Lokales VCN-Peering mit lokalen Peering-Gateways
In diesem Thema geht es um lokales VCN-Peering. Lokal bedeutet in diesem Fall, dass sich die VCNs in derselben Region befinden. Wenn sich die VCNs in unterschiedlichen Regionen befinden, finden Sie weitere Informationen unter Remote-VCN-Peering mit einem Legacy-DRG.
Lokale Peering-Gateways werden weiterhin unterstützt. In diesem Szenario wird davon ausgegangen, dass Sie ein Legacy-DRG verwenden. Wir empfehlen das Routing von Traffic von einem VCN zu einem anderen über ein upgegradetes DRG, wie unter Lokales VCN-Peering über ein upgegradetes DRG beschrieben.
Lokales VCN-Peering - Überblick
Beim lokalen VCN-Peering werden zwei VCNs in derselben Region miteinander verbunden, sodass ihre Ressourcen über private IP-Adressen kommunizieren können, ohne dass Traffic über das Internet oder über ein On-Premise-Netzwerk geleitet werden muss. Die VCNs können sich entweder im selben oder in verschiedenen Oracle Cloud Infrastructure-Mandanten befinden. Ohne Peering benötigt ein VCN ein Internetgateway und öffentliche IP-Adressen für die Instanzen, die mit einem anderen VCN kommunizieren müssen.
Informationen zu Limits finden Sie unter Gatewaylimits und Erhöhung des Servicelimits anfordern.
Weitere Informationen finden Sie unter Zugriff auf andere VCNs: Peering.
Übersicht der Netzwerkkomponenten für Peering mit einem LPG
Auf hoher Ebene sind folgende Networking-Servicekomponenten für ein lokales Peering erforderlich:
- Zwei VCNs in derselben Region, deren CIDRs sich nicht überschneiden
- Ein lokales Peering-Gateway (LPG), das an jedes VCN in der Peering-Beziehung angehängt ist
- Eine Verbindung zwischen diesen beiden LPGs
- Routingregeln, die den Traffic über die Verbindung und gegebenenfalls nur über die ausgewählten Subnetzen in den jeweiligen VCNs zulassen (sofern gewünscht).
- Sicherheitsregeln zur Steuerung der Traffictypen, die an und von den Instanzen in den Subnetzen zulässig sind, die mit dem anderen VCN kommunizieren müssen.
Das folgende Diagramm veranschaulicht die Komponenten.
Ein VCN kann mit Peer-LPGs die folgenden Ressourcen erreichen:
- VNICs im anderen VCN
- Ein On-Premise-Netzwerk, das an ein anderes VCN angehängt ist, wenn ein erweitertes Routingszenario mit dem Namen Transitrouting für die VCNs eingerichtet wurde
Ein VCN kann sein Peer-VCN nicht verwenden, um andere Ziele außerhalb der VCNs (wie das Internet) zu erreichen. Beispiel: Wenn VCN-1 im vorherigen Diagramm ein Internetgateway hätte, könnten die Instanzen in VCN-2 dieses nicht zum Senden von Traffic an Endpunkte im Internet verwenden. VCN-2 könnte jedoch Traffic vom Internet über VCN-1 empfangen. Weitere Informationen finden Sie unter Wichtige Auswirkungen von VCN-Peering.
Explizite Zustimmung von beiden Seiten erforderlich
Das Peering umfasst zwei VCNs, die zu derselben Partei oder zu zwei verschiedenen Parteien gehören können. Die beiden Parteien befinden sich möglicherweise beide in demselben Unternehmen, aber in verschiedenen Abteilungen. Die Parteien könnten sich auch in komplett verschiedenen Unternehmen befinden (Beispiel: in einem Serviceanbietermodell).
Das Peering zwischen zwei VCNs erfordert eine explizite Zustimmung beider Parteien in Form von Oracle Cloud Infrastructure Identity and Access Management-Policys, die jede Partei für das Compartment oder den Mandanten ihres eigenen VCN implementiert. Wenn sich die VCNs in unterschiedlichen Mandanten befinden, muss jeder Administrator die Mandanten-OCID angeben und spezielle Policy-Anweisungen einrichten, um das Peering zu aktivieren.
Erweitertes Szenario: Transitrouting
Das erweiterte Routingszenario namens Transitrouting kombiniert die Kommunikation zwischen einem On-Premise-Netzwerk und verschiedenen VCNs über ein einzelnes Oracle Cloud Infrastructure FastConnect oder Site-to-Site-VPN. Die VCNs müssen in derselben Region vorhanden und per lokalem Peering in einem Hub-and-Spoke-Layout verbunden sein. Im Rahmen des Szenarios verfügt das als Hub fungierte VCN über eine Routentabelle, die mit jedem LPG verbunden ist. (In der Regel werden Routentabellen mit den Subnetzen eines VCN verknüpft.)
Beim Erstellen eines LPG können Sie optional eine Routentabelle damit verknüpfen. Wenn bereits ein LPG ohne eine Routentabelle vorhanden ist, können Sie eine Routentabelle damit verknüpfen. Die Routentabelle muss zum VCN dieses LPG gehören. Eine Routentabelle, die einem LPG zugeordnet ist, kann nur Regeln enthalten, die das an das VCN angehängte DRG als Ziel verwenden. Sie kann auch private IP-Next-Hop-Routen zu einer Instanz im VCN unterstützen.
Ein LPG kann auch ohne zugehörige Routentabelle vorhanden sein. Sobald Sie eine Routentabelle jedoch mit einem LPG verknüpft haben, muss immer eine Routentabelle mit ihm verknüpft sein. Sie können jedoch eine andere Routentabelle mit dem LPG verknüpfen. Sie können auch die Regeln der Tabelle bearbeiten sowie einige oder alle Regeln löschen.
Wichtige Konzepte für das lokale Peering
Die folgenden Konzepte helfen Ihnen dabei, die Grundlagen von VCN-Peering zu verstehen und ein lokales Peering einzurichten.
- PEERING
- Beim Peering handelt es sich um eine einzelne Peering-Beziehung zwischen zwei VCNs. Beispiel: Wenn VCN-1 per Peering mit drei anderen VCNs verbunden ist, sind drei Peers vorhanden. Der lokale Teil des lokalen Peerings gibt an, dass die VCNs sich in derselben Region befinden. Für ein bestimmtes VCN sind jeweils maximal 10 lokale Peerings möglich.
- VCN-ADMINISTRATOREN
- Im Allgemeinen kann VCN-Peering nur dann stattfinden, wenn beide VCN-Administratoren dem zustimmen. In der Praxis bedeutet dies, dass die beiden Administratoren:
- ACCEPTOR UND REQUESTOR
- Um die für ein Peering erforderlichen IAM-Policys zu implementieren, müssen die beiden VCN-Administratoren einen Administrator als Requestor und den anderen als Acceptor zuweisen. Der Requestor ist derjenige, der die Anforderung zum Verbinden der beiden LPGs initiieren muss. Der Acceptor erstellt wiederum eine bestimmte IAM-Policy, die dem Requestsor die Berechtigung zum Verbinden zu den LPGs im Compartment des Acceptors erteilt. Ohne diese Policy wird die Anforderung des Requestors zum Verbinden nicht erfolgreich sein.
- LOKALES PEERING-GATEWAY (LPG)
- Lokales Peering-Gateway (LPG) ist eine Komponente in einem VCN, mit der Traffic an ein lokales Peer-VCN geleitet wird. Bei der VCN-Konfiguration muss jeder Administrator ein LPG für sein VCN erstellen. Ein bestimmtes VCN muss für jedes lokale Peering ein separates LPG haben (max. 10 LPGs pro VCN). Im vorherigen Beispiel würde dies Folgendes bedeuten: VCN-1 hätte drei LPGs für das Peering mit drei anderen VCNs. In der API ist ein LocalPeeringGateway ein Objekt, das Informationen zum Peering enthält. Ein LPG kann nicht für die Einrichtung eines anderen Peerings wiederverwendet werden.
- PEERING-VERBINDUNG
- Wenn der Requestor die Anforderung zum Peering (in der Konsole oder API) auslöst, fordert er die andere Seiten auf, die beiden LPGs zu verbinden. Der Requestor muss Informationen zur Identifizierung jedes LPG haben (wie Compartment und Name des LPG oder LPG-OCID). Jeder Administrator muss die erforderlichen IAM-Policys für das Compartment oder den Mandanten einrichten.
- ROUTING ZUM LPG
- Bei der Konfiguration der VCNs muss jeder Administrator das Routing des VCN aktualisieren, um den Traffic zwischen den VCNs zu ermöglichen. In der Praxis ist dies genauso, wie beim Einrichten von Routing für jedes Gateway (wie Internetgateway oder dynamisches Routinggateway). Aktualisieren Sie für jedes Subnetz, das mit dem anderen VCN kommunizieren muss, die Routentabelle des Subnetzes. Die Routingregel gibt das CIDR des Zieltraffics und das LPG als Ziel an. Das LPG leitet Traffic, der dieser Regel entspricht, an das andere LPG weiter, das den Traffic wiederum zum nächsten Hop im anderen VCN weiterleitet.
- SICHERHEITSREGELN
- Jedes Subnetz in einem VCN verfügt über mindestens eine Sicherheitsliste, die den Traffic in die und aus den VNICs des Subnetzes auf der Paketebene steuert. Mit Sicherheitslisten steuern Sie, welcher Traffictyp für das andere VCN zulässig ist. Bei der Konfiguration der VCNs muss jeder Administrator entscheiden, welche Subnetze in seinem eigenen VCN mit VNICs in dem anderen VCN kommunizieren müssen, und dass die Sicherheitslisten des Subnetzes entsprechend aktualisiert werden.
Wichtige Auswirkungen von VCN-Peering
Sofern noch nicht geschehen, lesen Sie Wichtige Auswirkungen von Peering, um die wichtigen Auswirkungen auf die Zugriffskontrolle, Sicherheit und Performance von Peer-VCNs zu verstehen.
Lokales Peering einrichten
Im Folgenden wird der allgemeine Prozess zum Einrichten eines Peerings zwischen zwei VCNs in derselben Region beschrieben:
- LPGs erstellen: Jeder VCN-Administrator erstellt einen LPG für das eigene VCN.
- Informationen gemeinsam verwenden: Die Administratoren verwenden die grundlegenden erforderlichen Informationen gemeinsam.
- Erforderliche IAM-Policys für die Verbindung einrichten: Die Administratoren richten IAM-Policys ein, damit die Verbindung hergestellt werden kann.
- Verbindung herstellen: Der Requestor verbindet die beiden LPGs.
- Routentabellen aktualisieren: Jeder Administrator aktualisiert die Routentabellen seines VCN, um den Traffic zwischen den Peer-VCNs wie gewünscht zu ermöglichen.
- Sicherheitsregeln aktualisieren: Jeder Administrator aktualisiert die Sicherheitsregeln ihres VCN, um den Traffic zwischen den Peer-VCNs wie gewünscht zu ermöglichen.
Gegebenenfalls können Administratoren vor dem Verbindungsaufbau die Aufgaben E und F ausführen. In diesem Fall muss jeder Administrator den CIDR-Block oder bestimmte Subnetze aus dem VCN der jeweils anderen Seite kennen und diese in Aufgabe B gemeinsam verwenden. Nach dem Herstellen der Verbindung können Sie den CIDR-Block des anderen VCN abrufen, indem Sie die Details des lokalen LPG in der Konsole anzeigen. Suchen Sie nach Von Peer angebotenes CIDR. Wenn Sie die API verwenden, suchen Sie nach dem Parameter peerAdvertisedCidr
.
Sie müssen auch einige IAM-Einstellungen wie Gruppen konfigurieren, bevor Sie den schrittweisen Prozess durchlaufen.
Weitere Informationen finden Sie unter Lokales Peering-Gateway erstellen. Weitere Aufgaben im Zusammenhang mit LPGs werden unter Lokales Peering-Gateway-Management beschrieben.
Wenn sich beide VCNs im selben Mandanten befinden, verwenden Sie die Policy in Lokales Peering mit einem LPG (VCNs im selben Mandanten).
Wenn sich die VCNs in unterschiedlichen Mandanten befinden, verwenden Sie die Policy in Lokales Peering mit einem LPG (VCNs in verschiedenen Mandanten).
Weitere Informationen finden Sie unter Verbindung zu einem anderen LPG herstellen. Weitere Aufgaben im Zusammenhang mit LPGs werden unter Lokales Peering-Gateway-Management beschrieben.
Konfigurieren Sie die Routentabellen so, dass sie die Informationen für das andere VCN aus Aufgabe B: Informationen freigeben verwenden. Verwenden Sie dazu die Anweisungen unter VCN-Routentabellen für die Verwendung eines LPG konfigurieren.
Konfigurieren Sie die Sicherheitsregeln so, dass sie die Informationen für das andere VCN aus Aufgabe B: Informationen freigeben verwenden. Verwenden Sie dazu die Anweisungen unter Sicherheitsregeln für die Verwendung eines LPG konfigurieren.