Visão Geral de VCNs e Sub-redes
Saiba mais sobre redes virtuais na nuvem (VCNs) e sub-redes no OCI.
Este tópico descreve VCNs (redes virtuais na nuvem ) e as sub-redes contidas nelas. Este tópico usa os termos rede virtual na nuvem, VCN e rede na nuvem sem distinção. A Console usa o termo Rede Virtual na Nuvem, enquanto a API usa VCN para fins de simplificação.
Uma VCN é uma rede definida por software que você configura nos data centers do Oracle Cloud Infrastructure em determinada região. Uma sub-rede é uma subdivisão de uma VCN. Para obter uma visão geral de VCNs, tamanho permitido, componentes padrão da VCN e cenários para utilização de uma VCN, consulte Visão Geral do Serviço Networking.
Uma VCN pode ter vários blocos CIDR IPv4 não sobrepostos que você pode alterar após a criação da VCN. Independentemente do número de blocos CIDR, o número máximo de IPs privados que você pode criar na VCN é 64.000. Uma VCN pode ser ativada opcionalmente para IPv6 e a Oracle alocará um prefixo /56. Você também pode importar um prefixo IPv6 BYOIP e designá-lo a uma VCN existente ou criar uma nova VCN com um prefixo IPv6 BYOIP ou ULA.
Você pode conectar uma VCN com outra VCN de forma privada para que o tráfego não passe pela internet. Os CIDRs das duas VCNs não devem ter sobreposição. Para obter mais informações, consulte Acesso a Outras VCNs: Pareamento. Para obter um exemplo de cenário de roteamento avançado que envolve o pareamento de várias VCNs, consulte Roteamento de Trânsito dentro de uma VCN hub.
Cada sub-rede em uma VCN consiste em uma faixa contígua de endereços IPv4 e, opcionalmente, IPv6 que não se sobrepõem a outras sub-redes da VCN. Exemplo: 172.16.1.0/24. Com endereços IPv4 e endereços IPv6, os dois primeiros endereços e o último no CIDR da sub-rede são reservados pelo serviço Networking. Você pode alterar o tamanho da sub-rede após a criação. As sub-redes ativadas para IPv6 sempre serão /64.
As sub-redes atuam como uma unidade de configuração: todas as instâncias de uma sub-rede usam a mesma tabela de roteamento, as mesmas listas de segurança e as mesmas opções de DHCP. Para obter mais informações, consulte Componentes Padrão Que Vêm com a Sua VCN.
As sub-redes podem ser públicas ou privadas (consulte Sub-redes Públicas e Privadas). A opção pública ou privada acontece durante a criação da sub-rede e você não pode alterá-la posteriormente.
Você pode considerar que cada instância de computação reside em uma sub-rede. Mas, para ser preciso, cada instância é anexada a uma placa de interface de rede virtual (VNIC), que, por sua vez, reside na sub-rede e permite uma conexão de rede para essa instância.
Há suporte para o endereçamento IPv6 em todas as regiões comerciais e do setor governamental. Para obter mais informações, consulte Endereços IPv6.
Sobre Sub-redes Regionais
Originalmente, as sub-redes foram projetadas para abranger somente um domínio de disponibilidade (AD) em uma região. Elas eram todas específicas do AD. Isso significa que os recursos da sub-rede precisavam residir em determinado domínio de disponibilidade. Agora as sub-redes podem ser específicas ou regionais do AD. Você escolhe o tipo ao criar a sub-rede. Ambos os tipos de sub-redes podem coexistir na mesma VCN. No diagrama a seguir, as sub-redes 1-3 são específicas do AD, e a sub-rede 4 é regional.
As sub-redes regionais se comportam da mesma forma que as sub-redes específicas do AD. A diferença é a remoção da restrição do AD. A Oracle recomenda o uso de sub-redes regionais porque elas são mais flexíveis. Elas facilitam a divisão eficiente da sua VCN em sub-redes, prevendo falhas no domínio de disponibilidade.
Ao criar um recurso, como uma instância de computação, você escolhe em qual domínio de disponibilidade o recurso estará. De um ponto de vista de rede virtual, você também deve escolher em qual VCN e em qual sub-rede a instância deverá ficar. Você pode escolher uma sub-rede regional ou uma sub-rede específica do AD que corresponda ao AD selecionado para a instância.
Se qualquer pessoa da sua organização implementar uma sub-rede regional, lembre-se de que você pode precisar atualizar algum código do cliente que funciona com sub-redes e IPs privados do serviço Networking. Há possíveis alterações interruptivas na API. Para obter mais informações, consulte a nota da release sobre sub-rede regional.
| Recurso | Escopo | Oracle Universal Credits | Sem Assinatura (Pay as You Go) ou Avaliação |
|---|---|---|---|
| VCN | Região | 50 | 10 |
| Sub-redes | VCN | 300 | 300 |
| CIDRs IPv4 | VCN | 5 | 5 |
| Prefixos IPv6 | VCN | 5 | 5 |
| CIDRs IPv4 | Sub-rede | 1 | 1 |
| Prefixos IPv6 | Sub-rede | 3* | 3* |
| Prefixo IPv6 alocado pela Oracle | Sub-rede | 1 | 1 |
| * O limite para este recurso pode ser aumentado para um máximo de cinco. | |||
Como Trabalhar com VCNs e Sub-redes
Uma das primeiras coisas que você faz ao trabalhar com os recursos do Oracle Cloud Infrastructure é criar uma VCN com uma ou mais sub-redes. Você pode começar facilmente na Console com uma VCN simples e com alguns recursos relacionados que permitem iniciar uma instância e estabelecer conexão com ela. Consulte Tutorial - Iniciando a Sua Primeira Instância do Linux ou Tutorial - Iniciando a Sua Primeira Instância do Windows.
Para fins de controle de acesso, ao criar uma VCN ou uma sub-rede, você deve especificar o compartimento onde deseja que o recurso resida. Consulte um administrador na sua organização se não tiver certeza de qual compartimento usar.
Opcionalmente, você pode designar nomes descritivos à VCN e às sub-redes dela. Os nomes não precisam ser exclusivos, e você pode alterá-los posteriormente. O Oracle designa automaticamente a cada recurso um identificador exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte: Identificadores de Recurso.
Você também pode adicionar um label DNS para a VCN e para cada sub-rede. Esses labels serão necessários se você quiser que as instâncias usem a funcionalidade Resolvedor de Internet e VCN para DNS na VCN. Para obter mais informações, consulte DNS na Sua Rede Virtual na Nuvem.
Ao criar uma sub-rede, você pode especificar opcionalmente uma tabela de roteamento a ser utilizada pela sub-rede. Se você não fizer isso, a sub-rede usará a tabela de roteamento padrão da rede na nuvem. Você pode alterar qual tabela de roteamento será usada pela sub-rede a qualquer momento.
Além disso, você pode especificar uma ou mais listas de segurança a serem utilizadas pela sub-rede (até cinco). Se você não especificar uma lista, a sub-rede usará a lista de segurança padrão da rede na nuvem. Você pode alterar qual lista de segurança a sub-rede usará a qualquer momento. Lembre-se de que as regras de segurança são impostas no nível da instância, mesmo que a lista esteja associada no nível da sub-rede. Grupos de segurança de rede são uma alternativa às listas de segurança e permitem que você aplique um conjunto de regras de segurança a um conjunto de recursos em que todos têm a mesma postura de segurança, em vez de aplicar o conjunto de regras a todos os recursos de uma sub-rede específica.
Opcionalmente, você pode especificar um conjunto de opções de DHCP que será utilizado pela sub-rede. Todas as instâncias da sub-rede recebem a configuração especificada nesse conjunto de opções de DHCP. Se você não especificar um conjunto, a sub-rede usará o conjunto de opções de DHCP padrão da rede na nuvem. Você pode alterar o conjunto de opções de DHCP que a sub-rede utiliza a qualquer momento.
Para excluir uma sub-rede, ela não deverá conter recurso algum (instâncias, balanceadores de carga, sistemas de banco de dados do OCI e pontos de acesso NFS órfãos). Para obter mais detalhes, consulte Exclusão de Sub-rede ou VCN.
Para que seja possível excluir uma VCN, as sub-redes dessa VCN não devem conter recursos. Além disso, a VCN não deve ter gateways anexados. Se você estiver usando a Console, há um processo "Excluir Tudo" que você pode usar após primeiro se assegurar de que as sub-redes estejam vazias. Consulte Excluindo uma VCN.
Consulte Limites do Serviço para ver uma lista de limites e instruções aplicáveis para solicitar um aumento de limite.
Política do IAM Obrigatória
Para usar o Oracle Cloud Infrastructure, você deve receber acesso de segurança em uma política por um administrador. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Caso receba uma mensagem de que você não tem permissão ou de que não está autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento deve trabalhar.
Para administradores: consulte Políticas do IAM para Rede.
Zonas de Segurança
As Zonas de Segurança garantem que seus recursos de nuvem estejam de acordo com os princípios de segurança do sistema Oracle. Se qualquer operação de um recurso em um compartimento de zona de segurança violar uma política para essa zona de segurança, a operação será negada.
As seguintes políticas de zona de segurança afetam sua capacidade de gerenciar VCNs e sub-redes:
- As sub-redes em uma zona de segurança não podem ser públicas. Todas as sub-redes devem ser privadas.
- Você não pode mover uma sub-rede de uma zona de segurança para um compartimento padrão.