Schede di interfaccia di rete virtuali (VNIC)

In questo argomento viene descritto come gestire le schede di interfaccia di rete virtuali (VNIC) in una rete cloud virtuale (VCN).

Panoramica delle VNIC e delle NIC fisiche

I server presenti nei data center dell'infrastruttura Oracle Cloud dispongono di schede di interfaccia di rete (VNIC) fisiche. When you create an instance on one of these servers, the instance communicates using Networking service virtual NICs (VNICs) associated with the physical NICs. Le sezioni successive parlano di VNIC e NIC e di come sono correlati.

Informazioni sulle VNIC

Una VNIC consente a un'istanza di connettersi a una VCN e decide in che modo l'istanza si connette agli endpoint all'interno e all'esterno della VCN. Ogni VNIC risiede in una subnet in una VCN e include i seguenti elementi:

  • un indirizzo IPv4 principale privato dalla subnet in cui si trova la VNIC, scelto da te o da Oracle; L'indirizzo IP primario può essere un indirizzo IPv6 se alla subnet viene assegnato un prefisso IPv6.
  • fino a 64 indirizzi IPv4 privati secondari opzionali dalla stessa subnet in cui si trova la VNIC, scelta da te o da Oracle;
  • Fino a 32 indirizzi secondari facoltativi IPv6. L'indirizzamento IPv6 è supportato per tutte le aree commerciali e governative. Per ulteriori informazioni, consulta IPv6 Indirizzi e Limiti del servizio.
  • Un indirizzo IPv4 pubblico facoltativo per ogni IP privato, scelto da Oracle ma assegnato dall'utente.
  • un nome host opzionale per DNS per ogni indirizzo IP privato (vedere l'argomento relativo al DNS in una rete cloud virtuale);
  • Un indirizzo MAC.
  • Una tag VLAN assegnata da Oracle e disponibile quando il collegamento della VNIC all'istanza è stato completato (pertinente solo per le istanze bare metal).
  • Flag per abilitare o disabilitare il controllo di origine/destinazione nel traffico di rete della VNIC (vedere Panoramica delle VNIC e delle NIC fisiche).
  • Appartenenza facoltativa a uno o più gruppi di sicurezza di rete (NSG) selezionati. I gruppi NSG dispongono di regole di sicurezza che si applicano solo alle VNIC presenti in tale gruppo NSG.
  • Associazione facoltativa della VNIC a una tabella di instradamento personalizzata. Viene definito instradamento per risorsa e consente di definire decisioni di instradamento per la VNIC che sostituiscono le tabelle di instradamento della subnet.

Ogni VNIC ha anche un nome descrittivo che è possibile assegnare e un OCID assegnato da Oracle (vedere Identificativi delle risorse).

Ogni istanza dispone di una VNIC primaria creata e collegata automaticamente durante la creazione dell'istanza. La VNIC risiede nella subnet specificata. Impossibile rimuovere la VNIC primaria dall'istanza. Una VNIC secondaria può essere rimossa o scollegata da un'istanza, ma viene sempre eliminata immediatamente e non può esistere quando non è più collegata a un'istanza.

Modalità di correlazione tra VNIC e NIC fisiche

Questa sezione è rilevante per le istanze Bare Metal.

Il sistema operativo su un'istanza Bare Metal riconosce due dispositivi di rete fisici e li configura come due NIC fisici, 0 e 1. La loro attività dipende dall'hardware sottostante. Puoi decidere quali NIC sono attivi per una forma esaminando le specifiche della larghezza di banda di rete per le forme Bare Metal. Se la larghezza di banda di rete è elencata come "2 x <bandwidth> Gbps", significa che entrambi i NIC 0 e NIC 1 sono attivi e ogni NIC fisico ha la quantità di larghezza di banda indicata. Se la larghezza di banda di rete è elencata come "1 x <bandwidth> Gbps", significa che è attivo solo NIC 0. Nelle forme Standard e DenseIO di generazione corrente, in genere sono attivi sia il NIC 0 che il NIC 1.

La scheda NIC 0 viene configurata automaticamente con la configurazione IP della scheda VNIC primaria (indirizzi IP, nome host DNS e così via).

Se aggiungi una VNIC secondaria a un'istanza, devi specificare quale NIC fisica utilizza la VNIC secondaria. È inoltre necessario configurare il sistema operativo in modo che il NIC fisico disponga della configurazione IP della VNIC secondaria. Per le istanze Linux, vedere Linux: Configurazione del sistema operativo per le VNIC secondarie. Per le istanze di Windows, vedere Windows: Configurazione del sistema operativo per le VNIC secondarie.

Informazioni sulle VNIC secondarie

Puoi aggiungere VNIC secondarie a un'istanza dopo che è stata creata. Ogni VNIC secondaria può trovarsi in una subnet nella stessa VCN della VNIC primaria o in una subnet diversa nella stessa VCN o in un'altra. Tuttavia, tutte le VNIC devono trovarsi nello stesso dominio di disponibilità dell'istanza.

Ecco alcuni motivi per cui potresti utilizzare le VNIC secondarie:

  • Usa un hypervisor su un'istanza Bare Metal: le virtual machine nell'istanza Bare Metal dispongono ciascuna della propria VNIC secondaria, che offre la connettività diretta ad altre istanze e servizi nella VCN della VNIC.
  • Connettere un'istanza alle subnet in diverse VCN: ad esempio, potresti impostare un firewall per proteggere il traffico tra le VCN, in modo che l'istanza debba connettersi alle subnet in VCN diverse.

Di seguito sono riportati ulteriori dettagli sulle VNIC secondarie.

  • Il limite al numero di VNIC che è possibile collegare a un'istanza varia in base alla forma. Per conoscere tali limiti, consulta Forme di computazione.
  • Possono essere aggiunti solo dopo la creazione dell'istanza.
  • Devono essere sempre collegati a un'istanza e non possono essere spostati. Il processo di creazione di una VNIC secondaria la collega automaticamente all'istanza. Il processo di scollegamento di una VNIC secondaria la elimina automaticamente.
  • Le istanze vengono scollegate ed eliminate automaticamente quando vengono arrestate.
  • La larghezza di banda dell'istanza viene corretta indipendentemente dal numero di VNIC collegate. Non puoi specificare un limite di larghezza di banda per una VNIC particolare su un'istanza.
  • Il collegamento di più VNIC dallo stesso blocco CIDR della subnet a un'istanza può introdurre un instradamento asimmetrico, soprattutto nelle istanze che utilizzano una variante di Linux. Se hai bisogno di questo tipo di configurazione, ti consigliamo di assegnare diversi indirizzi IP privati a una VNIC o di utilizzare l'instradamento basato su criteri come mostrato nello script più avanti in questo argomento.
  • L'aggiunta di diverse VNIC potrebbe instradare il traffico iSCSI dalla VNIC primaria, interrompendo i collegamenti dei volumi iSCSI. Per evitare questo problema, aggiungere percorsi specifici per le nuove VNIC e utilizzare l'indirizzo del router VNIC primario come gateway. I volumi di avvio iSCSI utilizzano l'indirizzo 169.254.0.2/32 e i volumi a blocchi utilizzano la rete 169.254.2.0/24.

Controllo origine/destinazione

Per impostazione predefinita, ogni VNIC esegue il controllo dell'origine/destinazione sul proprio traffico di rete. La VNIC esamina l'origine e la destinazione elencate nell'intestazione di ogni pacchetto di rete. Se la VNIC non è l'origine o la destinazione, il pacchetto viene eliminato.

Se la VNIC deve inoltrare il traffico (ad esempio, se deve eseguire la conversione NAT (Network Address Translation), è necessario disabilitare il controllo di origine/destinazione nella VNIC. Per istruzioni, vedere Aggiornamento di una VNIC. Per informazioni sullo scenario generale, vedere Utilizzo di un IP privato come destinazione di instradamento.

Informazioni sulla VNIC nei metadati dell'istanza

Il servizio IMDS (Instance Metadata Service) include informazioni sulle VNIC nei seguenti URL:

  • Versione IMDS 2:

    http://169.254.169.254/opc/v2/vnics/
  • IMDS precedente versione 1:

    http://169.254.169.254/opc/v1/vnics/

Di seguito è riportata una risposta di esempio che mostra le VNIC collegate a un'istanza.

[ {
    "vnicId" : "ocid1.vnic.oc1.phx.exampleuniqueID",
    "privateIp" : "10.0.3.6",
    "vlanTag" : 11,
    "macAddr" : "00:00:00:00:00:01",
    "virtualRouterIp" : "10.0.3.1",
    "subnetCidrBlock" : "10.0.3.0/24",
    "nicIndex" : 0
}, {
    "vnicId" : "ocid1.vnic.oc1.phx.exampleuniqueID",
    "privateIp" : "10.0.4.3",
    "vlanTag" : 12,
    "macAddr" : "00:00:00:00:00:02",
    "virtualRouterIp" : "10.0.4.1",
    "subnetCidrBlock" : "10.0.4.0/24",
    "nicIndex" : 0
} ]

Criterio IAM necessario

Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere un membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.

Le VNIC risiedono in una subnet ma si collegano a un'istanza. Il collegamento della VNIC all'istanza è un oggetto separato dalla VNIC o dall'istanza stessa. Tenere presente che la VNIC e la subnet esistono sempre insieme nello stesso compartimento, ma il collegamento della VNIC all'istanza esiste sempre nel compartimento dell'istanza. Questa distinzione non è importante se si dispone di uno scenario di controllo dell'accesso in cui tutte le risorse cloud si trovano nello stesso compartimento (ad esempio, per un proof-of-concept). Quando si passa a un'implementazione di produzione, è possibile decidere che gli amministratori di rete gestiscano la rete e che il personale amministri le istanze. Ciò significa che potresti inserire le istanze in un compartimento diverso da quello della subnet.

Per gli amministratori, vedere Criteri IAM per il networking.

Monitoraggio delle VNIC

Puoi monitorare lo stato, la capacità e le prestazioni delle risorse Oracle Cloud Infrastructure utilizzando metriche, allarmi e notifiche. Per ulteriori informazioni vedere Monitoraggio e Notifiche.

Per informazioni sul monitoraggio del traffico in entrata e in uscita dalle VNIC, consulta le metriche VNIC.

Linux: configurazione del sistema operativo per le VNIC secondarie

Oracle Linux

È consigliabile che le istanze che utilizzano Oracle Linux utilizzino la utility oci-network-config per eseguire la configurazione del sistema operativo richiesta per le VNIC secondarie.

Red Hat Enterprise Linux

Le istanze che utilizzano Red Hat Enterprise Linux (RHEL) 9.6 o versioni successive e RHEL 10.0 o versioni successive possono utilizzare NetworkManager per eseguire la configurazione del sistema operativo richiesta per le VNIC secondarie. Questa funzione è supportata su architetture Intel (x86_64) e ARM (aarch64) per virtual machine e istanze Bare Metal. NetworkManager richiede l'esecuzione delle seguenti istruzioni dal prompt dei comandi (o come script) nella sequenza mostrata e come utente sudo:

dnf -y install NetworkManager-config-server
dnf -y install NetworkManager-cloud-setup
mkdir /etc/systemd/system/nm-cloud-setup.service.d
touch /etc/systemd/system/nm-cloud-setup.service.d/oci.conf
echo -e "[Service]\nEnvironment=NM_CLOUD_SETUP_OCI=yes\nEnvironment=NM_CLOUD_SETUP_LOG=TRACE" >> /etc/systemd/system/nm-cloud-setup.service.d/oci.conf
systemctl daemon-reload
systemctl enable --now nm-cloud-setup

Successivamente, per verificare che la VNIC secondaria funzioni come previsto, eseguire il comando nmcli device show. Il seguente estratto dall'output dello schermo mostra una configurazione riuscita di una VNIC secondaria:

GENERAL.DEVICE:             SecondaryVnicId
GENERAL.TYPE:               vlan
GENERAL.HWADDR:             00:00:5E:00:53:01
GENERAL.MTU:                9000
GENERAL.STATE:              100 (connected)
GENERAL.CONNECTION:         vlan1
GENERAL.CON-PATH:           /org/freedesktop/NetworkManager/ActiveConnection/4
IP4.ADDRESS[1]:             10.0.0.178/23
IP4.GATEWAY:                --
IP4.ROUTE[1]:               dst = 10.0.0.0/23, nh = 0.0.0.0, mt = 10, table=30201
IP4.ROUTE[2]:               dst = 10.0.0.0/23, nh = 0.0.0.0, mt = 400
IP4.ROUTE[3]:               dst = 0.0.0.0/0, nh = 10.0.0.1, mt = 10, table=30401
IP6.ADDRESS[1]:             fe80::d7fb:c283:e45:abf5/64
IP6.GATEWAY:                --
IP6.ROUTE[1]:               dst = fe80::/64, nh = ::, mt = 1024

Nell'output, ogni blocco corrisponde a una VNIC, con la VNIC primaria elencata per prima. Di seguito sono riportati i componenti su cui concentrarsi.

  1. GENERAL.HWADDR: corrisponde all'indirizzo MAC della VNIC mostrato in OCI Console.
  2. GENERAL.STATE: indica lo stato della connessione. 100 (connected) indica una connessione riuscita.

Windows: Configurazione del sistema operativo per le VNIC secondarie

Le VNIC secondarie sono supportate nelle istanze VM e Bare Metal (ad eccezione delle istanze che utilizzano forme di generazione precedente Standard1 e StandardB1). Per le istanze Bare Metal, le VNIC secondarie sono supportate solo sul secondo NIC fisico.

Suggerimento

La prima NIC fisica è NIC 0, mentre la seconda è NIC 1.

Devi configurare la VNIC secondaria all'interno del sistema operativo. Oracle consiglia di scrivere uno script PowerShell per eseguire la configurazione. Quando esegui lo script, puoi facoltativamente fornire l'OCID della VNIC secondaria (che puoi ottenere dai metadati della VNIC dell'istanza).

In caso contrario, lo script dovrebbe mostrare una lista delle VNIC secondarie nell'istanza e richiedere di selezionare quella che si desidera configurare. Ecco cosa deve fare lo script:

  1. Verificare se nell'interfaccia di rete sono presenti un indirizzo IP e un instradamento predefinito.
  2. Affinché il sistema operativo riconosca la VNIC secondaria, lo script deve sovrascrivere l'indirizzo IP e la route predefinita con impostazioni statiche (che disabilita DHCP). Lo script dovrebbe richiedere una scelta: per sovrascrivere con le impostazioni statiche, o uscire.

Il processo generale per la configurazione varia leggermente a seconda del tipo di istanza (VM o Bare Metal) e del numero di VNIC secondarie aggiunte all'istanza.

Istanze VM Windows

Ecco il processo generale:

  1. Aggiungere una o più VNIC secondarie all'istanza. Mantieni a portata di mano l'OCID di ogni VNIC in modo da poterlo fornire in un secondo momento quando esegui lo script di configurazione. Puoi anche ottenere l'OCID dai metadati VNIC dell'istanza.
  2. Connettersi all'istanza con Desktop remoto.
  3. Eseguire lo script come amministratore. Ripetere le operazioni necessarie per una qualsiasi delle VNIC secondarie aggiuntive.
Istanze Bare Metal di Windows: aggiunta della prima VNIC secondaria

Se stai aggiungendo solo una singola VNIC secondaria all'istanza Bare Metal, ecco il processo generale:

  1. Aggiungere la VNIC secondaria all'istanza. Mantieni l'OCID della VNIC a portata di mano in modo da poterlo fornire quando in seguito esegui uno script di configurazione. Puoi anche ottenere l'OCID dai metadati VNIC dell'istanza.
  2. Connettersi all'istanza con Desktop remoto.
  3. Abilitare la seconda NIC fisica nell'istanza:
    1. Aprire Gestione dispositivi, quindi selezionare Schede di rete.
    2. Selezionare l'adattatore che corrisponde alla seconda NIC fisica dell'istanza e selezionare Abilita.
  4. Eseguire lo script PowerShell come amministratore.
Istanze Bare Metal Windows: aggiunta di altre VNIC secondarie

Se si dispone di una VNIC secondaria sulla seconda NIC fisica di un'istanza Bare Metal e si desidera ottenere una o più VNIC aggiuntive, ecco il processo complessivo. Include un task per l'impostazione del team NIC, necessario se l'istanza dispone di più VNIC sulla seconda NIC fisica.

Nota

Se si aumenta il numero di VNIC secondarie sul secondo NIC fisico da uno a due o più, è necessario abilitare NIC teaming per il secondo NIC fisico (vedere le istruzioni riportate di seguito). Nel "team" della scheda NIC è possibile creare un'interfaccia separata per ciascuna scheda VNIC secondaria su tale scheda NIC fisica, inclusa quella iniziale. Ciò significa che l'interfaccia originale per la prima VNIC secondaria non funziona più e qualsiasi configurazione successiva che si desidera eseguire per tale VNIC deve essere eseguita invece sulla nuova interfaccia della VNIC che fa parte del "team".
  1. Aggiungere una o più VNIC secondarie aggiuntive all'istanza. Mantieni a portata di mano l'OCID e la tag VLAN di ogni VNIC in modo da poterli fornire durante l'esecuzione successiva dello script di configurazione. Puoi anche ottenere i valori dai metadati VNIC dell'istanza.
  2. Connettersi all'istanza con Desktop remoto.
  3. Impostare il team NIC sull'istanza:
    1. Aprire Server Manager, quindi selezionare Server locale.
    2. Nell'elenco delle proprietà, trovare NIC Teaming, quindi selezionare Disabilitato per abilitare e impostare il teaming NIC.
    3. Nella sezione Team, nella parte inferiore sinistra della schermata, selezionare Task, quindi Nuovo team.
    4. Immettere un nome per il team, selezionare la seconda NIC fisica nell'istanza e selezionare OK.

      Il nuovo team viene creato e viene visualizzato nell'elenco dei team nella sezione Team.

    5. Selezionare il nuovo team in modo che venga selezionato, quindi nella sezione Adattatori e interfacce sul lato destro della schermata, selezionare la scheda Interfacce team.
    6. Selezionare Task, quindi Aggiungi interfaccia (si crea un'interfaccia separata per ogni VNIC secondaria sulla seconda NIC fisica).
    7. Selezionare il pulsante di scelta per VLAN specifica, quindi immettere il numero di tag VLAN assegnato da Oracle per la VLAN (ad esempio, 1). Puoi ottenere la tag VLAN dalla console o dai metadati VNIC dell'istanza.
    8. Selezionare OK.
    9. Ripetere i quattro passi precedenti (e-h) per ciascuna delle altre VNIC secondarie. Puoi creare un'interfaccia separata per ogni VNIC secondaria.

  4. Eseguire lo script come amministratore. Ripetere le operazioni necessarie per una qualsiasi delle VNIC secondarie aggiuntive.

Gestione delle VNIC