VCNs e Sub-redes

Este tópico descreve como gerenciar redes virtuais na nuvem (VCNs) e as sub-redes dessas redes virtuais. Este tópico usa os termos rede virtual na nuvem, VCN e rede na nuvem sem distinção. A Console usa o termo Rede Virtual na Nuvem, enquanto a API usa VCN para fins de simplificação.

Advertência

Evite inserir informações confidenciais ao designar descrições, tags ou nomes amigáveis aos seus recursos na nuvem por meio da Console, da API ou da CLI do Oracle Cloud Infrastructure.

Visão Geral de VCNs e Sub-redes

Uma VCN é uma rede definida por software que você configura nos data centers do Oracle Cloud Infrastructure em determinada região. Uma sub-rede é uma subdivisão de uma VCN. Para obter uma visão geral de VCNs, tamanho permitido, componentes padrão da VCN e cenários para utilização de uma VCN, consulte Visão Geral do Serviço Networking.

Você pode conectar uma VCN com outra VCN de forma privada para que o tráfego não passe pela internet. Os CIDRs das duas VCNs não devem ter sobreposição. Para obter mais informações, consulte Acesso a Outras VCNs: Pareamento. Para obter um exemplo de cenário de roteamento avançado que envolve o pareamento de várias VCNs, consulte Roteamento de Trânsito: Acesso a Várias VCNs na Mesma Região.

Cada sub-rede em uma VCN consiste em um intervalo contíguo de endereços IPv4 que não se sobrepõem com outras sub-redes da VCN. Exemplo: 172.16.1.0/24. Os dois primeiros endereços IPv4 e o último endereço IPv4 no CIDR da sub-rede estão reservados para o serviço Networking. Não é possível alterar o tamanho da sub-rede após criá-la; portanto, é importante pensar no tamanho das sub-redes de que você precisa antes de criá-las.

As sub-redes atuam como uma unidade de configuração: todas as instâncias de uma sub-rede usam a mesma tabela de roteamento, as mesmas listas de segurança e as mesmas opções de DHCP. Para obter mais informações, consulte Componentes Padrão Que Vêm com a Sua VCN.

As sub-redes podem ser públicas ou privadas (consulte Sub-redes Públicas e Privadas). Você escolhe essa opção durante a criação da sub-rede e não pode alterá-la posteriormente.

Você pode considerar que cada instância do serviço Compute reside em uma sub-rede. Mas, para ser preciso, cada instância é, na verdade, anexada a uma VNIC (Virtual Network Interface Card), que, por sua vez, reside na sub-rede e permite uma conexão de rede para essa instância.

Atualmente, o endereçamento IPv6 só é suportado na Nuvem do Governo dos Estados Unidos. Para obter mais informações, consulte Endereços IPv6.

Sobre Sub-redes Regionais

Originalmente, as sub-redes foram projetadas para abranger somente um domínio de disponibilidade (AD) em uma região. Elas eram todas específicas do AD. Isso significa que os recursos da sub-rede precisavam residir em determinado domínio de disponibilidade. Agora as sub-redes podem ser específicas ou regionais do AD. Você escolhe o tipo ao criar a sub-rede. Ambos os tipos de sub-redes podem coexistir na mesma VCN. No diagrama a seguir, as sub-redes 1-3 são específicas do AD, e a sub-rede 4 é regional.

Esta imagem mostra uma VCN com uma sub-rede regional e três sub-redes específicas do AD.

As sub-redes regionais se comportam da mesma forma que as sub-redes específicas do AD. A diferença é a remoção da restrição do AD. A Oracle recomenda o uso de sub-redes regionais porque elas são mais flexíveis. Elas facilitam a divisão eficiente da sua VCN em sub-redes, prevendo falhas no domínio de disponibilidade.

Ao criar um recurso, como uma instância do Compute, você escolhe em qual domínio de disponibilidade o recurso estará. De um ponto de vista de rede virtual, você também deve escolher em qual VCN e em qual sub-rede a instância deverá ficar. Você pode escolher uma sub-rede regional ou uma sub-rede específica do AD que corresponda ao AD selecionado para a instância.

Advertência

Se qualquer pessoa da sua organização implementar uma sub-rede regional, lembre-se de que você pode precisar atualizar algum código do cliente que funciona com sub-redes e IPs privados do serviço Networking. Há possíveis alterações interruptivas na API. Para obter mais informações, consulte a nota da release sobre sub-rede regional.

Como Trabalhar com VCNs e Sub-redes

Uma das primeiras coisas que você faz ao trabalhar com os recursos do Oracle Cloud Infrastructure é criar uma VCN com uma ou mais sub-redes. Você pode começar facilmente na Console com uma VCN simples e com alguns recursos relacionados que permitem iniciar uma instância e estabelecer conexão com ela. Consulte Tutorial - Iniciando a Sua Primeira Instância do Linux ou Tutorial - Iniciando a Sua Primeira Instância do Windows.

Para fins de controle de acesso, ao criar uma VCN ou uma sub-rede, você deve especificar o compartimento onde deseja que o recurso resida. Consulte um administrador na sua organização se não tiver certeza de qual compartimento usar.

Opcionalmente, você pode designar nomes descritivos à VCN e às sub-redes dela. Os nomes não precisam ser exclusivos, e você pode alterá-los posteriormente. O Oracle designa automaticamente a cada recurso um identificador exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte: Identificadores de Recurso.

Você também pode adicionar um label DNS para a VCN e para cada sub-rede. Esses labels serão necessários se você quiser que as instâncias usem a funcionalidade Resolvedor de Internet e VCN para DNS na VCN. Para obter mais informações, consulte DNS na Sua Rede Virtual na Nuvem.

Ao criar uma sub-rede, você pode especificar opcionalmente uma tabela de roteamento a ser utilizada pela sub-rede. Se você não fizer isso, a sub-rede usará a tabela de roteamento padrão da rede na nuvem. Você pode alterar qual tabela de roteamento será usada pela sub-rede a qualquer momento.

Além disso, você pode especificar uma ou mais listas de segurança a serem utilizadas pela sub-rede (até cinco). Se você não especificar uma lista, a sub-rede usará a lista de segurança padrão da rede na nuvem. Você pode alterar qual lista de segurança a sub-rede usará a qualquer momento. Lembre-se de que as regras de segurança são impostas no nível da instância, mesmo que a lista esteja associada no nível da sub-rede. Grupos de segurança de rede são uma alternativa às listas de segurança e permitem que você aplique um conjunto de regras de segurança a um conjunto de recursos em que todos têm a mesma postura de segurança, em vez de aplicar o conjunto de regras a todos os recursos de uma sub-rede específica.

Opcionalmente, você pode especificar um conjunto de opções de DHCP que será utilizado pela sub-rede. Todas as instâncias da sub-rede receberão a configuração especificada nesse conjunto de opções de DHCP. Se você não especificar um conjunto, a sub-rede usará o conjunto de opções de DHCP padrão da rede na nuvem. Você pode alterar o conjunto de opções de DHCP que a sub-rede utiliza a qualquer momento.

Para que seja possível excluir uma sub-rede, ela não deverá conter recurso algum (nenhuma instância, nenhum balanceador de carga, nenhum sistema de banco de dados e nenhum ponto de acesso NFS órfão). Para obter mais detalhes, consulte Exclusão de Sub-rede ou VCN.

Para que seja possível excluir uma VCN, as sub-redes dessa VCN não devem conter recursos. Além disso, a VCN não deve ter gateways anexados. Se você estiver usando a Console, há um processo "Excluir Tudo" que você pode usar após primeiro se assegurar de que as sub-redes estejam vazias. Consulte Para excluir uma VCN.

Para obter informações sobre o número de VCNs que você pode ter, consulte Limites de Serviço.

Política do IAM Obrigatória

Para usar o Oracle Cloud Infrastructure, você deverá receber o tipo de acesso necessário em uma política criada por um administrador, independentemente de estar usando a Console ou a API REST com um SDK, a CLI ou outra ferramenta. Se você tentar executar uma ação e receber uma mensagem de que não tem permissão ou que não está autorizado, confirme com o administrador o tipo de acesso que recebeu e em qual compartimento deverá trabalhar.

Para administradores: consulte Políticas do IAM para Rede.

Zonas de Segurança

As Zonas de Segurança garantem que seus recursos de nuvem estejam de acordo com os princípios de segurança do sistema Oracle. Se qualquer operação de um recurso em um compartimento de zona de segurança violar uma política para essa zona de segurança, a operação será negada.

As seguintes políticas de zona de segurança afetam sua capacidade de gerenciar VCNs e sub-redes:

  • As sub-redes em uma zona de segurança não podem ser públicas. Todas as sub-redes devem ser privadas.
  • Você não pode mover uma sub-rede de uma zona de segurança para um compartimento padrão.

Usando a Console

Para criar uma VCN
Observação

O procedimento a seguir cria uma VCN sem sub-redes ou gateways para acesso. Você deve criar manualmente as sub-redes e outros recursos antes de usar a VCN. Para conhecer um procedimento rápido que cria uma VCN e que você pode testar imediatamente (ou seja, com sub-redes e um gateway de internet), consulte as informações sobre o assistente "VCN com Conectividade de Internet" em Início Rápido em Redes Virtuais. Ou consulte Cenário A: Sub-rede Pública.

  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Escolha um compartimento no qual você tenha permissão para trabalhar (no lado esquerdo da página). A página é atualizada para exibir somente os recursos desse compartimento. Se você não tiver certeza sobre qual compartimento usar, entre em contato com um administrador. Para obter mais informações, consulte Controle de Acesso.
  3. Clique em Criar Rede Virtual na Nuvem
  4. Informe o seguinte:
    • Nome: um nome descritivo para a VCN. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    • Criar no Compartimento: deixe como está.
    • Bloco CIDR: um único bloco CIDR contíguo da VCN. Por exemplo, 172.16.0.0/16. Você não pode alterar esse valor. Consulte Tamanho da VCN e Intervalos de Endereços Permitidos. Para referência, verifique a calculadora de CIDR.
    • Ativar Designação de Endereço IPv6: essa opção só estará disponível se a VCN estiver na Nuvem do Governo. Para obter mais informações, consulte Endereços IPv6.
    • Usar Nomes de Host do DNS nesta VCN: Opção obrigatória para designar nomes de host do DNS a hosts na VCN e será obrigatória caso você pretenda usar o recurso de DNS padrão da VCN (chamado de Resolvedor de Internet e VCN). Se marcar a caixa de seleção, você poderá especificar um label DNS para a VCN. Caso contrário, a Console gerará um label para você. A caixa de diálogo exibe automaticamente o Nome do Domínio DNS correspondente para a VCN (<VCN DNS label>.oraclevcn.com). Para obter mais informações, consulte DNS na Sua Rede Virtual na Nuvem.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não estiver certo de que deve aplicar tags, ignore esta opção (é possível aplicar tags posteriormente) ou peça ao administrador.
  5. Clique em Criar Rede Virtual na Nuvem

    A VCN é criada e exibida na página Redes Virtuais na Nuvem no compartimento escolhido.

Em seguida, você geralmente quer criar uma ou mais sub-redes na rede disponível na nuvem.

Para criar uma sub-rede
  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Clique em Criar Sub-rede.
  4. Na caixa de diálogo Criar Sub-rede, você especifica os recursos a serem associados à sub-rede (por exemplo, uma tabela de roteamento etc.). Por padrão, a sub-rede será criada no compartimento atual, e você escolherá os recursos no mesmo compartimento. Clique no link aqui na caixa de diálogo se quiser permitir a seleção de um compartimento para a sub-rede e para cada um desses recursos.

    Informe o seguinte:

    • Criar no Compartimento: se você tiver permitido a seleção de um compartimento, especifique o compartimento onde deseja colocar a sub-rede.
    • Nome: um nome amigável para a sub-rede. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    • Sub-rede local ou específica do AD: a Oracle recomenda criar apenas sub-redes regionais. Isso significa que a sub-rede pode conter recursos em qualquer domínio de disponibilidade (AD) da região. Se, em vez disso, você escolher Domínio de Disponibilidade Específico (o único tipo de sub-rede que o sistema Oracle ofereceu), também será necessário especificar um domínio de disponibilidade. Essa opção significa que quaisquer instâncias ou outros recursos criados posteriormente nesta sub-rede também deverão estar nesse domínio de disponibilidade.
    • Bloco CIDR: um único bloco CIDR contíguo para a sub-rede (por exemplo, 172.16.0.0/24). Certifique-se de que a sub-rede esteja dentro do bloco CIDR da rede e não se sobreponha com outras sub-redes. Você não pode alterar esse valor. Consulte Tamanho da VCN e Intervalos de Endereços Permitidos. Para referência, verifique a calculadora de CIDR.
    • Ativar Designação de Endereço IPv6: essa opção só estará disponível se a VCN estiver na Nuvem do Governo dos Estados Unidos. Para obter mais informações, consulte Endereços IPv6.
    • Tabela de Roteamento: a tabela de roteamento a ser associada à sub-rede. Se você tiver permitido a seleção de um compartimento, em Compartimento da Tabela de Roteamento, especifique o compartimento que contém a tabela de roteamento.
    • Sub-rede privada ou pública: controla se as VNICs na sub-rede podem ter endereços IP públicos. Para obter mais informações, consulte Acesso à Internet.
    • Usar Nomes de Host do DNS nesta Sub-rede: Essa opção só estará disponível se você tiver fornecido um label de DNS para a VCN ao criá-la. A opção é necessária para designar nomes de host DNS a hosts da sub-rede e será obrigatória caso você pretenda usar a funcionalidade DNS padrão da VCN (Resolvedor de Internet e VCN). Se marcar a caixa de seleção, você poderá especificar um label DNS para a sub-rede. Caso contrário, a Console gerará um label para você. A caixa de diálogo exibe automaticamente o Nome do Domínio DNS correspondente para a VCN (<subnet_DNS_label>.<VCN_DNS_label>.oraclevcn.com).. Para obter mais informações, consulte DNS na Sua Rede Virtual na Nuvem.
    • Opções de DHCP: o conjunto de opções de DHCP a serem associadas à sub-rede. Se você tiver permitido a seleção de um compartimento, em Compartimento de Opções de DHCP, deverá especificar o compartimento que contém o conjunto de opções de DHCP.
    • Listas de Segurança: uma ou mais listas de segurança a serem associadas à sub-rede. Se você tiver ativado a seleção de um compartimento, deverá especificar o compartimento que contém a lista de segurança.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não estiver certo de que deve aplicar tags, ignore esta opção (é possível aplicar tags posteriormente) ou peça ao administrador.
  5. Clique em Criar. A sub-rede é criada e exibida na página Sub-redes no compartimento escolhido.
Para editar uma sub-rede

Você pode alterar estas características de uma sub-rede:

  • Nome
  • Qual conjunto de opções de DHCP será usado pela sub-rede
  • Qual tabela de roteamento será usada pela sub-rede
  • Quais listas de segurança serão usadas pela sub-rede
  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Clique em Sub-redes.
  4. Clique na sub-rede em que você está interessado.
  5. Clique em Editar.
  6. Faça as alterações desejadas.
  7. Clique em Salvar Alterações.

    As alterações têm efeito em apenas alguns segundos.

Para excluir uma sub-rede

Pré-requisito: a sub-rede não deve ter instâncias, balanceadores de carga, sistemas de banco de dados e pontos de acesso NFS órfãos. Para obter mais informações, consulte Exclusão de Sub-rede ou VCN.

  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Clique em Sub-redes.
  4. Clique na sub-rede em que você está interessado.
  5. Clique em Encerrar.
  6. Confirme quando solicitado.

Se a sub-rede estiver vazia, seu estado logo mudará para TERMINATING. Em seguida, o estado passará a ser TERMINATED. Se a sub-rede não estiver vazia, você receberá um erro indicando que ainda há instâncias ou outros recursos na instância em questão que deverão ser excluídos primeiro.

Para excluir uma VCN
Importante

A Console tem um processo rápido "Excluir tudo" que exclui uma VCN e seus recursos de Rede relacionados (sub-redes, tabelas de roteamento, listas de segurança, conjuntos de opções de DHCP, gateway de internet etc.). Se a VCN estiver anexada a um gateway de roteamento dinâmico (DRG), o anexo será excluído, mas o DRG permanecerá.

O processo "Excluir Tudo" exclui um recurso de cada vez e leva um ou dois minutos. Um relatório de progresso é exibido para mostrar o que foi excluído até o momento.

Antes de usar o processo "Excluir Tudo", certifique-se de que não haja instâncias, balanceadores de carga, sistemas de banco de dados ou pontos de acesso NFS órfãos em qualquer uma das sub-redes. Para obter mais informações, consulte Exclusão de Sub-rede ou VCN.

Se ainda houver recursos em uma sub-rede, ou se você não tiver permissão para excluir um recurso de Rede específico, o processo "Excluir Tudo" será interrompido, e uma mensagem de erro será exibida. Os recursos excluídos até esse ponto não podem ser restaurados. Talvez você precise entrar em contato com o administrador da sua tenancy para ajudá-lo a excluir os recursos restantes.

  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Clique em Encerrar.

    A caixa de diálogo resultante exibe uma lista dos recursos a serem excluídos. A lista não inclui os componentes padrão que vêm com a VCN, mas eles serão excluídos com a VCN.

  4. Clique em Excluir Tudo.

    O processo começa. O progresso é exibido à medida que cada recurso é excluído.

  5. Quando o processo estiver concluído, clique em Fechar.
Para gerenciar as tags de uma VCN
  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Clique na guia Tags para exibir ou editar as tags existentes. Ou clique em Aplicar tag(s) para adicionar novas tags.

Para obter mais informações, consulte: Tags de Recursos.

Para gerenciar as tags de uma sub-rede
  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Clique na sub-rede em que você está interessado.
  4. Clique na guia Tags para exibir ou editar as tags existentes. Ou clique em Aplicar tag(s) para adicionar novas tags.

Para obter mais informações, consulte: Tags de Recursos.

Para mover uma VCN para outro compartimento

Você pode mover uma VCN de um compartimento para outro. Quando você move uma VCN, suas VNICs, seus IPs privados e seus IPs efêmeros associados também são movidos para o novo compartimento. Para obter mais informações, consulte Para mover um recurso para outro compartimento.

  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Localize a VCN na lista, clique no ícone Ações (três pontos) e depois clique em Mover Recurso.
  3. Escolha o compartimento de destino na lista.
  4. Clique em Mover Recurso.
  5. Se houver alarmes monitorando a VCN, atualize-os para fazer referência ao novo compartimento. Para obter mais informações, consulte Para atualizar um alarme após mover um recurso.
Para mover uma sub-rede para outro compartimento

Você pode mover uma sub-rede de um compartimento para outro. Para obter mais informações, consulte Trabalhando com Compartimentos.

  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Localize a sub-rede na lista, clique no ícone Ações (três pontos) e depois clique em Mover Recurso.
  4. Escolha o compartimento de destino na lista.
  5. Clique em Mover Recurso.

Usando a API

Para obter informações sobre o uso da API e de solicitações de assinatura, consulte APIs REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs (Software Development Kits) e CLI (Command Line Interface).

Para gerenciar as suas VCNs, use estas operações:

Para gerenciar as sub-redes de uma VCN, use estas operações: