Documentación de Oracle Cloud Infrastructure

Solución de problemas de VCN

Nuevos cambios en las API

Si alguien de la organización implanta una subred regional, es posible que deba actualizar cualquier código de cliente que funcione con subredes del servicio Networking e IP privadas. Existen posibles cambios importantes en la API. Para obtener más información, consulte la nota de versión de la subred regional.

Puntos finales de solucionador de DNS

Los grupos de seguridad de red (NSG) actúan como un firewall virtual para los puntos finales de solucionador de DNS. Un grupo de seguridad de red (NSG) consta de un juego de reglas de seguridad de entrada y salida que se aplican solo a los puntos finales de solucionador de DNS asociados.

Dirección IP secundaria

Si ha asignado una IP secundaria a una VNIC secundaria y está utilizando el enrutamiento basado en políticas para la VNIC secundaria, configure las reglas de ruta para que la instancia busque la misma tabla de rutas para la dirección IP secundaria mediante el comando ip rule add from <source address> lookup <table name>.

DNS en la VCN

Utilice la opción DHCP de servidor de nombres de dominio para especificar el tipo DNS para la subred asociada. Si cambia el valor de la opción, reinicie la instancia o reinicie el DHCP del cliente en esta. De lo contrario, el cambio no se selecciona hasta que el cliente DHCP refresque la cesión (dentro de 24 horas).

Por defecto, el solucionador de Internet y VCN no permite que las instancias solucionen los nombres de host en la red local conectada a la VCN mediante la VPN de sitio a sitio o FastConnect. Esa funcionalidad se puede lograr utilizando un solucionador personalizado o mediante la configuración del solucionador de DNS privado de la VCN.

Requisitos para Etiquetas y Nombres de Host de DNS

  • VCN y etiquetas de subred: máximo 15 caracteres alfanuméricos y con una letra al inicio. Tenga en cuenta que NO se permiten guiones y guiones bajos. El valor no se puede cambiar más adelante.
  • Nombres de host: se permite un máximo de 63 caracteres, letras y números. Los guiones están permitidos. Tenga en cuenta que NO están permitidos los puntos, que no están permitidos los guiones al principio o al final del nombre de host y que el nombre de host no puede constar solo de números. Los nombres de host deben cumplir con los RFC 952 y 1123. El valor puede cambiarse posteriormente.

No se debe confundir la etiqueta o el nombre de host de DNS con el nombre fácil de recordar que puede asignar al objeto (el nombre mostrado), que no necesita ser único.

Consulte Acerca de los dominios y nombres de host de DNS para obtener más información.

Firewalls

Las instancias que ejecutan imágenes de plataforma también tienen reglas de firewall del sistema operativo que controlan el acceso a la instancia. Al solucionar el problema de acceso a una instancia, asegúrese de que todos los elementos siguientes están definidos correctamente:

  • Las reglas de los grupos de seguridad de red en los que está la instancia
  • Las reglas de las listas de seguridad asociadas a la subred de la instancia
  • Las reglas de firewall del sistema operativo de la instancia

Si la instancia está ejecutando Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 u Oracle Linux Cloud Developer 8, debe usar firewalld para interactuar con las reglas de iptables. A continuación se muestran los comandos para abrir un puerto (1521 en este ejemplo):

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

Para instancias con un volumen de inicio iSCSI, el comando --reload anterior puede causar problemas. Para obtener información detallada y una solución alternativa, consulte Bloqueo del sistema de experiencias en instancias al ejecutar el firewall-cmd --reload.

El SMTP saliente está bloqueado

Por defecto, los arrendamientos realizados después del 23 de junio de 2021 no pueden enviar correos electrónicos a través del puerto TCP 25 de salida a internet. Los arrendamientos realizados antes del 23 de junio de 2021 no se ven afectados. Si necesita la capacidad de enviar correos electrónicos desde su arrendamiento, abra una solicitud de límites de servicio para obtener una exención.

Las nuevas conexiones a una instancia informática están fallando

Oracle utiliza el seguimiento de conexiones para permitir respuestas para el tráfico que coincide con las reglas con estado. Cada instancia informática tiene un número máximo de conexiones simultáneas de las que puede realizarse un seguimiento, según la unidad de la instancia. Si alcanza el límite de seguimiento de conexiones de instancia, se borrarán todas las conexiones nuevas a la instancia.

Para utilizar la consola y ver si se están borrando nuevas conexiones, compruebe las métricas de VNIC de la instancia:

  1. Confirme que ve el compartimiento que contiene la instancia en la que está interesado.
  2. Abra el menú de navegación y haga clic en Recursos informáticos. En Recursos informáticos, haga clic en Instancias.
  3. Haga clic en la instancia para ver los detalles.

  4. En Recursos, haga clic en VNIC asociadas.

    Se muestran la VNIC principal y cualquier VNIC secundaria asociadas a la instancia.

  5. Haga clic en la VNIC que desee.
  6. En Métricas, cuatro tablas son relevantes para el seguimiento de conexiones:
    • PAQUETES DE ENTRADA BORRADOS POR LA TABLA DE SEGUIMIENTO DE CONEXIONES COMPLETA

      Cualquier valor distinto de cero indica que la tabla de seguimiento está llena.

    • PAQUETES DE SALIDA BORRADOS POR LA TABLA DE SEGUIMIENTO DE CONEXIONES COMPLETA

      Cualquier valor distinto de cero indica que la tabla de seguimiento está llena.

    • UTILIZACIÓN DE TABLA DE SEGUIMIENTO DE CONEXIONES

      El valor 100 % indica que la tabla de seguimiento está llena.

    • TABLA DE SEGUIMIENTO DE CONEXIONES COMPLETA

      El valor 1/True indica que la tabla de seguimiento está llena.

Si la tabla de seguimiento está llena, puede resolver el problema de las conexiones fallidas y los paquetes borrados mediante la implantación de uno de los siguientes cambios:

  • Cambie las reglas de entrada con estado a reglas sin estado (recuerde crear la regla de salida sin estado correspondiente para permitir las respuestas)
  • Cambie a una unidad de computación más grande que tenga un límite de conexión más alto

Supresión de una subred o VCN

En este tema se tratan los motivos por los que es posible que falle la supresión de una subred o VCN.

Recuerde:

  • Para suprimir una VCN, primero debe estar vacía y no tener recursos relacionados o gateways asociados (por ejemplo, ningún gateway de internet, gateway de enrutamiento dinámico, etc.).
  • Para suprimir las subredes de una VCN, primero deben estar vacías (por ejemplo, ningún punto final de solucionador ni VNIC alojados en la subred).

Suprimir todas las opciones

La consola tiene un sencillo proceso "Suprimir todo" que explora los compartimentos seleccionados y, a continuación, suprime una VCN y sus recursos de red relacionados (subredes, tablas de rutas, listas de seguridad, juegos de opciones DHCP, gateway de Internet, etc.). Si la VCN está asociada a un gateway de enrutamiento dinámico (DRG), el proceso suprime la asociación, pero el DRG permanece.

El proceso "Suprimir todo" suprime un recurso a la vez. Una VCN con muchos compartimentos y recursos tarda más en suprimirse que una VCN con solo unos pocos. Se muestra un informe de progreso para mostrar los resultados del análisis de recursos y la supresión de esos recursos.

Nota

Antes de utilizar el proceso "Suprimir todo", verifique que no haya recursos como instancias informáticas, equilibradores de carga, sistemas de base de datos OCI o destinos de montaje huérfanos en ninguna de las subredes. Si hay alguno de estos elementos, el proceso de supresión se detiene al intentar suprimir la subred del recurso. Los recursos de VCN suprimidos son irrecuperables. Para obtener más información, consulte Supresión de una subred o VCN.

Si alguna subred aún contiene recursos o si no tiene permiso para suprimir un recurso de red concreto, el proceso "Suprimir todo" se para y devuelve un mensaje de error que incluye los OCID de los recursos y subredes de bloqueo, que enlazan a la página de detalles de ese recurso. En algunos casos, puede que necesite ponerse en contacto con el administrador de su arrendamiento para ayudarle a suprimir los recursos restantes si no tiene los permisos necesarios.

La subred no está vacía

El motivo más común por el que no se puede suprimir una subred (y, por lo tanto, una instancia de la VCN) es porque la subred contiene uno o más de estos recursos:

Nota

Al crear uno de los recursos anteriores, debe especificar una VCN y una subred para esta. El servicio pertinente crea al menos una VNIC en la subred y la adjunta al recurso. El servicio gestiona las VNIC en su nombre, de modo que no sean fácilmente visibles en la consola. La VNIC permite que el recurso se comunique con otros recursos a través de la red. Aunque esta documentación suele tratar sobre el recurso en sí mismo en la subred, en realidad es la VNIC conectada del recurso. Esta documentación utiliza el término recurso principal para consultar este tipo de recurso.

Si la subred está vacía al intentar suprimirla, su estado cambia a EN FINALIZACIÓN brevemente y, a continuación, a FINALIZADO.

Si la subred no está vacía, en su lugar, aparece un error que indica que todavía hay recursos que debe suprimir. El error incluye el OCID de una VNIC que esté en la subred (podría haber más, pero el error devuelve solo un OCID de un solo VNIC).

Puede utilizar la interfaz de la línea de comandos (CLI) de Oracle Cloud Infrastructure, otro SDK o cliente para llamar a la operación GetVnic con el OCID de la VNIC. La respuesta incluye el nombre mostrado de la VNIC. Según el tipo de recurso principal, el nombre mostrado puede indicar a qué recurso principal pertenece la VNIC. A continuación, puede suprimir el recurso principal o ponerse en contacto con el administrador para determinar quién es el propietario del recurso. Cuando se suprima el recurso principal de la VNIC, la VNIC conectada también se suprimirá de la subred. Si hay VNIC restantes en la subred, repita el proceso para determinar y suprimir cada recurso principal hasta que la subred esté vacía. A continuación, puede suprimir la subred.

Por ejemplo, si está usando la CLI, use este comando para obtener información sobre la VNIC.

oci network vnic get --vnic-id <VNIC_OCID>

Ejemplo de equilibrador de carga

A continuación, se muestra un ejemplo de respuesta de la CLI para una VNIC que pertenece a un equilibrador de carga. El nombre mostrado muestra el OCID del equilibrador de carga:

{
  "data": {
    "availability-domain": "fooD:PHX-AD-1", 
    "compartment-id": "ocid1.compartment.oc1..<unique_id_1>", 
    "defined-tags": {}, 
    "display-name": "VNIC for LB ocid1.loadbalancer.oc1.phx.<unique_id_2>", 
    "freeform-tags": {}, 
    "hostname-label": null, 
    "id": "ocid1.vnic.oc1.phx.<unique_id_3>", 
    "is-primary": false, 
    "lifecycle-state": "AVAILABLE", 
    "mac-address": "00:00:17:00:BB:CA", 
    "private-ip": "10.0.0.6", 
    "public-ip": null, 
    "skip-source-dest-check": false, 
    "subnet-id": "ocid1.subnet.oc1.phx.<unique_id_4>", 
    "time-created": "2019-05-11T04:28:31.950000+00:00"
  }, 
  "etag": "5d8213fa"
}

Ejemplo de almacenamiento de archivos

A continuación, se muestra un ejemplo para una VNIC que pertenece a un destino de montaje de File Storage:

"display-name": "fss-<integer>",

Aunque el nombre mostrado no incluye un OCID, los caracteres fss indican que el recurso es para el servicio de almacenamiento de archivos.

Ejemplo de base de datos

A continuación, se muestra un ejemplo del nombre mostrado para una VNIC que pertenece a un sistema de base de datos:

"display-name": "ocid1.dbnode.oc1.phx.<unique_id>",

Grupo de seguridad de red que no está vacío

Otro motivo por el cual no se puede suprimir una VCN es porque contiene uno o más grupos de seguridad de red (NSG) que aún no están vacíos. Para suprimir un NSG, no debe contener ninguna VNIC (ni recursos principales con VNIC). Puede determinar qué recursos principales están en un NSG mediante la consola o la API de REST. Para obtener más información, consulte Supresión de un NSG.

Recursos en los compartimientos a los que no tiene acceso

Es posible que no pueda ver todos los recursos en una subred o en la VCN. Esto se debe a que las subredes y las VCN pueden contener recursos en varios compartimientos, y es posible que no tenga acceso a todos ellos. Por ejemplo, la subred puede contener instancias que gestiona su equipo, pero también sistemas de base de datos que gestiona otro equipo. Otro ejemplo: la VCN puede tener listas de seguridad o una puerta de enlace en un compartimiento que gestiona otro equipo. Es posible que tenga que ponerse en contacto con su administrador de arrendamiento para ayudarle a determinar quién es el propietario de los recursos en la subred o en la VCN.

La readaptación de un LPG falla

Detalles
Un LPG creado para una conexión de intercambio local específica no se puede volver a plantear para que se utilice en una conexión de intercambio local nueva y diferente.
Si intenta hacerlo, es posible que aparezca el mensaje de error The Local Peering Gateway with ID <LPG_OCID> has already been connected cuando:
  1. El LPG 1 en la VCN 1 se conectó correctamente una vez al LPG 2 en la VCN 2.
  2. La VCN 1 (incluido el LPG 1) se suprime posteriormente. El estado de intercambio de tráfico LPG 2 cambia a revocado o destruido.
  3. Intenta conectar el LPG 2 al LPG 3.

También puede ver un mensaje ligeramente diferente (A peering with VCN <VCN_OCID> has already been established) cuando:

  1. El LPG 1 en la VCN 1 se conectó correctamente una vez al LPG 2 en la VCN 2.
  2. El GLP 2 se suprime posteriormente. El estado de intercambio de tráfico LPG 1 cambia a revocado o destruido.
  3. Intenta conectar el LPG 1 al LPG 3 (que podría ser un nuevo LPG en la VCN 2 o cualquier otra VCN).
Solución sugerida
Realice las siguientes acciones:
  1. Suprima el LPG que intenta reutilizar.

    Si esta supresión genera errores con 409 - Local Peering Gateway <LPG_OCID> is associated with one or more entities that are in use, es probable que el LPG se mencione en las reglas de ruta en una o más tablas de rutas. Revise las tablas de rutas de su VCN, elimine esas rutas de las tablas de rutas relevantes y, a continuación, vuelva a intentar suprimir el LPG.

  2. Cree un nuevo LPG y péguelo con un LPG nuevo en la VCN deseada.