Intercambio de trafico de VCN locales mediante gateways de intercambio de tráfico locales

En este tema, se explica el intercambio de tráfico de VCN local. En este caso, local significa que las VCN residen en la misma región. Si las VCN están en regiones diferentes, consulte Intercambio de tráfico de VCN remotas a través de una RPC.

Los gateways de intercambio de tráfico local siguen estando soportados. En este escenario se asume que utiliza un DRG heredado. Oracle recomienda actualmente enrutar el tráfico de una VCN a otra a través de un DRG actualizado, como se describe en Intercambio de tráfico de varias VCN de la misma región a través de DRG.

Visión general del intercambio de tráfico de VCN local

El intercambio de tráfico de VCN local es el proceso de conexión de dos VCN en la misma región para que sus recursos se puedan comunicar mediante direcciones IP privadas sin enrutar el tráfico a través de internet o de la red local. Las VCN pueden estar en el mismo arrendamiento  de Oracle Cloud Infrastructure o en diferentes. Sin intercambio de tráfico, una determinada VCN necesitaría un gateway de internet y direcciones IP públicas para las instancias que tienen que comunicarse con otra VCN.

Para obtener más información, consulte Acceso a otras VCN: intercambio de tráfico.

Resumen de los componentes de Networking para el intercambio de tráfico mediante un LPG

En general, los componentes del servicio de Networking necesarios para un intercambio de tráfico local incluyen lo siguiente:

  • Dos VCN con CIDR no superpuestos, en la misma región.
  • Un gateway de intercambio de tráfico local (LPG) en cada VCN de la relación de intercambio de tráfico.
  • Una conexión entre estos dos LPG.
  • Soporte de reglas de ruta para permitir que el tráfico fluya por la conexión y solo desde y hacia determinadas subredes de las respectivas VCN (si se desea).
  • Admitir reglas de seguridad para controlar los tipos de tráfico permitidos entre las instancias de las subredes que deben comunicarse con la otra VCN.

En el diagrama siguiente se ilustran los componentes.

En esta imagen, se muestra el diseño básico de dos VCN con intercambio de tráfico local, cada una con un gateway de intercambio de tráfico local.
Nota

Una determinada VCN puede usar los LPG que intercambian tráfico para alcanzar estos recursos:

  • VNIC en la otra VCN
  • Una red local asociada a otra VCN, si se ha configurado un escenario de enrutamiento avanzado llamado enrutamiento en tránsito para las VCN

Una VCN no puede utilizar su VCN que intercambia tráfico para alcanzar otros destinos fuera de las VCN (como internet). Por ejemplo, si la VCN-1 del diagrama anterior tuviera un gateway de internet, las instancias de la VCN-2 no podrían usarlo para enviar tráfico a puntos finales en internet. Sin embargo, la VCN-2 podría recibir tráfico de internet mediante VCN-1. Para obtener más información, consulte Implicaciones importantes del intercambio de tráfico de VCN.

Acuerdo explícito necesario por ambas partes

El intercambio de tráfico implica dos VCN que pueden ser propiedad de la misma parte o de dos diferentes. Las dos partes pueden estar en su compañía, pero en diferentes departamentos. O bien las dos partes podrían estar en compañías completamente diferentes (por ejemplo, en un modelo de proveedor de servicios).

El intercambio de tráfico entre dos VCN requiere un acuerdo explícito entre ambas partes, en forma de políticas de Oracle Cloud Infrastructure Identity and Access Management que cada parte implementa para su propio compartimiento  o arrendamiento de VNC. Si las VCN están en diferentes arrendamientos, cada administrador debe proporcionar su OCID del arrendamiento y poner en marcha sentencias de políticas especiales para activar el intercambio de tráfico.

Escenario avanzado: enrutamiento en tránsito

Hay un escenario de enrutamiento avanzado denominado enrutamiento en tránsito que permite la comunicación entre una red local y varias VCN a través de una conexión única de Oracle Cloud Infrastructure FastConnect o de la VPN de sitio a sitio. Las VCN deben estar en la misma región e intercambiar tráfico localmente en un diseño de hub y radios. Como parte del escenario, la VCN que actúa como hub tiene una tabla de rutas asociada a cada LPG (normalmente, las tablas de rutas están asociadas a las subredes de una VCN).

Al crear un LPG, puede asociarle una tabla de rutas de manera opcional. O, si ya tiene un LPG existente sin una tabla de rutas, puede asociarle una tabla de rutas. La tabla de rutas debe pertenecer a la VCN del LPG. Una tabla de rutas asociada a un LPG solo puede contener reglas que utilicen el DRG asociado de la VCN como destino.

Puede existir un LPG sin una tabla de rutas asociada. Sin embargo, después de asociar una tabla de rutas a un LPG, siempre debe tener una tabla de rutas asociada. Sin embargo, puede asociar una tabla de rutas diferente. También puede editar reglas de la tabla, o suprimir todas las reglas o algunas de ellas.

Conceptos importantes del intercambio de tráfico local

Los siguientes conceptos ayudan a comprender los conceptos básicos del intercambio de tráfico de VCN y cómo establecer un intercambio de tráfico local.

INTERCAMBIO DE TRÁFICO
Un intercambio de tráfico es una única relación de intercambio de tráfico entre dos VCN. Ejemplo: Si VCN-1 realiza un intercambio de tráfico con otras tres VCN, se producen tres intercambios de tráfico. La parte local de intercambio de tráfico local indica que las VCN están en la misma región. Una VCN concreta puede tener un máximo de 10 intercambios de tráfico locales a la vez.
Atención

Las dos VCN de la relación de intercambio de tráfico no deben tener CIDR solapados. Sin embargo, si la VCN-1 intercambia tráfico con otras tres VCN, estas tres VCN pueden tener CIDR superpuestos entre sí. Configuraría las subredes de la VCN-1 para que tengan reglas de ruta que dirijan el tráfico a la VCN con intercambio de tráfico dirigido.
ADMINISTRADORES DE VCN
En general, el intercambio de tráfico de VCN solo se puede producir si ambos administradores de VCN están de acuerdo. En la práctica, esto significa que los dos administradores deben:
  • Compartir información básica entre sí.
  • Coordinarse para configurar las políticas de Oracle Cloud Infrastructure Identity and Access Management necesarias para activar el intercambio de tráfico.
  • Configurar sus VCN para el intercambio de tráfico.
Dependiendo de la situación, un único administrador puede ser responsable de las dos VCN y las políticas relacionadas.
Para obtener más información sobre las políticas necesarias y la configuración de la VCN, consulte Configuración de un intercambio de tráfico local.
ACEPTANTE Y SOLICITANTE
Para implantar las políticas de IAM necesarias para el intercambio de tráfico, los dos administradores de VCN deben designar un administrador como solicitante y otro como aceptante. El solicitante debe ser el que inicie la solicitud para conectar los dos LPG. A su vez, el aceptante debe crear una política de IAM concreta que proporcione al solicitante permiso para conectarse a los LPG del compartimiento  del aceptante. Sin esa política, se produce un error en la solicitud del solicitante de conexión.
GATEWAY DE INTERCAMBIO DE TRÁFICO LOCAL (LPG)
Un gateway de intercambio de tráfico local (LPG) es un componente de una VCN para enrutar el tráfico a una VCN con intercambio de tráfico local. Como parte de la configuración de las VCN, cada administrador debe crear un LPG para su VCN. Una determinada VCN debe tener un LPG independiente por cada intercambio de tráfico local que establezca (como máximo, 10 LPG por VCN). Para continuar con el ejemplo anterior: la VCN-1 tendría tres LPG para intercambiar tráfico con otras tres VCN. En la API, un LocalPeeringGateway es un objeto que contiene información sobre el intercambio de tráfico. No puede reutilizar un LPG para establecer más adelante otro intercambio de tráfico.
CONEXIÓN DE INTERCAMBIO DE TRÁFICO
Cuando el solicitante inicia la solicitud de intercambio de tráfico (en la consola o la API), está pidiendo realmente conectar los dos LPG. El solicitante debe tener información para identificar cada LPG (como el compartimiento y el nombre del LPG o el OCID del LPG). Cada administrador debe implementar las políticas de IAM necesarias para su compartimiento o arrendamiento.
Cualquier administrador de VCN puede terminar un intercambio de tráfico al suprimir su LPG. En ese caso, el otro estado de LPG cambia a REVOCADO. En cambio, el administrador podría representar la conexión como no funcional eliminando las reglas de ruta o las reglas de seguridad que permiten que el tráfico fluya a través de la conexión (consulte las siguientes secciones).
ENRUTAMIENTO AL LPG
Como parte de la configuración de las VCN, cada administrador debe actualizar el enrutamiento de la VCN para permitir que el tráfico fluya entre las VCN. En la práctica, es como el enrutamiento configurado para cualquier gateway (como un gateway de internet o un gateway de enrutamiento dinámico). Para cada subred que necesite comunicarse con la otro VCN, actualice la tabla de rutas de la subred. La regla de ruta especifica el CIDR del tráfico de destino y su LPG como destino. Su LPG enruta el tráfico que coincide con la regla con el otro LPG, que a su vez, enruta el tráfico al siguiente salto en la otra VCN.
En el diagrama siguiente, la VCN-1 y la VCN-2 se intercambian tráfico. El tráfico desde una instancia de la subred A (10.0.0.15) destinado a una instancia de VCN-2 (192.168.0.15) se enruta a LPG-1 de acuerdo con la regla de la tabla de rutas de la subred A (consulte la Referencia 1: Tabla de rutas de la subred A). El tráfico se enruta a LPG-2 y, a continuación, desde allí, a su destino en la subred X.
En esta imagen se muestra la ruta de acceso de tráfico enrutado de un gateway de intercambio de tráfico local al otro.
Referencia 1: Tabla de rutas de la subred A
CIDR de destino Destino de ruta
0.0.0.0/0 Gateway de internet
172.16.0.0/12 DRG
192.168.0.0/16 LPG-1
Referencia 2: Tabla de rutas de la subred X
CIDR de destino Destino de ruta
10.0.0.0/16 LPG-2
Nota

Como se ha mencionado anteriormente, una determinada VCN puede usar los LPG con intercambio de tráfico para acceder a las VNIC de otra VCN, o la red local si el enrutamiento en tránsito se configura para las VCN. Sin embargo, una VCN no puede utilizar la VCN con intercambio de tráfico para alcanzar otros destinos fuera de las VCN (como internet). Por ejemplo, en el diagrama anterior, la VCN-2 no puede utilizar el gateway de internet asociado a la VCN-1.

REGLAS DE SEGURIDAD
Cada subred de una VCN tiene una o varias listas de seguridad que controlan el tráfico de entrada y salida de las VNIC de la subred en el nivel de paquetes. Puede utilizar listas de seguridad para controlar el tipo de tráfico permitido con la otra VCN. Como parte de la configuración de las VCN, cada administrador debe determinar qué subredes de su propia VCN deben comunicarse con las VNIC de la otra VCN y actualizar las listas de seguridad de la subred según corresponda.
Si usa grupos de seguridad de red (NSG) para implementar reglas de seguridad, tenga en cuenta que tiene la opción de escribir reglas de seguridad para un NSG que especifica otro NSG como origen o destino de tráfico. Sin embargo, los dos NSG deben pertenecer a la misma VCN.

Implicaciones importantes del intercambio de tráfico de VCN

Si aún no lo ha hecho, lea las Implicaciones importantes del intercambio de tráfico para comprender las importantes implicaciones de control de acceso, seguridad y rendimiento para las VCN de intercambio de tráfico.

Configuración de un intercambio de tráfico local

Este es el proceso general para configurar un intercambio de tráfico entre dos VCN de la misma región:

  1. Crear los LPG: cada administrador de VCN crea un LPG para su propio VCN.
  2. Compartir información: los administradores comparten la información básica necesaria.
  3. Configurar las políticas de IAM necesarias para la conexión: los administradores configuran las políticas de IAM para permitir que se establezca la conexión.
  4. Establecer la conexión: el solicitante conecta los dos LPG.
  5. Actualizar las tablas de rutas: cada administrador actualiza las tablas de rutas de sus VCN para permitir el tráfico entre las VCN con intercambio de tráfico como desee.
  6. Actualizar reglas de seguridad: cada administrador actualiza las reglas de seguridad de sus VCN para permitir el tráfico entre las VCN con intercambio de tráfico como desee.

Si se desea, los administradores pueden realizar las tareas E y F antes de establecer la conexión. En ese caso, cada administrador debe saber el bloque CIDR o las subredes específicas de la VCN del otro y compartirlo en la tarea B. Una vez establecida la conexión, también puede obtener el bloque CIDR de la otra VCN viendo los detalles de su propio LPG en la consola. Busque CIDR anunciado de peer. Si está utilizando la API, consulte el parámetro peerAdvertisedCidr.

También deberá preconfigurar algunos valores de IAM, como los grupos, antes de realizar el proceso paso a paso.

Tarea A: crear los LPG

Cada administrador crea un LPG para su propia VCN. "Usted" en el siguiente procedimiento significa un administrador (tanto el aceptante como el solicitante).

Nota

Política de IAM necesaria para crear LPG

Si los administradores ya tienen amplios permisos de administrador de red (consulte Permitir a los administradores de red gestionar una red en la nube), tienen permiso para crear, actualizar y suprimir los LPG. De lo contrario, se muestra una política de ejemplo que proporciona los permisos necesarios a un grupo denominado LPGAdmins. La segunda declaración es necesaria porque la creación de un LPG afecta a la VCN a la que pertenece, por lo que el administrador debe tener permisos para gestionar las VCN.

Allow group LPGAdmins to manage local-peering-gateways in tenancy
Allow group LPGAdmins to manage vcns in tenancy
  1. En la consola, confirme que está viendo el compartimiento que contiene la VCN a la que desea agregar el LPG. Para obtener más información sobre compartimientos y control de acceso, consulte Control de acceso.
  2. Abra el menú de navegación, haga clic en Red y, a continuación, en Red virtual en la nube.
  3. Haga clic en la VCN que le interesa.
  4. En Recursos, haga clic en Gateways de intercambio de tráfico local.
  5. Haga clic en Crear gateway de intercambio de tráfico local.
  6. Introduzca lo siguiente:

    • Nombre: nombre fácil de recordar para el LPG. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
    • Crear en compartimiento: el compartimiento en el que desea crear el LPG, si es diferente de aquel en el que está trabajando actualmente.
    • Asociar a tabla de rutas (opcional): solo si está configurando el escenario de enrutamiento avanzado denominado enrutamiento en tránsito. Seleccione el compartimiento que contiene la tabla de rutas que desea asociar con el LPG y la tabla de rutas en sí. Puede omitir este paso y asociar LPG con una tabla de rutas más adelante si lo desea.
    • Etiquetas: si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si deben aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.
  7. Haga clic en Crear gateway de intercambio de tráfico local.

    A continuación, se crea el LPG y se muestra en la página Gateways de intercambio de tráfico locales en el compartimiento que haya elegido.

Tarea B: Compartir información

Si es el solicitante, proporcione esta información al aceptante (por ejemplo, por correo electrónico u otro método fuera de banda):

  • Si las VCN están en el mismo arrendamiento: nombre del grupo de IAM al que se debe otorgar permiso para crear una conexión en el compartimiento del aceptante. En el ejemplo de la siguiente tarea, el grupo es RequestorGrp.
  • Si las VCN están en diferentes arrendamientos: OCID para su arrendamiento y OCID del grupo IAM al que se debe otorgar permiso para crear una conexión en el compartimiento del aceptante. En el ejemplo de la siguiente tarea, se trata del OCID de RequestorGrp.
  • Opcional: el CIDR de la VCN o las subredes específicas para el intercambio de tráfico con la otra VCN.

Si es el aceptante, proporcione esta información al solicitante:

  • Si las VCN están en el mismo arrendamiento: OCID para su LPG. Opcionalmente, también los nombres de la VCN, el LPG y el compartimiento en el que está cada una.
  • Si las VCN están en diferentes arrendamientos: OCID para el LPG y OCID para el arrendamiento.
  • Opcional: el CIDR de la VCN o las subredes específicas para el intercambio de tráfico con la otra VCN.
Tarea C: configurar las políticas de IAM (VCN en el mismo arrendamiento)

En esta versión de la tarea C, ambas VCN están en el mismo arrendamiento. Si se encuentran en diferentes arrendamientos, consulte Tarea C: configurar las políticas de IAM (VCN en diferentes arrendamientos) en su lugar.

El solicitante y el aceptante deben garantizar que se apliquen las políticas correctas:

  • Política R (implantada por el solicitante):

    Allow group <requestor-group-name> to manage local-peering-from in compartment RequestorComp

    El solicitante está en un grupo de IAM denominado <requestor-group-name>. Esta política permite a cualquier usuario del grupo iniciar una conexión desde cualquier LPG del compartimento del solicitante (<requestor-compartment>). La política R se puede asociar al arrendamiento (compartimento raíz) o a <requestor-compartment>. Para obtener más información sobre por qué se debe asociar a uno o a otro, consulte Aspectos básicos de políticas.

  • Política A (implantada por el aceptante):

    Allow group <requestor-group-name> to manage local-peering-to in compartment <acceptor-compartment>
    
    Allow group <requestor-group-name> to inspect vcns in compartment <acceptor-compartment>
    
    Allow group <requestor-group-name> to inspect local-peering-gateways in compartment <acceptor-compartment>
    

    La primera sentencia de la política permite al solicitante conectarse a cualquier LPG del compartimento del aceptante (<acceptor-compartment>). Esta declaración refleja el acuerdo requerido del aceptante para establecer el intercambio de tráfico. La política A se puede asociar al arrendamiento (compartimento raíz) o a <acceptor-compartment>.

    Consejo

    Las sentencias segunda y tercera de la política A permiten al solicitante mostrar las VCN y los LPG en <acceptor-compartment>. Las sentencias son necesarias para que el solicitante utilice la interfaz de usuario de la consola para seleccionar en una lista de VCN y LPG en <acceptor-compartment> y establecer la conexión. El siguiente diagrama se centra solo en la primera sentencia, que es la crítica que permite la conexión.
En esta imagen se muestran las dos políticas de las VCN en el mismo arrendamiento.

La política R y la política A otorgan acceso a RequestorGrp. Sin embargo, la Política R tiene un tipo de recurso denominado local-peering-from y la Política A tiene un tipo de recurso denominado local-peering-to. En conjunto, estas políticas permiten a un usuario en RequestorGrp establecer la conexión desde una LPG del compartimiento del solicitante a una LPG en el compartimento del aceptante. La llamada de la API para crear la conexión especifica los dos LPG.

Consejo

Es posible que el permiso otorgado por la política R ya esté vigente si el solicitante tiene permiso en otra política para gestionar todos los componentes de Networking en RequesterComp. Por ejemplo, puede haber una política de administrador de red general como esta:

 Allow group NetworkAdmin to manage virtual-network-family in compartment RequestorComp

Si el solicitante está en el grupo NetworkAdmin, ya tiene los permisos necesarios cubiertos en la Política R (la familia de red virtual incluye los LPG). Además, si la política se escribe para cubrir todo el arrendamiento en vez de solo el compartimiento RequestorComp, el solicitante ya tiene todos los permisos necesarios en ambos compartimientos para establecer la conexión. En ese caso, la Política A no es necesaria.

Tarea C: configurar las políticas de IAM (VCN en diferentes arrendamientos)

En esta versión de la tarea C, las VCN están en diferentes arrendamientos (en otras palabras, se trata de un intercambio de tráfico entre arrendamientos). Si las VCN están en el mismo arrendamiento, consulte Tarea C: configurar las políticas de IAM (VCN en el mismo arrendamiento) en su lugar.

El solicitante y el aceptante deben garantizar que se apliquen las políticas correctas:

  • Política R (implantada por el solicitante):

    Define tenancy Acceptor as <acceptor_tenancy_OCID>
    
    Allow group <requestor-group-name> to manage local-peering-from in compartment <requestor-compartment>
    Endorse group <requestor-group-name> to manage local-peering-to in tenancy Acceptor
    
    Endorse group <requestor-group-name> to associate local-peering-gateways in compartment <requestor-compartment>
       with local-peering-gateways in tenancy Acceptor

    El solicitante está en un grupo de IAM denominado <requestor-group-name>. Esta política permite a cualquier usuario de ese grupo iniciar una conexión desde cualquier LPG del compartimento del solicitante (<requestor-compartment>).

    La primera sentencia es una sentencia "define" que asigna una etiqueta fácil de recordar al OCID de arrendamiento del aceptante. La sentencia utiliza "Acceptor" como etiqueta, pero podría ser un valor de la elección del solicitante. Todas las sentencias "define" de una política deben ser las primeras (en la parte superior).

    La segunda sentencia permite a <requestor-group-name> establecer una conexión desde un LPG en el compartimiento del solicitante.

    Las sentencias tercera y cuarta son especiales porque los LPG están en diferentes arrendamientos. Permiten a <requestor-group-name> conectar un LPG del arrendamiento del solicitante a un LPG del arrendamiento del aceptante.

    Si la intención es otorgar permiso a <requestor-group-name> para que se conecte a un LPG de cualquier arrendamiento, la política tendría este aspecto en su lugar:

    
    Allow group <requestor-group-name> to manage local-peering-from in compartment <requestor-compartment>
    
    Endorse group <requestor-group-name> to manage local-peering-to in 
    
    any-tenancy
    
    
    
    Endorse group <requestor-group-name> to associate local-peering-gateways in compartment <requestor-compartment> 
    with local-peering-gateways in 
    any-tenancy
    
    

    Independientemente de esto, la política R se debe asociar al arrendamiento del solicitante (compartimiento raíz) y no al compartimiento del solicitante. Las políticas que permiten el acceso entre arrendamientos deben asociarse al arrendamiento. Para obtener más información sobre la asociación de políticas, consulte Aspectos básicos de políticas.

  • Política A (implantada por el aceptante):

    Define tenancy Requestor as <requestor_tenancy_OCID>
    
    Define group <requestor-group-name> as <RequestorGrp_OCID>
    
    Admit group <requestor-group-name> of tenancy Requestor to manage local-peering-to in compartment <acceptor-compartment>
    
    Admit group <requestor-group-name> of tenancy Requestor to associate local-peering-gateways in tenancy Requestor
        with local-peering-gateways in compartment <acceptor-compartment>
    

    De forma similar a la política del solicitante, esta política utiliza primero las sentencias "define" para asignar etiquetas fáciles de recordar al OCID del arrendamiento del solicitante y al OCID de <requestor-group-name> Como se ha mencionado anteriormente, el aceptante podría utilizar otros valores para esas etiquetas, si así lo desea.

    Las sentencias tercera y cuarta permiten que <requestor-group-name> se conecte a un LPG del compartimento del aceptante (<acceptor-compartment>). Estas sentencias reflejan el acuerdo crítico necesario para establecer el intercambio de tráfico. La palabra Admit indica que el acceso se aplica a un grupo fuera del arrendamiento en el que se encuentra la política.

    La política A se debe asociar al arrendamiento del aceptante (compartimiento raíz) y no al compartimiento del aceptante.

En esta imagen se muestra la ubicación de las dos políticas para las VCN de distintos arrendamientos.
Tarea D: Establecer la conexión

El solicitante debe realizar esta tarea.

Previo necesario: el solicitante debe tener el OCID del LPG del aceptante.

Consejo

Si utiliza la consola y el intercambio de tráfico se realiza entre dos VCN del mismo arrendamiento: en lugar de especificar el OCID de LPG del aceptante, puede elegir en su lugar la VCN y el LPG del aceptante de las listas de recursos del arrendamiento. Sin embargo, debe conocer tanto el nombre como el compartimiento de la VCN y el LPG del aceptante en lugar del OCID del LPG. Para obtener información, consulte Tarea B: compartir información.
  1. En la consola, vea los detalles del LPG del solicitante que desea conectar al LPG del aceptante.
  2. En el LPG del solicitante, haga clic en el menú Acciones y, a continuación en Establecer conexión de intercambio de tráfico.
  3. Especifique el LPG con el que desea intercambiar tráfico:

    • Si las VCN están en diferentes arrendamientos: seleccione Introducir OCID de gateway de intercambio de tráfico local e introduzca el OCID del LPG del aceptante.
    • Si las VCN están en el mismo arrendamiento: realice una de las siguientes acciones:

      • Seleccione Introducir OCID de gateway de intercambio de tráfico local e introduzca el OCID del LPG del aceptante.
      • Seleccione Examinar a continuación y, a continuación, seleccione la VCN y el LPG del aceptante de las listas proporcionadas. Recuerde que la VCN y el LPG podrían estar en un compartimiento diferente a aquel en el que está trabajando actualmente.
  4. Haga clic en Establecer conexión de intercambio de tráfico.

Se establece la conexión y el estado del LPG cambia a CON INTERCAMBIO DE TRÁFICO.

En este punto, los detalles de cada LPG se actualizan para mostrar el bloque CIDR de la VCN de intercambio de tráfico para la otra VCN. Se trata del CIDR de la otra VCN a través del intercambio de tráfico del LPG. Cada administrador puede utilizar esta información para actualizar las tablas de rutas y las reglas de seguridad de su propia VCN.

Tarea E: configurar las tablas de rutas

Como ya se ha mencionado, cada administrador puede realizar esta tarea antes o después de que se establezca la conexión.

Previo necesario: Cada administrador debe tener el bloque CIDR o las subredes específicas de la otra VCN. Si ya se ha establecido la conexión, consulte el bloque CIDR de la VCN de intercambio de datos de su LPG en la consola. De lo contrario, obtenga la información del otro administrador por correo electrónico u otro método.

Para su propia VCN:

  1. Determine qué subredes de la VCN se deben comunicar con la otra VCN.
  2. Actualice la tabla de rutas para cada una de esas subredes a fin de incluir una nueva regla que dirija el tráfico destinado al CIDR de la otra VCN a su LPG:

    1. Abra el menú de navegación, haga clic en Red y, a continuación, en Red virtual en la nube.
    2. Haga clic en la VCN que le interesa.
    3. En Recursos, haga clic en Tablas de rutas.
    4. Haga clic en la tabla de rutas que le interesa.
    5. Haga clic en Agregar regla de ruta e introduzca lo siguiente:

      • Tipo de destino: Gateway de intercambio de tráfico local.
      • Bloque CIDR de destino: el bloque CIDR de la otra VCN. Si lo desea, puede especificar una subred o un subconjunto concreto del CIDR de la VCN con intercambio de tráfico.
      • Compartimiento destino: el compartimiento donde se encuentra el LPG, si no es el compartimiento actual.
      • Destino: el LPG.
      • Descripción: descripción opcional de la regla.
    6. Haga clic en Agregar regla de ruta.

Todo el tráfico de subred con un destino que coincida con la regla se direcciona a su LPG. Para obtener más información sobre la configuración de reglas de ruta, consulte Tablas de rutas de VCN.

Más tarde, si ya no necesita el intercambio de tráfico y desea suprimir el LPG, primero debe suprimir todas las reglas de ruta de la VCN que especifican el LPG como destino.

Consejo

Sin el enrutamiento requerido, el tráfico no fluye entre los LPG con intercambio de tráfico. Si se produce una situación en la que fuera necesario detener de forma temporal el intercambio de tráfico, simplemente puede eliminar las reglas de ruta que activan el tráfico. No es necesario suprimir los LPG.
Tarea F: configurar las reglas de seguridad

Como ya se ha mencionado, cada administrador puede realizar esta tarea antes o después de que se establezca la conexión.

Previo necesario: Cada administrador debe tener el bloque CIDR o las subredes específicas de la otra VCN. En general, debe usar el mismo bloque CIDR que utilizó en la regla de tabla de rutas en la Tarea E: Configurar las tablas de rutas.

¿Qué reglas debe agregar?

  • Reglas de entrada para los tipos de tráfico que desea permitir desde la otra VCN, concretamente, desde el CIDR o las subredes específicas de la VCN.
  • Regla de salida para permitir el tráfico saliente de la VCN a otra VCN. Si la subred ya tiene una regla de salida amplia para todos los tipos de protocolos a todos los destinos (0.0.0.0/0), no tendrá que agregar una especial para el resto de las VCN.
Nota

El siguiente procedimiento utiliza listas de seguridad, pero en su lugar puede implantar las reglas de seguridad en un grupo de seguridad de red y, a continuación, crear los recursos de la subred en ese NSG.

Para su propia VCN:

  1. Determine qué subredes de la VCN se deben comunicar con la otra VCN.
  2. Actualice la lista de seguridad de cada una de esas subredes para incluir reglas que permitan el tráfico de salida o entrada deseado específicamente con el bloque CIDR o la subred de la otra VCN:

    1. En la consola, mientras visualiza la VCN que le interesa, haga clic en Listas de seguridad.
    2. Haga clic en la lista de seguridad en la que está interesado.
    3. En Recursos, haga clic en Reglas de entrada o en Reglas de salida según el tipo de regla con la que desee trabajar.
    4. Si desea agregar una regla, haga clic en Agregar regla de entrada (o en Agregar regla de salida).

      Ejemplo

      Supongamos que desea agregar una regla con estado que permita el tráfico de entrada HTTPS (puerto 443) desde el CIDR de la otra VCN. A continuación, se muestran los pasos básicos que debe realizar al agregar una regla:

      1. Deje sin seleccionar la casilla Sin estado.
      2. Tipo de origen: Dejar como CIDR.
      3. CIDR de origen: Introduzca el mismo bloque CIDR que utilizan las reglas de ruta (consulte Tarea E: Configuración de las tablas de rutas).
      4. Protocolo IP: Dejar como TCP.
      5. Rango de puertos de origen: déjelo como Todos.
      6. Rango de puertos de destino: Introducir 443.
      7. Descripción: descripción opcional de la regla.
    5. Si desea suprimir una regla existente, haga clic en el menú Acciones y, a continuación, en Eliminar.
    6. Si desea editar una regla existente, haga clic en el menú Acciones y, a continuación, en Editar.

Para obtener más información sobre las reglas de seguridad, consulte Reglas de seguridad.

Uso de la consola

Para asociar una tabla de rutas con un gateway de intercambio de tráfico local existente

Esta tarea está relacionada con un escenario de enrutamiento avanzado denominado enrutamiento en tránsito.

Puede existir un LPG sin una tabla de rutas asociada. Sin embargo, después de asociar una tabla de rutas a un LPG, siempre debe tener una tabla de rutas asociada. Sin embargo, puede asociar una tabla de rutas diferente. Asimismo, puede editar las reglas de la tabla o suprimir algunas o todas las reglas.

Previo necesario: La tabla de rutas debe existir y pertenecer a la VCN a la que pertenece el LPG.

  1. Abra el menú de navegación, haga clic en Red y, a continuación, en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Gateways de intercambio de tráfico local.
  4. Para el LPG que le interesa, haga clic en el icono Acciones () y, a continuación, haga clic en: 

    • Asociar a tabla de rutas: si el LPG aún no tiene una tabla de rutas asociada.
    • Reemplazar asociación de tabla de rutas: si está cambiando la tabla de rutas asociada con el LPG.
  5. Seleccione el compartimiento donde se encuentra la tabla de rutas y selecciónela.
  6. Haga clic en Asociar.
Supresión de un gateway de intercambio de tráfico local

Previo necesario: suprima primero todas las reglas de ruta de su VCN que especifiquen el LPG como destino. Al suprimir estas reglas, se detiene el enrutamiento de su VCN al LPG. Sin embargo, el estado de LPG podría ser CON INTERCAMBIO DE TRÁFICO si todavía existe el otro LPG. Siempre que se suprime un LPG, el LPG del otro lado del intercambio de tráfico cambia al estado REVOCADO.

  1. Abra el menú de navegación, haga clic en Red y, a continuación, en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. Haga clic en Gateways de intercambio de tráfico local.
  4. En el LPG que desea suprimir, haga clic en el menú Acciones y, a continuación, haga clic en Terminar.
  5. Confirme cuando se le solicite.
Nota

Después de suprimir un LPG (y, por tanto, terminar un intercambio de tráfico), se recomienda revisar sus reglas de seguridad para suprimir cualquier regla que haya activado el tráfico con la otra VCN.

Para gestionar etiquetas para un gateway de intercambio de tráfico local
  1. Abra el menú de navegación, haga clic en Red y, a continuación, en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Gateways de intercambio de tráfico local.
  4. Haga clic en el menú Acciones del gateway de intercambio de tráfico local y, a continuación, en Ver etiquetas. Desde allí puede ver las etiquetas existentes, editarlas y aplicar otras nuevas.

Para obtener más información, consulte Etiquetas de recursos.

Para mover un gateway de intercambio de tráfico local a un compartimiento diferente

Puede mover un gateway de intercambio de tráfico local de un compartimiento a otro. Cuando mueve un gateway de intercambio de tráfico local a un nuevo compartimiento, las políticas inherentes se aplican inmediatamente.

  1. Abra el menú de navegación, haga clic en Red y, a continuación, en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Gateways de intercambio de tráfico local.
  4. Haga clic en el menú Acciones del gateway de intercambio de tráfico local y, a continuación, en Mover recurso.
  5. Seleccione el compartimiento de destino en la lista.
  6. Haga clic en Mover recurso.

Para obtener más información sobre el uso de compartimientos y políticas para controlar el acceso a su red en la nube, consulte Control de acceso. Para obtener información general sobre compartimientos, consulte Gestión de compartimientos.

Uso de la API

Para obtener más información sobre el uso de la API y las solicitudes de firma, consulte API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.

Para gestionar los LPG y crear conexiones, utilice estas operaciones: