Oracle Cloud Infrastructure - Dokumentation

Szenario A: Öffentliches Subnetz

Szenario A besteht aus einem virtuellen Cloud-Netzwerk (VCN) mit einem regionalen öffentlichen Subnetz , das für die Netzwerkkonnektivität zu Compute-Instanzen in einem Mandanten erforderlich ist. Öffentliche Server werden aus Redundanzgründen in separaten Availability-Domains (ADs) erstellt. Das VCN verwendet regionale Subnetze, da sie flexibler und einfacher sind, ein VCN effizient in Subnetze zu unterteilen und gleichzeitig potenzielle Fehler zu berücksichtigen. Das VCN wird direkt über ein Internetgateway  mit dem Internet verbunden. Das Gateway wird auch für Verbindungen zu einem On-Premise-Netzwerk verwendet. Jede Ressource in einem On-Premise-Netzwerk, die mit Ressourcen in diesem VCN kommunizieren muss, benötigt eine öffentliche IP-Adresse und Zugriff auf das Internet.

Die ersten Schritte mit Oracle Cloud Infrastructure sind einfach, da das Subnetz eine anfängliche Standardsicherheitsliste verwendet. Diese Liste enthält Sicherheitsregeln, die den typischen erforderlichen Zugriff zulassen (z.B. eingehende SSH-Verbindungen und alle Typen ausgehender Verbindungen). Beachten Sie, dass Sicherheitslistenregeln nur Traffic zulassen und Traffic, der von einer Sicherheitslistenregel nicht explizit zulässig ist, implizit verweigert werden. Dasselbe gilt für Routingregeln, bei denen auch der ausgehende Traffic explizit zulässig ist und der Traffic zu bestimmten Zielen an das erforderliche Gateway gesendet wird. Routingziele außerhalb des VCN müssen über ein Gateway erreichbar sein, das Sie erstellen und explizit in einer Routentabelle angeben, die mit dem Subnetz verknüpft ist, das eine Ressource verwendet.

In diesem Szenario fügen Sie der Standardsicherheitsliste eine neue Regel hinzu. Diese Regel ist erforderlich, um den Compute-Instanzen Zugriff auf das Internet zu gewähren. Sie können stattdessen eine benutzerdefinierte Sicherheitsliste für diese Regel erstellen und das Subnetz so einrichten, dass sowohl die Standardsicherheitsliste als auch die benutzerdefinierte Sicherheitsliste verwendet werden. Dies liegt jedoch außerhalb des Geltungsbereichs dieses Szenarios.

Tipp

Über die Sicherheitslisten kann der Traffic in die und aus den Ressourcen des VCN gesteuert werden. Sie können auch Netzwerksicherheitsgruppen verwenden.

In diesem Szenario verwendet das Subnetz auch die Standard-Routentabelle, die bei der Erstellung des VCN anfangs noch keine Regeln aufweist. Für die Tabelle ist nur eine einzelne Regel für das Internetgateway erforderlich.

In diesem Szenario wird kein dynamisches Routinggateway (DRG) verwendet.

Die folgende Abbildung zeigt Ressourcen mit öffentlichen IP-Adressen in einem regionalen öffentlichen Subnetz mit redundanten Ressourcen in demselben Subnetz, jedoch in einer anderen AD. Die Routentabelle des öffentlichen Subnetzes ermöglicht es dem gesamten eingehenden Traffic, über das Internetgateway in das öffentliche Subnetz einzugeben und es zu verlassen, nutzt die Standardsicherheitsliste und verwendet das lokale Routing, das in das VCN integriert ist. Die On-Premise-Hosts müssen über öffentliche IP-Adressen verfügen, um über das Internet mit VCN-Ressourcen kommunizieren zu können.

In dieser Abbildung wird Szenario A dargestellt - ein VCN mit einem regionalen öffentlichen Subnetz und einem Internetgateway.
Callout 1: Routentabelle für regionales öffentliches Subnetz
Ziel-CIDR Routenziel
0.0.0.0/0 Internetgateway

Erforderliche IAM-Policy

Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der von einem Mandantenadministrator Sicherheitszugriff in einer Policy erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Nachricht erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Mandantenadministrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment Ihr Zugriff funktioniert.

Wenn Sie Mitglied der Administratorengruppe sind, besitzen Sie wahrscheinlich bereits die erforderliche Zugriff auf die Implementierung von Szenario A. Andernfalls müssen Sie auf Networking zugreifen und Instanzen erstellen können. Siehe IAM-Policys für Networking.

Szenario A in der Konsole einrichten

Die Einrichtung ist in der Konsole ganz einfach.

Hinweis

Wenn Sie noch kein VCN erstellt haben, ist der unter VCN mit Internetverbindung erstellen beschriebene Workflow eine einfache Möglichkeit, ein VCN mit öffentlichen und privaten Subnetzen, Gateways sowie den Routingregeln und Sicherheitsregeln zu erstellen, die für den Internetzugriff auf Instanzen und andere Ressourcen im VCN erforderlich sind. Wenn Sie den Workflow zur Ausführung dieser Aufgabe verwenden, kann der Workflow in diesem Szenario die Aufgaben 1 bis 5 ersetzen.
Aufgabe 1: VCN erstellen
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie dann Virtuelle Cloud-Netzwerke aus.
  2. Wählen Sie unter Listengeltungsbereich ein Compartment aus, für das Sie die Berechtigung haben, in.The-Seitenupdates zu bearbeiten, um nur die Ressourcen in diesem Compartment anzuzeigen. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, wenden Sie sich an einen Administrator. Weitere Informationen finden Sie unter Zugriffskontrolle.
    Hinweis

    Um eine neue Ressource zu erstellen, darf das Servicelimit für diese Ressource noch nicht erreicht worden sein. Nachdem das Servicelimit für einen Ressourcentyp erreicht wurde, können Sie entweder nicht verwendete Ressourcen dieses Typs entfernen oder eine Erweiterung eines Servicelimets beantragen.
  3. Wählen Sie VCN erstellen aus.
  4. Geben Sie Folgendes ein:
    • Name: Ein aussagekräftiger Name für das VCN. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • In Compartment erstellen: Übernehmen Sie die Vorgabe.
    • IPv4 CIDR-Blöcke: Geben Sie mindestens einen und bis zu fünf IPv4 CIDR-Blöcke für das VCN ein. Die CIDR-Blöcke dürfen sich nicht überschneiden. Beispiel: 172.16.0.0/16. Sie können CIDR-Blöcke später hinzufügen oder entfernen. Siehe Zulässige VCN-Größe und Adressbereiche. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.
    • DNS-Hostnamens in diesem VCN verwenden: Diese Option ist erforderlich, um Hosts im VCN DNS-Hostnamen zuzuweisen. Sie ist erforderlich, wenn Sie das Standard-DNS-Feature des VCN verwenden möchten (als Internet and VCN Resolver bezeichnet). Wenn Sie diese Option auswählen, können Sie ein DNS-Label für das VCN angeben, oder Sie können mit der Konsole eines für Sie generieren lassen. Im Dialogfeld wird automatisch der entsprechende DNS-Domainname für das VCN (<VCN_DNS_label>.oraclevcn.com) angezeigt. Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.
    • IPv6-Präfixe: Sie können anfordern, dass diesem VCN ein einzelnes von Oracle zugewiesenes IPv6-/56-Präfix zugewiesen wird. Alternativ können Sie dem VCN ein BYOIPv6-Präfix oder ein ULA-Präfix zuweisen. Diese Option ist für alle kommerziellen und Regierungsregionen verfügbar. Weitere Informationen zu IPv6 finden Sie unter IPv6-Adressen.
    • Tags: Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen verfügen, den Tag-Namespace zu verwenden. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

  5. Wählen Sie Virtuelles Cloud-Netzwerk erstellen aus.

    Das VCN wird dann erstellt und auf der Seite Virtuelle Cloud-Netzwerke im von Ihnen gewählten Compartment angezeigt.

Aufgabe 2: Regionales öffentliches Subnetz erstellen
  1. Wählen Sie beim Anzeigen des VCN die Option Subnetz erstellen aus.

  2. Geben Sie Folgendes ein:

    • Name: Ein benutzerfreundlicher Name für das Subnetz (Beispiel: Regionales öffentliches Subnetz). Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • Regional oder Availability-Domain spezifisch: Wählen Sie Regional aus (empfohlen). Dies bedeutet, dass das Subnetz alle Availability-Domains in der Region umfasst. Wenn Sie später eine Instanz erstellen, können Sie sie in jeder Availability-Domain in der Region erstellen. Weitere Informationen finden Sie unter Availability-Domains und VCNs.
    • IPv4 CIDR-Block: Ein einzelner, zusammenhängender CIDR-Block im VCN-CIDR-Block. Beispiel: 172.16.0.0/24. Sie können diesen Wert später nicht ändern. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.
    • IPv6-Präfixe: Sie können ein von Oracle zugewiesenes IPv6-/64-Präfix anfordern oder BYOIPv6- oder ULA-Präfixe eingeben. Ein Subnetz kann maximal drei IPv6-Präfixe enthalten. Nachdem Sie einem VCN ein Präfix IPv6 zugewiesen haben, muss ihm immer mindestens ein Präfix IPv6 zugewiesen sein. Diese Option ist für VCNs in allen kommerziellen und Regierungsregionen verfügbar, wenn das VCN bereits für IPv6 aktiviert ist. Weitere Informationen finden Sie unter IPv6-Adressen.
    • Routentabelle: Wählen Sie die Standardroutentabelle.
    • Privates oder öffentliches Subnetz: Wählen Sie Öffentliches Subnetz aus. Das heißt, dass Instanzen im Subnetz optional öffentliche IP-Adressen haben können. Weitere Informationen finden Sie unter Zugriff auf das Internet.
    • DNS-Hostnamen in diesem Subnetz verwenden: Diese Option ist nur verfügbar, wenn Sie während der Erstellen ein DNS-Label für das VCN angegeben haben, Die Option ist für die Zuweisung von DNS-Hostnamen zu Hosts im Subnetz erforderlich und auch, wenn Sie das DNS-Standardfeature des VCN verwenden möchten (als Internet- und VCN-Resolver bezeichnet). Wenn Sie das Kontrollkästchen aktivieren, können Sie ein DNS-Label für das Subnetz angeben oder die Konsole ein Label für Sie generieren lassen. Im Dialogfeld wird automatisch der entsprechende DNS-Domänenname für das Subnetz als FQDN angezeigt Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.
    • DHCP-Optionen: Wählen Sie das Set von DHCP-Optionen aus, das mit dem Subnetz verknüpft werden soll. Wenn Sie die Compartment-Auswahl bereits aktiviert haben, geben Sie zuerst das Compartment an, das die DHCP-Optionen enthält.
    • Sicherheitslisten: Stellen Sie sicher, dass die Standardsicherheitsliste ausgewählt ist.
    • Taggingoptionen anzeigen: Wählen Sie diesen Link aus, um Optionen zum Hinzufügen von Tags zum Subnetz anzuzeigen. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiform-Tags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen verfügen, den Tag-Namespace zu verwenden. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

  3. Wählen Sie Subnetz erstellen aus.

    Das Subnetz wird dann erstellt und auf der Seite Subnetze angezeigt.

Aufgabe 3: Internetgateway erstellen
  1. Wählen Sie beim Anzeigen des VCN unter Ressourcen die Option Internetgateways aus.
  2. Wählen Sie Internetgateway erstellen aus.

  3. Geben Sie Folgendes ein:

    • Name: Ein benutzerfreundlicher Name für das Internetgateway. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • In Compartment erstellen: Übernehmen Sie die Vorgabe.
    • Sie können Erweiterte Optionen anzeigen auswählen, um die folgenden Optionen festzulegen:
      • Routentabellenzuordnung: (Erweiterte Option) Übernehmen Sie die Vorgabe. Sie können eine bestimmte VCN-Routentabelle mit diesem Gateway verknüpfen. Nach dem Verknüpfen einer Routentabelle muss das Gateway immer mit einer Routentabelle verknüpft sein. Sie können die Regeln in der aktuellen Routing-Tabelle ändern oder diese durch eine andere Routing-Tabelle ersetzen.
      • Tags: (Erweiterte Option) Übernehmen Sie die Vorgabe. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiform-Tags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen verfügen, den Tag-Namespace zu verwenden. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

  4. Wählen Sie Internetgateway erstellen aus.

    Das Internetgateway wird erstellt und auf der Seite Internetgateways angezeigt. Das Gateway ist bereits aktiviert, Sie müssen jedoch eine Routingregel hinzufügen, die den Traffic an das Gateway ermöglicht.

Aufgabe 4: Standardroutentabelle zur Verwendung des Internetgateways aktualisieren

Die Standardroutentabelle enthält anfangs keine Regeln. In dieser Aufgabe fügen Sie eine Regel hinzu, mit der der gesamte Traffic, der für Adressen außerhalb des VCN bestimmt ist, an das Internetgateway weitergeleitet wird. Mit dieser Regel können auch eingehende Verbindungen über das Internetgateway aus dem Internet im Subnetz eingehen. Mit Sicherheitslistenregeln können Sie die zulässigen Traffictypen in die und aus den Instanzen steuern (siehe nächste Aufgabe).

Es ist keine Routingregel erforderlich, um den Traffic innerhalb des VCN selbst weiterzuleiten.

  1. Wählen Sie unter Ressourcen die Option Routentabellen aus.
  2. Wählen Sie die Standardroutentabelle aus, um ihre Details anzuzeigen.
  3. Wählen Sie Weiterleitungsregel hinzufügen aus.

  4. Geben Sie Folgendes ein:

    • Zieltyp: Internetgateway
    • Ziel-CIDR-Block: 0.0.0.0/0 (d.h. der gesamte Traffic vom VCN zu einem Ziel außerhalb des VCN, das noch nicht von anderen Regeln in der Routentabelle abgedeckt ist, wird zu dem in dieser Regel angegebenen Ziel geleitet).
    • Compartment: Das Compartment mit dem Internetgateway.
    • Ziel: Das von Ihnen erstellte Internetgateway.
    • Beschreibung: Eine optionale Beschreibung der Regel.
  5. Wählen Sie Weiterleitungsregeln hinzufügen aus.

Die Standardroutentabelle enthält jetzt eine Regel für das Internetgateway. Da das Subnetz für die Verwendung der Standardroutentabelle eingerichtet wurde, können die Ressourcen im Subnetz jetzt das Internetgateway verwenden. Im nächsten Schritt geben Sie die Traffictypen an, die in die und aus den später erstellten Instanzen fließen dürfen.

Aufgabe 5: Standardsicherheitsliste aktualisieren

In einer vorherigen Aufgabe haben Sie bereits das Subnetz eingerichtet, um die Standardsicherheitsliste des VCN zu verwenden. Jetzt fügen Sie Sicherheitslistenregeln hinzu, mit denen die Verbindungstypen zugelassen werden, die die Instanzen im VCN benötigen.

Beispiel: Bei einem öffentlichen Subnetz mit einem Internetgateway müssen die (Webserver-)Instanzen, die Sie erstellen, möglicherweise eingehende HTTPS-Verbindungen vom Internet empfangen. So fügen Sie der Standardsicherheitsliste eine weitere Regel hinzu, um diesen Traffic zu aktivieren:

  1. Wählen Sie unter Ressourcen die Option Sicherheitslisten aus.
  2. Wählen Sie die Standardsicherheitsliste aus, um die zugehörigen Details anzuzeigen. Standardmäßig wird die Seite Ingressregeln angezeigt.
  3. Wählen Sie Ingress-Regeln hinzufügen aus.

  4. Um eingehende Verbindungen für HTTPS (TCP-Port 443) zu aktivieren, geben Sie Folgendes ein:

    • Zustandslos: Auswahl aufgehoben (dies ist eine Regel für zustandsbehafteten Traffic)
    • Quelltyp: CIDR
    • Quell-CIDR: 0.0.0.0/0
    • IP-Protokoll: TCP
    • Quellportbereich: Alle
    • Zielportbereich: 443
    • Beschreibung: Eine optionale Beschreibung der Regel.
  5. Wählen Sie Ingress-Regel hinzufügen aus.
Wichtig

Sicherheitslistenregel für Windows-Instanzen

Wenn Sie Windows-Instanzen erstellen möchten, müssen Sie eine Sicherheitslistenregel hinzufügen, um den Remote Desktop Protocol-(RDP-)Zugriff zu aktivieren. Um RDP zu aktivieren, benötigen Sie eine zustandsbehaftete Ingress-Regel für TCP-Traffic auf Zielport 3389 von Quelle 0.0.0.0/0 und jedem Quellport. Weitere Informationen dazu finden Sie unter Sicherheitslisten.

Bei einem Produktions-VCN richten Sie in der Regel eine oder mehrere benutzerdefinierte Sicherheitslisten für jedes Subnetz ein. Optional können Sie das Subnetz bearbeiten, um andere Sicherheitslisten zu verwenden. Wenn Sie sich entscheiden, die Standardsicherheitsliste nicht zu verwenden, müssen Sie sich sorgfältig überlegen, welche ihrer Standardregeln in einer benutzerdefinierten Sicherheitsliste dupliziert werden sollen. Beispiel: Die ICMP-Standardregeln in der Standardsicherheitsliste sind für den Empfang von Konnektivitätsmeldungen wichtig.

Aufgabe 6: Instanzen in separaten Availability-Domains erstellen

Der nächste Schritt besteht darin, eine oder mehrere Instanzen in dem Subnetz zu erstellen. Das Szenariodiagramm zeigt Instanzen in zwei verschiedenen Availability-Domains. Beim Erstellen der Instanz wählen Sie die vom VCN und Subnetz zu verwendende AD und verschiedene andere Merkmale.

Jede Instanz erhält automatisch eine private IP-Adresse. Wenn Sie eine Instanz in einem öffentlichen Subnetz erstellen, entscheiden Sie, ob die Instanz eine öffentliche IP-Adresse erhält. Im Rahmen des Netzwerksetups in Szenario A müssen Sie jeder Instanz eine öffentliche IP-Adresse zuweisen. Andernfalls können Sie nicht über das Internetgateway auf sie zugreifen. Gemäß Standardeinstellung (bei einem öffentlichen Subnetz) erhält die Instanz eine öffentliche IP-Adresse.

Nachdem Sie in diesem Szenario eine Instanz erstellt haben, können Sie eine Verbindung zu ihr über das Internet mit SSH oder RDP aus einem On-Premise-Netzwerk oder einem anderen Ort im Internet herstellen. Weitere Informationen und Anweisungen finden Sie in Instanz erstellen.

Szenario A mit der API einrichten

Informationen zur Verwendung der API und zu Signaturanforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

Verwenden Sie die folgenden Vorgänge:

  1. CreateVcn: Nehmen Sie stets ein DNS-Label für das VCN auf, wenn die Instanzen Hostnamen enthalten sollen (siehe DNS in einem virtuellen Cloud-Netzwerk).
  2. CreateSubnet: Erstellen Sie ein regionales öffentliches Subnetz. Nehmen Sie ein DNS-Label für das Subnetz auf, wenn die Instanzen Hostnamen erhalten sollen. Verwenden Sie die Standardroutentabelle, die Standardsicherheitsliste und das Standardset von DHCP-Optionen.
  3. CreateInternetGateway
  4. UpdateRouteTable: Um die Kommunikation mit dem Internetgateway zu aktivieren, aktualisieren Sie die Standardroutentabelle so, dass eine Routingregel enthalten ist, die Destination = 0.0.0.0/0 und Ziel = Internetgateway hat. Diese Regel leitet den gesamten Traffic für Adressen außerhalb des VCN an das Internetgateway weiter. Es ist keine Routingregel erforderlich, um den Traffic innerhalb des VCN selbst weiterzuleiten.
  5. UpdateSecurityList: Damit können Sie bestimmte Verbindungstypen in die und aus den Instanzen im Subnetz zulassen.
Wichtig

Sicherheitslistenregel für Windows-Instanzen

Wenn Sie Windows-Instanzen erstellen möchten, müssen Sie eine Sicherheitslistenregel hinzufügen, um den Remote Desktop Protocol-(RDP-)Zugriff zu aktivieren. Um RDP zu aktivieren, benötigen Sie eine zustandsbehaftete Ingress-Regel für TCP-Traffic auf Zielport 3389 von Quelle 0.0.0.0/0 und jedem Quellport. Weitere Informationen dazu finden Sie unter Sicherheitslisten.

Der nächste Schritt besteht darin, eine oder mehrere Instanzen in dem Subnetz zu erstellen. Das Szenariodiagramm zeigt Instanzen in zwei verschiedenen Availability-Domains. Beim Erstellen der Instanz wählen Sie die vom VCN und Subnetz zu verwendende AD und verschiedene andere Merkmale.

Jede Instanz erhält automatisch eine private IP-Adresse. Wenn Sie eine Instanz in einem öffentlichen Subnetz erstellen, entscheiden Sie, ob die Instanz eine öffentliche IP-Adresse erhält. Im Rahmen des Netzwerksetups in Szenario A müssen Sie jeder Instanz eine öffentliche IP-Adresse zuweisen. Andernfalls können Sie nicht über das Internetgateway auf sie zugreifen. Gemäß Standardeinstellung (bei einem öffentlichen Subnetz) erhält die Instanz eine öffentliche IP-Adresse.

Nachdem Sie in diesem Szenario eine Instanz erstellt haben, können Sie eine Verbindung zu ihr über das Internet mit SSH oder RDP aus einem On-Premise-Netzwerk oder einem anderen Ort im Internet herstellen. Weitere Informationen und Anweisungen finden Sie in Instanz erstellen.