Documentação do Oracle Cloud Infrastructure

Diagnóstico e Solução de Problemas da VCN

Interrompendo Alterações na API

Se qualquer pessoa da sua organização implementar uma sub-rede regional, você talvez precise atualizar algum código de cliente que funciona com as sub-redes e os IPs privados do serviço Networking. Há possíveis alterações interruptivas na API. Para obter mais informações, consulte a nota da release sobre sub-rede regional.

Pontos Finais do Resolvedor de DNS

Os grupos de segurança de rede (NSGs) agem como firewall virtual para os pontos finais do resolvedor de DNS. Um NSG consiste em um conjunto de regras de segurança de entrada e saída que só se aplicam aos pontos finais de resolvedor de DNS associados.

Endereço IP Secundário

Se você tiver designado um IP secundário a uma VNIC secundária e estiver usando o roteamento baseado em política para a VNIC secundária, configure as regras de roteamento da instância para procurar a mesma tabela de roteamento para o endereço IP secundário, usando o comando ip rule add from <source address> lookup <table name>.

DNS na VCN

Você usa a opção de DHCP do Servidor de Nomes de Domínio para especificar o Tipo de DNS da sub-rede associada. Se você alterar o valor da opção, reinicie o cliente DHCP na instância ou reinicialize a instância. Caso contrário, a alteração não será efetivada até que o cliente DHCP atualize a concessão (em até 24 horas).

Por padrão , o Resolvedor de Internet e VCN não permite que as instâncias resolvam os nomes de hosts da rede on-premises conectada à VCN pela VPN Site a Site ou pelo FastConnect. Essa funcionalidade pode ser obtida usando um resolvedor personalizado ou configurando o resolvedor de DNS privado da VCN.

Requisitos para Labels de DNS e Nomes de Host.

  • Labels de VCN e de sub-rede: Máximo de 15 caracteres alfanuméricos e deve começar com uma letra. Observe que hifens e sublinhados NÃO são permitidos. O valor não pode ser alterado posteriormente.
  • Nomes de host: São permitidos no máximo 63 caracteres, letras e números. Hifens são permitidos. Observe que NÃO são permitidos pontos nem hifens no início ou no final do nome do host; além disso, o nome não pode ser todo numérico. Os nomes de host devem estar em conformidade com as RFCs 952 e 1123. O valor pode ser alterado posteriormente.

Não confunda o label de DNS ou o nome do host com o nome amigável que você pode designar ao objeto (o nome para exibição), que não precisa ser exclusivo.

Consulte Sobre Domínios de DNS e Nomes de Host para obter mais informações.

Firewalls

As instâncias que executam imagens de plataforma também têm regras de firewall do sistema operacional que controlam o acesso à instância. Ao diagnosticar e solucionar problemas de acesso a uma instância, certifique-se de que todos os seguintes itens estejam definidos corretamente:

  • As regras nos grupos de segurança de rede nos quais a instância está
  • As regras nas listas de segurança associadas à sub-rede da instância
  • As regras de firewall do sistema operacional da instância

Se a sua instância estiver executando o Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 ou Oracle Linux Cloud Developer 8, será necessário usar o firewalld para interagir com as regras do iptables. Para a sua referência, estes são comandos para abrir uma porta (1521, nesse exemplo):

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

Para instâncias com um volume de inicialização iSCSI, o comando --reload anterior pode causar problemas. Para obter detalhes e uma solução alternativa, consulte O sistema das instâncias congela após a execução de -cmd --reload.

O SMTP de saída está bloqueado

As tenancies feitas após 23 de junho de 2021 não têm permissão por padrão para enviar e-mail pela porta TCP 25 de saída para a internet. As tenancies feitas antes de 23 de junho de 2021 não são afetadas. Se você precisar da capacidade de enviar e-mail da sua tenancy, abra uma solicitação de limites de serviço para obter uma isenção.

As novas conexões com uma instância de computação estão falhando

A Oracle usa o rastreamento de conexões para permitir respostas a um tráfego que corresponda às regras com monitoramento de estado. Cada instância de computação tem um número máximo de conexões simultâneas que podem ser rastreadas, com base na forma da instância. Se você atingir o limite de rastreamento para conexões de instância, todas as novas conexões com a instância serão eliminadas.

Para usar a Console para ver se novas conexões estão sendo eliminadas, verifique as métricas de VNIC da instância:

  1. Confirme que você está exibindo o compartimento contendo a instância na qual está interessado.
  2. Abra o menu de navegação e clique em Compute. No serviço Compute, clique em Instâncias.
  3. Clique na instância para exibir detalhes.

  4. Em Recursos, clique em VNICs Anexadas.

    A VNIC principal e todas as VNICs secundárias anexadas à instância são exibidas.

  5. Clique na VNIC desejada.
  6. Em Métricas, quatro tabelas dizem respeito ao rastreamento de conexão:
    • PACOTES DE ENTRADA ELIMINADOS PELA TABELA DE RASTREAMENTO DE CONEXÃO CHEIA

      Qualquer valor diferente de zero indica que a tabela de rastreamento está cheia.

    • PACOTES DE SAÍDA ELIMINADOS PELA TABELA DE RASTREAMENTO DE CONEXÃO CHEIA

      Qualquer valor diferente de zero indica que a tabela de rastreamento está cheia.

    • UTILIZAÇÃO DA TABELA DE RASTREAMENTO DE CONEXÃO

      Um valor igual a 100% indica que a tabela de rastreamento está cheia.

    • TABELA DE RASTREAMENTO DE CONEXÃO CHEIA

      O valor 1/Verdadeiro indica que a tabela de rastreamento está cheia.

Se a tabela de rastreamento estiver cheia, você poderá resolver o problema de conexões com falha e pacotes eliminados implementando uma das seguintes alterações:

  • Alterar as regras de entrada com monitoramento de estado para regras sem monitoramento de estado (lembre-se de criar uma regra de saída sem monitoramento de estado correspondente para permitir respostas)
  • Mover para uma forma de computação maior que tenha limite de conexão mais alto

Exclusão de Sub-rede ou VCN

Este tópico trata dos motivos pelos quais a exclusão de uma sub-rede ou VCN pode falhar.

Lembre-se:

  • Para que seja possível excluir uma VCN, primeiro ela deverá estar vazia e não ter recursos relacionados ou gateways anexados (por exemplo: nenhum gateway de internet, nenhum gateway de roteamento etc.).
  • Para excluir as sub-redes de uma VCN, elas primeiro devem estar vazias (por exemplo, nenhuma VNIC ou ponto final do resolvedor reside na sub-rede).

Opção Excluir Tudo

A Console tem um processo "Excluir tudo" simples que verifica os compartimentos escolhidos e, em seguida, exclui uma VCN e seus recursos de Rede (sub-redes, tabelas de roteamento, listas de segurança, conjuntos de opções de DHCP, gateway de internet etc.) relacionados. Se a VCN estiver anexada a um DRG (gateway de roteamento dinâmico), o processo excluirá o anexo, mas o DRG permanecerá.

O processo "Excluir Tudo" exclui um recurso de cada vez. Uma VCN com muitos compartimentos e recursos leva mais tempo para ser excluída do que uma VCN com apenas alguns. Um relatório de andamento é exibido para mostrar os resultados da verificação de recursos e a exclusão desses recursos.

Observação

Antes de usar o processo "Excluir Tudo", verifique se nenhum recurso, como instâncias de computação, balanceadores de carga, sistemas de banco de dados do OCI ou pontos de acesso NFS órfãos estão presentes em qualquer uma das sub-redes. Se algum deles estiver presente, o processo de exclusão será interrompido ao tentar excluir a sub-rede do recurso. Os recursos da VCN excluídos não podem ser recuperados. Para obter mais informações, consulte Exclusão de Sub-rede ou VCN.

Se qualquer sub-rede ainda contiver recursos ou se você não tiver permissão para excluir um recurso de Rede específico, o processo "Excluir Tudo" será interrompido e retornará uma mensagem de erro que inclui os OCIDs dos recursos de bloqueio e sub-redes, que são vinculados à página de detalhes desse recurso. Em alguns casos, talvez você precise entrar em contato com o administrador da tenancy para ajudá-lo a excluir qualquer recurso restante se não tiver as permissões necessárias.

A Sub-rede Não Está Vazia

O motivo mais comum para que uma sub-rede (e, portanto, uma VCN) não possa ser excluída é o fato de a sub-rede conter um ou mais destes recursos:

Observação

Ao criar um dos recursos anteriores, você especifica uma VCN e uma sub-rede para ele. O serviço em questão cria pelo menos uma VNIC na sub-rede e anexa a VNIC ao recurso. O serviço gerencia as VNICs para você; portanto, elas não estão prontamente visíveis para você na Console. A VNIC permite que o recurso se comunique com outros recursos na rede. Embora esta documentação geralmente trate o recurso como parte da sub-rede, na verdade, ele é a VNIC anexada ao recurso. Esta documentação usa o termo recurso pai para fazer referência a esse tipo de recurso.

Se a sub-rede estiver vazia quando você tentar excluí-la, seu estado logo mudará para TERMINATING. Em seguida, o estado passará a ser TERMINATED.

Se a sub-rede não estiver vazia, você receberá um erro indicando que ainda há recursos que deverão ser excluídos primeiro. O erro inclui o OCID de uma VNIC que está na sub-rede (pode haver mais, mas o erro retorna somente o OCID de uma única VNIC).

Você pode usar a interface de linha de comando (CLI) do Oracle Cloud Infrastructure ou outro SDK ou cliente para chamar a operação GetVnic com o OCID da VNIC. A resposta inclui o nome para exibição da VNIC. Dependendo do tipo de recurso pai, o nome para exibição pode indicar a qual recurso pai a VNIC pertence. Em seguida, você pode excluir esse recurso pai ou entrar em contato com o administrador para determinar a quem o recurso pertence. Quando o recurso pai da VNIC é excluído, a VNIC anexada também é excluída da sub-rede. Se houver VNICs restantes na sub-rede, repita o processo de determinação e exclusão de cada recurso pai até que a sub-rede esteja vazia. Em seguida, você pode excluir a sub-rede.

Por exemplo, se você estiver usando a CLI, use esse comando para obter informações sobre a VNIC.

oci network vnic get --vnic-id <VNIC_OCID>

Exemplo de balanceador de carga

Trata-se de um exemplo de resposta CLI para uma VNIC que pertence a um balanceador de carga. O nome para exibição mostra o OCID do balanceador de carga:

{
  "data": {
    "availability-domain": "fooD:PHX-AD-1", 
    "compartment-id": "ocid1.compartment.oc1..<unique_id_1>", 
    "defined-tags": {}, 
    "display-name": "VNIC for LB ocid1.loadbalancer.oc1.phx.<unique_id_2>", 
    "freeform-tags": {}, 
    "hostname-label": null, 
    "id": "ocid1.vnic.oc1.phx.<unique_id_3>", 
    "is-primary": false, 
    "lifecycle-state": "AVAILABLE", 
    "mac-address": "00:00:17:00:BB:CA", 
    "private-ip": "10.0.0.6", 
    "public-ip": null, 
    "skip-source-dest-check": false, 
    "subnet-id": "ocid1.subnet.oc1.phx.<unique_id_4>", 
    "time-created": "2019-05-11T04:28:31.950000+00:00"
  }, 
  "etag": "5d8213fa"
}

Exemplo do File Storage

Este é um exemplo com uma VNIC que pertence a um ponto de acesso NFS do File Storage:

"display-name": "fss-<integer>",

Embora o nome para exibição não inclua um OCID, os caracteres fss indicam que o recurso se destina ao serviço File Storage.

Exemplo de Bancos de Dados

Este é um exemplo do nome de exibição de uma VNIC que pertence a um sistema de banco de dados:

"display-name": "ocid1.dbnode.oc1.phx.<unique_id>",

Um Grupo de Segurança de Rede Não Está Vazio

Outro motivo pelo qual uma VCN não pode ser excluída é porque ela contém um ou mais grupos de segurança de rede (NSGs) que ainda não estão vazios. Para que um NSG possa ser excluído, ele não deve conter VNICs (ou recursos pais com as VNICs). Você pode determinar quais recursos pais estão em um NSG usando a Console ou a API REST. Para obter mais informações, consulte Excluir um NSG.

Existem Recursos em Compartimentos a Que Você Não Tem Acesso

Talvez você não consiga ver todos os recursos em uma sub-rede ou VCN. Isso ocorre porque sub-redes e VCNs podem conter recursos em vários compartimentos, e você pode não ter acesso a todos os compartimentos. Por exemplo, a sub-rede pode conter instâncias gerenciadas pela sua equipe e também sistemas de bancos de dados gerenciados por outra equipe. Outro exemplo: a VCN pode ter listas de segurança ou um gateway em um compartimento que outra equipe gerencia. Talvez você precise entrar em contato com o administrador da sua tenancy para ajudá-lo a determinar a quem pertencem os recursos na sub-rede ou na VCN.

Falha ao redefinir um LPG

Detalhes
Um LPG criado para uma conexão de pareamento local específica não pode ser reaproveitado para ser usado em uma conexão de pareamento local nova e diferente.
Se você tentar fazer isso, poderá ver a mensagem de erro The Local Peering Gateway with ID <LPG_OCID> has already been connected quando:
  1. O LPG 1 na VCN 1 já foi conectado com sucesso ao LPG 2 na VCN 2.
  2. A VCN 1 (incluindo o LPG 1) é excluída em seguida. O status de pareamento do LPG 2 muda para revogado ou destruído.
  3. Você tenta conectar o LPG 2 ao LPG 3.

Você também pode ver uma mensagem um pouco diferente (A peering with VCN <VCN_OCID> has already been established) quando:

  1. O LPG 1 na VCN 1 já foi conectado com sucesso ao LPG 2 na VCN 2.
  2. O GPL 2 é subsequentemente suprimido. O status de pareamento do LPG 1 muda para revogado ou destruído.
  3. Você tenta conectar o LPG 1 ao LPG 3 (que pode ser um novo LPG na VCN 2 ou qualquer outra VCN).
Solução Sugerida
Execute as seguintes ações:
  1. Exclua o LPG que você está tentando reutilizar.

    Se essa exclusão ocorrer um erro com 409 - Local Peering Gateway <LPG_OCID> is associated with one or more entities that are in use, o LPG provavelmente será mencionado nas regras de roteamento em uma ou mais tabelas de roteamento. Revise as tabelas de roteamento da sua VCN e remova essas rotas das tabelas de roteamento relevantes e tente novamente excluir o LPG.

  2. Crie um novo LPG e pareie-o com um novo LPG na VCN desejada.