1. Oracle Brasil
  2. Nuvem
  3. Rede em Nuvem
  4. Virtual Cloud Network

Perguntas Frequentes sobre o Virtual Cloud Network

 

Tópicos de perguntas frequentes

Perguntas gerais

O que é uma rede virtual na nuvem (VCN)?

Uma VCN é uma rede privada personalizável na Oracle Cloud Infrastructure. Assim como uma rede tradicional de data center, uma VCN fornece controle total sobre o seu ambiente de rede. Isso inclui atribuir seu próprio espaço de endereço IP privado, criar sub-redes, criar tabelas de roteamento e configurar firewalls dinâmicos. Uma única locação (uma conta Oracle Cloud Infrastructure) pode ter várias VCNs, fornecendo, assim, agrupamento e isolamento de recursos relacionados. Por exemplo, você pode usar várias VCNs para separar os recursos em diferentes departamentos da sua empresa.

Quais são os componentes principais de uma VCN?

Para obter uma lista completa dos componentes, consulte Visão geral da Rede.

Como começo com a VCN?

Para um tutorial rápido sobre como iniciar uma instância dentro de uma VCN na Oracle Cloud Infrastructure, consulte o Guia de Introdução.

Veja também estes tópicos:

Quais endereços IP posso usar dentro da minha VCN?

Ao criar sua VCN, você atribui um bloco CIDR IPv4 contíguo de sua escolha. São permitidos tamanhos de VCN que variam de /16 (65,533 endereços IP) a /30 (1 endereço IP). Exemplo: 10.0.0.0/16 192.168.0.0/24.

Recomendamos o uso de um bloco CIDR nos intervalos de endereços privados especificados por RFC1918. Se você usar um bloco CIDR que não seja RFC1918, observe que ele ainda é tratado como um intervalo de endereços IP privados e não pode ser roteado da Internet pelo gateway de Internet da Oracle.

Você cria sub-redes subdividindo o intervalo de endereços da VCN em blocos CIDR IPv4 contíguos. O bloco CIDR de uma sub-rede deve estar dentro do bloco CIDR da VCN. Quando você inicia uma instância em uma sub-rede, o endereço IP privado da instância é alocado no bloco CIDR da sub-rede.

Posso marcar uma sub-rede como privada?

Sim. Quando cria uma sub-rede, você pode especificar o tipo de acesso: privado ou público. Uma sub-rede é criada com acesso público por padrão; nesse caso, as instâncias na sub-rede podem receber um endereço IP público. As instâncias iniciadas em uma sub-rede com acesso privado são proibidas de ter endereços IP públicos, o que garante que essas instâncias não tenham acesso direto à Internet.

Uma VCN pode abranger vários domínios de disponibilidade?

Sim.

Uma sub-rede pode abranger vários domínios de disponibilidade ou várias VCNs?

As sub-redes podem abranger vários domínios de disponibilidade, mas não várias VCNs. Se você criar uma sub-rede regional, os recursos da sub-rede poderão residir em qualquer domínio de disponibilidade (AD) na região. No entanto, se você criar uma sub-rede específica do AD, os recursos da sub-rede deverão residir no domínio de disponibilidade específico da sub-rede.

Posso criar VCNs com endereços IP sobrepostos?

Sim. No entanto, se você deseja conectar uma VCN à sua rede local ou outra VCN, recomendamos que você verifique se os intervalos de endereços IP não se sobrepõem.

Quantas VCNs, sub-redes e outros recursos de rede posso criar?

Para obter os limites atuais de todos os serviços e instruções para solicitar um aumento no limite de serviços, consulte a Documentação de Ajuda dos Limites de Serviço.

Posso modificar minha sub-rede depois de criá-la?

Sim. Você pode modificar o nome da sub-rede e alterar a tabela de rotas, as listas de segurança e o conjunto de opções DHCP associadas a ela. No entanto, você não pode alterar o bloco CIDR da sub-rede.

Dynamic Routing Gateway (DRG)

Em quais realms a nova funcionalidade do DRG está disponível?

A nova funcionalidade está disponível no realm comercial. Ela será disponibilizada em outros realms no futuro.

Em quais regiões a nova funcionalidade do DRG está disponível?

A nova funcionalidade está disponível em todas as regiões comerciais da Oracle Cloud Infrastructure (OCI).

A nova funcionalidade está disponível nos meus DRGs existentes (criados antes de 15 de abril de 2021)?

Sim. No entanto, você deve atualizar o DRG usando o processo de atualização especificado na documentação.

Como posso controlar quais redes virtuais na nuvem (VCNs) podem se comunicar entre si?

As comunicações entre anexos do DRG (incluindo VCNs) são controladas por tabelas de roteamento e suas políticas de importação associadas. A tabela de roteamento de anexo da VCN padrão permite que todas as VCNs anexadas se comuniquem entre si. Você pode alterar a política de importação associada para obter o isolamento de VCNs, conforme mostrado aqui.

Posso anexar uma VCN de outra locação ao meu DRG?

Sim. No entanto, isso requer que políticas específicas do serviço IAM sejam configuradas.

Qual é a configuração de roteamento padrão no DRG?

O DRG suporta roteamento dinâmico e estático entre redes anexadas. O DRG tem duas tabelas de roteamento padrão. Uma para seus anexos de conexão de pareamento FastConnect, IPsec VPN e RPC e outra para anexos de VCN. Você pode criar tabelas de roteamento adicionais para um controle mais granular do fluxo de tráfego entre anexos. As rotas decidem o próximo anexo de salto dependendo do endereço IP de destino do pacote.

Como o DRG resolve conflitos de rota?

As rotas estáticas têm preferência maior do que as rotas dinâmicas. Não é possível criar várias rotas estáticas para o mesmo CIDR (Classless Inter-domain Routing). Para rotas dinâmicas, os conflitos são resolvidos da seguinte maneira:

  • Para rotas destinadas a anexos da VCN: Se CIDRs idênticos forem importados de dois anexos da VCN, uma decisão de encaminhamento determinística e consistente será tomada sobre a preferência de rota. Este pedido de preferência não é controlável pelo cliente.
  • Para rotas destinadas a Circuitos Virtuais FastConnect ou VPN IPsec: Se várias rotas com o mesmo CIDR e o mesmo tamanho de caminho forem importadas para uma tabela de roteamento DRG e o roteamento ECMP (Equal Cost Multi-Path) estiver desativado, a rota com o endereço IP do próximo salto mais baixo será selecionada. Se o ECMP estiver ativado, as duas rotas serão usadas e o tráfego destinado ao CIDR será roteado pelo ECMP. Se as rotas tiverem CIDRs idênticos, mas comprimentos de as-path diferentes, apenas a rota com o comprimento de AS-path mais curto será utilizada.
  • Para rotas destinadas a anexos RPC/Pareamento: Se CIDRs idênticos forem importados de dois anexos RPC/Pareamento, será usado o que tiver o comprimento de AS-path mais curto. Se as duas rotas tiverem o mesmo comprimento de AS-path, a rota com a menor distância de rede será selecionada. A distância da rede refere-se ao número de DRGs que a rota irá percorrer. Se duas rotas tiverem distâncias de rede idênticas, a seleção se baseará na seguinte ordenação: {Static, VCN, VC, IPSec}). Se ainda houver um conflito, a Oracle roteará o tráfego pelo caminho mais eficiente em sua rede interna.

Como as rotas são propagadas para o DRG?

Você pode especificar como as rotas são importadas e exportadas por tabela de roteamento modificando as políticas de importação e exportação associadas. As rotas são propagadas da seguinte forma:

  • Rotas propagadas de/para redes on-premises: Quando você conecta VPNs IPsec ou circuitos virtuais FastConnect a um DRG, as rotas são propagadas entre o DRG e o seu roteador on-premises usando o BGP (Border Gateway Protocol). As VPNs IPsec também suportam roteamento estático, mas para garantir um failover automático ideal para redundância, a melhor prática é usar BGP.
  • Rotas Propagadas de VCNs: Quando você anexa uma VCN a um DRG, a tabela de roteamento do anexo será atualizada automaticamente para incluir rotas a todas as sub-redes na VCN e a todos os CIDRs na tabela de roteamento de entrada da VCN associada ao anexo da VCN.
  • Rotas Propagadas para VCNs: As rotas do DRG não são propagadas automaticamente para sua VCN. Você deve criar rotas estáticas nas tabelas de roteamento da VCN para tráfego destinado a redes on-premises ou outras VCNs da OCI. Essas tabelas de roteamento são gerenciadas como parte da configuração da VCN.

Posso conectar VCNs da OCI com CIDRs de sub-rede idênticos ao mesmo DRG?

Você pode conectar duas VCNs da OCI com CIDRs sobrepostos ao mesmo DRG. A tabela de roteamento do DRG toma uma decisão de encaminhamento determinística e consistente para determinar qual anexo de VCN é o próximo salto para os CIDRs de sub-rede conflitantes. Este pedido de preferência não é controlável pelo cliente. Devido à complexidade no controle desse comportamento, CIDRs sobrepostos não são recomendados.

Posso usar um Circuito Virtual FastConnect único para conectar minha rede on-premises a todas as VCNs da OCI, independentemente da região?

Sim, o DRG agora permite que você use um FastConnect em uma região para se comunicar com recursos em uma VCN de outra região.

Desempenho e limites: Quais são os limites ou cotas padrão para o DRG?

Detalhes sobre limites e cotas podem ser encontrados em nossa documentação.
Se precisar exceder esses limites, crie um caso de suporte.

Interoperabilidade de recursos: o DRG suporta IPv6?

Sim, o DRG suporta a anexação de VCNs a CIDRs IPv6.

E se eu quiser continuar a usar meu DRG no estado em que se encontra e não precisar dos recursos aprimorados?

O comportamento padrão do DRG não foi alterado. É necessário ativar explicitamente os novos recursos.

Qual é o conteúdo das tabelas de roteamento padrão associadas ao DRG?

O DRG tem duas tabelas de roteamento padrão. Uma para seus anexos de conexão de pareamento FastConnect, IPsec VPN e RPC e outra para anexos de VCN. Essas duas tabelas de roteamento padrão implementam o comportamento do DRG existente.

Devo usar o gateway de pareamento local ou o DRG para permitir a comunicação entre VCNs na mesma região?

Cada VCN pode ter até 10 gateways de pareamento local e um DRG. Um único DRG suporta até 300 anexos de VCN. Recomendamos o uso do DRG se você precisar parear com um grande número de VCNs. Além disso, se você quiser um tráfego de largura de banda extremamente alta e superbaixa entre duas VCNs na mesma região, use o cenário descrito em Pareamento Local de VCN usando Gateways de Pareamento Local. O pareamento de duas VCNs na mesma região por meio de um DRG oferece mais flexibilidade no seu roteamento, mas chega ao custo de maior latência e largura de banda potencialmente menor.

Qual é o número máximo de caminhos ECMP suportados (roteamento de vários caminhos de custo igual)?

O limite atual é de 8 caminhos

Como faço upgrade do meu DRG para que eu possa usar a nova funcionalidade?

Consulte a seção "Atualização de um DRG" aqui.

Placas de Interface de Rede Virtual (VNICs)

O que é uma placa de interface de rede virtual (VNIC)?

Os servidores nos data centers da Oracle Cloud Infrastructure têm placas de interface de rede físicas (NICs). Quando você inicia uma instância em um desses servidores, a instância se comunica usando as NICs virtuais (VNICs) do serviço de rede associadas às NICs físicas. Uma VNIC permite que uma instância de computação seja conectada a uma VCN e determina como a instância se comunica com pontos de extremidade dentro e fora da VCN.

Cada VNIC reside em uma sub-rede e possui a seguinte configuração:

  • Um endereço IPv4 privado primário da sub-rede na qual a VNIC está, designado por você ou pela Oracle
  • Até 31 endereços IPv4 privados secundários da sub-rede na qual a VNIC está, designados por você ou pela Oracle
  • Endereço IPv4 público opcional para cada endereço IP privado
  • Nome de host opcional para DNS para cada endereço IP privado (consulte DNS na sua Rede de Nuvem Virtual)
  • Endereço MAC
  • Etiqueta VLAN atribuída pela Oracle e disponível quando o anexo da VNIC à instância está completo (relevante apenas para instâncias bare metal)

Para mais informações, veja Placas de Interface de Rede Virtual (VNICs).

Qual é a VNIC primária de uma instância?

Cada instância da sua VCN é criada com uma VNIC, que possui um endereço IP privado (atribuído por você ou pela Oracle) da sub-rede fornecida na criação da instância e um endereço IP público correspondente. Essa VNIC é denominada primária e seu endereço IP privado é definido como endereço IP primário.

A VNIC primária não pode ser desanexada da instância. Ele é excluída automaticamente quando a instância é encerrada.

O que são VNICs secundárias em uma instância?

Cada instância em sua VCN possui pelo menos uma VNIC, que é sua VNIC principal. Você pode anexar VNICs adicionais a uma instância conhecida como VNICs secundárias. As VNICs secundárias podem pertencer a diferentes VCNs ou sub-redes.

Qual é o número máximo de VNICs suportadas em uma instância?

O limite de quantas VNICs podem ser anexadas a uma instância varia de acordo com a forma. Para esses limites, consulte a Documentação de Suporte de Formas de Cálculo.

Posso encontrar informações de VNIC de dentro da instância?

Sim. Consulte o serviço de metadados da instância disponível em http://169.254.169.254/opc/v1/vnics/.

Posso atribuir um endereço IP privado específico a uma VNIC?

Sim. No caso da VNIC primária, você pode especificar o endereço IP privado no lançamento da instância. No caso de VNICs secundárias, você pode especificar um endereço IP privado ao anexar a VNIC a uma instância. O endereço IP privado especificado deve pertencer à mesma sub-rede à qual a VNIC pertence e não deve estar em uso.

Posso mover uma VNIC de uma instância para outra?

Não. Atualmente, as VNICs estão sempre ligadas à instância e não existem independentemente. A VNIC primária é criada e destruída com a instância. Todas as VNICs secundárias são criadas e destruídas quando são conectadas e desanexadas, respectivamente.

Posso anexar duas VNICs da mesma sub-rede a uma instância?

Sim. No entanto, a conexão de várias VNICs do mesmo bloco CIDR de sub-rede a uma instância pode introduzir roteamento assimétrico, especialmente em instâncias que usam uma variante do Linux. Se você precisar desse tipo de configuração, a Oracle recomenda atribuir vários endereços IP privados a uma VNIC ou usar o roteamento baseado em políticas. Por exemplo, consulte o script em Linux: configurando o SO para VNICs secundárias.

As VNICs anexadas a uma instância pertencem a sub-redes em diferentes domínios de disponibilidade (AD)?

Não. Todas as VNICs devem pertencer a sub-redes no mesmo AD da instância. Ao usar sub-redes regionais, as VNICs devem ser criados no mesmo AD da instância.

As VNICs anexadas a uma instância pertencem a sub-redes em diferentes VCNs?

Sim. Você pode anexar VNICs secundárias que pertencem a uma sub-rede de uma VCN diferente da VCN da VNIC principal.

Endereçamento IP

Posso atribuir um ou mais endereços IP privados de minha escolha à minha instância de computação?

Cada instância de computação na sua VCN é criada com uma placa de interface de rede virtual (VNIC) e recebe um endereço IP privado da sub-rede fornecida no início da instância. Estes são a VNIC principal e seu endereço IP privado principal, respectivamente. Você também pode conectar VNICs adicionais a uma instância, denominadas VNICs secundárias, que também têm um endereço IP privado principal.

Você pode permitir que a Oracle escolha o endereço IP privado ou o pool disponível da sub-rede. Se o endereço que você especificar já estiver em uso, a solicitação de inicialização falhará.

Além disso, você pode atribuir endereços IP privados secundários para uma VNIC. Semelhante aos endereços IP privados primários, um endereço IP privado secundário fornece conectividade para destinos na sua VCN e/ou on-premise (quando houver conectividade por VPN ou pelo Oracle Cloud Infrastructure FastConnect).

Posso mover um endereço IP privado secundário da VNIC de uma instância para outra?

Sim. Você pode mover um endereço IP privado secundário de uma VNIC em uma instância para uma VNIC em outra instância, desde que ambas as VNICs pertençam à mesma sub-rede e a autorização permita a operação. Ao usar sub-redes regionais, o IP privado secundário também pode ser movido para uma VNIC em um AD diferente.

Quantos endereços IP privados secundários posso atribuir a uma VNIC de uma instância?

Atualmente, você pode atribuir até 31 endereços IP privados secundários a uma VNIC.

O sistema operacional da instância pode descobrir e configurar o endereço IP privado secundário automaticamente (usando DHCP)?

Não. O sistema operacional não pode descobrir o endereço IP privado secundário usando mecanismos como DHCP. Você precisa configurar os endereços IP privados secundários usando um procedimento específico do SO. Para obter mais informações, consulte os scripts fornecidos em Placas de Interface de Rede Virtual (VNICs).

O que é um endereço IP público e como ele é diferente de um endereço IP privado?

Um endereço IP público é um endereço IPv4 acessível pela Internet (um endereço IP roteável pela Internet). Uma instância na sua VCN se comunica com os hosts na Internet por meio de um endereço IP público. Um endereço IP privado não pode ser roteado pela Internet. Instâncias dentro da VCN se comunicam usando endereços IP privados.

Você pode atribuir um endereço IP público a um endereço IP privado de uma instância de computação ou a uma instância do balanceador de carga e permitir que eles se comuniquem com a Internet. Para que um endereço IP público seja acessível pela Internet, a VCN em que ele está deve ter um gateway de internet e a sub-rede pública deve ter tabelas de rotas e listas de segurança configuradas de acordo.

Quais são os tipos de endereços IP públicos?

Existem dois tipos de endereços IP públicos:

  • Endereços IP públicos efêmeros: pense neles como temporários e existentes durante o tempo de vida da instância. A seu pedido, a Oracle atribuirá um dos pools disponíveis da Oracle de endereços IP públicos. Este endereço IP público está vinculado ao ciclo de vida do endereço IP privado. Se você cancelar a atribuição explícita do endereço IP público ou do endereço IP privado da VNIC ou encerrar a instância correspondente, esse endereço IP público será liberado para o pool disponível. Se você solicitar posteriormente a atribuição de um endereço IP público novamente, pode ser um endereço diferente do que antes.
  • Endereços IP públicos reservados: pense neles como endereços IP públicos flutuantes que residem em um compartimento à sua escolha. Eles são persistentes e existem além do tempo de vida das instâncias às quais foram atribuídos. Eles pertencem a uma região específica. Você pode manter um endereço IP público reservado não atribuído em seu compartimento ou atribuí-lo a um endereço IP privado de uma instância ou a um balanceador de carga na mesma região em que foi criado. Você também pode movê-lo para qualquer outro endereço IP privado dentro de seu compartimento dentro da mesma região.

Para mais detalhes e uma tabela comparando os dois tipos, consulte Documentação de Ajuda de Endereços IP Públicos.

Por que preciso de endereços IP públicos reservados?

Um endereço IP público se torna a identidade do seu serviço para clientes que não podem usar o FQDN DNS. Um endereço IP público reservado permite manter essa identidade, independentemente de quaisquer alterações nos recursos subjacentes. Aqui estão alguns cenários específicos que podem se beneficiar do uso de um endereço IP público reservado:

  • Isole seus clientes de qualquer falha específica da instância: Você pode designar um endereço IP público reservado à sua instância, e movê-lo integralmente para outra instância em caso de falha. Seus clientes estão isolados dessa alteração à medida que continuam se conectando ao mesmo endereço IP público.
  • Otimize o uso de recursos de computação sem impacto para os usuários: Se você deseja alterar o tamanho de uma instância ou encerrar suas instâncias com base nos padrões de uso para economizar custos, um endereço IP público reservado permite que você exponha o mesmo endereço IP público aos seus clientes.

Quantos endereços IP públicos reservados posso atribuir a uma instância?

Você pode atribuir apenas um endereço IP público reservado a qualquer endereço IP privado (primário ou secundário). No entanto, você pode atribuir vários endereços IP privados a cada VNIC conectada à sua instância. Você pode atribuir um endereço IP público reservado a cada um desses endereços IP privados.

Há um limite para o número máximo de endereços IP públicos reservados que você pode criar em sua locação. Veja a Documentação de Ajuda dos Limites de Serviço.

Quantos endereços IP públicos efêmeros posso atribuir a uma instância?

Você pode atribuir apenas um endereço IP público efêmero a qualquer endereço IP privado primário da VNIC. No entanto, você pode criar e anexar várias VNICs à sua instância. Você pode atribuir um endereço IP privado efêmero a cada um dos endereços IP principais de cada VNIC.

Há um limite para o número máximo de endereços IP públicos efêmeros que podem ser atribuídos a uma instância. Veja a Documentação de Ajuda dos Limites de Serviço.

Posso mover um endereço IP público efêmero de uma VNIC/instância para outra?

Sim, mas somente se ele for designado a um IP privado secundário em uma VNIC. Se você mover esse IP privado secundário para uma VNIC diferente (que deve estar na mesma sub-rede), o IP público efêmero será acompanhado por ela.

Posso mover um endereço IP público reservado de uma VNIC/instância para outra?

Sim, e você pode movê-lo de um domínio de disponibilidade ou VCN para outro. As VCNs devem estar na mesma região.

Há duas maneiras de mover um IP público reservado:

  • Cancele a atribuição do IP público reservado e, em seguida, atribua-o a outro IP privado. O IP privado pode estar em uma VNIC em um domínio de disponibilidade ou VCN diferente da VNIC original.
  • Se o IP público reservado estiver atribuído a um IP privado secundário, você poderá movê-lo para uma VNIC diferente (que deve estar na mesma sub-rede) e o IP público reservado será fornecido com ele.

Quando um endereço IP público efêmero é lançado?

  • Quando você exclui um endereço IP privado, seu endereço IP público efêmero correspondente é liberado.
  • Quando você desconecta uma VNIC secundária, qualquer endereço IP público efêmero correspondente é liberado.
  • Quando você encerra a instância, os endereços IP efêmeros correspondentes são liberados.

Observe que quando você reinicia a instância, não há impacto nos endereços IP públicos efêmeros correspondentes.

Quais endereços IP eu vejo quando faço logon na minha instância de computação?

Você vê apenas o endereço IP privado da sua instância de computação. Se for atribuído um endereço IP público à instância, o serviço de rede fornecerá um NAT individual (NAT estático) entre os endereços IP públicos e privados quando a instância tentar se comunicar com um destino na Internet (por meio do gateway da Internet).

Como o tráfego de um endereço IP público aparece na instância?

No nível do SO da instância, você vê apenas o endereço IP privado da VNIC conectada à instância. Quando o tráfego enviado para o endereço IP público é recebido, o serviço de rede faz uma conversão de endereço de rede (NAT) do endereço IP público para o endereço IP privado correspondente. O tráfego aparece dentro da sua instância com o endereço IP de destino definido como o endereço IP privado.

Posso atribuir um endereço MAC à minha instância de computação?

Não. O serviço de rede atribui o endereço MAC.

O IPv6 é suportado?

Sim. Suporte ao IPv6. Para mais informações, veja Endereços IPv6.

Você suporta multicast IP ou difusão dentro da VCN?

Não, atualmente não.

A VCN suporta a aquisição de IP transparente usando ARPs gratuitos (GARP)?

Não, atualmente não.

Traga seu próprio endereço IP (BYOIP)

O que é Traga seu próprio endereço IP (BYOIP)?

Traga seu próprio endereço IP (BYOIP) permite que você importe blocos IPv4 CIDR roteáveis publicamente para o Oracle Cloud Infrastructure para que seus recursos possam usá-los.

Quais são as vantagens do BYOIP?

Os endereços IP são ativos cuidadosamente gerenciados e controlados por uma organização. Alguns aplicativos exigem uma forte reputação de IP para enviar e-mails, outros aplicativos estabeleceram políticas de acessibilidade em implantações globais e alguns aplicativos têm decências arquitetônicas em endereços IP. A migração de um prefixo IP de uma infraestrutura local para OCI permite que você minimize o impacto para clientes e aplicativos, aproveitando todos os benefícios do Oracle Cloud Infrastructure. O BYOIP em OCI permitirá que você minimize o tempo de inatividade durante a migração ao anunciar simultaneamente seu prefixo de endereço IP da OCI e removê-lo do ambiente local.

Como começo a usar o BYOIP?

O processo de mover um prefixo IP para uso em OCI começa no portal em Rede>Gerenciamento de IP ou pode ser iniciado por meio da API. Existem apenas algumas etapas fáceis.

  1 - iniciar a solicitação para trazer um IP CIDR para a OCI (o IP CIDR deve ser um /24 ou maior que seja de propriedade de sua organização).
  2 - Registre um token de validação gerado a partir da solicitação com o serviço de registro regional da Internet (RIR) (ARIN, RIPE ou APNIC). Siga as etapas da documentação.
3 - Depois de registrar seu token, você retornará ao console e clicará em "Validar bloco CIDR" para que a Oracle possa concluir o processo de validação. A Oracle valida que seu bloco CIDR foi devidamente registrado para a transferência e provisiona seu BYOIP. Essa etapa pode levar até 10 dias úteis. Você será notificado por e-mail quando o processo for concluído. Você também pode verificar o andamento desta etapa em suas solicitações de serviço.

O que fazer com o token de validação emitido pela Oracle?

O que fazer com o token de validação emitido pela Oracle? Como parte da importação de um bloco CIDR BYOIP, a Oracle emite um token de validação. Assim que tiver o token, você precisará modificá-lo ligeiramente, adicionando as informações mostradas abaixo. Você pode usar qualquer editor de texto.

OCITOKEN:: <CIDRblock> : <validation_token>

Para enviar o token de validação ao seu RIR (Registro Regional da Internet).

ARIN: Adicione a string de token modificada na seção "Comentários públicos" do intervalo de endereços. Não adicione-a à seção de comentários da organização.
RIPE: Adicione a string de token modificada como um novo campo "descr" para seu intervalo de endereços. Não adicione-a à seção de comentários da organização.
APNIC: Adicione-a ao campo "comentários" para o intervalo de endereços enviando por email a string de token modificada para helpdesk@apnic.net. Envie o email usando o contato autorizado do APNIC para os endereços IP.

Como faço para usar endereços BYOIP com recursos OCI?

Depois que o CIDR de IP for validado, você terá controle total sobre o CIDR de IP. Gerencie o prefixo dividindo-o em pools de IP menores e crie endereços de IP reservados para uso com recursos.

Quais recursos da OCI podem ser usados com um CIDR BYOIP?

Você pode atribuir endereços BYOIP a instâncias de computação, gateway NAT e LBaaS. Você pode gerenciar o espaço IP por meio de Pools de IP e criar endereços IP reservados.

Posso controlar o anúncio do prefixo BYOIP após ele ser integrado?

Quando o prefixo IP é integrado à OCI, você controla o anúncio e a retirada do prefixo.

Quanto tempo leva a validação e integração BYOIP?

A validação e o provisionamento de BYOIP podem levar até 10 dias. Você será notificado por email quando o processo for concluído.

Um prefixo BYOIP pode ser movido entre regiões OCI?

Não. O prefixo BYOIP é atribuído a uma região OCI específica e só será anunciado na região em que está integrado.

Quais são os prefixos de tamanho mínimo e máximo que posso usar para BYOIP?

O prefixo mínimo para BYOIP é /24 e o prefixo máximo é /8. Você não precisa trazer todo o seu espaço IP para a OCI. Se você tem um bloco de IP maior, pode escolher quais prefixos trazer para OCI.

Como distribuo meu prefixo BYOIP em pools de IP?

Depois que o prefixo é integrado, você controla a distribuição de endereços e política dentro do locatário OCI. Você pode manter o prefixo em um pool de IP ou distribuir o prefixo até /28 para uso com recursos OCI.

Posso criar endereços IP reservados a partir do meu prefixo BYOIP?

Sim. Você pode criar endereços IP reservados a partir de um prefixo BYOIP. Veja mais informações em "Endereçamento IP" aqui: https://www.oracle.com/cloud/networking/virtual-cloud-network-faq.html

Posso trazer meu próprio prefixo IPv6 para OCI?

O recurso BYOIP dá suporte apenas a prefixos IPv4.

Ainda poderei usar endereços IP efêmeros e reservados da Oracle se trouxer meu próprio prefixo para OCI?

Sim. Você ainda pode usar endereços IP efêmeros e reservados da Oracle junto com seus próprios endereços IP. Os limites padrão se aplicam a endereços Oracle.

Conectividade

Quais opções de conectividade estão disponíveis para instâncias em execução na minha VCN?

As instâncias podem se conectar a:

  • A Internet (por meio de um gateway de internet)
  • Seu data center on-premise usando uma conexão VPN IPSec ou FastConnect (por meio de um gateway de roteamento dinâmico)
  • Instâncias em VCNs emparelhadas (na mesma região ou em outra região)
  • Os serviços da Oracle Cloud Infrastructure como Armazenamento de Objetos, ADW (por meio de um gateway de serviço)

O que é um gateway da Internet?

Um gateway da Internet é um roteador tolerante a falhas, altamente disponível e definido pelo software, que fornece conectividade pública à Internet para recursos dentro da sua VCN. Usando um gateway da Internet, uma instância de computação com um endereço IP público atribuído a ela pode se comunicar com hosts e serviços na Internet.

Em vez de usar um gateway da Internet, você pode conectar sua VCN ao seu data center on-premise, a partir do qual é possível rotear o tráfego para a Internet por meio dos pontos de saída de rede existentes.

O que é um gateway NAT?

Um gateway NAT é um roteador confiável e altamente disponível que fornece conectividade à Internet somente de saída para recursos dentro da sua VCN. Com um gateway NAT, instâncias privadas (com apenas um endereço IP privado) podem iniciar conexões com hosts e serviços na Internet, mas não receber conexões de entrada iniciadas pela Internet.

Posso ter mais de um gateway NAT por VCN?

Não. O limite padrão é um gateway NAT por VCN. Esperamos que isso seja suficiente para a grande maioria dos aplicativos.

Se você deseja alocar mais de um gateway NAT em uma VCN específica, solicite um aumento de limite. Para obter instruções sobre como solicitar um aumento nos limites, consulte Limites de serviço.

Existem novos limites de taxa de transferência ao usar um gateway NAT?

As instâncias obtêm a mesma taxa de transferência com o gateway NAT do que quando o tráfego é roteado por meio de um gateway da Internet. Além disso, um único fluxo de tráfego por meio do gateway NAT é limitado a 1 Gbps (ou menos para formas de pequenas instâncias).

Existe um limite de conexão simultânea ao usar um gateway NAT?

Sim. Há um limite de ~ 20.000 conexões simultâneas para um único endereço IP e porta de destino. Esse limite é agregado de todas as conexões iniciadas por instâncias na VCN que estão usando o gateway NAT.

O que é um gateway de roteamento dinâmico (DRG)?

Um gateway de roteamento dinâmico é um roteador tolerante a falhas, altamente disponível e definido por software, que você pode adicionar a uma VCN. Ele fornece um caminho privado para o tráfego entre a VCN e outras redes fora da região da VCN, como o data center on-premise ou uma VCN em outra região. Para conectar sua VCN ao seu data center on-premise, você pode configurar uma VPN IPSec ou FastConnect no DRG da VCN. A conexão permite que seus hosts e instâncias on-premise se comuniquem com segurança.

O que é um objeto de equipamento de premissa do cliente (CPE) e por que eu preciso dele?

Você usa esse objeto se você configurar uma VPN IPSec. É uma representação virtual do roteador real existente no local, no final da VPN. Ao criar esse objeto como parte da configuração de uma VPN IPSec, você especifica o endereço IP público do seu roteador on-premise.

Preciso de um gateway da Internet para estabelecer uma VPN IPSec para o meu data center on-premise?

Não. Você só precisa provisionar um DRG, anexá-lo à sua VCN, configurar o objeto CPE e a conexão IPSec e configurar as tabelas de rotas.

Quais roteadores ou gateways de equipamentos nas instalações do cliente você testou com a VPN IPSec da Oracle Cloud Infrastructure?

Veja a lista de configurações de dispositivos testados.

Eu tenho um roteador VPN IPSec que não está na lista acima de equipamentos testados. Posso usá-lo para conectar-me à minha VCN?

Sim. Se você configurá-lo de acordo com as Informações de Configuração Genéricas do CPE. Suportamos várias opções de configuração para maximizar a interoperabilidade com diferentes dispositivos VPN.

Como garantir a disponibilidade da minha conexão VPN IPSec entre a Oracle Cloud Infrastructure e meu datacenter on-premise?

A Oracle provisiona dois túneis VPN como parte da conexão IPSec. Certifique-se de configurar os dois túneis no seu CPE para redundância.

Além disso, você pode implementar dois roteadores CPEs no seu data center on-premise, cada um configurado para os dois túneis.

Posso usar uma VPN de software para conectar-me à minha VCN?

A VPN IPSec é um padrão aberto e as VPNs IPSec de software podem interoperar com a Oracle Cloud Infrastructure. Você precisa verificar se o seu IPSec VPN de software suporta pelo menos um parâmetro IPSec Oracle suportado em cada grupo de configuração, de acordo com as Informações genéricas de configuração do CPE.

O tráfego entre dois endereços IP públicos da OCI permanece dentro da OCI?

Sim. O tráfego entre dois endereços IP públicos OCI na mesma região permanece dentro da região OCI. O tráfego entre endereços IP públicos OCI em diferentes regiões percorre o backbone OCI privado. Em ambos os casos, o tráfego não atravessa a Internet. A lista completa de endereços IP públicos da OCI pode ser encontrada aqui: https://docs.cloud.oracle.com/en-us/iaas/tools/public_ip_ranges.json.

Gateway de Serviço

O que é a Oracle Services Network?

A Oracle Services Network é uma rede conceitual na Oracle Cloud Infrastructure, reservada para serviços da Oracle. A rede inclui uma lista de blocos CIDR regionais. Todo serviço na Oracle Services Network expõe um terminal em serviço que usa endereços IP públicos da rede. Atualmente, um grande número de serviços Oracle está disponível nesta rede (consulte a lista completa) e mais serviços serão adicionados no futuro à medida que forem implementados na Oracle Cloud Infrastructure.

O que é um gateway de serviço?

Um gateway de serviço permite que os recursos em sua VCN acessem de forma segura e privada Oracle Services do Oracle Services Network, como a Oracle Cloud Infrastructure, armazenamento de objetos, ADW e ATP. O tráfego entre uma instância na VCN e um Oracle Service suportado usa o endereço IP privado da instância para roteamento, percorre a malha Oracle Cloud Infrastructure e nunca atravessa a Internet. Assim como o gateway da Internet ou o NAT, o gateway de serviço é um dispositivo virtual altamente disponível e escalável dinamicamente para suportar a largura de banda da rede da sua VCN.

Quais serviços Oracle Cloud Infrastructure posso acessar por meio de um gateway de serviço?

Atualmente, você pode configurar o gateway de serviço para acessar Oracle Services no Oracle Services Network. Atualmente, um grande número de serviços Oracle está disponível nesta rede (consulte a lista completa) e mais serviços serão adicionados no futuro à medida que forem implementados na Oracle Cloud Infrastructure.

Atualmente, estou usando um gateway da Internet ou NAT para acessar um Oracle Service como o ADW. Como uso o gateway de serviço para acessar o mesmo ponto de extremidade do Oracle Service?

  • Crie um gateway de serviço para a VCN.
  • Atualize o roteamento da VCN para encaminhar todo o tráfego de serviços Oracle no Oracle Services Network usando o gateway de serviço em vez de usar o gateway da Internet ou NAT.

Para ver instruções, consulte Acesso ao Object Storage: Service Gateway. Observe que o gateway de serviço Oracle Cloud Infrastructure permite o acesso a Oracle Services na região para proteger seus dados da Internet. Seus aplicativos podem exigir acesso a terminais ou serviços públicos não suportados pelo gateway de serviços, por exemplo, para atualizações ou patches. Verifique se você possui um gateway NAT ou outro acesso à Internet, se necessário.

O que é um rótulo CIDR de serviço?

O gateway de serviços usa o conceito de um rótulo CIDR de serviço, que é uma sequência que representa todos os intervalos de endereços IP públicos regionais para o serviço ou um grupo de serviços (por exemplo, Serviços OCI IAD no Oracle Services Network é o rótulo que mapeia aos blocos regionais do CIDR no Oracle Services Network em us-ashburn-1). Você usa o rótulo CIDR de serviço ao configurar o gateway de serviço e as regras de rota/segurança. Para ver instruções, consulte Acesso ao Oracle Services: Service Gateway.

Posso configurar o gateway de serviço para acessar serviços em execução em uma região diferente?

Não. O gateway de serviço é regional e pode acessar apenas serviços em execução na mesma região.

Posso permitir o acesso a um bucket de armazenamento de objetos apenas de VCNs ou sub-redes específicas?

Sim. Se você estiver usando um gateway de serviço, poderá definir uma política do IAM que permita o acesso a um bucket somente se as solicitações forem de um intervalo específico de VCN ou CIDR. A política IAM funciona apenas para o tráfego roteado por meio do gateway de serviço. O acesso é bloqueado se a política IAM estiver em vigor e o tráfego passar por um gateway da Internet. Além disso, esteja ciente de que a política IAM impede que você acesse o bucket por meio do console. O acesso é permitido apenas programaticamente a partir de recursos na VCN.

Para ver um exemplo de política de IAM, consulte Acesso ao Object Storage: Service Gateway.

Posso ter vários gateways de serviço na minha VCN?

Não. Uma VCN pode ter apenas um gateway de serviço no momento.

Posso usar um gateway de serviço com o peering VCN?

Não. Uma VCN emparelhada com outra VCN que possui um gateway de serviço não pode usá-lo para acessar Oracle Services.

Posso aproveitar um gateway de serviço para estabelecer conectividade (por meio do FastConnect) da minha rede on-premises à minha VCN?

Não. No entanto, você pode usar o peering público FastConnect para fazer isso (sem acessar a Internet).

Existem novos limites de taxa de transferência ao usar um gateway de serviço?

Não. As instâncias obtêm a mesma taxa de transferência com o gateway de serviço do que quando o tráfego é roteado por meio de um gateway da Internet.

Quanto custa o gateway de serviço?

O gateway de serviço é um serviço gratuito para todos os clientes do Oracle Cloud Infrastructure.

Segurança VCN

O que são listas de segurança e por que preciso delas?

Uma lista de segurança fornece um firewall virtual para uma instância, com regras de entrada e saída que especificam os tipos de tráfego permitidos dentro e fora da instância. Você pode proteger sua instância de computação usando listas de segurança. Você configura suas listas de segurança no nível de sub-rede, o que significa que todas as instâncias na sub-rede estão sujeitas ao mesmo conjunto de regras da lista de segurança. As regras são aplicadas no nível de instância e controlam o tráfego no nível de pacote.

Quais listas de segurança são aplicáveis a uma determinada instância? Como está envolvida a lista de segurança padrão da VCN?

Uma determinada VNIC em uma instância está sujeita às listas de segurança associadas à sub-rede da VNIC. Ao criar uma sub-rede, você especifica uma ou mais listas de segurança a serem associadas a ela, e isso pode incluir a lista de segurança padrão da VCN. Se você não especificar pelo menos uma lista de segurança durante a criação da sub-rede, a lista de segurança padrão da VCN será associada à sub-rede. As listas de segurança estão associadas no nível da sub-rede, mas as regras se aplicam ao tráfego da VNIC no nível do pacote.

Posso alterar as listas de segurança usadas pela minha sub-rede depois de criar a sub-rede?

Sim. Você pode editar propriedades de sub-rede para adicionar ou remover listas de segurança. Você também pode editar as regras individuais em uma lista de segurança.

Quantas listas e regras de segurança eu posso configurar?

Há um limite para o número de listas de segurança que você pode criar, o número de listas que você pode associar a uma sub-rede e o número de regras que você pode adicionar a uma determinada lista. Para obter os limites atuais de serviço e instruções sobre como solicitar um aumento nos limites, consulte a Documentação de Ajuda dos Limites de Serviço.

Posso usar as regras de "negação" nas listas de segurança?

Não. As listas de segurança usam apenas regras de "permissão". Todo o tráfego é negado por padrão e apenas o tráfego de rede correspondente aos atributos especificados nas regras é permitido.

Que tipo de regras são suportadas nas listas de segurança?

Cada regra é com estado ou sem estado e uma regra de entrada ou de saída.

Com regras com estado, uma vez que um pacote de rede correspondente à regra é permitido, o rastreamento de conexão é usado e todos os pacotes de rede adicionais pertencentes a essa conexão são automaticamente permitidos. Portanto, se você criar uma regra de entrada com estado, o tráfego de entrada correspondente à regra e o tráfego de saída correspondente (resposta) serão permitidos.

Com regras sem estado, apenas os pacotes de rede correspondentes à regra são permitidos. Portanto, se você criar uma regra de entrada sem estado, apenas o tráfego recebido será permitido. Você precisa criar uma regra de saída sem estado correspondente para corresponder ao tráfego de saída (resposta) correspondente.

Para mais informações, consulte a Documentação de Suporte de Listas de Segurança.

O que são grupos de segurança de rede e como eles são diferentes das listas de segurança?

Grupos de segurança de rede e listas de segurança são duas maneiras diferentes de implementar regras de segurança, que são regras que controlam o tráfego permitido de entrada e saída de e para VNICs.

As listas de segurança permitem definir um conjunto de regras de segurança que se aplicam a todas as VNICs em uma determinada sub-rede. Os grupos de segurança de rede (NSGs) permitem definir um conjunto de regras de segurança que se aplicam a um grupo de VNICs de sua escolha. Por exemplo: um grupo de instâncias de computação que têm a mesma postura de segurança.

Para obter mais informações:

Existe uma ordem ou prioridade de regras de segurança nos NSGs versus as listas de segurança?

Não. Por padrão, todo o tráfego é negado. As regras de segurança permitem apenas tráfego. O conjunto de regras que se aplica a uma determinada VNIC é a união desses itens:

  • As regras de segurança nas listas de segurança associadas à sub-rede da VNIC
  • As regras de segurança em todos os NSGs em que a VNIC está

Quais serviços Oracle suportam o uso de NSGs?

Serviços de computação, balanceamento de carga e banco de dados. Isso significa que, ao criar uma instância de computação, um balanceador de carga ou um sistema de banco de dados, você pode especificar um ou mais grupos de segurança de rede para controlar o tráfego desses recursos.

Com a introdução do recurso NSG, precisamos de uma lista de segurança?

Com a introdução de NSGs, não há alterações no comportamento da lista de segurança. Sua VCN ainda possui uma lista de segurança padrão que você pode usar opcionalmente com as sub-redes da sua VCN.

Podemos definir o NSG como uma origem ou destino para regras de segurança?

Ao escrever regras para um NSG, você tem a opção de especificar um NSG como a origem do tráfego (para regras de entrada) ou o destino do tráfego (para regras de saída). A capacidade de especificar um NSG significa que você pode escrever regras facilmente para controlar o tráfego entre dois NSGs diferentes. Os NSGs devem estar na mesma VCN.

Posso escrever regras de segurança que controlam o tráfego explicitamente entre NSGs em diferentes VCNs?

Não. Quando você escreve uma regra de segurança NSG que especifica outro NSG como a origem ou o destino, esse NSG deve estar na mesma VCN. Isso ocorre mesmo que o outro NSG esteja em uma VCN espelhada diferente da lista de segurança.

As listas de segurança permitem definir um conjunto de regras de segurança que se aplicam a todas as VNICs em uma sub-rede inteira, enquanto os grupos de segurança de rede (NSGs) permitem definir um conjunto de regras de segurança que se aplicam a um grupo de VNICs de sua escolha (incluindo VNICs de balanceadores de carga ou sistemas de banco de dados) em uma VCN.

Roteamento de VCN

O que é uma tabela de rotas VCN?

Uma tabela de rotas VCN contém regras para rotear o tráfego destinado a locais fora da VCN.

Cada regra em uma tabela de rota possui um bloco CIDR de destino e um destino de rota. Quando o tráfego de saída da sub-rede corresponde ao bloco CIDR de destino da regra de rota, o tráfego é roteado para o destino da rota. Exemplos de destinos de roteamento comuns incluem: um gateway de internet ou de roteamento dinâmico.

Para mais informações, veja Tabelas de Rotas.

Quais tabelas de rotas são aplicáveis a uma determinada instância? Como está envolvida a tabela de rotas padrão da VCN?

Um determinado VNIC em uma instância está sujeito às tabelas de rotas associadas à sub-rede da VNIC. Ao criar uma sub-rede, você especifica uma tabela de rota a ser associada a ela e pode ser a tabela de rota padrão da VCN ou outra que você já criou. Se você não especificar uma tabela de rotas durante a criação da sub-rede, a tabela de rotas padrão da VCN será associada à sub-rede. A tabela de rotas é associada ao nível da sub-rede, mas as regras se aplicam ao tráfego da VNIC no nível do pacote.

Posso criar uma regra de rota para qualquer bloco CIDR de destino?

Não. Atualmente, você pode adicionar uma regra de rota apenas para um bloco CIDR que não se sobreponha ao espaço de endereço da VCN.

Posso alterar a tabela de rotas usada pela minha sub-rede depois de criar a sub-rede?

Sim. Você pode editar as propriedades da sub-rede para alterar a tabela de rotas. Você também pode editar as regras individuais em uma tabela de rotas.

A VCN suporta roteamento baseado na fonte?

Não. Atualmente, não.

Quantas regras de rota posso criar em uma única tabela de rotas?

Há um limite para o número de regras em uma tabela de rotas. Veja a Documentação de Ajuda dos Limites de Serviço.

Posso usar um IP privado como destino da rota na regra de rota da VCN?

Sim. Você pode usar um IP privado como destino de uma regra de rota nas situações em que deseja rotear o tráfego de uma sub-rede para outra instância na mesma VCN. Para requisitos e outros detalhes, consulte Usando um IP Privado como Destino de Rota.

Peering VCN

O que é peering VCN?

O peering VCN é um processo de conexão de duas VCNs para permitir conectividade privada e fluxo de tráfego entre elas. Existem dois tipos gerais de peering:

  • Pareamento local de VCN (ou pareamento de invasão): As duas VCNs estão na mesma região. Eles podem estar no mesmo arrendamento (no mesmo ou em diferentes compartimentos) ou em diferentes arrendamentos.
  • Pareamento remoto de VCN (ou pareamento de VCN entre regiões): as duas VCNs estão em regiões diferentes.

Para obter mais informações, consulte Acesso a outras VCNs: pareamento.

O peering VCN é suportado em todas as regiões?

  • O peering VCN local (ou peering intrarregional) é suportado em todas as regiões.
  • O peering VCN remoto (ou em interregião) é atualmente suportado. A lista de regiões suportadas pode ser encontrada na documentação do produto.

Por que preciso de peering VCN?

  • Com peering VCN local, você tem flexibilidade para organizar seus recursos para separar as VCNs e atender aos requisitos de governança e presença regional, além de permitir conectividade privada nessas VCNs. Com peering VCN local de locação cruzada, você obtém flexibilidade para organizar seus recursos em VCNs separadas em diferentes locações, enquanto habilita a conectividade privada nessas VCNs. Você também pode habilitar um modelo de provedor de serviços, fornecendo acesso privado aos seus serviços para várias VCNs de consumidores (em diferentes locações) localizadas na mesma região.
  • Com peering VCN remoto, você obtém flexibilidade para organizar seus recursos para separar as VCNs e atender aos seus requisitos de governança, presença de várias regiões e recuperação de desastres, além de permitir conectividade privada entre essas VCNs em diferentes regiões.

Quais são os benefícios do peering VCN local?

  • Uma alternativa confiável e sem custo aos modelos de conectividade, como VPN, eliminando gateways da Internet, IPs públicos para instâncias, criptografia e gargalos de desempenho.
  • Facilidade de ativação de peering entre VCNs sem tempo de inatividade programado.
  • Conectividade privada para recursos em VCNs emparelhadas usando os links altamente redundantes da malha Oracle Cloud Infrastructure com largura de banda e latência previsíveis.

Como faço para estabelecer um peering VCN local entre duas VCNs?

Para obter instruções, consulte Peering VCN Local.

Posso estabelecer um peering local entre duas VCNs com intervalos de endereços sobrepostos?

Não. As duas VCNs em um relacionamento de peering local não podem ter CIDRs sobrepostos.

Posso estabelecer um peering local da minha VCN para duas outras VCNs com intervalos de endereços IP sobrepostos?

Sim. Se VCN-1 for emparelhada com outras duas VCNs (por exemplo, VCN-2 e VCN-3), essas duas VCNs (VCN-2 e VCN-3) poderão ter CIDRs sobrepostos.

Posso estabelecer uma conexão de peering local com uma VCN que pertence a outra conta?

Sim.

Quantos peerings locais posso estabelecer por VCN?

Uma determinada VCN pode ter no máximo dez pares locais por vez.

Quais são os benefícios do peering VCN remoto?

  • Uma alternativa confiável e de baixo custo aos modelos de conectividade, como VPN, eliminando gateways da Internet, IPs públicos para instâncias, criptografia e gargalos de desempenho.
  • Facilidade de ativação de peering entre VCNs sem tempo de inatividade programado.
  • Conectividade privada para recursos em VCNs emparelhadas usando os links de backbone altamente redundantes da malha Oracle Cloud Infrastructure com largura de banda e latência previsíveis.

Preciso de um gateway da Internet para criar uma conexão de peering remoto?

Não. Você estabelece uma conexão de peering remoto usando um gateway de roteamento dinâmico (DRG).

Como estabeleço um peering VCN remoto entre duas VCNs?

Para obter instruções, consulte Peering Remoto de VCN.

Posso estabelecer peering remoto entre duas VCNs com intervalos de endereços sobrepostos?

Não. As duas VCNs em um relacionamento de peering remoto não podem ter CIDRs sobrepostos.

Posso estabelecer um peering remoto da minha VCN para duas outras VCNs com intervalos de endereços IP sobrepostos?

Não. Se VCN-1 for emparelhada remotamente com outras duas VCNs (VCN-2 e VCN-3), essas duas VCNs (VCN-2 e VCN-3) não poderão ter CIDRs sobrepostos.

Posso estabelecer uma conexão de peering remoto com uma VCN que pertence a outra conta?

Não.

O tráfego de peering remoto da minha VCN é criptografado?

Sim. O tráfego de peering remoto da sua VCN é criptografado usando a criptografia de link padrão do setor.

Quantos peerings remotos posso estabelecer por VCN?

Uma determinada VCN pode ter no máximo dez peerings remotos por vez.

Como administrador da VCN-A, posso controlar a conectividade com apenas uma sub-rede específica na VCN-B emparelhada?

Sim. Você pode usar as tabelas de rotas e as listas de segurança da VCN-A para controlar a conectividade com a VCN-B emparelhada. Você pode permitir a conectividade com todo o intervalo de endereços da VCN-B ou limitá-la a uma ou mais sub-redes.

Como administrador da VCN-A, posso controlar quais sub-redes da VCN-A podem ser acessadas na VCN-B emparelhada?

Sim. Após o estabelecimento do peering local ou remoto, as instâncias na VCN-B podem enviar tráfego para o intervalo completo de endereços da VCN-A. No entanto, você pode limitar o acesso de instâncias na VCN-B a uma sub-rede específica na VCN-A usando regras de entrada apropriadas nas listas de segurança da sub-rede.

Existe um impacto no desempenho baseado na taxa de transferência e na latência sobre o peering local estabelecido entre duas VCNs?

Não. A taxa de transferência e a latência devem estar próximas das conexões intra-VCN. O tráfego sobre o peering local tem restrições de disponibilidade e largura de banda semelhantes ao tráfego entre instâncias em uma VCN.

Existe um impacto no desempenho baseado na taxa de transferência e na latência sobre o peering remoto estabelecido entre duas VCNs?

O peering VCN remoto usa o backbone entre regiões da Oracle Cloud Infrastructure, projetado para oferecer características superiores de desempenho e disponibilidade, e um SLA de 99,5% de disponibilidade para conectividade entre regiões. Como orientação, a Oracle fornece mais de 75 Mbps de taxa de transferência e latência menor que 60 ms entre as regiões dos EUA, 80 ms entre a UE e os EUA, 175 ms entre os EUA e APAC e 275 ms entre a UE e APAC.

Qual é o preço do peering VCN?

  • Pareamento local (intraregião): Sem custo.
  • Pareamento remoto (entre regiões): o preço se baseia na transferência de dados externa. Consulte os preços mais recentes publicados para "Transferência de Dados de Saída".

Roteamento de Trânsito de VCN

O que é o roteamento de trânsito de VCN (VTR)?

A solução de roteamento de trânsito de VCN (VTR) baseia-se em uma topologia de hub e spoke e permite que a VCN do hub forneça conectividade de trânsito entre várias VCNs de spoke (dentro da região) e redes on-premise. Somente uma única VPN FastConnect ou IPSec (conectada à VCN do hub) é necessária para que a rede on-premise se comunique com todas as VCNs spoke.

Como inicio o roteamento de trânsito VCN (VTR)?

Veja as instruções em Configurando o Roteamento de Trânsito de VCN no Console.

Quais tipos de redes remotas as VCNs spoke podem acessar usando a VCN do hub?

Atualmente, as VCNs spoke podem acessar suas redes on-premise usando a VCN do hub.

Posso configurar a VCN do hub para fornecer conectividade às VCNs spoke em regiões remotas da Oracle Cloud Infrastructure?

Não. A solução de roteamento de trânsito de VCN oferece suporte apenas à conectividade consolidada entre VCNs na mesma região.

Posso configurar a VCN do hub para que uma VCN spoke possa acessar apenas sub-redes específicas na rede on-premise?

Sim. Você controla isso com a tabela de rotas associada ao LPG na VCN do hub. Você pode configurar regras de rota restritivas que especificam apenas as sub-redes on-premise que você deseja disponibilizar para a VCN spoke. As rotas anunciadas para a VCN spoke são as da tabela de rotas e o CIDR da VCN do hub.

Posso configurar a VCN do hub para que a rede on-premise possa acessar apenas sub-redes específicas na VCN spoke?

Sim. Você controla isso com a tabela de rotas associada ao DRG na VCN do hub. Você pode configurar regras de rota restritivas que especificam apenas as sub-redes VCN spoke que você deseja disponibilizar para a rede on-premise. As rotas anunciadas para a rede on-premise são as da tabela de rotas e o CIDR da VCN do hub.

Existe um limite para o número de VCNs spoke que podem ser semelhantes à VCN do hub?

Sim. A VCN do hub é limitada a um máximo de 10 pares locais com VCNs spoke.

Posso configurar a VCN do hub para que a rede on-premise possa acessar Oracle Services?

Sim. Você pode adicionar um gateway de serviço a uma VCN conectada à sua rede on-premise por meio do FastConnect ou VPN Site-to-Site. Em seguida, você pode configurar regras de rota nas tabelas de rotas associadas ao DRG e ao gateway de serviço da VCN para direcionar o tráfego on-premise por meio da VCN aos Oracle Services de interesse. Os hosts on-premise podem usar seus IPs privados ao se comunicar com Oracle Services e o tráfego não passa pela Internet.

Para obter mais informações, consulte Roteamento de trânsito: acesso privado aos serviços Oracle.

Posso habilitar o roteamento por meio de um dispositivo virtual de rede (como uma instância de firewall) na VCN do hub?

Sim. Você pode configurar o roteamento de trânsito por meio de um IP privado no hub VCN. Nesse caso, você encaminha o tráfego para um IP privado na instância do firewall na VCN do hub. A instância do firewall pode inspecionar todo o tráfego entre você na rede on-premise e VCNs spoke.

Existem limites de desempenho relacionados ao roteamento de trânsito da VCN?

Se você estiver roteando por meio de uma instância de firewall (ou qualquer outro dispositivo virtual de rede) na VCN do hub, os limites de desempenho serão baseados nas características de E/S do dispositivo virtual de rede. Se você não está roteando o tráfego por meio de um dispositivo virtual de rede - e está roteando diretamente pelos gateways da VCN do hub - não há limites de desempenho. Os gateways são dispositivos virtuais altamente disponíveis e dimensionados dinamicamente para suportar os requisitos de largura de banda da rede.

Opções de DHCP

O que são opções de DHCP?

O DHCP (Dynamic Host Configuration Protocol) fornece uma estrutura para passar informações de configuração para hosts em uma rede IP. Os parâmetros de configuração e outras informações de controle são transportados para a instância no campo de opções ( RFC 2132) da mensagem DHCP. Cada sub-rede em uma VCN pode ter um único conjunto de opções DHCP associadas a ela.

Quais opções de DHCP posso configurar?

Você pode configurar duas opções que controlam como as instâncias na sua VCN resolvem os nomes de host do sistema de nomes de domínio (DNS):

  • Pesquisar domínio. Você pode especificar um único domínio de pesquisa.
  • Tipo DNS. Escolha:
    • Resolvedor de Internet e VCN (padrão)
    • Resolvedor personalizado (você pode especificar até três servidores DNS de sua escolha que você configura, gerencia e mantém por você)

Ao resolver uma consulta DNS, o SO da instância usa os servidores DNS especificados com o tipo de DNS e anexa o domínio de pesquisa ao valor que está sendo consultado. Para obter mais informações, consulte as Opções de DHCP.

Posso alterar as opções de DHCP usadas pela minha sub-rede depois de criar a sub-rede?

Sim. Você pode editar as propriedades da sub-rede para alterar qual conjunto de opções de DHCP a sub-rede usa. Você também pode alterar os valores das opções de DHCP.

DNS

Como configurar um nome de host DNS para minha instância?

Ao iniciar uma instância, você pode especificar um nome de host para a instância, juntamente com um nome para exibição. Esse nome de host, combinado com o nome de domínio da sub-rede, se torna o nome de domínio totalmente qualificado (FQDN) da sua instância. Esse FQDN é exclusivo na VCN e resolve o endereço IP privado da sua instância. Para mais detalhes, consulte DNS Na Sua Rede de Nuvem Virtual.

Observe que, para especificar um nome de host para a instância, a VCN e a sub-rede devem ser configuradas para ativar os nomes de host DNS.

Como configuro a VCN e a sub-rede para ativar nomes de host?

Ao criar uma VCN, você pode especificar seu rótulo DNS. Isso, combinada com o domínio pai oraclevcn.com, se torna o nome do domínio da VCN.

Ao criar uma sub-rede, você pode especificar seu rótulo DNS. Isso, combinado com o nome de domínio da VCN, se torna o nome de domínio da sub-rede.

Você pode habilitar um nome de host para uma instância de computação apenas se a VCN e a sub-rede forem criadas com um rótulo DNS.

O que é um nome de host DNS de uma instância de computação?

Um nome de host DNS é um nome que corresponde ao endereço IP de uma instância conectada a uma rede. No caso de uma VCN Oracle Cloud Infrastructure, todas as instâncias podem ser configuradas com um nome de host DNS que corresponda ao endereço privado da instância.

Um nome de domínio totalmente qualificado (FQDN) de uma instância se parece com hostname.subnetdnslabel.vcndnslabel.oraclevcn.com, onde hostname é o nome do host DNS da instância, subnetdnslabel e vcndnslabel são os rótulos DNS da sub-rede da instância e da VCN, respectivamente.

O domínio pai oraclevcn.com é reservado para uso com os hostnames de DNS criados na Oracle Cloud Infrastructure.

Posso renomear o nome do host da minha instância?

Sim.

Posso renomear o rótulo DNS de uma VCN ou sub-rede existente?

Não.

Se minha sub-rede estiver configurada para usar o resolvedor personalizado para DNS, os nomes de host DNS serão criados para instâncias nessa sub-rede?

Sim. Os nomes de host DNS são criados para instâncias, independentemente do tipo de DNS selecionado para a sub-rede.

Minha instância pode resolver nomes de host de instâncias em outras VCNs?

Não. A instância pode resolver nomes de host apenas de instâncias na mesma VCN.

Posso configurar meus servidores DNS personalizados para resolver nomes de host DNS internos da VCN?

Sim, você pode fazer isso com servidores DNS personalizados configurados na VCN. Você pode configurar servidores DNS personalizados para usarem 169.254.169.254 como o redirecionador do domínio VCN, por exemplo, contoso.oraclevcn.com.

Observe que os servidores DNS personalizados devem ser configurados em uma sub-rede que use "resolvedor de Internet e VCN" como o tipo DNS (para permitir o acesso ao endereço IP 169.254.169.254).

Para um exemplo de implementação com o provedor Oracle Terraform, consulte Configuração de DNS Híbrido.

Faturamento

Sou cobrado pelo uso de uma VCN?

Não há nenhum custo para criar VCNs e usá-las. No entanto, as taxas de uso de outros serviços Oracle Cloud Infrastructure (incluindo volumes em blocos e computação) e as taxas de transferência de dados são aplicadas às tarifas publicadas. Não há taxas de transferência de dados para nenhuma comunicação entre recursos dentro de uma VCN.

Como serei cobrado quando eu conectar minha VCN ao meu datacenter on-premise usando uma VPN IPSec?

Você será cobrado apenas pelas taxas de transferência de dados de saída da Oracle Cloud Infrastructure publicadas. Não há taxa de conexão VPN por hora ou mensal.

Quais são minhas tarifas de uso se eu usar outros recursos, como o banco de dados ou o serviço de armazenamento de objetos, de instâncias dentro da minha VCN?

Você não incorre em cobranças de transferência de dados ao acessar outros serviços Oracle Cloud Infrastructure públicos, como armazenamento de objetos, na mesma região. Todo o tráfego de rede via IPs públicos ou privados entre suas instâncias e outros recursos dentro da sua VCN, como um banco de dados ou balanceador de carga, está livre de taxas de transferência de dados.

Se você acessar recursos públicos Oracle Cloud Infrastructure por meio da VPN IPSec de dentro da sua VCN, incorre nas cobranças publicadas de transferência de dados de saída.

Seus preços incluem impostos?

Salvo indicação em contrário, os preços Oracle Cloud Infrastructure, incluindo taxas de transferência de dados de saída, excluem impostos e taxas aplicáveis, incluindo IVA e qualquer imposto sobre vendas aplicável.