VCN 和子网
概述
VCN 是在特定区域的 Oracle Cloud Infrastructure (OCI) 数据中心中设置的软件定义网络。子网是 VCN 的细分。
设置数据库系统之前,必须设置 VCN 和其他网络服务组件。
数据库系统支持使用仅 IPv4 或 IPv4/IPv6 双栈地址配置的子网。
要启动数据库系统,您必须具有:
- 您需要数据库系统的区域中的 VCN。
- VCN 中至少有一个子网(公共子网或专用子网)。
- 连接到 Oracle 服务网络。
- 具有相应规则的定制路由表。
- 安全规则。
注意:
Oracle 建议对专用子网使用互联网网关,对专用子网使用服务网关,并应用相应的安全列表和路由表规则。可以使用特定于可用性域的子网或区域子网,这些子网跨区域中的所有可用性域。
注意:
- Oracle 建议使用区域子网,该子网跨区域中的所有可用性域。
- VCN 和子网配置的某些详细信息取决于您选择在 VCN 内进行 DNS 解析。
- VCN 和子网,请参阅 VCN 和子网概览。
- 网络,请参见 Networking Overview 。
- DNS,请参阅数据库系统的 DNS。
IPv4/IPv6 双栈网络支持
现在,您可以使用 IPv4/IPv6 双堆栈网络预配数据库系统。这使应用程序能够通过利用扩展的 IPv6 地址空间、解决 IPv4 耗尽问题并确保为未来增长做好准备而无缝扩展。
基本数据库服务支持 GUA、BYOIP 和 ULA IPv6 前缀。预配数据库系统时,子网应该只有一个 IPv6 前缀。基本数据库服务不支持具有多个 IPv6 前缀的子网。有关详细信息,请参阅 IPv6 地址。
将为 IPv4 和 IPv6 网络配置虚拟 IP (Virtual IP,VIP) 和单客户机访问名称 (Single Client Access Name,SCAN)。Oracle Clusterware 专用互连继续仅使用 IPv4。有关更多信息,请参见 Requirements for IP Address Space 。
- 在配置有双栈地址的子网中预配新的数据库系统。
- 将数据库系统从仅限 IPv4 的网络配置克隆到双栈网络配置,反之亦然。
- 仅 IPv4 网络中的数据库系统与双栈网络之间可以存在数据卫士关联。Oracle 建议对 Data Guard 对等端同时为 IPv4 和 IPv6 提供开放流量。
- 仅 IPv4 网络中的数据库系统可以使用 Oracle Data Guard 迁移到双栈网络。有关详细步骤,请参见 Migrate to a Dual Stack Network。
- Oracle Database 版本 23ai 和 19c(仅从 23.8.0.25.04、19.27.0.0 及更高版本更新 (RU) 开始)提供具有网格基础结构的单节点数据库系统的双栈网络。
- 对于 IPv6 网络中的数据库系统,只能将网格基础结构升级到版本 23.8.0.25.04 或更高版本。
具有服务网关的专用子网
对于专用子网,可以使用服务网关连接到 Oracle 服务网络。子网是专用的,无法通过互联网访问。Oracle 建议对生产系统使用此选项。以下映像为具有服务网关的专用子网提供了体系结构。
执行以下步骤以使用服务网关设置专用子网。
- 专用子网。
-
VCN 网关:
- 动态路由网关 (DRG),具有指向内部部署网络的 FastConnect 或站点到站点 VPN。
- 用于访问 Oracle 服务网络以进行数据库预配、备份和打补丁的服务网关,以及访问 Oracle YUM 存储库以进行 OS 更新。
-
路由表:子网的定制路由表,具有以下规则:
- 内部部署网络的 CIDR 和
target = DRG的路由。 - CIDR 标签的规则,称为Oracle 服务网络中的所有 <region> 服务和
target = the service gateway。
- 内部部署网络的 CIDR 和
- 用于启用与数据库系统节点之间所需通信的安全规则。
- 以下规则使数据库系统能够与 Oracle 服务(对于具有互联网网关的公共子网)或与包括所有 Oracle 服务(对于具有服务网关的专用子网)在内的 Oracle 服务网络进行通信。它与基本连接的一般出站规则(在默认安全列表中)是冗余的。这是可选的,但建议在常规规则(或默认安全列表)无意中发生更改时使用。
- 无状态:否(所有规则都必须有状态)
- 目标类型:服务
- 目的地服务:
- 使用公共子网(具有 Internet 网关)时,请使用 CIDR
0.0.0.0/0 - 使用专用子网(具有服务网关)时,请使用名为 Oracle 服务网络中的所有 <region> 服务的 CIDR 标签
- 使用公共子网(具有 Internet 网关)时,请使用 CIDR
- IP 协议:TCP
- Source Port Range :全部
- 目标端口范围:443 (HTTPS)
- 说明:规则的可选说明。
- 以下规则使数据库系统能够与 Oracle 服务(对于具有互联网网关的公共子网)或与包括所有 Oracle 服务(对于具有服务网关的专用子网)在内的 Oracle 服务网络进行通信。它与基本连接的一般出站规则(在默认安全列表中)是冗余的。这是可选的,但建议在常规规则(或默认安全列表)无意中发生更改时使用。
- 专用子网,请参见 Private Subnet 。
- 服务网关,请参阅访问 Oracle 服务:服务网关。
- 动态路由网关,请参阅动态路由网关 (DRG) 。
- FastConnect,请参见 FastConnect 。
- Site-to-Site VPN,请参见 Site-to-Site VPN 。
- 路由表,请参见 Route Table 。
- 安全规则,请参见安全规则和数据库系统的安全规则。
- 网络,请参见 Networking Overview 。
具有 Internet 网关的公共子网
对于公共子网,可以使用互联网网关连接到 Oracle 服务网络。如果您希望将互联网网关与 VCN 结合使用,或者您的服务仅在公共网络上运行并且需要访问数据库,则可以在生产环境中使用此设置。在进行概念验证或开发工作时,此选项非常有用。下图提供了具有 Internet 网关的公共子网的体系结构。
执行以下步骤可设置具有 Internet 网关的公共子网。
- 公共子网。
- Internet 网关。
-
路由表:子网的定制路由表,带有 CIDR
0.0.0.0/0和target = internet gateway的规则。 - 用于启用与数据库系统节点之间所需通信的安全规则。
- 公共子网,请参见 Public Subnet 。
- Internet 网关,请参见 Internet Gateway 。
- 路由表,请参见 Route Table 。
- 安全规则,请参见安全规则和数据库系统的安全规则。
IP 地址空间的要求
如果您要在多个区域中设置数据库系统(从而设置 VCN),请确保 VCN 的 IP 地址空间不重叠。
为数据库系统创建的子网不能与数据库实例上的 Oracle Clusterware 专用互连使用的 192.168.16.16/28 重叠。
警告:
VCN 中的任何更改都可能影响 RAC 数据库功能。Oracle 建议您在对 VCN 进行任何更改之前评估 CRS 端所需的更改。
有关更多信息,请参见 How to Modify Public Network Information including VIP in Oracle Clusterware (Doc ID 276434.1) 。
注意:
当子网本身使用192.168.16.0/24 作为默认值时,Oracle Clusterware 专用互连使用的实际地址为 192.168.16.16/28 。实际上,即使您无法使用 192.168.16.0/24 部署数据库系统,如果将专用互连子网修改为 192.168.16.16/28 ,专用互连也能够使用这些地址与主机进行通信。
下表列出了最小所需的子网大小。
注意:
网络服务在每个子网中保留三个 IP 地址。为子网分配比所需最小空间更大的空间(例如,至少 /25 而不是 /28)可以减少这些保留地址对子网可用空间的相对影响。
有关更多信息,请参见 IP Addresses Reserved for Use by Oracle 。
| 数据库系统类型 | 所需 IP 地址数 | 最小子网大小 |
|---|---|---|
| 单节点虚拟机 |
子网中保留的 1 + 3 = 4 |
/30(4 IP 地址) |
| 双节点 RAC 虚拟机 | (2 个地址 * 2 个节点)+ 3 表示 SCAN + 3 表示保留在子网中 = 10 | /28(16 IP 地址) |
VCN 创建向导
注意:
Oracle 建议不要将此 VCN 创建向导用于生产环境。控制台的“网络”部分包含一个向导,该向导将创建 VCN 以及相关资源。如果您只想尝试启动实例,则该方法非常有用。但是,向导会自动创建公共子网和 Internet 网关。对于生产网络,您可能不希望这样做,因此 Oracle 建议您自己创建 VCN 和其他资源,而不是使用向导。
有关向导的更多信息,请参见 Virtual Networking Quickstart 。