Dépannage des VCN

Changements cassants de l'API

Si une personne de votre organisation met en oeuvre un sous-réseau régional, vous devrez mettre à jour le code client qui fonctionne avec les sous-réseaux et les adresses IP privées du service Réseau. Il est possible qu'il y ait des changements cassants de l'API. Pour plus d'informations, voir la note régionale sur la version du sous-réseau .

Points d'extrémité de résolveur DNS

Les groupes de sécurité de réseau servent de pare-feu virtuel pour vos points d'extrémité de résolveur DNS. Un groupe de sécurité de réseau est constitué d'un jeu de règles de sécurité de trafic entrant et sortant qui s'appliquent uniquement aux points d'extrémité de résolveur DNS associés.

Adresse IP secondaire

Si vous avez affecté une adresse IP secondaire à une carte VNIC secondaire et que vous utilisez un routage basé sur des politiques pour la carte VNIC secondaire, configurez les règles de routage pour que l'instance recherche l'adresse IP secondaire dans la même table de routage, à l'aide de la commande ip rule add from <source address> lookup <table name>.

DNS dans votre VCN

L'option DHCP du serveur de noms de domaine sert à spécifier le type de DNS pour le sous-réseau associé. Si vous modifiez la valeur de l'option, redémarrez le client DHCP sur l'instance ou redémarrez cette dernière. Sinon, la modification n'est pas prise en compte tant que le client DHCP actualise la location (dans les 24 heures).

Par défaut, le résolveur Internet et VCN ne permet pas aux instances de résoudre les noms des hôtes dans votre réseau sur place connecté à votre réseau VCN par RPV site à site ou FastConnect. Cette fonctionnalité peut être obtenue à l'aide d'un résolveur personnalisé ou en configurant le résolveur DNS privé du réseau VCN.

Exigences pour les étiquettes et les noms d'hôte DNS

Étiquettes de réseau VCN et de sous-réseau : 15 caractères alphanumériques au maximum et doivent commencer par une lettre. Remarquez que les tirets et les traits de soulignement NE SONT PAS autorisés. La valeur ne peut pas être modifiée ultérieurement.
Noms d'hôte : 63 caractères, lettres et chiffres au maximum sont autorisés. Les tirets sont autorisés. Notez que les points ne sont PAS autorisés, que les traits d'union ne sont pas autorisés au début ou à la fin du nom d'hôte et que ce dernier ne peut pas contenir uniquement des chiffres. Les noms d'hôte doivent être conformes aux documents RFC 952 et 1123. La valeur peut être modifiée ultérieurement.

Ne confondez pas l'étiquette ou le nom d'hôte DNS avec le nom convivial que vous pouvez affecter à l'objet (le nom d'affichage), qui ne doit pas être unique.

Pour plus d'informations, voir À propos des domaines et noms d'hôte DNS.

Pare-feux

Les instances de calcul exécutant des images de plate-forme comportent également des règles de pare-feu de système d'exploitation qui contrôlent l'accès à l'instance. Lors du diagnostic de l'accès à une instance, assurez-vous que tous les éléments suivants sont définis correctement :

Règles des groupes de sécurité de réseau dans lesquels se trouve l'instance
Règles dans les listes de sécurité associées au sous-réseau de l'instance
Règles de pare-feu du système d'exploitation de l'instance

Si une instance exécute Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 ou Oracle Linux Cloud Developer 8, vous devez utiliser firewalld pour interagir avec les règles iptables. À titre de référence, voici les commandes d'ouverture d'un port (1521 dans cet exemple) :

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

Pour les instances dotées d'un volume de démarrage iSCSI, la commande --reload précédente peut provoquer des problèmes. Pour plus d'informations et une solution de rechange, voir Le système des instances se bloque après l'exécution de firewall-cmd --reload.

Le SMTP sortant est bloqué

Les locations effectuées après le 23 juin 2021 ne sont pas autorisées par défaut à envoyer des courriels au moyen du port TCP 25 sortant vers Internet. Les locations effectuées avant le 23 juin 2021 ne sont pas concernées. Si vous avez besoin de pouvoir envoyer des courriels à partir de votre location, ouvrez une demande de limites de service pour obtenir une exemption.

Échec des nouvelles connexions à une instance de calcul

Oracle se sert du suivi de connexion pour autoriser les réponses au trafic qui correspond aux règles avec état. Pour chaque instance de calcul, un nombre maximal de connexions concurrentes peuvent faire l'objet d'un suivi en fonction de la forme de l'instance. Si vous atteignez la limite de suivi pour les connexions à l'instance, toutes les nouvelles sont abandonnées.

Pour voir si les nouvelles connexions sont abandonnées à l'aide de la console, vérifiez les mesures liées à la carte vNIC de l'instance :

Vérifiez que vous êtes bien dans le compartiment qui contient l'instance qui vous intéresse.
Ouvrez le menu de navigation et sélectionnez Calcul. Sous Calcul, sélectionnez Instances.
Cliquez sur l'instance pour en voir les détails.
Sous Ressources, cliquez sur Cartes vNIC attachées.

La carte vNIC principale et les cartes vNIC secondaires attachées à l'instance sont affichées.
Cliquez sur la carte vNIC qui vous intéresse.
Sous mesures, quatre tables s'appliquent au suivi des connexions :
- PAQUETS ENTRANTS ABANDONNÉS À CAUSE DE LA SATURATION DE LA TABLE DE SUIVI DES CONNEXIONS
  Toute valeur autre que zéro indique que la table de suivi est pleine.
- PAQUETS SORTANTS ABANDONNÉS À CAUSE DE LA SATURATION DE LA TABLE DE SUIVI DES CONNEXIONS
  Toute valeur autre que zéro indique que la table de suivi est pleine.
- UTILISATION DE LA TABLE DE SUIVI DES CONNEXIONS
  La valeur 100 % indique que la table de suivi est pleine.
- TABLE DE SUIVI DES CONNEXIONS PLEINE
  La valeur 1/Vrai indique que la table de suivi est pleine.

Si la table de suivi est pleine, vous pouvez résoudre le problème des connexions en échec et des paquets abandonnés en mettant en oeuvre l'une des modifications suivantes :

Transformer les règles de trafic entrant avec état en règles sans état (veillez à créer une règle de trafic sortant sans état correspondante pour autoriser les réponses)
Passer à une forme de calcul plus grande avec une limite de connexion supérieure

Suppression de sous-réseau ou de réseau en nuage virtuel

Cette rubrique décrit les motifs possibles de l'échec de la suppression d'un sous-réseau ou d'un réseau en nuage virtuel.

N'oubliez pas ce qui suit :

Pour être supprimé, un réseau en nuage virtuel doit d'abord être vide et n'être associé à aucune ressource connexe ni passerelle (par exemple, aucune passerelle Internet, passerelle de routage dynamique, etc.).
Pour pouvoir être supprimés, les sous-réseaux d'un VCN doivent d'abord être vides (par exemple, aucune carte vNIC ou aucun point d'extrémité de résolveur n'est hébergé dans le sous-réseau).

Option Tout supprimer

La console comporte un processus "Tout supprimer" facile qui balaye les compartiments sélectionnés, puis supprime un réseau VCN et les ressources de réseau connexes (sous-réseaux, tables de routage, listes de sécurité, jeux d'options DHCP, passerelle Internet, etc.). Si le VCN est attaché à une passerelle de routage dynamique (DRG), le processus supprime l'attachement, mais la passerelle DRG est conservée.

Le processus "Tout supprimer" supprime une ressource à la fois. La suppression d'un réseau VCN comportant de nombreux compartiments et ressources prend plus de temps que la suppression d'un VCN qui n'en comporte que quelques-uns. Un rapport de progression affiche les résultats du balayage des ressources et de leur suppression.

Note

Avant d'utiliser le processus "Tout supprimer", vérifiez qu'aucune ressource telle qu'une instance de calcul, un équilibreur de charge, un système de base de données OCI ou une cible de montage orpheline n'est présente dans aucun sous-réseau. Si l'une de ces ressources est présente, le processus de suppression s'arrête lors de la tentative de suppression du sous-réseau de la ressource. Les ressources de VCN supprimées sont irrécupérables. Pour plus d'informations, voir Suppression de sous-réseau ou de réseau en nuage virtuel.

Si un sous-réseau contient encore des ressources, ou si vous n'êtes pas autorisé à supprimer une ressource de réseau donnée, le processus "Tout supprimer" s'arrête et retourne un message d'erreur qui inclut les OCID des ressources et sous-réseaux bloquants, sous forme de lien permettant d'accéder à la page de détails de la ressource concernée. Parfois, vous pouvez avoir besoin de communiquer avec l'administrateur de la location pour qu'il vous aide à supprimer les ressources restantes si vous ne disposez pas des autorisations nécessaires.

Le sous-réseau n'est pas vide

La raison la plus courante pour laquelle la suppression d'un sous-réseau (et donc d'un réseau VCN) n'est pas possible est qu'il contient une ou plusieurs des ressources suivantes :

Équilibreur de charge
Cible de montage orpheline du stockage de fichiers
Hôte bastion
Systèmes de base de données OCI (service Exadata Database sur une infrastructure dédiée, Autonomous Database sur une infrastructure Exadata dédiée ou des systèmes de base de données de base)

Note

Lors de la création d'une des ressources précédentes, vous spécifiez un réseau VCN et un sous-réseau pour elle. Le service pertinent crée au moins une carte vNIC dans le sous-réseau et associe celle-ci à la ressource. Le service gérant les cartes vNIC pour vous, elles ne vous seront donc pas directement visibles dans la console. La carte vNIC permet à la ressource de communiquer avec d'autres ressources sur le réseau. Bien que cette documentation indique de façon générale que la ressource figure dans le sous-réseau, il s'agit en fait de la carte vNIC associée à cette ressource. Cette documentation utilise le terme ressource parent pour faire référence à ce type de ressource.

Si le sous-réseau est vide lorsque vous tentez de le supprimer, son état passe brièvement à FIN EN COURS, puis à ARRÊTÉ.

Si le sous-réseau n'est pas vide, vous recevez à la place une erreur indiquant qu'il reste encore des ressources que vous devez d'abord supprimer. L'erreur inclut l'OCID d'une carte vNIC qui se trouve dans le sous-réseau (même s'il y a plusieurs cartes, l'erreur ne retourne seulement qu'un seul OCID).

Vous pouvez utiliser l'interface de ligne de commande d'Oracle Cloud Infrastructure ou une autre trousse SDK ou un autre client pour appeler l'opération GetVnic avec l'OCID de la carte VNIC. Cette réponse comprend le nom d'affichage de la carte vNIC. Selon le type de ressource parent, le nom d'affichage peut indiquer à quelle ressource la carte vNIC appartient. Vous pouvez alors supprimer cette ressource parent ou communiquer avec votre administrateur pour déterminer qui en est responsable. Quand la ressource parent de la carte vNIC est supprimée, cette dernière l'est également du sous-réseau. S'il reste des cartes vNIC dans le sous-réseau, répétez le processus de détermination et de suppression de chaque ressource parent jusqu'à ce que le sous-réseau soit vide. Vous pouvez ensuite supprimer le sous-réseau.

Par exemple, avec l'interface de ligne de commande, utilisez cette commande pour obtenir des informations sur la carte vNIC.

oci network vnic get --vnic-id <VNIC_OCID>

Exemple d'équilibreur de charge

Voici un exemple de réponse à l'interface de ligne de commande pour une carte vNIC qui appartient à un équilibreur de charge. Le nom d'affichage montre l'OCID de l'équilibreur de charge :

{
  "data": {
    "availability-domain": "fooD:PHX-AD-1", 
    "compartment-id": "ocid1.compartment.oc1..<unique_id_1>", 
    "defined-tags": {}, 
    "display-name": "VNIC for LB ocid1.loadbalancer.oc1.phx.<unique_id_2>", 
    "freeform-tags": {}, 
    "hostname-label": null, 
    "id": "ocid1.vnic.oc1.phx.<unique_id_3>", 
    "is-primary": false, 
    "lifecycle-state": "AVAILABLE", 
    "mac-address": "00:00:17:00:BB:CA", 
    "private-ip": "10.0.0.6", 
    "public-ip": null, 
    "skip-source-dest-check": false, 
    "subnet-id": "ocid1.subnet.oc1.phx.<unique_id_4>", 
    "time-created": "2019-05-11T04:28:31.950000+00:00"
  }, 
  "etag": "5d8213fa"
}

Exemple du service de stockage de fichiers

Voici un exemple pour une carte VNIC qui appartient à une cible de montage Stockage de fichiers :

"display-name": "fss-<integer>",

Bien que le nom d'affichage n'inclue pas d'OCID, les caractères fss indiquent que la ressource concerne le service Stockage de fichiers.

Exemple de base de données

Voici un exemple du nom d'affichage d'une carte vNIC qui appartient à un système de base de données :

"display-name": "ocid1.dbnode.oc1.phx.<unique_id>",

Un groupe de sécurité de réseau n'est pas vide

Une autre raison pour laquelle la suppression du réseau VCN n'est pas possible est qu'elle contient un ou plusieurs groupes de sécurité de réseau (NSG) qui ne sont pas encore vides. Pour être supprimé, un groupe de sécurité de réseau ne doit contenir aucune carte vNIC (ou ressources parents avec des cartes vNIC). Vous pouvez déterminer les ressources parents qui figurent dans un groupe de sécurité à l'aide de la console ou de l'API REST. Pour plus d'informations, voir Suppression d'un groupe de sécurité de réseau.

Des ressources se trouvent dans des compartiments auxquels vous n'avez pas accès

Il se peut que vous ne voyiez pas toutes les ressources dans un sous-réseau ou réseau en nuage virtuel. En effet, les sous-réseaux et les réseaux VCN peuvent contenir des ressources dans plusieurs compartiments , et vous n'avez peut-être pas accès à tous. Par exemple, le sous-réseau peut contenir des instances que votre équipe gère, mais aussi des systèmes de base de données gérés par une autre équipe. Autre exemple : le réseau VCN peut avoir des listes de sécurité ou une passerelle d'un compartiment qu'une autre équipe gère. Vous aurez peut-être besoin de communiquer avec l'administrateur de votre location pour vous aider à déterminer qui est responsable des ressources dans le sous-réseau ou le réseau VCN.

Échec de la réaffectation d'une passerelle LPG

Détails

Une passerelle LPG créée pour une connexion d'appairage local spécifique ne peut pas être réutilisée pour être utilisée dans une nouvelle connexion d'appairage local différente.

Si vous tentez de le faire, vous pouvez voir le message d'erreur The Local Peering Gateway with ID <LPG_OCID> has already been connected dans les cas suivants :

La passerelle LPG 1 du VCN 1 a déjà été connectée à la passerelle LPG 2 dans le VCN 2.
Le VCN 1 (y compris la passerelle LPG 1) est ensuite supprimé. Le statut d'appairage de la passerelle LPG 2 passe à Révoqué ou détruit.
Vous essayez de connecter LPG 2 à LPG 3.

Vous pouvez également voir un message légèrement différent (A peering with VCN <VCN_OCID> has already been established) lorsque :

La passerelle LPG 1 du VCN 1 a déjà été connectée à la passerelle LPG 2 dans le VCN 2.
La GPL 2 est ensuite supprimée. Le statut d'appairage de la passerelle LPG 1 passe à Révoqué ou détruit.
Vous tentez de connecter la passerelle LPG 1 à la passerelle LPG 3 (qui peut être une nouvelle passerelle LPG dans VCN 2 ou tout autre VCN).

Solution suggérée

Effectuez les opérations suivantes :

Supprimez la passerelle LPG que vous tentez de réutiliser.
Si cette suppression est erronée avec 409 - Local Peering Gateway <LPG_OCID> is associated with one or more entities that are in use, la passerelle d'appairage local est probablement mentionnée dans les règles de routage dans une ou plusieurs tables de routage. Vérifiez les tables de routage de votre VCN et supprimez-les des tables de routage pertinentes, puis réessayez de supprimer la passerelle LPG.
Créez une nouvelle passerelle LPG et appairez-la à une nouvelle passerelle LPG dans le VCN souhaité.

Documentation sur Oracle Cloud Infrastructure