Panoramica di VCN e subnet
Scopri di più sulle reti cloud virtuali (VCN) e sulle subnet in OCI.
In questo argomento vengono descritte le reti cloud virtuali (VCN) e le relative subnet. In questo argomento vengono utilizzati i termini rete cloud virtuale, VCN e rete cloud in modo intercambiabile. La console utilizza il termine rete cloud virtuale, mentre per brevità l'API utilizza la VCN.
Una VCN è una rete definita dal software impostata nei data center Oracle Cloud Infrastructure in una determinata regione . Una subnet è una suddivisione di una VCN. Per una panoramica delle reti VCN, delle dimensioni consentite, dei componenti VCN predefiniti e degli scenari per l'utilizzo di una rete VCN, vedere Panoramica sul networking.
Una VCN può avere diversi blocchi CIDRIPv4 CIDR IPv4 non sovrapposti che è possibile modificare dopo aver creato la VCN. Indipendentemente dal numero di blocchi CIDR, il numero massimo di IP privati che puoi creare all'interno della VCN è pari a 64.000. Facoltativamente, una VCN può essere abilitata per IPv6 e Oracle alloca un prefisso /56. È inoltre possibile importare un prefisso IPv6 BYOIP e assegnarlo a una VCN esistente oppure creare una nuova VCN con un prefisso BYOIP o ULA IPv6.
Puoi connettere privatamente una VCN a un'altra VCN in modo che il traffico non attraversi Internet. I CIDR per le due VCN non devono sovrapporsi. Per ulteriori informazioni, consulta la sezione relativa all'accesso ad altre VCN: Peering. Per un esempio di scenario di instradamento avanzato che prevede il peering di diverse reti VCN, vedere Instradamento del transito all'interno di una VCN hub.
Ogni subnet in una VCN è costituita da un intervallo contiguo di indirizzi IPv4 e, facoltativamente, indirizzi IPv6 che non si sovrappongono ad altre subnet nella VCN. Esempio: 172.16.1.0/24. Con gli indirizzi IPv4 e IPv6, i primi due indirizzi e l'ultimo nel CIDR della sottorete sono riservati dal servizio Networking. È possibile modificare le dimensioni della sottorete dopo la creazione. Le subnet abilitate per IPv6 sono sempre /64.
Le subnet fungono da unità di configurazione: tutte le istanze in una particolare subnet utilizzano la stessa tabella di instradamento, le stesse liste di sicurezza e le stesse opzioni DHCP. Per ulteriori informazioni, vedere Componenti predefiniti forniti con una VCN.
Le subnet possono essere pubbliche o private (vedere Public vs. Private Subnets). La scelta tra pubblico e privato avviene durante la creazione della subnet e non è possibile modificarla in un secondo momento.
Puoi pensare a ogni istanza di computazione che risiede in una subnet. Tuttavia, per la precisione, ogni istanza è collegata a una scheda VNIC (Virtual Network Interface Card), che a sua volta risiede nella subnet e abilita una connessione di rete per tale istanza.
L'indirizzamento IPv6 è supportato per tutte le aree commerciali e governative. Per maggiori informazioni, vedere IPv6 Indirizzi.
Informazioni sulle subnet regionali
In origine, le subnet erano progettate per coprire un solo dominio di disponibilità (AD, Availability Domain) in un'area geografica. Erano tutte specifiche di AD, il che significa che le risorse della subnet dovevano risiedere in un determinato dominio di disponibilità. Ora le subnet possono essere specifiche di AD o regionali. Si seleziona il tipo quando si crea la subnet. Entrambi i tipi di subnet possono coesistere nella stessa VCN. Nel diagramma riportato di seguito, le subnet da 1 a 3 sono specifiche di AD e la subnet 4 è regionale.
Oltre alla rimozione del vincolo AD, le subnet regionali funzionano allo stesso modo delle subnet specifiche di AD. Si consiglia di utilizzare le subnet regionali perché sono più flessibili. Semplifica la suddivisione efficiente di una VCN in subnet e, al contempo, la progettazione per un errore del dominio di disponibilità.
Quando crei una risorsa, ad esempio un'istanza di computazione, decidi in quale dominio di disponibilità si trova la risorsa. Dal punto di vista della rete virtuale, devi anche decidere in quale VCN e subnet si trova l'istanza. Puoi selezionare una subnet regionale o una subnet specifica di AD che corrisponda al dominio di disponibilità scelto per l'istanza.
Se un utente dell'organizzazione implementa una subnet regionale, tenere presente che potrebbe essere necessario aggiornare qualsiasi codice client compatibile con le subnet e gli IP privati del servizio di networking. Le subnet regionali implicano possibili modifiche alle API di interruzione. Per ulteriori informazioni, vedere la nota sulla release regional subnets.
Limiti VCN e subnet
|
Risorsa |
Ambito |
Oracle Universal Credit |
Pay As You Go o prova |
|---|---|---|---|
| VCN | Region | 50 | 10 |
| Subnet | VCN | 300 | 300 |
| IPv4 CIDR | VCN | 5 | 5 |
| Prefissi IPv6 | VCN | 5 | 5 |
| IPv4 CIDR | Subnet | 1 | 1 |
| Prefissi IPv6 | Subnet | 3* | 3* |
| Prefisso IPv6 allocato da Oracle | Subnet | 1 | 1 |
| * Il limite per questa risorsa può essere aumentato a un massimo di cinque. | |||
Utilizzo delle VCN e delle subnet
Una delle prime cose che fai quando lavori con le risorse Oracle Cloud Infrastructure è creare una VCN con una o più subnet. Puoi iniziare facilmente nella console con una semplice VCN e alcune risorse correlate che ti consentono di creare e connetterti a un'istanza. Vedere Esercitazione - Avvio della prima istanza di Linux o Esercitazione - Avvio della prima istanza di Windows.
Ai fini del controllo dell'accesso, quando crei una VCN o una subnet, devi specificare il compartimento in cui desideri che risieda la risorsa. In caso di dubbi su quale compartimento utilizzare, consultare l'amministratore della tenancy.
Facoltativamente, è possibile assegnare nomi descrittivi alla VCN e alle relative subnet. I nomi non devono essere univoci e possono essere modificati successivamente. Oracle assegna automaticamente a ciascuna risorsa un identificativo univoco chiamato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi risorse.
Puoi anche aggiungere un'etichetta DNS per la VCN e ogni subnet, necessarie se desideri che le istanze utilizzino la funzione Resolver Internet e VCN per il DNS nella VCN. Per ulteriori informazioni, vedere DNS in una rete cloud virtuale.
Quando si crea una sottorete, è possibile facoltativamente specificare una tabella di instradamento da utilizzare per la sottorete. In caso contrario, la subnet utilizza la tabella di instradamento predefinita della rete cloud. È possibile modificare la tabella di instradamento utilizzata dalla subnet in qualsiasi momento.
Inoltre, è possibile specificare facoltativamente uno o più elenchi di sicurezza per l'uso della sottorete (fino a cinque). Se non si specifica alcun valore, la subnet utilizza la lista di sicurezza predefinita della rete cloud. È possibile modificare la lista di sicurezza utilizzata dalla subnet in qualsiasi momento. Tenere presente che le regole di sicurezza vengono applicate a livello di istanza, anche se la lista è associata a livello di subnet. I gruppi di sicurezza di rete sono un'alternativa alle liste di sicurezza e consentono di applicare un set di regole di sicurezza a un set di risorse che hanno tutte le stesse impostazioni di sicurezza, anziché a tutte le risorse in una determinata subnet.
Facoltativamente, è possibile specificare un set di opzioni DHCP per la sottorete da utilizzare. Tutte le istanze nella sottorete ricevono la configurazione specificata in quel set di opzioni DHCP. Se non si specifica un set, la subnet utilizza il set predefinito di opzioni DHCP della rete cloud. È possibile modificare il set di opzioni DHCP utilizzate dalla sottorete in qualsiasi momento.
Per eliminare una subnet, deve contenere alcuna risorsa (nessuna istanza, load balancer, sistemi di database OCI e destinazioni di accesso isolate). Per ulteriori dettagli, consulta la sezione relativa all'eliminazione della subnet o della VCN.
Per eliminare una VCN, le relative subnet non devono contenere risorse. Inoltre, la VCN non deve avere gateway collegati. Se si utilizza la console, il processo "Elimina tutto" che è possibile utilizzare dopo aver prima verificato che le subnet siano vuote. Vedere Eliminazione di una VCN.
Per esaminare un elenco dei limiti applicabili e le istruzioni per richiedere un incremento del limite, consulta i limiti del servizio.
Criterio IAM necessario
Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o unaltro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.
Per gli amministratori, vedere Criteri IAM per il networking.
Zone di sicurezza
Le zone di sicurezza garantiscono la conformità delle risorse cloud ai principi di sicurezza Oracle. Se un'operazione qualsiasi su una risorsa in un compartimento della zona di sicurezza viola un criterio per tale zona di sicurezza, l'operazione viene negata.
I criteri delle zone di sicurezza riportati di seguito influiscono sulla capacità di gestire le reti VCN e le subnet.
- Le subnet in una zona di sicurezza non possono essere pubbliche. Tutte le subnet devono essere private.
- Non è possibile spostare una subnet da una zona di sicurezza a un compartimento standard.