Tabelle di instradamento VCN
In questo argomento viene descritto come gestire le tabelle di instradamento in una rete cloud virtuale (VCN). Per ulteriori informazioni sulle tabelle di instradamento in un gateway di instradamento dinamico (DRG), vedere Gateway di instradamento dinamico.
Panoramica dell'instradamento per una VCN
Una VCN utilizza le tabelle di instradamento per inviare il traffico dalla VCN (ad esempio, a Internet, a una rete in locale o a una VCN in peer). Queste tabelle di instradamento dispongono di regole simili alle regole di instradamento di rete tradizionali che si potrebbero già conoscere. Ogni regola specifica un blocco CIDR di destinazione e la destinazione (l'hop successivo) per qualsiasi traffico corrispondente al CIDR.
Di seguito sono riportate le nozioni di base sull'instradamento in una VCN.
- Lo scenario di instradamento primario prevede l'invio del traffico di una subnet a destinazioni esterne alla subnet. A una subnet è associata una singola tabella di instradamento selezionata a meno che una VNIC non disponga di una tabella di instradamento associata direttamente a se stessa o ai relativi indirizzi IP. Per ulteriori informazioni, vedere la sezione Instradamento per risorsa. Tutte le VNIC nella subnet sono soggette alle regole nella tabella di instradamento. Le regole regolano il modo in cui il traffico che esce dalla subnet viene instradato.
- L'instradamento locale della VCN gestisce automaticamente il traffico tra e all'interno delle subnet della VCN. L'instradamento locale non richiede la definizione di regole di instradamento esplicite per abilitare il traffico, le regole di instradamento locale sono implicite e non vengono visualizzate nella tabella di instradamento. L'instradamento tra le subnet di una VCN può essere modificato aggiungendo instradamenti statici (vedere Instradamento VCN integrato).
- Puoi usare l'instradamento intra-VCN per specificare un IP privato, un GPL o un DRG next-hop all'interno di una rete VCN per il traffico destinato a un'altra subnet nella VCN. L'instradamento intra-VCN consente di creare casi d'uso di sicurezza e virtualizzazione della rete più complessi. OCI supporta anche l'instradamento intra-VCN per il traffico che entra in una VCN tramite un gateway oltre al traffico tra le subnet.
- Puoi utilizzare l'instradamento per risorsa per associare una tabella di instradamento VCN personalizzata a una VNIC o a un indirizzo IP su una VNIC, che ti consente di instradare il traffico in modo diverso per i carichi di lavoro nella stessa subnet.
- Se una tabella di instradamento contiene regole sovrapposte, Oracle utilizza la regola più specifica della tabella per instradare il traffico (la regola con la corrispondenza del prefisso più lunga). Si dice che due CIDR si sovrappongano quando un CIDR è contenuto nell'altro. Le tabelle di instradamento della VCN contengono voci per gli instradamenti della VCN locale. Se crei un instradamento statico per il blocco CIDR VCN (con la stessa lunghezza del prefisso dell'instradamento locale della VCN), l'instradamento statico ha la precedenza.
- Se nessuna regola di instradamento corrisponde al traffico di rete che si intende instradare al di fuori della VCN, il traffico viene eliminato (in blackholed).
- L'indirizzamento IPv6 è supportato per tutte le aree commerciali e governative. Per maggiori informazioni, vedere IPv6 Indirizzi.
Per dettagli importanti sull'instradamento tra una rete VCN e una rete in locale, vedere Dettagli di instradamento per le connessioni alla rete in locale.
Utilizzo delle tabelle di instradamento e delle regole di instradamento
Ogni VCN viene fornita automaticamente con una tabella di instradamento predefinita contenente regole implicite che includono gli instradamenti per i CIDR VCN. Se non si specifica altrimenti, ogni subnet utilizza la tabella di instradamento predefinita della VCN. Quando si aggiungono regole di instradamento a una VCN, è possibile aggiungerle alla tabella predefinita. Tuttavia, se necessario, puoi creare tabelle di instradamento personalizzate per ogni subnet. Ad esempio, quando in una VCN sono presenti una subnet pubblica e una subnet privata (ad esempio, vedere Scenario C: Subnet pubbliche e private con una VPN), è necessario utilizzare tabelle di instradamento diverse per le subnet perché le regole di instradamento per le subnet devono essere diverse.
Ogni subnet in una VCN utilizza una singola tabella di instradamento. Quando si crea la subnet, è necessario specificarne una da utilizzare. È possibile modificare la tabella di instradamento utilizzata dalla sottorete in qualsiasi momento. È inoltre possibile modificare le regole di una tabella di instradamento o rimuovere tutte le regole dalla tabella.
Facoltativamente, è possibile assegnare un nome descrittivo a una tabella di instradamento personalizzata durante la creazione. Non deve essere unico e puoi cambiarlo in seguito. Oracle assegna automaticamente alla tabella di instradamento un identificativo univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi delle risorse.
Una regola di instradamento specifica un blocco CIDR di destinazione e la destinazione (l'hop successivo) per qualsiasi traffico corrispondente al CIDR. Di seguito sono riportati i tipi di destinazioni consentiti per una regola di instradamento.
- Gateway di instradamento dinamico (DRG): per le subnet che richiedono l'accesso privato alle reti connesse a una VCN (ad esempio, una rete in locale connessa a una VPN da sito a sito o FastConnect, una VCN in peering nella stessa area o una VCN in peer in un'altra area).
- Gateway Internet: per le subnet pubbliche che richiedono l'accesso diretto a Internet.
- Gateway NAT: per subnet con istanze che non dispongono di indirizzi IP pubblici ma richiedono l'accesso in uscita a Internet.
- Gateway di servizi: per le subnet che richiedono l'accesso privato ai servizi Oracle come lo storage degli oggetti.
- Gateway di peering locale (LPG): per le subnet che richiedono l'accesso privato a una VCN in peering nella stessa area.
- IP privato: per le subnet che devono instradare il traffico a un'istanza nella VCN. Per ulteriori informazioni, vedere Utilizzo di un IP privato come destinazione di instradamento. Vedere anche Panoramica sull'instradamento per una VCN.
Non è possibile eliminare una determinata risorsa quando è la destinazione di una regola di instradamento. Ad esempio, non è possibile eliminare un gateway Internet con traffico instradato ad esso. Eliminare tutte le regole (in tutte le tabelle di instradamento) con il gateway Internet come destinazione prima di provare a eliminare il gateway o un'altra risorsa.
Quando si aggiunge una regola di instradamento a una tabella di instradamento, è necessario fornire il blocco e la destinazione CIDR di destinazione (oltre al compartimento in cui si trova la destinazione). Eccezione: se la destinazione è un gateway di servizi , anziché un blocco CIDR di destinazione, si specifica una stringa fornita da Oracle che rappresenta gli endpoint pubblici per il servizio di interesse. In questo modo non è necessario conoscere tutti i blocchi CIDR del servizio, che potrebbero cambiare nel tempo.
Se si configura una regola in modo errato (ad esempio, immettere il blocco CIDR di destinazione errato), il traffico di rete che si intendeva instradare potrebbe essere eliminato (in modalità blackholed) o inviato a una destinazione non intenzionale.
È possibile spostare una tabella di instradamento da un compartimento a un altro. Lo spostamento di una tabella di instradamento non influisce sul relativo collegamento a VCN o subnet. Quando si sposta una tabella di instradamento in un nuovo compartimento, i criteri intrinseci vengono applicati immediatamente e influiscono sull'accesso alla tabella di instradamento. Per ulteriori informazioni, vedere Controllo dell'accesso.
Non è possibile eliminare la tabella di instradamento predefinita di una VCN. Per eliminare una tabella di instradamento personalizzata, non deve essere associata a una subnet o a un gateway, ad esempio DRG, LPG, IGW, NGW o SGW.
Per esaminare un elenco dei limiti applicabili e le istruzioni per richiedere un incremento del limite, consulta i limiti del servizio.
Instradamento intra-VCN
L'instradamento all'interno della VCN consente di eseguire l'override delle decisioni di instradamento predefinite applicate al traffico destinato agli indirizzi IP contenuti nel blocco CIDR della VCN. L'instradamento all'interno della VCN prevede le funzionalità riportate di seguito.
- Instradamenti locali: ogni VCN instrada automaticamente il traffico all'interno della VCN e tra le subnet della VCN, a meno che non si aggiungano regole di instradamento che dichiarino il contrario. Il traffico locale utilizza la tabella di instradamento associata alla subnet, incluso l'instradamento locale all'interno del CIDR VCN.
- Instradamenti VCN interni personalizzati: si tratta di regole di instradamento create nella VCN o nella tabella di instradamento della subnet per il traffico intra-VCN, che possono sostituire i normali instradamenti locali. Tutti gli instradamenti VCN interni personalizzati dispongono di una destinazione (DRG, LPG o IP privato nella VCN) e di un tipo di instradamento statico.
- Selezione instradamento migliore: viene selezionata la corrispondenza prefisso più lunga (o l'instradamento più specifico). Quando sono possibili più instradamenti per lo stesso prefisso, l'instradamento migliore viene selezionato in base alla priorità del tipo di instradamento seguente:
- Instradamenti statici (definiti dall'utente)
- Instradamenti locali impliciti (creati automaticamente da OCI) non visibili nella tabella di instradamento
- IPv6: OCI supporta l'instradamento intra-VCN per i prefissi VCN IPv6.
L'instradamento tra subnet non è supportato. Il traffico con un indirizzo IP di destinazione nella stessa subnet della VNIC di origine viene inoltrato (non instradato) direttamente alla destinazione appropriata.
Uso instradamento VCN interno
- Crea regole di instradamento statiche nella tabella di instradamento IGW che specificano un hop successivo di 10.0.1.4 (un firewall) per il traffico in entrata.
- Creare tabelle di instradamento per le subnet A, B e C. Il traffico da Internet alle subnet B e C deve passare attraverso l'appliance firewall all'indirizzo 10.0.1.4 nella subnet A. Il traffico tra la subnet B e C deve passare attraverso lo stesso firewall.
La seguente immagine mostra un esempio di instradamento interno:
| Destinazione | Oggetto | Tipo di instradamento |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Static |
| Destinazione | Oggetto | Tipo di instradamento |
|---|---|---|
| 0.0.0.0/0 | IGW | Static |
| Destinazione | Oggetto | Tipo di instradamento |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Static |
| 0.0.0.0/0 | 10.0.1.4 | Static |
| Destinazione | Oggetto | Tipo di instradamento |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Static |
| 0.0.0.0/0 | 10.0.1.4 | Static |
Instradamento per risorsa
Puoi utilizzare l'instradamento per risorsa per assegnare una tabella di instradamento VCN personalizzata a una o più VNIC o a determinati indirizzi IP su una VNIC. Un indirizzo IP con una tabella di instradamento assegnata può essere un indirizzo IP primario o secondario per la VNIC. Con l'instradamento per risorsa, si applica una preferenza gerarchica in base alla tabella di instradamento da utilizzare per la ricerca dell'instradamento: la tabella di instradamento nell'indirizzo IP viene preferita rispetto alla tabella di instradamento nella VNIC e la tabella di instradamento in una VNIC viene preferita rispetto alla tabella di instradamento nella subnet. Ecco il processo di selezione della tabella di instradamento:
- Se all'indirizzo IP della VNIC è associata una tabella di instradamento personalizzata, questa tabella di instradamento viene utilizzata per instradare il traffico dall'indirizzo IP.
- Se un indirizzo IP VNIC non dispone di una propria tabella di instradamento, la tabella di instradamento a livello di VNIC viene utilizzata per instradare il traffico dall'indirizzo IP.
- Se a una VNIC è associato un instradamento in grado, tutti gli indirizzi IP nella VNIC ai quali non è associata una tabella di instradamento utilizzano la tabella di instradamento della VNIC.
- Se a una VNIC non è associata una tabella di instradamento, tutti gli indirizzi IP nella VNIC a cui non è associata una tabella di instradamento utilizzano la tabella di instradamento della subnet.
Per decidere l'instradamento del traffico per una VNIC o un indirizzo IP viene utilizzata una sola tabella di instradamento. Se l'instradamento per risorsa viene utilizzato in una VNIC o in un indirizzo IP, le altre tabelle di instradamento nella catena gerarchica vengono ignorate. Ad esempio, se un indirizzo IP VNIC è associato a una tabella di instradamento, tale tabella viene utilizzata per instradare il traffico dall'indirizzo IP e le tabelle di instradamento sulla VNIC e sulla subnet vengono ignorate.
L'immagine seguente mostra un esempio di utilizzo dell'instradamento per risorsa:
| Destinazione | Oggetto | Tipo di instradamento |
|---|---|---|
| 0.0.0.0/0 | DRG | Static |
| Destinazione | Oggetto | Tipo di instradamento |
|---|---|---|
| 0.0.0.0/0 | IGW | Static |
In questo esempio, un'istanza di OCI Compute con due VNIC nella stessa subnet dispone di un'applicazione in esecuzione che deve accedere a Internet e anche ai database o ad altre risorse nel data center on premise. L'applicazione utilizza la VNIC A per tutto il traffico limitato per una rete in locale e la VNIC B per tutto il traffico limitato da Internet. L'amministratore della rete cloud può associare una tabella di instradamento personalizzata alla VNIC A in cui l'instradamento predefinito prevede il DRG come destinazione e instrada tutto il traffico dalla VNIC A al DRG. Una seconda tabella di instradamento personalizzata è associata alla VNIC B in cui l'instradamento predefinito prevede il gateway Internet come destinazione e instrada tutto il traffico dalla VNIC B al gateway Internet.
Un vantaggio qui è che, poiché si tratta di regole statiche, le regole vengono isolate dalle modifiche nei blocchi CIDR utilizzati nel data center on-premise. Tutte le modifiche apportate all'ambiente on premise vengono condivise con il gateway DRG mediante la pubblicità BGP e le tabelle di instradamento VCN possono essere semplici e stabili.
Instradamento in entrata gateway
- Local Peering Gateway (LPG)
- Gateway di instradamento dinamico
- Gateway Internet
- Gateway NAT
- Gateway del servizio
Se si associa una tabella di instradamento a uno di questi gateway, in seguito il gateway deve sempre avere una tabella di instradamento associata. Le regole della tabella di instradamento associata possono essere modificate o rimosse. Per un gateway Internet, la destinazione deve trovarsi in una subnet pubblica.
Criterio IAM necessario
Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere un membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.
Per gli amministratori, vedere Criteri IAM per il networking.
Limiti delle tabelle di instradamento VCN
Questa sezione è specifica dei limiti per le tabelle di instradamento VCN. I limiti delle tabelle di instradamento DRG vengono forniti nella sezione Limiti delle tabelle di instradamento DRG.
|
Risorsa |
Ambito |
Oracle Universal Credit |
Pay As You Go o prova |
|---|---|---|---|
| Tabelle di instradamento VCN | VCN | 300 | 300 |
| Regole di instradamento | Tabella di instradamento VCN | 200 | 200 |
Uso di un IP privato come destinazione dell'instradamento
Se non si ha familiarità con la definizione di un IP privato, vedere Indirizzi IP privati. In breve: un IP privato è un oggetto che contiene un indirizzo IP privato e le proprietà correlate e dispone di un proprio OCID.
Casi d'uso generali
OCI utilizza la tabella di instradamento di una subnet per instradare il traffico a un indirizzo IP di destinazione esterno alla subnet. Se la destinazione si trova al di fuori della VCN, in genere si imposta una regola di instradamento per instradare il traffico a un gateway nella VCN (ad esempio, un gateway DRG connesso a una rete in locale o a un'altra VCN o a un gateway Internet connesso a Internet). Se la destinazione si trova in un'altra subnet della stessa VCN, per impostazione predefinita il traffico viene instradato utilizzando l'instradamento locale per il CIDR VCN. Tuttavia, potresti voler instradare prima tale traffico tramite un'istanza nella VCN. In questo caso, puoi usare un IP privato nella VCN come destinazione anziché come gateway nella VCN. Ecco alcuni motivi per cui potresti farlo:
- Implementare un'appliance di rete virtuale (NVA, Virtual Network Appliance), ad esempio un firewall o un rilevamento delle intrusioni, che filtra il traffico in uscita dalle istanze.
- Per gestire una rete di overlay sulla VCN, che ti consente di eseguire i carichi di lavoro di orchestrazione dei container.
- Per implementare la conversione NAT (Network Address Translation) nella VCN. Si noti che Oracle consiglia invece di utilizzare un gateway NAT con la VCN. In generale, NAT crea l'accesso a Internet in uscita per le istanze che non dispongono di connettività Internet diretta.
Per implementare questi casi d'uso, è necessario molto di più dell'instradamento del traffico all'istanza. La configurazione è obbligatoria anche sull'istanza stessa.
È possibile abilitare l'alta disponibilità della destinazione di instradamento IP privato utilizzando un indirizzo IP privato secondario. In caso di errore, puoi spostare l'IP privato secondario da una VNIC esistente a un'altra VNIC nella stessa subnet. Vedere Spostamento di un indirizzo IP privato secondario in una VNIC diversa (istruzioni per la console) e UpdatePrivateIp (istruzioni per le API).
Requisiti per l'uso di un IP privato come destinazione
- L'IP privato deve trovarsi nella stessa VCN della tabella di instradamento.
- La VNIC dell'IP privato deve essere configurata per saltare il controllo di origine/destinazione in modo che la VNIC possa inoltrare il traffico. Per impostazione predefinita, le VNIC sono configurate per eseguire il controllo. Per ulteriori informazioni, vedere Panoramica delle VNIC e delle NIC fisiche.
- È necessario configurare l'istanza stessa per inoltrare i pacchetti.
-
La regola di instradamento deve specificare l'OCID dell'IP privato come destinazione e non l'indirizzo IP stesso. Eccezione: se si utilizza la console, è possibile specificare l'indirizzo IP privato stesso come destinazione e la console utilizza l'OCID corrispondente all'indirizzo IP privato nella regola.
Importante
Una regola di instradamento con una destinazione IP privata può risultare in blackholing nei seguenti casi:- L'istanza a cui è assegnato l'IP privato viene arrestata o arrestata
- La VNIC alla quale è assegnato l'IP privato viene aggiornata per abilitare il controllo di origine/destinazione oppure viene eliminata
- L'assegnazione dell'IP privato alla VNIC viene annullata
Quando un IP privato di destinazione viene arrestato, nella console la regola di instradamento visualizza una nota che indica che l'OCID di destinazione non esiste più.
Per il failover: se un'istanza di destinazione viene arrestata prima di poter spostare l'IP privato secondario in standby, è necessario aggiornare la regola di instradamento in modo che utilizzi l'OCID del nuovo IP privato di destinazione in standby. La regola utilizza l'OCID della destinazione e non l'indirizzo IP privato stesso.
Processo di impostazione generale
- Decidere l'istanza che si desidera ricevere e inoltrare il traffico.
- Selezionare un IP privato nell'istanza (può trovarsi nella VNIC primaria dell'istanza o in una VNIC secondaria). Per implementare il failover, impostare un IP privato secondario su una delle VNIC dell'istanza.
- Disabilitare il controllo di origine/destinazione sulla VNIC dell'IP privato. Vedere Panoramica delle VNIC e delle NIC fisiche.
- Recupera l'OCID per l'IP privato. Se utilizzi la console, puoi ottenere l'OCID o l'indirizzo IP privato stesso, insieme al nome del compartimento dell'IP privato.
- Per la subnet che deve instradare il traffico all'IP privato, visualizzare la tabella di instradamento della subnet. Se la tabella contiene già una regola con lo stesso CIDR di destinazione ma una destinazione diversa, eliminarla.
-
Aggiungere una regola di instradamento con gli elementi riportati di seguito.
- Tipo di destinazione: vedere la lista dei tipi di destinazione in Panoramica sull'instradamento per una VCN. Se il tipo di destinazione è un DRG, il DRG collegato della VCN viene selezionato automaticamente come destinazione e non è necessario specificare manualmente la destinazione. Se la destinazione è un oggetto IP privato, prima di specificare la destinazione è necessario disabilitare prima il controllo di origine/destinazione nella VNIC che utilizza tale oggetto IP privato. Per ulteriori informazioni, vedere Utilizzo di un IP privato come destinazione di instradamento.
- Blocco CIDR di destinazione: disponibile solo se la destinazione non è un gateway di servizio. Il valore è il blocco CIDR di destinazione per il traffico. È possibile fornire un blocco CIDR di destinazione specifico oppure utilizzare 0.0.0.0/0 se tutto il traffico che esce dalla subnet deve essere instradato alla destinazione specificata in questa regola.
- Servizio di destinazione: disponibile solo se la destinazione è un gateway del servizio. Il valore corrisponde all'etichetta CIDR del servizio a cui si è interessati.
- Compartimento: compartimento contenente la destinazione.
- Destinazione: la destinazione. Se la destinazione è un oggetto IP privato, immettere il relativo OCID. In alternativa, puoi immettere l'indirizzo IP privato stesso, nel qual caso la console trova l'OCID corrispondente e lo utilizza come destinazione per la regola di instradamento.
- Descrizione: una descrizione facoltativa della regola.
Come accennato in precedenza, è necessario configurare l'istanza stessa per inoltrare i pacchetti.