Acceso a otras VCN: intercambio de tráfico

El intercambio de tráfico de la VCN es el proceso de conexión de varias redes virtuales en la nube (VCN). Existen cuatro tipos de intercambio de tráfico de VCN:

Puede utilizar el intercambio de VCN para dividir la red en varias VCN (por ejemplo, según los departamentos o las líneas de negocio), por lo que cada VCN que tendrá acceso directo o privado a las otras. No es necesario que el tráfico fluya por internet o a través de la red local mediante una VPN de sitio a sitio o FastConnect. También puede situar recursos compartidos en una única VCN a los que el resto de las VCN pueden acceder de forma privada.

Cada VCN puede tener hasta 10 puertas de enlace de intercambio de información local y puede asociarse a un solo DRG. Un único DRG admite hasta 300 asociaciones de VCN, lo que permite que el tráfico entre ellas fluya según las indicaciones de las tablas de rutas del DRG. Recomendamos utilizar el DRG si necesita intercambiar tráfico con un gran número de VCN. Si desea contar con un ancho de banda extremadamente elevado y un tráfico de latencia muy baja entre dos redes virtuales en la misma región, utilice el escenario descrito en Intercambio de tráfico de VCN local mediante gateways de intercambio de tráfico local. El intercambio de tráfico de VCN local a través de un DRG actualizado ofrece más flexibilidad en el enrutamiento debido al mayor número de asociaciones.

Debido a que el intercambio de tráfico remoto de VCN cruza regiones, puede utilizarlo (por ejemplo) para crear reflejos o realizar copias de seguridad de las bases de datos de una región a otra.

Visión general del intercambio de tráfico de VCN local

El intercambio de tráfico de VCN local es el proceso de conexión de dos VCN en la misma región para que sus recursos se puedan comunicar mediante direcciones IP privadas sin enrutar el tráfico a través de internet o de la red local. Las VCN pueden estar en el mismo arrendamiento  de Oracle Cloud Infrastructure o en diferentes. Sin intercambio de tráfico, una determinada VCN necesitaría un gateway de internet y direcciones IP públicas para las instancias que tienen que comunicarse con otra VCN.

El intercambio de tráfico de VCN local a través de un DRG actualizado ofrece más flexibilidad en el enrutamiento y la gestión simplificada, pero tiene el costo de un aumento de la latencia (por microsegundos) debido al enrutamiento del tráfico a través de un enrutador virtual, el DRG.

Implicaciones importantes del intercambio de tráfico

En esta sección, se resumen algunas implicaciones de control de acceso, seguridad y rendimiento para las VCN con intercambio de tráfico. En general, puede controlar el acceso y el tráfico entre dos VCN intercambiadas mediante políticas de IAM, tablas de rutas en cada VCN y listas de seguridad en cada VCN.

Control del establecimiento de intercambios

Con las políticas de IAM, puede controlar:

Control del flujo de tráfico a través de la conexión

Incluso si se ha establecido una conexión de intercambio entre su VCN y otra, puede controlar el flujo de paquetes a través de la conexión con tablas de rutas de VCN. Por ejemplo, puede restringir el tráfico únicamente a subredes específicas de otra VCN.

Si no finaliza el intercambio de tráfico, puede detener el flujo de tráfico para la otra VCN, simplemente al suprimir las reglas de ruta que dirigen el tráfico de VCN a otra VCN. También puede detener de manera eficaz el tráfico al suprimir cualquier regla de la lista de seguridad que permita el tráfico de entrada y salida con otra VCN. Esto no detiene el flujo de tráfico a través de la conexión de intercambio de tráfico, pero lo detiene en el nivel de la VNIC.

Para obtener más información sobre el direccionamiento y las listas de seguridad, consulte las discusiones en estas secciones:

Intercambio de tráfico de VCN local mediante grupos de intercambio de tráfico local:

Intercambio de tráfico remoto de VCN mediante una conexión de intercambio de tráfico remoto:

Intercambio de tráfico local de VCN mediante un gateway de enrutamiento dinámico (DRG):

Intercambio de tráfico remoto de VCN mediante un gateway de enrutamiento dinámico (DRG):

Control de tipos específicos de tráfico permitido

Es importante que cada administrador de VCN garantice que todo el tráfico saliente y entrante con la otra VCN esté bien definido y que esté previsto o se espere. En la práctica, esto significa implementar reglas de listas de seguridad que determinan explícitamente los tipos de tráfico que la VCN puede enviar a otra y aceptar de ella.

Importante

Las instancias que ejecutan imágenes de plataforma también tienen reglas de firewall del sistema operativo que controlan el acceso a la instancia. Al solucionar el problema de acceso a una instancia, asegúrese de que todos los elementos siguientes están definidos correctamente:

  • Las reglas de los grupos de seguridad de red en los que está la instancia
  • Las reglas de las listas de seguridad asociadas a la subred de la instancia
  • Las reglas de firewall del sistema operativo de la instancia

Si la instancia está ejecutando Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 u Oracle Linux Cloud Developer 8, debe usar firewalld para interactuar con las reglas de iptables. A continuación se muestran los comandos para abrir un puerto (1521 en este ejemplo):

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

Para instancias con un volumen de inicio iSCSI, el comando --reload anterior puede causar problemas. Para obtener información detallada y una solución alternativa, consulte Bloqueo del sistema de experiencias en instancias al ejecutar el firewall-cmd --reload.

Además de las listas de seguridad y los firewalls, debe evaluar otra configuración basada en el sistema operativo en las instancias de la VCN. Puede haber configuraciones predeterminadas que no se apliquen a su propio CIDR de VCN, pero que se apliquen involuntariamente al CIDR de otra VCN.

Uso de reglas de la lista de seguridad por defecto

Si las subredes de VCN utilizan la lista de seguridad por defecto con las reglas por defecto que incluye, tenga en cuenta que existen dos reglas que permiten el tráfico de entrada desde cualquier lugar (es decir, 0.0.0.0/0 y, por lo tanto, la otra VCN):

  • Regla de entrada con estado que permite el tráfico del puerto TCP 22 (SSH) de 0.0.0.0/0 y cualquier puerto de origen
  • Regla de entrada con estado que permite el tráfico de ICMP tipo 3 y código 4 desde 0.0.0.0/0 y cualquier puerto de origen.

Evalúe estas reglas y si desea mantenerlas o actualizarlas. Como se ha indicado antes, asegúrese de que todo el tráfico entrante o saliente que permita esté bien definido y que esté previsto o se espere.

Preparación ante el impacto sobre el rendimiento y los riesgos de seguridad

En general, prepare la VCN para las formas en que podría verse afectada por la otra VCN. Por ejemplo, la carga en la VCN o sus instancias podrían aumentar. O bien, la VCN podría experimentar un ataque malicioso directamente desde otra VCN o a través de ella.

En relación con el rendimiento: si la VCN proporciona un servicio a otra, esté preparado para ampliar el servicio para adaptarse a las demandas de la otra VCN. Esto puede significar que debe estar preparado para iniciar más instancias según sea necesario. O si le preocupa por niveles altos de tráfico de red que llegue a VCN, considere utilizar reglas de listas de seguridad sin estado para limitar el nivel de seguimiento de la conexión que debe realizar VCN. Las reglas de la lista de seguridad sin estado también pueden ayudar a ralentizar el impacto de un ataque de denegación de servicio (DoS).

En relación con los riesgos de seguridad: no puede controlar necesariamente si la otra VCN está conectada a internet. Si se da el caso, su VCN se puede exponer a ataques de rebote en los que un host malicioso de internet puede enviar tráfico a la VCN y hacer como que procede de la VCN con la intercambia tráfico. A fin de protegerse contra esto, como se ha mencionado antes, utilice las listas de seguridad para limitar cuidadosamente y definir correctamente el tráfico entrante y el que se espera más adelante de la otra VCN.