Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte nach Abschluss der Übung durch Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Ressourcenbasiertes Routing in Oracle Cloud Infrastructure konfigurieren

Einführung

Routing pro Ressource bezieht sich auf die Möglichkeit, Routingregeln direkt auf einer bestimmten VNIC oder einer einzelnen IP-Adresse zu definieren, die mit dieser virtuellen Netzwerkschnittstellenkarte (VNIC) verknüpft ist. Dies bietet eine erweiterte Routingsteuerung, die auf jede Ressource in einem einzelnen Subnetz zugeschnitten ist, falls sie unterschiedliche Anforderungen haben, anstatt sich ausschließlich auf die Routentabelle auf Subnetzebene zu verlassen. Auf diese Weise können Unternehmen den Netzwerkverkehr optimieren und eine bessere Performance sicherstellen, indem sie Daten basierend auf der Quelle an die entsprechende Zielressource weiterleiten.

Mit dem Routing pro Ressource können Oracle Cloud Infrastructure-(OCI-)Benutzer Routing-Policys konfigurieren, die für einzelne Ressourcen gelten. So wird sichergestellt, dass der Traffic so geleitet wird, dass er die Anwendungsarchitektur optimal unterstützt. Es verbessert die Netzwerkkontrolle und erleichtert die Verwaltung komplexer Cloud-Umgebungen. Diese Routingmethode hilft bei der Verbesserung des Verkehrsflusses, indem sie definiert, wie der Datenverkehr an bestimmte Ressourcen weitergeleitet werden soll.

Ziele

In diesem Tutorial erhalten Sie ein umfassendes Verständnis von Routing pro Ressource in OCI.

• Das Konzept des Ressourcenrouting verstehen: Erfahren Sie, wie Routing-Policys auf bestimmte OCI-Ressourcen angewendet werden können, um das Trafficmanagement und die Performanceoptimierung zu verbessern.

• Routingregeln einrichten: Sammeln Sie praktische Erfahrungen beim Erstellen und Konfigurieren von Routingregeln pro Ressource in OCI, um den Netzwerktraffic basierend auf der Quell-VNIC effektiv an verschiedene Ressourcen zu leiten.

Voraussetzungen

• Zugriff auf einen OCI-Mandanten und Berechtigungen zum Verwalten der erforderlichen Netzwerk-, Compute- und Speicherservices.

• Grundlegendes Verständnis von OCI-Netzwerkrouting und -Sicherheit und ihren Funktionen: Virtuelles Cloud-Netzwerk (VCN), Routentabelle, Sicherheitsliste und Bastion-Service. Außerdem sind einige Kenntnisse in dynamischen Gruppen und Policys von Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) hilfreich.

• Lesen Sie die folgenden Dokumente, um ein solides Verständnis des OCI-Routings mit Schwerpunkt auf dem Routing pro Ressource zu erhalten. Dies wird vor der praktischen Umsetzung einen wertvollen Kontext liefern.

  • VCN-Routentabellen.
  • Ankündigung des ressourcenbezogenen Routings für OCI Networking.
  • Verbesserung der Trafficsteuerung mit quellenbasiertem Routing in OCI.

Hinweis: Jedes Beispiel wird unabhängig vom anderen erstellt. Sie können an ihnen in beliebiger Reihenfolge arbeiten.

Beispiel 1: Internettraffic für nur eine virtuelle Maschine (VM) über die OCI-Netzwerkfirewall prüfen

Beispielziele:

In diesem Beispiel konzentrieren wir uns darauf, den ausgehenden Internettraffic einer bestimmten VM über eine OCI-Netzwerkfirewall zu leiten, um ihn zu prüfen und zu sichern, bevor er das NAT-Gateway erreicht, und die Firewall für die zweite VM im selben Subnetz zu umgehen. Ohne Routing pro Ressource müssen Sie jede Instanz in einem anderen Subnetz platzieren, um dieses Szenario zu erreichen.

Beispielvoraussetzungen:

Konfigurieren Sie einige wichtige Komponenten für dieses Design. Es handelt sich im Grunde um zwei Compute-Instanzen in einem privaten Subnetz, zusätzlich zu einer Netzwerkfirewall in einem separaten Subnetz im selben VCN.

• Erstellen Sie ein virtuelles Cloud-Netzwerk (Beispiel: MyVCN (192.168.0.0/16)). Weitere Informationen finden Sie unter VCN erstellen.

• Erstellen Sie zwei private Subnetze. Weitere Informationen finden Sie unter Creating a Subnet.

  • Application-Private-Subnet (192.168.0.0/24): In diesem Tutorial weisen wir dem Subnetz die Standardroutentabelle und die Standardsicherheitsliste zu.
  • Firewall-Private-Subnet (192.168.1.0/24).

• NAT-Gateway in einem VCN erstellen. Ein NAT-Gateway ermöglicht Cloud-Ressourcen ohne öffentliche IP-Adressen den Zugriff auf das Internet und bietet nur ausgehende Konnektivität, ohne dass diese Ressourcen eingehenden Internetverbindungen ausgesetzt werden. Weitere Informationen finden Sie unter NAT-Gateway erstellen

• Erstellen Sie zwei Compute-Instanzen Linux-VM-1 und Linux-VM-2. Weitere Informationen finden Sie unter Aufgabe 2: OCI-Compute-Instanz bereitstellen. Berücksichtigen Sie folgende Punkte:

  • Der Name jeder OCI Compute-Instanz.
  • Verwenden Sie Oracle Linux als Betriebssystem.
  • Platzieren Sie beide Instanzen in Application-Private-Subnet, und weisen Sie die IPs gemäß dem Design manuell zu.
  • OCI-Bastion-Plug-in aktivieren.

• Erstellen Sie einen OCI Bastion-Service und eine Session. Sie müssen damit sicher auf die Instanzen zugreifen, da sie sich in einem privaten Subnetz befinden, und dann am Ende des Setups testen. Berücksichtigen Sie die Unterschiede wie das Zielnetzwerk und die Instanz entsprechend den Komponenten, die Sie für dieses Tutorial erstellt haben. Weitere Informationen finden Sie unter Aufgabe 6.1: Mit Bastion und Test auf FE-VM-Compute-Instanz zugreifen.

• Stellen Sie eine Firewalllösung bereit, die Folgendes umfassen kann:

  • Eine OCI-Firewall (wir verwenden diese im Tutorial).
  • Eine Firewallinstanz eines Drittanbieters (FortiGate, Palo Alto usw.). Ein weiteres gutes Beispiel ist die pfSense-Firewall. Informationen zur Installation finden Sie unter Aufgabe 3: pfSense-Firewall installieren und konfigurieren.
  • Jede Linux-basierte Firewallinstanz.

Aufgabe 1: OCI-Netzwerkfirewall vorbereiten, um Traffic von Linux-VM-2 auf das Internet zu prüfen

• Mit der Standardsicherheitsliste können wir zulassen, dass der gesamte Traffic zur gründlichen Bewertung durch die Firewall geleitet wird. So wird die vollständige Kontrolle über die Firewall anstelle von OCI-Sicherheitsregeln sichergestellt, einschließlich Zulassen, Ablehnen oder Überwachen über Identity Services.
• Standardroutentabelle für MyVCN: Leer, nicht verwendet.
• Mit der Routentabelle für Firewallsubnetz leiten wir den gesamten Traffic (einfach) über das NAT-Gateway an das Internet weiter.
• Mit der NAT-Routentabelle können Sie Antworttraffic vom Internet an die Firewall weiterleiten, die vor dem Zurücksenden an die Quelle geprüft werden soll (Linux-VM-2).

Aufgabe 1.1: Routing und Sicherheit des Firewallsubnetzes einrichten

• Melden Sie sich bei der OCI-Konsole an, und gehen Sie zur Seite Details zum virtuellen Cloud-Netzwerk.

  

• Bildlauf nach unten.

  1. Klicken Sie auf Sicherheitslisten.
  2. Klicken Sie auf die Standardsicherheitsliste.

  

  1. Gesamten Ingress-Traffic zulassen.
  2. Gesamten Egress-Traffic zulassen.

  

  1. Navigieren Sie zur Seite Details virtuelles Cloud-Netzwerk.
  2. Bildlauf nach unten.
  3. Klicken Sie auf Routentabellen.
  4. Klicken Sie auf Routentabelle erstellen.

  

  1. Geben Sie den Namen für die Routentabelle ein.
  2. Klicken Sie auf + Weitere Routingregel.

  

• Geben Sie unter Regel die folgenden Informationen ein.

  1. Wählen Sie unter Zieltyp die Option NAT-Gateway aus.
  2. Geben Sie unter Ziel-CIDR-Block 0.0.0.0/0 ein.
  3. Wählen Sie unter Ziel-NAT-Gateway das NAT-Gateway aus, das in "Voraussetzungen" erstellt wurde.
  4. Klicken Sie auf Erstellen.

  

• Die Firewall Subnet Route Table wurde erfolgreich erstellt.

  

• Weisen wir nun die Routentabelle dem Firewallsubnetz zu. Gehen Sie zur Seite Details virtuelles Cloud-Netzwerk.

  1. Klicken Sie auf Subnetze.
  2. Klicken Sie auf Firewall-Private-Subnetz.

  

• Klicken Sie auf Bearbeiten.

  

  1. Verwenden Sie die oben erstellte Routentabelle.
  2. Klicken Sie auf Änderungen speichern.

  

• Routentabelle wurde erfolgreich geändert.

  

In dieser Aufgabe haben wir eine Routentabelle auf Subnetzebene erstellt und zugewiesen. Das bedeutet, dass alle in diesem Subnetz bereitgestellten Ressourcen von den definierten Routingregeln gesteuert werden.

Aufgabe 1.2: Routentabelle für NAT-Gateway erstellen und zuweisen

• Stellen Sie sicher, dass Sie ein NAT-Gateway erstellen, bevor Sie fortfahren. Gehen Sie zur Seite Details virtuelles Cloud-Netzwerk.

  1. Klicken Sie auf Routentabellen.
  2. Klicken Sie auf Routentabelle erstellen.

  

  1. Geben Sie den Namen für die Routentabelle ein.
  2. Klicken Sie auf +Another-Routingregel.

  

• Geben Sie unter Regel die folgenden Informationen ein.

  1. Wählen Sie unter Zieltyp die Option Private IP aus.
  2. Geben Sie unter Zieltyp 192.168.0.0/24 ein. Dabei handelt es sich um das Application-Private-Subnet-CIDR mit der Quell-VM.
  3. Geben Sie unter Zielauswahl die private IP der Firewall 192.168.1.100 ein.
  4. Klicken Sie auf Erstellen.

  

• Die NAT Route Table wurde erfolgreich erstellt.

  

• Weisen Sie die Routentabelle dem NAT-Gateway zu. Gehen Sie zur Seite Details virtuelles Cloud-Netzwerk.

  1. Klicken Sie auf NAT-Gateways.
  2. Klicken Sie rechts auf die drei Punkte des Gateways.
  3. Klicken Sie auf Routentabelle verknüpfen.

  

  1. Wählen Sie NAT-Routentabelle aus.
  2. Klicken Sie auf Routentabelle verknüpfen.

  

• Routentabelle wurde erfolgreich verknüpft.

  

Aufgabe 1.3: Firewalllogs aktivieren und Policy prüfen

Hinweis: In diesem Tutorial verwenden wir die OCI Network Firewall. Sie können dasselbe Szenario jedoch mit einer beliebigen Firewall eines Drittanbieters replizieren.

• Navigieren Sie zur Seite Netzwerkfirewalldetails.

  

• Bildlauf nach unten.

  1. Klicken Sie auf Logs.
  2. Aktivieren Sie Trafficlog (das Trafficlog enthält Details zum Traffic, der durch die Firewall geleitet wird).

  

  1. Wählen Sie Loggruppe aus, wenn keine vorhanden ist, erstellen Sie eine.
  2. Geben Sie Logname ein.
  3. Klicken Sie auf Log aktivieren.

  

  1. Trafficlog wurde erfolgreich aktiviert.
  2. Klicken Sie auf die zugehörige Netzwerkfirewall-Policy.

  

• Wir verwenden die network_firewall_policy_v1-Policy.

  

• Scrollen Sie nach unten, und prüfen Sie die vorhandene Policy-Konfiguration.

  1. Klicken Sie auf Sicherheitsregeln.
  2. Klicken Sie auf die drei Punkte rechts neben der Regel IPS_VM2_Internet.
  3. Klicken Sie auf Details anzeigen.

  

• Beachten Sie die Details der verwendeten Sicherheitsregel.

  1. Jeder Traffic, der von Linux-VM-2 an eine beliebige Stelle gelangt, unabhängig vom verwendeten Protokoll oder Port.
  2. Verwenden Sie Intrusion Prevention als Regelaktion, um den Traffic auf böswillige Aktivitäten zu überwachen. Protokollieren Sie Informationen, melden Sie sie, oder blockieren Sie die Aktivität.

  

Aufgabe 2: Benutzerdefinierte Routentabellen erstellen

• Navigieren Sie zur Seite Details virtuelles Cloud-Netzwerk.

  

• Bildlauf nach unten.

  1. Klicken Sie auf Routentabellen.
  2. Beachten Sie, dass eine Standardroutentabelle vorhanden ist, die automatisch mit dem VCN erstellt wird. Diese Tabelle ist Application-Private-Subnet zugewiesen, und alle VMs im Subnetz verwenden sie (in diesem Beispiel ist diese Routentabelle leer).
  3. Für dieses Tutorial erstellen wir jedoch benutzerdefinierte Routentabellen und weisen sie jeweils der VNIC der jeweiligen VM zu. Diese Methode bietet eine granularere Kontrolle über das Routing, sodass eine Abhängigkeit von der Routentabelle des Subnetzes vermieden wird. Klicken Sie auf Routentabelle erstellen.

  

• Erstellen Sie die zweite Tabelle (Custom Route Table 1), die Linux-VM-1 zugewiesen wird, um Traffic direkt an das NAT-Gateway weiterzuleiten, ohne Traffic über die Firewall zu prüfen.

  1. Geben Sie den Namen für die Routentabelle ein.
  2. Klicken Sie auf +Another-Routingregel.

  

• Geben Sie unter Regel die folgenden Informationen ein.

  1. Wählen Sie unter Zieltyp die Option NAT-Gateway aus.
  2. Geben Sie unter Ziel-CIDR-Block 0.0.0.0/0 ein.
  3. Wählen Sie unter Ziel-NAT-Gateway das NAT-Gateway aus, das unter "Voraussetzungen" erstellt wurde
  4. Klicken Sie auf Erstellen.

  

• Die Custom Route Table 1 wurde erfolgreich erstellt.

  

• Um die zweite Tabelle (Custom Route Table 2) zu erstellen, klicken Sie auf Routentabelle erstellen.

  

• Die Custom Route Table 2 wird Linux-VM-2 zugewiesen, um Traffic an die Firewall weiterzuleiten, die zuerst geprüft werden muss, bevor sie an das NAT-Gateway gesendet wird.

  1. Geben Sie den Namen für die Routentabelle ein.
  2. Klicken Sie auf +Another-Routingregel.

  

• Geben Sie unter Regel die folgenden Informationen ein.

  1. Wählen Sie unter Zieltyp die Option Private IP aus.
  2. Geben Sie unter Ziel-CIDR-Block 0.0.0.0/0 ein.
  3. Geben Sie unter Zielauswahl die private IP der Firewall 192.168.1.100 ein.
  4. Klicken Sie auf Erstellen.

  

• Die Custom Route Table 2 wurde erfolgreich erstellt.

  

Aufgabe 3: Benutzerdefinierte Routentabellen den VNICs zuweisen

• Beginnen wir mit Linux-VM-1.

  

  1. Beachten Sie, dass die VNIC der Instanz standardmäßig die Routentabelle verwendet, die an das Subnetz angehängt ist, in dem sich die VM befindet. In diesem Tutorial ist es Default Route Table for MyVCN. Unser Ziel ist es, die Routentabelle in "Routing pro Ressource" zu ändern, wobei die Instanz (VNIC) über eine eigene Routentabelle verfügt.
  2. Bildlauf nach unten.
  3. Klicken Sie auf Angehängte VNICs.
  4. Klicken Sie auf die drei Punkte rechts neben der primären VNIC.
  5. Klicken Sie auf VNIC bearbeiten.

  

  1. Standardmäßig verwendet jede VNIC die Routentabelle, die mit dem Subnetz verknüpft ist.
  2. Klicken Sie auf Benutzerdefinierte Routentabelle für die VNIC auswählen.

  

  1. Wählen Sie unter Routentabelle die Option Benutzerdefinierte Routentabelle 1 aus.
  2. Beachten Sie, dass die Standardroutentabelle nicht geprüft wird, wenn Sie Routingentscheidungen treffen, nachdem Sie Ihre Konfiguration hier gespeichert haben.
  3. Klicken Sie auf Änderungen speichern.

  

• Die Custom Route Table 1 wurde der primären VNIC von Linux-VM-1 erfolgreich zugewiesen.

  

• Weisen Sie jetzt Linux-VM-2 zu.

  

  1. Beachten Sie, dass die Instanz-VNIC standardmäßig die Routentabelle verwendet, die an das Subnetz angehängt ist, in dem sich die VM befindet. In diesem Tutorial ist es Default Route Table for MyVCN. Unser Ziel ist es, die Routentabelle hier in "Routing pro Ressource" zu ändern, wobei die Instanz (VNIC) über eine eigene Routentabelle verfügt.
  2. Bildlauf nach unten.
  3. Klicken Sie auf Angehängte VNICs.
  4. Klicken Sie auf die drei Punkte rechts neben der primären VNIC.
  5. Klicken Sie auf VNIC bearbeiten.

  

  1. Standardmäßig verwendet jede VNIC die Routentabelle, die mit dem Subnetz verknüpft ist.
  2. Klicken Sie auf Benutzerdefinierte Routentabelle für die VNIC auswählen.

  

  1. Wählen Sie unter Routentabelle die Option Benutzerdefinierte Routentabelle 2 aus.
  2. Beachten Sie, dass die Standardroutentabelle nicht geprüft wird, wenn Sie Routingentscheidungen treffen, nachdem Sie Ihre Konfiguration hier gespeichert haben.
  3. Klicken Sie auf Änderungen speichern.

  

• Die Custom Route Table 2 wurde der primären VNIC von Linux-VM-2 erfolgreich zugewiesen.

  

Aufgabe 4: Testen und validieren

• Test 1: Testen Sie Linux-VM-1 auf den Internetzugriff ohne Firewallinspektion

  • Melden Sie sich bei Linux-VM-1 an.

    Hinweis: Wir haben mit dem OCI Bastion-Service auf die Instanz zugegriffen, da sie sich in einem privaten Subnetz befindet. Sie können jede andere Methode verwenden, wie eine herkömmliche Sprungbox (Windows, Linux), Site-to-Site-VPN oder andere Alternativen.

  • Ping 8.8.8.8, die öffentliche IP des DNS-Servers von Google. Je nach Konfiguration, die wir einrichten, wird der Traffic direkt durch das NAT-Gateway geleitet, ohne von der Firewall geprüft zu werden.

    

  • Gehen Sie zur Seite Netzwerkfirewalldetails.

    1. Klicken Sie auf Logs.
    2. Klicken Sie auf den Lognamen.

    

  • Richten Sie den Filter so ein, dass der Ping-Traffic im vorherigen Test geprüft wird.

    1. IP-Adresse von Linux-VM-1 ist 192.168.0.10.
    2. Protokoll ist ICMP.
    3. Klicken Sie auf Suchen.
    4. Beachten Sie, dass kein Hinweis auf Traffic von Linux-VM-1 vorhanden ist, der durch die Firewall geleitet wird. Dies ist das erwartete Ergebnis, da die benutzerdefinierte Routentabelle so konfiguriert wurde, dass Traffic direkt an das NAT-Gateway weitergeleitet wird.

    

• Test 2: Testen Sie Linux-VM-2 auf den Internetzugriff mit Firewallinspektion

  • Melden Sie sich bei Linux-VM-2 an.

    Hinweis: Wir haben mit dem OCI Bastion-Service auf die Instanz zugegriffen, da sie sich in einem privaten Subnetz befindet. Sie können jede andere Methode verwenden, wie eine herkömmliche Sprungbox (Windows, Linux), Site-to-Site-VPN oder andere Alternativen.

  • Ping 8.8.8.8, die öffentliche IP des DNS-Servers von Google. Je nach Konfiguration, die wir einrichten, wird der Traffic durch das NAT-Gateway geleitet, nachdem er von der Firewall geprüft wurde.

    

  • Gehen Sie zur Seite Netzwerkfirewalldetails.

    1. Klicken Sie auf Logs.
    2. Klicken Sie auf den Lognamen.

    

  • Richten Sie den Filter so ein, dass der Ping-Traffic im vorherigen Test geprüft wird.

    1. IP-Adresse von Linux-VM-2 ist 192.168.0.20.
    2. Protokoll ist ICMP.
    3. Klicken Sie auf Suchen.

    

  • Sie können aus den Logs sehen, dass der Traffic zum Internet über die Firewall geleitet wurde.

    1. Ziel-IP-Adresse ist 8.8.8.8.
    2. Protokoll ist ICMP.
    3. Quell-IP-Adresse ist 192.168.0.20.

    

  Dies zeigt, wie wir es geschafft haben, jeder VM eine andere Routingkonfiguration mit Ressourcen-Routing zu geben, obwohl sie sich innerhalb desselben Subnetzes befinden, wodurch eine fein granulierte Kontrolle über den Trafficfluss und die Netzwerkverwaltung optimiert wurden.

Beispiel 2: Internettraffic nur von Oracle Services Network trennen

Beispielziele:

In diesem Beispiel wird gezeigt, wie zwei Ressourcen innerhalb desselben Subnetzes mit verschiedenen Routen konfiguriert werden können, und wie Traffic über separate Gateways an das Oracle-Servicenetzwerk und das Internet geleitet wird. Linux-VM-1 erfordert nur Zugriff auf das Oracle-Servicenetzwerk, insbesondere OCI Object Storage, ohne Routing über das öffentliche Internet, das auf das Oracle Jeddah-Rechenzentrum beschränkt ist, während Linux-VM-2 einen ausgehenden Internetzugriff erfordert, d.h. Zugriff auf alle öffentlichen IP-Adressen, einschließlich der Adressen im Oracle-Servicenetzwerk. Ohne Routing pro Ressource müssen Sie jede Instanz in einem anderen Subnetz platzieren, um dieses Szenario zu erreichen.

Beispielvoraussetzungen:

Konfigurieren Sie einige wichtige Komponenten für dieses Design. Es handelt sich im Grunde um zwei Compute-Instanzen in einem privaten Subnetz.

• Erstellen Sie ein virtuelles Cloud-Netzwerk (Beispiel: MyVCN (192.168.0.0/16)). Weitere Informationen finden Sie unter VCN erstellen.

• Privates Subnetz erstellen. Weitere Informationen finden Sie unter Creating a Subnet.

  • Application-Private-Subnet (192.168.0.0/24). In diesem Tutorial weisen wir dem Subnetz die Standardroutentabelle und die Standardsicherheitsliste zu.

• NAT-Gateway in einem VCN erstellen. Ein NAT-Gateway ermöglicht Cloud-Ressourcen ohne öffentliche IP-Adressen den Zugriff auf das Internet und bietet nur ausgehende Konnektivität, ohne diese Ressourcen für eingehende Internetverbindungen freizugeben. Weitere Informationen finden Sie unter Creating a NAT Gateway.

• Erstellen Sie ein Servicegateway in einem VCN. Ein Servicegateway ermöglicht Ihrem VCN privaten Zugriff auf bestimmte Oracle-Services, ohne die Daten im öffentlichen Internet verfügbar zu machen. Für den Zugriff auf diese spezifischen Services ist kein Internetgateway oder NAT-Gateway erforderlich. Weitere Informationen finden Sie in Servicegateway erstellen.

• Erstellen Sie zwei Compute-Instanzen Linux-VM-1 und Linux-VM-2. Weitere Informationen finden Sie unter Aufgabe 2: OCI-Compute-Instanz bereitstellen. Berücksichtigen Sie folgende Punkte:

  • Der Name jeder Instanz
  • Verwenden Sie Oracle Linux als Betriebssystem.
  • Platzieren Sie beide Instanzen in demselben Subnetz, das Sie zuvor erstellt haben, und weisen Sie die IPs gemäß dem Design manuell zu.
  • OCI-Bastion-Plug-in aktivieren.

• Erstellen Sie einen OCI Bastion-Service und eine Session. Sie müssen damit sicher auf die Instanzen zugreifen, da sie sich in einem privaten Subnetz befinden, und dann am Ende des Setups testen. Berücksichtigen Sie die Unterschiede wie das Zielnetzwerk und die Instanz entsprechend den Komponenten, die Sie für dieses Tutorial erstellt haben. Weitere Informationen finden Sie unter Aufgabe 6.1: Mit Bastion und Test auf FE-VM-Compute-Instanz zugreifen.

Aufgabe 1: Benutzerdefinierte Routentabellen erstellen

• Gehen Sie zur OCI-Konsole.

  1. Navigieren Sie zum VCN.
  2. Bildlauf nach unten.
  3. Klicken Sie auf Routentabellen.
  4. Beachten Sie, dass eine Standardroutentabelle vorhanden ist, die automatisch mit dem VCN erstellt wird. Diese Tabelle ist Application-Private-Subnet zugewiesen, und alle VMs im Subnetz verwenden sie.

  

• Für dieses Tutorial erstellen wir jedoch benutzerdefinierte Routentabellen und weisen sie jeweils der VNIC der jeweiligen VM zu. Diese Methode bietet eine granularere Kontrolle über das Routing, sodass eine Abhängigkeit von der Routentabelle des Subnetzes vermieden wird. Klicken Sie auf Routentabelle erstellen.

  

• Erstellen Sie die erste Tabelle (Custom Route Table 1), die Linux-VM-1 zugewiesen wird, um Traffic über das Servicegateway weiterzuleiten und die Konnektivität zum Oracle-Servicenetzwerk zu ermöglichen, insbesondere für den Zugriff auf OCI Object Storage.

  1. Geben Sie den Namen für die Routentabelle ein.
  2. Klicken Sie auf +Another-Routingregel.

  

• Geben Sie unter Regel die folgenden Informationen ein.

  1. Wählen Sie unter Zieltyp die Option Servicegateway aus.
  2. Wählen Sie unter Ziel-CIDR-Block die Option Alle JED-Services in Oracle Services Network aus. Dadurch wird der Zugriff auf alle Oracle-Services sichergestellt, einschließlich OCI Object Storage, die wir am Ende testen werden. Wenn Sie OCI Bastion für die Verbindung zu den VMs verwenden, müssen Sie außerdem die erwähnte Option "Alle Services" auswählen, anstatt sie auf OCI Object Storage zu beschränken.
  3. Wählen Sie unter Zielservicegateway das Servicegateway aus, das in "Voraussetzungen" erstellt wurde.
  4. Klicken Sie auf Erstellen.

  

• Die Custom Route Table 1 wurde erfolgreich erstellt.

  

• Um die zweite Tabelle (Custom Route Table 2) zu erstellen, klicken Sie auf Routentabelle erstellen.

  

• Die Custom Route Table 2 wird Linux-VM-2 zugewiesen, um Traffic über das NAT-Gateway weiterzuleiten und eine unidirektionale Konnektivität zum Internet einschließlich OCI Object Storage-Endpunkt zu ermöglichen.

  1. Geben Sie den Namen für die Routentabelle ein.
  2. Klicken Sie auf +Another-Routingregel.

  

• Geben Sie unter Regel die folgenden Informationen ein.

  1. Wählen Sie unter Zieltyp die Option NAT-Gateway aus.
  2. Geben Sie unter Ziel-CIDR-Block 0.0.0.0/0 ein.
  3. Wählen Sie unter Ziel-NAT-Gateway das NAT-Gateway aus, das in "Voraussetzungen" erstellt wurde.
  4. Klicken Sie auf Erstellen.

  

• Die Custom Route Table 2 wurde erfolgreich erstellt.

  

Aufgabe 2: Benutzerdefinierte Routentabellen den VNICs zuweisen

• Beginnen wir mit Linux-VM-1.

  

  1. Beachten Sie, dass die VNIC der Instanz standardmäßig die Routentabelle verwendet, die an das Subnetz angehängt ist, in dem sich die VM befindet. In diesem Tutorial ist es Default Route Table for MyVCN. Unser Ziel ist es, die Routentabelle in "Routing pro Ressource" zu ändern, wobei die Instanz (VNIC) über eine eigene Routentabelle verfügt.
  2. Bildlauf nach unten.
  3. Klicken Sie auf Angehängte VNICs.
  4. Klicken Sie auf die drei Punkte rechts neben der primären VNIC.
  5. Klicken Sie auf VNIC bearbeiten.

  

  1. Standardmäßig verwendet jede VNIC die Routentabelle, die mit dem Subnetz verknüpft ist.
  2. Klicken Sie auf Benutzerdefinierte Routentabelle für die VNIC auswählen.

  

  1. Wählen Sie unter Routentabelle die Option Custom Route Table 1 aus.
  2. Beachten Sie, dass die Standardroutentabelle nicht geprüft wird, wenn Sie Routingentscheidungen treffen, nachdem Sie Ihre Konfiguration hier gespeichert haben.
  3. Klicken Sie auf Änderungen speichern.

  

• Die Custom Route Table 1 wurde der primären VNIC von Linux-VM-1 erfolgreich zugewiesen.

  

• Weisen Sie jetzt Linux-VM-2 zu.

  

  1. Beachten Sie, dass die VNIC der Instanz standardmäßig die Routentabelle verwendet, die an das Subnetz angehängt ist, in dem sich die VM befindet. In diesem Tutorial ist es Default Route Table for MyVCN. Unser Ziel ist es, die Routentabelle in "Routing pro Ressource" zu ändern, wobei die Instanz (VNIC) über eine eigene Routentabelle verfügt.
  2. Bildlauf nach unten.
  3. Klicken Sie auf Angehängte VNICs.
  4. Klicken Sie auf die drei Punkte rechts neben der primären VNIC.
  5. Klicken Sie auf VNIC bearbeiten.

  

  1. Standardmäßig verwendet jede VNIC die Routentabelle, die mit dem Subnetz verknüpft ist.
  2. Klicken Sie auf Benutzerdefinierte Routentabelle für die VNIC auswählen.

  

  1. Wählen Sie unter Routentabelle die Option Custom Route Table 2 aus.
  2. Beachten Sie, dass die Standardroutentabelle nicht geprüft wird, wenn Sie Routingentscheidungen treffen, nachdem Sie Ihre Konfiguration hier gespeichert haben.
  3. Klicken Sie auf Änderungen speichern.

  

• Die Custom Route Table 2 wurde der primären VNIC von Linux-VM-2 erfolgreich zugewiesen.

  

Aufgabe 3: OCI Object Storage-Bucket erstellen

Ein OCI Object Storage-Bucket ist ein logischer Container, mit dem Objekte (Dateien und Daten) in OCI gespeichert und organisiert werden.

• Gehen Sie zur OCI-Konsole, und klicken Sie in der oberen linken Ecke auf das Hamburger-Menü (≡).

  

  1. Klicken Sie auf Speicher.
  2. Klicken Sie auf Buckets.

  

• Klicken Sie auf Bucket erstellen.

  

  1. Geben Sie den Bucket-Namen ein.
  2. Klicken Sie auf Erstellen.

  

• Der Bucket Test-Bucket wurde erfolgreich erstellt. Klicken Sie nun auf den Bucket.

  

  

• Da der Bucket noch neu ist, werden Sie feststellen, dass er leer ist.

  

Aufgabe 4: Testen und validieren

Aufgabe 4.1: VMs für den Zugriff auf Oracle Services Network vorbereiten

• Der Instanz-Principal ist die Funktion im OCI-IAM-Service, mit der Sie Serviceaufrufe von einer Instanz ausführen können. Wir verwenden Instanz-Principals, um von einer Compute-Instanz ohne Zugangsdaten auf OCI Object Storage zuzugreifen. Weitere Informationen finden Sie unter OCI-CLI mit Instanz-Principal aufrufen.

  Zu erledigende Schritte:

  1. Erstellen Sie eine dynamische Gruppe (TestDG), um alle Instanzen in einem bestimmten Compartment (Linux-VM-1 und Linux-VM-2) einzuschließen.

     Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaaaaacmshv5fxxxxxxxxxxxxxxxykxgy3qvetychowq'}
     

  2. Erstellen Sie eine OCI-IAM-Policy.

     Allow dynamic-group TestDG to manage object-family in compartment AnasAbdallah
     

  Hinweis: Verwenden Sie in den oben genannten Policys den Namen der dynamischen Gruppe, den Compartment-Namen und die OCID.

• Wiederholen Sie die folgenden Schritte, nachdem Sie sich bei beiden Instanzen angemeldet haben: Linux-VM-1 und Linux-VM-2.

  • Führen Sie den folgenden Befehl aus, um die OCI-CLI auf Oracle Linux 8 zu installieren. Weitere Informationen finden Sie unter CLI installieren.

    sudo dnf -y install oraclelinux-developer-release-el8
    sudo dnf install python36-oci-cli
    

  • Um die OCI-CLI durch den erstmaligen Setupprozess zu führen, führen Sie den Befehl oci setup config aus.

    

    1. Drücken Sie die EINGABETASTE.
    2. Geben Sie die Benutzernamen-OCID ein.
    3. Geben Sie die Tenancy-OCID ein.
    4. Geben Sie den Regionsindex ein. Diese Umgebung wird in der Region Jeddah bereitgestellt, die 49 ist.
    5. Geben Sie Y ein, und drücken Sie die Eingabetaste.
    6. Drücken Sie die EINGABETASTE.

    

    1. Drücken Sie die EINGABETASTE.
    2. Der öffentliche API-Schlüssel wird in diesem Pfad gespeichert. Wir verwenden ihn in Kürze.
    3. Geben Sie eine neue Passphrase ein.
    4. Wiederholen Sie die Passphrase.

    

    1. Führen Sie den Befehl cat /home/opc/.oci/oci_api_key_public.pem aus, um den Public Key anzuzeigen.
    2. Kopieren Sie den Public Key.

    

    1. Gehen Sie zur OCI-Konsole, und navigieren Sie zu Ihrem Profil.
    2. Bildlauf nach unten.
    3. Klicken Sie auf API-Schlüssel.
    4. Klicken Sie auf API-Schlüssel hinzufügen.

    

    1. Wählen Sie Public Key einfügen aus.
    2. Fügen Sie den PublicKey ein,
    3. Klicken Sie auf Hinzufügen.

    

  • API-Schlüssel wurde erfolgreich hinzugefügt.

    

Aufgabe 4.2: Linux-VM-1 auf Oracle Services Network-Zugriff testen

• Gemäß der Konfiguration darf Linux-VM-1 nur ohne Internetzugriff auf OCI Object Storage zugreifen und verwendet ein Servicegateway.

  1. Um den Namen des OCI Object Storage-Namespace zu prüfen, führen Sie den Befehl oci os ns get aus.
  2. Notieren Sie sich den Namespace, wie Sie ihn im nächsten Befehl verwenden.
  3. Führen Sie den Befehl oci os object list --bucket-name <bucket-name> --namespace <namespace> aus, um die Objekte in Test-Bucket aufzulisten.
  4. Der Bucket ist leer.

  

  Hinweis: Der OCI Object Storage-Namespace dient als Container der obersten Ebene für alle Buckets und Objekte im Mandanten. Bei der Accounterstellung wird jedem OCI-Mandanten ein eindeutiger systemgenerierter und unveränderlicher OCI Object Storage-Namespace-Name zugewiesen.

  1. Erstellen Sie eine Textdatei mit dem Namen object1.txt, und schreiben Sie abc in die Datei.
  2. Zeigen Sie den Inhalt der Datei an.
  3. Als Ausgabe wird "abc" angezeigt.

  

  1. Um object1.txt in Test-Bucket hochzuladen, führen Sie den Befehl oci os object put -ns <namespace> -bn <bucket-name> --file <file-path> aus.
  2. Upload ist abgeschlossen.

  

• Um zu prüfen, ob die Datei hochgeladen wurde, gehen Sie zur Seite Bucket-Details.

  

• Bildlauf nach unten.

  1. Klicken Sie auf Objekte.
  2. Beachten Sie, dass die Datei object1.txt erfolgreich in Test-Bucket hochgeladen wurde. Sie können den Inhalt der Datei überprüfen, indem Sie sie herunterladen.

  

• Eine weitere Sache zu testen ist die Internet-Konnektivität von Linux-VM-1.

  1. Ping 8.8.8.8, die öffentliche IP des DNS-Servers von Google. Entsprechend der Konfiguration, die wir einrichten, sollte Linux-VM-1 keine Internetverbindung haben.
  2. Wie Sie sehen, scheitert Ping.

  

Aufgabe 4.3: Linux-VM-2 auf Internetzugriff testen

• Gemäß der Konfiguration muss Linux-VM-2 über Internetkonnektivität verfügen. Dazu gehört der Zugriff auf OCI Object Storage, der über das NAT-Gateway erfolgt. Obwohl sich beide VMs im selben Subnetz befinden, können sie mit dem Routing pro Ressource verschiedene Netzwerkpfade verwenden. Dies ist das Schlüsselkonzept hinter diesem Setup.

  1. Um den Namen des OCI Object Storage-Namespace zu prüfen, führen Sie den Befehl oci os ns get aus.
  2. Notieren Sie sich den Namespace, wie Sie ihn im nächsten Befehl verwenden.
  3. Führen Sie den Befehl oci os object list --bucket-name <bucket-name> --namespace <namespace> aus, um die Objekte in Test-Bucket aufzulisten.
  4. Die Datei object1.txt wird im Bucket angezeigt, den wir in Aufgabe 4.2 hochgeladen haben.

  

  Hinweis: Der OCI Object Storage-Namespace dient als Container der obersten Ebene für alle Buckets und Objekte im Mandanten. Bei der Accounterstellung wird jedem OCI-Mandanten ein eindeutiger systemgenerierter und unveränderlicher OCI Object Storage-Namespace-Name zugewiesen.

  1. Erstellen Sie eine Textdatei mit dem Namen object2.txt, und schreiben Sie def in die Datei.
  2. Zeigen Sie den Inhalt der Datei an.
  3. Als Ausgabe wird def angezeigt.

  

  1. Um object2.txt in Test-Bucket hochzuladen, führen Sie den Befehl oci os object put -ns <namespace> -bn <bucket-name> --file <file-path> aus.
  2. Upload ist abgeschlossen.

  

• Um zu prüfen, ob die Datei hochgeladen wurde, gehen Sie zu Bucket-Details.

  

• Bildlauf nach unten.

  1. Klicken Sie auf Objekte.
  2. Beachten Sie, dass die Datei object2.txt erfolgreich in Test-Bucket hochgeladen wurde. Sie können den Inhalt der Datei überprüfen, indem Sie sie herunterladen.

  

• Eine weitere Sache zu testen ist die Internet-Konnektivität von Linux-VM-2.

  1. Ping 8.8.8.8, die öffentliche IP des DNS-Servers von Google. Entsprechend der Konfiguration, die wir eingerichtet haben, sollte Linux-VM-2 auch über Internetkonnektivität verfügen.
  2. Ping ist erfolgreich.

  

Schlussfolgerung

In diesem Tutorial werden zwei ausführliche technische Beispiele vorgestellt, wie das Routing pro Ressource in OCI eine präzise Kontrolle über den Netzwerktraffic ermöglicht, indem benutzerdefinierte Routentabellen direkt auf einzelne VNICs innerhalb desselben Subnetzes angewendet werden können. Außerdem wurden die wichtigsten Unterschiede zwischen Routentabellen auf Ressourcenebene und herkömmlichen Routentabellen auf Subnetzebene hervorgehoben. Dabei wurde die Flexibilität und Effizienz hervorgehoben, die dieses Feature für das moderne Cloud-Netzwerkdesign bietet.

Danksagungen

• Autoren – Anas Abdallah (Cloud Networking Specialist), Sachin Sharma (Cloud Networking Specialist)

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Configure Per-resource Routing in Oracle Cloud Infrastructure

G31561-02

Copyright ©2025, Oracle and/or its affiliates.