Intercambio de trafico de VCN locales mediante gateways de intercambio de tráfico locales

El intercambio de VCN local es el proceso que consiste en conectar dos redes virtuales en la misma región para que sus recursos puedan comunicarse utilizando direcciones IP privadas sin enrutar el tráfico a través de Internet o a través de una red local. Las VCN pueden estar en el mismo arrendamiento  de Oracle Cloud Infrastructure o en diferentes. Sin intercambio de tráfico, una determinada VCN necesitaría un gateway de internet y direcciones IP públicas para las instancias que tienen que comunicarse con otra VCN.

Consulte Límites de gateway y Solicitud de aumento del límite de servicio para obtener información relacionada con los límites.

Para obtener más información, consulte Acceso a otras VCN: intercambio de tráfico.

Resumen de los componentes de Networking para el intercambio de tráfico mediante un LPG

En general, los componentes del servicio de Networking necesarios para un intercambio de tráfico local incluyen lo siguiente:

• Dos VCN con CIDR no superpuestos, en la misma región.
• Un gateway de intercambio de tráfico local (LPG) en cada VCN de la relación de intercambio de tráfico.
• Una conexión entre estos dos LPG.
• Soporte de reglas de ruta para permitir que el tráfico fluya por la conexión y solo desde y hacia determinadas subredes de las respectivas VCN (si se desea).
• Admitir reglas de seguridad para controlar los tipos de tráfico permitidos entre las instancias de las subredes que deben comunicarse con la otra VCN.

En el diagrama siguiente se ilustran los componentes.

Nota

Una determinada VCN puede usar los LPG que intercambian tráfico para alcanzar estos recursos:

• VNIC en la otra VCN
• Una red local asociada a otra VCN, si se ha configurado un escenario de enrutamiento avanzado llamado enrutamiento en tránsito para las VCN

Una VCN no puede utilizar su VCN que intercambia tráfico para alcanzar otros destinos fuera de las VCN (como internet). Por ejemplo, si la VCN-1 del diagrama anterior tuviera un gateway de internet, las instancias de la VCN-2 no podrían usarlo para enviar tráfico a puntos finales en internet. Sin embargo, la VCN-2 podría recibir tráfico de internet mediante VCN-1. Para obtener más información, consulte Implicaciones importantes del intercambio de tráfico de VCN.

Los siguientes conceptos ayudan a comprender los conceptos básicos del intercambio de tráfico de VCN y cómo establecer un intercambio de tráfico local.

INTERCAMBIO DE TRÁFICO

Un intercambio de tráfico es una única relación de intercambio de tráfico entre dos VCN. Ejemplo: si los peers de VCN-1 con otras tres redes virtuales en la nube, hay tres intercambios. La parte local del intercambio de tráfico local indica que las VCN están en la misma región. Una VCN específica puede tener un máximo de 10 intercambios locales a la vez.

Atención

Las dos VCN de la relación de intercambio de tráfico no deben tener CIDR solapados. Sin embargo, si la VCN-1 intercambia tráfico con otras tres VCN, estas tres VCN pueden tener CIDR superpuestos entre sí. Configuraría las subredes de la VCN-1 para que tengan reglas de ruta que dirijan el tráfico a la VCN con intercambio de tráfico dirigido.

ADMINISTRADORES DE VCN

En general, el intercambio de tráfico de VCN solo se puede producir si ambos administradores de VCN están de acuerdo. En la práctica, esto significa que los dos administradores deben:

• Compartir información básica entre sí.
• Coordinarse para configurar las políticas de Oracle Cloud Infrastructure Identity and Access Management necesarias para activar el intercambio de tráfico.
• Configurar sus VCN para el intercambio de tráfico.

Dependiendo de la situación, un único administrador puede ser responsable de las dos VCN y las políticas relacionadas.

Para obtener más información sobre las políticas necesarias y la configuración de la VCN, consulte Configuración de un intercambio de tráfico local.

ACEPTANTE Y SOLICITANTE

Para implementar las políticas de IAM necesarias para el intercambio de tráfico, los dos administradores de VCN deben asignar un administrador para que sea el solicitante y otro como aceptante. El solicitante debe ser el que inicie la solicitud para conectar los dos LPG. A su vez, el aceptante debe crear una política de IAM concreta que proporcione al solicitante permiso para conectarse a los LPG del compartimiento  del aceptante. Sin esa política, se produce un error en la solicitud del solicitante de conexión.

GATEWAY DE INTERCAMBIO DE TRÁFICO LOCAL (LPG)

Un gateway de intercambio de tráfico local (LPG) es un componente de una VCN para enrutar el tráfico a una VCN con intercambio de tráfico local. Como parte de la configuración de las VCN, cada administrador debe crear un LPG para su VCN. Una determinada VCN debe tener un LPG independiente por cada intercambio de tráfico local que establezca (como máximo, 10 LPG por VCN). Para continuar con el ejemplo anterior: la VCN-1 tendría tres LPG para intercambiar tráfico con otras tres VCN. En la API, un LocalPeeringGateway es un objeto que contiene información sobre el intercambio de tráfico. No puede reutilizar un LPG para establecer más adelante otro intercambio de tráfico.

CONEXIÓN DE INTERCAMBIO DE TRÁFICO

Cuando el solicitante inicia la solicitud de intercambio de tráfico (en la consola o la API), está pidiendo realmente conectar los dos LPG. El solicitante debe tener información para identificar cada LPG (como el compartimiento y el nombre del LPG o el OCID del LPG). Cada administrador debe implementar las políticas de IAM necesarias para su compartimiento o arrendamiento.

Cualquier administrador de VCN puede terminar un intercambio de tráfico al suprimir su LPG. En ese caso, el otro estado de LPG cambia a REVOCADO. En cambio, el administrador podría hacer que la conexión deje de funcionar eliminando las reglas de ruta o las reglas de seguridad que permiten que el tráfico fluya a través de la conexión (consulte las siguientes secciones).

ENRUTAMIENTO AL LPG

Como parte de la configuración de las VCN, cada administrador debe actualizar el enrutamiento de la VCN para permitir que el tráfico fluya entre las VCN. En la práctica, es como el enrutamiento configurado para cualquier gateway (como un gateway de internet o un gateway de enrutamiento dinámico). Para cada subred que necesite comunicarse con la otro VCN, actualice la tabla de rutas de la subred. La regla de ruta especifica el CIDR del tráfico de destino y el LPG como destino. El LPG enruta el tráfico que coincide con la regla con el otro LPG, que a su vez, enrutamiento el tráfico al siguiente salto en la otra VCN.

En el diagrama siguiente, la VCN-1 y la VCN-2 se intercambian tráfico. El tráfico desde una instancia de la subred A (10.0.0.15) destinado a una instancia de VCN-2 (192.168.0.15) se direcciona a LPG-1 de acuerdo con la regla de la tabla de rutas de la subred A (consulte la Referencia 1: Tabla de rutas de la subred A). El tráfico se enruta a LPG-2 y, a continuación, desde allí, a su destino en la subred X.

Referencia 1: Tabla de rutas de la subred A

CIDR de destino	Destino de ruta
0.0.0.0/0	Gateway de internet
172.16.0.0/12	DRG
192.168.0.0/16	LPG-1

Referencia 2: Tabla de rutas de la subred X

CIDR de destino	Destino de ruta
10.0.0.0/16	LPG-2

Nota

Como se ha mencionado anteriormente, una VCN específica puede utilizar los LPG intercambiados para acceder a las VNIC de la otra VCN, o bien la red local si se ha configurado el enrutamiento en tránsito para las VCN. Sin embargo, una VCN no puede utilizar la VCN con intercambio de tráfico para alcanzar otros destinos fuera de las VCN (como internet). Por ejemplo, en el diagrama anterior, la VCN-2 no puede utilizar el gateway de internet asociado a la VCN-1.

REGLAS DE SEGURIDAD

Cada subred de una VCN tiene una o varias listas de seguridad que controlan el tráfico de entrada y salida de las VNIC de la subred en el nivel de paquetes. Puede utilizar listas de seguridad para controlar el tipo de tráfico permitido con la otra VCN. Como parte de la configuración de las VCN, cada administrador debe elegir qué subredes de su propia VCN deben comunicarse con las VNIC de la otra VCN y actualizar las listas de seguridad de su subred para que coincidan.

Si usa grupos de seguridad de red (NSG) para implementar reglas de seguridad, tenga en cuenta que tiene la opción de escribir reglas de seguridad para un NSG que especifica otro NSG como origen o destino de tráfico. Sin embargo, los dos NSG deben pertenecer a la misma VCN.

Si aún no lo ha hecho, lea las Implicaciones importantes del intercambio de tráfico para comprender las importantes implicaciones de control de acceso, seguridad y rendimiento para las VCN de intercambio de tráfico.

Este es el proceso general para configurar un intercambio de tráfico entre dos VCN de la misma región:

1. Crear los LPG: cada administrador de VCN crea un LPG para su propio VCN.
2. Compartir información: los administradores comparten la información básica necesaria.
3. Configurar las políticas de IAM necesarias para la conexión: los administradores configuran las políticas de IAM para permitir que se establezca la conexión.
4. Establecer la conexión: el solicitante conecta los dos LPG.
5. Actualizar las tablas de rutas: cada administrador actualiza las tablas de rutas de sus VCN para permitir el tráfico entre las VCN con intercambio de tráfico como desee.
6. Actualizar reglas de seguridad: cada administrador actualiza las reglas de seguridad de sus VCN para permitir el tráfico entre las VCN con intercambio de tráfico como desee.

Si se desea, los administradores pueden realizar las tareas E y F antes de establecer la conexión. En ese caso, cada administrador debe saber el bloque CIDR o las subredes específicas de la VCN del otro y compartirlo en la tarea B. Una vez establecida la conexión, también puede obtener el bloque CIDR de la otra VCN viendo los detalles de su propio LPG en la consola. Busque CIDR anunciado de peer. Si está utilizando la API, consulte el parámetro peerAdvertisedCidr.

También deberá preconfigurar algunos valores de IAM, como los grupos, antes de realizar el proceso paso a paso.