Wirtualne Sieci Chmurowe (VCN): Przewodnik

25/04/2023

Rating: 4.03 (1490 votes)

W dzisiejszym dynamicznym świecie technologii chmurowych, Wirtualne Sieci Chmurowe (VCN) odgrywają kluczową rolę w budowaniu i zarządzaniu elastycznymi i skalowalnymi infrastrukturami IT. Zrozumienie, czym jest VCN, jak działa i jakie korzyści przynosi, jest niezbędne dla każdego, kto pracuje z chmurą obliczeniową. Ten artykuł stanowi kompleksowy przewodnik po VCN, omawiając jego zastosowania, mechanizmy działania, routing, logi przepływu i wiele więcej.

What are VCN flow logs?
VCN flow logs show details about traffic that passes through a VCN. VCN flow logs help you audit traffic and troubleshoot security lists. Enable and manage flow logs from the Network Command Center. Use capture filters to evaluate and select traffic to include in the flow log.21 lut 2025
Spis treści

Czym jest i do czego służy VCN?

Wirtualna Sieć Chmurowa (VCN) to konfigurowalna, prywatna sieć, którą ustawiasz wewnątrz regionu chmury obliczeniowej. Podobnie jak tradycyjna sieć centrum danych, VCN zapewnia pełną kontrolę nad środowiskiem sieciowym. Możesz definiować przestrzenie adresowe IP, tworzyć podsieci, konfigurować tablice routingu i bramy. VCN umożliwia uruchamianie zasobów obliczeniowych, takich jak instancje maszyn wirtualnych, w bezpiecznej i odizolowanej sieci.

Głównym celem VCN jest zapewnienie izolacji sieciowej i bezpieczeństwa w chmurze. Dzięki VCN możesz oddzielić swoje środowisko chmurowe od publicznego Internetu i innych klientów chmury. Pozwala to na budowanie aplikacji o wysokich wymaganiach bezpieczeństwa i zgodności z przepisami.

VCN jest wykorzystywane do:

  • Hostowania aplikacji internetowych: VCN zapewnia infrastrukturę sieciową dla aplikacji internetowych, umożliwiając ich skalowanie i dostępność.
  • Rozszerzania centrów danych: VCN może być używany do rozszerzenia istniejącego centrum danych do chmury, tworząc hybrydowe środowisko chmurowe.
  • Tworzenia środowisk testowych i deweloperskich: VCN umożliwia szybkie i łatwe tworzenie odizolowanych środowisk do testowania i rozwoju aplikacji.
  • Wdrażania aplikacji korporacyjnych: VCN zapewnia bezpieczne i niezawodne środowisko dla aplikacji korporacyjnych, takich jak systemy ERP i CRM.
  • Współpracy i udostępniania zasobów: VCN ułatwia bezpieczną współpracę i udostępnianie zasobów między różnymi zespołami i organizacjami.

Jak działa wirtualna sieć?

Środowisko, które wykorzystuje wirtualną sieć, łączy urządzenia i maszyny wirtualne, niezależnie od ich lokalizacji, za pomocą oprogramowania zamiast fizycznych kabli. W tradycyjnej konfiguracji dane są przesyłane przez routery i przełączniki. Kiedy router odbiera sygnał, może przekazać go do urządzenia lub systemu, który o niego prosi. Przełącznik może być używany do wysyłania danych do różnych obszarów sieci. Jednak te komponenty są zależne od fizycznych połączeń, które umożliwiają dotarcie do nich danych. Prywatne sieci wirtualne pełnią funkcje routerów i przełączników za pomocą oprogramowania.

What is VCN used for?
A virtual cloud network (VCN) refers to a system that has devices, virtual machines, servers, and data centers linked and controlled using wireless technology and software. With virtual cloud networking, an organization can expand their network as they see fit, without having to sacrifice efficiency and functionality.

Aby komputery mogły łączyć się z siecią, tradycyjnie musiały używać kart sieciowych (NIC) i adapterów, które są fizycznie podłączone do sieci. W przypadku wirtualnej sieci chmurowej tego rodzaju połączenia są realizowane za pomocą oprogramowania zamiast komponentów fizycznych. Odbywa się to za pomocą aplikacji określanej mianem „wirtualnego przełącznika” lub „vSwitch”, która kieruje i kontroluje komunikację, która musi nastąpić między fizycznymi elementami sieci, takimi jak komputery i urządzenia IoT, a wirtualnymi elementami sieci, takimi jak maszyny wirtualne.

Ponadto, wirtualny adapter sieciowy służy do umożliwienia komputerom i maszynom wirtualnym łączenia się z siecią. Może być również używany do umożliwienia całej sieci LAN połączenia z inną siecią znacznie wykraczającą poza fizyczne granice LAN.

W tradycyjnej, fizycznej sieci używasz LAN do łączenia kilku urządzeń z zasobami. Mogą to być elementy takie jak pamięć masowa, routery lub serwer. Musiałbyś użyć połączeń Ethernet lub Wi-Fi, aby podłączyć każde urządzenie do sieci.

Jednak w przypadku wirtualnej sieci, możesz mieć wirtualną sieć LAN (VLAN), która ułatwia wszystkie połączenia za pomocą oprogramowania. Ponadto, sposób grupowania komputerów jest również kontrolowany przez oprogramowanie. Otwiera to możliwość, aby komputery podłączone do różnych przełączników działały tak, jakby wszystkie były podłączone do tego samego. I odwrotnie, komputery, które są fizycznie połączone, ponieważ współdzielą to samo okablowanie, nadal mogą być umieszczone w różnych sieciach. Używasz oprogramowania, aby zdecydować, które komputery łączą się z którymi sieciami, zamiast konieczności prowadzenia kabli od komponentów do komputerów.

How to ingest vcn flow logs into splunk?
STEPS FOR STREAMING VCN FLOW LOGS1Step 1: Enable Flow Logs for a Subnet.2Step 2: Configure the Splunk Source Type.3Step 3: Create the Field Transform in Splunk.4Step 4: Create an HEC Token from Splunk Enterprise.5Step 5: Configure the Oracle Function.6Step 6: Configure the Function to Trigger an Event.

Zwirtualizowane środowisko sieciowe umożliwia scentralizowane sterowanie i prostszy system zarządzania siecią. Na przykład, jeśli musisz zaktualizować komputery w jednym obszarze sieci, możesz wdrożyć aktualizację bez konieczności wychodzenia z biura — lub biurka. Możesz również przeprowadzać testowanie systemów bezpieczeństwa, rozwiązań oprogramowania i produktów z dowolnego urządzenia podłączonego do sieci, niezależnie od jego fizycznej lokalizacji.

Czym jest routing VCN?

VCN używa tablic routingu do wysyłania ruchu poza VCN (na przykład do Internetu, do sieci lokalnej lub do VCN w relacji peeringu). Te tablice routingu mają reguły, które wyglądają i działają podobnie do tradycyjnych reguł routingu sieciowego, które możesz już znać. Każda reguła określa docelowy blok CIDR i cel (następny przeskok) dla każdego ruchu, który pasuje do tego CIDR.

Oto podstawowe informacje o routingu w VCN:

  • Podstawowy scenariusz routingu dotyczy wysyłania ruchu podsieci do miejsc docelowych poza podsiecią. Podsieć ma jedną tablicę routingu z nią powiązaną, chyba że VNIC ma tablicę routingu bezpośrednio powiązaną ze sobą lub z jej adresami IP. Wszystkie VNIC w tej podsieci podlegają regułom w tablicy routingu. Reguły regulują sposób routingu ruchu opuszczającego podsieć.
  • Lokalny routing VCN automatycznie obsługuje ruch między podsieciami VCN i w ich obrębie. Routing lokalny nie wymaga definiowania jawnych reguł routingu w celu umożliwienia ruchu, lokalne reguły routingu są niejawne i nie są wyświetlane w tablicy routingu. Routing między podsieciami VCN można zmienić, dodając trasy statyczne (patrz Routing wewnątrz VCN).
  • Możesz użyć routingu wewnątrz VCN, aby określić prywatny adres IP następnego przeskoku, LPG lub DRG w VCN dla ruchu przeznaczonego do innej podsieci w VCN. Routing wewnątrz VCN umożliwia tworzenie bardziej złożonych przypadków użycia bezpieczeństwa i wirtualizacji sieci. OCI obsługuje również routing wewnątrz VCN dla ruchu wchodzącego do VCN przez bramę, oprócz ruchu między podsieciami.
  • Możesz użyć routingu per-resource, aby powiązać niestandardową tablicę routingu VCN z VNIC lub adresem IP na VNIC, co pozwala na różne routingi ruchu dla obciążeń w tej samej podsieci.
  • Jeśli tablica routingu ma nakładające się reguły, Oracle używa najbardziej szczegółowej reguły w tabeli do routingu ruchu (reguła z najdłuższym dopasowaniem prefiksu). Dwa CIDR są uważane za nakładające się, gdy jeden CIDR jest zawarty w drugim. Tablice routingu VCN zawierają wpisy dla lokalnych tras VCN. Jeśli utworzysz trasę statyczną dla bloku CIDR VCN (o tej samej długości prefiksu co lokalna trasa VCN), trasa statyczna ma pierwszeństwo.
  • Jeśli żadna reguła routingu nie pasuje do ruchu sieciowego, który zamierzasz routować poza VCN, ruch jest odrzucany (blackholed).

Routing wewnątrz VCN

Routing wewnątrz VCN umożliwia nadpisanie domyślnych decyzji routingowych stosowanych do ruchu przeznaczonego do adresów IP zawartych w bloku CIDR VCN. Routing wewnątrz VCN ma następujące możliwości:

  • Trasy lokalne: Każda VCN automatycznie routuje ruch wewnątrz VCN i między podsieciami VCN, chyba że dodasz reguły routingu stanowiące inaczej. Ruch lokalny korzysta z tablicy routingu powiązanej z podsiecią, w tym routingu lokalnego w obrębie CIDR VCN.
  • Niestandardowe trasy wewnątrz VCN: Są to reguły routingu, które tworzysz w tablicy routingu VCN lub podsieci dla ruchu wewnątrz VCN, które mogą nadpisać normalne trasy lokalne. Wszystkie niestandardowe trasy wewnątrz VCN mają cel (DRG, LPG lub prywatny adres IP w VCN) i typ trasy statycznej.
  • Wybór najlepszej trasy: Wybierane jest najdłuższe dopasowanie prefiksu (lub najbardziej szczegółowa trasa). Gdy możliwych jest kilka tras dla tego samego prefiksu, najlepsza trasa jest wybierana na podstawie następującego priorytetu typu trasy:
    • Trasy statyczne (zdefiniowane przez użytkownika)
    • Niejawne trasy lokalne (utworzone automatycznie przez OCI) niewidoczne w tablicy routingu

Routing wewnątrz podsieci nie jest obsługiwany. Ruch z docelowym adresem IP w tej samej podsieci co pochodzący VNIC jest przekazywany (a nie routowany) bezpośrednio do odpowiedniego miejsca docelowego.

Routing na bramie wejściowej

Możesz powiązać tablicę routingu z jedną z następujących bram:

  • Brama lokalnego peeringu (LPG)
  • Bramy routingu dynamicznego
  • Bramy internetowe
  • Bramy NAT
  • Bramy usługowe

Ważne: Jeśli powiążesz tablicę routingu z jedną z tych bram, od tego momentu brama musi zawsze mieć powiązaną tablicę routingu. Reguły powiązanej tablicy routingu można zmieniać lub usuwać. W przypadku bramy internetowej cel musi znajdować się w podsieci publicznej. Ruch opuszczający podsieć jest routowany za pomocą tablicy routingu podsieci. Ruch wchodzący do podsieci jest routowany za pomocą tablicy routingu bramy (tablicy routingu powiązanej z tą bramą). Reguły routingu dla routingu wejściowego bramy są obsługiwane w tablicach routingu powiązanych z następującymi zasobami:

Czym są logi przepływu VCN?

Użyj logów przepływu VCN, aby rejestrować informacje o ruchu sieciowym i spełniać potrzeby w zakresie kontroli i bezpieczeństwa.

What is VCN used for?
A virtual cloud network (VCN) refers to a system that has devices, virtual machines, servers, and data centers linked and controlled using wireless technology and software. With virtual cloud networking, an organization can expand their network as they see fit, without having to sacrifice efficiency and functionality.

Aby pomóc w rozwiązywaniu problemów z listami bezpieczeństwa lub audytowaniu ruchu przychodzącego i wychodzącego z VNIC, możesz skonfigurować logi przepływu VCN. Logi przepływu rejestrują szczegóły dotyczące ruchu, który został zaakceptowany lub odrzucony na podstawie reguł listy bezpieczeństwa.

Każdy zasób w VCN ma jedną lub więcej kart interfejsu sieciowego (VNIC). Usługa Networking wykorzystuje listy bezpieczeństwa, aby decydować, jaki ruch jest dozwolony przez konkretny VNIC. VNIC podlega wszystkim regułom wszystkich list bezpieczeństwa powiązanych z podsiecią VNIC.

Jak aktywowane i dostarczane są logi przepływu

Logi przepływu są aktywowane w centrum dowodzenia siecią i wykorzystują usługę Logging do przechowywania logów przepływu w grupie logów. Grupy logów to logiczne kontenery używane do zarządzania i organizowania logów przepływu.

Możesz wybrać spośród czterech typów punktów aktywacji:

  • Wirtualna sieć chmurowa (VCN): ruch jest rejestrowany dla istniejących i przyszłych VNIC we wszystkich podsieciach VCN.
  • Podsieć: ruch jest rejestrowany dla istniejących i przyszłych VNIC w tej podsieci.
  • VNIC: ruch jest rejestrowany dla określonych VNIC w VCN.
  • Zasoby: ruch jest rejestrowany dla instancji docelowej lub modułu równoważenia obciążenia sieci w VCN.

Każdy rekord logu przepływu zawiera informacje o ruchu z pojedynczego VNIC.

What is VCN routing?
Overview of Routing for a VCN. A VCN uses route tables to send traffic out of the VCN (for example, to the internet, to an on-premises network, or to a peered VCN).

Logi przepływu używają filtrów przechwytywania, aby wybrać, co jest uwzględniane w rejestrowanym ruchu. Za pomocą filtru przechwytywania możesz określić procent przepływów sieciowych, które chcesz przechwycić (współczynnik próbkowania). Możesz również tworzyć reguły, aby włączać lub wykluczać pakiety na podstawie określonych kryteriów. Filtr przechwytywania musi mieć co najmniej jedną regułę i może mieć do 10 reguł. Reguły filtru przechwytywania są sprawdzane w kolejności sekwencji, którą definiujesz. Po znalezieniu dopasowania stosowana jest ta reguła. Jeśli nie zostanie znalezione dopasowanie w konkretnej regule, oceniana jest następna reguła w sekwencji i wykonywana, jeśli pasuje. Zmiana kolejności reguł może zmienić zachowanie filtru przechwytywania.

Po aktywacji logów przepływu, dla każdego VNIC zbierana jest partia logów przepływu ze współczynnikiem próbkowania, który określisz w filtrze przechwytywania logu.

Możesz przeglądać zawartość logu przepływu i zarządzać logami przepływu i grupami logów z centrum dowodzenia siecią lub ze strony usługi Logging. Możesz przeglądać i zarządzać filtrami przechwytywania z centrum dowodzenia siecią.

Często zadawane pytania (FAQ)

Co to jest VCN?
VCN to Wirtualna Sieć Chmurowa, konfigurowalna prywatna sieć w chmurze obliczeniowej, zapewniająca izolację i bezpieczeństwo sieciowe.
Jakie są główne korzyści z używania VCN?
Główne korzyści to izolacja sieciowa, bezpieczeństwo, elastyczność, skalowalność i scentralizowane zarządzanie siecią.
Czym jest routing VCN?
Routing VCN to mechanizm kierowania ruchu sieciowego wewnątrz i poza VCN, za pomocą tablic routingu i reguł definiujących trasy.
Do czego służą logi przepływu VCN?
Logi przepływu VCN służą do rejestrowania informacji o ruchu sieciowym, co pomaga w monitorowaniu bezpieczeństwa, rozwiązywaniu problemów i audycie.
Czy mogę dostosować routing w VCN?
Tak, VCN oferuje elastyczne opcje routingu, w tym routing statyczny, routing wewnątrz VCN i routing per-resource, umożliwiając dostosowanie tras do specyficznych potrzeb.

Jeśli chcesz poznać inne artykuły podobne do Wirtualne Sieci Chmurowe (VCN): Przewodnik, możesz odwiedzić kategorię Rachunkowość.

Go up