注意:

在 Oracle Cloud Infrastructure 中配置每资源路由

简介

每个资源路由是指直接在特定 VNIC 或与该虚拟网络接口卡 (Virtual Network Interface Card,VNIC) 关联的单个 IP 地址上定义路由规则的功能。这样可以针对单个子网中的每个资源提供增强的路由控制,以防它们有不同的要求,而不仅仅是依赖于子网级路由表。这样,组织可以优化网络流量,并通过基于源将数据路由到适当的目标资源来确保更好的性能。

借助按资源路由,Oracle Cloud Infrastructure (OCI) 用户可以配置适用于各个资源的路由策略,确保以最佳支持应用架构的方式引导流量。它增强了网络控制,使管理复杂的云环境变得更容易。这种路由方法有助于通过定义流量应如何路由到特定资源来改善流量。

目标

在本教程中,我们将全面了解 OCI 中的每个资源路由。

图像

先决条件

注:每个示例都是独立于另一个示例准备的。你可以按任何顺序处理它们。

示例 1:通过 OCI 网络防火墙仅检查一个虚拟机 (VM) 的互联网流量

示例目标:

在此示例中,我们专注于通过 OCI 网络防火墙路由一个特定 VM 的出站 Internet 流量,以便在它到达 NAT 网关之前对其进行检查和保护,并绕过同一子网中第二个 VM 的防火墙。如果没有按资源路由,则必须将每个实例放置在不同的子网中才能实现此方案。

图像

先决条件示例:

配置一些基本组件以与此设计保持一致。它基本上是专用子网中的两个计算实例,也是同一 VCN 中单独子网中的网络防火墙。

图像

任务 1:准备 OCI 网络防火墙以检查从 Linux-VM-2 到 Internet 的流量

任务 1.1:设置防火墙子网路由和安全

在此任务中,我们创建并分配了一个子网级路由表,这意味着在此子网中部署的所有资源都将受定义的路由规则约束。

任务 1.2:创建和分配 NAT 网关路由表

任务 1.3:启用防火墙日志并检查策略

注:在本教程中,我们使用 OCI 网络防火墙,但您可以使用任何第三方防火墙复制相同的方案。

任务 2:创建自定义路由表

任务 3:为 VNIC 分配定制路由表

任务 4:测试和验证

示例 2:仅将 Internet 流量与 Oracle 服务网络流量分开

示例目标:

在本示例中,我们将演示如何为同一子网中的两个资源配置不同的路由,从而通过单独的网关将流量定向到 Oracle 服务网络和 Internet。Linux-VM-1 仅需要访问 Oracle 服务网络,特别是 OCI Object Storage,而无需通过公共 Internet 进行路由,仅限于 Oracle Jeddah 数据中心,而 Linux-VM-2 需要出站 Internet 访问,这意味着可以访问任何公共 IP 地址,包括 Oracle 服务网络中的公共 IP 地址。如果没有按资源路由,则必须将每个实例放置在不同的子网中才能实现此方案。

图像

先决条件示例:

配置一些基本组件以与此设计保持一致。它基本上是专用子网中的两个计算实例。

图像

任务 1:创建自定义路由表

任务 2:为 VNIC 分配定制路由表

任务 3:创建 OCI 对象存储存储桶

OCI Object Storage 桶是用于在 OCI 中存储和组织对象(文件和数据)的逻辑容器。

任务 4:测试和验证

任务 4.1:准备 VM 以访问 Oracle 服务网络

任务 4.2:测试 Linux-VM-1 到 Oracle 服务网络访问

任务 4.3:测试 Linux-VM-2 以访问 Internet

小结

通过两个深入的技术示例,本教程展示了 OCI 中的每个资源路由如何通过允许将定制路由表直接应用于同一子网内的各个 VNIC 来精确控制网络流量。它还强调了每个资源路由和传统子网级路由表之间的主要差异,强调了此功能为现代云网络设计带来的灵活性和效率。

确认

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室,或者访问 Oracle Learning YouTube 渠道上的更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档,请访问 Oracle 帮助中心