VNICs (Virtual Network Interface Cards)

Este tópico descreve como gerenciar placas de interface de rede virtual (VNICs) em uma Rede Virtual na Nuvem (VCN).

Visão Geral de VNICs e NICs Físicas

Os servidores nos data centers do Oracle Cloud Infrastructure têm NICs (network interface cards) físicas. Quando você cria uma instância em um desses servidores, a instância se comunica usando NICs virtuais (VNICs) associadas às NICs físicas do serviço Networking. As seções a seguir tratam de VNICs e NICs e de como elas estão relacionadas.

Sobre VNICs

Uma VNIC permite que uma instância se conecte a uma VCN e decide como a instância se conecta aos pontos finais dentro e fora da VCN. Cada VNIC reside em uma sub-rede de uma VCN e inclui estes itens:

  • Um endereço IPv4 privado principal da sub-rede em que a VNIC está, escolhido por você ou pelo sistema Oracle. O endereço IP principal poderá ser um endereço IPv6 se um prefixo IPv6 for designado à sub-rede.
  • Até 64 endereços IPv4 privados secundários opcionais da mesma sub-rede em que a VNIC está, escolhidos por você ou pelo sistema Oracle.
  • Até 32 endereços secundários opcionais IPv6. Há suporte para o endereçamento IPv6 em todas as regiões comerciais e do setor governamental. Para obter mais informações, consulte IPv6 Addresses e Service Limits.
  • Um endereço IPv4 público opcional para cada IP privado, escolhido pelo sistema Oracle, mas designado por você.
  • Um nome do host Opcional para DNS para cada endereço IP privado (consulte DNS em uma Rede Virtual em Nuvem).
  • Um endereço MAC.
  • Uma tag VLAN designada pelo sistema Oracle e disponível quando a anexação da VNIC à instância é concluída (relevante somente para instâncias bare metal).
  • Um flag para ativar ou desativar a verificação de origem/destino no tráfego de rede da VNIC (consulte Visão Geral de VNICs e NICs Físicas).
  • Associação opcional como membro em um ou mais grupos de segurança de rede (NSGs) selecionados. Os NSGs têm regras de segurança que se aplicam somente às VNICs desse NSG.
  • Associação opcional da VNIC com uma tabela de roteamento personalizada. Isso é chamado de Roteamento por Recurso e permite definir decisões de roteamento para a VNIC que substituem as tabelas de roteamento da sub-rede.

Cada VNIC também tem um nome amigável que você pode designar e um OCID designado pelo sistema Oracle (consulte Identificadores de Recursos).

Cada instância tem uma VNIC principal que é criada e anexada automaticamente durante a criação da instância. Essa VNIC reside na sub-rede especificada. A VNIC principal não pode ser removida da instância. Uma VNIC secundária pode ser removida ou desconectada de uma instância, mas sempre é excluída imediatamente e não pode existir quando não está mais associada a uma instância.

Como as VNICs e as NICs físicas estão relacionadas

Esta seção é relevante para instâncias bare metal.

O sistema operacional em uma instância bare metal reconhece dois dispositivos de rede física e os configura como duas NICs físicas, 0 e 1. O fato de ambas estarem ativas depende do hardware que está sendo usado. Você pode decidir quais NICs estão ativas para uma forma revisando as especificações de largura de banda da rede para formas bare metal. Se a largura de banda da rede estiver listada como "2 x <bandwidth> Gbps", isso significará que a NIC 0 e a NIC 1 estão ativas e cada NIC física tem a quantidade indicada de largura de banda. Se a largura de banda da rede for listada como "1 x <bandwidth> Gbps," isso significará que apenas a NIC 0 está ativa. Nas formas Padrão e DenseIO da geração atual, normalmente, a NIC 0 e a NIC 1 estão ativas.

A NIC 0 é configurada automaticamente com a definição de IP da VNIC principal (os endereços IP, o nome do host DNS etc.).

Se você adicionar uma VNIC Secundária a um instância, deverá especificar qual NIC física a VNIC secundária usa. Você também deve configurar o sistema operacional para que o NIC física utilize a configuração de IP da VNIC secundária. Para instâncias do Linux, consulte Linux: Configurando o Sistema Operacional para VNICs Secundárias. Para instâncias do Windows, consulte Windows: Configurando o Sistema Operacional para VNICs Secundárias.

Sobre VNICs Secundárias

Você pode adicionar VNICs secundárias a uma instância após ela ser criada. Cada VNIC secundária pode estar em uma sub-rede na mesma VCN que a VNIC principal ou em outra sub-rede na mesma VCN ou em outra. No entanto, todas as VNICs devem estar no mesmo domínio de disponibilidade que a instância.

Estes são alguns motivos para você usar VNICs secundárias:

  • Use um hipervisor em uma instância bare metal: Cada uma das máquinas virtuais na instância bare metal possui sua própria VNIC secundária, fornecendo conectividade direta com outras instâncias e serviços na VCN da VNIC.
  • Conecte uma instância a sub-rede em várias VCNs: Por exemplo, você pode configurar um firewall para proteger o tráfego entre VCNs, de forma que a instância precise se conectar a sub-redes em diferentes VCNs.

Veja mais detalhes sobre VNICs secundárias:

  • O limite de quantos VNICs podem ser conectados a uma instância varia conforme a configuração. Para saber esses limites, consulte Formas de Computação.
  • Eles só poderão ser adicionados após a instância ser criada.
  • Eles sempre devem estar anexados a uma instância e não podem ser movidos. O processo de criação de uma VNIC secundária a anexa automaticamente à instância. O processo de desanexação de uma VNIC secundária a exclui automaticamente.
  • Elas são destacadas e excluídas automaticamente quando você encerra a instância.
  • A largura de banda da instância é fixa, independentemente do número de VNICs anexadas. Não é possível especificar um limite de largura de banda para uma VNIC específica em uma instância.
  • Anexar várias VNICs do mesmo bloco CIDR de sub-redes a uma instância pode introduzir roteamento assimétrico, especialmente nas instâncias que usam uma variante do Linux. Se você precisar desse tipo de configuração, recomendamos designar vários endereços IP privados a uma VNIC ou usar o roteamento baseado em política, conforme mostrado no script posteriormente nesse tópico.
  • A adição de várias VNICs pode rotear o tráfego iSCSI da VNIC principal, que divide os anexos de volume iSCSI. Para evitar esse problema, adicione rotas específicas para as novas VNICs e use o endereço do roteador da VNIC principal como gateway. Os volumes de inicialização iSCSI usam o endereço 169.254.0.2/32 e os volumes em blocos usam a rede 169.254.2.0/24.

Verificação de Origem e de Destino

Por padrão, cada VNIC executa a verificação de origem/destino em seu próprio tráfego de rede. A VNIC verifica a origem e o destino listados no cabeçalho de cada pacote de rede. Se a VNIC não for a origem ou o destino, o pacote será eliminado.

Se a VNIC precisar encaminhar tráfego (por exemplo, se precisar executar NAT (Network Address Translation)), você deverá desativar a verificação de origem/destino na VNIC. Para obter instruções, consulte Atualizando uma VNIC. Para obter informações sobre o cenário geral, consulte Usando um IP Privado como um Alvo da Rota.

Informações da VNIC nos Metadados da Instância

O serviço de metadados da instância (IMDS) inclui informações sobre as VNICs nestes URLs:

  • IMDS versão 2:

    http://169.254.169.254/opc/v2/vnics/
  • IMDS legado versão 1:

    http://169.254.169.254/opc/v1/vnics/

Este é um exemplo de resposta que mostra as VNICs anexadas a uma instância:

[ {
    "vnicId" : "ocid1.vnic.oc1.phx.exampleuniqueID",
    "privateIp" : "10.0.3.6",
    "vlanTag" : 11,
    "macAddr" : "00:00:00:00:00:01",
    "virtualRouterIp" : "10.0.3.1",
    "subnetCidrBlock" : "10.0.3.0/24",
    "nicIndex" : 0
}, {
    "vnicId" : "ocid1.vnic.oc1.phx.exampleuniqueID",
    "privateIp" : "10.0.4.3",
    "vlanTag" : 12,
    "macAddr" : "00:00:00:00:00:02",
    "virtualRouterIp" : "10.0.4.1",
    "subnetCidrBlock" : "10.0.4.0/24",
    "nicIndex" : 0
} ]

Política do Serviço IAM Necessária

Para usar o Oracle Cloud Infrastructure, um administrador deve ser membro de um grupo ao qual foi concedido acesso de segurança em uma política por um administrador da tenancy. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem informando que não tem permissão ou está não autorizado, verifique com o administrador da tenancy qual tipo de acesso você tem e qual compartimento seu acesso funciona.

As VNICs residem em uma sub-rede, mas são anexadas a uma instância. O anexo da VNIC à instância é um objeto separado da VNIC ou da própria instância. Lembre-se de que a VNIC e a sub-rede sempre existem juntas no mesmo compartimento, mas o anexo da VNIC à instância sempre existe no compartimento da instância. Essa distinção não será importante se você tiver um cenário de controle de acesso em que todos os recursos da nuvem estão no mesmo compartimento (por exemplo, para uma prova de conceito). Ao passar a usar uma implementação de produção, você pode optar por ter administradores de rede para gerenciar a rede e ter uma outra equipe para administrar as instâncias. Isso significa que você pode colocar as instâncias em um compartimento diferente do usado pela sub-rede.

Para administradores: consulte Políticas do IAM para Rede.

Monitorando VNICs

Você pode monitorar a integridade, a capacidade e o desempenho dos recursos do Oracle Cloud Infrastructure usando métricas, alarmes e notificações. Para obter mais informações, consulte os serviços Monitoring e Notifications.

Para obter informações sobre o monitoramento do tráfego de saída e de entrada das VNICs, consulte Métricas de VNIC.

Linux: Configurando o Sistema Operacional para VNICs Secundárias

Oracle Linux

Recomendamos que as instâncias que usam o Oracle Linux usem o utilitário oci-network-config para executar a configuração do sistema operacional necessária para VNICs secundárias.

Red Hat Enterprise Linux

As instâncias que usam o Red Hat Enterprise Linux (RHEL) 9.6 ou posterior e o RHEL 10.0 ou posterior podem usar o NetworkManager para executar a configuração do sistema operacional necessária para VNICs secundárias. Esse recurso é suportado em arquiteturas Intel (x86_64) e ARM (aarch64) para instâncias de máquina virtual e bare metal. NetworkManager requer a execução das seguintes instruções do prompt de comando (ou como um script) na sequência mostrada e como um usuário sudo:

dnf -y install NetworkManager-config-server
dnf -y install NetworkManager-cloud-setup
mkdir /etc/systemd/system/nm-cloud-setup.service.d
touch /etc/systemd/system/nm-cloud-setup.service.d/oci.conf
echo -e "[Service]\nEnvironment=NM_CLOUD_SETUP_OCI=yes\nEnvironment=NM_CLOUD_SETUP_LOG=TRACE" >> /etc/systemd/system/nm-cloud-setup.service.d/oci.conf
systemctl daemon-reload
systemctl enable --now nm-cloud-setup

Em seguida, para verificar se a VNIC secundária está operando conforme esperado, execute o comando nmcli device show. O trecho a seguir da saída da tela mostra uma configuração bem-sucedida de uma VNIC secundária:

GENERAL.DEVICE:             SecondaryVnicId
GENERAL.TYPE:               vlan
GENERAL.HWADDR:             00:00:5E:00:53:01
GENERAL.MTU:                9000
GENERAL.STATE:              100 (connected)
GENERAL.CONNECTION:         vlan1
GENERAL.CON-PATH:           /org/freedesktop/NetworkManager/ActiveConnection/4
IP4.ADDRESS[1]:             10.0.0.178/23
IP4.GATEWAY:                --
IP4.ROUTE[1]:               dst = 10.0.0.0/23, nh = 0.0.0.0, mt = 10, table=30201
IP4.ROUTE[2]:               dst = 10.0.0.0/23, nh = 0.0.0.0, mt = 400
IP4.ROUTE[3]:               dst = 0.0.0.0/0, nh = 10.0.0.1, mt = 10, table=30401
IP6.ADDRESS[1]:             fe80::d7fb:c283:e45:abf5/64
IP6.GATEWAY:                --
IP6.ROUTE[1]:               dst = fe80::/64, nh = ::, mt = 1024

Na saída, cada bloco corresponde a uma VNIC, com a VNIC principal listada primeiro. Os componentes em que se concentrar são:

  1. GENERAL.HWADDR: Isso corresponde ao endereço MAC da VNIC mostrado na Console do OCI.
  2. GENERAL.STATE: Indica o estado da conexão. 100 (connected) indica uma conexão bem-sucedida.

Windows: Configurando o Sistema Operacional para VNICs Secundárias

Há suporte para VNICs secundárias em instâncias de VM e bare metal (exceto instâncias que usam as formas Standard1 e StandardB1 de geração anterior). Para instâncias bare metal, as VNICs secundárias serão suportadas apenas na segunda NIC física.

Dica

A primeira NIC física é NIC 0, e a segunda é NIC 1.

Você deve configurar a VNIC secundária no sistema operacional. A Oracle sugere que você grave um script PowerShell para executar a configuração. Ao executar o script, você pode fornecer opcionalmente o OCID da VNIC secundária (que você pode obter nos metadados da VNIC da instância).

Caso contrário, o script deverá mostrar uma lista das VNICs secundárias na instância e solicitar que você selecione a que deseja configurar. Veja o que o script precisa fazer:

  1. Verifique se a interface de rede tem um endereço IP e uma rota padrão.
  2. Ative o sistema operacional para reconhecer a VNIC secundária. O script deverá substituir o endereço IP e a rota padrão por definições estáticas (o que efetivamente desativa o DHCP). O script deve solicitar uma escolha: substituir as definições estáticas ou sair.

O processo geral de configuração varia um pouco, dependendo do tipo de instância (VM ou bare metal) e de quantas VNICs secundárias você adiciona à instância.

Instâncias Windows VM

Este é o processo geral:

  1. Adicione uma ou mais VNICs secundárias à instância. Anote o OCID de cada VNIC para poder fornecê-lo mais tarde quando ao o script de configuração. Você também pode obter o OCID nos metadados da VNIC da instância.
  2. Conecte-se com a instância utilizando o Remote Desktop.
  3. Execute o script como administrador. Repita conforme necessário para qualquer uma das VNICs secundárias adicionais.
Instâncias Windows bare metal: adicionando a primeira VNIC secundária

Se você estiver adicionando somente uma única VNIC secundária à instância bare metal, este será o processo geral:

  1. Adicione a VNIC secundária à instância. Use o OCID da VNIC para fornecê-lo mais tarde ao executar um script de configuração. Você também pode obter o OCID nos metadados da VNIC da instância.
  2. Conecte-se com a instância utilizando o Remote Desktop.
  3. Ative a segunda NIC física na instância:
    1. Abra o Gerenciador de Dispositivos e selecione Adaptadores de rede.
    2. Selecione o adaptador que corresponde à segunda NIC física da instância e selecione Ativar.
  4. Execute o script PowerShell como administrador.
Instâncias bare metal do Windows: adicionando mais VNICs secundárias

Se você tiver uma VNIC secundária na segunda instância física de uma instância bare metal e quiser uma ou mais VNICs extras, esse é o processo geral. Há uma tarefa para configurar o agrupamento NIC, que será necessário se a instância tiver mais de uma VNIC na segunda NIC física.

Observação

Se aumentar o número de VNICs secundárias na segunda NIC física de uma para duas ou mais, você deverá ativar o agrupamento NIC para a segunda NIC física (consulte as instruções a seguir). No "grupo" NIC, você cria uma interface separada para cada VNIC secundária nessa NIC física, incluindo a inicial. Isso significa que a interface original para essa primeira VNIC secundária não funciona mais, e qualquer configuração posterior que você queira fazer para essa VNIC deverá ser feita na nova interface da VNIC que faz parte da "equipe".
  1. Adicionar uma ou mais VNICs secundárias adicionais à instância. Anote a tag VLAN e o OCID de cada VNIC para poder fornecê-los mais tarde ao executar o script de configuração. Você também pode obter os valores nos metadados da VNIC da instância.
  2. Conecte-se com a instância utilizando o Remote Desktop.
  3. Configure o agrupamento NIC na instância:
    1. Abra o Gerenciador de servidores e selecione Servidor local.
    2. Na lista de propriedades, localize Agrupamento NIC e selecione Desativado para ativar e configurar o agrupamento NIC.
    3. Na seção Equipes no lado inferior esquerdo da tela, selecione Tarefas e, em seguida, Nova Equipe.
    4. Informe um nome para a equipe, selecione a segunda NIC física na instância e selecione OK.

      O novo grupo será criado e aparecerá na lista de grupos na seção Grupos.

    5. Selecione a nova equipe para que ela seja selecionada e, em seguida, na seção Adaptadores e Interfaces no lado direito da tela, selecione a guia Interfaces da Equipe.
    6. Selecione Tarefas e Adicionar Interface (você cria uma interface separada para cada VNIC secundária na segunda NIC física).
    7. Selecione o botão de opção referente a LAN Específica e, em seguida, insira o número de tag VLAN designado pelo sistema Oracle à VLAN (por exemplo, 1). Você pode obter a tag VLAN na Console ou nos metadados de VNIC da instância.
    8. Selecione OK.
    9. Repita as quatro etapas anteriores (e-h) para cada uma das outras VNICs secundárias. Você cria uma interface separada para cada VNIC secundária.

  4. Execute o script como administrador. Repita conforme necessário para qualquer uma das VNICs secundárias adicionais.

Gerenciando VNICs