Visão Geral de VCNs e Sub-redes
Saiba mais sobre redes virtuais na nuvem (VCNs) e sub-redes no OCI.
Este tópico descreve VCNs (redes virtuais na nuvem ) e as sub-redes contidas nelas. Este tópico usa os termos rede virtual na nuvem, VCN e rede na nuvem de forma intercambiável. A Console usa o termo rede virtual na nuvem, enquanto a API usa VCN para fins de simplificação.
Uma VCN é uma rede definida por software que você configura nos data centers do Oracle Cloud Infrastructure em determinada região. Uma sub-rede é uma subdivisão de uma VCN. Para obter uma visão geral de VCNs, tamanho permitido, componentes padrão da VCN e cenários para utilização de uma VCN, consulte Visão Geral do Serviço Networking.
Uma VCN pode ter vários blocos IPv4 CIDR não sobrepostos que você pode alterar após criar a VCN. Independentemente do número de blocos CIDR, o número máximo de IPs privados que você pode criar na VCN é 64.000. Uma VCN pode opcionalmente ser ativada para IPv6 e o sistema Oracle aloca um prefixo /56. Você também pode importar um prefixo IPv6 BYOIP e designá-lo a uma VCN existente ou criar uma nova VCN com um prefixo IPv6 BYOIP ou ULA.
Você pode conectar uma VCN de modo privado a outra VCN para que o tráfego não passe pela internet. Os CIDRs das duas VCNs não devem ter sobreposição. Para obter mais informações, consulte Acesso a Outras VCNs: Pareamento. Para obter um exemplo de cenário do roteamento avançado que envolve o pareamento de diversas VCNs, consulte Roteamento de Tráfego dentro de uma VCN hub.
Cada sub-rede em uma VCN consiste em uma faixa contígua de endereços IPv4 e, opcionalmente, endereços IPv6 que Não se sobrepõem a outras sub-redes na VCN. Exemplo: 172.16.1.0/24. Com endereços IPv4 e endereços IPv6, os dois primeiros endereços e o último no CIDR da sub-rede são reservados pelo serviço de Rede. Você pode alterar o tamanho da sub-rede após a criação. As sub-redes ativadas para IPv6 são sempre /64.
Sub-redes atuam como uma unidade de configuração: todas as instâncias de uma sub-rede específica usam a mesma tabela da rota, listas de segurança e opções de DHCP. Para obter mais informações, consulte Componentes Padrão que Incluem uma VCN.
As sub-redes podem ser públicas ou privadas (consulte Sub-redes Públicas e Privadas). A opção pública ou privada acontece durante a criação da sub-rede e você não pode alterá-la posteriormente.
Você pode pensar que cada instância do serviço Compute reside em uma sub-rede. Mas, para ser preciso, cada instância é anexada a uma placa de interface de rede virtual (VNIC), que, por sua vez, reside na sub-rede e permite uma conexão de rede para essa instância.
Há suporte para o endereçamento IPv6 em todas as regiões comerciais e do setor governamental. Para obter mais informações, consulte Endereços IPv6.
Sobre Sub-redes Regionais
Originalmente, as sub-redes foram projetadas para cobrir somente um domínio de disponibilidade (AD) em uma região. Elas eram todas específicas do AD. Isso significa que os recursos da sub-rede precisavam residir em determinado domínio de disponibilidade. Agora as sub-redes podem ser específicas ou regionais do AD. Você seleciona o tipo ao criar a sub-rede. Ambos os tipos de sub-rede podem coexistir na mesma VCN. No diagrama a seguir, as sub-redes 1 a 3 são específicas do AD, e a sub-rede 4 é regional.
As sub-redes regionais se comportam da mesma forma que as sub-redes específicas do AD. A diferença é a remoção da restrição do AD. Recomendamos o uso de sub-redes regionais porque elas são mais flexíveis. Elas tornam mais fácil dividir com eficiência uma VCN em sub-redes, projetando falhas no domínio de disponibilidade.
Ao criar um recurso, como uma instância do Compute, você decide em qual domínio de disponibilidade o recurso está. De um ponto de vista de rede virtual, você também deve decidir em qual VCN e em qual sub-rede a instância está. Você pode selecionar uma sub-rede regional ou específica do AD que corresponda ao AD escolhido para a instância.
Se alguém na sua organização implementa uma sub-rede regional, saiba que você pode precisar atualizar qualquer código de cliente que funcione com as sub-redes de serviço de Rede e os IPs privados. As sub-redes regionais envolvem possíveis quebras de alterações de API. Para obter mais informações, consulte a nota da release sub-redes regionais.
Limites de VCN e Sub-rede
Recurso |
Escopo |
Oracle Universal Credits |
Pay As You Go (Pagamento conforme o uso) ou Trial (Avaliação) |
---|---|---|---|
VCN | Região | 50 | 10 |
Sub-redes | VCN | 300 | 300 |
CIDRs IPv4 | VCN | 5 | 5 |
Prefixos IPv6 | VCN | 5 | 5 |
CIDRs IPv4 | Sub-rede | 1 | 1 |
Prefixos IPv6 | Sub-rede | 3* | 3* |
Prefixo IPv6 alocado pela Oracle | Sub-rede | 1 | 1 |
* O limite para este recurso pode ser aumentado para um máximo de cinco. |
Como Trabalhar com VCNs e Sub-redes
Uma das primeiras coisas que você faz ao trabalhar com recursos da Oracle Cloud Infrastructure é criar uma VCN com uma ou mais sub-redes. Você pode facilmente começar a usar a Console com uma VCN simples e alguns recursos relacionados que permitem criar e se conectar a uma instância. Consulte Tutorial - Iniciando a Sua Primeira Instância do Linux ou Tutorial - Iniciando a Sua Primeira Instância do Windows.
Para fins de controle de acesso, ao criar uma VCN ou uma sub-rede, você deve especificar o compartimento onde deseja que o recurso resida. Consulte o administrador da tenancy se você não tiver certeza de qual compartimento usar.
Você pode designar nomes descritivos à VCN e suas sub-redes. Os nomes não precisam ser exclusivos, e você pode alterá-los posteriormente. O Oracle designa automaticamente a cada recurso um identificador exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte: Identificadores de Recurso.
Você também pode adicionar um label DNS para a VCN e para cada sub-rede. Esses labels serão necessários se você quiser que as instâncias usem a funcionalidade Resolvedor de Internet e VCN para DNS na VCN. Para obter mais informações, consulte DNS em uma Rede de Nuvem Virtual.
Ao criar uma sub-rede, você poderá, opcionalmente, especificar uma tabela de rota para a sub-rede usar. Se você não fizer isso, a sub-rede usará a tabela de roteamento padrão da rede na nuvem. Você pode alterar qual tabela de roteamento será usada pela sub-rede a qualquer momento.
Além disso, você pode, opcionalmente, especificar uma ou mais lista de segurança para a sub-rede usar (até cinco). Se você não especificar uma lista, a sub-rede usará a lista de segurança padrão da rede na nuvem. Você pode alterar qual lista de segurança a sub-rede usará a qualquer momento. Lembre-se de que as regras de segurança são impostas no nível da instância, mesmo que a lista esteja associada no nível da sub-rede. Grupos de segurança de rede são uma alternativa às listas de segurança e permitem que você aplique um conjunto de regras de segurança a um conjunto de recursos em que todos têm a mesma postura de segurança, em vez de aplicar o conjunto de regras a todos os recursos de uma sub-rede específica.
Você pode, opcionalmente, especificar um conjunto de opções de DHCP para a sub-rede usar. Todas as instâncias da sub-rede recebem a configuração especificada nesse conjunto de opções de DHCP. Se você não especificar um conjunto, a sub-rede usará o conjunto de opções de DHCP padrão da rede na nuvem. Você pode alterar o conjunto de opções de DHCP que a sub-rede utiliza a qualquer momento.
Para excluir uma sub-rede, ela não deverá conter recursos (instâncias, balanceadores de carga, sistemas de banco de dados do OCI e pontos de acesso NFS órfãos). Para obter mais detalhes, consulte Exclusão de Sub-rede ou VCN.
Para que seja possível excluir uma VCN, as sub-redes dessa VCN não devem conter recursos. Além disso, a VCN não deve ter gateways anexados. Se você estiver usando a Console, o processo "Excluir Tudo" poderá ser usado após primeiro garantir que as sub-redes estejam vazias. Consulte Excluindo uma VCN.
Consulte Limites de Serviço para obter uma lista de limites e instruções aplicáveis a uma solicitação de aumento de limite.
Política do Serviço IAM Necessária
Para usar o Oracle Cloud Infrastructure, um administrador deve ser membro de um grupo ao qual foi concedido acesso de segurança em uma política por um administrador da tenancy. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem informando que não tem permissão ou está não autorizado, verifique com o administrador da tenancy qual tipo de acesso você tem e qual compartimento seu acesso funciona.
Para administradores: consulte Políticas do IAM para Rede.
Zonas de Segurança
As Zonas de Segurança garantem que os recursos da nuvem estejam em conformidade com os princípios de segurança Oracle. Se qualquer operação de um recurso em um compartimento de zona de segurança violar uma política para essa zona de segurança, a operação será negada.
As seguintes políticas do Security Zone afetam a capacidade de gerenciar VCNs e sub-redes:
- As sub-redes em uma zona de segurança não podem ser públicas. Todas as sub-redes devem ser privadas.
- Você não pode mover uma sub-rede de uma zona de segurança para um compartimento padrão.