Oracle Cloud Infrastructure - Dokumentation

Szenario A: Öffentliches Subnetz

In diesem Thema wird erläutert, wie Sie Szenario A einrichten, das aus einem virtuellen Cloud-Netzwerk (VCN) und einem regionalen öffentlichen Subnetz  besteht. Zu Redundanzzwecken befinden sich öffentliche Server in separaten Availability-Domains . Das VCN wird direkt über ein Internetgateway  mit dem Internet verbunden. Das Gateway wird auch für Verbindungen zu Ihrem On-Premise-Netzwerk verwendet. Jede Ressource im On-Premise-Netzwerk, die mit Ressourcen im VCN kommunizieren muss, benötigt eine öffentliche IP-Adresse und Zugriff auf das Internet.

Das Subnetz verwendet die Standardsicherheitsliste, die Standardregeln enthält, mit denen die ersten Schritte mit Oracle Cloud Infrastructure vereinfacht werden können. Die Regeln ermöglichen den typischerweise erforderlichen Zugriff (z.B. eingehende SSH-Verbindungen und beliebige ausgehende Verbindungen). Beachten Sie, dass Sicherheitslistenregeln Traffic nur zulassen. Jeder nicht ausdrücklich von einer Sicherheitslistenregel abgedeckte Traffic wird implizit abgelehnt.

In diesem Szenario wird kein DRG verwendet.

In diesem Szenario fügen Sie der Standardsicherheitsliste weitere Regeln hinzu. Sie können stattdessen auch eine benutzerdefinierte Sicherheitsliste für diese Regeln erstellen. In dem Fall richten Sie anschließend das Subnetz so ein, dass sowohl die Standardsicherheitsliste als auch die benutzerdefinierte Sicherheitsliste verwendet werden.

Tipp

Sicherheitslisten sind eine Möglichkeit, den Traffic in die und aus den Ressourcen des VCN zu steuern. Sie können auch Netzwerksicherheitsgruppen verwenden, mit denen Sie ein Set von Sicherheitsregeln auf ein Set von Ressourcen anwenden können, die alle denselben Sicherheitsstatus aufweisen.

Das Subnetz verwendet die Standardroutentabelle, die beim Erstellen des VCN anfangs noch keine Regeln aufweist. In diesem Szenario enthält die Tabelle nur eine einzelne Regel für das Internetgateway.

Die folgende Abbildung zeigt Ressourcen mit öffentlichen IP-Adressen in einem regionalen öffentlichen Subnetz mit redundanten Ressourcen in demselben Subnetz, jedoch in einer anderen AD. Die Routentabelle des öffentlichen Subnetzes ermöglicht es dem gesamten eingehenden Traffic, über das Internetgateway in das öffentliche Subnetz einzutreten und es zu verlassen, nutzt die Standardsicherheitsliste und verwendet das lokale Routing, das in das VCN integriert ist. Ihre On-Premise-Hosts müssen über öffentliche IP-Adressen verfügen, um über das Internet mit VCN-Ressourcen kommunizieren zu können.

In dieser Abbildung wird Szenario A dargestellt - ein VCN mit einem regionalen öffentlichen Subnetz und einem Internetgateway.
Callout 1: Routentabelle für regionales öffentliches Subnetz
Ziel-CIDR Routenziel
0.0.0.0/0 Internetgateway

Erforderliche IAM Policy

Um Oracle Cloud Infrastructure zu verwenden, muss Ihnen ein Administrator in einer Policy  Sicherheitszugriff erteilen. Dieser Zugriff ist erforderlich, unabhängig davon, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Nachricht erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Administrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment  Sie arbeiten sollen.

Wenn Sie Mitglied der Administratorengruppe sind, besitzen Sie bereits die erforderliche Zugriffsberechtigung zur Implementierung von Szenario A. Andernfalls müssen Sie auf Networking zugreifen und Instanzen starten können. Siehe IAM-Policys für Networking.

Szenario A in der Konsole einrichten

Die Einrichtung ist in der Konsole ganz einfach.

Aufgabe 1: VCN erstellen
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
  2. Wählen Sie unter Listengeltungsbereich ein Compartment aus, für das Sie eine Berechtigung zum Arbeiten haben. Die Seite wird aktualisiert, sodass nur die Ressourcen in diesem Compartment angezeigt werden. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, wenden Sie sich an einen Administrator. Weitere Informationen finden Sie unter Zugriffskontrolle.
    Hinweis

    Um eine neue Ressource zu erstellen, darf das Servicelimit für diese Ressource noch nicht erreicht worden sein. Nachdem das Servicelimit für einen Ressourcentyp erreicht wurde, können Sie entweder nicht verwendete Ressourcen dieses Typs entfernen oder eine Erhöhung des Servicelimits beantragen.
  3. Klicken Sie auf Virtuelles Cloud-Netzwerk erstellen.
  4. Geben Sie Folgendes ein:
    • Name: Ein aussagekräftiger Name für das VCN. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • In Compartment erstellen: Übernehmen Sie die Vorgabe.
    • IPv4-CIDR-Blöcke: Bis zu fünf, jedoch mindestens ein nicht überlappender IPv4-CIDR-Block für das VCN. Beispiel: 172.16.0.0/16. Sie können CIDR-Blöcke später hinzufügen oder entfernen. Siehe Zulässige VCN-Größe und Adressbereiche. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.
    • DNS-Hostnamen in diesem VCN verwenden: Diese Option ist erforderlich, um Hosts im VCN DNS-Hostnamen zuzuweisen. Außerdem ist sie erforderlich, wenn Sie die Standard-DNS-Funktion des VCN verwenden möchten (als Internet- und VCN-Resolver bezeichnet). Wenn Sie diese Option auswählen, können Sie ein DNS-Label für das VCN angeben, oder Sie können der Konsole erlauben, ein Label für Sie zu generieren. Im Dialogfeld wird automatisch der entsprechende DNS-Domainname für das VCN (<VCN_DNS_label>.oraclevcn.com) angezeigt. Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.
    • IPv6-Präfixe: Sie können anfordern, dass diesem VCN ein einzelnes von Oracle zugewiesenes IPv6-/56-Präfix zugewiesen wird. Alternativ können Sie dem VCN ein BYOIPv6-Präfix oder ein ULA-Präfix zuweisen. Diese Option ist für alle kommerziellen und Regierungsregionen verfügbar. Weitere Informationen zu IPv6 finden Sie unter IPv6-Adressen.
    • Tags: Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

  5. Klicken Sie auf Virtuelles Cloud-Netzwerk erstellen.

    Das VCN wird dann erstellt und auf der Seite Virtuelle Cloud-Netzwerke im von Ihnen gewählten Compartment angezeigt.

Aufgabe 2: Regionales öffentliches Subnetz erstellen
  1. Klicken Sie in der VCN-Anzeige auf Subnetz erstellen.

  2. Geben Sie Folgendes ein:

    • Name: Ein benutzerfreundlicher Name für das Subnetz (Beispiel: Regionales öffentliches Subnetz). Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • Regional oder Availability-Domain-spezifisch: Wählen Sie Regional aus (empfohlen). Dies bedeutet, dass das Subnetz alle Availability-Domains in der Region umfasst. Wenn Sie später eine Instanz starten, können Sie sie in jeder Availability-Domain in der Region erstellen. Weitere Informationen finden Sie unter VCNs und Subnetze - Überblick.
    • CIDR-Block: Ein einzelner, zusammenhängender CIDR-Block im VCN-CIDR-Block. Beispiel: 172.16.0.0/24. Sie können diesen Wert später nicht ändern. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.
    • IPv6-Adresszuweisung aktivieren: Diese Option ist nur verfügbar, wenn das VCN für IPv6 aktiviert ist. Die IPv6-Adressierung wird für alle kommerziellen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen.
    • Routentabelle: Wählen Sie die Standardroutentabelle.
    • Privates oder öffentliches Subnetz: Wählen Sie Öffentliches Subnetz. Das heißt, dass Instanzen im Subnetz optional öffentliche IP-Adressen haben können. Weitere Informationen finden Sie unter Zugriff auf das Internet.
    • DNS-Hostnamen in diesem Subnetz verwenden: Diese Option ist nur verfügbar, wenn zum Zeitpunkt der Erstellung ein DNS-Label für das VCN angegeben wurde. Die Option ist für die Zuweisung von DNS-Hostnamen zu Hosts im Subnetz erforderlich und auch, wenn Sie das DNS-Standardfeature des VCN verwenden möchten (als Internet- und VCN-Resolver bezeichnet). Wenn Sie das Kontrollkästchen aktivieren, können Sie ein DNS-Label für das Subnetz angeben oder die Konsole ein Label für Sie generieren lassen. Im Dialogfeld wird automatisch der entsprechende DNS-Domainname für das Subnetz als FQDN angezeigt. Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.
    • DHCP-Optionen: Wählen Sie das Standardset von DHCP-Optionen.
    • Sicherheitslisten: Stellen Sie sicher, dass die Standardsicherheitsliste ausgewählt ist.
    • Tags: Übernehmen Sie die Vorgabe. Sie können Tags später hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.

  3. Klicken Sie auf Subnetz erstellen.

    Das Subnetz wird dann erstellt und auf der Seite Subnetze angezeigt.

Aufgabe 3: Internetgateway erstellen
  1. Klicken Sie unter Ressourcen auf Internetgateways.
  2. Klicken Sie auf Internetgateway erstellen.

  3. Geben Sie Folgendes ein:

    • Name: Ein benutzerfreundlicher Name für das Internetgateway. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • In Compartment erstellen: Übernehmen Sie die Vorgabe.
    • Tags: Übernehmen Sie die Vorgabe. Sie können Tags später hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.

  4. Klicken Sie auf Internetgateway erstellen.

    Das Internetgateway wird erstellt und auf der Seite Internetgateways angezeigt. Das Gateway ist bereits aktiviert, Sie müssen jedoch eine Routingregel hinzufügen, die den Traffic an das Gateway ermöglicht.

Aufgabe 4: Standardroutentabelle zur Verwendung des Internetgateways aktualisieren

Die Standardroutentabelle enthält anfangs keine Regeln. In dieser Aufgabe fügen Sie eine Regel hinzu, mit der der gesamte Traffic, der für Adressen außerhalb des VCN bestimmt ist, an das Internetgateway weitergeleitet wird. Mit dieser Regel können Verbindungen auch über das Internetgateway vom Internet im Subnetz eingehen. Mit Sicherheitslistenregeln können Sie die zulässigen Traffictypen in die und aus den Instanzen steuern (siehe nächste Aufgabe).

Es ist keine Routingregel erforderlich, um den Traffic innerhalb des VCN selbst weiterzuleiten.

  1. Klicken Sie unter Ressourcen auf Routentabellen.
  2. Klicken Sie auf die Standardroutentabelle, um ihre Details anzuzeigen.
  3. Klicken Sie auf Routingregel hinzufügen.

  4. Geben Sie Folgendes ein:

    • Zieltyp: Internetgateway
    • Ziel-CIDR-Block: 0.0.0.0/0 (d.h. der gesamte Nicht-Intra-VCN-Traffic, der noch nicht von anderen Regeln in der Routentabelle abgedeckt wird, wird zu dem in dieser Regel angegebenen Ziel geleitet).
    • Compartment: Das Compartment, in dem das Internetgateway gespeichert ist.
    • Ziel: Das von Ihnen erstellte Internetgateway.
    • Beschreibung: Eine optionale Beschreibung der Regel.
  5. Klicken Sie auf Routingregel hinzufügen.

Die Standardroutentabelle enthält jetzt eine Regel für das Internetgateway. Da das Subnetz für die Verwendung der Standardroutentabelle eingerichtet wurde, können die Ressourcen im Subnetz jetzt das Internetgateway verwenden. Im nächsten Schritt geben Sie die Traffictypen an, die in die und aus den später erstellten Instanzen fließen dürfen.

Aufgabe 5: Standardsicherheitsliste aktualisieren

In einer vorherigen Aufgabe haben Sie bereits das Subnetz eingerichtet, um die Standardsicherheitsliste des VCN zu verwenden. Jetzt fügen Sie Sicherheitslistenregeln hinzu, mit denen die Verbindungstypen zugelassen werden, die die Instanzen im VCN benötigen.

Beispiel: Bei einem öffentlichen Subnetz mit einem Internetgateway müssen die (Webserver-)Instanzen, die Sie starten, möglicherweise eingehende HTTPS-Verbindungen vom Internet empfangen. So fügen Sie der Standardsicherheitsliste eine weitere Regel hinzu, um diesen Traffic zu aktivieren:

  1. Klicken Sie unter Ressourcen auf Sicherheitslisten.
  2. Klicken Sie auf die Standardsicherheitsliste, um die zugehörigen Details anzuzeigen. Standardmäßig wird die Seite Ingress-Regeln angezeigt.
  3. Klicken Sie auf Ingress-Regel hinzufügen.

  4. Um eingehende Verbindungen für HTTPS (TCP-Port 443) zu aktivieren, geben Sie Folgendes ein:

    • Zustandslos: Auswahl aufgehoben (dies ist eine Regel für zustandsbehafteten Traffic)
    • Quelltyp: CIDR
    • Quell-CIDR: 0.0.0.0/0
    • IP-Protokoll: TCP
    • Quellportbereich: Alle
    • Zielportbereich: 443
    • Beschreibung: Eine optionale Beschreibung der Regel.
  5. Klicken Sie auf Ingress-Regel hinzufügen.
Wichtig

Sicherheitslistenregel für Windows-Instanzen

Wenn Sie Windows-Instanzen starten möchten, müssen Sie eine Sicherheitslistenregel hinzufügen, um den Remote Desktop Protocol-(RDP-)Zugriff zu aktivieren. Insbesondere benötigen Sie eine Regel für zustandsbehafteten Ingress für TCP-Traffic auf Zielport 3389 von Quelle 0.0.0.0/0 und jedem Quellport. Weitere Informationen dazu finden Sie unter Sicherheitslisten.

Bei einem Produktions-VCN richten Sie in der Regel eine oder mehrere benutzerdefinierte Sicherheitslisten für jedes Subnetz ein. Gegebenenfalls können Sie das Subnetz bearbeiten, um verschiedene Sicherheitslisten zu verwenden. Wenn Sie sich dafür entscheiden, die Standardsicherheitsliste nicht zu verwenden, müssen Sie sich sorgfältig überlegen, welche ihrer Standardregeln in Ihrer benutzerdefinierten Sicherheitsliste dupliziert werden sollen. Beispiel: Die ICMP-Standardregeln in der Standardsicherheitsliste sind für den Empfang von Konnektivitätsmeldungen wichtig.

Aufgabe 6: Instanzen in separaten Availability-Domains erstellen

Im nächsten Schritt erstellen Sie eine oder mehrere Instanzen in dem Subnetz. Das Szenariodiagramm zeigt Instanzen in zwei verschiedenen Availability-Domains. Beim Erstellen der Instanz wählen Sie die vom VCN und Subnetz zu verwendende AD und verschiedene andere Merkmale aus.

Jede Instanz erhält automatisch eine private IP-Adresse. Wenn Sie eine Instanz in einem öffentlichen Subnetz erstellen, wählen Sie, ob die Instanz eine öffentliche IP-Adresse erhält. Im Rahmen des Netzwerksetups in Szenario A müssen Sie jeder Instanz eine öffentliche IP-Adresse zuweisen. Andernfalls können Sie nicht über das Internetgateway auf sie zugreifen. Gemäß Standardeinstellung (bei einem öffentlichen Subnetz) erhält die Instanz eine öffentliche IP-Adresse.

Nachdem Sie in diesem Szenario eine Instanz erstellt haben, können Sie eine Verbindung zu ihr über das Internet mit SSH oder RDP aus Ihrem On-Premise-Netzwerk oder einem anderen Ort im Internet herstellen. Weitere Informationen und Anweisungen finden Sie unter Instanz starten.

Szenario A mit der API einrichten

Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

Verwenden Sie die folgenden Vorgänge:

  1. CreateVcn: Nehmen Sie immer ein DNS-Label für das VCN auf, wenn die Instanzen Hostnamen erhalten sollen (siehe DNS in Ihrem virtuellen Cloud-Netzwerk).
  2. CreateSubnet: Erstellen Sie ein regionales öffentliches Subnetz. Nehmen Sie ein DNS-Label für das Subnetz auf, wenn die Instanzen Hostnamen erhalten sollen. Verwenden Sie die Standardroutentabelle, die Standardsicherheitsliste und das Standardset von DHCP-Optionen.
  3. CreateInternetGateway
  4. UpdateRouteTable: Um die Kommunikation mit dem Internetgateway zu aktivieren, aktualisieren Sie die Standardroutentabelle so, dass eine Routingregel enthalten ist, die Destination = 0.0.0.0/0 und Ziel = Internetgateway hat. Diese Regel leitet den gesamten Traffic für Adressen außerhalb des VCN an das Internetgateway weiter. Es ist keine Routingregel erforderlich, um den Traffic innerhalb des VCN selbst weiterzuleiten.
  5. UpdateSecurityList: Damit können Sie bestimmte Verbindungstypen in die und aus den Instanzen im Subnetz zulassen.
Wichtig

Sicherheitslistenregel für Windows-Instanzen

Wenn Sie Windows-Instanzen starten möchten, müssen Sie eine Sicherheitslistenregel hinzufügen, um den Remote Desktop Protocol-(RDP-)Zugriff zu aktivieren. Insbesondere benötigen Sie eine Regel für zustandsbehafteten Ingress für TCP-Traffic auf Zielport 3389 von Quelle 0.0.0.0/0 und jedem Quellport. Weitere Informationen dazu finden Sie unter Sicherheitslisten.

Im nächsten Schritt erstellen Sie eine oder mehrere Instanzen in dem Subnetz. Das Szenariodiagramm zeigt Instanzen in zwei verschiedenen Availability-Domains. Beim Erstellen der Instanz wählen Sie die vom VCN und Subnetz zu verwendende AD und verschiedene andere Merkmale aus.

Jede Instanz erhält automatisch eine private IP-Adresse. Wenn Sie eine Instanz in einem öffentlichen Subnetz erstellen, wählen Sie, ob die Instanz eine öffentliche IP-Adresse erhält. Im Rahmen des Netzwerksetups in Szenario A müssen Sie jeder Instanz eine öffentliche IP-Adresse zuweisen. Andernfalls können Sie nicht über das Internetgateway auf sie zugreifen. Gemäß Standardeinstellung (bei einem öffentlichen Subnetz) erhält die Instanz eine öffentliche IP-Adresse.

Nachdem Sie in diesem Szenario eine Instanz erstellt haben, können Sie eine Verbindung zu ihr über das Internet mit SSH oder RDP aus Ihrem On-Premise-Netzwerk oder einem anderen Ort im Internet herstellen. Weitere Informationen und Anweisungen finden Sie unter Instanz starten.