Documentazione dell'infrastruttura Oracle Cloud

Risoluzione dei problemi delle VCN

Interruzione delle modifiche API

Se un utente dell'organizzazione implementa una subnet regionale, potrebbe essere necessario aggiornare qualsiasi codice client che funzioni con le subnet del servizio di networking e gli IP privati. È possibile interrompere le modifiche API. Per ulteriori informazioni, vedere la nota di release della sottorete regionale.

Endpoint di risoluzione DNS

I gruppi di sicurezza di rete (NSG) fungono da firewall virtuale per gli endpoint del resolver DNS. Un gruppo NSG è costituito da un set di regole di sicurezza in entrata e in uscita che si applicano solo agli endpoint del resolver DNS associati.

Indirizzo IP secondario

Se è stato assegnato un IP secondario a una VNIC secondaria e si sta utilizzando l'instradamento basato su criteri per la VNIC secondaria, configurare le regole di instradamento per l'istanza in modo da cercare la stessa tabella di instradamento per l'indirizzo IP secondario utilizzando il comando ip rule add from <source address> lookup <table name>.

DNS nella tua VCN

L'opzione DHCP del server dei nomi di dominio consente di specificare il tipo DNS per la subnet associata. Se si modifica il valore dell'opzione, riavviare il client DHCP nell'istanza o riavviare l'istanza. In caso contrario, la modifica non viene ripresa fino a quando il client DHCP non aggiorna il leasing (entro 24 ore).

Per impostazione predefinita, il resolver Internet e VCN non consente alle istanze di risolvere i nomi host nella rete on premise connessa alla VCN dalla VPN da sito a sito o FastConnect. Tale funzionalità può essere raggiunta utilizzando un resolver personalizzato o configurando il resolver DNS privato della VCN.

Requisiti per le etichette DNS e i nomi host

  • Etichette VCN e subnet: massimo 15 caratteri alfanumerici e deve iniziare con una lettera. Tenere presente che trattini e caratteri di sottolineatura NON sono consentiti. Impossibile modificare il valore in un secondo momento.
  • Nomi host: sono consentiti al massimo 63 caratteri, lettere e numeri. Sono ammessi i trattini. Si noti che i punti NON sono consentiti, che i trattini non sono consentiti all'inizio o alla fine del nome host e che il nome host non può essere tutti numeri. I nomi host devono essere conformi agli RFC 952 e 1123. Il valore può essere modificato in un secondo momento.

Non confondere l'etichetta DNS o il nome host con il nome descrittivo che è possibile assegnare all'oggetto (il nome di visualizzazione), che non deve essere univoco.

Per ulteriori informazioni, vedere Informazioni sui domini DNS e sui nomi host.

Firewall

Le istanze che eseguono immagini della piattaforma dispongono anche di regole firewall del sistema operativo che controllano l'accesso all'istanza. Durante la risoluzione dei problemi di accesso a un'istanza, assicurarsi che tutti gli elementi riportati di seguito siano impostati correttamente.

  • Le regole nei gruppi di sicurezza di rete in cui si trova l'istanza
  • Le regole negli elenchi di sicurezza associati alla subnet dell'istanza
  • Regole firewall del sistema operativo dell'istanza

Se un'istanza esegue Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 o Oracle Linux Cloud Developer 8, devi utilizzare firewalld per interagire con le regole iptables. Per riferimento, ecco i comandi per l'apertura di una porta (1521 in questo esempio):

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

Per le istanze con un volume di avvio iSCSI, il comando --reload precedente può causare problemi. Per informazioni dettagliate e una soluzione alternativa, vedere Instances experience system hang after running firewall-cmd --reload.

SMTP in uscita bloccato

Le tenancy effettuate dopo il 23 giugno 2021 non sono per impostazione predefinita autorizzate a inviare e-mail tramite la porta TCP in uscita 25 a Internet. Le tenancy effettuate prima del 23 giugno 2021 non sono interessate. Se hai bisogno della possibilità di inviare messaggi di posta elettronica dalla tua tenancy, aprire una richiesta di limiti di servizio per ottenere un'esenzione.

Nuove connessioni a un'istanza di computazione non riuscite

Oracle utilizza il monitoraggio delle connessioni per consentire risposte per il traffico che corrisponde a regole con conservazione dello stato. Ogni istanza di computazione dispone di un numero massimo di connessioni concorrenti di cui è possibile tenere traccia, in base alla forma dell'istanza. Se si raggiunge il limite di tracciamento per le connessioni ad esempio, le nuove connessioni all'istanza vengono eliminate.

Per utilizzare la console per verificare se le nuove connessioni sono in fase di eliminazione, controllare le metriche VNIC dell'istanza:

  1. Confermare che si sta visualizzando il compartimento contenente l'istanza a cui si è interessati.
  2. Aprire il menu di navigazione e selezionare Computazione. In Computazione, selezionare Istanze.
  3. Fare clic sull'istanza per visualizzarne i dettagli.

  4. In Risorse, fare clic su VNIC collegate.

    Vengono visualizzate la VNIC primaria e le VNIC secondarie collegate all'istanza.

  5. Fare clic sulla VNIC a cui si è interessati.
  6. In Metriche, quattro tabelle sono rilevanti per il tracciamento delle connessioni:
    • PACCHETTI IN ENTRATA ELIMINATI DALLA TABELLA DI MONITORAGGIO CONNESSIONI PIENA

      Qualsiasi valore diverso da zero indica che la tabella di tracciamento è piena.

    • PACCHETTI IN USCITA ELIMINATI DALLA TABELLA DI MONITORAGGIO CONNESSIONI PIENA

      Qualsiasi valore diverso da zero indica che la tabella di tracciamento è piena.

    • UTILIZZO TABELLA DI MONITORAGGIO CONNESSIONI

      Un valore pari al 100% indica che la tabella di tracciamento è piena.

    • TABELLA DI MONITORAGGIO CONNESSIONI PIENA

      Il valore 1/True indica che la tabella di tracciamento è piena.

Se la tabella di tracciamento è piena, è possibile risolvere il problema delle connessioni non riuscite e dei pacchetti eliminati implementando una delle seguenti modifiche:

  • Modificare le regole di entrata con conservazione dello stato in regole senza conservazione dello stato (ricordarsi di creare una regola di uscita senza conservazione dello stato corrispondente per consentire le risposte)
  • Passa a una forma di computazione più grande con limite di connessione più elevato

Eliminazione di una subnet o di una VCN

Questo argomento illustra i motivi per cui l'eliminazione di una subnet o di una VCN potrebbe non riuscire.

Memorizza:

  • Per eliminare una VCN, è necessario che sia prima vuota e non abbia risorse correlate o gateway collegati (ad esempio: nessun gateway Internet, gateway di instradamento dinamico e così via).
  • Per eliminare le subnet di una VCN, devono prima essere vuote (ad esempio, nessuna VNIC o endpoint del resolver presenti nella subnet).

Elimina tutte le opzioni

La console dispone di un semplice processo "Elimina tutto" che esegue la scansione dei compartimenti scelti, quindi elimina una VCN e le relative risorse di networking correlate (subnet, tabelle di instradamento, liste di sicurezza, set di opzioni DHCP, gateway Internet e così via). Se la VCN è collegata a un gateway di instradamento dinamico (DRG), il processo elimina il collegamento, ma il gateway DRG rimane.

Il processo "Elimina tutto" elimina una risorsa alla volta. L'eliminazione di una VCN con molti compartimenti e risorse richiede più tempo rispetto a una VCN con solo pochi. Viene visualizzato un report sull'avanzamento per mostrare i risultati sia della scansione delle risorse che dell'eliminazione di tali risorse.

Nota

Prima di utilizzare il processo "Elimina tutto", verificare che nessuna risorsa, ad esempio istanze di computazione, load balancer, sistemi di database OCI o destinazioni di accesso isolate, sia presente in una delle subnet. Se è presente una di queste opzioni, il processo di eliminazione si blocca quando si tenta di eliminare la subnet della risorsa. Le risorse VCN eliminate sono irrecuperabili. Per ulteriori informazioni, consulta la sezione relativa all'eliminazione della subnet o della VCN.

Se una subnet contiene ancora risorse o non si dispone dell'autorizzazione per eliminare una determinata risorsa di networking, il processo "Elimina tutto" si interrompe e restituisce un messaggio di errore che include gli OCID delle risorse e delle subnet di blocco, che si collegano alla pagina dei dettagli per tale risorsa. In alcuni casi, potrebbe essere necessario contattare l'amministratore della tenancy per eliminare le risorse rimanenti se non si dispone delle autorizzazioni necessarie.

La subnet non è vuota

Il motivo più comune per cui una subnet (e quindi una VCN) non può essere eliminata è perché la subnet contiene una o più di queste risorse:

Nota

Quando si crea una delle risorse precedenti, è necessario specificare una VCN e una subnet per tale risorsa. Il servizio pertinente crea almeno una VNIC nella subnet e collega la VNIC alla risorsa. Il servizio gestisce le VNIC per tuo conto, pertanto non sono immediatamente visibili nella console. La VNIC consente alla risorsa di comunicare con altre risorse tramite la rete. Sebbene questa documentazione parli comunemente della risorsa stessa che si trova nella subnet, in realtà si tratta della VNIC collegata alla risorsa. La presente documentazione utilizza il termine risorsa padre per fare riferimento a questo tipo di risorsa.

Se la subnet è vuota quando si tenta di eliminarla, il relativo stato cambia brevemente in TERMINATING e quindi in TERMINATED.

Se la subnet non è vuota, viene invece visualizzato un errore che indica che sono ancora presenti risorse che è necessario eliminare prima. L'errore include l'OCID di una VNIC presente nella subnet (ne potrebbero essere presenti altre, ma l'errore restituisce solo un singolo OCID della VNIC).

È possibile utilizzare l'interfaccia della riga di comando (CLI, Command Line Interface) di Oracle Cloud Infrastructure o un altro SDK o client per chiamare l'operazione GetVnic con l'OCID VNIC. La risposta include il nome di visualizzazione della VNIC. A seconda del tipo di risorsa padre, il nome visualizzato può indicare a quale risorsa padre appartiene la VNIC. È quindi possibile eliminare tale risorsa padre oppure contattare l'amministratore per determinare chi è il proprietario della risorsa. Quando la risorsa padre della VNIC viene eliminata, viene eliminata anche la VNIC collegata dalla subnet. Se nella subnet sono presenti VNIC rimanenti, ripetere il processo di determinazione ed eliminazione di ogni risorsa padre fino a quando la subnet non è vuota. È quindi possibile eliminare la subnet.

Ad esempio, se si utilizza l'interfaccia CLI, utilizzare questo comando per ottenere informazioni sulla VNIC.

oci network vnic get --vnic-id <VNIC_OCID>

Esempio di load balancer

Di seguito è riportata una risposta CLI di esempio per una VNIC che appartiene a un load balancer. Il nome visualizzato mostra l'OCID del load balancer:

{
  "data": {
    "availability-domain": "fooD:PHX-AD-1", 
    "compartment-id": "ocid1.compartment.oc1..<unique_id_1>", 
    "defined-tags": {}, 
    "display-name": "VNIC for LB ocid1.loadbalancer.oc1.phx.<unique_id_2>", 
    "freeform-tags": {}, 
    "hostname-label": null, 
    "id": "ocid1.vnic.oc1.phx.<unique_id_3>", 
    "is-primary": false, 
    "lifecycle-state": "AVAILABLE", 
    "mac-address": "00:00:17:00:BB:CA", 
    "private-ip": "10.0.0.6", 
    "public-ip": null, 
    "skip-source-dest-check": false, 
    "subnet-id": "ocid1.subnet.oc1.phx.<unique_id_4>", 
    "time-created": "2019-05-11T04:28:31.950000+00:00"
  }, 
  "etag": "5d8213fa"
}

Esempio di storage di file

Di seguito è riportato un esempio di VNIC appartenente a una destinazione di accesso dello storage di file.

"display-name": "fss-<integer>",

Sebbene il nome visualizzato non includa un OCID, i caratteri fss indicano che la risorsa è destinata al servizio di storage di file.

Esempio di database

Di seguito è riportato un esempio del nome visualizzato di una VNIC appartenente a un sistema DB.

"display-name": "ocid1.dbnode.oc1.phx.<unique_id>",

Un gruppo di sicurezza di rete non è vuoto

Un altro motivo per cui una VCN non può essere eliminata è perché contiene uno o più gruppi di sicurezza di rete (NSG) non ancora vuoti. Per eliminare un gruppo NSG, non deve contenere VNIC (o risorse padre con VNIC). Puoi determinare quali risorse padre si trovano in un gruppo NSG utilizzando la console o l'API REST. Per ulteriori informazioni, vedere Eliminazione di un gruppo NSG.

Sono presenti risorse nei compartimenti a cui non si ha accesso

Potresti non essere in grado di visualizzare tutte le risorse in una subnet o in una VCN. Questo perché le subnet e le reti VCN possono contenere risorse in più compartimenti e potrebbe non essere possibile accedere a tutti i compartimenti. Ad esempio, la subnet potrebbe contenere istanze gestite dal team, ma anche sistemi DB gestiti da un altro team. Un altro esempio: la VCN potrebbe disporre di liste di sicurezza o di un gateway in un compartimento gestito da un altro team. Potrebbe essere necessario contattare l'amministratore della tenancy per determinare chi è il proprietario delle risorse nella subnet o nella VCN.

Ripristino di un GPL non riuscito

Dettagli
Un GPL creato per una connessione di peering locale specifica non può essere ridefinito per essere utilizzato in una nuova connessione di peering locale diversa.
Se si tenta di eseguire questa operazione, potrebbe essere visualizzato il messaggio di errore The Local Peering Gateway with ID <LPG_OCID> has already been connected quando:
  1. Una volta la connessione di LPG 1 nella VCN 1 al GPL 2 nella VCN 2 era riuscita.
  2. La VCN 1 (incluso il GPL 1) viene successivamente eliminata. Lo stato del peering LPG 2 viene modificato in revocato o distrutto.
  3. Si tenta di collegare GPL 2 a GPL 3.

Si potrebbe anche vedere un messaggio leggermente diverso (A peering with VCN <VCN_OCID> has already been established) quando:

  1. Una volta la connessione di LPG 1 nella VCN 1 al GPL 2 nella VCN 2 era riuscita.
  2. Il GPL 2 viene successivamente eliminato. Lo stato del peering LPG 1 viene modificato in revocato o distrutto.
  3. Si tenta di connettere LPG 1 a LPG 3 (che potrebbe essere un nuovo GPL nella VCN 2 o in qualsiasi altra VCN).
Soluzione consigliata
Eseguire le azioni riportate di seguito.
  1. Eliminare il GPL che si sta tentando di riutilizzare.

    Se l'eliminazione non riesce con 409 - Local Peering Gateway <LPG_OCID> is associated with one or more entities that are in use, è probabile che il GPL venga menzionato nelle regole di instradamento in una o più tabelle di instradamento. Esaminare le tabelle di instradamento relative alla VCN e rimuovere gli instradamenti dalle tabelle di instradamento pertinenti, quindi riprovare a eliminare il GPL.

  2. Crea un nuovo GPL e esegui il peer con un GPL fresco nella VCN desiderata.