Utilizzo delle tabelle di instradamento VCN e delle regole di instradamento
Informazioni sulle tabelle di instradamento e sulle regole di instradamento VCN.
Ogni VCN dispone di una tabella di instradamento predefinita. È inoltre possibile creare tabelle di instradamento personalizzate. È possibile aggiungere, rimuovere e modificare le regole di instradamento in qualsiasi tabella di instradamento. Per impostazione predefinita, ogni VCN instrada automaticamente il traffico tra le origini e le destinazioni all'interno della VCN. Non è necessario definire regole di instradamento esplicite per questo comportamento di instradamento all'interno di una VCN, ma è possibile modificarlo definendo regole di instradamento personalizzate per il traffico tra subnet in una VCN. Ad esempio, puoi reindirizzare il traffico tra due subnet in una VCN per passare attraverso un firewall definendo una regola di instradamento intra-VCN che definisce l'indirizzo IP privato del firewall come l'hop successivo per i prefissi IP reciproci.
Ogni subnet in una VCN utilizza una singola tabella di instradamento. Quando crei una subnet, puoi specificare quale tabella di instradamento utilizzare. Se non si specifica alcun valore, viene utilizzata la tabella di instradamento predefinita per la VCN. È possibile modificare la tabella di instradamento utilizzata dalla subnet in qualsiasi momento. Quando si dispone di una subnet pubblica e di una subnet privata in una VCN (ad esempio di questo uso, vedere Scenario C: Subnet pubbliche e private con una VPN), utilizzare tabelle di instradamento diverse per le subnet perché le regole di instradamento per le subnet devono essere diverse.
Facoltativamente, è possibile assegnare un nome descrittivo a una tabella di instradamento personalizzata durante la creazione. Non deve essere unico e puoi cambiarlo in seguito. Oracle assegna automaticamente alla tabella di instradamento un identificativo univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni sugli OCID, vedere Identificativi delle risorse.
Una regola di instradamento specifica un blocco CIDR di destinazione e la destinazione (l'hop successivo) per qualsiasi traffico corrispondente al CIDR. Di seguito sono riportati i tipi di destinazioni consentiti per una regola di instradamento.
- Gateway di instradamento dinamico (DRG): per le subnet che richiedono accesso privato a reti connesse a una VCN (ad esempio, una rete in locale connessa a una VPN da sito a sito o FastConnect, una VCN in peering nella stessa area o una VCN in peering in un'altra area).
- Gateway Internet: per le subnet pubbliche che richiedono l'accesso diretto a Internet.
- Gateway NAT: per le subnet con istanze che non dispongono di indirizzi IP pubblici ma richiedono l'accesso in uscita a Internet.
- Gateway di servizi: per le subnet che richiedono l'accesso privato ai servizi Oracle come lo storage degli oggetti.
- Gateway di peering locale (LPG): per le subnet che richiedono l'accesso privato a una VCN in peering nella stessa area.
- IP privato: per le subnet che devono instradare il traffico a un'istanza nella VCN. Per ulteriori informazioni, vedere Utilizzo di un IP privato come destinazione di instradamento. Vedere anche Panoramica sull'instradamento per una VCN.
Non è possibile eliminare una determinata risorsa quando è la destinazione di una regola di instradamento. Ad esempio, non è possibile eliminare un gateway Internet con traffico indirizzato ad esso. Eliminare tutte le regole (in tutte le tabelle di instradamento) con tale gateway Internet come destinazione prima di provare a eliminare il gateway o un'altra risorsa.
Quando si aggiunge una regola di instradamento a una tabella di instradamento, è necessario fornire il blocco CIDR e la destinazione di destinazione (più il compartimento in cui risiede la destinazione). Eccezione: se la destinazione è un gateway di servizi , anziché un blocco CIDR di destinazione, è necessario specificare una stringa fornita da Oracle che rappresenti gli endpoint pubblici per il servizio di interesse. In questo modo non è necessario conoscere tutti i blocchi CIDR del servizio, che potrebbero cambiare nel tempo.
Se si configura una regola in modo errato (ad esempio, immettere il blocco CIDR di destinazione errato), il traffico di rete che si intendeva instradare potrebbe essere eliminato (in modalità blackholed) o inviato a una destinazione non intenzionale.
È possibile spostare le tabelle di instradamento da un compartimento a un altro. Lo spostamento di una tabella di instradamento non influisce sul relativo collegamento a VCN o subnet. Quando si sposta una tabella di instradamento in un nuovo compartimento, i criteri intrinseci vengono applicati immediatamente e influiscono sull'accesso alla tabella di instradamento. Per ulteriori informazioni, vedere Controllo dell'accesso.
Non è possibile eliminare la tabella di instradamento predefinita di una VCN. Per eliminare una tabella di instradamento personalizzata, non deve essere associata a una subnet o a un gateway, ad esempio DRG, LPG, IGW, NGW o SGW. Consulta il brief tecnico sull'instradamento in OCI Networking con esempi (PDF) per ulteriori informazioni sull'instradamento VCN.
Per esaminare un elenco dei limiti applicabili e le istruzioni per richiedere un incremento del limite, consulta i limiti del servizio.
Con le tabelle di instradamento è possibile eseguire i task di gestione indicati di seguito.
- Creazione di una tabella di instradamento VCN
- Lista delle tabelle di instradamento VCN
- Recupero dei dettagli di una tabella di instradamento VCN
- Aggiornamento delle regole di una tabella di instradamento VCN
- Modifica della tabella di instradamento VCN utilizzata da una subnet
- Spostamento di una tabella di instradamento VCN in un altro compartimento
- Eliminazione di una tabella di instradamento VCN
Per ogni subnet VCN che deve inviare traffico a un DRG connesso, è necessario aggiungere una regola di instradamento alla tabella di instradamento VCN associata a tale subnet. Se tutte le subnet nella VCN utilizzano la tabella di instradamento predefinita, è necessario aggiungere una regola a una sola tabella.
Se tutto il traffico non intra-VCN non coperto da un'altra regola nella tabella deve essere instradato al DRG, aggiungere questa nuova regola:
- Tipo di destinazione: gateway di instradamento dinamico. Il gateway DRG collegato della VCN viene selezionato automaticamente come destinazione e non è necessario specificare manualmente la destinazione.
- Blocco CIDR di destinazione = 0.0.0.0/0 Per limitare la regola a una rete specifica (ad esempio, una rete in locale), utilizzare il CIDR di tale rete anziché 0.0.0.0/0.
Per istruzioni dettagliate, vedere Aggiornamento delle regole di una tabella di instradamento VCN.
Eseguire questo task solo se si sta impostando uno scenario avanzato per l'instradamento del transito. Vedere Transit Routing all'interno di una VCN hub e Accesso privato ai servizi Oracle.
A un collegamento DRG è sempre associata una tabella di instradamento, ma è possibile associare una tabella di instradamento diversa, modificare le regole della tabella o eliminare alcune o tutte le regole.
Prerequisiti: la VCN a cui è già collegato il DRG deve avere una tabella di instradamento.
- Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare Gateway di instradamento dinamico.
- Selezionare il DRG collegato alla VCN che dispone della tabella di instradamento che si desidera utilizzare con il collegamento.
-
Selezionare il menu , quindi selezionare una delle opzioni riportate di seguito.
- Associa tabella di instradamento: se al collegamento DRG non è ancora associata alcuna tabella di instradamento.
- Associa tabella di instradamento diversa: se si sta modificando la tabella di instradamento associata al collegamento DRG.
- Selezionare la tabella di instradamento.
- Selezionare Associa tabella di instradamento.
La tabella di instradamento è ora associata al collegamento DRG.