Lokales VCN-Peering mit lokalen Peering-Gateways

In diesem Thema geht es um lokales VCN-Peering. Lokal bedeutet in diesem Fall, dass sich die VCNs in derselben Region befinden. Wenn sich die VCNs in unterschiedlichen Regionen befinden, finden Sie weitere Informationen unter Remote-VCN-Peering mit einem Legacy-DRG.

Lokale Peering-Gateways werden weiterhin unterstützt. In diesem Szenario wird davon ausgegangen, dass Sie ein Legacy-DRG verwenden. Wir empfehlen das Routing von Traffic von einem VCN zu einem anderen über ein upgegradetes DRG, wie unter Lokales VCN-Peering über ein upgegradetes DRG beschrieben.

Lokales VCN-Peering - Überblick

Beim lokalen VCN-Peering werden zwei VCNs in derselben Region miteinander verbunden, sodass ihre Ressourcen über private IP-Adressen kommunizieren können, ohne dass Traffic über das Internet oder über ein On-Premise-Netzwerk geleitet werden muss. Die VCNs können sich entweder im selben oder in verschiedenen Oracle Cloud Infrastructure-Mandanten befinden. Ohne Peering benötigt ein VCN ein Internetgateway und öffentliche IP-Adressen für die Instanzen, die mit einem anderen VCN kommunizieren müssen.

Informationen zu Limits finden Sie unter Gatewaylimits und Erhöhung des Servicelimits anfordern.

Weitere Informationen finden Sie unter Zugriff auf andere VCNs: Peering.

Übersicht der Netzwerkkomponenten für Peering mit einem LPG

Auf hoher Ebene sind folgende Networking-Servicekomponenten für ein lokales Peering erforderlich:

  • Zwei VCNs in derselben Region, deren CIDRs sich nicht überschneiden
  • Ein lokales Peering-Gateway (LPG), das an jedes VCN in der Peering-Beziehung angehängt ist
  • Eine Verbindung zwischen diesen beiden LPGs
  • Routingregeln, die den Traffic über die Verbindung und gegebenenfalls nur über die ausgewählten Subnetzen in den jeweiligen VCNs zulassen (sofern gewünscht).
  • Sicherheitsregeln zur Steuerung der Traffictypen, die an und von den Instanzen in den Subnetzen zulässig sind, die mit dem anderen VCN kommunizieren müssen.

Das folgende Diagramm veranschaulicht die Komponenten.

Diese Abbildung zeigt das grundlegende Layout von zwei VCNs mit jeweils einem lokalen Peering-Gateway.
Hinweis

Ein VCN kann mit Peer-LPGs die folgenden Ressourcen erreichen:

  • VNICs im anderen VCN
  • Ein On-Premise-Netzwerk, das an ein anderes VCN angehängt ist, wenn ein erweitertes Routingszenario mit dem Namen Transitrouting für die VCNs eingerichtet wurde

Ein VCN kann sein Peer-VCN nicht verwenden, um andere Ziele außerhalb der VCNs (wie das Internet) zu erreichen. Beispiel: Wenn VCN-1 im vorherigen Diagramm ein Internetgateway hätte, könnten die Instanzen in VCN-2 dieses nicht zum Senden von Traffic an Endpunkte im Internet verwenden. VCN-2 könnte jedoch Traffic vom Internet über VCN-1 empfangen. Weitere Informationen finden Sie unter Wichtige Auswirkungen von VCN-Peering.

Explizite Zustimmung von beiden Seiten erforderlich

Das Peering umfasst zwei VCNs, die zu derselben Partei oder zu zwei verschiedenen Parteien gehören können. Die beiden Parteien befinden sich möglicherweise beide in demselben Unternehmen, aber in verschiedenen Abteilungen. Die Parteien könnten sich auch in komplett verschiedenen Unternehmen befinden (Beispiel: in einem Serviceanbietermodell).

Das Peering zwischen zwei VCNs erfordert eine explizite Zustimmung beider Parteien in Form von Oracle Cloud Infrastructure Identity and Access Management-Policys, die jede Partei für das Compartment oder den Mandanten ihres eigenen VCN implementiert. Wenn sich die VCNs in unterschiedlichen Mandanten befinden, muss jeder Administrator die Mandanten-OCID angeben und spezielle Policy-Anweisungen einrichten, um das Peering zu aktivieren.

Erweitertes Szenario: Transitrouting

Das erweiterte Routingszenario namens Transitrouting kombiniert die Kommunikation zwischen einem On-Premise-Netzwerk und verschiedenen VCNs über ein einzelnes Oracle Cloud Infrastructure FastConnect oder Site-to-Site-VPN. Die VCNs müssen in derselben Region vorhanden und per lokalem Peering in einem Hub-and-Spoke-Layout verbunden sein. Im Rahmen des Szenarios verfügt das als Hub fungierte VCN über eine Routentabelle, die mit jedem LPG verbunden ist. (In der Regel werden Routentabellen mit den Subnetzen eines VCN verknüpft.)

Beim Erstellen eines LPG können Sie optional eine Routentabelle damit verknüpfen. Wenn bereits ein LPG ohne eine Routentabelle vorhanden ist, können Sie eine Routentabelle damit verknüpfen. Die Routentabelle muss zum VCN dieses LPG gehören. Eine Routentabelle, die einem LPG zugeordnet ist, kann nur Regeln enthalten, die das an das VCN angehängte DRG als Ziel verwenden. Sie kann auch private IP-Next-Hop-Routen zu einer Instanz im VCN unterstützen.

Ein LPG kann auch ohne zugehörige Routentabelle vorhanden sein. Sobald Sie eine Routentabelle jedoch mit einem LPG verknüpft haben, muss immer eine Routentabelle mit ihm verknüpft sein. Sie können jedoch eine andere Routentabelle mit dem LPG verknüpfen. Sie können auch die Regeln der Tabelle bearbeiten sowie einige oder alle Regeln löschen.

Wichtige Konzepte für das lokale Peering

Die folgenden Konzepte helfen Ihnen dabei, die Grundlagen von VCN-Peering zu verstehen und ein lokales Peering einzurichten.

PEERING
Beim Peering handelt es sich um eine einzelne Peering-Beziehung zwischen zwei VCNs. Beispiel: Wenn VCN-1 per Peering mit drei anderen VCNs verbunden ist, sind drei Peers vorhanden. Der lokale Teil des lokalen Peerings gibt an, dass die VCNs sich in derselben Region befinden. Für ein bestimmtes VCN sind jeweils maximal 10 lokale Peerings möglich.
Achtung

Die CIDRs der beiden VCNs in der Peering-Beziehung dürfen sich nicht überschneiden. Wenn jedoch VCN-1 per Peering mit drei anderen VCNs verbunden ist, dürfen die CIDRs dieser drei VCNs sich überschneiden. Sie würden die Subnetze in VCN-1 so einrichten, dass Routingregeln vorhanden sind, die den Traffic zum Ziel-Peer-VCN weiterleiten.
VCN-ADMINISTRATOREN
Im Allgemeinen kann VCN-Peering nur dann stattfinden, wenn beide VCN-Administratoren dem zustimmen. In der Praxis bedeutet dies, dass die beiden Administratoren:
  • Einige grundlegende Informationen gemeinsam verwenden.
  • Die Einrichtung der erforderlichen Oracle Cloud Infrastructure Identity and Access Management-Policys koordinieren, um das Peering zu ermöglichen.
  • Ihre VCNs für das Peering konfigurieren.
Je nach Situation kann ein einzelner Administrator sowohl für beide VCNs als auch für die zugehörigen Policys zuständig sein.
Weitere Informationen zu den erforderlichen Policys und der VCN-Konfiguration finden Sie unter Lokales Peering einrichten.
ACCEPTOR UND REQUESTOR
Um die für ein Peering erforderlichen IAM-Policys zu implementieren, müssen die beiden VCN-Administratoren einen Administrator als Requestor und den anderen als Acceptor zuweisen. Der Requestor ist derjenige, der die Anforderung zum Verbinden der beiden LPGs initiieren muss. Der Acceptor erstellt wiederum eine bestimmte IAM-Policy, die dem Requestsor die Berechtigung zum Verbinden zu den LPGs im Compartment des Acceptors erteilt. Ohne diese Policy wird die Anforderung des Requestors zum Verbinden nicht erfolgreich sein.
LOKALES PEERING-GATEWAY (LPG)
Lokales Peering-Gateway (LPG) ist eine Komponente in einem VCN, mit der Traffic an ein lokales Peer-VCN geleitet wird. Bei der VCN-Konfiguration muss jeder Administrator ein LPG für sein VCN erstellen. Ein bestimmtes VCN muss für jedes lokale Peering ein separates LPG haben (max. 10 LPGs pro VCN). Im vorherigen Beispiel würde dies Folgendes bedeuten: VCN-1 hätte drei LPGs für das Peering mit drei anderen VCNs. In der API ist ein LocalPeeringGateway ein Objekt, das Informationen zum Peering enthält. Ein LPG kann nicht für die Einrichtung eines anderen Peerings wiederverwendet werden.
PEERING-VERBINDUNG
Wenn der Requestor die Anforderung zum Peering (in der Konsole oder API) auslöst, fordert er die andere Seiten auf, die beiden LPGs zu verbinden. Der Requestor muss Informationen zur Identifizierung jedes LPG haben (wie Compartment und Name des LPG oder LPG-OCID). Jeder Administrator muss die erforderlichen IAM-Policys für das Compartment oder den Mandanten einrichten.
Jeder VCN-Administrator kann ein Peering stoppen, indem er sein LPG löscht. In diesem Fall wird der Status des anderen LPG auf REVOKED umgeschaltet. Der Administrator kann stattdessen die Funktion der Verbindung unterbinden. Dazu werden die Routingregeln oder Sicherheitsregeln entfernt, die es ermöglichen, dass Traffic über eine Verbindung fließt (siehe die nächsten Abschnitte).
ROUTING ZUM LPG
Bei der Konfiguration der VCNs muss jeder Administrator das Routing des VCN aktualisieren, um den Traffic zwischen den VCNs zu ermöglichen. In der Praxis ist dies genauso, wie beim Einrichten von Routing für jedes Gateway (wie Internetgateway oder dynamisches Routinggateway). Aktualisieren Sie für jedes Subnetz, das mit dem anderen VCN kommunizieren muss, die Routentabelle des Subnetzes. Die Routingregel gibt das CIDR des Zieltraffics und das LPG als Ziel an. Das LPG leitet Traffic, der dieser Regel entspricht, an das andere LPG weiter, das den Traffic wiederum zum nächsten Hop im anderen VCN weiterleitet.
Im folgenden Diagramm sind VCN-1 und VCN-2 per Peering miteinander verbunden. Der Traffic von einer Instanz im Subnetz A (10.0.0.15), der für eine Instanz in VCN-2 (192.168.0.15) bestimmt ist, wird basierend auf der Regel in der Routentabelle von Subnetz A an LPG-1 weitergeleitet (siehe Callout 1: Routentabelle von Subnetz A). Von dort wird der Traffic an LPG-2 und schließlich an das Ziel im Subnetz X weitergeleitet.
Diese Abbildung zeigt den Pfad des Traffics, der von einem lokalen Peering-Gateway zum anderen weitergeleitet wird.
Callout 1: Routentabelle von Subnetz A
Ziel-CIDR Routenziel
0.0.0.0/0 Internetgateway
172.16.0.0/12 DRG
192.168.0.0/16 LPG-1
Callout 2: Routentabelle von Subnetz X
Ziel-CIDR Routenziel
10.0.0.0/16 LPG-2
Hinweis

Wie bereits erwähnt, kann ein bestimmtes VCN mit den verbundenen LPGs auf VNICs in einem anderen VCN oder einem On-Premise-Netzwerk zugreifen, wenn das Transport-Routing für die VCNs eingerichtet ist. Ein VCN kann jedoch sein Peer-VCN nicht verwenden, um andere Ziele außerhalb der VCNs (wie das Internet) zu erreichen. Beispiel: Im vorherigen Diagramm kann VCN-2 das an VCN-1 angehängte Internetgateway nicht verwenden.

SICHERHEITSREGELN
Jedes Subnetz in einem VCN verfügt über mindestens eine Sicherheitsliste, die den Traffic in die und aus den VNICs des Subnetzes auf der Paketebene steuert. Mit Sicherheitslisten steuern Sie, welcher Traffictyp für das andere VCN zulässig ist. Bei der Konfiguration der VCNs muss jeder Administrator entscheiden, welche Subnetze in seinem eigenen VCN mit VNICs in dem anderen VCN kommunizieren müssen, und dass die Sicherheitslisten des Subnetzes entsprechend aktualisiert werden.
Wenn Sie Netzwerksicherheitsgruppen (NSGs) zur Implementierung von Sicherheitsregeln verwenden, können Sie Sicherheitsregeln für eine NSG schreiben, die eine andere NSG als Quelle oder Ziel des Traffics angeben. Die beiden NSGs müssen jedoch zum selben VCN gehören.

Wichtige Auswirkungen von VCN-Peering

Sofern noch nicht geschehen, lesen Sie Wichtige Auswirkungen von Peering, um die wichtigen Auswirkungen auf die Zugriffskontrolle, Sicherheit und Performance von Peer-VCNs zu verstehen.

Lokales Peering einrichten

Im Folgenden wird der allgemeine Prozess zum Einrichten eines Peerings zwischen zwei VCNs in derselben Region beschrieben:

  1. LPGs erstellen: Jeder VCN-Administrator erstellt einen LPG für das eigene VCN.
  2. Informationen gemeinsam verwenden: Die Administratoren verwenden die grundlegenden erforderlichen Informationen gemeinsam.
  3. Erforderliche IAM-Policys für die Verbindung einrichten: Die Administratoren richten IAM-Policys ein, damit die Verbindung hergestellt werden kann.
  4. Verbindung herstellen: Der Requestor verbindet die beiden LPGs.
  5. Routentabellen aktualisieren: Jeder Administrator aktualisiert die Routentabellen seines VCN, um den Traffic zwischen den Peer-VCNs wie gewünscht zu ermöglichen.
  6. Sicherheitsregeln aktualisieren: Jeder Administrator aktualisiert die Sicherheitsregeln ihres VCN, um den Traffic zwischen den Peer-VCNs wie gewünscht zu ermöglichen.

Gegebenenfalls können Administratoren vor dem Verbindungsaufbau die Aufgaben E und F ausführen. In diesem Fall muss jeder Administrator den CIDR-Block oder bestimmte Subnetze aus dem VCN der jeweils anderen Seite kennen und diese in Aufgabe B gemeinsam verwenden. Nach dem Herstellen der Verbindung können Sie den CIDR-Block des anderen VCN abrufen, indem Sie die Details des lokalen LPG in der Konsole anzeigen. Suchen Sie nach Von Peer angebotenes CIDR. Wenn Sie die API verwenden, suchen Sie nach dem Parameter peerAdvertisedCidr.

Sie müssen auch einige IAM-Einstellungen wie Gruppen konfigurieren, bevor Sie den schrittweisen Prozess durchlaufen.

Aufgabe A: LPGs erstellen

Weitere Informationen finden Sie unter Lokales Peering-Gateway erstellen. Weitere Aufgaben im Zusammenhang mit LPGs werden unter Lokales Peering-Gateway-Management beschrieben.

Aufgabe B: Informationen freigeben

Als Requestor müssen Sie dem Acceptor die folgende Information bereitstellen (beispielsweise per e-Mail oder über einer anderen Out-of-Band-Methode):

  • Wenn sich die VCNs in demselben Mandanten befinden: Name der IAM-Gruppe, die berechtigt ist, eine Verbindung im Compartment des Acceptors zu erstellen.
  • Wenn sich die VCNs in unterschiedlichen Mandanten befinden: die OCID für Ihren Mandanten und die OCID für die IAM-Gruppe, die Berechtigung zum Erstellen einer Verbindung im Compartment des Acceptors erteilt werden sollen.
  • Optional: Das CIDR des lokalen VCN oder bestimmte Subnetze für das Peering mit dem anderen VCN.

Als Acceptor müssen Sie dem Requestor die folgenden Informationen bereitstellen:

  • Wenn sich die VCNs in demselben Mandanten befinden: OCID für das LPG. Optional können Sie auch die Namen des VCN, des LPG und des Compartments, in dem sich die einzelnen Compartments befinden.
  • Wenn sich die VCNs in unterschiedlichen Mandanten befinden: OCID für das LPG und OCID für den Acceptor-Mandanten.
  • Optional: Das CIDR des VCN oder bestimmte Subnetze für das Peering mit dem anderen VCN.
Aufgabe C: IAM-Policys einrichten

Wenn sich beide VCNs im selben Mandanten befinden, verwenden Sie die Policy in Lokales Peering mit einem LPG (VCNs im selben Mandanten).

Wenn sich die VCNs in unterschiedlichen Mandanten befinden, verwenden Sie die Policy in Lokales Peering mit einem LPG (VCNs in verschiedenen Mandanten).

Aufgabe D: Verbindung herstellen

Weitere Informationen finden Sie unter Verbindung zu einem anderen LPG herstellen. Weitere Aufgaben im Zusammenhang mit LPGs werden unter Lokales Peering-Gateway-Management beschrieben.

Aufgabe E: Routentabellen konfigurieren

Konfigurieren Sie die Routentabellen so, dass sie die Informationen für das andere VCN aus Aufgabe B: Informationen freigeben verwenden. Verwenden Sie dazu die Anweisungen unter VCN-Routentabellen für die Verwendung eines LPG konfigurieren.

Aufgabe F: Sicherheitsregeln konfigurieren

Konfigurieren Sie die Sicherheitsregeln so, dass sie die Informationen für das andere VCN aus Aufgabe B: Informationen freigeben verwenden. Verwenden Sie dazu die Anweisungen unter Sicherheitsregeln für die Verwendung eines LPG konfigurieren.