Acceso a otras VCN: intercambio de tráfico

El intercambio de VCN es el proceso de conexión de muchas redes virtuales en la nube (VCN). Hay disponibles cuatro tipos de intercambio de VCN:

You can use VCN peering to divide a large network into several VCNs (for example, based on departments or lines of business), with each VCN having direct, private access to the others. El tráfico no necesita fluir a través de Internet o a través de una red local mediante la VPN de sitio al sitio o FastConnect. También puede situar recursos compartidos en una única VCN a los que el resto de las VCN pueden acceder de forma privada.

Cada VCN puede tener hasta 10 gateways de intercambio de tránsito local y puede asociarse a un solo DRG. Un único DRG soporta hasta 300 asociaciones de VCN, lo que permite que el tráfico entre ellas fluya según las instrucciones de las tablas de rutas del DRG. Recomendamos usar el DRG si necesita conectarse a varias redes virtuales en la nube. Si desea el mayor ancho de banda posible y el tráfico de latencia súper baja entre dos redes virtuales en la nube de la misma región, utilice el escenario descrito en Intercambio de tráfico de VCN local mediante gateways de intercambio de tráfico locales. El intercambio de tráfico de VCN local a través de un DRG actualizado proporciona más flexibilidad en el enrutamiento debido al mayor número de asociaciones.

Debido a que el intercambio de VCN remoto cruza regiones, puede utilizarlo (por ejemplo) para reflejar o realizar copias de seguridad de las bases de datos en una región a otra.

Visión general del intercambio de tráfico de VCN local

El intercambio de VCN local es el proceso de conexión de dos redes virtuales en la misma región para que sus recursos se puedan comunicar mediante direcciones IP privadas sin enrutar el tráfico a través de Internet o a través de una red local. Las redes virtuales en la nube pueden estar en el mismo arrendamiento de Oracle Cloud Infrastructure o en otras diferentes. Sin intercambio de tráfico, una VCN concreta necesitaría un gateway de Internet y direcciones IP públicas para las instancias que necesitan comunicarse con otra VCN.

El intercambio de tráfico de VCN local a través de un DRG actualizado le ofrece más flexibilidad en el enrutamiento y la gestión simplificada, pero tiene el costo de un aumento de la latencia (en microsegundos) al enrutar el tráfico a través de un enrutador virtual, el DRG.

Implicaciones importantes del intercambio de tráfico

En esta sección, se resumen algunas implicaciones de control de acceso, seguridad y rendimiento para las VCN con intercambio de tráfico. En general, puede controlar el acceso y el tráfico entre dos VCN con intercambio de tráfico mediante políticas de IAM, tablas de rutas en cada VCN y listas de seguridad en cada VCN.

Control del establecimiento de intercambios

Con las políticas de IAM, puede controlar:

Control del flujo de tráfico a través de la conexión

Incluso si se ha establecido una conexión de intercambio entre una VCN y otra, puede controlar el flujo de paquetes a través de la conexión con tablas de rutas de la VCN. Por ejemplo, puede restringir el tráfico únicamente a subredes específicas de otra VCN.

Sin finalizar el intercambio de tránsito, puede detener la transferencia de tráfico a la otra VCN, eliminando las reglas de ruta que dirigen el tráfico de una VCN a otra VCN. También puede detener de manera eficaz el tráfico al suprimir cualquier regla de la lista de seguridad que permita el tráfico de entrada y salida con otra VCN. Esto no detiene el flujo de tráfico a través de la conexión de intercambio de tráfico, pero lo detiene en el nivel de la VNIC.

Para obtener más información sobre el direccionamiento y las listas de seguridad, consulte las discusiones en estas secciones:

Intercambio de tráfico de VCN local mediante grupos de intercambio de tráfico local:

Intercambio de tráfico remoto de VCN mediante una conexión de intercambio de tráfico remoto:

Intercambio de tráfico local de VCN mediante un gateway de enrutamiento dinámico (DRG):

Intercambio de tráfico remoto de VCN mediante un gateway de enrutamiento dinámico (DRG):

Control de tipos específicos de tráfico permitido

Cada administrador de la VCN garantiza que todo tipo de tráfico saliente y entrante con la otra VCN esté previsto o previsto y definido. En esta práctica, esto significa implementar reglas que determinarán explícitamente los tipos de tráfico de una VCN que puede enviar a la otra y aceptar desde la otra.

Importante

Las instancias informáticas que ejecutan imágenes de plataforma también tienen reglas del firewall del sistema operativo que controlan la instancia. Al solucionar el error de acceso a una instancia, asegúrese que todos los elementos siguientes están definidos correctamente:

  • Las reglas de los grupos de seguridad de red en los que está la instancia
  • Las reglas de las listas de seguridad asociadas a la subred de la instancia
  • Las reglas de firewall del sistema operativo de la instancia

Si una instancia está ejecutando Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 u Oracle Linux Cloud Developer 8, debe usar firewalld para interactuar con las reglas de iptables. A continuación se muestran los comandos para abrir un puerto (1521 en este ejemplo):

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

Para instancias con un volumen de inicio iSCSI, el comando --reload anterior puede causar problemas. Para obtener información detallada y una solución alternativa, consulte Bloqueo del sistema de experiencias en instancias al ejecutar el firewall-cmd --reload.

Además de las listas de seguridad y los firewalls, debe evaluar otra configuración basada En el sistema operativo en las instancias de la VCN local. Puede haber configuraciones por defecto que no se apliquen al CIDR del VCN local, pero apliquen involuntariamente el CIDR del otro VCN.

Uso de reglas de la lista de seguridad por defecto

If the local VCN's subnets use the default security list with the default rules it comes with, be aware of two rules that allow ingress traffic from anywhere (0.0.0.0/0 and thus the other VCN):

  • Regla de entrada con estado que permite el tráfico del puerto TCP 22 (SSH) de 0.0.0.0/0 y cualquier puerto de origen
  • Regla de entrada con estado que permite el tráfico de ICMP tipo 3 y código 4 desde 0.0.0.0/0 y cualquier puerto de origen.

Evalúe estas reglas y si desea mantenerlas o actualizarlas. Como se ha indicado antes, asegúrese que todo el tráfico entrante o saliente que permite esté previsto o esté previsto y definido.

Preparación ante el impacto sobre el rendimiento y los riesgos de seguridad

En general, prepárese la VCN local para las formas en que podría verse afectada por la otra VCN. Por ejemplo, la carga de la VCN local o sus instancias podrían aumentar. O bien la VCN local podría experimentar un ataque malicioso directamente desde la otra VCN o mediante ella.

En lo que respecta al rendimiento: Si la VCN local proporciona un servicio a otra, esté preparado para ampliar el servicio para adaptarse a las demandas de la otra VCN. Esto podría significar estar preparado para crear más instancias informáticas según sea necesario. O si le preocupan las altas cantidades de tráfico de red, que llega a la la VCN local, considere utilizar reglas del listado de seguridad sin estados para limitar el nivel de seguimiento de conexión, que debe realizar la VCN local. Las reglas de la lista de seguridad sin estado también pueden ayudar a ralentizar el impacto de un ataque de denegación de servicio (DoS).

Respecto a los riesgos de seguridad: no puede controlar necesariamente si la otra VCN está conectada a Internet, lo que podría exponer a la VCN local a ataques de rebote en los que un host malicioso en Internet envía tráfico a la VCN local que parece que proviene de la VCN con la que está conectado. Para protegerse contra esto, como se ha mencionado antes, utilice las listas de seguridad para limitar cuidadosamente el tráfico entrante de la otra VCN al tráfico esperado y definido.