VCN-Routentabellen

In diesem Thema wird beschrieben, wie die Routentabellen in einem virtuellen Cloud-Netzwerk (VCN) verwaltet werden. Weitere Informationen zu Routentabellen in einem dynamischen Routinggateway (DRG) finden Sie unter dynamische Routinggateways.

Routing im VCN - Überblick

Ihr VCN verwendet Routentabellen, um Traffic aus dem VCN zu senden (beispielsweise in das Internet, an Ihr On-Premise-Netzwerk oder an ein Peer-VCN). Diese Routentabellen enthalten Regeln, die wie herkömmliche Netzwerkroutingregeln aussehen und agieren, mit denen Sie möglicherweise bereits vertraut sind. Jede Regel gibt einen Ziel-CIDR-Block und das Ziel (den nächsten Hop) für allen Traffic an, der mit diesem CIDR übereinstimmt.

Hier finden Sie grundlegende Informationen zum Routing im VCN:

Das primäre Routingszenario dient dazu, den Traffic eines Subnetzes an Ziele außerhalb des Subnetzes zu senden. Mit einem Subnetz ist eine einzige Routentabelle Ihrer Wahl verknüpft. Alle VNICs in diesem Subnetz unterliegen den Regeln in der Routentabelle. Die Regeln bestimmen, wie der Traffic, der das Subnetz verlässt, weitergeleitet wird.
Das lokale Routing des VCN verarbeitet automatisch Traffic zwischen und innerhalb der Subnetze des VCN. Für das lokale Routing müssen keine expliziten Routingregeln definiert werden, um Traffic zu ermöglichen. Lokale Routingregeln sind implizit und werden nicht in der Routing-Tabelle angezeigt. Das Routing zwischen den Subnetzen eines VCN kann durch Hinzufügen statischer Routen geändert werden (siehe Intra-VCN-Routing).
Mit Intra-VCN-Routing können Sie eine private Next-Hop-IP, ein LPG oder ein DRG innerhalb eines VCN für Traffic angeben, der zu einem anderen Subnetz im VCN bestimmt ist. Das Intra-VCN-Routing ermöglicht komplexere Anwendungsfälle für Sicherheit und Netzwerkvirtualisierung. OCI unterstützt zusätzlich zum Traffic zwischen Subnetzen auch das Intra-VCN-Routing für Traffic, der über ein Gateway in ein VCN eingeht.
Wenn eine Routentabelle sich überschneidende Regeln enthält, verwendet Oracle die spezifischste Regel in der Tabelle, um den Traffic weiterzuleiten (d.h. die Regel mit der längsten Präfixübereinstimmung). Zwei CIDRs überschneiden sich, wenn ein CIDR innerhalb des anderen enthalten ist. VCN-Routentabellen enthalten Einträge für die lokalen VCN-Routen. Wenn Sie eine statische Route für den VCN-CIDR-Block erstellen (mit derselben Präfixlänge wie die lokale VCN-Route), hat die statische Route Vorrang.
Wenn keine Routingregel dem Netzwerktraffic entspricht, der an Ziele außerhalb des VCN gesendet werden soll, wird der Traffic unterbrochen (verworfen).
Die IPv6-Adressierung wird für alle kommerziellen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen.

Wichtige Details zum Routing zwischen Ihrem VCN und dem On-Premise-Netzwerk finden Sie unter Routingdetails für Verbindungen zu Ihrem On-Premise-Netzwerk.

Mit Routentabellen und Routingregeln arbeiten

Jedes VCN ist automatisch mit einer standardmäßigen Routentabelle mit impliziten Regeln ausgestattet, die die Routen für VCN-CIDRs enthalten. Wenn Sie nichts anderes angeben, verwendet jedes Subnetz die Standardroutentabelle des VCN. Wenn Sie Routingregeln zu Ihrem VCN hinzufügen, können Sie sie einfach der Standardtabelle hinzufügen. Bei Bedarf können Sie jedoch benutzerdefinierte Routentabellen für jedes Subnetz erstellen. Beispiel: Wenn Sie ein öffentliches Subnetz und ein privates Subnetz in Ihrem VCN nutzen (ein Beispiel dafür finden Sie in Szenario C: Öffentliche und private Subnetze mit einem VPN), müssen Sie verschiedene Routentabellen für die Subnetze verwenden, da die Routingregeln für die Subnetze unterschiedlich sein müssen.

Jedes Subnetz in einem VCN verwendet eine einzige Routentabelle. Beim Erstellen des Subnetzes geben Sie an, welche Tabelle verwendet werden soll. Sie können jederzeit ändern, welche Routentabelle das Subnetz verwenden soll. Sie können auch die Regeln einer Routentabelle bearbeiten oder alle Regeln aus der Tabelle entfernen.

Bei der Erstellung einer benutzerdefinierten Routentabelle können Sie ihr optional einen aussagekräftigen Namen zuweisen. Er muss nicht eindeutig sein und kann später geändert werden. Oracle weist der Routentabelle automatisch eine eindeutige ID zu, die als Oracle Cloud-ID (OCID) bezeichnet wird. Weitere Informationen finden Sie unter Ressourcen-IDs.

Eine Routingregel gibt einen Ziel-CIDR-Block und das Ziel (den nächsten Hop) für allen Traffic an, der mit diesem CIDR übereinstimmt. Im Folgenden werden die zulässigen Zieltypen für eine Routingregel aufgeführt:

Dynamisches Routinggateway (DRG): Für Subnetze, die privaten Zugriff auf Netzwerke benötigen, die mit Ihrem VCN verbunden sind (Beispiel: Ihr On-Premise-Netzwerk, das mit einem Site-to-Site-VPN oder FastConnect verbunden ist, ein Peer-VCN in derselben Region oder ein Peer-VCN in einer anderen Region).
Internetgateway: Für öffentliche Subnetze, die direkten Zugriff auf das Internet benötigen.
NAT-Gateway: Für Subnetze mit Instanzen, die keine öffentlichen IP-Adressen haben, aber Daten an das Internet senden müssen.
Servicegateway: Für Subnetze, die privaten Zugriff auf Oracle-Services wie Object Storage benötigen.
Lokales Peering-Gateway (LPG): Für Subnetze, die privaten Zugriff auf ein Peer-VCN in derselben Region benötigen.
Private IP: Für Subnetze, die Traffic an eine Instanz im VCN weiterleiten müssen. Weitere Informationen finden Sie unter Private IP als Routingziel verwenden. Siehe auch Routing im VCN - Überblick.

Hinweis

Sie können eine bestimmte Ressource nicht löschen, wenn diese als Ziel in einer Routingregel verwendet wird. Beispiel: Sie können kein Internetgateway löschen, an das Traffic weitergeleitet wird. Löschen Sie alle Regeln (in allen Routentabellen) mit diesem Internetgateway als Ziel, bevor Sie versuchen, das Gateway oder eine andere Ressource zu löschen.

Wenn Sie eine Routingregel zu einer Routentabelle hinzufügen, geben Sie den Ziel-CIDR-Block und das Ziel (sowie das Compartment , in dem das Ziel gespeichert ist) an. Ausnahme: Wenn das Ziel ein Servicegateway ist, geben Sie anstelle eines Ziel-CIDR-Blocks eine von Oracle bereitgestellte Zeichenfolge an, die die öffentlichen Endpunkte für den betreffenden Service darstellt. Auf diese Weise müssen Sie nicht alle CIDR-Blöcke des Service kennen, die sich im Laufe der Zeit ändern können.

Wenn Sie eine Regel falsch konfigurieren (z.B. den falschen Ziel-CIDR-Block eingeben), kann der zu routende Netzwerktraffic unterbrochen (verworfen) oder an ein unbeabsichtigtes Ziel gesendet werden.

Sie können eine Routentabellen von einem Compartment in ein anderes verschieben. Das Verschieben einer Routentabelle wirkt sich nicht auf ihre Verbindung zu VCNs oder Subnetzen aus. Wenn Sie eine Routentabelle in ein neues Compartment verschieben, werden inhärente Policys sofort wirksam, wodurch der Zugriff auf die Routentabelle beeinflusst wird. Weitere Informationen finden Sie unter Zugriffskontrolle.

Sie können die Standardroutentabelle eines VCN nicht löschen. Um eine benutzerdefinierte Routentabelle zu löschen, darf diese nicht mit einem Subnetz oder einem Gateway verknüpft sein, wie DRG, LPG, IGW, NGW oder SGW.

Unter Servicelimits finden Sie eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie Sie eine Erhöhung anfordern.

Intra-VCN-Routing

Mit dem Intra-VCN-Routing können Sie die standardmäßigen Routingentscheidungen außer Kraft setzen, die auf Traffic angewendet werden, der für IP-Adressen im VCN-CIDR-Block bestimmt ist. Intra-VCN-Routing bietet die folgenden Funktionen:

Lokale Routen: Jedes VCN leitet Traffic automatisch innerhalb des VCN und zwischen den VCN-Subnetzen weiter, es sei denn, Sie fügen Routingregeln hinzu, die etwas anderes angeben. Der lokale Traffic verwendet die Routentabelle, die mit dem Subnetz verknüpft ist, einschließlich lokalem Routing im VCN-CIDR.
Benutzerdefinierte Intra-VCN-Routen: Dies sind Routingregeln, die Sie in der VCN- oder Subnetzroutentabelle für Intra-VCN-Traffic erstellen. Dadurch können normale lokale Routen außer Kraft gesetzt werden. Alle benutzerdefinierten Intra-VCN-Routen haben ein Ziel (DRG, LPG oder private IP im VCN) und den Routentyp Statisch.
Beste Routenauswahl: Die längste Präfixzuordnung (oder die spezifischste Route) wird ausgewählt. Wenn mehrere Routen für dasselbe Präfix vorhanden sind, wird die beste Route basierend auf der folgenden Routentyppriorität ausgewählt:
1. Statische Routen (benutzerdefiniert)
2. In der Routentabelle sind keine impliziten lokalen Routen (werden automatisch von OCI erstellt) sichtbar
IPv6: OCI unterstützt das Intra-VCN-Routing für IPv6-VCN-Präfixe.

Hinweis

Intra-Subnetzrouting wird nicht unterstützt. Traffic mit einer IP-Zieladresse in demselben Subnetz wie die Ursprungs-VNIC wird direkt an das entsprechende Ziel weitergeleitet (ohne Routing).

Gateway-Ingress-Routing

Der Traffic, der ein Subnetz verlässt, wird anhand der Routentabelle des Subnetzes weitergeleitet. Traffic, der in ein Subnetz eintritt, wird über eine Gatewayroutentabelle (eine mit diesem Gateway verknüpfte Routentabelle) weitergeleitet. Routingregeln für das Gateway-Ingress-Routing werden in Routentabellen unterstützt, die mit den folgenden Ressourcen verknüpft sind:

Lokales Peering-Gateway (LPG)
Dynamische Routinggateways
Internetgateways
NAT-Gateways
Servicegateways

Hinweis

Wenn Sie eine Routentabelle mit einem dieser Gateways verknüpfen, muss das Gateway danach immer über eine verknüpfte Routentabelle verfügen. Die Regeln der verknüpften Routentabelle können geändert oder entfernt werden. Bei einem Internetgateway muss sich das Ziel in einem öffentlichen Subnetz befinden.

Verwendung des Intra-VCN-Routings

Im folgenden Beispiel wird der gesamte Traffic zwischen dem Internet und VNICs in einem VCN über eine Sicherheits-Appliance in Subnet-A weitergeleitet. Außerdem durchläuft der Traffic zwischen Subnetzen dieselbe Firewall. Dieses Beispiel implementieren Sie wie folgt:

Erstellen Sie statische Routingregeln in der IGW-Routentabelle, die einen nächsten Hop von 10.0.1.4 (eine Firewall) für eingehenden Traffic angeben.
Erstellen Sie Routentabellen für die Subnetze A, B und C. Der Traffic vom Internet zu den Subnetzen B und C muss durch die Firewall-Appliance bei 10.0.1.4 in Subnetz A geleitet werden. Der Traffic zwischen den Subnetzen B und C muss durch dieselbe Firewall geleitet werden.

Die folgende Abbildung zeigt ein Beispiel für internes Routing:

Callout 1: IGW-Routentabelle
Destination	Ziel	Routentyp
10.0.0.0/16	10.0.1.4	Statisch

Callout 2: Routentabelle von Subnetz A
Destination	Ziel	Routentyp
0.0.0.0/0	IGW	Statisch

Callout 3: Routentabelle von Subnetz B
Destination	Ziel	Routentyp
10.0.0.0/16	10.0.1.4	Statisch
0.0.0.0/0	10.0.1.4	Statisch

Callout 4: Routentabelle von Subnetz C
Destination	Ziel	Routentyp
10.0.0.0/16	10.0.1.4	Statisch
0.0.0.0/0	10.0.1.4	Statisch

Erforderliche IAM Policy

Um Oracle Cloud Infrastructure zu verwenden, muss Ihnen ein Administrator in einer Policy Sicherheitszugriff erteilen. Dieser Zugriff ist erforderlich, unabhängig davon, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Nachricht erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Administrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment Sie arbeiten sollen.

Für Administratoren: Weitere Informationen finden Sie unter IAM-Policys für Networking.

Limits für VCN-Routentabellen

Dieser Abschnitt bezieht sich auf Limits für VCN-Routentabellen. Im Abschnitt Limits für DRG-Routentabellen werden die Limits für DRG-Routentabellen angegeben.


Ressource	Geltungsbereich	Oracle Universal Credits	Pay-as-you-go oder Testversion
VCN-Routentabellen	VCN	300	300
Routingregeln	VCN-Routentabelle	200	200

Private IP als Routingziel verwenden

Wenn Sie nicht mit der Definition einer privaten IP vertraut sind, lesen Sie Private IP-Adressen. Kurzgefasst: Eine private IP ist ein Objekt, das eine private IP-Adresse und zugehörige Eigenschaften enthält und eine eigene OCID besitzt.

Allgemeine Anwendungsfälle

OCI verwendet die Routentabelle eines Subnetzes, um Traffic an eine Ziel-IP-Adresse außerhalb des Subnetzes weiterzuleiten. Wenn sich das Ziel außerhalb des VCN befindet, richten Sie in der Regel eine Routingregel ein, um den Traffic an ein Gateway im VCN weiterzuleiten (z.B. ein DRG, das mit Ihrem On-Premise-Netzwerk oder einem anderen VCN verbunden ist, oder ein Internetgateway, das mit dem Internet verbunden ist). Wenn sich das Ziel in einem anderen Subnetz desselben VCN befindet, wird der Traffic standardmäßig mit der lokalen Route für das VCN-CIDR weitergeleitet. Möglicherweise möchten Sie diesen Traffic jedoch zuerst über eine Instanz im VCN weiterleiten. In diesem Fall können Sie eine private IP im VCN anstelle eines Gateways im VCN als Ziel verwenden. Dies kann beispielsweise folgende Gründe haben:

Zur Implementierung einer virtuellen Netzwerk-Appliance (NVA) wie einer Firewall oder zur Angriffserkennung, um ausgehenden Traffic aus Instanzen zu filtern.
Zur Verwaltung eines Overlay-Netzwerks im VCN, mit dem Sie Containerorchestrierungs-Workloads ausführen können.
Zur Implementierung von NAT (Network Address Translation) im VCN. Beachten Sie, dass Oracle stattdessen die Verwendung eines NAT-Gateways für Ihr VCN empfiehlt. Im Allgemeinen ermöglicht NAT ausgehende Datenverbindungen ins Internet für Instanzen, die keine direkte Internetkonnektivität besitzen.

Um diese Anwendungsfälle zu implementieren, reicht es nicht aus, lediglich den Traffic an die Instanz weiterzuleiten. Es sind noch weitere Konfigurationsmaßnahmen in der Instanz selbst erforderlich.

Tipp

Sie können für das private IP-Routingziel High Availability aktivieren, indem Sie eine sekundäre private IP-Adresse verwenden. Bei einem Fehler können Sie die sekundäre private IP von einer vorhandenen VNIC in eine andere VNIC im selben Subnetz verschieben. Siehe Moving a Secondary Private IP Address to a Different VNIC (Console instructions) und UpdatePrivateIp (API-Anweisungen).

Anforderungen zur Verwendung einer privaten IP als Ziel

Die private IP muss sich in demselben VCN wie die Routentabelle befinden.
Die VNIC der privaten IP muss so konfiguriert werden, dass die Quell-/Zielprüfung übersprungen wird, damit die VNIC Traffic weiterleiten kann. Standardmäßig ist diese Prüfung auf den VNICs konfiguriert. Weitere Informationen finden Sie unter VNICs und physische NICs - Überblick.
Sie müssen die Instanz selbst so konfigurieren, dass Pakete weitergeleitet werden.
Die Routingregel muss die OCID der privaten IP und nicht die IP-Adresse selbst als Ziel angeben. Ausnahme: Wenn Sie die Konsole verwenden, können Sie stattdessen die private IP-Adresse selbst als Ziel angeben. Die Konsole bestimmt dann die entsprechende OCID und verwendet sie in der Regel.
Wichtig

Eine Routingregel mit einem privaten IP-Ziel kann in folgenden Fällen zum Verwerfen des Traffics führen:
- Die Instanz, der die private IP zugewiesen ist, wird gestoppt oder beendet
- Die VNIC, der die private IP zugewiesen ist, wird aktualisiert, um die Quell-/Zielprüfung zu aktivieren, oder wird gelöscht
- Die Zuweisung der privaten IP zur VNIC wird aufgehoben
Wenn ein privates IP-Ziel beendet wird, wird in der Konsole in der Routingregel ein Hinweis angezeigt, dass die Ziel-OCID nicht mehr vorhanden ist.

Bei Failover: Wenn die Zielinstanz beendet wird, bevor Sie die sekundäre private IP in eine Standbydatenbank verschieben können, müssen Sie die Routingregel so aktualisieren, dass die OCID des neuen privaten IP-Ziels in der Standbydatenbank verwendet wird. Die Regel verwendet die OCID des Ziels und nicht die private IP-Adresse selbst.

Allgemeiner Setupprozess

Bestimmen Sie, welche Instanz den Traffic erhält und weiterleitet.
Wählen Sie eine private IP für die Instanz (kann sich auf der primären VNIC der Instanz oder auf einer sekundären VNIC befinden). Wenn Sie Failover implementieren möchten, richten Sie eine sekundäre private IP auf einer der VNICs in der Instanz ein.
Deaktivieren Sie die Quell-/Zielprüfung für die VNIC der privaten IP. Siehe VNICs und physische NICs - Überblick.
Rufen Sie die OCID für die private IP ab. Wenn Sie die Konsole verwenden, können Sie entweder die OCID oder die private IP-Adresse selbst zusammen mit dem Namen des Compartments der privaten IP abrufen.
Zeigen Sie für das Subnetz, das Traffic an die private IP weiterleiten muss, die Routentabelle des Subnetzes an. Wenn die Tabelle bereits eine Regel mit demselben Ziel-CIDR, aber einem anderen Ziel enthält, löschen Sie diese Regel.
Fügen Sie eine Routingregel mit folgenden Angaben hinzu:
- Zieltyp: Siehe Liste der Zieltypen unter Routing im VCN - Überblick. Wenn der Zieltyp ein DRG ist, wird das an das VCN angehängte DRG automatisch als Ziel ausgewählt, und Sie müssen das Ziel nicht selbst angeben. Wenn das Ziel ein privates IP-Objekt ist, bevor Sie das Ziel angeben, müssen Sie zuerst die Quell-/Zielprüfung für die VNIC deaktivieren, die dieses private IP-Objekt verwendet. Weitere Informationen finden Sie unter Private IP als Routingziel verwenden.
- Ziel-CIDR-Block: Nur verfügbar, wenn das Ziel kein Servicegateway ist. Dieser Wert entspricht dem Ziel-CIDR-Block für den Traffic. Sie können einen bestimmten Ziel-CIDR-Block angeben. Verwenden Sie 0.0.0.0/0, wenn der gesamte Traffic, der das Subnetz verlässt, an das in dieser Regel angegebene Ziel weitergeleitet werden muss.
- Zielservice: Nur verfügbar, wenn das Ziel ein Servicegateway ist. Dieser Wert entspricht dem gewünschten Service-CIDR-Label.
- Compartment: Das Compartment, in dem sich das Ziel befindet.
- Ziel: Das Ziel. Wenn das Ziel ein privates IP-Objekt ist, geben Sie die zugehörige OCID ein. Sie können auch die private IP-Adresse selbst eingeben. In diesem Fall bestimmt die Konsole die entsprechende OCID und verwendet sie als Ziel für die Routingregel.
- Beschreibung: Eine optionale Beschreibung der Regel.

Wie bereits erwähnt, müssen Sie die Instanz selbst so konfigurieren, dass Pakete weitergeleitet werden.

Oracle Cloud Infrastructure - Dokumentation