Networking - Überblick

Wenn Sie mit Oracle Cloud Infrastructure arbeiten, müssen Sie in einem der ersten Schritte ein virtuelles Cloud-Netzwerk (VCN) für Ihre Cloud-Ressourcen einrichten. In diesem Thema erhalten Sie einen Überblick über Oracle Cloud Infrastructure Networking-Komponenten und typische Szenarios für die Verwendung eines VCN.

Tipp

Sehen Sie sich ein Einführungsvideo zum Service an.

Networking-Komponenten

Der Networking-Service verwendet virtuelle Versionen herkömmlicher Netzwerkkomponenten, mit denen Sie möglicherweise schon vertraut sind:

VIRTUELLES CLOUD-NETZWERK (VCN): Ein virtuelles, privates Netzwerk, das Sie in Oracle-Data Centern einrichten. Es ähnelt in etwa einem herkömmlichen Netzwerk mit Firewallregeln und spezifischen Typen von Kommunikationsgateways, die Sie verwenden können. Ein VCN befindet sich in einer einzelnen Oracle Cloud Infrastructure-Region und deckt mindestens einen CIDR-Block ab (IPv4 und IPv6, sofern aktiviert). Siehe Zulässige VCN-Größe und Adressbereiche. Die Begriffe "virtuelles Cloud-Netzwerk", "VCN" und "Cloud-Netzwerk"" werden in dieser Dokumentation gleichbedeutend verwendet. Weitere Informationen finden Sie unter VCNs und Subnetze.
SUBNETZE: Unterteilungen, die Sie in einem VCN definieren (Beispiel: 10.0.0.0/24, 10.0.1.0/24 oder 2001:DB8::/64). Subnetze enthalten virtuelle Netzwerkkarten (VNICs), die an Instanzen angehängt werden. Jedes Subnetz besteht aus einem zusammenhängenden Bereich von IP-Adressen (für IPv4 und IPv6, sofern aktiviert), die sich mit keinen anderen Subnetzen im VCN überschneiden. Sie können ein Subnetz angeben, das in einer einzelnen Availability-Domain oder in einer gesamten Region vorhanden sein soll (regionale Subnetze werden empfohlen). Subnetze fungieren als eine Konfigurationseinheit im VCN: Alle VNICs in einem bestimmten Subnetz verwenden dieselbe Routentabelle sowie dieselben Sicherheitslisten und DHCP-Optionen (siehe folgende Definitionen). Sie können beim Erstellen eines Subnetzes bestimmen, ob es öffentlich oder privat sein soll. "Privat" bedeutet, dass VNICs im Subnetz keine öffentlichen IPv4-Adressen haben können und dass die Internetkommunikation mit IPv6-Endpunkten unzulässig ist. "Öffentlich" bedeutet, dass VNICs im Subnetz öffentliche IPv4-Adressen haben können und dass die Internetkommunikation mit IPv6-Endpunkten zulässig ist. Siehe Zugriff auf das Internet.
VNIC: Eine virtuelle Netzwerkkarte (VNIC), die an eine Instanz angehängt wird und sich in einem Subnetz befindet, um eine Verbindung zum VCN des Subnetzes herzustellen. Die VNIC bestimmt, wie die Instanz mit Endpunkten innerhalb und außerhalb des VCN verbunden wird. Jede Instanz verfügt über eine primäre VNIC, die beim Starten der Instanz erstellt wird und nicht entfernt werden kann. Sie können sekundäre VNICs beliebig zu einer vorhandenen Instanz (in derselben Availability-Domain wie die primäre VNIC) hinzufügen und diese entfernen. Jede sekundäre VNIC kann sich in einem Subnetz im selben VCN wie die primäre VNIC oder in einem anderen Subnetz befinden, das sich entweder im selben VCN oder einem anderen Subnetz befindet. Alle VNICs müssen sich jedoch in derselben Availability-Domain wie die Instanz befinden. Weitere Informationen finden Sie unter Virtuelle Netzwerkkarten (VNICs). Einer VNIC, die an eine Compute-Instanz angehängt ist und sich in einem IPv6-fähigen Subnetz befindet, kann optional eine IPv6-Adresse zugewiesen werden.
PRIVATE IP: Eine private IPv4-Adresse und zugehörige Informationen zur Adressierung einer Instanz (z.B. ein Hostname für DNS). Jede VNIC verfügt über eine primäre private IP, und Sie können sekundäre private IPs hinzufügen und entfernen. Die primäre private IP-Adresse einer Instanz ändert sich während der Gültigkeitsdauer der Instanz nicht und kann nicht aus der Instanz entfernt werden. Weitere Informationen finden Sie unter Private IP-Adressen.
ÖFFENTLICHE IP: Eine öffentliche IPv4-Adresse und zugehörige Informationen. Sie können optional eine öffentliche IP Ihren Instanzen oder anderen Ressourcen zuweisen, die über eine private IP verfügen. Öffentliche IPs können ephemer oder reserviert sein. Weitere Informationen finden Sie unter Öffentliche IP-Adressen.
IPV6: Eine IPv6-Adresse und zugehörige Informationen. Die IPv6-Adressierung wird für alle kommerziellen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen.
DYNAMISCHES ROUTINGGATEWAY (DRG): Ein optionaler virtueller Router, den Sie Ihrem VCN hinzufügen können. Er stellt einen Pfad für privaten Netzwerktraffic zwischen dem VCN und dem On-Premise-Netzwerk bereit. Sie können ihn zusammen mit anderen Networking-Komponenten und einem Router in Ihrem On-Premise-Netzwerk verwenden, um eine Verbindung über Site-to-Site-VPN oder Oracle Cloud Infrastructure FastConnect herzustellen. Er kann auch einen Pfad für privaten Netzwerktraffic zwischen Ihrem und einem anderen VCN in einer anderen Region angeben. Weitere Informationen finden Sie unter Zugriff auf Ihr On-Premise-Netzwerk, Dynamische Routinggateways und Remote-VCN-Peering mit einem Legacy-DRG.
INTERNETGATEWAY: Ein weiterer optionaler virtueller Router, den Sie Ihrem VCN für direkten Internetzugriff hinzufügen können. Weitere Informationen finden Sie unter Zugriff auf das Internet und auch Szenario A: Öffentliches Subnetz.
NAT-(NETWORK ADDRESS TRANSLATION-)GATEWAY: Ein weiterer optionaler virtueller Router, den Sie zum VCN hinzufügen können. Er ermöglicht Cloud-Ressourcen ohne öffentliche IP-Adressen den Zugriff auf das Internet, ohne dass diese Ressourcen für eingehende Internetverbindungen freigegeben werden. Weitere Informationen finden Sie unter Öffentliche und private Subnetze im Vergleich und unter NAT-Gateway.
SERVICEGATEWAY: Ein weiterer optionaler virtueller Router, den Sie zum VCN hinzufügen können. Es stellt einen Pfad für privaten Netzwerkverkehr zwischen Ihrem VCN und unterstützten Services im Oracle Services Network bereit (Beispiele: Oracle Cloud Infrastructure Object Storage und Autonomous Database). Beispiel: DB-Systeme in einem privaten Subnetz im VCN können Daten in Object Storage sichern, ohne dass öffentliche IP-Adressen oder der Internetzugriff erforderlich sind. Weitere Informationen finden Sie unter Zugriff auf Oracle Services: Servicegateway.
LOKALES PEERING-GATEWAY (LPG): Ein weiterer optionaler virtueller Router, den Sie zum VCN hinzufügen können. Damit können Sie eine Peering-Beziehung zwischen zwei VCNs in ein und derselben Region herstellen. Peering bedeutet, dass die VCNs über private IP-Adressen kommunizieren, ohne dass der Traffic über das Internet oder das On-Premise-Netzwerk geleitet wird. Ein VCN muss für jedes einzelne Peering ein separates LPG haben. Weitere Informationen finden Sie unter Lokales VCN-Peering mit lokalen Peering-Gateways.
REMOTE-PEERING-VERBINDUNG (RPC): Eine Komponente, die Sie einem DRG hinzufügen können. Damit können Sie eine Peering-Beziehung zwischen zwei VCNs in unterschiedlichen Regionen herstellen. Weitere Informationen finden Sie unter Remote-VCN-Peering mit einem Legacy-DRG.
ROUTENTABELLEN: Virtuelle Routentabellen für das VCN. Sie verfügen über Regeln, um Traffic von Subnetzen über Gateways oder speziell konfigurierte Instanzen an Ziele außerhalb des VCN weiterzuleiten. Ihr VCN enthält eine leere Standardroutentabelle, und Sie können eigene benutzerdefinierte Routentabellen hinzufügen. Weitere Informationen finden Sie unter VCN-Routentabellen.
SICHERHEITSREGELN: Virtuelle Firewallregeln für das VCN. Hierbei handelt es sich um Ingress- und Egress-Regeln, die die Traffictypen (Protokoll und Port) angeben, die in die und aus den Instanzen zulässig sind. Sie können wählen, ob eine bestimmte Regel für zustandsbehafteten oder zustandslosen Traffic bestimmt ist. Beispiel: Sie können eingehenden SSH-Verkehr von einer beliebigen Quelle zu Instanzen zulassen, indem Sie eine Regel für zustandsbehafteten Ingress mit Quell-CIDR 0.0.0.0/0 und Ziel-TCP-Port 22 einrichten. Zur Implementierung von Sicherheitsregeln können Sie Netzwerksicherheitsgruppen oder Sicherheitslisten verwenden. Eine Netzwerksicherheitsgruppe besteht aus einem Set von Sicherheitsregeln, die nur für die Ressourcen in dieser Gruppe gelten. Im Gegensatz dazu werden bei einer Sicherheitsliste die Regeln auf alle Ressourcen in einem Subnetz angewendet, das die Liste verwendet. Ihr VCN enthält eine Standardsicherheitsliste mit Standardsicherheitsregeln. Weitere Informationen finden Sie unter Sicherheitsregeln.
DHCP-OPTIONEN: Konfigurationsinformationen, die automatisch den Instanzen beim Hochfahren bereitgestellt werden. Weitere Informationen finden Sie unter DHCP-Optionen.

Zulässige VCN-Größen- und Adressbereiche

Ein VCN deckt mindestens einen IPv4-CIDR-Block oder mindestens ein IPv6-Präfix Ihrer Wahl ab. Der zulässige VCN-Größenbereich liegt bei /16 bis /30. Beispiel: 10.0.0.0/16. Der Networking-Service reserviert die ersten beiden IP-Adressen und die letzte IP-Adresse im CIDR jedes Subnetzes. Sie können IPv6 beim Erstellen Ihrer VNICs für die VNICs aktivieren. IPv6 kann auch auf vorhandenen Nur-IPv4-VCNs aktiviert werden. Wenn Sie sich für ein von Oracle zugewiesenes IPv6-Präfix entscheiden, erhalten Sie immer ein /56. Alternativ können Sie ein eigenes BYOIP-IPv6-Präfix importieren, aus dem Sie einem VCN ein beliebiges Präfix von /64 oder größer zuweisen können, oder Sie können ein ULA-Präfix von /64 oder größer zuweisen. GUA-Bereiche können bis zu 2000::/3 sein und ULA-Bereiche bis zu fc00::/7. Alle IPv6-Subnetze weisen stets eine Größe von /64 auf.

Oracle empfiehlt für das VCN die Verwendung der privaten IP-Adressbereiche, die in RFC 1918 angegeben sind. (Der RFC empfiehlt 10.0/8 oder 172.16/12. Oracle unterstützt diese Größen jedoch nicht. Verwenden Sie daher 10.0/16, 172.16/16 und 192.168/16.) Sie können jedoch einen öffentlich routbaren Bereich verwenden. Unabhängig davon wird in dieser Dokumentation der Begriff Private IP-Adresse verwendet, wenn auf IP-Adressen im CIDR des VCN verwiesen wird. Nicht zulässige Adressbereiche werden unter Für die Verwendung durch Oracle reservierte IP-Adressen beschrieben. Bei IPv6-fähigen VCNs kann entweder von Oracle ein Global Unicast Address-(GUA-)Präfix der Größe /56 zugewiesen werden, oder Sie können ein VCN mit einem BYOIPv6-Präfix erstellen.

Die CIDR-Blöcke des VCN dürfen sich weder untereinander noch mit den CIDRs in Ihrem On-Premise-Netzwerk oder mit den CIDRs eines anderen VCN, mit dem eine Peering-Beziehung besteht, überschneiden. Die Subnetze in einem angegebenen VCN dürfen sich nicht gegenseitig überschneiden. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.

Die IPv6-Adressierung wird für alle kommerziellen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen.

Availability-Domains und VCN

Ihr VCN befindet sich in einer einzelnen Oracle Cloud Infrastructure-Region. Eine Region kann über mehrere Availability-Domains verfügen, um Isolation und Redundanz zu gewährleisten. Weitere Informationen finden Sie unter Regionen und Availability-Domains.

Ursprünglich waren Subnetze für die Abdeckung von nur einer Availability-Domain (AD) in einer Region konzipiert. Dabei handelte es sich ausschließlich um AD-spezifische Subnetze, weshalb die zugehörigen Ressourcen in einer bestimmten Availability-Domain gespeichert sein mussten. Jetzt können Subnetze AD-spezifisch oder regional sein. Sie wählen den Typ beim Erstellen des Subnetzes. Beide Arten von Subnetzen können in demselben VCN vorhanden sein. Im folgenden Diagramm sind die Subnetze 1-3 AD-spezifisch und Subnetz 4 regional.

Diese Abbildung zeigt ein VCN mit einem regionalen Subnetz und drei AD-spezifischen Subnetzen.

Abgesehen vom Entfernen des AD-Constraints verhalten sich regionale Subnetze genauso wie AD-spezifische Subnetze. Oracle empfiehlt die Verwendung von regionalen Subnetzen, da sie flexibler sind. Sie erleichtern die effiziente Aufteilung des VCN in Subnetze, während sie gleichzeitig vorbeugend für etwaige Availability-Domain-Ausfälle konzipiert sind.

Wenn Sie eine Ressource wie eine Compute-Instanz erstellen, wählen Sie aus, in welcher Availability-Domain sich die Ressource befindet. Vom Standpunkt des virtuellen Netzwerks aus müssen Sie auch wählen, in welchem VCN und Subnetz sich die Instanz befinden wird. Sie können entweder ein regionales Subnetz oder ein AD-spezifisches Subnetz auswählen, das der für die Instanz gewählten AD entspricht.

Standardkomponenten Ihres VCN

Ihr VCN umfasst automatisch die folgenden Standardkomponenten:

Standardroutentabelle ohne Routingregeln
Standardsicherheitsliste mit Standardsicherheitsregeln
Standardset von DHCP-Optionen mit Standardwerten

Diese Standardkomponenten können nicht gelöscht werden. Sie können den Inhalt jedoch ändern (z.B. die Regeln in der Standardsicherheitsliste). Außerdem können Sie Ihre eigenen benutzerdefinierten Versionen aller Komponente in Ihrem VCN erstellen. Die Anzahl der benutzerdefinierten Regeln und der Regeln insgesamt ist begrenzt. Weitere Informationen finden Sie unter Servicelimits.

Jedem Subnetz sind immer die folgenden Komponenten zugeordnet:

Eine Routentabelle
Eine oder mehrere Sicherheitslisten (die maximale Anzahl finden Sie unter Servicelimits)
Ein Set von DHCP-Optionen

Während der Erstellung eines Subnetzes können Sie auswählen, welche Routentabelle, Sicherheitsliste und welches Set von DHCP-Optionen das Subnetz verwendet. Wenn Sie keine bestimmte Komponente angeben, verwendet das Subnetz automatisch die Standardkomponente des VCN. Sie können jederzeit die vom Subnetz verwendeten Komponenten ändern.

Tipp

Sicherheitslisten sind eine Möglichkeit, den Traffic in die und aus den Ressourcen des VCN zu steuern. Sie können auch Netzwerksicherheitsgruppen verwenden, mit denen Sie ein Set von Sicherheitsregeln auf ein Set von Ressourcen anwenden können, die alle denselben Sicherheitsstatus aufweisen.

Konnektivitätsauswahl

Sie können bestimmen, ob Subnetze öffentlich oder privat sind und ob Instanzen öffentliche IP-Adressen abrufen. Sie können Ihr VCN so einrichten, dass Sie auf Wunsch auch Zugriff auf das Internet haben. Sie können Ihr VCN außerdem mit öffentlichen Oracle Cloud Infrastructure-Services, wie Object Storage, mit Ihrem On-Premise-Netzwerk oder einem anderen VCN verbinden.

Öffentliche und private Subnetze im Vergleich

Wenn Sie ein Subnetz erstellen, wird es standardmäßig als öffentlich betrachtet. Instanzen in diesem Subnetz können also öffentliche IPv4-Adressen haben, und die Internetkommunikation mit IPv6-Endpunkten ist zulässig. Die Person, die die Instanz startet, wählt aus, ob diese eine öffentliche IPv4-Adresse hat oder ob eine IPv6-Adresse aus dem zugewiesenen Präfix zugewiesen wird. Sie können dieses Verhalten beim Erstellen des Subnetzes außer Kraft setzen und anfordern, dass es privat ist. Hierdurch werden die Verwendung öffentlicher IPv4-Adressen und die Internetkommunikation mit IPv6-Endpunkten unzulässig. Netzwerkadministratoren können also sicherstellen, dass Instanzen im Subnetz keinen Internetzugriff haben, selbst wenn das VCN über ein funktionsfähiges Internetgateway verfügt, und Sicherheitsregeln und Firewallregeln den Traffic zulassen.

Zuweisung von IP-Adressen

Jede Instanz verfügt über eine primäre VNIC, die beim Starten der Instanz erstellt wird und nicht entfernt werden kann. Sie können sekundäre VNICs beliebig zu einer vorhandenen Instanz (in derselben Availability-Domain wie die primäre VNIC) hinzufügen und entfernen.

Jede VNIC verfügt über eine private IP-Adresse aus dem CIDR des zugehörigen Subnetzes. Sie können die jeweilige IP-Adresse (beim Starten der Instanz oder bei der Erstellung der sekundären VNIC) wählen, oder Oracle kann sie für Sie auswählen. Die private IP-Adresse ändert sich während der Gültigkeitsdauer der Instanz nicht und kann nicht entfernt werden. Sie können auch sekundäre private IPv4-Adressen oder sekundäre IPv6-Adressen zu einer VNIC hinzufügen.

Wenn die VNIC sich in einem öffentlichen Subnetz befindet, kann jeder privaten IP in dieser VNIC nach Wunsch eine öffentliche IPv4-Adresse oder IPv6-Adresse zugewiesen werden. Für IPv4 wählt Oracle die jeweilige IP-Adresse. Für IPv6 können Sie die IP-Adresse angeben. Es gibt zwei Arten von öffentlichen IPs: ephemer und reserviert. Eine ephemere öffentliche IP ist nur während der Gültigkeitsdauer der privaten IP vorhanden, der sie zugewiesen ist. Im Gegensatz dazu ist eine reservierte öffentliche IP so lange vorhanden, wie Sie es wünschen. Sie verwalten einen Pool reservierter öffentlicher IPs und weisen sie den Instanzen nach Bedarf zu. Sie können sie nach Bedarf zwischen den Ressourcen in einer Region verschieben.

Zugriff auf das Internet

Es gibt zwei optionale Gateways (virtuelle Router), die Sie je nach dem gewählten Internetzugriff zu Ihrer VCN hinzufügen können:

Internetgateway: Für Ressourcen mit öffentlichen IP-Adressen, die über das Internet erreichbar sein (Beispiel: ein Webserver) oder Verbindungen zum Internet initiieren müssen.
NAT-Gateway: Für Ressourcen ohne öffentliche IP-Adressen, die Verbindungen zum Internet initiieren (Beispiel: für Softwareupdates), jedoch vor eingehenden Verbindungen aus dem Internet geschützt werden müssen.

Nur mit einem Internetgateway allein werden die Instanzen in den Subnetzen des VCN nicht direkt für das Internet zugänglich gemacht. Folgende Anforderungen müssen ebenfalls erfüllt sein:

Das Internetgateway muss aktiviert sein (standardmäßig wird das Internetgateway beim Erstellen aktiviert).
Das Subnetz muss öffentlich sein.
Das Subnetz muss über eine Routingregel verfügen, die Traffic an das Internetgateway weiterleitet.
Das Subnetz muss Sicherheitslistenregeln aufweisen, die den Traffic zulassen (und die Firewall jeder Instanz muss den Traffic zulassen).
Die Instanz muss eine öffentliche IP-Adresse haben.

Tipp

Um vom VCN aus auf öffentliche Services wie Object Storage zuzugreifen, ohne den Traffic über das Internet zu leiten, verwenden Sie ein Servicegateway.

Beachten Sie außerdem, dass Traffic über ein Internetgateway zwischen einem VCN und einer öffentlichen IP-Adresse, die Teil von Oracle Cloud Infrastructure ist (wie Object Storage), weitergeleitet wird, ohne über das Internet gesendet zu werden.

Sie können auch einen indirekten Subnetzzugriff auf das Internet gewähren, indem Sie einen Internetproxy in Ihrem On-Premise-Netzwerk einrichten und dieses Netzwerk dann über ein DRG mit dem VCN verbinden. Weitere Informationen finden Sie unter Zugriff auf Ihr On-Premise-Netzwerk.

Zugriff auf öffentliche Oracle Cloud Infrastructure-Services

Sie können ein Servicegateway mit dem VCN verwenden, um privaten Zugriff auf öffentliche Oracle Cloud Infrastructure-Services wie Object Storage zu ermöglichen. Beispiel: DB-Systeme in einem privaten Subnetz im VCN können Daten in Object Storage sichern, ohne dass öffentliche IP-Adressen oder der Internetzugriff erforderlich sind. Es ist kein Internetgateway oder NAT erforderlich. Weitere Informationen finden Sie unter Zugriff auf Oracle Services: Servicegateway.

Zugriff auf Ihr On-Premise-Network

Es gibt zwei Möglichkeiten, um Ihr On-Premise-Netzwerk mit Oracle Cloud Infrastructure zu verbinden:

Site-to-Site-VPN: Bietet mehrere IPsec-Tunnel zwischen der Edge Ihres vorhandenen Netzwerks und dem VCN, und zwar über ein DRG, das Sie erstellen und Ihrem VCN anhängen.
Oracle Cloud Infrastructure FastConnect: Bietet eine private Verbindung zwischen der Edge Ihres vorhandenen Netzwerks und Oracle Cloud Infrastructure. Traffic wird nicht über das Internet geführt. Private Peering und Public Peering werden unterstützt. Das bedeutet, dass Ihre On-Premise-Hosts auf private IPv4- oder IPv6-Adressen im VCN sowie auf regionale öffentliche IPv4- oder IPv6-Adressen in Oracle Cloud Infrastructure zugreifen können (z.B. Object Storage oder öffentliche Load Balancer im VCN).

Sie können einen oder beide Typen der vorherigen Verbindungen verwenden. Wenn Sie beide verwenden, können Sie sie gleichzeitig oder in einer redundanten Konfiguration verwenden. Diese Verbindungen erreichen Ihr VCN über ein einzelnes DRG, das Sie erstellen und an Ihr VCN anhängen. Ohne diesen DRG-Anhang und eine Routingregel für DRG kann kein Traffic zwischen Ihrem VCN und On-Premise-Netzwerk fließen. Sie können das DRG jederzeit vom VCN trennen, aber alle übrigen Komponenten der Verbindung beibehalten. Sie können dann das DRG erneut anhängen oder an ein anderes VCN anhängen.

Zugriff auf ein anderes VCN

Sie können Ihr VCN über eine private Verbindung, für die kein Trafficfluss über das Internet erforderlich ist, mit einem anderen VCN verbinden. Im Allgemeinen wird dieser Verbindungstyp als VCN-Peering bezeichnet. Jedes VCN muss über bestimmte Komponenten verfügen, um das Peering zu aktivieren. Die VCNs müssen auch über bestimmte IAM-Policys, Routingregeln und Sicherheitsregeln verfügen, mit denen die Verbindung hergestellt werden und der gewünschte Netzwerktraffic über die Verbindung fließen kann. Weitere Informationen finden Sie unter Zugriff auf andere VCNs: Peering.

Verbindung zu Oracle Cloud Infrastructure Classic

Sie können eine Verbindung zwischen Ihrer Oracle Cloud Infrastructure-Umgebung und der Oracle Cloud Infrastructure Classic-Umgebung einrichten. Diese Verbindung kann hybride Deployments zwischen den beiden Umgebungen oder die Migration von Oracle Cloud Infrastructure Classic zu Oracle Cloud Infrastructure vereinfachen. Weitere Informationen finden Sie unter Zugriff auf Oracle Cloud Infrastructure Classic.

Verbindung zu Microsoft Azure

Oracle und Microsoft haben in bestimmten Regionen eine cloud-übergreifende Verbindung zwischen Oracle Cloud Infrastructure und Microsoft Azure erstellt. Mit dieser Verbindung können Sie cloud-übergreifende Workloads einrichten, ohne dass der Traffic zwischen den Clouds über das Internet geleitet wird. Weitere Informationen finden Sie unter Zugriff auf Microsoft Azure.

Verbindung zu anderen Clouds mit Libreswan

Sie können Ihr VCN mit einem anderen Cloud-Provider verbinden, indem Sie Site-to-Site-VPN mit einer Libreswan-VM als Customer Premises Equipment (CPE) verwenden. Weitere Informationen finden Sie unter Auf andere Clouds mit Libreswan zugreifen.

Netzwerkszenarios

Diese Dokumentation enthält einige grundlegende Networking-Szenarios, mit denen Sie den Networking-Service und generell die Zusammenarbeit der Komponenten verstehen können. Weitere Informationen finden Sie in diesen Themen:

Transitrouting

Die Szenarios A bis C zeigen Ihr On-Premise-Netzwerk, das über ein DRG und FastConnect oder Site-to-Site-VPN mit mindestens einem VCN verbunden ist, und nur auf die Ressourcen in diesen VCNs zugreift.

Die folgenden erweiterten Routingszenarios bieten Ihrem On-Premise-Netzwerk Zugriff über die Ressourcen im verbundenen VCN hinaus. Traffic wird von Ihrem On-Premise-Netzwerk zum DRG und anschließend durch das DRG an das Ziel geleitet. Weitere Informationen finden Sie in diesen Themen:

Transitrouting in einem Hub-VCN: Ihr On-Premise-Netzwerk hat Zugriff auf mehrere-VCNs in derselben Region über einen einzelnen privaten FastConnect-Virtual Circuit oder über Site-to-Site-VPN. Das DRG und die angehängten VCNs basieren auf einer Hub-and-Spoke-Topologie, wobei das On-Premise-Netzwerk mit dem DRG verbunden ist, das als Hub fungiert. Die Spoke-VCNs sind per Peering verbunden.
Privater Zugriff auf Oracle-Services: Ihr On-Premise-Netzwerk hat privaten Zugriff auf Oracle-Services in einem Oracle Services Network über das verbundene VCN und das Servicegateway des VCN. Der Traffic wird nicht über das Internet geführt.

Regionen und Availability-Domains

Ihr VCN befindet sich in einer einzelnen Oracle Cloud Infrastructure-Region. Jedes Subnetz befindet sich in einer einzelnen Availability-Domain (AD). Verfügbarkeitsdomains sind für die Bereitstellung von Isolation und Redundanz in Ihrem VCN konzipiert, wie in Szenario B und Szenario C beschrieben. Beispielsweise können Sie das primäre Set von Subnetzen in einer einzelnen AD einrichten und dann ein dupliziertes Set von Subnetzen in einer sekundären AD einrichten. Die beiden ADs werden in den Oracle-Data Centern voneinander isoliert. Wenn also ein Fehler auftritt, können Sie einfach zu der anderen AD wechseln. Weitere Informationen finden Sie unter Regionen und Availability-Domains.

Öffentliche IP-Adressbereiche

Eine Liste der öffentlichen IP-Bereiche von Oracle Cloud Infrastructure finden Sie unter IP-Adressbereiche.

Für die Verwendung durch Oracle reservierte IP-Adressen

Bestimmte IP-Adressen sind für die Verwendung mit Oracle Cloud Infrastructure reserviert und können nicht in Ihrem Adressnummerierungsschema verwendet werden.

169.254.0.0/16

Diese Adressen werden für iSCSI-Verbindungen zu Boot- und Block-Volumes, Instanzmetadaten und anderen Services verwendet.

Klasse D und Klasse E

Alle Adressen von 224.0.0.0 bis 239.255.255.255 (Klasse D) sind für die Verwendung in einem VCN nicht zulässig. Sie sind für Multicast-Adresszuweisungen in den IP-Standards reserviert. Weitere Informationen finden Sie unter RFC 3171.

Alle Adressen von 240.0.0.0 bis 255.255.255.255 (Klasse E) sind für die Verwendung in einem VCN nicht zulässig. Sie sind für eine zukünftige Verwendung in den IP-Standards reserviert. Weitere Informationen finden Sie unter RFC 1112, Abschnitt 4.

Drei IP-Adressen in jedem Subnetz

Diese Adressen bestehen aus:

Der ersten IP-Adresse im CIDR (die Netzwerkadresse)
Der letzten IP-Adresse im CIDR (die Broadcast-Adresse)
Der ersten Hostadresse im CIDR (die Standardgatewayadresse des Subnetzes)

Beispiel: In einem Subnetz mit CIDR 192.168.0.0/24 sind die folgenden Adressen reserviert:

192.168.0.0 (die Netzwerkadresse)
192.168.0.255 (die Broadcast-Adresse)
192.168.0.1 (die Standardgatewayadresse des Subnetzes)

Die verbleibenden Adressen im CIDR (192.168.0.2 bis 192.168.0.254) stehen zur Verwendung zur Verfügung.

Automatisierung mit Events erstellen

Sie können eine Automatisierung basierend auf Statusänderungen für Ihre Oracle Cloud Infrastructure-Ressourcen erstellen, indem Sie Ereignistypen, Regeln und Aktionen verwenden. Weitere Informationen finden Sie unter Überblick über Events.

Ressourcen-IDs

Die meisten Typen von Oracle Cloud Infrastructure-Ressourcen besitzen eine eindeutige, von Oracle zugewiesene ID, die als Oracle Cloud-ID (OCID) bezeichnet wird. Informationen zum OCID-Format und zu anderen Möglichkeiten zur Identifizierung der Ressourcen finden Sie unter Ressourcen-IDs.

Möglichkeiten für den Zugriff auf Oracle Cloud Infrastructure

Auf Oracle Cloud Infrastructure (OCI) können Sie über die Konsole (eine browserbasierte Schnittstelle), die REST-API oder die OCI-CLI zugreifen. Anweisungen zur Verwendung der Konsole, der API und der Befehlszeilenschnittstelle (CLI) sind in verschiedenen Themen in dieser Dokumentation enthalten. Eine Liste der verfügbaren SDKs finden Sie unter Software Development Kits und Befehlszeilenschnittstelle (CLI).

Um auf die Konsole zuzugreifen, müssen Sie einen unterstützten Browser verwenden. Um zur Anmeldeseite der Konsole zu wechseln, öffnen Sie das Navigationsmenü oben auf dieser Seite, und klicken Sie auf Infrastructure-Konsole. Dort werden Sie aufgefordert, Ihren Cloud-Mandanten, Benutzernamen und Ihr Kennwort einzugeben.

Allgemeine Informationen zur Verwendung der API finden Sie unter REST-APIs.

Authentifizierung und Autorisierung

Jeder Service in Oracle Cloud Infrastructure lässt sich mit IAM zur Authentifizierung und Autorisierung für alle Schnittstellen (Konsole, SDK oder CLI und REST-API) integrieren.

Ein Administrator in Ihrer Organisation muss Gruppen , Compartments und Policys einrichten, die den Zugriffstyp sowie den Zugriff der Benutzer auf Services und Ressourcen steuern. Beispiel: Die Policys steuern, wer Benutzer erstellen, das Cloud-Netzwerk erstellen und verwalten, Instanzen starten, Buckets erstellen, Objekte herunterladen kann usw. Weitere Informationen finden Sie unter Erste Schritte mit Policys. Einzelheiten zum Schreiben von Policys für die einzelnen Services finden Sie in der Policy-Referenz.

Wenn Sie ein regulärer Benutzer (kein Administrator) sind und die Oracle Cloud Infrastructure-Ressourcen verwenden müssen, deren Eigentümer Ihr Unternehmen ist, bitten Sie den Administrator, eine Benutzer-ID für Sie einzurichten. Der Administrator kann bestätigen, welche Compartments Sie verwenden sollen.

IAM-Policys für Networking

Die einfachste Methode zum Erteilen des Zugriffs auf das Netzwerk ist die Policy, die unter Verwalten eines Cloud-Netzwerks durch Netzwerkadministratoren zulassen aufgeführt wird. Sie deckt das Cloud-Netzwerk und alle anderen Netzwerkkomponenten (Subnetze, Sicherheitslisten, Routentabellen, Gateways usw.) ab. Weitere Informationen dazu, wie Netzwerkadministratoren Instanzen starten können (um die Netzwerkkonnektivität zu testen), finden Sie unter Starten von Compute-Instanzen durch Benutzer zulassen.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys.

Referenzmaterial für das Schreiben detaillierter Policys zu Networking finden Sie unter Details zu den Coreservices.

Einzelne Ressourcentypen

Sie können Policys schreiben, die sich auf einzelne Ressourcentypen konzentrieren (z.B. nur Sicherheitslisten) und nicht auf den umfassenderen Ressourcentyp virtual-network-family. Der Ressourcentyp instance-family enthält auch mehrere Berechtigungen für VNICs, die sich in einem Subnetz befinden, aber an eine Instanz angehängt sind. Weitere Informationen finden Sie unter Details für Kombinationen aus Verb + Ressourcentyp und Virtuelle Netzwerkkarten (VNICs).

Der Ressourcentyp local-peering-gateways ist in virtual-network-family enthalten und enthält zwei weitere zum lokalen VCN-Peering (innerhalb der Region) zugehörige Ressourcentypen:

local-peering-from
local-peering-to

Der Ressourcentyp local-peering-gateways deckt alle zu lokalen Peering-Gateways (LPGs) zugehörigen Berechtigungen ab. Die Ressourcentypen local-peering-from und local-peering-to dienen dazu, die Berechtigung zum Verbinden von zwei LPGs zu erteilen und eine Peering-Beziehung innerhalb einer einzelnen Region zu definieren. Weitere Informationen finden Sie unter Lokales Peering mit einem LPG (VCNs im selben Mandanten) oder Lokales Peering mit einem LPG (VCNs in verschiedenen Mandanten).

Außerdem ist der Ressourcentyp remote-peering-connections in virtual-network-family enthalten und enthält zwei weitere zu lokalen VCN-Peering (regionsübergreifend) zugehörigen Ressourcentypen:

remote-peering-from
remote-peering-to

Der Ressourcentyp remote-peering-connections deckt alle zu Remote-Peering-Verbindungen (RPCs) zugehörigen Berechtigungen ab. Die Ressourcentypen remote-peering-from und remote-peering-to dienen zum Erteilen der Berechtigung zum Verbinden von zwei RPCs und zum Definieren einer über Regionen hinweg. Weitere Informationen finden Sie unter Remote-Peering mit einem Legacy-DRG und Remote-Peering mit einem upgegradeten DRG.

Nuancen verschiedener Verben

Wenn Sie möchten, können Sie Policys schreiben, die den Zugriff eingeschränkt haben, indem Sie ein anderes Policy-Verb (manage gegenüber use usw.) verwenden. In diesem Fall müssen Sie sich mit einigen Nuancen der Policy-Verben für Networking vertraut machen.

Beachten Sie, dass das Verb inspect nicht nur allgemeine Informationen zu den Komponenten des Cloud-Netzwerks zurückgibt (Beispiel: Name und OCID einer Sicherheitsliste oder einer Routentabelle). Es enthält außerdem den Inhalt der Komponente (Beispiel: die eigentlichen Regeln in der Sicherheitsliste, die Routen in der Routentabelle usw.).

Außerdem sind die folgenden Arten von Fähigkeiten nur mit dem Verb manage und nicht mit dem Verb use verfügbar:

internet-gateways aktualisieren (aktivieren/deaktivieren)
security-lists aktualisieren
route-tables aktualisieren
dhcp-options aktualisieren
Ein dynamisches Routinggateway (DRG) an ein virtuelles Cloud-Netzwerk (VCN) anhängen
Eine IPSec-Verbindung zwischen einem DRG und Customer Premises Equipment (CPE) erstellen
Peer-VCNs

Wichtig

Jedes VCN verfügt über verschiedene Komponenten, die sich direkt auf das Verhalten des Netzwerks auswirken (Routentabellen, Sicherheitslisten, DHCP-Optionen, Internetgateway usw.). Wenn Sie eine dieser Komponenten erstellen, legen Sie eine Beziehung zwischen dieser Komponente und dem VCN fest. Dies bedeutet, dass eine Policy Sie berechtigen muss, sowohl die Komponente zu erstellen als auch das VCN selbst zu verwalten. Die Möglichkeit, diese Komponente zu aktualisieren (um die Routingregeln, Sicherheitslistenregeln usw. zu ändern) erfordert jedoch NICHT die Berechtigung zur Verwaltung des VCN selbst, selbst wenn sich die Änderung dieser Komponente direkt auf das Verhalten des Netzwerks auswirkt. Diese Diskrepanz bietet Ihnen Flexibilität, Benutzern die geringstmöglichen Berechtigungen zu erteilen, ohne ihnen übermäßigen Zugriff auf das VCN zu gewähren, nur damit sie andere Komponenten des Netzwerks verwalten können. Beachten Sie, dass wenn Sie jemandem die Möglichkeit geben, einen bestimmten Komponententyp zu aktualisieren, Sie dieser Person implizit vertrauen, das Verhalten des Netzwerks zu steuern.

Weitere Informationen zu Policy-Verben finden Sie unter Policy-Grundlagen.

Peering-Policys

Policys, die beim Verbinden eines DRG mit VCNs und DRGs in anderen Regionen und Mandanten verwendet werden, finden Sie unter IAM-Policys für das Routing zwischen VCNs.

Limits für die Netzwerkkomponenten

In den Servicelimits finden Sie eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie Sie eine Erhöhung beantragen.

Oracle Cloud Infrastructure - Dokumentation