Oracle Cloud Infrastructure-Dokumentation

VCN erstellen (VCN-nativer Pod)

Erfahren Sie, wie Sie ein VCN-natives Pod-Networking-VCN auf Compute Cloud@Customer erstellen.

Erstellen Sie die folgenden Ressourcen in der aufgeführten Reihenfolge:

  1. VCN

  2. Routingregeln

    • Öffentliche Cluster:

      • Internetgateway und eine Routentabelle mit einer Routingregel, die dieses Internetgateway referenziert.

      • NAT-Gateway und eine Routentabelle mit einer Routingregel, die dieses NAT-Gateway referenziert.

    • Private Cluster:

      • Routentabelle ohne Routingregeln.

      • (Optional) Dynamisches Routinggateway (DRG), hängen Sie das OKE-VCN an dieses DRG an, und erstellen Sie eine Routentabelle mit einer Routingregel, die dieses DRG referenziert. Siehe Private Cluster.

      • (Optional) Lokales Peering-Gateway (LPG) und eine Routentabelle mit einer Routingregel, die dieses LPG referenziert. Siehe Private Cluster.

  3. Sicherheitsliste. VCN-Standardsicherheitsliste ändern

Ressourcennamen und CIDR-Blöcke sind Beispielwerte.

VCN

Um das VCN zu erstellen, verwenden Sie die Anweisungen unter VCN erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte (VCN-nativer Pod).

Verwenden Sie in diesem Beispiel die folgende Eingabe, um das VCN zu erstellen. Das VCN deckt einen zusammenhängenden CIDR-Block ab. Der CIDR-Block kann nicht geändert werden, nachdem das VCN erstellt wurde.

Konsoleneigenschaft

CLI-Eigenschaft

  • Name: oketest-vcn

  • CIDR-Block: vcn_cidr

  • DNS-Label: oketest

    Dieses Label muss für alle VCNs im Mandanten eindeutig sein.

  • --display-name: oketest-vcn

  • --cidr-blocks: '["vcn_cidr"]'

  • --dns-label: oketest

    Dieses Label muss für alle VCNs im Mandanten eindeutig sein.

Notieren Sie sich die OCID des neuen VCN. In den Beispielen in dieser Dokumentation lautet diese VCN-OCID ocid1.vcn.oke_vcn_id.

Nächste Schritte

  • Öffentlicher Internetzugang. Erstellen Sie für Traffic in einem öffentlichen Subnetz, das über öffentliche IP-Adressen eine Verbindung zum Internet herstellt, ein Internetgateway und eine Routingregel, die dieses Internetgateway referenziert.

  • Privater Internetzugang. Erstellen Sie für Traffic in einem privaten Subnetz, der eine Verbindung zum Internet herstellen muss, ohne private IP-Adressen verfügbar zu machen, ein NAT-Gateway und eine Routingregel, die dieses NAT-Gateway referenziert.

  • Nur VCN-Zugriff. Um die Kommunikation nur auf andere Ressourcen in demselben VCN zu beschränken, verwenden Sie die Standardroutentabelle, die keine Routingregeln enthält.

  • Instanzen in einem anderen VCN. Um die Kommunikation zwischen dem Cluster und einer Instanz zu ermöglichen, die auf einem anderen VCN ausgeführt wird, erstellen Sie ein lokales Peering-Gateway (LPG) und eine Routingregel, die dieses LPG referenziert.

  • IP-Adressbereich des Data Centers. Um die Kommunikation zwischen dem Cluster und dem IP-Adressraum des On-Premise-Netzwerks zu ermöglichen, erstellen Sie ein dynamisches Routinggateway (DRG) und eine Routingregel, die dieses DRG referenziert.

Private VCN-Routentabelle

Bearbeiten Sie die Standardroutentabelle, die beim Erstellen des VCN erstellt wurde. Ändern Sie den Namen der Routentabelle in vcn_private. Diese Routentabelle enthält keine Routingregeln. Fügen Sie keine Routingregeln hinzu.

Private NAT-Routentabelle

Erstellen Sie ein NAT-Gateway und eine Routentabelle mit einer Routingregel, die das NAT-Gateway referenziert.

NAT-Gateway

Um das NAT-Gateway zu erstellen, verwenden Sie die Anweisungen unter Öffentliche Verbindungen über ein NAT-Gateway aktivieren. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte (VCN-nativer Pod).

Notieren Sie sich den Namen und die OCID des NAT-Gateways für die Zuweisung zur Private-Routing-Regel.

Private Routingregel

Routentabelle erstellen. Siehe Routentabelle erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte (VCN-nativer Pod).

Verwenden Sie in diesem Beispiel die folgende Eingabe, um die Routentabelle mit einer privaten Routingregel zu erstellen, die das NAT-Gateway referenziert, das im vorherigen Schritt erstellt wurde.

Konsoleneigenschaft

CLI-Eigenschaft

  • Name: nat_private

Routingregel

  • Zieltyp: NAT-Gateway

  • NAT-Gateway: Name des NAT-Gateways, das im vorherigen Schritt erstellt wurde

  • CIDR-Block: 0.0.0.0/0

  • Beschreibung: NAT private route rule

  • --display-name: nat_private

--route-rules

  • networkEntityId: OCID des NAT-Gateways, das im vorherigen Schritt erstellt wurde

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: Private NAT-Routingregel

Notieren Sie sich den Namen und die OCID dieser Routentabelle für die Zuweisung zu privaten Subnetzen.

Lokales Peering-Gateway

Erstellen Sie ein lokales Peering-Gateway (LPG) und eine Routentabelle mit einer Routingregel, die das LPG referenziert.

Lokales Peering-Gateway

LPG erstellen Siehe VCNs über ein lokales Peering-Gateway (LPG) verbinden.

Notieren Sie sich den Namen und die OCID des LPGs für die Zuweisung zur Private-Routing-Regel.

Private Routingregel

Routentabelle erstellen. Siehe Routentabelle erstellen.

Verwenden Sie in diesem Beispiel die folgende Eingabe, um die Routentabelle mit einer privaten Routingregel zu erstellen, die das LPG referenziert, das im vorherigen Schritt erstellt wurde.

Konsoleneigenschaft

CLI-Eigenschaft

  • Name: lpg_rt

Routingregel

  • Zieltyp: Lokales Peering-Gateway

  • Lokales Peering-Gateway: Name des LPGs, das im vorherigen Schritt erstellt wurde

  • CIDR-Block: CIDR_for_the_second_VCN

  • Beschreibung: Private LPG-Routingregel

  • --display-name: lpg_rt

--route-rules

  • networkEntityId: OCID des LPGs, das im vorherigen Schritt erstellt wurde

  • destinationType: CIDR_BLOCK

  • destination: CIDR_for_the_second_VCN

  • description: Private LPG-Routingregel

Notieren Sie sich den Namen und die OCID dieser Routentabelle für die Zuweisung zum Subnetz "control-plane-endpoint" (Control-Plane-Load-Balancer-Subnetz (VCN-nativer Pod) erstellen).

Fügen Sie dieselbe Routingregel im zweiten VCN (dem Peer-VCN) hinzu, und geben Sie das OKE-VCN-CIDR als Ziel an.

Dynamisches Routinggateway

Erstellen Sie ein dynamisches Routinggateway (DRG) und eine Routentabelle mit einer Routingregel, die das DRG referenziert.

Dynamisches Routinggateway

Erstellen Sie das DRG, und hängen Sie das OKE-VCN an dieses DRG an. Siehe Verbindung zum On-Premise-Netzwerk über ein dynamisches Routinggateway (DRG) herstellen. Erstellen Sie das DRG im OKE-VCN-Compartment, und hängen Sie das OKE-VCN an dieses DRG an.

Notieren Sie sich den Namen und die OCID des DRG zur Zuweisung zur Private-Routing-Regel.

Private Routingregel

Routentabelle erstellen. Siehe Routentabelle erstellen.

Verwenden Sie in diesem Beispiel die folgende Eingabe, um die Routentabelle mit einer privaten Routingregel zu erstellen, die das im vorherigen Schritt erstellte DRG referenziert.

Konsoleneigenschaft

CLI-Eigenschaft

  • Name: drg_rt

Routingregel

  • Zieltyp: Dynamisches Routinggateway

  • Dynamisches Routing: Name des DRG, das im vorherigen Schritt erstellt wurde

  • CIDR-Block: 0.0.0.0/0

  • Beschreibung: Regel für private DRG-Routen

  • --display-name: drg_rt

--route-rules

  • networkEntityId: OCID des DRG, das im vorherigen Schritt erstellt wurde

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: Regel für private DRG-Routen

Notieren Sie sich den Namen und die OCID dieser Routentabelle für die Zuweisung zum Subnetz "control-plane-endpoint" (Control-Plane-Load-Balancer-Subnetz (VCN-nativer Pod) erstellen).

Öffentliche Routentabelle

Erstellen Sie ein Internetgateway und eine Routentabelle mit einer Routingregel, die das Internetgateway referenziert.

Internetgateway

Um das Internetgateway zu erstellen, verwenden Sie die Anweisungen unter Internetgateway konfigurieren. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte (VCN-nativer Pod).

Notieren Sie sich den Namen und die OCID des Internetgateways für die Zuweisung zur öffentlichen Routingregel.

Regel für öffentliche Weiterleitung

Um eine Routentabelle zu erstellen, verwenden Sie die Anweisungen unter Routentabelle erstellen. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte (VCN-nativer Pod).

Verwenden Sie in diesem Beispiel die folgende Eingabe, um die Routentabelle mit einer öffentlichen Routingregel zu erstellen, die das Internetgateway referenziert, das im vorherigen Schritt erstellt wurde.

Konsoleneigenschaft

CLI-Eigenschaft

  • Name: öffentlich

Routingregel

  • Zieltyp: Internetgateway

  • Internetgateway: Name des Internetgateways, das im vorherigen Schritt erstellt wurde

  • CIDR-Block: 0.0.0.0/0

  • Beschreibung: OKE public route rule

  • --vcn-id: ocid1.vcn.oke_vcn_id

  • --display-name: öffentlich

--route-rules

  • networkEntityId: OCID des Internetgateways, das im vorherigen Schritt erstellt wurde

  • destinationType: CIDR_BLOCK

  • destination: 0.0.0.0/0

  • description: Regel für öffentliche OKE-Routen

Notieren Sie sich den Namen und die OCID dieser Routentabelle für die Zuweisung zu öffentlichen Subnetzen.

VCN-Standardsicherheitsliste

Ändern Sie die Standardsicherheitsliste anhand der in der folgenden Tabelle angezeigten Eingabe. Löschen Sie alle Standardregeln, und erstellen Sie die in der folgenden Tabelle angezeigten Regeln.

Um eine Sicherheitsliste zu ändern, verwenden Sie die Anweisungen unter Sicherheitslisten aktualisieren. Informationen zur Terraform-Eingabe finden Sie unter Terraform-Beispielskripte (VCN-nativer Pod).

Konsoleneigenschaft

CLI-Eigenschaft

  • Name: Standard

--security-list-id: ocid1.securitylist.default_securitylist_id

Eine Egress-Sicherheitsregel:

  • Zustandslos: Kontrollkästchen deaktivieren

  • Egress-CIDR: 0.0.0.0/0

  • IP-Protokoll: Alle Protokollen

  • Beschreibung: "Allow outgoing traffic".

Eine Egress-Sicherheitsregel:

--egress-security-rules

  • isStateless: false

  • destination: 0.0.0.0/0

  • destinationType: CIDR_BLOCK

  • protocol: all

  • description: "Alle ausgehenden Datenverkehr zulassen".

Drei Ingress-Sicherheitsregeln:

Drei Ingress-Sicherheitsregeln:

--ingress-security-rules

Ingress-Regel 1

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: vcn_cidr

  • IP-Protokoll: ICMP

    • Parametertyp: 8: Echo

  • Beschreibung: "Ping von VCN zulassen".

Ingress-Regel 1

  • isStateless: false

  • source: vcn_cidr

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 8

  • description: "Ping von VCN zulassen".

Ingress-Regel 2

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: 0.0.0.0/0

  • IP-Protokoll: ICMP

    • Parametertyp: 3: Ziel nicht erreichbar

  • Beschreibung: "Blockiert eingehende Anfragen von jeder Quelle."

Ingress-Regel 2

  • isStateless: false

  • source: 0.0.0.0/0

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 3

  • description: "Blockiert eingehende Anforderungen aus einer beliebigen Quelle."

Ingress-Regel 3

  • Zustandslos: Kontrollkästchen deaktivieren

  • Ingress-CIDR: 0.0.0.0/0

  • IP-Protokoll: ICMP

    • Parametertyp: 11: Zeit überschritten

  • Beschreibung: "Zeit überschritten".

Ingress-Regel 3

  • isStateless: false

  • source: 0.0.0.0/0

  • sourceType: CIDR_BLOCK

  • protocol: 1

  • icmpOptions

    • type: 11

  • description: "Zeit überschritten".

Notieren Sie sich den Namen und die OCID dieser Standardsicherheitsliste für die Zuweisung zu Subnetzen.