Oracle Cloud Infrastructure - Dokumentation

Lokales VCN-Peering über ein upgegradetes DRG

In diesem Szenario wird die Verwendung einer gegenseitigen Verbindung zu einem aktualisierten DRG beschrieben, um Traffic zwischen zwei oder mehr VCNs zu ermöglichen.

Überblick

Anstatt lokale Peering-Verbindungen zu verwenden, können Sie private Netzwerkkommunikation zwischen zwei oder mehr virtuellen Cloud-Netzwerken (VCNs) in derselben Region einrichten, indem Sie diese an ein gemeinsames dynamisches Routinggateway  (DRG) anhängen und die VCN- und DRG-Routentabellen entsprechend anpassen.

Dieses Szenario ist nur für ein upgegradetes DRG verfügbar.

Wenn Sie das Legacy-DRG verwenden, können Sie zwei VCNs in derselben Region mit lokalen Peering-Gateways (LPG) verknüpfen, wie im Szenario Lokales VCN-Peering mit lokalen Peering-Gateways beschrieben. Durch das Peering von zwei VCNs in derselben Region über ein DRG erhalten Sie mehr Flexibilität beim Routing und vereinfachte Verwaltung. Allerdings erhöht sich die Latenz um einige Mikrosekunden, da der Traffic über einen virtuellen Router, das DRG, geleitet wird.

In diesem Beispielszenario wird Peering zwischen zwei VCNs eingerichtet. Bevor Sie versuchen, dieses Szenario zu implementieren, stellen Sie Folgendes sicher:

  • VCN-A ist nicht an ein DRG angehängt.
  • VCN-B ist nicht an ein DRG angehängt.
  • VCN-A und VCN-B haben sich nicht überschneidende CIDRs.

Das Peering von VCNs in verschiedenen Mandanten erfordert mehr IAM-Policys für die mandantenübergreifende Autorisierung. Einzelheiten zu den erforderlichen Berechtigungen finden Sie unter IAM-Policys für das Routing zwischen VCNs. Wenn Sie ein VCN in einer anderen Region an ein DRG anhängen, führen Sie die Schritte unter DRG an ein VCN in einem anderen Mandanten anhängen aus. Bei den meisten Schritten in diesem Szenario wird davon ausgegangen, dass sich das DRG und beide VCNs in demselben Mandanten befinden.

Schritte

Im Folgenden wird der allgemeine Prozess zum Einrichten eines Peerings zwischen zwei VCNs in derselben Region mit einem DRG beschrieben:

  1. DRG erstellen: Siehe Aufgabe A: DRG erstellen.
  2. VCN A an das DRG anhängen: Siehe Aufgabe B: VCN-A an das DRG anhängen.
  3. VCN B an das DRG anhängen: Siehe Aufgabe C: VCN-B an das DRG anhängen.
  4. Routentabellen in VCN A konfigurieren, um Traffic, der für das CIDR von VCN B bestimmt ist, an das DRG zu senden: Siehe Aufgabe D: Routentabellen in VCN-A konfigurieren, um Traffic, der für das CIDR von VCN-B bestimmt ist, an den DRG-Anhang zu senden.
  5. Routentabellen in VCN B konfigurieren, um Traffic, der für das CIDR von VCN A bestimmt ist, an das DRG zu senden: Siehe Aufgabe E: Routentabellen in VCN-B konfigurieren, um Traffic, der für das CIDR von VCN-A bestimmt ist, an den DRG-Anhang zu senden.
  6. Sicherheitsregeln aktualisieren: Aktualisieren Sie die Sicherheitsregeln jedes VCN, um den gewünschten Traffic zwischen den Peer-VCNs zu aktivieren. Siehe Aufgabe F: Sicherheitsregeln aktualisieren.

Auf dieser Seite werden einige Auswirkungen auf die Zugriffskontrolle, Sicherheit und Performance von Peer-VCNs zusammengefasst. Sie können den Zugriff und den Traffic zwischen zwei Peer-VCNs mit IAM-Policys, Routentabellen in jedem VCN, Routentabellen im DRG und Sicherheitslisten in jedem VCN kontrollieren.

Übersicht über die Networking-Komponenten für Peering über ein DRG

Allgemein erforderliche Networking-Servicekomponenten für ein lokales Peering über ein DRG:

  • Zwei VCNs mit nicht überlappenden CIDRs in derselben Region
  • Ein einzelnes dynamisches Routinggateway (DRG), das an jedes Peer-VCN angehängt ist.
  • Unterstützende Routingregeln, die den Traffic über die Verbindung und nur zwischen den ausgewählten Subnetzen in den jeweiligen VCNs zulassen (sofern gewünscht).
  • Unterstützende Sicherheitsregeln zur Steuerung, welche Traffictypen von und zu den Instanzen in den Subnetzen, die mit dem anderen VCN kommunizieren müssen, weitergeleitet werden dürfen.

Das folgende Diagramm veranschaulicht die Komponenten.

Diese Abbildung zeigt das grundlegende Layout von zwei VCNs mit jeweils einem lokalen Peering-Gateway.
Hinweis

Ein VCN kann die folgenden Ressourcen erreichen:

  • VNICs im anderen VCN
  • Ein On-Premise-Netzwerk, das an ein anderes VCN angehängt ist, wenn ein erweitertes Routingszenario mit dem Namen Transitrouting für die VCNs eingerichtet wurde

Zwei mit einem DRG verbundene VCNs können keine anderen Cloud-Gateways (wie ein Internetgateway oder NAT-Gateway) erreichen, mit Ausnahme des Transitroutings über ein LPG. Beispiel: Wenn VCN-1 im vorherigen Diagramm ein Internetgateway hätte, könnten die Instanzen in VCN-2 dieses nicht zum Senden von Traffic an Endpunkte im Internet verwenden. VCN-2 könnte jedoch Traffic vom Internet über VCN-1 empfangen. Weitere Informationen finden Sie unter Wichtige Auswirkungen von VCN-Peering.

Wichtige Konzepte für das lokale Peering

Die folgenden Konzepte helfen Ihnen dabei, die Grundlagen von VCN-Peering in Verbindung mit einem DRG zu verstehen und ein lokales Peering einzurichten.

PEERING
Ein Peering ist eine Beziehung zwischen zwei VCNs, die beide mit demselben DRG verbunden sind und Traffic gegenseitig weiterleiten können. Der Bestandteil lokal des Begriffs lokales Peering gibt an, dass sich die VCNs in derselben Region befinden. Ein DRG kann jeweils maximal 300 lokale DRG-Anhänge aufweisen.
Achtung

Peer-VCNs dürfen keine sich überschneidenden CIDRs aufweisen.
Administratoren
Im Allgemeinen kann VCN-Peering nur dann stattfinden, wenn alle beteiligten VCN-Administratoren und DRG-Administratoren dem zustimmen. Je nach Situation kann ein einzelner Administrator für alle beteiligten VCNs, VCNs und zugehörigen Policys zuständig sein.
Weitere Informationen zu den erforderlichen Policys und der VCN-Konfiguration finden Sie unter IAM-Policys für das Routing zwischen VCNs.
ROUTING ZUM DRG
Bei der Konfiguration der VCNs muss jeder Administrator das Routing des VCN aktualisieren, um den Traffic zwischen den VCNs zu ermöglichen. In der Praxis ist es genauso, wie beim Einrichten von Routing für jedes Gateway (wie Internetgateway oder dynamisches Routinggateway). Aktualisieren Sie für jedes Subnetz, das mit dem anderen VCN kommunizieren muss, die Routentabelle des Subnetzes. Die Routingregel gibt das CIDR des Zieltraffics und Ihr DRG als Ziel an. Ihr VCN leitet den Traffic, der dieser Regel entspricht, an das DRG weiter. Dieses leitet den Traffic wiederum zum nächsten Hop im anderen VCN weiter.
Im folgenden Diagramm sind VCN-1 und VCN-2 per Peering miteinander verbunden. Der Traffic von einer Instanz im Subnetz A (10.0.0.15), der für eine Instanz in VCN-2 (192.168.0.15) bestimmt ist, wird basierend auf der Regel in der Routentabelle von Subnetz A an das DRG weitergeleitet. Von dort wird der Traffic an VCN-2 und schließlich an das Ziel im Subnetz X weitergeleitet. Das DRG in diesem Szenario verwendet die automatisch generierte Routentabelle.
Diese Abbildung zeigt die Routentabellen und den Pfad des Traffics, der von einem VCN zum anderen weitergeleitet wird.
Callout 1: Routentabelle von Subnetz A
Ziel-CIDR Routenziel
172.16.0.0/12 DRG
192.168.0.0/16 DRG
0.0.0.0/0 Internetgateway
Callout 2: Routentabelle von Subnetz X
Ziel-CIDR Routenziel
172.16.0.0/12 DRG
10.0.0.0/16 DRG
SICHERHEITSREGELN
Jedes Subnetz in einem VCN verfügt über mindestens eine Sicherheitsliste, die den Traffic in die und aus den VNICs des Subnetzes auf der Paketebene steuert. Mit Sicherheitslisten steuern Sie, welcher Traffictyp für das andere VCN zulässig ist. Bei der Konfiguration der VCNs muss jeder Administrator festlegen, welche Subnetze in seinem eigenen VCN mit VNICs in dem anderen VCN kommunizieren müssen, und die Subnetzsicherheitslisten entsprechend aktualisieren.
Wenn Sie Netzwerksicherheitsgruppen (NSGs) zur Implementierung von Sicherheitsregeln verwenden, können Sie Sicherheitsregeln für eine NSG schreiben, die eine andere NSG als Quelle oder Ziel des Traffics angeben. Die beiden NSGs müssen jedoch zum selben VCN gehören.

Dieses Szenario in der Konsole einrichten

Aufgabe A: DRG erstellen

Ein vor Mai 2021 erstelltes DRG kann kein Routing zwischen On-Premise-Netzwerken und mehreren VCNs ausführen und kein lokales Peering zwischen VCNs bereitstellen. Wenn Sie diese Funktionalität benötigen und die Schaltfläche Upgrade für DRG durchführen angezeigt wird, klicken Sie darauf.

Hinweis

Wenn Sie auf die Schaltfläche Upgrade für DRG durchführen klicken, werden auch alle vorhandenen BGP-Sessions zurückgesetzt, und der Traffic vom On-Premise-Netzwerk wird vorübergehend unterbrochen, während das DRG upgegradet wird. Sie können das Upgrade nicht zurücksetzen.

Führen Sie beim Arbeiten in derselben Region wie die für das Peering vorgesehenen VCNs die folgenden Schritte aus:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Wählen Sie unter Listengeltungsbereich ein Compartment aus, für das Sie eine Berechtigung zum Arbeiten haben. Die Seite wird aktualisiert, sodass nur die Ressourcen in diesem Compartment angezeigt werden. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, wenden Sie sich an einen Administrator. Weitere Informationen finden Sie unter Zugriffskontrolle.
  3. Klicken Sie auf Dynamisches Routinggateway erstellen.

  4. Geben Sie die folgenden Elemente ein:

    • Name: Ein aussagekräftiger Name für das DRG. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • Erstellen in Compartment: Das Compartment, in dem Sie das DRG erstellen möchten und das sich von dem Compartment unterscheiden könnte, in dem Sie derzeit arbeiten.
    • Tags: Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
  5. Klicken Sie auf Dynamisches Routinggateway erstellen.

Das neue DRG wird erstellt und dann auf der Seite Dynamische Routinggateways des ausgewählten Compartments angezeigt. Das DRG weist kurzfristig den Status "Provisioning wird ausgeführt" auf. Erst nach Abschluss des Provisioning-Vorgangs können Sie sie mit anderen Teilen Ihres Netzwerks verbinden.

Beim Provisioning werden zwei Routentabellen erstellt: eine Routentabelle für verbundene VCNs und eine für andere Ressourcen, wie Virtual Circuits und IPsec-Tunnel. Die Standardroutentabellen können nicht gelöscht, aber bearbeitet werden. Falls die Standardrouting-Policys in einem DRG unverändert bleiben, lassen sie zu, dass Traffic zwischen allen an das DRG angehängten VCNs weitergeleitet wird.

Hinweis

Die Standardroutingtabellen des upgegradeten DRG implementieren zur Abwärtskompatibilität dasselbe Routingverhalten wie Legacy-DRGs.
Aufgabe B: VCN-A an das DRG anhängen
Hinweis

Ein upgegradetes DRG kann an viele VCNs angehängt werden, ein VCN hingegen an nur jeweils ein DRG. Der Anhang wird automatisch in dem Compartment erstellt, das das VCN enthält. Ein VCN muss sich nicht in demselben Compartment oder Mandanten wie das upgegradete DRG befinden.

Sie können lokale Peering-Verbindungen aus dem gesamten Netzwerkdesign beseitigen, wenn Sie mehrere VPNs in derselben Region mit demselben DRG verbinden und die DRG-Routingtabellen entsprechend konfigurieren.

Das Peering von VCNs in verschiedenen Mandanten erfordert mehr IAM-Policys für die mandantenübergreifende Autorisierung. Einzelheiten zu den erforderlichen Berechtigungen finden Sie unter IAM-Policys für das Routing zwischen VCNs. Wenn Sie ein VCN in einer anderen Region an ein DRG anhängen, führen Sie die Schritte unter DRG an ein VCN in einem anderen Mandanten anhängen aus.

Mit den folgenden Anweisungen können Sie zum upgegradeten DRG navigieren und dann auswählen, welches VCN daran angehängt werden soll. Sie können aber stattdessen auch zu dem VCN navigieren und dann auswählen, welches DRG daran angehängt werden soll.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Klicken Sie auf das upgegradete DRG, das Sie an VCN A anhängen möchten.
  3. Klicken Sie unter Ressourcen auf Anhänge vom Typ "Virtuelles Cloud-Netzwerk".
  4. Klicken Sie auf VCN-Anhang erstellen.
    • (Optional) Geben Sie dem Anhangspunkt einen Anzeigenamen. Wenn Sie keinen Namen angeben, wird ein Name für Sie erstellt.
    • Wählen Sie VCN A in der Liste aus. Sie können auch auf Compartment ändern klicken und ein anderes Compartment auswählen, wenn sich das VCN nicht im aktuellen Compartment befindet, und dann VCN A in der Liste auswählen.
  5. (Optional) Wenn Sie ein erweitertes Szenario für Transitrouting einrichten, können Sie eine VCN-Routentabelle mit dem DRG-Anhang verknüpfen (dies ist alternativ auch später möglich):
    1. Klicken Sie auf Erweiterte Optionen anzeigen.
    2. Klicken Sie auf die Registerkarte VCN-Routentabelle.
    3. Wählen Sie die Routentabelle aus, die Sie mit dem VCN-Anhang im DRG verknüpfen möchten. Wenn Sie Kein Wert auswählen, wird die standardmäßige VCN-Routentabelle verwendet.
  6. Klicken Sie auf VCN-Anhang erstellen.

Der Anhang weist kurzfristig den Status "Wird angehängt" auf.

Wenn der Anhang bereit ist, erstellen Sie eine Routingregel, die den Subnetztraffic an dieses DRG weiterleitet. Siehe So leiten Sie den Traffic eines Subnetzes an ein DRG.

Aufgabe C: VCN-B an das DRG anhängen
Hinweis

Ein DRG kann an viele VCNs angehängt werden, ein VCN hingegen an nur jeweils ein DRG. Der Anhang wird automatisch in dem Compartment erstellt, das das VCN enthält. Ein VCN muss sich nicht in demselben Compartment wie das DRG befinden.

Sie können lokale Peering-Verbindungen aus dem gesamten Netzwerkdesign beseitigen, wenn Sie mehrere VPNs in derselben Region mit demselben DRG verbinden und die DRG-Routingtabellen entsprechend konfigurieren.

Das Peering von VCNs in verschiedenen Mandanten erfordert mehr IAM-Policys für die mandantenübergreifende Autorisierung. Einzelheiten zu den erforderlichen Berechtigungen finden Sie unter IAM-Policys für das Routing zwischen VCNs. Wenn Sie ein VCN in einer anderen Region an ein DRG anhängen, führen Sie die Schritte unter DRG an ein VCN in einem anderen Mandanten anhängen aus.

Mit den folgenden Anweisungen können Sie zu dem DRG navigieren und dann auswählen, welches VCN daran angehängt werden soll. Sie können aber stattdessen auch zu dem VCN navigieren und dann auswählen, welches DRG daran angehängt werden soll.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Klicken Sie auf das DRG, das Sie an VCN B anhängen möchten.
  3. Klicken Sie unter Ressourcen auf Anhänge vom Typ "Virtuelles Cloud-Netzwerk".
  4. Klicken Sie auf VCN-Anhang erstellen.
    • (Optional) Geben Sie dem Anhangspunkt einen Anzeigenamen. Wenn Sie keinen Namen angeben, wird ein Name für Sie erstellt.
    • Wählen VCN B in der Liste aus. Sie können auch auf Compartment ändern klicken, das Compartment auswählen, das VCN B enthält, und dann VCN B in der Liste auswählen.
  5. (Optional) Wenn Sie ein erweitertes Szenario für Transitrouting einrichten, können Sie eine VCN-Routentabelle mit dem DRG-Anhang verknüpfen (dies ist alternativ auch später möglich):
    1. Klicken Sie auf Erweiterte Optionen anzeigen.
    2. Klicken Sie auf die Registerkarte VCN-Routentabelle.
    3. Wählen Sie die Routentabelle aus, die Sie mit dem VCN-Anhang im DRG verknüpfen möchten. Wenn Sie Kein Wert auswählen, wird die standardmäßige VCN-Routentabelle verwendet.
  6. Klicken Sie auf VCN-Anhang erstellen.

Der Anhang weist kurzfristig den Status "Wird angehängt" auf.

Wenn der Anhang bereit ist, erstellen Sie eine Routingregel, die den Subnetztraffic an dieses DRG weiterleitet. Siehe So leiten Sie den Traffic eines Subnetzes an ein DRG.

Aufgabe D: Routentabellen in VCN-A konfigurieren, um Traffic, der an das CIDR von VCN-B bestimmt ist, an den DRG-Anhang zu senden

Wie vorher erwähnt, kann jeder Administrator diese Aufgabe vor oder nach dem Anhängen des VCN an das DRG ausführen.

Voraussetzung: Jeder Administrator muss den CIDR-Block oder bestimmte Subnetze aus dem VCN der jeweils anderen Seite kennen.

Für VCN A:

  1. Bestimmen Sie, welche Subnetze in VCN-A mit dem anderen VCN kommunizieren müssen.

  2. Aktualisieren Sie die Routentabelle für jedes dieser Subnetze, um eine neue Regel aufzunehmen, die den Traffic, der für das CIDR des anderen VCN bestimmt ist, an Ihr DRG weiterleitet:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
    2. Klicken Sie auf das gewünschte VCN: VCN-A.
    3. Klicken Sie unter Ressourcen auf Routentabellen.
    4. Klicken Sie auf die gewünschte Routentabelle.

    5. Klicken Sie auf Routingregel hinzufügen, und geben Sie Folgendes ein:

      • Zieltyp: Dynamisches Routinggateway.
      • Ziel-CIDR-Block: Der CIDR-Block von VCN-B. Gegebenenfalls können Sie ein Subnetz oder eine bestimmte CIDR-Untergruppe von VCN-B angeben.
      • Ziel-Compartment: Das Compartment, in dem sich das andere VCN befindet, wenn es nicht im aktuellen Compartment enthalten ist.
      • Ziel: Das DRG.
      • Beschreibung: Eine optionale Beschreibung der Regel.
    6. Klicken Sie auf Routingregel hinzufügen.

Jeder Subnetztraffic mit einem Ziel, das der Regel entspricht, wird an das DRG weitergeleitet. Weitere Informationen zum Einrichten von Routingregeln finden Sie unter VCN-Routentabellen.

Wenn Sie später kein Peering mehr benötigen und die Peering-Beziehung beenden möchten, löschen Sie zuerst alle Routingregeln in Ihrem VCN, die das andere VCN als Ziel angeben.

Tipp

Ohne das erforderliche Routing fließt der Traffic nicht zwischen den Peer-VCNs. Wenn eine Situation auftritt, in der Sie die Peering-Beziehung vorübergehend stoppen müssen, entfernen Sie die Routingregeln, die Traffic zulassen.
Aufgabe E: Routentabellen in VCN-B konfigurieren, um Traffic, der an das CIDR von VCN-A bestimmt ist, an den DRG-Anhang zu senden

Wie vorher erwähnt, kann jeder Administrator diese Aufgabe vor oder nach dem Anhängen des VCN an das DRG ausführen.

Voraussetzung: Jeder Administrator muss den CIDR-Block oder bestimmte Subnetze aus dem VCN der jeweils anderen Seite kennen.

Für VCN-B:

  1. Bestimmen Sie, welche Subnetze in VCN-B mit dem anderen VCN kommunizieren müssen.

  2. Aktualisieren Sie die Routentabelle für jedes dieser Subnetze, um eine neue Regel aufzunehmen, die den Traffic, der für das CIDR des anderen VCN bestimmt ist, an Ihr DRG weiterleitet:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
    2. Klicken Sie auf das gewünschte VCN: VCN-B.
    3. Klicken Sie unter Ressourcen auf Routentabellen.
    4. Klicken Sie auf die gewünschte Routentabelle.

    5. Klicken Sie auf Routingregel hinzufügen, und geben Sie Folgendes ein:

      • Zieltyp: Dynamisches Routinggateway.
      • Ziel-CIDR-Block: Der CIDR-Block von VCN-A. Gegebenenfalls können Sie ein Subnetz oder eine bestimmte Untergruppe des CIDR-Blocks von VCN-A angeben.
      • Ziel-Compartment: Das Compartment, in dem sich das andere VCN befindet, wenn es nicht im aktuellen Compartment enthalten ist.
      • Ziel: Das DRG.
      • Beschreibung: Eine optionale Beschreibung der Regel.
    6. Klicken Sie auf Routingregel hinzufügen.

Jeder Subnetztraffic mit einem Ziel, das der Regel entspricht, wird an das DRG weitergeleitet. Weitere Informationen zum Einrichten von Routingregeln finden Sie unter VCN-Routentabellen.

Wenn Sie das Peering später nicht mehr benötigen und die Peering-Beziehung beenden möchten, löschen Sie alle Routingregeln in Ihrem VCN, die das andere VCN als Ziel angeben.

Tipp

Ohne das erforderliche Routing fließt der Traffic nicht zwischen den Peer-VCNs. Wenn eine Situation auftritt, in der Sie das Peering vorübergehend stoppen müssen, können Sie die Routingregeln, die den Traffic zulassen, einfach entfernen.
Aufgabe F: Sicherheitsregeln aktualisieren

Wie vorher erwähnt, kann jeder Administrator diese Aufgabe vor oder nach dem Herstellen der Verbindung ausführen.

Voraussetzung: Jeder Administrator muss den CIDR-Block oder bestimmte Subnetze aus dem VCN der jeweils anderen Seite kennen. Verwenden Sie im Allgemeinen denselben CIDR-Block, den Sie in der Routentabellenregel in Aufgabe E: Routentabellen konfigurieren verwendet haben.

Welche Regeln sollen hinzugefügt werden?

  • Ingress-Regeln für die Traffictypen, die Sie aus dem anderen VCN zulassen möchten, insbesondere aus dem CIDR oder spezifischen Subnetzen des VCN.
  • Egress-Regel, mit der ausgehender Traffic von einem VCN in das andere übertragen werden kann. Wenn das Subnetz bereits eine umfassende Egress-Regel für alle Protokolltypen an alle Ziele (0.0.0.0/0) hat, müssen Sie für das andere VCN keine spezielle Regel hinzufügen.
Hinweis

Im folgenden Verfahren werden Sicherheitslisten verwendet. Sie könnten jedoch stattdessen die Sicherheitsregeln in eine Netzwerksicherheitsgruppe implementieren und dann die Ressourcen des Subnetzes in dieser NSG erstellen.

Für jedes VCN:

  1. Bestimmen Sie, welche Subnetze im VCN mit dem anderen VCN kommunizieren müssen.

  2. Aktualisieren Sie die Sicherheitsliste für jedes dieser Subnetze mit Regeln, die den gewünschten Egress- oder Ingress-Traffic speziell mit dem CIDR-Block oder einem Subnetz des anderen VCN zulassen:

    1. Zeigen Sie das gewünschte VCN an, und klicken Sie in der Konsole auf Sicherheitslisten.
    2. Klicken Sie auf die gewünschte Sicherheitsliste.
    3. Klicken Sie unter Ressourcen auf Ingress-Regeln oder Egress-Regeln, je nachdem, mit welchem Regeltyp Sie arbeiten möchten.

    4. Wenn Sie eine Regel hinzufügen möchten, klicken Sie auf Ingress-Regel hinzufügen (oder Egress-Regel hinzufügen).

      Beispiel

      Beispiel: Sie möchten eine Regel für zustandsbehafteten Traffic hinzufügen, die den Ingress-HTTPS-Traffic (Port 443) vom CIDR des anderen VCN aktiviert. Die folgenden grundlegenden Schritte werden beim Hinzufügen einer Regel ausgeführt:

      1. Lassen Sie das Kontrollkästchen Zustandslos deaktiviert.
      2. Quelltyp: Als CIDR beibehalten.
      3. Quell-CIDR: Geben Sie denselben CIDR-Block ein, den die Routingregeln verwenden (siehe Aufgabe E: Routentabellen konfigurieren).
      4. IP-Protokoll: Behalten Sie "TCP" bei.
      5. Quellportbereich: Behalten Sie "Alle" bei.
      6. Zielportbereich: Geben Sie "443" ein.
      7. Beschreibung: Eine optionale Beschreibung der Regel.
    5. Wenn Sie eine vorhandene Regel löschen möchten, klicken Sie auf das Menü Aktionen (Menü "Aktionen") und dann auf Entfernen.
    6. Wenn Sie eine vorhandene Regel bearbeiten möchten, klicken Sie auf das Menü Aktionen (Menü "Aktionen") und dann auf Bearbeiten.

Weitere Informationen zu Sicherheitsregeln finden Sie unter Sicherheitsregeln.