Documentazione dell'infrastruttura Oracle Cloud

Panoramica sul networking

Quando si utilizza Oracle Cloud Infrastructure, uno dei primi passi è impostare una rete cloud virtuale (VCN) per le risorse cloud. Questo argomento offre una panoramica dei componenti di Oracle Cloud Infrastructure Networking e degli scenari tipici per l'uso di una VCN.

Suggerimento

Guarda una introduzione video al servizio.

Componenti di rete

Il servizio di networking utilizza versioni virtuali di componenti di rete tradizionali che potrebbero già essere familiari:

Rete cloud virtuale (VCN)
Una rete virtuale privata impostata nei data center Oracle. Assomiglia molto a una rete tradizionale, con regole firewall e tipi specifici di gateway di comunicazione che puoi decidere di utilizzare. Una VCN risiede in una singola area geografica Oracle Cloud Infrastructure e copre uno o più blocchi CIDR (IPv4 e IPv6, se abilitati). Vedere Intervalli di dimensioni e indirizzi della VCN consentiti. I termini rete cloud virtuale, VCN e rete cloud vengono utilizzati in modo intercambiabile nella presente documentazione. Per ulteriori informazioni, vedere VCN e subnet.
SUBNET

Suddivisioni definite in una VCN, ad esempio 10.0.0.0/24, 10.0.1.0/24 o 2001:DB8::/64. Le subnet contengono schede VNIC (Virtual Network Interface Card) che si collegano alle istanze. Ogni subnet è costituita da un intervallo contiguo di indirizzi IP (per IPv4 e IPv6, se abilitati) che non si sovrappongono ad altre subnet nella VCN. È possibile impostare una subnet affinché esista in un singolo dominio di disponibilità o in un'intera area (si consiglia di utilizzare le subnet regionali). Le subnet fungono da unità di configurazione all'interno della VCN: tutte le VNIC di una determinata subnet utilizzano la stessa tabella di instradamento, le stesse liste di sicurezza e le stesse opzioni DHCP (vedere le definizioni riportate di seguito). Puoi definire una subnet come pubblica o privata quando la crei. Privato indica che le VNIC nella subnet non possono avere indirizzi IPv4 pubblici e che la comunicazione Internet con gli endpoint IPv6 è vietata. Pubblico indica che le VNIC nella subnet possono avere indirizzi IPv4 pubblici e la comunicazione Internet è consentita con gli endpoint IPv6. Vedere Accesso a Internet.

VNIC
Una scheda VNIC (Virtual Network Interface Card) che si collega a un'istanza e risiede in una subnet per abilitare una connessione alla VCN della subnet. Una VNIC è il componente che l'istanza utilizza per connettersi agli endpoint all'interno e all'esterno della VCN. Ogni istanza dispone di una VNIC primaria creata durante la creazione dell'istanza e che non può essere rimossa. Puoi aggiungere VNIC secondarie a un'istanza esistente (nello stesso dominio di disponibilità della VNIC primaria) e rimuoverle in base alle esigenze. Ogni VNIC secondaria può trovarsi in una subnet nella stessa VCN della VNIC primaria o in una subnet diversa nella stessa VCN o in un'altra. Tuttavia, tutte le VNIC devono trovarsi nello stesso dominio di disponibilità dell'istanza. Per ulteriori informazioni, consulta Schede di interfaccia di rete virtuali (VNIC). Una VNIC collegata a un'istanza di computazione e residente in una subnet con etichetta IPv6 può facoltativamente essere assegnata a un indirizzo IPv6.
IP PRIVATO
Un indirizzo IPv4 privato e le informazioni correlate per indirizzare un'istanza (ad esempio, un nome host per DNS). Ogni VNIC dispone di un IP privato primario e puoi aggiungere e rimuovere gli IP privati secondari. L'indirizzo IP privato primario di un'istanza non cambia durante la durata dell'istanza e non può essere rimosso dall'istanza. Per ulteriori informazioni, vedere Indirizzi IP privati.
IP PUBBLICO
Un indirizzo pubblico IPv4 e informazioni correlate. Facoltativamente, puoi assegnare un IP pubblico alle istanze o ad altre risorse che dispongono di un IP privato. Gli IP pubblici possono essere effimeri o riservati. Per ulteriori informazioni, vedere Indirizzi IP pubblici.
IPV6
Un indirizzo IPv6 e informazioni correlate. L'indirizzamento IPv6 è supportato per tutte le aree commerciali e governative. Per maggiori informazioni, vedere IPv6 Indirizzi.
Gateway di instradamento dinamico (DRG)
Router virtuale facoltativo che è possibile aggiungere a una VCN. Fornisce un percorso per il traffico di rete privato tra una VCN e una rete on premise. Puoi utilizzarlo con altri componenti di networking e un router in una rete on premise per stabilire una connessione tramite VPN da sito a sito o Oracle Cloud Infrastructure FastConnect. Inoltre, può fornire un percorso per il traffico di rete privato tra una VCN e un'altra VCN in un'area diversa. Per ulteriori informazioni, consulta la sezione relativa all'accesso alla rete in locale, ai gateway di instradamento dinamico e al peering VCN remoto mediante un DRG legacy.
GATEWAY INTERNET
Un altro router virtuale facoltativo che è possibile aggiungere a una VCN per l'accesso diretto a Internet. Per ulteriori informazioni, vedere Accesso a Internet e anche Scenario A: Subnet pubblica.
GATEWAY DI CONVERSIONE INDIRIZZI DI RETE (NAT)
Un altro router virtuale facoltativo che è possibile aggiungere a una VCN. Consente alle risorse cloud senza indirizzi IP pubblici di accedere a Internet senza esporre tali risorse alle connessioni Internet in entrata. Per ulteriori informazioni, vedere Subnet pubbliche e private e anche Gateway NAT.
GATEWAY DEL SERVIZIO
Un altro router virtuale facoltativo che è possibile aggiungere a una VCN. Fornisce un percorso per il traffico di rete privato tra una VCN e i servizi supportati in Oracle Services Network (esempi: Oracle Cloud Infrastructure Object Storage e Autonomous Database). Ad esempio, i sistemi DB in una subnet privata in una VCN possono eseguire il backup dei dati nello storage degli oggetti senza la necessità di indirizzi IP pubblici o di accedere a Internet. Per ulteriori informazioni, vedere Accesso ai servizi Oracle: gateway di servizi.
LOCAL PEERING GATEWAY (LPG)
Un altro router virtuale facoltativo che è possibile aggiungere a una VCN. Ti consente di eseguire il peer di una VCN con un'altra VCN nella stessa area. Peering: le reti VCN comunicano utilizzando indirizzi IP privati, senza il traffico che attraversa Internet o instrada attraverso una rete on premise. Una VCN deve disporre di un GPL separato per ogni peering stabilito. Per ulteriori informazioni, vedere Peering VCN locale mediante Local Peering Gateway.
CONNESSIONE PEERING REMOTO (RPC)
Componente che è possibile aggiungere a un DRG. Ti consente di eseguire il peer di una VCN con un'altra VCN in un'area diversa. Per ulteriori informazioni, consulta la sezione relativa al peering VCN remoto mediante un DRG legacy.
TABELLE DI INSTRADAMENTO
Tabelle di instradamento virtuale per una VCN. Dispongono di regole per instradare il traffico dalle subnet alle destinazioni esterne alla VCN tramite gateway o istanze configurate in modo speciale. Una VCN include una tabella di instradamento predefinita vuota ed è possibile aggiungere tabelle di instradamento personalizzate. Per ulteriori informazioni, vedere Tabelle di instradamento VCN.
REGOLE DI SICUREZZA
Regole del firewall virtuale per una VCN. Le regole di entrata e uscita specificano i tipi di traffico (protocollo e porta) consentiti all'interno e all'esterno delle istanze. È possibile decidere se una determinata regola è con conservazione dello stato o senza conservazione dello stato. Ad esempio, puoi consentire il traffico SSH in entrata da qualsiasi luogo a un set di istanze impostando una regola di entrata con conservazione dello stato con CIDR di origine 0.0.0.0/0 e porta TCP di destinazione 22. Per implementare le regole di sicurezza, è possibile utilizzare gruppi di sicurezza di rete o elenchi di sicurezza. Un gruppo di sicurezza di rete è costituito da un set di regole di sicurezza che si applicano solo alle risorse in tale gruppo. È il contrario di una lista di sicurezza in cui le regole si applicano a tutte le risorse di qualsiasi subnet che utilizza la lista. Una VCN viene fornita con un elenco di sicurezza predefinito con regole di sicurezza predefinite. Per ulteriori informazioni, vedere Regole di sicurezza.
OPZIONI DHCP
Le informazioni di configurazione vengono fornite automaticamente alle istanze durante l'avvio. Per ulteriori informazioni, consulta le opzioni DHCP.
NOTAZIONE CIDR
Metodo compatto per specificare indirizzi IP o intervalli di indirizzi e maschere di rete. Ad esempio, l'utilizzo di IPv4 come intervallo di indirizzi IP privati 10.0.0.0/24 rappresenta tutti gli indirizzi compresi tra 10.0.0.0 e 10.0.0.255. /24 rappresenta una maschera di sottorete di 255.255.255.0 perché i primi 24 bit sono mascherati. IPv6 utilizza una notazione simile a per i blocchi di indirizzi. Per ulteriori informazioni, vedere RFC1817 e RFC1519.

Intervalli di dimensioni e indirizzi della VCN consentiti

Una VCN copre uno o più blocchi CIDRIPv4 CIDR IPv4 o prefissi IPv6. L'intervallo di dimensioni consentito per la VCN è compreso tra /16 e /30. Ad esempio 10.0.0.0/16. Il servizio di networking riserva i primi due indirizzi IP e l'ultimo nel CIDR di ogni subnet. È possibile abilitare IPv6 per le reti VCN quando vengono create oppure è possibile abilitare IPv6 sulle reti VCN solo IPv4 esistenti. Se si decide di utilizzare un prefisso IPv6 allocato da Oracle, si riceve sempre un prefisso /56. In alternativa, è possibile importare il proprio prefisso IPv6 BYOIP da cui è possibile assegnare qualsiasi prefisso /64 o superiore a una VCN oppure assegnare un prefisso ULA di /64 o superiore. Gli intervalli GUA possono essere fino a 2000::/3 e gli intervalli ULA possono essere fino a fc00::/7. Le subnet IPv6 hanno sempre una dimensione pari a /64.

Per una VCN, si consiglia di utilizzare gli intervalli di indirizzi IP privati specificati in RFC 1918 (l'RFC consiglia la versione 10.0/8 o la versione 172.16/12, ma Oracle non supporta tali dimensioni, pertanto utilizzare la versione 10.0/16, la versione 172.16/16 e la versione 192.168/16). Tuttavia, è possibile utilizzare un intervallo instradabile pubblicamente. Indipendentemente da ciò, questa documentazione utilizza il termine indirizzo IP privato quando si fa riferimento agli indirizzi IP nel CIDR di una VCN. Gli intervalli di indirizzi non consentiti sono descritti nella sezione Indirizzi IP riservati a Oracle. Per le VCN abilitate per IPv6, Oracle può allocare un prefisso indirizzo unicast globale /56 oppure è possibile creare una VCN con un prefisso BYOIPv6.

I blocchi CIDR della VCN non devono sovrapporsi tra loro, con i CIDR in una rete on premise connessa o con i CIDR di un'altra VCN di cui si esegue il peer. Le subnet di una determinata VCN non devono sovrapporsi tra loro. Per riferimento, ecco un calcolatore CIDR.

L'indirizzamento IPv6 è supportato per tutte le aree commerciali e governative. Per maggiori informazioni, vedere IPv6 Indirizzi.

Domini di disponibilità e VCN

Una VCN risiede in una singola area geografica Oracle Cloud Infrastructure. Un'area può disporre di diversi domini di disponibilità per fornire isolamento e ridondanza. Per ulteriori informazioni, vedere Aree e domini di disponibilità.

In origine, le subnet erano progettate per coprire un solo dominio di disponibilità (AD, Availability Domain) in un'area geografica. Erano tutte specifiche di AD, il che significa che le risorse della subnet dovevano risiedere in un determinato dominio di disponibilità. Ora le subnet possono essere specifiche di AD o regionali. Si seleziona il tipo quando si crea la subnet. Entrambi i tipi di subnet possono coesistere nella stessa VCN. Nel diagramma riportato di seguito, le subnet da 1 a 3 sono specifiche di AD e la subnet 4 è regionale.

Questa immagine mostra una VCN con una subnet regionale e tre subnet specifiche di AD.

Oltre alla rimozione del vincolo AD, le subnet regionali funzionano allo stesso modo delle subnet specifiche di AD. Si consiglia di utilizzare le subnet regionali perché sono più flessibili. Semplifica la suddivisione efficiente di una VCN in subnet e, al contempo, la progettazione per un errore del dominio di disponibilità.

Quando crei una risorsa, ad esempio un'istanza di computazione, decidi in quale dominio di disponibilità si trova la risorsa. Dal punto di vista della rete virtuale, devi anche decidere in quale VCN e subnet si trova l'istanza. Puoi selezionare una subnet regionale o una subnet specifica di AD che corrisponda al dominio di disponibilità scelto per l'istanza.

Componenti predefiniti forniti con una VCN

Una VCN viene fornita automaticamente con i seguenti componenti predefiniti:

Questi componenti predefiniti non possono essere eliminati. È tuttavia possibile modificarne il contenuto, ad esempio le regole nell'elenco di sicurezza predefinito. Puoi anche creare versioni personalizzate di ogni tipo di componente in una VCN. Esistono limiti relativi al numero di regole che è possibile creare e al numero massimo di regole. Per ulteriori informazioni, consulta Limiti del servizio.

A ogni subnet sono sempre associati i seguenti componenti:

  • Una tabella di instradamento
  • Una o più liste di sicurezza (per il numero massimo, vedere Limiti del servizio)
  • Un set di opzioni DHCP

Durante la creazione della subnet, puoi decidere quale tabella di instradamento, lista di sicurezza e set di opzioni DHCP usare dalla subnet. Se non si specifica un determinato componente, la subnet utilizza automaticamente il componente predefinito della VCN. È possibile modificare i componenti utilizzati dalla sottorete in qualsiasi momento.

Suggerimento

Gli elenchi di sicurezza sono un modo per controllare il traffico in entrata e in uscita dalle risorse della VCN. È anche possibile utilizzare gruppi di sicurezza di rete

Scelte di connettività

Puoi controllare se le subnet sono pubbliche o private e se le istanze ottengono indirizzi IP pubblici. Se necessario, puoi impostare una VCN per accedere a Internet. Puoi anche connettere in privato una VCN ai servizi pubblici di Oracle Cloud Infrastructure come lo storage degli oggetti, a una rete on premise o a un'altra VCN.

Subnet pubbliche e private

Quando crei una subnet, per impostazione predefinita è considerata pubblica, il che significa che le istanze in tale subnet possono avere indirizzi IPv4 pubblici e la comunicazione Internet è consentita con gli endpoint IPv6. Chi avvia l'istanza sceglie se dispone di un indirizzo IPv4 pubblico o specifica se verrà assegnato un indirizzo IPv6 dal prefisso allocato. È possibile eseguire l'override di tale comportamento durante la creazione della subnet e richiedere che sia privata, il che non consente l'uso di indirizzi IPv4 pubblici e la comunicazione Internet con gli endpoint IPv6. Gli amministratori di rete possono pertanto assicurarsi che le istanze nella subnet non dispongano dell'accesso a Internet, anche se la VCN dispone di un gateway Internet funzionante e che le regole di sicurezza e le regole del firewall consentano il traffico.

Modalità di assegnazione degli indirizzi IP

Ogni istanza dispone di una VNIC primaria creata durante l'avvio dell'istanza e che non può essere rimossa. Puoi aggiungere le VNIC secondarie a un'istanza esistente (nello stesso dominio di disponibilità della VNIC primaria) e rimuoverle come preferisci.

Ogni VNIC dispone di un indirizzo IP privato dal CIDR della subnet associata. Puoi scegliere l'indirizzo IP specifico (durante l'avvio dell'istanza o la creazione di una VNIC secondaria) oppure Oracle può sceglierlo automaticamente. L'indirizzo IP privato non cambia durante la durata dell'istanza e non può essere rimosso. È anche possibile aggiungere indirizzi IPv4 privati secondari o indirizzi IPv6 secondari a una VNIC.

Se la VNIC si trova in una subnet pubblica, ogni IP privato in tale VNIC può avere un indirizzo IPv4 pubblico o un indirizzo IPv6 assegnato a sua discrezione. Per IPv4, Oracle sceglie lo specifico indirizzo IP. IPv6 consente di specificare l'indirizzo IP. Esistono due tipi di IP pubblici: ephemeral e reserved. Un IP pubblico effimero esiste solo per la durata dell'IP privato a cui è assegnato. Al contrario, esiste un IP pubblico riservato finché lo desideri. L'utente gestisce un pool di IP pubblici riservati e li alloca alle istanze a propria discrezione. È possibile spostarli da una risorsa all'altra in un'area in base alle proprie esigenze.

Accesso a Internet

Sono disponibili due gateway facoltativi (router virtuali) che è possibile aggiungere alla rete VCN in base al tipo di accesso a Internet necessario:

  • Gateway Internet: per le risorse con indirizzi IP pubblici che devono essere raggiunti da Internet (ad esempio, un server Web) o che devono avviare connessioni a Internet.
  • Gateway NAT: per le risorse senza indirizzi IP pubblici che devono avviare connessioni a Internet (ad esempio, per aggiornamenti software) ma devono essere protette dalle connessioni in entrata da Internet.

La sola presenza di un gateway Internet non espone le istanze delle subnet della VCN direttamente a Internet. Devono inoltre essere soddisfatti i seguenti requisiti:

Suggerimento

Per accedere a servizi pubblici come lo storage degli oggetti dalla tua VCN senza che il traffico passi su Internet, utilizza un gateway di servizi.

Inoltre, tieni presente che il traffico attraverso un gateway Internet tra una VCN e un indirizzo IP pubblico che fa parte di Oracle Cloud Infrastructure (ad esempio, Object Storage) viene instradato senza essere inviato tramite Internet.

Puoi anche concedere a una subnet l'accesso indiretto a Internet impostando un proxy Internet nella tua rete on premise e quindi connettendo tale rete alla tua VCN tramite un DRG. Per ulteriori informazioni, vedere Accesso alla rete in locale.

Accesso ai servizi pubblici di Oracle Cloud Infrastructure

Puoi usare un gateway di servizi con la tua VCN per abilitare l'accesso privato ai servizi Oracle Cloud Infrastructure pubblici, come lo storage degli oggetti. Ad esempio, i sistemi DB in una subnet privata nella tua VCN possono eseguire il backup dei dati nello storage degli oggetti senza la necessità di indirizzi IP pubblici o di accedere a Internet. Non è richiesto alcun gateway Internet o NAT. Per ulteriori informazioni, vedere Accesso ai servizi Oracle: gateway di servizi.

Accesso alla rete in locale

Esistono due modi per connettere la tua rete on-premise a Oracle Cloud Infrastructure:

  • VPN site-to-site: offre più tunnel IPSec tra l'edge della rete esistente e la VCN mediante un DRG creato e collegato alla VCN.
  • Oracle Cloud Infrastructure FastConnect: offre una connessione privata tra l'edge della rete esistente e Oracle Cloud Infrastructure. Il traffico non attraversa Internet. Sono supportati sia il peering privato che il peering pubblico. Ciò significa che gli host on premise possono accedere agli indirizzi IPv4 o IPv6 privati nella VCN, nonché agli indirizzi IPv4 o IPv6 pubblici regionali in Oracle Cloud Infrastructure (ad esempio, Object Storage o load balancer pubblici nella VCN).

È possibile utilizzare uno o entrambi i tipi delle connessioni precedenti. Se si utilizzano entrambe, è possibile utilizzarle contemporaneamente o in una configurazione ridondante. Queste connessioni arrivano alla tua VCN tramite un singolo DRG creato e collegato alla tua VCN. Senza il collegamento DRG e una regola di instradamento per il gateway DRG, il traffico non scorre tra la rete VCN e la rete in locale. Puoi scollegare il gateway DRG dalla VCN in qualsiasi momento, ma conservare tutti i componenti rimanenti che costituiscono il resto della connessione. Successivamente, puoi ricollegare il DRG o collegarlo a un'altra VCN.

Accesso a un'altra VCN

Puoi connettere la tua VCN a un'altra VCN tramite una connessione privata che non richiede il traffico per attraversare Internet. In generale, questo tipo di connessione viene definito peering VCN. Per abilitare il peering, ogni VCN deve disporre di componenti specifici. Le reti VCN devono inoltre disporre di criteri IAM specifici, regole di instradamento e regole di sicurezza che consentano di effettuare la connessione e di trasferire il traffico di rete desiderato sulla connessione. Per ulteriori informazioni, consulta la sezione relativa all'accesso ad altre VCN: Peering.

Connessione a Microsoft Azure

Oracle e Microsoft hanno creato una connessione cross-cloud tra Oracle Cloud Infrastructure e Microsoft Azure in determinate aree. Questa connessione ti consente di impostare carichi di lavoro cross-cloud senza che il traffico tra i cloud passi su Internet. Per ulteriori informazioni, vedere Interconnessione per Azure.

Connessione ad altri cloud con Libreswan

Puoi connettere la tua VCN a un altro provider cloud utilizzando la VPN da sito a sito con una VM Libreswan come CPE (Customer-premise Equipment). Per ulteriori informazioni, vedere Accesso ad altri cloud con Libreswan.

Scenari di networking

La presente documentazione include alcuni scenari di rete di base che consentono di comprendere il servizio di networking e il modo in cui i componenti interagiscono in generale. Fare riferimento agli argomenti seguenti:

Instradamento del transito

Gli scenari A-C mostrano una rete in locale connessa a una o più VCN tramite un DRG e una FastConnect o una VPN da sito a sito e accedendo solo alle risorse in tali VCN.

Gli scenari di instradamento avanzato riportati di seguito consentono a una rete in locale di accedere oltre le risorse presenti nella VCN connessa. Il traffico passa da una rete on premise al DRG, quindi trasferisce il DRG alla relativa destinazione. Fare riferimento agli argomenti seguenti:

  • Instradamento del transito all'interno di una VCN hub: una rete in locale ha accesso a diverse VCN nella stessa area su un singolo circuito virtuale privato FastConnect o VPN da sito a sito. Il DRG e le reti VCN collegate si trovano in una topologia hub e spoke, con la rete on premise connessa al DRG che funge da hub. I VCN a raggi sono in peering.
  • Accesso privato ai servizi Oracle: una rete in locale dispone dell'accesso privato ai servizi Oracle nella Oracle Services Network tramite una VCN connessa e del gateway di servizi della VCN. Il traffico non passa su internet.

Aree e domini di disponibilità

Una VCN risiede in una singola area geografica Oracle Cloud Infrastructure. Ogni subnet risiede in un singolo dominio di disponibilità (AD, Availability Domain). I domini di disponibilità sono progettati per fornire isolamento e ridondanza nella VCN, come illustrato in Scenario B e Scenario C menzionati in precedenza. AD esempio, è possibile impostare un set primario di subnet in un singolo dominio di disponibilità e quindi impostare un set duplicato di subnet in un dominio di disponibilità secondario. I due domini di disponibilità sono isolati l'uno dall'altro nei data center Oracle. In caso di errore, è possibile passare facilmente all'altro dominio di disponibilità. Per ulteriori informazioni, vedere Aree e domini di disponibilità.

Intervalli di indirizzi IP pubblici

Per un elenco degli intervalli IP pubblici di Oracle Cloud Infrastructure, vedere Intervalli di indirizzi IP.

Indirizzi IP riservati per l'uso da parte di Oracle

Alcuni indirizzi IP sono riservati per l'uso di Oracle Cloud Infrastructure e non possono essere utilizzati in uno schema di numerazione degli indirizzi.

169.254.0.0/16

Questi indirizzi vengono utilizzati per le connessioni iSCSI ai volumi di avvio e a blocchi, ai metadati dell'istanza e ad altri servizi.

Classe D e Classe E

Tutti gli indirizzi da 224.0.0.0 a 239.255.255.255 (classe D) non possono essere utilizzati in una VCN, ma sono riservati alle assegnazioni di indirizzi multicast negli standard IP. Per informazioni dettagliate, vedere RFC 3171.

Tutti gli indirizzi da 240.0.0.0 a 255.255.255.255 (classe E) sono vietati per l'uso in una VCN e sono riservati per un uso futuro negli standard IP. Per informazioni dettagliate, vedere RFC 1112, Sezione 4.

Tre indirizzi IP in ogni subnet

Questi indirizzi sono costituiti da:

  • Il primo indirizzo IP nel CIDR (l'indirizzo di rete)
  • L'ultimo indirizzo IP nel CIDR (l'indirizzo di trasmissione)
  • Il primo indirizzo host nel CIDR (l'indirizzo gateway predefinito della subnet)

Ad esempio, in una subnet con CIDR 192.168.0.0/24, questi indirizzi sono riservati:

  • 192.168.0.0 (l'indirizzo di rete)
  • 192.168.0.255 (l'indirizzo di trasmissione)
  • 192.168.0.1 (l'indirizzo del gateway predefinito della subnet)

Gli indirizzi rimanenti nel CIDR (da 192.168.0.2 a 192.168.0.254) sono disponibili per l'uso.

Creare automazione con gli eventi

Puoi creare l'automazione in base alle modifiche di stato per le risorse Oracle Cloud Infrastructure utilizzando tipi di evento, regole e azioni. Per ulteriori informazioni, vedere Panoramica degli eventi.

Identificativi risorsa

La maggior parte dei tipi di risorse Oracle Cloud Infrastructure ha un identificativo univoco assegnato da Oracle chiamato OCID (Oracle Cloud ID). Per informazioni sul formato OCID e su altri modi per identificare le risorse, vedere Identificativi risorsa.

Modi per accedere a Oracle Cloud Infrastructure

Puoi accedere a Oracle Cloud Infrastructure (OCI) utilizzando la console (un'interfaccia basata su browser), l'API REST o l'interfaccia CLI OCI. Le istruzioni per l'uso della console, dell'API e dell'interfaccia CLI sono incluse negli argomenti della presente documentazione. Per un elenco di SDK disponibili, consulta Software Development Kits and Command Line Interface.

Per accedere alla console, è necessario utilizzare un browser supportato. Per andare alla pagina di accesso della console, aprire il menu di navigazione nella parte superiore di questa pagina e selezionare Console dell'infrastruttura. Viene richiesto di immettere il tenant cloud, il nome utente e la password personali.

Per informazioni generali sull'uso dell'interfaccia API, vedere API REST.

Autenticazione e autorizzazione

Ogni servizio in Oracle Cloud Infrastructure si integra con IAM per l'autenticazione e l'autorizzazione, per tutte le interfacce (console, SDK o CLI e API REST).

Un amministratore di un'organizzazione deve impostare i gruppi , i compartimenti e i criteri che controllano gli utenti che possono accedere ai servizi, alle risorse e al tipo di accesso. Ad esempio, i criteri controllano chi può creare nuovi utenti, creare e gestire la rete cloud, creare istanze, creare bucket, scaricare oggetti e così via. Per ulteriori informazioni, vedere Gestione dei domini di Identity. Per dettagli specifici sulla scrittura dei criteri relativi a ognuno dei vari servizi, consulta il riferimento per i criteri.

Se sei un utente normale (non un amministratore) che deve utilizzare le risorse Oracle Cloud Infrastructure di proprietà dell'azienda, contatta un amministratore per impostare un ID utente. L'amministratore può confermare quale compartimento o compartimenti è possibile utilizzare.

Criteri IAM per il networking

L'approccio più semplice per concedere l'accesso alla rete è il criterio elencato in Consenti agli amministratori di rete di gestire una rete cloud. Copre la rete cloud e tutti gli altri componenti di networking (subnet, liste di sicurezza, tabelle di instradamento, gateway e così via). Per offrire inoltre agli amministratori di rete la possibilità di creare istanze (per eseguire il test della connettività di rete), vedere Consenti agli utenti di avviare le istanze di computazione.

Se non si ha familiarità con i criteri, vedere Gestione dei domini di Identity e Criteri comuni.

Per informazioni sui materiali di riferimento per la scrittura di criteri più dettagliati per il networking, vedere Dettagli per i servizi di base.

Singola risorsa - Tipi

È possibile scrivere criteri che si concentrano sui singoli tipi di risorsa (ad esempio, solo liste di sicurezza) invece del più ampio virtual-network-family. Il tipo di risorsa instance-family include anche diverse autorizzazioni per le VNIC, che risiedono in una subnet ma si collegano a un'istanza. Per ulteriori informazioni, vedere Dettagli per combinazioni Verb + Resource-Type e Schede di interfaccia di rete virtuali (VNIC).

Un tipo di risorsa denominato local-peering-gateways è incluso in virtual-network-family e include altri due tipi di risorsa correlati al peering VCN locale (all'interno dell'area):

  • local-peering-from
  • local-peering-to

Il tipo di risorsa local-peering-gateways copre tutte le autorizzazioni correlate ai gateway di peering locali (LPG). I tipi di risorsa local-peering-from e local-peering-to consentono di concedere l'autorizzazione per connettere due GPL e definire una relazione di peering all'interno di una singola area. Per ulteriori informazioni, vedere Peering locale con un LPG (VCN nella stessa tenancy) o Peering locale con un LPG (VCN in tenancy diverse).

Analogamente, un tipo di risorsa denominato remote-peering-connections viene incluso in virtual-network-family e include altri due tipi di risorsa correlati al peering VCN remoto (tra le aree):

  • remote-peering-from
  • remote-peering-to

Il tipo di risorsa remote-peering-connections copre tutte le autorizzazioni correlate alle connessioni RPC (Remote Peering Connection). I tipi di risorsa remote-peering-from e remote-peering-to consentono di concedere l'autorizzazione per connettere due RPC e definire una relazione di peering tra le aree. Per ulteriori informazioni, vedere Peering remoto con un DRG legacy e peering remoto con un DRG aggiornato.

Nuance di diversi verbi

È possibile scrivere criteri che limitano il livello di accesso utilizzando un verbo criterio diverso (manage anziché use e così via). Se lo fai, ecco alcune sfumature da capire sui verbi delle policy per il Networking.

Tenere presente che il verbo inspect non solo restituisce informazioni generali sui componenti della rete cloud, ad esempio il nome e l'OCID di una lista di sicurezza o di una tabella di instradamento. Include anche il contenuto del componente (ad esempio, le regole effettive nella lista di sicurezza, gli instradamenti nella tabella di instradamento e così via).

Inoltre, i seguenti tipi di abilità sono disponibili solo con il verbo manage, non con il verbo use:

  • Aggiorna (abilitare/disabilitare) internet-gateways
  • Aggiornare security-lists
  • Aggiornare route-tables
  • Aggiorna dhcp-options
  • Collegare un gateway di instradamento dinamico (DRG) a una rete cloud virtuale (VCN)
  • Crea una connessione IPSec tra un DRG e un'apparecchiatura Customer-premise (CPE)
  • VCN peer
Importante

Ogni VCN dispone di vari componenti che influiscono direttamente sul funzionamento della rete (tabelle di instradamento, elenchi di sicurezza, opzioni DHCP, gateway Internet e così via). Quando crei uno di questi componenti, stabilisci una relazione tra quel componente e la VCN, il che significa che devi essere autorizzato in un criterio a creare sia il componente che a gestire la VCN stessa. Tuttavia, la possibilità di aggiornare il componente (per modificare le regole di instradamento, le regole della lista di sicurezza e così via) non richiede l'autorizzazione per gestire la VCN stessa, anche se la modifica di tale componente può influire direttamente sul funzionamento della rete. Questa discrepanza è progettata per garantire la flessibilità necessaria per concedere privilegi minimi agli utenti e non richiede di concedere un accesso eccessivo alla VCN in modo che l'utente possa gestire altri componenti della rete. Tieni presente che, dando a qualcuno la possibilità di aggiornare un particolare tipo di componente, ti fidi implicitamente del controllo del comportamento della rete.

Per ulteriori informazioni sui verbi dei criteri, vedere Nozioni di base sui criteri.

Criteri peering

Per i criteri utilizzati per connettere un DRG a VCN e DRG in altre aree e tenancy, vedere Criteri IAM per l'instradamento tra VCN.

Limiti dei componenti di rete

Per esaminare un elenco dei limiti applicabili e le istruzioni per richiedere un incremento del limite, consulta i limiti del servizio.