Tabelas de Roteamento de VCN
Este tópico descreve como gerenciar as tabelas de roteamento em uma Rede Virtual na Nuvem (VCN). Para obter mais informações sobre tabelas de roteamento em um Gateway de roteamento dinâmico (DRG), consulte Gateways de roteamento dinâmico.
Visão Geral do Roteamento de uma VCN
Uma VCN usa tabelas de roteamento para enviar o tráfego da VCN (por exemplo, para a internet, para uma rede on-premises ou para uma VCN pareada). Essas tabelas de roteamento têm regras que se comportam e agem de forma semelhante às regras tradicionais de roteamento de rede com as quais você já pode estar familiarizado. Cada regra especifica um bloco CIDR de destino e o alvo (o próximo salto) para qualquer tráfego que corresponda a esse CIDR.
Informações básicas sobre roteamento em uma VCN:
- O cenário de roteamento principal é para enviar o tráfego de uma sub-rede para destinos fora da sub-rede. Uma sub-rede tem uma única tabela de roteamento selecionada associada a ela, a menos que uma VNIC tenha uma tabela de roteamento diretamente associada a ela mesma ou a seus endereços IP. Para obter detalhes, consulte a seção Roteamento por Recurso. Todas as VNICs dessa sub-rede estão sujeitas às regras na tabela de roteamento. As regras controlam como o tráfego de saída da sub-rede é roteado.
- O roteamento local da VCN controla automaticamente o tráfego entre e dentro das sub-redes da VCN. O roteamento local não requer a definição de regras de roteamento explícitas para ativar o tráfego; as regras de roteamento local são implícitas e não são mostradas na tabela de roteamento. O roteamento entre as sub-redes de uma VCN pode ser alterado adicionando rotas estáticas (consulte Roteamento Intra-VCN).
- Você pode usar o roteamento intra-VCN para especificar um IP privado de próximo hop, LPG ou DRG dentro de uma VCN para tráfego destinado a outra sub-rede na VCN. O roteamento intra VCN permite criar casos de uso mais complexos de segurança e virtualização de rede. O OCI também suporta roteamento Intra VCN para tráfego que entra em uma VCN por meio de um gateway, além do tráfego entre sub-redes.
- Você pode usar Roteamento por Recurso para associar uma tabela de roteamento de VCN personalizada a uma VNIC ou a um endereço IP em uma VNIC, que permite rotear o tráfego de maneira diferente para cargas de trabalho na mesma sub-rede.
- Se uma tabela de roteamento tiver regras de sobreposição, a Oracle usará a regra mais específica na tabela para rotear o tráfego (a regra com a correspondência de prefixo mais longa). Dois CIDRs são considerados sobrepostos quando um CIDR está contido no outro. As tabelas de roteamento da VCN contêm entradas para as rotas locais da VCN. Se você criar uma rota estática para o bloco CIDR da VCN (com o mesmo tamanho de prefixo da rota local da VCN), a rota estática terá precedência.
- Se nenhuma regra de roteamento corresponder ao tráfego de rede que você pretende rotear para fora da VCN, o tráfego será eliminado (bloqueado por blackholing).
- Há suporte para o endereçamento IPv6 em todas as regiões comerciais e do setor governamental. Para obter mais informações, consulte Endereços IPv6.
Para obter detalhes importantes sobre o roteamento entre uma VCN e a rede local, consulte Detalhes de Roteamento para Conexões com a Rede Local.
Como Trabalhar com Tabelas de Roteamento e Regras de Roteamento
Cada VCN vem automaticamente com uma tabela de roteamento padrão que tem regras implícitas que incluem as rotas dos CIDRs da VCN. Se você não especificar outra definição, todas as sub-redes usarão a tabela de roteamento padrão da VCN. Ao adicionar regras de roteamento a uma VCN, você pode adicioná-las à tabela padrão. No entanto, você poderá criar tabelas de roteamento personalizadas para cada sub-rede, se necessário. Por exemplo, quando você tiver uma sub-rede pública e uma sub-rede privada em uma VCN (para obter um exemplo, consulte Cenário C: Sub-redes Pública e Privada com uma VPN), use diferentes tabelas de roteamento para as sub-redes porque as regras de roteamento para elas precisam ser diferentes.
Cada sub-rede em uma VCN usa uma única tabela de roteamento. Ao criar a sub-rede, você especifica qual tabela usar. Você pode alterar qual tabela de roteamento será usada pela sub-rede a qualquer momento. Você também pode editar as regras de uma tabela de roteamento ou remover todas as regras da tabela.
Você pode designar um nome descritivo a uma tabela de roteamento personalizada durante a criação. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. O sistema Oracle designa automaticamente um identificador exclusivo chamado OCID (Oracle Cloud ID) à tabela de roteamento. Para obter mais informações, consulte: Identificadores de Recurso.
Uma regra de roteamento especifica um bloco CIDR de destino e o alvo (o próximo salto) para qualquer tráfego que corresponda a esse CIDR. Estes são os tipos de destinos permitidos para uma regra de roteamento:
- Gateway de Roteamento Dinâmico (DRG): Para sub-redes que precisam de acesso privado a redes conectadas a uma VCN (por exemplo, uma rede on-premises conectada a uma VPN Site a Site ou FastConnect, uma VCN pareada na mesma região ou uma VCN pareada em outra região).
- Gateway de internet: Para sub-redes públicas que precisam de acesso direto à internet.
- gateway NAT: para sub-redes com instâncias que não têm endereços IP públicos, mas precisam de acesso de saída à internet.
- Service gateway: para sub-redes que precisam de acesso privado aos serviços Oracle, como o Object Storage.
- LPG (Local Peering Gateway): Para sub-redes que precisam de acesso privado a uma VCN pareada na mesma região.
- IP privado: Para sub-redes que precisam rotear o tráfego para uma instância na VCN. Para obter mais informações, consulte Usando um IP Privado como um Alvo da Rota. Consulte também Visão Geral do Serviço Routing de uma VCN
Você não pode excluir um recurso específico quando ele é o destino de uma regra de roteamento. Por exemplo, você não pode excluir um gateway de internet que tem tráfego roteado para ele. Exclua todas as regras (em todas as tabelas de roteamento) com esse gateway de internet como destino antes de tentar excluir o gateway ou outro recurso.
Ao adicionar uma regra de roteamento a uma tabela de roteamento, você fornece CIDR de destino e o alvo (mais o compartimento no qual o alvo reside). Exceção: se o alvo for um gateway de serviço, em vez de um bloco CIDR de destino, você especifica uma string fornecida pelo sistema Oracle que representa os pontos finais públicos para o serviço de interesse. Dessa forma, você não precisa conhecer todos os blocos de CIDR do serviço, que podem mudar com o passar do tempo.
Se você configurar incorretamente uma regra (por exemplo, se inserir o bloco CIDR de destino incorreto), o tráfego de rede que você pretende rotear poderá ser eliminado (bloqueado por blackholing) ou enviado para um destino não intencional.
Você pode mover tabelas de roteamento de um compartimento para outro. Mover uma tabela de roteamento não afeta a anexação dessa tabela com VCNs ou sub-redes. Quando você move uma tabela de roteamento para um novo compartimento, as políticas inerentes são aplicadas imediatamente e afetam o acesso à tabela de roteamento. Para obter mais informações, consulte Controle de Acesso.
Você não pode excluir uma tabela de roteamento padrão de uma VCN. Para excluir uma tabela de roteamento personalizada, ela não deve estar associada a uma sub-rede ou a um gateway, como DRG, LPG, IGW, NGW ou SGW.
Consulte Limites de Serviço para obter uma lista de limites e instruções aplicáveis a uma solicitação de aumento de limite.
Roteamento Intra VCN
O roteamento dentro da VCN permite substituir as decisões de roteamento padrão aplicadas ao tráfego destinado a endereços IP contidos no bloco CIDR da VCN. O roteamento intra VCN tem os seguintes recursos:
- Rotas locais: Cada VCN roteia automaticamente o tráfego dentro da VCN e entre as sub-redes da VCN, a menos que você adicione regras de roteamento declarando o contrário. O tráfego local usa a tabela de roteamento associada à sub-rede, incluindo o roteamento local dentro do CIDR da VCN.
- Rotas Intra VCN Personalizadas: São regras de roteamento criadas na tabela de roteamento da VCN ou da sub-rede para tráfego Intra VCN, que podem substituir rotas locais normais. Todas as rotas Intra VCN personalizadas têm um destino (DRG, LPG ou IP privado na VCN) e um tipo de rota estático.
- Melhor Seleção de Rota: A correspondência de prefixo mais longa (ou rota mais específica) é selecionada. Quando várias vias para o mesmo prefixo são possíveis, a melhor via é selecionada com base na seguinte prioridade de tipo de via:
- Rotas estáticas (definidas pelo usuário)
- Rotas locais implícitas (criadas automaticamente pelo OCI) não visíveis na tabela de roteamento
- IPv6: O OCI suporta roteamento Intra VCN para prefixos de VCN IPv6.
O roteamento intra-sub-rede não é suportado. O tráfego com um endereço IP de destino na mesma sub-rede que a VNIC de origem é encaminhado (não roteado) diretamente para o destino apropriado.
Uso de Roteamento Intra VCN
- Crie regras de roteamento estático na tabela de roteamento do IGW que especifiquem um próximo hop de 10.0.1.4 (um firewall) para tráfego de entrada.
- Crie tabelas de roteamento para as sub-redes A, B e C. O tráfego da internet para a sub-rede B e C deve passar pelo appliance de firewall em 10.0.1.4 na sub-rede A. O tráfego entre a sub-rede B e C deve passar pelo mesmo firewall.
A imagem a seguir mostra um exemplo de roteamento interno:
| Destino | Alvo | Tipo de Rota |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Estático |
| Destino | Alvo | Tipo de Rota |
|---|---|---|
| 0.0.0.0/0 | IGW | Estático |
| Destino | Alvo | Tipo de Rota |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Estático |
| 0.0.0.0/0 | 10.0.1.4 | Estático |
| Destino | Alvo | Tipo de Rota |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Estático |
| 0.0.0.0/0 | 10.0.1.4 | Estático |
Roteamento por recurso
Você pode usar o roteamento por recurso para designar uma tabela de roteamento de VCN personalizada a uma ou mais VNICs ou a endereços IP específicos em uma VNIC. Um endereço IP com uma tabela de roteamento designada pode ser um endereço IP principal ou secundário da VNIC. Com roteamento por recurso, uma preferência hierárquica se aplica em termos de qual tabela de roteamento usar para a pesquisa de roteamento: a tabela de roteamento no endereço IP é preferida à tabela de roteamento na VNIC e a tabela de roteamento em uma VNIC é preferida à tabela de roteamento na sub-rede. Este é o processo de seleção da tabela de roteamento:
- Se o endereço IP da VNIC tiver uma tabela de roteamento própria associada, essa tabela de roteamento será usada para rotear o tráfego do endereço IP.
- Se um endereço IP da VNIC não tiver sua própria tabela de roteamento, a tabela de roteamento no nível da VNIC será usada para rotear o tráfego do endereço IP.
- Se uma VNIC tiver uma rota associada capaz, todos os endereços IP na VNIC que não tiverem uma tabela de roteamento associada usarão a tabela de roteamento de VNIC.
- Se uma VNIC não tiver uma tabela de roteamento associada, todos os endereços IP na VNIC que não tiverem uma tabela de roteamento associada usarão a tabela de roteamento de sub-rede.
Somente uma tabela de roteamento é usada para decidir o roteamento de tráfego de uma VNIC ou endereço IP. Se o roteamento por recurso for usado em uma VNIC ou endereço IP, outras tabelas de roteamento na cadeia hierárquica serão ignoradas. Por exemplo, se um endereço IP da VNIC estiver associado a uma tabela de roteamento, essa tabela será usada para rotear o tráfego do endereço IP, e as tabelas de roteamento da VNIC e da sub-rede serão ignoradas.
A imagem a seguir mostra um exemplo usando o roteamento por recurso:
| Destino | Alvo | Tipo de Rota |
|---|---|---|
| 0.0.0.0/0 | DRG | Estático |
| Destino | Alvo | Tipo de Rota |
|---|---|---|
| 0.0.0.0/0 | IGW | Estático |
Neste exemplo, uma instância do OCI Compute com duas VNICs na mesma sub-rede tem um aplicativo em execução que precisa de acesso à internet e também a bancos de dados ou outros recursos no data center local. O aplicativo usa a VNIC A para todo o tráfego vinculado a uma rede local e a VNIC B para todo o tráfego vinculado à Internet. O administrador de rede na nuvem pode associar uma tabela de roteamento personalizada à VNIC A em que a rota padrão tem o DRG como destino e roteia todo o tráfego da VNIC A para o DRG. Uma segunda tabela de roteamento personalizada é associada à VNIC B, em que a rota padrão tem o gateway de internet como destino e roteia todo o tráfego da VNIC B para o gateway de internet.
Uma vantagem aqui é que, como essas são regras estáticas, as regras são isoladas de alterações nos blocos CIDR usados no data center local. Todas as alterações no ambiente local são compartilhadas com o DRG usando anúncio BGP, e as tabelas de roteamento da VCN podem ser simples e estáveis.
Roteamento de Entrada do Gateway
- Gateway de Pareamento Local (LPG)
- Gateways de Roteamento Dinâmico
- Gateways de Internet
- Gateways NAT
- Gateways de Serviço
Se você associar uma tabela de roteamento a um desses gateways, posteriormente o gateway sempre deverá ter uma tabela de roteamento associada. As regras da tabela de roteamento associada podem ser alteradas ou removidas. Para um gateway de internet, o destino deve estar em uma sub-rede pública.
Política do Serviço IAM Necessária
Para usar o Oracle Cloud Infrastructure, um administrador deve ser membro de um grupo com acesso de segurança concedido em uma política por um administrador da tenancy. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem de que não tem permissão ou que não está autorizado, verifique com o administrador da tenancy qual tipo de acesso você tem e em qual compartimento seu acesso funciona.
Para administradores: consulte Políticas do IAM para Rede.
limites da tabela de roteamento da VCN
Esta seção é específica para limites de tabelas de roteamento da VCN. Os limites da tabela de roteamento do DRG são fornecidos na seção Limites da Tabela de Roteamento do DRG.
|
Recurso |
Escopo |
Oracle Universal Credits |
Pay As You Go (Pagamento conforme o uso) ou Trial (Avaliação) |
|---|---|---|---|
| Tabelas de Roteamento da VCN | VCN | 300 | 300 |
| Regras de roteamento | Tabela de Roteamento da VCN | 200 | 200 |
Usando um IP Privado como um Alvo da Rota
Se você não estiver familiarizado com a definição de um IP privado, consulte Endereços IP Privados. Resumindo: um IP privado é um objeto que contém um endereço IP privado e propriedades relacionadas e tem seu próprio OCID.
Casos de Uso Geral
O OCI usa uma tabela de roteamento da sub-rede para rotear o tráfego para um endereço IP de destino fora da sub-rede. Se o destino estiver fora da VCN, geralmente você configurará uma regra de roteamento para rotear o tráfego para um gateway na VCN (por exemplo, um DRG conectado a uma rede on-premises ou outra VCN ou um gateway de Internet conectado à Internet). Se o destino estiver em outra sub-rede da mesma VCN, por padrão, o tráfego será roteado usando a rota local para o CIDR da VCN. No entanto, pode ser necessário primeiro rotear esse tráfego por meio de uma instância na VCN. Nesse caso, você pode usar um IP privado na VCN como destino, em vez de um gateway na VCN. Estão são alguns motivos pelos quais você pode fazer isso:
- Para implementar um appliance de rede virtual (NVA), como um firewall ou uma detecção de intrusão que filtra o tráfego de saída das instâncias.
- Para gerenciar uma rede de overlay na VCN, que permite executar cargas de trabalho de orquestração de contêiner.
- Para implementar a NAT (Network Address Translation) na VCN. Observe que, em vez disso, a Oracle recomenda o uso de um gateway NAT com a VCN. Em geral, a NAT cria acesso de saída à internet para instâncias sem conectividade direta com a internet.
Para implementar esses casos de uso, é necessário mais do que rotear o tráfego para a instância. A configuração também é necessária na própria instância.
Você pode ativar a alta disponibilidade do alvo da rota IP privada usando um endereço IP privado secundário. No caso de falha, você pode mover o IP privado secundário de uma VNIC existente para outra VNIC na mesma sub-rede. Consulte Movendo um Endereço IP Privado Secundário para Outra VNIC (instruções da console) e UpdatePrivateIp (instruções da API).
Requisitos para Utilizar um IP Privado como Destino
- O IP privado deve estar na mesma VCN que a tabela de roteamento.
- A VNIC do IP privado deve ser configurada para ignorar a verificação de origem/destino, de forma que a VNIC possa encaminhar o tráfego. Por padrão, as VNICs são configuradas para executar a verificação. Para obter mais informações, consulte Visão Geral de VNICs e NICs Físicas.
- Você deverá configurar a própria instância para encaminhar pacotes.
-
A regra de roteamento deve especificar o OCID do IP privado como alvo, e não o endereço IP propriamente dito. Exceção: se você usar a Console, poderá especificar o próprio endereço IP privado como alvo e a Console usará o OCID correspondente ao endereço IP privado na regra.
Importante
Uma regra de roteamento com um destino IP privado pode resultar em bloqueio por blackholing nos seguintes casos:- A instância à qual o IP privado está designado é interrompida ou encerrada
- A VNIC à qual o IP privado está designado é atualizada para permitir a verificação de origem/destino ou é excluída
- A designação do IP privado é cancelada em relação à VNIC
Quando um IP privado de destino é encerrado, na Console, a regra de roteamento exibe uma observação informando que o OCID de destino não existe mais.
Para failover: se uma instância de destino for encerrada antes de você mover o IP privado secundário para um standby, atualize a regra de roteamento para usar o OCID do novo IP privado de destino no standby. A regra usa o OCID do destino, e não o próprio endereço IP privado.
Processo de Configuração Geral
- Decida qual instância você deseja receber e encaminhar o tráfego.
- Selecione um IP privado na instância (pode estar na VNIC principal da instância ou em uma VNIC secundária). Para implementar failover, configure um IP privado secundário em uma das VNICs da instância.
- Desative a verificação de origem/destino na VNIC do IP privado. Consulte Visão Geral de VNICs e NICs Físicas
- Obtenha o OCID para o IP privado. Se você estiver usando a Console, poderá obter o OCID ou o próprio endereço IP privado, juntamente com o nome do compartimento do IP privado.
- Para a sub-rede que precisa rotear o tráfego para o IP privado, verifique a tabela de roteamento da sub-rede. Se a tabela já tiver uma regra com o mesmo CIDR de destino, mas com outro destino, exclua essa regra.
-
Adicione uma regra de roteamento com as seguintes características:
- Tipo de Destino: Consulte a lista de tipos de destino na Visão Geral do Roteamento de uma VCN. Se o tipo de destino for um DRG, o DRG anexado da VCN será selecionado automaticamente como destino, e você não terá que especificar o destino você mesmo. Se o destino for um objeto IP privado, antes de especificar o destino, primeiro desative a verificação de origem/destino na VNIC que usa esse objeto IP privado. Para obter mais informações, consulte Usando um IP Privado como um Alvo da Rota.
- Bloco CIDR de Destino: disponível somente se o destino não for um gateway de serviço. O valor é o bloco CIDR de destino do tráfego. Você poderá fornecer um bloco CIDR de destino específico ou usar 0.0.0.0/0 se todo o tráfego que sai da sub-rede precisar ser roteado para o destino especificado nessa regra.
- Serviço de Destino: disponível apenas se o alvo for um gateway de serviço. O valor é o label do CIDR de serviço no qual você está interessado.
- Compartimento: o compartimento que contém o destino.
- Destino: o destino. Se o alvo for um objeto IP privado, informe o respectivo OCID. Ou você pode inserir o próprio endereço IP privado; nesse caso, a Console encontrará o OCID correspondente e o utilizará como alvo para a regra de roteamento.
- Descrição: Uma descrição opcional da regra.
Como mencionado anteriormente, é necessário configurar a instância para encaminhar pacotes.