Oracle云基础设施文档-IP管理篇

一、私有IP

本主题描述了如何管理分配给虚拟云网络（VCN）实例的IPv4地址。

1、私有IP地址概述

实例使用 IP 地址进行通信。每个实例至少有一个私有 IP 地址，还可以选择拥有一个或多个公共 IP 地址。私有 IP 地址使实例能够与 VCN 内的其他实例或内部本地网络中的主机进行通信（通过站点到站点 VPN 或 Oracle 云基础设施快速连接）。公共 IP 地址使实例能够与互联网上的主机进行通信。

2、关于私有IP对象

网络服务支持通过私有IP对象分配私有IP地址。私有IP对象可以是以下任一类型：

IP地址：一个/32位IP地址。
IP CIDR地址：通过网络掩码（CIDR符号）指定的IP地址范围。

IP地址属性

IP地址可以包括以下内容：

DNS的可选主机名。
为它分配了一个可选的公共IP。
指定为主IP或次要私有IP地址。

IP CIDR 地址属性

IP CIDR 地址私有对象始终是一个次级私有 IP 对象，具有用户定义的 '/X' 网掩码值。

私有IP对象属性

私有IP对象具有以下属性：

由你或Oracle分配。
Oracle 分配的 OCID（参见资源标识符）。如果你使用 API，还可以为每个私有 IP 对象分配友好名称。
类型：IP地址（/32位IP地址）或IP CIDR地址（CIDR格式中的IP地址范围）。
可选关联自定义路由表（参见按资源路由）。对于 IP CIDR 地址，该范围内的所有 IP 共享自定义路由表关联。

每个实例在实例创建时都会接收一个主私有IP对象。网络服务使用动态主机配置协议（DHCP）将对象的私有IP地址传递给实例。该地址在实例生命周期内不会变化，也无法从实例中移除。实例被终止时，私有IP对象也被终止。

删除线格式如果实例连接了任何次级VNIC，每个VNIC也都有一个主私有IP。

私有IP地址可以选择被分配公共IP。

私有IP对象可以成为VCN路由规则的目标。更多信息请参见"使用私有IP作为路由目标"。

关于二级私有IP对象

你可以在计算实例创建后添加二级私有IP地址或二级私有IP的CIDR地址。你可以把它添加到主VNIC或实例上的次要VNIC。二级私有IP地址或二级私有IP CIDR地址必须来自VNIC子网中的某个CIDR。如果两个VNIC属于同一子网，你可以将一个实例上的次级私有IP地址或IP CIDR地址从一个实例的VNIC转移到另一个实例的VNIC。CIDR IP 地址不能与其他任何保留或分配的私有 IP 对象重叠。

以下是你可能使用二级私有IP地址的一些原因：

实例故障切换：你给实例分配一个二级私有IP。如果实例出现问题，你可以轻松地将该次级私有IP重新分配给同一子网内的备用实例。如果次级私有IP被分配了公网IP，那么该公网IP会随着私有IP一起移动。
在单一实例上运行多个服务或端点：例如，你可以在一个实例上运行多个容器 pod，每个 pod 使用VCN的CIDR中的IP地址。容器与VCN中的其他实例和服务有直接连接。另一个例子：你可以运行多个SSL网站，每个网站使用自己的IP地址。

以下是你可能使用次级私有IP CIDR地址的一些原因：

增加VNIC上的私有IP地址数量：如果你需要超过64个私有IP地址，就给VNIC分配一个二级私有IP CIDR地址。你可以给一个比/26更大的网掩码的CIDR块分配，或者创建多个更小的CIDR块。但每个VNIC不得超过64个私有IP对象的限制。
加速IP地址分配：为VNIC分配一个次级私有IP CIDR地址，可以在单一API调用中分配连续的IP地址范围。这种方法可以在几秒钟内提供额外的IP地址。

以下是关于次级私有IP对象的更多细节：

它们支持所有计算形状和作系统类型，无论是裸机（BM）还是虚拟机（VM）实例。
一个VNIC最多可拥有65个私有IPv4地址：1个主私有IP地址和最多64个次级私有IP地址的组合。一个VNIC还可以有32个次级IPv6对象。VNIC的主地址是IPv4，除非子网配置为仅IPv6地址。
它们只能在实例创建（或创建/附加备用 VNIC 后）后分配。
分配给区域子网内VNIC的次级私有IP对象具有空可用性域属性。与此相比，VNIC的主私有IP始终将其可用性域属性设置为实例的可用性域，无论实例的子网是区域性的还是特定于AD的。
从VNIC中删除次级私有IP对象会将地址或地址范围返回到子网中可用地址池中。
当你终止实例（或分离/删除备用VNIC）时，它们会自动被删除。
实例的带宽是固定的，无论连接多少私有IP对象。你不能为实例上的某个特定IP地址指定带宽限制。
第二个私有IP地址可以被分配一个预留的公共IP。IP CIDR地址，包括CIDR范围内的所有单个IP地址，不能被分配公共IP。
一个二级私有IP地址可以创建一个用于IP解析的FQDN。而二级私有IP的CIDR地址则无法实现。
次级私有主机IP地址和IP CIDR地址内的每个独立IP地址都可以查询VCN的DNS解析器IP地址。
无论是次级私有IP地址还是IP CIDR地址，都无法查询IMDS端点的IP地址。

私有IP对象自动分配行为
IPv4 自动分配

如果一个子网只有一个IPv4 CIDR块，则该前缀会自动分配私有IP地址和IP。
当一个子网有多个 IPv4 CIDR 块时，分配行为会有所不同：
1、如果你在分配时指定CIDR块，IPv4私有IP地址和IP的CIDR地址会随机分配到该块。
2、如果你在分配时没有指定CIDR区块：1、IPv4私有IP地址从子网中的第一个CIDR块分配。您可以在控制台子网详情视图中的 IPv4 CIDR 块字段或 GetSubnet API 详情字段中查看该块。2、IPv4私有IP的CIDR地址是从子网中其他CIDR块分配的。

IPv6 自动分配

IPv6对象具有独特的分配行为：

所有IPv6对象如果有，都优先从Oracle-GUA前缀分配。
如果没有 Oracle-GUA 前缀，则从 BYOIPv6-GUA 前缀分配对象。
如果既没有 Oracle-GUA 也没有 BYOIPv6-GUA 前缀，则对象由 ULA 前缀分配。
IPv6地址从第一个前缀自动分配。::/80
IPv6 CIDR地址自动从子网内剩余的网络空间分配。::/64

二、公网IP

本主题介绍如何管理虚拟云网络（VCN）中实例的公有IPv4地址。

1、公网IP概述

公网IP地址是指可从互联网访问的IPv4地址。如果您的租户中的某个资源需要直接从互联网访问，则该资源必须拥有公共IP地址。根据资源类型的不同，可能还有其他要求。

您租户中的某些类型资源设计为可直接从互联网访问，因此会自动配备公共IP地址。例如：NAT网关或公共负载均衡器。其他类型的资源只有在您进行相应配置后才能直接访问。例如：您的VCN中的实例。

实例与公网IP地址

您可以为实例分配一个公有 IP 地址，以实现与互联网的通信。该实例将从 Oracle 云基础设施地址池中分配一个公有 IP 地址。

该分配实际上针对的是与实例的VNIC关联的私有IP对象。分配了私有IP的VNIC必须位于公有子网中。单个实例可以拥有多个辅助VNIC，而单个VNIC又可以拥有多个辅助私有IP地址。因此，如果您愿意，可以将多个公有IP对象分配给单个实例，这些IP对象可跨一个或多个VNIC。

要使实例直接与互联网通信，需满足以下所有条件：

实例必须位于公有子网。
实例必须具有保留或临时公共 IP 地址。
实例的 VCN 必须具有互联网网关。
公共子网必须配置相应的路由表和安全列表。

公共IP对象

联网服务定义了一种称为公共IP的对象，该对象具有以下属性：

公共IPv4地址（由Oracle选择）
进一步定义对象类型和行为的属性。例如，每个公共 IP 对象都具有 Oracle 分配的 OCID。
分配给实例VNIC所使用的私有IP地址。
可选将公共IP地址与自定义路由表关联（请参阅按资源路由)。
如果您使用的是 API，您还可以为每个公共 IP 对象分配一个描述性名称。
此处所用的术语公共IP通常指代的是对象，而不仅仅是其所包含的IP地址。

公网IP的类型

公网IP可分为以下两种类型：

短暂：该对象是临时的，仅在实例的生命周期内存在。
已保留：该对象是持久化的，其存在时间超出分配它的实例的生命周期。您可以随时取消分配该对象，然后将其重新分配给另一个实例。例外情况是公共负载均衡器上的已保留公共IP。

下表总结了两种类型之间的差异。

特征	临时公有IP	预留公有IP
允许分配	仅针对VNIC的主私有IP地址,限制：1、每个VNIC一个。2、每个虚拟机实例两个，每个裸金属实例16个	针对主私有IP或次私有IP,限制：每VNIC65个
创建	可在实例启动时或创建辅助VNIC时选择性地创建并分配。如果VNIC尚未拥有，则您也可稍后创建并分配一个。	您可以随时创建一个。然后，您可以在任何您喜欢的时候分配它。限制：每个区域最多可创建50个
取消分配	您可以随时取消分配它，这将删除该实例。如果您启动实例时指定了一个公网IP，但又不希望实例拥有该IP，您可能会执行此操作。当您停止实例时，其临时公共IP地址仍保留在该实例上。	您可以随时取消分配，这会将其返回到您租户的预留公共 IP 池。
移动到其他资源	您无法将临时公共IP地址移动到不同的私有IP地址。	如果分配给次要私有IP：如果您将私有IP移动到不同的VNIC（必须位于同一子网内），则保留的公有IP也会随之移动。您可以随时将其移动（取消分配后再重新分配）到同一区域内的另一个私有 IP。该 IP 可位于不同的 VCN 或可用区。
自动删除	其生命周期与私有 IP 的生命周期绑定。当满足以下条件时，将自动取消分配并删除：1、其私有IP被删除。2、其VNIC已分离或终止。3、其实例已终止	从不。只要你不删除，它就一直存在。
范围	可用性域	区域级（可分配给该区域中任何可用性域的私有 IP）
隔间和可用性域	与私有 IP 相同	可与私有 IP 不同

在公有子网中启动实例时，默认情况下，该实例会获得一个公有 IP 地址，除非您另有指定。

在创建给定的公共IP对象后，您将无法更改其类型。因此，如果您启动一个实例并为其分配一个临时公共IP地址203.0.113.2，您将无法将该临时公共IP转换为具有相同地址203.0.113.2的预留公共IP。

上表列出了每个VNIC和实例的公网IP限制。如果您尝试执行任何将公网IP分配或移动到已达到其公网IP限制的VNIC或实例的操作，系统将返回错误。操作包括：

分配公有 IP
创建具有公有 IP 的新辅助 VNIC
将具有公网IP的私有IP移动到另一个VNIC
将公网IP移动到另一个私有IP

始终获取公共 IP 的资源

如前所述，某些类型的资源旨在可直接从互联网访问。例如：NAT 网关或公共负载均衡器。这些资源在创建时会自动获得一个公共 IP 地址。Oracle 会从 Oracle 池中选择该公共 IP 地址。您无法删除或更改地址。

对于公共负载均衡器，该地址可以是您从地址池中创建并可在创建时分配给负载均衡器的区域级预留公共 IP 地址，也可以是 Oracle 在负载均衡器生命周期内分配的临时公共 IP 地址。当不再需要该负载均衡器时，临时 IP 地址将返回到可用地址池，但预留的 IP 地址可移至其他资源。在使用期间，此公共 IP 会显示在您的租户预留公共 IP 列表中，而您可以在控制台中查看.

对于 NAT 网关，您可以选择保留或临时公共 IP 地址。默认情况下，Oracle 会从其 IP 池中自动分配一个 IP 地址。请参阅创建 NAT 网关.

临时 IP 地址：Oracle 会从其地址池中分配一个临时 IP 地址。这是默认选项。
保留的 IP 地址：您可以按名称选择现有的保留 IP 地址，也可以创建一个新的保留 IP。要创建新的保留 IP，请提供一个名称并选择一个源 IP 池；如果未选择任何池，则将使用默认的 Oracle IP 池。或者，您也可以利用 BYOIP 功能创建自己的公有 IP池，然后为您的 NAT 网关分配一个保留的公有IP。

所需 IAM 策略

要使用 Oracle 云基础设施，管理员必须是租户管理员在策略中授予安全访问权限的组成员。无论您是通过控制台，还是通过 REST API 以及 SDK、CLI 或其他工具进行操作，都需具备此访问权限。如果您收到无权限或未授权的消息，请向租户管理员核实您拥有的访问权限类型以及哪些您的访问权限适用的区域。

三、自带IP

Oracle 云基础设施允许您自带 IP 地址空间，与 Oracle 云基础设施中的资源配合使用，此外还可使用 Oracle 拥有的地址。

BYOIP 让您能够管理您的 IPv4 CIDR 块和 IPv6 前缀，以与您现有的安全、管理和部署策略保持一致，并实现：

解决方案连续性和硬编码依赖关系：您的VCN是您公共互联网环境的延伸，无需重新制定策略和管理流程。如果您在设备中硬编码了IP地址，或构建了依赖于特定IP地址的架构，采用BYOIP方案可实现向Oracle云基础设施的无缝迁移。
IP地址池管理：一些网络管理员需要能够将一组IPv4地址汇总为地址池，并为负载均衡器、防火墙或Web服务器等部署创建资源。IP地址池管理提供工具来管理已保留的公共IPv4地址。IPv6不使用IP地址池管理。
IP信誉：一些互联网服务依赖于连续的IP地址空间（例如从1到255的完整IP地址段），并充当主要电子邮件服务提供商与邮件传输系统等服务之间的可信联系点。

Oracle 会对导入的 IPv4 CIDR 块或 IPv6 前缀执行验证过程；验证完成后，您将收到通知，表明这些地址块可供宣告使用。您可以从 BYOIP CIDR 块中指定子网段，创建一个或多个公共 IPv4 地址池，并使用 IP 池来分配特定资源。您可以根据需要启动或停止 BYOIP 路由的广告。IPv6 不使用 IP 地址池，但您同样可以将前缀分配给 VCN 和子网。

要求与准备

您必须拥有要导入 Oracle 云基础设施的公共 IPv4 CIDR 块或 IPv6 前缀的所有权，且该所有权须已在支持的区域互联网注册机构 (RIR) 注册。Oracle 将验证您地址的所有权。仅支持以下注册表，且地址必须具有指定类型或状态：

美国互联网号码注册管理机构（ARIN）---"直接分配"和 "直接指定"网络类型
欧洲IP网络协调中心（RIPE NCC）---"已分配PA"、"遗留"、"已分配PI"和"由RIR分配"分配状态
亚太网络信息中心（APNIC）------"已分配可移植"和 "已指定可移植"分配状态

IP地址范围内的地址必须具有良好的历史记录。我们可能会对IP地址范围的信誉进行调查，并保留拒绝包含与恶意行为相关的IP地址的IP地址范围的权利。

限制与配额

您的地址只能导入到特定的 Oracle 区域。
您可以使用自带IP地址方案，其IPv4 CIDR块的最小前缀为/24，最大前缀为/8。
导入的IPv6前缀必须为/48或更大。
您一次不能将同一地址范围分配给多个隔间。
您可以将最多20个IPv4 CIDR块或IPv6前缀（或两者的组合）引入您的Oracle云基础设施账户。
您最多可为每个 VCN 分配五个 IPv6 前缀，每个子网最多可分配三个。如果某个 VNIC 所属的子网分配了多个 IPv6 前缀，则您可以从多个前缀中为该 VNIC 分配 IPv6 地址。
BYOIP 不适用于 Oracle 云基础设施免费套餐，必须为按使用量付费服务申请。

BYOIP流程概览

在Oracle云基础设施中实现BYOIP所需的步骤耗时较长，请据此做好相应规划。流程如下图所示：

在您租赁的某个隔间内，您申请导入您拥有的公共IPv4 CIDR地址块或IPv6前缀。
Oracle 发出验证令牌。（API 用户必须修改其令牌。控制台用户将获得已完成的令牌。）
您会将验证令牌添加到您的 RIR 服务所保存的该公共 IPv4 CIDR 块或 IPv6 前缀的相关信息中。具体细节因 RIR 而异。更新生效可能最长需要一天时间。如果您在更新生效前进入下一步，则完成整个流程所需的时间将额外增加一天。请参阅要导入 BYOIP IPv4 CIDR 块或 IPv6 前缀了解详情。
在您的区域互联网注册管理机构（RIR）处创建一个路由源授权（ROA）。在该 ROA 中，请提供 Oracle 的 BGP 自治系统编号（ASN）。Oracle 商业云的 BGP ASN 为 31898，但塞尔维亚中部（Jovanovac）区域除外，其 ASN 为 14544。该 ROA 用于授权 Oracle 宣告您自带的 IP（BYOIP）CIDR 地址块。
请求 Oracle 完成导入请求。此工作流最长需要 10 个工作日完成，同时 Oracle 将与 RIR 沟通并核实您拥有这些 IP 地址。
Oracle 会将 BYOIP 地址分配给您租户中的隔离区。
此时，BYOIP IPv4 CIDR 块或 IPv6 前缀可由您在自己的分区内管理。您可以将 IPv4 地址添加到 IP 池中,然后将其用作保留的 IP 地址。IPv6 前缀不使用池，您可以直接将子网分配给 VCN，或将整个 IPv6 前缀分配VCN。您还可以向互联网宣传BYOIP CIDR块或BYOIPv6前缀。

所需 IAM 策略

IAM 资源限制

有关适用限制的列表以及请求提高限制的说明,请参阅按服务划分的限制。要为资源或资源系列设置特定于隔间（分组）的限制，管理员可以使用隔间配额。

四、自带ASN

将您自己的自治系统编号 (ASN) 带到 Oracle 云基础设施，并在 OCI 环境中使用您现有的 ASN。

ASN 是一种为互联网上的网络分配的唯一编号，使不同网络能够通过边界网关协议 (BGP) 相互交换路由信息。ASN 还可用于安全策略，以识别网络流量来源，从而让您根据流量的源网络进行过滤。

当您将自带IP地址（BYOIP）引入OCI以实现无缝工作负载迁移时，将自带自治系统号（BYOASN）引入OCI则无需重新配置基于IP地址的访问策略及其他耗时任务。

使用BYOASN将您的ASN导入OCI，将其与您的BYOIP CIDR（IPv4/IPv6）关联，并使用您自己的ASN而非OCI ASN来宣告IPv4或IPv6地址。源自OCI的流量将以您的ASN作为源ASN，而非OCI ASN。为OCI BYOIP前缀宣告的路由也将携带您的ASN，而非OCI ASN，从而使OCI BYOIP前缀能够被同时检查ASN和IP地址的地点所接受。您还可以在不撤销前缀通告的情况下，动态更改您的BYOIP与BYOASN之间的关联。

要求与准备

在开始之前，请确保：

您已完成针对BYOIP。
您已使用BYOIP。
您拥有要导入 Oracle Cloud 的 ASN 的所有权。
您已通过针对您计划与 ASN 关联的 ASN 和 CIDR 前缀的路由起源授权 (ROA) 验证。

警告：对于给定前缀，OCI 使用 OCI ASN 在 RADB 中创建路由对象。当后续 ASN 与该前缀关联时，它们会被添加到 AS-SET 中。OCI 不会将您的 ASN 更新为 RADB 中的起源 ASN。根据我们对大多数中转提供商的了解，此操作应能正常工作。但是，如果您与执行严格检查的提供商合作，请将您的 ASN 作为源 ASN 更新到 RADB。
注意：请注意，可能存在长达24小时的传播延迟，因为某些提供商可能需要长达24小时才能更新其路由表。因此，您的ASN前缀在OCI发布后可能无法立即访问。当您将 ASN 与 BYOIP 前缀关联时，它将显示为源 ASN，并会被添加到 OCI ASN 的前面，随后该 OCI ASN 将作为中转 ASN 出现在 AS 路径中。

五、公共IP地址池

公共 IP 池就是将一组 IPv4 CIDR 块分配给租户的集合。这些 CIDR 块可以是整个的，也可以是自定义 IP CIDR 块的一部分。分配给池的公共 IP CIDR 块仅适用于您的租户。在启动 NAT 网关、负载均衡器或计算实例时，公共 IP 池可用作 IP 分配的来源。您可以随时向公共 IP 池添加更多的 IP CIDR 块。您还可以：

创建预留 IP：您可以从公共 IP 地址池中预留单个 IP。这些预留的 IP 地址可绑定到您的资源。
直接从地址池启动：您可以直接使用从公共IP地址池中分配的IP地址启动资源，而无需事先为该资源创建预留IP。
删除 CIDR 块和池：您可以删除整个公有 IP 池或池中的某些 IP CIDR 块，前提是当前没有 IP 地址已分配或保留。

注意：IPv6 地址不使用此处描述的 IP 池功能。相反，您可以直接将 IPv6 前缀分配给 VCN 和子网。

要求与准备

若要使用带有自定义 IP 地址的公共 IP 池，请先导入您的 IP 地址。
若要预订由 Oracle 提供的公共 IP 地址，请在创建预留的公共 IP 地址时选择"Oracle"作为公共 IP 池。

限制与配额

您可以在一个分区内创建一个或最多10个公共IP池。
一个公共IP池可以分配零个或多个IP CIDR范围，其最小大小为/28，最大大小为/24。

所需 IAM 策略

IAM 资源限制

有关适用限制的列表以及请求提高限制的说明,请参阅按服务划分的限制。要为资源或资源系列设置特定于隔间（分组）的限制，管理员可以使用隔间配额.