENERAL.CON-PATH: /org/freedesktop/NetworkManager/ActiveConnection/4
IP4.ADDRESS[1]: 10.0.0.178/23
IP4.GATEWAY: --
IP4.ROUTE[1]: dst = 10.0.0.0/23, nh = 0.0.0.0, mt = 10, table=30201
IP4.ROUTE[2]: dst = 10.0.0.0/23, nh = 0.0.0.0, mt = 400
IP4.ROUTE[3]: dst = 0.0.0.0/0, nh = 10.0.0.1, mt = 10, table=30401
IP6.ADDRESS[1]: fe80::d7fb:c283:e45:abf5/64
IP6.GATEWAY: --
IP6.ROUTE[1]: dst = fe80::/64, nh = ::, mt = 1024
In der Ausgabe entspricht jeder Block einer VNIC, wobei die primäre VNIC zuerst aufgeführt wird. Folgende Komponenten müssen im Fokus stehen:
- GENERAL.HWADDR: Dies entspricht der MAC-Adresse der VNIC, die in der OCI-Konsole angezeigt wird.
- GENERAL.STATE: Gibt den Status der Verbindung an. 100 (connected) gibt eine erfolgreiche Verbindung an.
Windows: Betriebssystem für sekundäre VNICs konfigurieren
Sekundäre VNICs werden auf VM- und Bare-Metal-Instanzen unterstützt (außer bei Instanzen, die Standard1- und StandardB1-Ausprägungen der vorherigen Generation verwenden). Auf Bare-Metal-Instanzen werden sekundäre VNICs nur auf der zweiten physischen NIC unterstützt.
Die erste physische NIC lautet NIC 0, und die zweite lautet NIC 1.
Sie müssen die sekundäre VNIC innerhalb des Betriebssystems konfigurieren. Oracle schlägt vor, ein PowerShell-Skript zu schreiben, um die Konfiguration auszuführen. Bei der Ausführung des Skripts können Sie optional die OCID der sekundären VNIC angeben (die Sie aus den VNIC-Metadaten der Instanz abrufen können).
Andernfalls sollte das Skript eine Liste der sekundären VNICs auf der Instanz anzeigen und Sie bitten, die zu konfigurierende VNIC auszuwählen. Folgendes muss das Skript ausführen:
- Prüfen Sie, ob die Netzwerkschnittstelle eine IP-Adresse und eine Standardroute hat.
- Aktivieren Sie das Betriebssystem, um die sekundäre VNIC zu erkennen. Das Skript muss die IP-Adresse und die Standardroute mit statischen Einstellungen überschreiben (was DHCP effektiv deaktiviert). Das Skript sollte Sie auffordern zu wählen, ob Sie die Einstellungen mit den statischen Einstellungen überschreiben oder den Vorgang beenden möchten.
Der Gesamtprozess für die Konfiguration variiert je nach Instanztyp (VM oder Bare Metal) und abhängig davon, wie viele sekundäre VNICs Sie der Instanz hinzufügen.
Der Gesamtprozess sieht folgendermaßen aus:
- Fügen Sie eine oder mehrere sekundäre VNICs zu der Instanz hinzu. Notieren Sie sich die OCIDs jeder VNIC, damit Sie sie später bei der Ausführung des Konfigurationsskripts angeben können. Sie können die OCID auch aus den VNIC-Metadaten der Instanz abrufen.
- Stellen Sie über Remotedesktop eineVerbindung zur Instanz her.
- Führen Sie das Skript als Administrator aus. Wiederholen Sie den Vorgang bei Bedarf für eine der zusätzlichen sekundären VNICs.
Wenn Sie nur eine einzige sekundäre VNIC zur Bare-Metal-Instanz hinzufügen, sieht der allgemeine Prozess wie folgt aus:
- Fügen Sie die sekundäre VNIC zur Instanz hinzu. Halten Sie die OCIC bereit, damit Sie sie später bei der Ausführung eines Konfigurationsskripts angeben können. Sie können die OCID auch aus den VNIC-Metadaten der Instanz abrufen.
- Stellen Sie über Remotedesktop eineVerbindung zur Instanz her.
- Aktivieren Sie die zweite physische NIC in der Instanz:
- Öffnen Sie den Geräte-Manager, und wählen Sie Netzwerkadapter aus.
- Wählen Sie den Adapter aus, der der zweiten physischen NIC der Instanz entspricht, und wählen Sie Aktivieren aus.
- Führen Sie das Skript PowerShell als Administrator aus.
Wenn Sie eine sekundäre VNIC auf der zweiten physischen NIC einer Bare-Metal-Instanz haben und eine oder mehrere zusätzliche VNICs verwenden möchten, führen Sie den folgenden allgemeinen Prozess aus. Er umfasst eine Aufgabe zur Einrichtung von NIC-Teaming, das erforderlich ist, wenn die Instanz auf der zweiten physischen NIC über mehr als eine VNIC verfügt.
Wenn Sie die Anzahl der sekundären VNICs auf der zweiten physischen NIC von eins auf zwei oder mehr erhöhen, müssen Sie das NIC-Teaming für die zweite physische NIC aktivieren (siehe Anweisungen unten). Im NIC-Team erstellen Sie eine separate Schnittstelle für jede sekundäre VNIC auf dieser physischen NIC, einschließlich der ersten. Das bedeutet, dass die ursprüngliche Schnittstelle für diese erste sekundäre VNIC nicht mehr funktioniert. Alle späteren Konfigurationen, die Sie für diese VNIC vornehmen möchten, müssen stattdessen auf der neuen Schnittstelle der VNIC erfolgen, die zum "Team" gehört.
- Hinzufügen einer oder mehrerer sekundärer VNICs zu der Instanz. Halten Sie die OCID und das VLAN-Tag jeder VNIC bereit, damit Sie sie später bei der Ausführung des Konfigurationsskripts angeben können. Sie können die Werte auch aus den VNIC-Metadaten der Instanz abrufen.
- Stellen Sie über Remotedesktop eineVerbindung zur Instanz her.
- Richten Sie ein NIC-Teaming auf der Instanz ein:
- Öffnen Sie den Servermanager, und wählen Sie Lokaler Server.
- Suchen Sie in der Liste der Eigenschaften nach NIC-Teaming, und wählen Sie Deaktiviert aus, um das NIC-Teaming zu aktivieren und einzurichten.
- Wählen Sie im Abschnitt Teams unten links auf dem Bildschirm die Option Aufgaben und dann Neues Team aus.
Geben Sie einen Namen für das Team ein, wählen Sie die zweite physische NIC auf der Instanz, und wählen Sie OK.
Das neue Team wird erstellt und in der Liste der Teams im Abschnitt Teams angezeigt.
- Wählen Sie das neue Team aus, damit es ausgewählt wird. Wählen Sie anschließend im rechten Bereich der Seite im Abschnitt Adapter und Schnittstellen die Registerkarte Teamschnittstellen aus.
- Wählen Sie Aufgaben und dann Schnittstelle hinzufügen aus (Sie erstellen eine separate Schnittstelle für jede sekundäre VNIC auf der zweiten physischen NIC).
- Aktivieren Sie das Kontrollkästchen für das spezifische VLAN, und geben Sie dann die von Oracle zugewiesene VLAN-Tagnummer für das VLAN ein (Beispiel: 1). Sie können das VLAN-Tag aus der Konsole oder den VNIC-Metadaten der Instanz abrufen.
- Wählen Sie OK.
Wiederholen Sie die vier vorherigen Schritte (e bis h) für jede der weiteren sekundären VNICs. Für jede sekundäre VNIC erstellen Sie eine separate Schnittstelle.
- Führen Sie das Skript als Administrator aus. Wiederholen Sie den Vorgang bei Bedarf für eine der zusätzlichen sekundären VNICs.
VNICs verwalten
Die folgenden Verwaltungsaktionen sind für VNICs verfügbar:
- VNICs einer Instanz auflisten
- Eigenschaften einer VNIC abrufen
- Sekundäre VNIC erstellen und anhängen
- VNIC aktualisieren
- VNIC zu einer Netzwerksicherheitsgruppe hinzufügen oder daraus entfernen
- Tags für eine VNIC verwalten
- Sicherheitsattribute für eine VNIC verwalten
- Sekundäre VNIC trennen und löschen
Informationen zur Verwendung der API und zu Signaturanforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.