OCI 网络详解:虚拟云网络 (VCN) 深度解析
抱歉,我需要您提供要翻译的具体文本内容(文章正文),才能为您完成翻译。请把需要翻译的文字粘贴在这里,我会在保持原有格式、代码块和链接不变的前提下,将其翻译成简体中文。
🧠 第 1 部分 – CIDR 区块与 IP 表示法(基础)
什么是 CIDR?
CIDR 代表 Classless Inter‑Domain Routing(无类域间路由)。
格式: A.B.C.D/x (例如 10.0.0.0/16)
/x= 网络部分- 剩余位 = 主机部分
IPv4 地址包含:
- 4 个八位字节
- 每个 8 位 → 共 32 位
大小规则
前缀越小,网络越大。
计算 IP 地址总数的公式:
2^(32 - x)示例
10.0.0.0/16 → 2^(32‑16) = 2^16 = 65,536 个 IP 地址二进制转换
每个八位字节基于 2 的幂:
| 128 | 64 | 32 | 16 | 8 | 4 | 2 | 1 |
|---|
示例
192.168.0.2 → 11000000.10101000.00000000.00000010你不需要每天手动转换,但理解这些概念会让子网划分变得更容易。
Source:
🏗️ 第 2 部分 – 什么是 VCN?
虚拟云网络(Virtual Cloud Network,VCN) 在 OCI 中具有以下特性:
- 软件定义
- 私有
- 区域级别
- 高可用
它位于单个 OCI 区域内部,但可以跨多个 可用域(Availability Domains,AD)。可以将其视为您在 Oracle Cloud 中的专属私有数据中心网络。
CIDR 限制
- 前缀必须在 /16 到 /30 之间
- 一个 VCN 最多可以拥有 16 个 IPv4 和 IPv6 CIDR 块
每个子网保留的 IP
Oracle 为每个子网保留三个 IP 地址:
- 第一个 IP – 网络地址
- 第二个 IP – 默认网关
- 最后一个 IP – 广播地址
这些地址不能分配给实例。
🧱 第三部分 – 子网
VCN 被划分为 子网。每个子网:
- 是一个连续的 IP 地址范围
- 不能与同一 VCN 中的其他子网重叠
子网范围
| 范围 | 描述 |
|---|---|
| AD‑Specific | 存在于单个可用域 |
| Regional(推荐) | 跨越所有可用域以实现高可用性 |
公有子网与私有子网
| 特性 | 公有 | 私有 |
|---|---|---|
| 公有 IP | 是 | 否 |
| 互联网访问 | 直接 | 通过 NAT |
| 典型使用场景 | Web 服务器 | 数据库、后端服务 |
重要提示: 您在创建后无法将子网从公有更改为私有。
🛣️ 第4部分 – 路由表
路由表 控制流量的去向。
- 每个子网必须关联 恰好一个 路由表。
- 路由表规则包括:
- 目标 CIDR
- 目标(下一跳)
示例规则
| 目标 CIDR | 路由目标 |
|---|---|
0.0.0.0/0 | Internet Gateway (IGW) |
192.168.0.0/16 | Dynamic Routing Gateway (DRG) |
最长前缀匹配(LPM)
如果有多条路由匹配同一目的地,则 最具体的(最长前缀)路由获胜。
示例: 对于目标为 192.168.20.19 的数据包,会选择 192.168.20.16/28 的路由,而不是 192.168.0.0/16,因为 /28 前缀更长。
🌍 Gateways Explained
| 网关 | 目的 | 关键特性 |
|---|---|---|
| Internet Gateway (IGW) | 提供双向互联网访问 | • 需要公共子网和公共 IP • 安全规则必须允许流量 • 每个 VCN 只能有一个 IGW |
| NAT Gateway | 允许私有子网实例在没有公共 IP 的情况下访问互联网 | • 仅出站 • 互联网不能发起入站连接 • 支持 TCP、UDP、ICMP • 最多 20 000 个并发连接 |
| Service Gateway | 通过 OCI 内部骨干网私密访问 Oracle 服务 | • 使用服务 CIDR 标签(例如 “All region services”、 “Object Storage”) • 无需手动维护 IP 范围 |
| Dynamic Routing Gateway (DRG) | 连接本地数据中心、其他 VCN 或跨区域网络 | • 混合云连接的核心组件 |
🔐 第5部分 – 安全层
OCI 网络使用分层安全。
安全列表 (Security Lists, SL)
- 在子网层面应用
- 影响子网中的所有实例
网络安全组 (Network Security Groups, NSG)
- 在VNIC(实例)层面应用
- 提供细粒度、资源特定的控制
- 可以引用其他 NSG
有状态 vs. 无状态规则
| 类型 | 行为 |
|---|---|
| 有状态(默认) | 跟踪连接;响应流量会自动被允许 |
| 无状态 | 不进行连接跟踪;必须显式允许返回流量(适用于高流量场景) |
联合规则
当安全列表和NSG同时生效时,只要子网的安全列表或附加的 NSG 中的任意规则允许,即允许该流量。这是 OR 逻辑,而非 AND。
🏘️ 简单类比
将 VCN 想象成一个 私人社区:
- region 是城市。
- Availability Domains 是城市中的街区。
- Subnets 是具体的街道。
- Gateways 是进出点(通往高速公路的道路、服务隧道等)。
- Route tables 是指示交通的路标。
- Security Lists 和 NSGs 是社区守望规则,决定谁可以在哪儿行走。
祝网络愉快!
→ 整个住宅小区
- 子网 → 小区内的一个街区
- 路由表 → 指引流量的 GPS
- 互联网网关 → 出口大门
- 安全列表 → 街区入口的守卫
- 网络安全组 (NSG) → 某栋房子的守卫
🧠 最后思考
如果 IAM 关注身份,那么 VCN 则关注连接性。
理解 CIDR、路由表、网关(IGW、NAT、服务网关、DRG)以及分层安全,正是将 云用户 与 云工程师 区分开的关键。
🔔 接下来会有什么
在本系列 OCI 的下一部分,我将拆解 OCI 中的 IP 管理:
- 私有 IP 与公网 IP
- 临时 IP 与保留 IP
- 自带 IP (BYOIP)
- 公网 IP 池
因为网络不仅止步于连接,它还延伸到智能的 IP 设计。这正是完整架构的起点。
敬请期待。