Oracle Cloud Infrastructure-Dokumentation

VCNs über ein lokales Peering-Gateway (LPG) verbinden

Auf Compute Cloud@Customer können Sie lokale Peering-Gateways konfigurieren. Beim VCN-Peering werden mehrere virtuelle Cloud-Netzwerke (VCNs) verbunden, sodass Ressourcen über private IP-Adressen kommunizieren können.

Mit dem VCN-Peering können Sie Ihr Netzwerk in mehrere VCNs, z.B. je nach Abteilung oder Geschäftsbereich, aufteilen, wobei jedes VCN direkten privaten Zugriff auf die anderen VCNs hat. Sie können auch gemeinsame Ressourcen in einem einzelnen VCN platzieren, auf die alle anderen VCNs privat zugreifen können. Zwei Peer-VCNs können sich in demselben oder in verschiedenen Mandanten befinden.

Policys

Das Peering zwischen zwei VCNs erfordert eine ausdrückliche Zustimmung beider Parteien in Form von IAM-Policys, die jede Partei für ihr eigenes VCN-Compartment oder ihren eigenen Mandanten implementiert. Wenn sich die VCNs in verschiedenen Mandanten befinden, muss jeder Administrator die Mandanten-OCID angeben und spezielle koordinierte Policy-Anweisungen einrichten, um das Peering zu aktivieren.

Um die für das Peering erforderlichen IAM-Policys zu implementieren, müssen die beiden VCN-Administratoren einen Administrator als Anforderer und den anderen als Acceptor bestimmen. Der Requester ist derjenige, der die Anforderung zum Verbinden der beiden LPGs initiiert. Der Acceptor erstellt wiederum eine bestimmte IAM-Policy, die dem Requester die Berechtigung für die Verbindung zu den LPGs im Compartment des Acceptors erteilt. Ohne diese Policy kann der Requester keine Verbindung herstellen. Beide VCN-Administratoren können eine Peering-Verbindung löschen, indem sie ihr LPG löschen.

Routing und Traffic Control

Bei der Konfiguration der VCNs muss jeder Administrator das VCN-Routing aktualisieren, um den Traffic zwischen den VCNs zu ermöglichen. In der Praxis ist es genauso, wie beim Einrichten von Routing für jedes Gateway, wie ein Internetgateway oder dynamisches Routinggateway. Aktualisieren Sie für jedes Subnetz, das mit dem anderen VCN kommunizieren muss, die Subnetzroutentabelle. Die Routingregel gibt das CIDR des Zieltraffic und Ihr LPG als Ziel an. Ihr LPG leitet den Datenverkehr, der dieser Regel entspricht, an das andere LPG weiter. Dieses leitet den Datenverkehr wiederum zum nächsten Hop im anderen VCN weiter.

Sie können den Paketfluss über die Peering-Verbindung mit Routentabellen in Ihrem VCN steuern. Beispiel: Sie können den Traffic auf bestimmte Subnetze im anderen VCN beschränken. Ohne Löschen des Peering können Sie den Trafficfluss zum anderen VCN stoppen, indem Sie Routingregeln entfernen, die den Traffic vom VCN zum anderen VCN leiten. Sie können den Traffic auch wirksam stoppen, indem Sie alle Sicherheitslistenregeln entfernen, die den Ingress- oder Egress-Traffic mit dem anderen VCN aktivieren. Dadurch wird nicht der Trafficfluss über die Peering-Verbindung, aber auf VNIC-Ebene gestoppt.

Sicherheitsregeln

Jeder VCN-Administrator muss sicherstellen, dass der gesamte ausgehende und eingehende Traffic im anderen VCN beabsichtigt, erwartet und ordnungsgemäß definiert ist. In der Praxis bedeutet dies, Sicherheitslistenregeln zu implementieren, die explizit angeben, welche Traffictypen Ihr VCN an das andere senden und vom anderen akzeptieren kann. Wenn Ihre Subnetze die Standardsicherheitsliste verwenden, gibt es zwei Regeln, die SSH- und ICMP-Ingress-Traffic von überall zulassen, also auch vom anderen VCN. Prüfen Sie diese Regeln, und entscheiden Sie, ob Sie sie beibehalten oder aktualisieren möchten.

Bewerten Sie neben Sicherheitslisten und Firewalls andere BS-basierte Konfigurationen für die Instanzen in Ihrem VCN. Es können Standardkonfigurationen vorhanden sein, die nicht für Ihr eigenes VCN-CIDR gelten, sondern für das andere VCN-CIDR.

VCNs über ein lokales Peering-Gateway verbinden

Bei Compute Cloud@Customer bietet ein lokales Peering-Gateway (LPG) eine Möglichkeit, VCNs zu verbinden, damit Elemente in jedem VCN kommunizieren können, selbst mit privater IP-Adresse.

Zum Einrichten einer Peering-Verbindung sind die folgenden Komponenten erforderlich:

  • Zwei VCNs mit sich nicht überschneidenden CIDRs

  • Ein lokales Peering-Gateway (LPG) an jedes VCN in der Peering-Beziehung

  • Eine Verbindung zwischen den beiden LPGs

  • Routingregeln, die den Traffic über die Peering-Verbindung zu und von den gewünschten Subnetzen in den jeweiligen VCNs aktivieren

  • Sicherheitsregeln zur Steuerung der Traffictypen, die von und zu den Instanzen in den betreffenden Subnetzen geleitet werden dürfen

    1. Wählen Sie im Navigationsmenü der Compute Cloud@Customer-Konsole unter Networking die Option Virtuelle Cloud-Netzwerke aus.

      Eine Liste der zuvor konfigurierten VCNs in Compartments wird angezeigt. Wenn das Compartment, in dem Sie das lokale Peering-Gateway erstellen, nicht angezeigt wird, wählen Sie im Dropdown-Menü das richtige Compartment aus.

    2. Wählen Sie den Namen des VCN aus.

    3. Wählen Sie im Menü Ressourcen die Option Lokale Peering-Gateways aus.

    4. Wählen Sie Lokales Peering-Gateway erstellen aus.

    5. Erforderliche Informationen eingeben:

      • Name: Geben Sie einen Namen ein. Geben Sie dabei keine vertraulichen Informationen ein.

      • Erstellen in Compartment: Wählen Sie das Compartment aus, in dem das lokale Peering-Gateway erstellt werden soll.

      • Tagging: (Optional) Fügen Sie dieser Ressource mindestens ein Tag hinzu. Tags können auch später angewendet werden. Weitere Informationen zum Tagging von Ressourcen finden Sie unter Ressourcentags.

    6. Wählen Sie Lokales Peering-Gateway erstellen aus.

      Das lokale Peering-Gateway ist jetzt für die Verbindung von VCNs mit "Peering-Verbindung herstellen" bereit und kann jetzt Routingregeln oder Sicherheitseinstellungen hinzufügen.

  • Verwenden Sie den Befehl oci network local-peering-gateway create und die erforderlichen Parameter, um ein neues lokales Peering-Gateway (LPG) für das angegebene VCN zu erstellen.

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    Eine vollständige Liste der CLI-Befehle, -Flags und -Optionen finden Sie in der Befehlszeilenreferenz.

  • Mit dem Vorgang CreateLocalPeeringGateway können Sie ein neues lokales Peering-Gateway (LPG) für das angegebene VCN erstellen.

    Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-APIs und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter Software Development Kits und Befehlszeilenschnittstelle (CLI).