Documentation Oracle Cloud Infrastructure

Dépannage du réseau cloud virtuel

Modifications d'API avec rupture

Si une personne de votre organisation implémente un sous-réseau régional, vous devrez peut-être mettre à jour tout code client qui fonctionne avec des adresses IP privées et des sous-réseaux de service Networking. Des modifications d'API avec rupture sont possibles. Pour plus d'informations, reportez-vous à la note sur la version concernant les sous-réseaux régionaux .

Adresses de résolveur DNS

Les groupes de sécurité réseau servent de pare-feu virtuels pour les adresses de résolveur DNS. Un groupe de sécurité réseau est un ensemble de règles de sécurité entrantes et sortantes qui ne s'appliquent qu'aux adresses de résolveur DNS associées.

Adresse IP secondaire

Si vous avez affecté une adresse IP secondaire à une carte d'interface réseau virtuelle secondaire et que vous utilisez pour cette dernière un routage basé sur une stratégie, configurez les règles de routage pour l'instance de sorte qu'elles recherchent l'adresse IP secondaire dans la même table de routage à l'aide de la commande IP rule add from <adresse source> lookup <nom de la table>.

DNS dans le réseau cloud virtuel

L'option DHCP du serveur DNS permet d'indiquer le type DNS du sous-réseau associé. Si vous modifiez la valeur de l'option, redémarrez le client DHCP sur l'instance ou redémarrez l'instance. Sinon, la modification n'est pas prise en compte tant que le client DHCP n'actualise pas le bail (dans les 24 heures).

Par défaut, le résolveur Internet et de réseau cloud virtuel ne permet pas aux instances de résoudre les noms des hôtes du réseau sur site connecté au réseau cloud virtuel via un VPN site à site ou FastConnect. Pour bénéficier de cette fonctionnalité, vous pouvez utiliser un résolveur personnalisé ou configurer le résolveur DNS privé du réseau cloud virtuel.

Exigences relatives aux noms d'hôte et aux libellés DNS

  • Libellés de sous-réseau et de réseau cloud virtuel : peuvent comporter jusqu'à 15 caractères alphanumériques et doivent commencer par une lettre. Les traits d'union et les traits de soulignement ne sont pas autorisés. La valeur ne peut pas être modifiée ultérieurement.
  • Noms d'hôte : 63 caractères au maximum, les lettres et les chiffres sont autorisés. Les traits d'union sont autorisés. Les points ne sont pas autorisés, les traits d'union ne sont pas autorisés au début ou à la fin du nom d'hôte et le nom d'hôte ne peut pas contenir uniquement des chiffres. Les noms d'hôte doivent être conformes aux RFC 952 et 1123. La valeur peut être modifiée ultérieurement.

Ne confondez pas le libellé DNS ou le nom d'hôte avec le nom convivial que vous pouvez affecter à l'objet (nom d'affichage), qui n'a pas besoin d'être unique.

Pour plus d'informations, reportez-vous à A propos des noms d'hôte et des domaines DNS.

Pare-feu

Les instances exécutant des images de plate-forme comportent également des règles de pare-feu de système d'exploitation qui contrôlent l'accès à l'instance. Lors du dépannage de l'accès à une instance, assurez-vous que tous les éléments suivants sont définis correctement :

  • Règles des groupes de sécurité réseau dans lesquels l'instance se trouve
  • Règles des listes de sécurité associées au sous-réseau de l'instance
  • Règles de pare-feu de système d'exploitation de l'instance

Si votre instance exécute Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 ou Oracle Linux Cloud Developer 8, vous devez utiliser firewalld pour interagir avec les règles iptables. Pour référence, voici les commandes permettant d'ouvrir un port (1521 dans cet exemple) :

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

En ce qui concerne les instances comportant un volume d'initialisation iSCSI, la commande --reload précédente peut entraîner des problèmes. Pour obtenir des détails et une solution de contournement, reportez-vous à Le système se bloque après l'exécution de firewall-cmd --reload.

SMTP sortant bloqué

Par défaut, les locations créées après le 23 juin 2021 ne sont pas autorisées à envoyer des courriels vers Internet via le port TCP sortant 25. Les locations créées avant le 23 juin 2021 ne sont pas concernées. Si vous avez besoin d'envoyer des courriels à partir de votre location, ouvrez une demande de limite de service pour obtenir une exemption.

Echec des nouvelles connexions à une instance de calcul

Oracle utilise le suivi de connexion afin d'autoriser les réponses pour le trafic correspondant à des règles avec conservation de statut. Chaque instance de calcul dispose d'un nombre maximal de connexions simultanées pouvant faire l'objet d'un suivi, en fonction de la forme de l'instance. Si vous atteignez la limite de suivi des connexions d'instance, toute nouvelle connexion à l'instance est supprimée.

Pour utiliser la console afin de voir si les nouvelles connexions sont supprimées, vérifiez les mesures de carte d'interface réseau virtuelle d'instance :

  1. Vérifiez que vous visualisez le compartiment contenant l'instance qui vous intéresse.
  2. Ouvrez le menu de navigation et cliquez sur Compute. Sous Compute, cliquez sur Instances.
  3. Cliquez sur l'instance pour en visualiser les détails.

  4. Sous Ressources, cliquez sur VNIC attachées.

    La carte d'interface réseau virtuelle principale et toutes les cartes d'interface réseau virtuelles secondaires attachées à l'instance sont affichées.

  5. Cliquez sur la carte d'interface réseau virtuelle qui vous intéresse.
  6. Sous Mesures, quatre tables concernent le suivi de connexion :
    • Paquets entrants supprimés en raison de la saturation de la table de suivi de connexion

      Toute valeur différente de zéro indique que la table de suivi est pleine.

    • Paquets sortants supprimés en raison de la saturation de la table de suivi de connexion

      Toute valeur différente de zéro indique que la table de suivi est pleine.

    • Utilisation de la table de suivi de connexion

      La valeur 100 % indique que la table de suivi est pleine.

    • Table de suivi de connexion pleine

      La valeur 1/True indique que la table de suivi est pleine.

Si la table de suivi est pleine, vous pouvez effectuer l'une des modifications suivantes afin de résoudre le problème des connexions ayant échoué et des paquets supprimés :

  • Remplacez les règles entrantes avec conservation de statut par des règles sans conservation de statut (n'oubliez pas de créer une règle sortante sans conservation de statut correspondante pour autoriser les réponses).
  • Passez à une forme de calcul plus grande avec une limite de connexion plus élevée.

Suppression d'un sous-réseau ou d'un réseau cloud virtuel

Cette rubrique explique pourquoi la suppression d'un sous-réseau ou d'un réseau cloud virtuel peut échouer.

Rappel :

  • Pour pouvoir supprimer un réseau cloud virtuel, celui-ci doit être vide et ne comporter aucune ressource associée ni aucune passerelle attachée (par exemple, aucune passerelle Internet, aucune passerelle de routage dynamique, etc.).
  • Pour que vous puissiez supprimer les sous-réseaux d'un réseau cloud virtuel, ils doivent d'abord être vides (par exemple, aucune carte d'interface réseau virtuelle ou adresse de résolveur ne doit s'y trouver).

Option Tout supprimer

La console dispose d'un processus simple Tout supprimer qui analyse les compartiments choisis, puis supprime un réseau cloud virtuel et ses ressources Networking associées (sous-réseaux, tables de routage, listes de sécurité, ensembles d'options DHCP, passerelle Internet, etc.). Si le réseau cloud virtuel est attaché à une passerelle de routage dynamique, le processus supprime l'attachement mais pas la passerelle.

Le processus Tout supprimer supprime une ressource à la fois. La suppression d'un réseau cloud virtuel comportant un grand nombre de compartiments et de ressources prend plus de temps que celle d'un réseau cloud virtuel qui n'en contient que quelques-uns. Un rapport de progression affiche les résultats de la recherche des ressources et de la suppression de celles-ci.

Remarque

Avant d'utiliser le processus Tout supprimer, vérifiez qu'aucune ressource, telle que des instances de calcul, des équilibreurs de charge, des systèmes de base de données OCI ou des cibles de montage orphelines, n'est présente dans les sous-réseaux. Si l'une de ces ressources est présente, le processus de suppression se bloque lors de la tentative de suppression du sous-réseau de la ressource. Les ressources de réseau cloud virtuel ne peuvent pas être récupérées. Pour plus d'informations, reportez-vous à Suppression d'un sous-réseau ou d'un réseau cloud virtuel.

Si un sous-réseau contient toujours des ressources ou si vous n'êtes pas autorisé à supprimer une ressource Networking particulière, le processus Tout supprimer s'arrête et renvoie un message d'erreur incluant les OCID des ressources et des sous-réseaux bloquants, qui renvoient à la page de détails de la ressource correspondante. Dans certains cas, vous devrez peut-être contacter l'administrateur de la location pour qu'il vous aide à supprimer les ressources restantes si vous ne disposez pas des droits d'accès requis.

Le sous-réseau n'est pas vide

Le motif le plus courant pour lequel un sous-réseau (et donc un réseau cloud virtuel) ne peut pas être supprimé est qu'il contient des ressources, telles que les suivantes :

Remarque

Lorsque vous créez l'une des ressources précédentes, vous indiquez un réseau cloud virtuel et un sous-réseau associés. Le service pertinent crée au moins une carte d'interface réseau virtuelle dans le sous-réseau et l'attache à la ressource. Le service gère les cartes d'interface réseau virtuelles en votre nom : elles n'apparaissent donc pas directement dans la console. La carte d'interface réseau virtuelle permet à la ressource de communiquer avec d'autres ressources sur le réseau. Bien que cette documentation mentionne généralement la ressource elle-même comme étant dans le sous-réseau, il s'agit en réalité de la carte d'interface réseau virtuelle attachée à la ressource. Cette documentation utilise l'expression ressource parent pour faire référence à ce type de ressource.

Si le sous-réseau est vide lorsque vous essayez de le supprimer, son état passe brièvement à TERMINATING, puis à TERMINATED.

Si le sous-réseau n'est pas vide, vous obtenez une erreur indiquant qu'il reste encore des ressources à supprimer. L'erreur inclut l'OCID d'une carte d'interface réseau virtuelle qui se trouve dans le sous-réseau (il peut y en avoir plusieurs, mais l'erreur renvoie uniquement l'OCID d'une seule carte d'interface réseau virtuelle).

Vous pouvez utiliser l'interface de ligne de commande Oracle Cloud Infrastructure ou un autre kit SDK ou client pour appeler l'opération GetVnic avec l'OCID de la carte d'interface réseau virtuelle. La réponse inclut le nom d'affichage de la carte. En fonction du type de ressource parent, le nom d'affichage peut indiquer à quelle ressource parent appartient la carte d'interface réseau virtuelle. Vous pouvez ensuite supprimer cette ressource parent ou contacter l'administrateur pour identifier le propriétaire de la ressource. Une fois la ressource parent supprimée, la carte d'interface réseau virtuelle attachée est également supprimée du sous-réseau. S'il reste des cartes d'interface réseau virtuelles dans le sous-réseau, répétez le processus d'identification et de suppression de chaque ressource parent jusqu'à ce que le sous-réseau soit vide. Vous pouvez ensuite supprimer le sous-réseau.

Par exemple, si vous utilisez l'interface de ligne de commande, utilisez cette commande pour obtenir des informations sur la carte d'interface réseau virtuelle.

oci network vnic get --vnic-id <VNIC_OCID>

Exemple pour un équilibreur de charge

Voici un exemple de réponse de l'interface de ligne de commande pour une carte d'interface réseau virtuelle qui appartient à un équilibreur de charge. Le nom d'affichage indique l'OCID de l'équilibreur de charge :

{
  "data": {
    "availability-domain": "fooD:PHX-AD-1", 
    "compartment-id": "ocid1.compartment.oc1..<unique_id_1>", 
    "defined-tags": {}, 
    "display-name": "VNIC for LB ocid1.loadbalancer.oc1.phx.<unique_id_2>", 
    "freeform-tags": {}, 
    "hostname-label": null, 
    "id": "ocid1.vnic.oc1.phx.<unique_id_3>", 
    "is-primary": false, 
    "lifecycle-state": "AVAILABLE", 
    "mac-address": "00:00:17:00:BB:CA", 
    "private-ip": "10.0.0.6", 
    "public-ip": null, 
    "skip-source-dest-check": false, 
    "subnet-id": "ocid1.subnet.oc1.phx.<unique_id_4>", 
    "time-created": "2019-05-11T04:28:31.950000+00:00"
  }, 
  "etag": "5d8213fa"
}

Exemple pour File Storage

Voici un exemple pour une carte d'interface réseau virtuelle qui appartient à une cible de montage File Storage :

"display-name": "fss-<integer>",

Bien que le nom d'affichage n'inclue pas d'OCID, les caractères fss indiquent que la ressource est associée au service File Storage.

Exemple pour une base de données

Voici un exemple de nom d'affichage pour une carte d'interface réseau virtuelle qui appartient à un système de base de données :

"display-name": "ocid1.dbnode.oc1.phx.<unique_id>",

Un groupe de sécurité réseau n'est pas vide

Une autre raison pour laquelle un réseau cloud virtuel ne peut pas être supprimé est qu'il contient des groupes de sécurité réseau qui ne sont pas encore vides. Pour pouvoir supprimer un groupe de sécurité réseau, celui-ci ne doit pas contenir de carte d'interface réseau virtuelle (ni de ressource parent avec des cartes d'interface réseau virtuelles). Vous pouvez déterminer quelles ressources parent appartiennent à un groupe de sécurité réseau en utilisant la console ou l'API REST. Pour plus d'informations, reportez-vous à Supprimer un groupe de sécurité réseau.

Des ressources dans des compartiments sont inaccessibles

Il se peut que vous ne puissiez pas voir toutes les ressources d'un sous-réseau ou d'un réseau cloud virtuel. En effet, les sous-réseaux et les réseaux cloud virtuels peuvent contenir des ressources dans plusieurs compartiments  et vous n'êtes peut-être pas autorisé à accéder à tous ces compartiments. Par exemple, le sous-réseau peut contenir des instances gérées par votre équipe, mais également des systèmes de base de données gérés par une autre équipe. Autre exemple : le réseau cloud virtuel peut disposer de listes de sécurité ou d'une passerelle dans un compartiment qui est géré par une autre équipe. Vous devrez peut-être contacter l'administrateur de la location afin d'identifier le propriétaire des ressources présentes dans le sous-réseau ou le réseau cloud virtuel.

Echec de la réaffectation d'une passerelle d'appairage local

Détails
Une passerelle d'appairage local créée pour une connexion d'appairage local spécifique ne peut pas être réaffectée pour être utilisée dans une nouvelle connexion d'appairage local.
Si vous tentez de le faire, le message d'erreur The Local Peering Gateway with ID <LPG_OCID> has already been connected peut s'afficher lorsque :
  1. La passerelle d'appairage local 1 dans VCN 1 a déjà été correctement connectée à la passerelle d'appairage local 2 dans VCN 2.
  2. VCN 1 (y compris LPG 1) est ensuite supprimé. Le statut de l'appairage LPG 2 passe à Révoqué ou Supprimé.
  3. Vous essayez de connecter LPG 2 à LPG 3.

Vous pouvez également voir un message légèrement différent (A peering with VCN <VCN_OCID> has already been established) lorsque :

  1. La passerelle d'appairage local 1 dans VCN 1 a déjà été correctement connectée à la passerelle d'appairage local 2 dans VCN 2.
  2. La passerelle d'appairage local 2 est ensuite supprimée. Le statut de l'appairage LPG 1 passe à Révoqué ou Supprimé.
  3. Vous essayez de connecter la passerelle d'appairage local 1 à la passerelle d'appairage local 3 (qui pourrait être une nouvelle passerelle d'appairage local dans VCN 2 ou tout autre VCN).
Solution suggérée
Effectuez les opérations suivantes :
  1. Supprimez la passerelle d'appairage local que vous tentez de réutiliser.

    Si cette suppression génère des erreurs avec 409 - Local Peering Gateway <LPG_OCID> is associated with one or more entities that are in use, la passerelle d'appairage local est probablement mentionnée dans les règles de routage dans des tables de routage. Vérifiez les tables de routage de votre VCN et supprimez ces routes des tables de routage pertinentes, puis réessayez de supprimer la passerelle d'appairage local.

  2. Créez une nouvelle passerelle d'appairage local et associez-la à une nouvelle passerelle d'appairage local dans le VCN souhaité.