Lokales VCN-Peering mit lokalen Peering-Gateways
In diesem Thema geht es um lokales VCN-Peering. In diesem Fall bedeutet lokal, dass sich die VCNs in derselben Region befinden. Wenn sich die VCNs in unterschiedlichen Regionen befinden, finden Sie weitere Informationen unter Remote-VCN-Peering mit einem Legacy-DRG.
Lokale Peering-Gateways werden weiterhin unterstützt. In diesem Szenario wird davon ausgegangen, dass Sie ein Legacy-DRG verwenden. Oracle empfiehlt derzeit, Traffic von einem VCN zu einem anderen über ein upgegradetes DRG zu leiten, wie unter Lokales VCN-Peering über ein upgegradetes DRG beschrieben.
Lokales VCN-Peering - Überblick
Beim lokalen VCN-Peering werden zwei VCNs in derselben Region verbunden, sodass ihre Ressourcen über private IP-Adressen kommunizieren können, ohne den Traffic über das Internet oder über ein On-Premise-Netzwerk zu leiten. Die VCNs können sich sowohl im selben als auch in verschiedenen Oracle Cloud Infrastructure-Mandanten befinden. Ohne Peering benötigt ein bestimmtes VCN ein Internetgateway und öffentliche IP-Adressen für die Instanzen, die mit einem anderen VCN kommunizieren müssen.
Informationen zu Limits finden Sie unter Gatewaylimits und Erhöhung des Servicelimits anfordern.
Weitere Informationen finden Sie unter Zugriff auf andere VCNs: Peering.
Übersicht der Netzwerkkomponenten für Peering mit einem LPG
Auf hoher Ebene sind folgende Networking-Servicekomponenten für ein lokales Peering erforderlich:
- Zwei VCNs mit nicht überlappenden CIDRs in derselben Region
- Ein lokales Peering-Gateway (LPG), das an jedes VCN in der Peering-Beziehung angehängt ist.
- Eine Verbindung zwischen diesen beiden LPGs.
- Unterstützende Routingregeln, die den Traffic über die Verbindung und nur zwischen den ausgewählten Subnetzen in den jeweiligen VCNs zulassen (sofern gewünscht).
- Unterstützende Sicherheitsregeln zur Steuerung, welche Traffictypen von und zu den Instanzen in den Subnetzen, die mit dem anderen VCN kommunizieren müssen, weitergeleitet werden dürfen.
Das folgende Diagramm veranschaulicht die Komponenten.
Ein bestimmtes VCN kann mit Peer-LPGs die folgenden Ressourcen erreichen:
- VNICs im anderen VCN
- Ein On-Premise-Netzwerk, das an ein anderes VCN angehängt ist, wenn ein erweitertes Routingszenario mit dem Namen Transitrouting für die VCNs eingerichtet wurde
Ein VCN kann sein Peer-VCN nicht verwenden, um andere Ziele außerhalb der VCNs (wie das Internet) zu erreichen. Beispiel: Wenn VCN-1 im vorherigen Diagramm ein Internetgateway hätte, könnte es von den Instanzen in VCN-2 nicht zum Senden von Traffic an Endpunkte im Internet verwendet werden. VCN-2 könnte jedoch Traffic vom Internet über VCN-1 empfangen. Weitere Informationen finden Sie unter Wichtige Auswirkungen von VCN-Peering.
Explizite Zustimmung von beiden Seiten erforderlich
Das Peering umfasst zwei VCNs, die zu derselben Partei oder zu zwei verschiedenen Parteien gehören können. Die Parteien befinden sich möglicherweise beide in Ihrem Unternehmen, aber in verschiedenen Abteilungen. Die Parteien könnten sich auch in komplett verschiedenen Unternehmen befinden (Beispiel: in einem Serviceanbietermodell).
Das Peering zwischen zwei VCNs erfordert eine explizite Zustimmung beider Parteien in Form von Oracle Cloud Infrastructure Identity and Access Management-Policys, die jede Partei für das Compartment oder den Mandanten des eigenen VCN implementiert. Wenn sich die VCNs in unterschiedlichen Mandanten befinden, muss jeder Administrator die Mandanten-OCID angeben und spezielle Policy-Anweisungen einrichten, um das Peering zu aktivieren.
Erweitertes Szenario: Transitrouting
Das erweiterte Routingszenario mit dem Namen Transitrouting ermöglicht die Kommunikation zwischen einem On-Premise-Netzwerk und mehreren VCNs über ein einzelnes Oracle Cloud Infrastructure FastConnect oder Site-to-Site-VPN. Die VCNs müssen in derselben Region vorhanden und per lokalem Peering in einem Hub-and-Spoke-Layout verbunden sein. Im Szenario verfügt das VCN, das als Hub fungiert, über eine Routentabelle, die mit jedem LPG verknüpft ist (in der Regel werden Routentabellen mit den Subnetzen eines VCN verknüpft).
Beim Erstellen eines LPG können Sie optional eine Routentabelle damit verknüpfen. Wenn bereits ein LPG ohne eine Routentabelle vorhanden ist, können Sie eine Routentabelle damit verknüpfen. Die Routentabelle muss zum VCN dieses LPG gehören. Eine Routentabelle, die einem LPG zugeordnet ist, kann nur Regeln enthalten, die das an das VCN angehängte DRG als Ziel verwenden. Es kann auch private IP-Next-Hop-Routen zu einer Instanz im VCN unterstützen.
Ein LPG kann auch ohne zugehörige Routentabelle vorhanden sein. Sobald Sie eine Routentabelle jedoch mit einem LPG verknüpft haben, muss immer eine Routentabelle mit ihm verknüpft sein. Sie können jedoch eine andere Routentabelle mit dem LPG verknüpfen. Sie können auch die Regeln der Tabelle bearbeiten sowie einige oder alle Regeln löschen.
Wichtige Konzepte für das lokale Peering
Die folgenden Konzepte helfen Ihnen dabei, die Grundlagen von VCN-Peering zu verstehen und ein lokales Peering einzurichten.
- PEERING
- Beim Peering handelt es sich um eine einzelne Peering-Beziehung zwischen zwei VCNs. Beispiel: Wenn VCN-1 per Peering mit drei anderen VCNs verbunden ist, sind drei Peerings vorhanden. Der lokale Teil des lokalen Peerings gibt an, dass die VCNs sich in derselben Region befinden. Für ein bestimmtes VCN sind jeweils maximal 10 lokale Peerings möglich.
- VCN-ADMINISTRATOREN
- Im Allgemeinen kann VCN-Peering nur dann stattfinden, wenn beide VCN-Administratoren dem zustimmen. In der Praxis bedeutet dies, dass die beiden Administratoren:
- ACCEPTOR UND REQUESTOR
- Um die für das Peering erforderlichen IAM-Policys zu implementieren, müssen die beiden VCN-Administratoren einen Administrator als Requestor und den anderen als Acceptor zuweisen. Der Requestor ist derjenige, der die Anforderung zum Verbinden der beiden LPGs initiiert. Der Acceptor erstellt wiederum eine bestimmte IAM-Policy, die dem Requestor die Berechtigung zum Verbinden zu den LPGs im Compartment des Acceptors erteilt. Ohne diese Policy wird die Anforderung des Requestors zum Verbinden nicht erfolgreich sein.
- LOKALES PEERING-GATEWAY (LPG)
- Lokales Peering-Gateway (LPG) ist eine Komponente in einem VCN, mit der Traffic an ein lokales Peer-VCN geleitet wird. Bei der VCN-Konfiguration muss jeder Administrator ein LPG für sein VCN erstellen. Ein bestimmtes VCN muss für jedes lokale Peering ein eigenes LPG haben (max. 10 LPGs pro VCN). Im vorherigen Beispiel würde dies Folgendes bedeuten: VCN-1 hätte drei LPGs für das Peering mit drei anderen VCNs. In der API ist ein LocalPeeringGateway ein Objekt, das Informationen zum Peering enthält. Ein LPG kann nicht für die Einrichtung eines anderen Peerings wiederverwendet werden.
- PEERING-VERBINDUNG
- Wenn der Requestor die Anforderung zum Peering (in der Konsole oder API) initiiert, fordert er praktisch die andere Seite auf, die beiden LPGs zu verbinden. Der Requestor muss Informationen zur Identifizierung jedes LPG haben (wie Compartment und Name des LPG oder LPG-OCID). Jeder Administrator muss die erforderlichen IAM-Policys für das Compartment oder den Mandanten einrichten.
- ROUTING ZUM LPG
- Bei der Konfiguration der VCNs muss jeder Administrator das Routing des VCN aktualisieren, um den Traffic zwischen den VCNs zu ermöglichen. In der Praxis ähnelt dies dem von Ihnen eingerichteten Routing für jedes Gateway (wie Internetgateway oder dynamisches Routinggateway). Aktualisieren Sie für jedes Subnetz, das mit dem anderen VCN kommunizieren muss, die Routentabelle des Subnetzes. Die Routingregel gibt das CIDR des Zieltraffics und das LPG als Ziel an. Das LPG leitet den Traffic, der dieser Regel entspricht, an das andere LPG weiter. Dieses LPG leitet den Traffic wiederum zum nächsten Hop im anderen VCN weiter.
- SICHERHEITSREGELN
- Jedes Subnetz in einem VCN verfügt über mindestens eine Sicherheitsliste, die den Traffic in die und aus den VNICs des Subnetzes auf der Paketebene steuert. Mit Sicherheitslisten steuern Sie, welcher Traffictyp für das andere VCN zulässig ist. Bei der Konfiguration der VCNs muss jeder Administrator auswählen, welche Subnetze in seinem eigenen VCN mit VNICs in dem anderen VCN kommunizieren müssen, und die Subnetzsicherheitslisten entsprechend aktualisieren.
Wichtige Auswirkungen von VCN-Peering
Sofern noch nicht geschehen, lesen Sie Wichtige Auswirkungen von Peering, um die wichtigen Auswirkungen auf die Zugriffskontrolle, Sicherheit und Performance von Peer-VCNs zu verstehen.
Lokales Peering einrichten
Im Folgenden wird der allgemeine Prozess zum Einrichten eines Peerings zwischen zwei VCNs in derselben Region beschrieben:
- LPGs erstellen: Jeder VCN-Administrator erstellt einen LPG für das eigene VCN.
- Informationen gemeinsam verwenden: Die Administratoren verwenden die grundlegenden erforderlichen Informationen gemeinsam.
- Erforderliche IAM-Policys für die Verbindung einrichten: Die Administratoren richten IAM-Policys ein, damit die Verbindung hergestellt werden kann.
- Verbindung herstellen: Der Requestor verbindet die beiden LPGs.
- Routentabellen aktualisieren: Jeder Administrator aktualisiert die Routentabellen seines VCN, um den Traffic zwischen den Peer-VCNs wie gewünscht zu ermöglichen.
- Sicherheitsregeln aktualisieren: Jeder Administrator aktualisiert die Sicherheitsregeln seines VCN, um den Traffic zwischen den Peer-VCNs wie gewünscht zu ermöglichen.
Gegebenenfalls können Administratoren die Aufgaben E und F vor dem Verbindungsaufbau ausführen. In diesem Fall muss jeder Administrator den CIDR-Block oder bestimmte Subnetze aus dem VCN der jeweils anderen Seite kennen und diese in Aufgabe B gemeinsam verwenden. Nach dem Herstellen der Verbindung können Sie auch den CIDR-Block des anderen VCN abrufen, indem Sie die entsprechenden LPG-Details in der Konsole anzeigen. Suchen Sie nach Von Peer angebotenes CIDR. Wenn Sie die API verwenden, suchen Sie nach dem Parameter peerAdvertisedCidr
.
Außerdem müssen Sie einige IAM-Einstellungen wie Gruppen vorkonfigurieren, bevor Sie den schrittweisen Prozess durchlaufen.
Anweisungen hierzu finden Sie unter Lokales Peering-Gateway erstellen.
Wenn sich beide VCNs in demselben Mandanten befinden, verwenden Sie die Policy im Lokalen Peering mit einem LPG (VCNs im selben Mandanten).
Wenn sich die VCNs in verschiedenen Mandanten befinden, verwenden Sie die Policy in Lokales Peering mit einem LPG (VCNs in verschiedenen Mandanten).
Anweisungen finden Sie unter Verbindung zu einem anderen LPG herstellen.
Konfigurieren Sie die Routentabellen so, dass sie die Informationen für das andere VCN verwenden, das Sie unter Aufgabe B: Informationen zum Teilen angegeben haben. Verwenden Sie dazu die Anweisungen unter VCN-Routentabellen zur Verwendung eines LPG konfigurieren.
Konfigurieren Sie die Sicherheitsregeln so, dass die Informationen für das andere VCN verwendet werden, das Sie unter Aufgabe B: Informationen zum Teilen angegeben haben. Verwenden Sie dazu die Anweisungen unter Sicherheitsregeln für die Verwendung eines LPG konfigurieren.