Tabelas de Roteamento de VCN
Este tópico descreve como gerenciar as tabelas de roteamento em uma rede virtual na nuvem (VCN). Para obter mais informações sobre tabelas de roteamento em um Gateway de Roteamento Dinâmico (DRG), consulte Gateways de Roteamento Dinâmico.
Visão Geral do Roteamento da Sua VCN
A sua VCN usa tabelas de roteamento para enviar o tráfego da VCN (por exemplo, para a internet, para a sua rede on-premises ou para uma VCN pareada). Essas tabelas de roteamento têm regras que se comportam e agem como regras tradicionais de roteamento de rede com as quais você já pode estar familiarizado. Cada regra especifica um bloco CIDR de destino e o alvo (o próximo salto) para qualquer tráfego que corresponda a esse CIDR.
Informações básicas sobre roteamento na sua VCN:
- O cenário de roteamento principal é para enviar o tráfego de uma sub-rede para destinos fora da sub-rede. Uma sub-rede tem uma única tabela de roteamento da sua escolha associada a ela. Todas as VNICs dessa sub-rede estão sujeitas às regras na tabela de roteamento. As regras controlam como o tráfego de saída da sub-rede é roteado.
- O roteamento local da VCN controla automaticamente o tráfego nas sub-redes da VCN. O roteamento local não exige a definição de regras de roteamento para ativar o tráfego.
- Você também pode usar o roteamento intra-VCN para especificar um IP privado de próximo hop, LPG ou DRG dentro de uma VCN para tráfego destinado a outra sub-rede na VCN. O roteamento intra-VCN permite casos de uso mais complexos de segurança e virtualização de rede. O OCI também suporta roteamento intra-VCN para tráfego que entra em uma VCN por meio de um gateway, além do tráfego entre sub-redes.
- Se uma tabela de roteamento tiver regras que se sobrepõem, o sistema Oracle usará a regra mais específica na tabela para rotear o tráfego (ou seja, a regra com a correspondência de prefixo mais longa). Dois CIDRs são considerados sobrepostos quando um CIDR está contido no outro. As tabelas de roteamento da VCN contêm entradas para as rotas locais da VCN. Se você criar uma rota estática para o bloco CIDR da VCN (com o mesmo tamanho de prefixo da rota local da VCN), a rota estática terá precedência.
- Se nenhuma regra de roteamento corresponder ao tráfego de rede que você pretende rotear para fora da VCN, o tráfego será eliminado (bloqueado por blackholing).
- Há suporte para o endereçamento IPv6 em todas as regiões comerciais e do setor governamental. Para obter mais informações, consulte Endereços IPv6.
Para obter detalhes importantes sobre o roteamento entre a sua VCN e a rede local, consulte Detalhes de Roteamento para Conexões com a Sua Rede Local.
Como Trabalhar com Tabelas de Roteamento e Regras de Roteamento
Cada VCN vem automaticamente com uma tabela de roteamento padrão que tem regras implícitas que incluem as rotas dos CIDRs da VCN. Se você não especificar outra definição, todas as sub-redes usarão a tabela de roteamento padrão da VCN. Ao adicionar regras de roteamento à sua VCN, você pode simplesmente adicioná-las à tabela padrão. No entanto, você poderá criar tabelas de roteamento personalizadas para cada sub-rede, se necessário. Por exemplo, quando você tiver uma sub-rede pública e uma sub-rede privada na sua VCN (para obter um exemplo, consulte Cenário C: Sub-redes Pública e Privada com uma VPN), será necessário usar diferentes tabelas de roteamento para as sub-redes porque as regras de roteamento para as sub-redes precisam ser diferentes.
Cada sub-rede em uma VCN usa uma única tabela de roteamento. Ao criar a sub-rede, você especifica qual tabela usar. Você pode alterar qual tabela de roteamento será usada pela sub-rede a qualquer momento. Você também pode editar as regras de uma tabela de roteamento ou remover todas as regras da tabela.
Você pode designar um nome descritivo a uma tabela de roteamento personalizada durante a criação. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. O sistema Oracle designa automaticamente um identificador exclusivo chamado OCID (Oracle Cloud ID) à tabela de roteamento. Para obter mais informações, consulte: Identificadores de Recurso.
Uma regra de roteamento especifica um bloco CIDR de destino e o alvo (o próximo salto) para qualquer tráfego que corresponda a esse CIDR. Estes são os tipos de destinos permitidos para uma regra de roteamento:
- Gateway de Roteamento Dinâmico (DRG): Para sub-redes que precisam de acesso privado a redes conectadas à sua VCN (por exemplo, sua rede on-premises conectada a uma VPN Site a Site ou FastConnect, uma VCN pareada na mesma região ou uma VCN pareada em outra região).
- Gateway de internet: Para sub-redes públicas que precisam de acesso direto à internet.
- gateway NAT: para sub-redes com instâncias que não têm endereços IP públicos, mas precisam de acesso de saída à internet.
- Gateway de serviço: Para sub-redes que precisam de acesso privado aos serviços Oracle, como o Object Storage.
- LPG (Local Peering Gateway): Para sub-redes que precisam de acesso privado a uma VCN pareada na mesma região.
- IP privado: Para sub-redes que precisam rotear o tráfego para uma instância na VCN. Para obter mais informações, consulte Usando um IP Privado como um Alvo da Rota. Consulte também Visão Geral do Roteamento da Sua VCN
Você não pode excluir um recurso específico quando ele é o destino de uma regra de roteamento. Por exemplo, você não pode excluir um gateway de internet que tem tráfego roteado para ele. Exclua todas as regras (em todas as tabelas de roteamento) com esse gateway de internet como destino antes de tentar excluir o gateway ou outro recurso.
Ao adicionar uma regra de roteamento a uma tabela de roteamento, você fornece CIDR de destino e o alvo (mais o compartimento no qual o alvo reside). Exceção: se o alvo for um gateway de serviço, em vez de um bloco CIDR de destino, você especifica uma string fornecida pelo sistema Oracle que representa os pontos finais públicos para o serviço de interesse. Dessa forma, você não precisa conhecer todos os blocos de CIDR do serviço, que podem mudar com o passar do tempo.
Se você configurar incorretamente uma regra (por exemplo, se inserir o bloco CIDR de destino incorreto), o tráfego de rede que você pretende rotear poderá ser eliminado (bloqueado por blackholing) ou enviado para um destino não intencional.
Você pode mover tabelas de roteamento de um compartimento para outro. Mover uma tabela de roteamento não afeta a anexação dessa tabela com VCNs ou sub-redes. Quando você move uma tabela de roteamento para um novo compartimento, as políticas inerentes são aplicadas imediatamente e afetam o acesso à tabela de roteamento. Para obter mais informações, consulte Controle de Acesso.
Você não pode excluir uma tabela de roteamento padrão de uma VCN. Para excluir uma tabela de roteamento personalizada, ela não deve estar associada a uma sub-rede ou a um gateway, como DRG, LPG, IGW, NGW ou SGW.
Consulte Limites do Serviço para obter uma lista dos limites e instruções aplicáveis para solicitar um aumento de limite.
Roteamento Intra-VCN
O roteamento intra-VCN permite substituir as decisões de roteamento padrão aplicadas ao tráfego destinado a endereços IP contidos no bloco CIDR da VCN. O roteamento intra-VCN tem os seguintes recursos:
- Rotas padrão: Cada tabela de roteamento da VCN tem uma rota local implícita para o CIDR da VCN. Ela é usada no roteamento direto local para destinos na VCN. Junto com rotas personalizadas na tabela de roteamento, essa rota local implícita é usada na seleção de melhor rota.
- Rotas intra-VCN personalizadas: Regras de roteamento criadas na tabela de roteamento para tráfego intra-VCN. Todas as rotas personalizadas têm um destino (DRG, LPG, IP privado na VCN) e um tipo de rota estático.
- Seleção de Rota: A correspondência de prefixo mais longa (ou rota mais específica) é selecionada. Se houver várias rotas para o mesmo prefixo, a melhor rota será selecionada com base na seguinte prioridade de tipo de rota:
- Estático (definido pelo usuário)
- Rotas locais implícitas (criadas automaticamente pelo OCI)
- IPv6: O OCI suporta roteamento intra-VCN para prefixos de VCN IPv6.
Não há suporte para roteamento dentro da mesma sub-rede. O tráfego com um endereço IP de destino na mesma sub-rede que a VNIC de origem é encaminhado (não roteado) diretamente para o destino apropriado.
Roteamento de Entrada do Gateway
- Gateway de Pareamento Local (LPG)
- Gateways de Roteamento Dinâmico
- Gateways de Internet
- Gateways NAT
- Gateways de Serviço
Se você associar uma tabela de roteamento a um desses gateways, posteriormente o gateway sempre deverá ter uma tabela de roteamento associada. As regras da tabela de roteamento associada podem ser modificadas ou removidas. Para um gateway de internet, o destino deve estar em uma sub-rede pública.
Uso de Roteamento Intra-VCN
- Crie regras de roteamento estático na tabela de roteamento do IGW que especifiquem um próximo hop de 10.0.1.4 (um firewall) para tráfego de entrada.
- Crie tabelas de roteamento para as sub-redes A, B e C. O tráfego da internet para a sub-rede B e C deve passar pelo appliance de firewall em 10.0.1.4 na sub-rede A. O tráfego entre a sub-rede B e C deve passar pelo mesmo firewall.
A imagem a seguir mostra um exemplo de roteamento interno:
| Destino | Alvo | Tipo de Rota |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Estático |
| Destino | Alvo | Tipo de Rota |
|---|---|---|
| 0.0.0.0/0 | IGW | Estático |
| Destino | Alvo | Tipo de Rota |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Estático |
| 0.0.0.0/0 | 10.0.1.4 | Estático |
| Destino | Alvo | Tipo de Rota |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Estático |
| 0.0.0.0/0 | 10.0.1.4 | Estático |
Política do IAM Obrigatória
Para usar o Oracle Cloud Infrastructure, você deve receber acesso de segurança em uma política por um administrador. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Caso receba uma mensagem de que você não tem permissão ou de que não está autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento deve trabalhar.
Para administradores: consulte Políticas do IAM para Rede.
Esta seção é específica para limites de tabelas de roteamento da VCN. Os limites da tabela de roteamento do DRG são fornecidos na seção Limites da Tabela de Roteamento do DRG.
| Recurso | Escopo | Oracle Universal Credits | Sem Assinatura (Pay as You Go) ou Avaliação |
|---|---|---|---|
| Tabelas de Roteamento da VCN | VCN | 300 | 300 |
| Regras de roteamento | Tabela de Roteamento da VCN | 200 | 200 |
Usando um IP Privado como um Alvo da Rota
Se você não estiver familiarizado com a definição de um IP privado, consulte Endereços IP Privados. Resumindo: um IP privado é um objeto que contém um endereço IP privado e propriedades relacionadas e tem seu próprio OCID.
Casos de Uso Geral
O OCI usa uma tabela de roteamento da sub-rede em questão para rotear o tráfego para um endereço IP de destino que está fora da sub-rede. Se o destino estiver fora da VCN, normalmente você vai configurar uma regra de roteamento para rotear o tráfego para um gateway na VCN (por exemplo, um DRG conectado à sua rede on-premises ou outra VCN ou um gateway de Internet conectado à Internet). Se o destino estiver em outra sub-rede da mesma VCN, por padrão, o tráfego será roteado usando a rota local para o CIDR da VCN. No entanto, pode ser necessário primeiro rotear esse tráfego por meio de uma instância na VCN. Nesse caso, você pode usar um IP privado na VCN como destino, em vez de um gateway na VCN. Estão são alguns motivos pelos quais você pode fazer isso:
- Para implementar um appliance de rede virtual (NVA), como um firewall ou uma detecção de intrusão que filtra o tráfego de saída das instâncias.
- Para gerenciar uma rede de overlay na VCN, que permite executar cargas de trabalho de orquestração de contêiner.
- Para implementar a NAT (Network Address Translation) na VCN. Observe que em vez disso, a Oracle recomenda o uso de um gateway NAT com a sua VCN. Em geral, a NAT permite que instâncias sem conectividade direta com a internet tenham acesso de saída para a internet.
Para implementar esses casos de uso, há mais do que simplesmente rotear o tráfego para a instância. Há também a configuração necessária na própria instância.
Você pode ativar a alta disponibilidade do alvo da rota IP privada usando um endereço IP privado secundário. No caso de falha, você pode mover o IP privado secundário de uma VNIC existente para outra VNIC na mesma sub-rede. Consulte Movendo um Endereço IP Privado Secundário para uma VNIC Diferente ( instruções da Console) e UpdatePrivateIp ( instruções da API).
Requisitos para Utilizar um IP Privado como Destino
- O IP privado deve estar na mesma VCN que a tabela de roteamento.
- A VNIC do IP privado deve ser configurada para ignorar a verificação de origem/destino, de forma que a VNIC possa encaminhar o tráfego. Por padrão, as VNICs são configuradas para executar a verificação. Para obter mais informações, consulte Visão Geral de VNICs e NICs Físicas.
- Você deverá configurar a própria instância para encaminhar pacotes.
-
A regra de roteamento deve especificar o OCID do IP privado como alvo, e não o endereço IP propriamente dito. Exceção: se você usar a Console, poderá especificar o próprio endereço IP privado como alvo e a Console determinará e utilizará o OCID correspondente na regra.
Importante
Uma regra de roteamento com um destino IP privado pode resultar em bloqueio por blackholing nos seguintes casos:- A instância à qual o IP privado está designado é interrompida ou encerrada
- A VNIC à qual o IP privado está designado é atualizada para permitir a verificação de origem/destino ou é excluída
- A designação do IP privado é cancelada em relação à VNIC
Quando um IP privado de destino é encerrado, na Console, a regra de roteamento exibe uma observação informando que o OCID de destino não existe mais.
Para failover: se a sua instância de destino for encerrada antes de você mover o IP privado secundário para um stand-by, atualize a regra de roteamento para usar o OCID do novo IP privado de destino no stand-by. A regra usa o OCID do destino, e não o próprio endereço IP privado.
Processo de Configuração Geral
- Determine qual instância vai receber e encaminhar o tráfego.
- Escolha um IP privado na instância (pode estar na VNIC principal da instância ou em uma VNIC secundária). Se você quiser implementar failover, configure um IP privado secundário em uma das VNICs da instância.
- Desative a verificação de origem/destino na VNIC do IP privado. Consulte Visão Geral de VNICs e NICs Físicas
- Obtenha o OCID para o IP privado. Se você estiver usando a Console, poderá obter o OCID ou o próprio endereço IP privado, juntamente com o nome do compartimento do IP privado.
- Para a sub-rede que precisa rotear o tráfego para o IP privado, verifique a tabela de roteamento da sub-rede. Se a tabela já tiver uma regra com o mesmo CIDR de destino, mas com outro destino, exclua essa regra.
-
Adicione uma regra de roteamento com as seguintes características:
- Tipo de Destino: Consulte a lista de tipos de destino em Visão Geral do Roteamento da Sua VCN. Se o tipo de alvo for um DRG, o DRG anexado à VCN será selecionado automaticamente como alvo e você não precisará especificar o alvo. Se o destino for um objeto IP privado, antes de especificar o destino, primeiro desative a verificação de origem/destino na VNIC que usa esse objeto IP privado. Para obter mais informações, consulte Usando um IP Privado como um Alvo da Rota.
- Bloco CIDR de Destino: disponível somente se o alvo não for um gateway de serviço. O valor é o bloco CIDR de destino do tráfego. Você poderá fornecer um bloco CIDR de destino específico ou usar 0.0.0.0/0 se todo o tráfego que sai da sub-rede precisar ser roteado para o destino especificado nessa regra.
- Serviço de Destino: disponível somente se o alvo for um gateway de serviço. O valor é o label do CIDR de serviço no qual você está interessado.
- Compartimento: o compartimento onde o destino está localizado.
- Destino: O destino. Se o alvo for um objeto IP privado, informe o respectivo OCID. Ou você pode inserir o próprio endereço IP privado; nesse caso, a Console determinará o OCID correspondente e o utilizará como alvo para a regra de roteamento.
- Descrição: Uma descrição opcional da regra.
Como mencionado anteriormente, é necessário configurar a instância para encaminhar pacotes.