Documentación de Oracle Cloud Infrastructure

Intercambio de tráfico de VCN local a través de un DRG actualizado

En este escenario se describe el uso de una conexión mutua a un DRG actualizado para activar el tráfico entre dos o más redes virtuales en la nube.

Visión general

En lugar de utilizar conexiones de intercambio de tráfico local, puede establecer comunicaciones de red privada entre dos o más redes virtuales en la nube (VCN) de la misma región asociándolas a un gateway de enrutamiento dinámico (DRG) común y realizando los ajustes adecuados en las tablas de rutas de la VCN y el DRG.

Este escenario solo está disponible para un DRG actualizado.

Si utiliza el DRG heredado, puede realizar un intercambio de tráfico en dos VCN de la misma región mediante el uso de gateways de intercambio de tráfico local (LPG), como se describe en el escenario Intercambio de trafico de VCN local mediante gateways de intercambio de tráfico local. El intercambio de tráfico entre dos VCN de la misma región a través de un DRG le ofrece más flexibilidad en el enrutamiento y una gestión simplificada, pero conlleva un aumento de latencia de microsegundos debido al enrutamiento del tráfico a través de un enrutador virtual, el DRG.

En este escenario de ejemplo se realiza un intercambio de tráfico entre dos VCN. Antes de intentar implantar este escenario, asegúrese de que:

  • La VCN-A no está asociada a un DRG
  • La VCN-B no está asociada a un DRG
  • La VCN-A y la VCN-B tienen CIDR no solapados

El intercambio de tráfico entre VCN de distintos arrendamientos requiere más políticas de IAM para la autorización entre arrendamientos. Consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube para obtener más información sobre los permisos necesarios. Al asociar una VCN de una región diferente a un DRG, utilice los pasos de Asociación de un DRG a una VCN de un arrendamiento diferente. La mayoría de los pasos de este escenario asumen que el DRG y ambas VCN están en el mismo arrendamiento.

Pasos

Este es el proceso general para configurar un intercambio de tráfico entre dos VCN de la misma región mediante un DRG:

  1. Crear el DRG: consulte Tarea A: crear un DRG.
  2. Asociar la VCN A al DRG: consulte Tarea B: asociar la VCN-A al DRG.
  3. Asociar la VCN B al DRG: consulte Tarea C: asociar la VCN-B al DRG.
  4. Configurar tablas de rutas en la VCN A para enviar tráfico destinado al CIDR de la VCN B al DRG: consulte Tarea D: configurar tablas de rutas en la VCN-A para enviar tráfico destinado al CIDR de la VCN-B a la asociación de DRG.
  5. Configurar tablas de rutas en la VCN B para enviar tráfico destinado al CIDR de la VCN A al DRG: consulte Tarea E: configurar tablas de rutas en la VCN-B para enviar tráfico destinado al CIDR de la VCN-A a la asociación de DRG.
  6. Actualizar reglas de seguridad: actualice las reglas de seguridad de cada VCN para permitir el tráfico entre las VCN con intercambio de tráfico como desee. Consulte Tarea F: actualizar reglas de seguridad.

En esta página se resumen algunas implicaciones de control de acceso, seguridad y rendimiento para las VCN con intercambio de tráfico. Puede controlar el acceso y el tráfico entre dos VCN con intercambio de tráfico mediante políticas de IAM, tablas de rutas en cada VCN, tablas de rutas en el DRG y listas de seguridad en cada VCN.

Resumen de componentes de Networking para el intercambio de tráfico a través de un DRG

En general, los componentes del servicio Networking necesarios para un intercambio de tráfico local a través de un DRG incluyen:

  • Dos VCN con CIDR no superpuestos, en la misma región.
  • Un único gateway de enrutamiento dinámico (DRG) conectado a cada VCN con intercambio de tráfico.
  • Soporte de reglas de ruta para permitir que el tráfico fluya por la conexión y solo desde y hacia determinadas subredes de las respectivas VCN (si se desea).
  • Admitir reglas de seguridad para controlar los tipos de tráfico permitidos entre las instancias de las subredes que deben comunicarse con la otra VCN.

En el diagrama siguiente se ilustran los componentes.

En esta imagen, se muestra el diseño básico de dos VCN con intercambio de tráfico local, cada una con un gateway de intercambio de tráfico local.
Nota

Una VCN determinada puede alcanzar estos recursos:

  • VNIC en la otra VCN
  • Una red local asociada a otra VCN, si se ha configurado un escenario de enrutamiento avanzado llamado enrutamiento en tránsito para las VCN

Dos VCN interconectadas con un DRG no pueden alcanzar otros gateways en la nube (por ejemplo, un gateway de internet o un gateway de NAT), excepto el enrutamiento en tránsito a través de un LPG. Por ejemplo, si la VCN-1 del diagrama anterior tuviera un gateway de internet, las instancias de la VCN-2 no podrían usarlo para enviar tráfico a puntos finales en internet. Sin embargo, la VCN-2 podría recibir tráfico de internet mediante VCN-1. Para obtener más información, consulte Implicaciones importantes del intercambio de tráfico de VCN.

Conceptos importantes del intercambio de tráfico local

Los siguientes conceptos ayudan a comprender los conceptos básicos del intercambio de tráfico de VCN mediante un DRG y cómo establecer un intercambio de tráfico local.

INTERCAMBIO DE TRÁFICO
Un intercambio de tráfico es una relación entre dos VCN que se conectan al mismo DRG y pueden enrutar el tráfico mutuamente. La parte local de intercambio de tráfico local indica que las VCN están en la misma región. Un DRG determinado puede tener un máximo de 300 asociaciones de DRG locales a la vez.
Atención

Las VCN de intercambio de tráfico no deben tener CIDR solapados.
ADMINISTRADORES
En general, el intercambio de tráfico de VCN solo puede producirse si todos los administradores de VCN y administradores de DRG involucrados están de acuerdo. Dependiendo de la situación, un único administrador puede ser responsable de todos los DRG, las VCN y las políticas relacionadas implicados.
Para obtener más información sobre las políticas necesarias y la configuración de la VCN, consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube.
ENRUTAMIENTO AL DRG
Como parte de la configuración de las VCN, cada administrador debe actualizar el enrutamiento de la VCN para permitir que el tráfico fluya entre las VCN. En la práctica, es como el enrutamiento configurado para cualquier gateway (como un gateway de internet o un gateway de enrutamiento dinámico). Para cada subred que necesite comunicarse con la otro VCN, actualice la tabla de rutas de la subred. La regla de ruta especifica el CIDR del tráfico de destino y su DRG como destino. La VCN enruta el tráfico que coincide con esa regla al DRG, que a su vez, enruta el tráfico al siguiente salto en la otra VCN.
En el diagrama siguiente, la VCN-1 y la VCN-2 se intercambian tráfico. El tráfico desde una instancia de la subred A (10.0.0.15) destinado a una instancia de VCN-2 (192.168.0.15) se enruta al DRG según la regla de la tabla de rutas de la subred A. Desde ahí, el tráfico se enruta a VCN-2 y, a continuación, desde allí, a su destino en la subred X. El DRG de este escenario utiliza la tabla de rutas generada automáticamente.
En esta imagen se muestran las tablas de rutas y la ruta de acceso del tráfico enrutado de una VCN a la otra.
Referencia 1: Tabla de rutas de la subred A
CIDR de destino Destino de ruta
172.16.0.0/12 DRG
192.168.0.0/16 DRG
0.0.0.0/0 Gateway de internet
Referencia 2: Tabla de rutas de la subred X
CIDR de destino Destino de ruta
172.16.0.0/12 DRG
10.0.0.0/16 DRG
REGLAS DE SEGURIDAD
Cada subred de una VCN tiene una o varias listas de seguridad que controlan el tráfico de entrada y salida de las VNIC de la subred en el nivel de paquetes. Puede utilizar listas de seguridad para controlar el tipo de tráfico permitido con la otra VCN. Como parte de la configuración de las VCN, cada administrador debe determinar qué subredes de su propia VCN deben comunicarse con las VNIC de la otra VCN y actualizar las listas de seguridad de la subred según corresponda.
Si utiliza grupos de seguridad de red (NSG) para implantar reglas de seguridad, tenga en cuenta que puede escribir reglas de seguridad para un NSG que especifique otro NSG como origen o destino de tráfico. Sin embargo, los dos NSG deben pertenecer a la misma VCN.

Configuración de este escenario en la consola

Tarea A: crear un DRG

Un DRG creado antes de mayo de 2021 no puede realizar el enrutamiento entre redes locales y varias VCN, ni proporcionar intercambio de tráfico local entre las VCN. Si necesita esa funcionalidad y se muestra el botón Actualizar DRG, haga clic en él.

Nota

Al hacer clic en el botón Actualizar DRG, también se restablecen todas las sesiones de BGP existentes y se interrumpe temporalmente el tráfico de la red local mientras se actualizan los DRG. Tenga en cuenta que no se puede realizar un rollback de la actualización.

Mientras trabaja en la misma región que las VCN entre las que desea un intercambio de tráfico, siga los siguientes pasos:

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico.

  2. En Ámbito de lista, seleccione un compartimento en el que tenga permiso para trabajar. La página se actualiza para mostrar solo los recursos de ese compartimento. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Control de acceso.
  3. Haga clic en Crear gateway de enrutamiento dinámico.

  4. Introduzca los siguientes elementos:

    • Nombre: un nombre descriptivo para el DRG. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
    • Crear en compartimiento: compartimiento en el que desea crear el DRG, que puede ser diferente del compartimiento en el que está trabajando actualmente.
    • Etiquetas: si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si desea aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar las etiquetas más tarde.
  5. Haga clic en Crear gateway de enrutamiento dinámico.

Se creará el nuevo DRG y se mostrará a continuación en la página Gateways de enrutamiento dinámico del compartimento que haya seleccionado. El DRG tendrá el estado "Aprovisionando" durante un período corto. Puede asociarlo a otras partes de la red solo una vez que haya finalizado el aprovisionamiento.

El aprovisionamiento incluye la creación de dos tablas de rutas: una tabla de rutas para las VCN conectadas y otra para otros recursos, como circuitos virtuales y túneles de IPSec. Las tablas de rutas por defecto no se pueden suprimir, pero se pueden editar. Si no se modifican, las políticas de enrutamiento por defecto de un DRG permiten que el tráfico se enrute entre todas las VCN que tiene asociadas.

Nota

Las tablas de enrutamiento de DRG actualizadas por defecto implantan el mismo comportamiento de enrutamiento que los DRG heredados para la compatibilidad con versiones anteriores.
Tarea B: asociar la VCN-A al DRG
Nota

Un DRG actualizado se puede asociar a muchas VCN, pero una VCN solo se puede asociar a un DRG a la vez. La asociación se crea automáticamente en el compartimiento que contiene la VCN. No es necesario que una VCN esté en el mismo compartimento o arrendamiento que el DRG actualizado.

Puede eliminar las conexiones de intercambio de tráfico local del diseño de red global si conecta varias VPN de la misma región al mismo DRG y configura las tablas de enrutamiento de DRG correctamente.

El intercambio de tráfico entre VCN de distintos arrendamientos requiere más políticas de IAM para la autorización entre arrendamientos. Consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube para obtener más información sobre los permisos necesarios. Al asociar una VCN de una región diferente a un DRG, utilice los pasos de Asociación de un DRG a una VCN de un arrendamiento diferente.

Las siguientes instrucciones le permiten desplazarse al DRG actualizado y, a continuación, elegir qué VCN asociar. En su lugar, puede navegar a la VCN y, a continuación, seleccionar qué DRG desea asociar.

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico.

  2. Haga clic en el DRG actualizado que desea asociar a la VCN A.
  3. En Recursos, haga clic en Asociaciones de red virtual en la nube.
  4. Haga clic en Crear asociación de VCN.
    • (Opcional) Asigne un nombre fácil de recordar al punto de conexión. Si no especifica un nombre, se creará uno.
    • Seleccione la VCN A en la lista. También puede hacer clic en Cambiar compartimento y seleccionar un compartimento diferente si la VCN no está en el compartimento actual y, a continuación, seleccionar la VCN A en la lista.
  5. (Opcional) Si configura un escenario avanzado para el enrutamiento en tránsito, puede asociar una tabla de rutas de VCN al DRG (esto puede hacerlo más adelante):
    1. Haga clic en Mostrar opciones avanzadas.
    2. Haga clic en el separador Tabla de rutas de VCN.
    3. Seleccione la tabla de rutas que desee asociar a la VCN del DRG. Si selecciona Ninguno, se utilizará la tabla de rutas de VCN por defecto.
  6. Haga clic en Crear asociación de VCN.

La asociación tendrá el estado "Asociando" durante un período corto.

Cuando la asociación esté lista, cree una regla de ruta que dirija el tráfico de subred a este DRG. Consulte Enrutamiento del tráfico de una subred a un DRG.

Tarea C: asociar la VCN-B al DRG
Nota

Un DRG puede estar asociado a muchas VCN, pero la VCN solo puede estar asociada a un DRG a la vez. La asociación se crea automáticamente en el compartimiento que contiene la VCN. No es necesario que una VCN esté en el mismo compartimento que el DRG.

Puede eliminar las conexiones de intercambio de tráfico local del diseño de red global si conecta varias VPN de la misma región al mismo DRG y configura las tablas de enrutamiento de DRG correctamente.

El intercambio de tráfico entre VCN de distintos arrendamientos requiere más políticas de IAM para la autorización entre arrendamientos. Consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube para obtener más información sobre los permisos necesarios. Al asociar una VCN de una región diferente a un DRG, utilice los pasos de Asociación de un DRG a una VCN de un arrendamiento diferente.

Las siguientes instrucciones le permiten navegar al DRG y, a continuación, elegir qué VCN desea asociar. En su lugar, puede navegar a la VCN y, a continuación, seleccionar qué DRG desea asociar.

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico.

  2. Haga clic en el DRG que desea asociar a la VCN B.
  3. En Recursos, haga clic en Asociaciones de red virtual en la nube.
  4. Haga clic en Crear asociación de VCN.
    • (Opcional) Asigne un nombre fácil de recordar al punto de conexión. Si no especifica un nombre, se creará uno.
    • Seleccione la VCN B en la lista. También puede hacer clic en Cambiar compartimento, seleccionar el compartimento que contiene la VCN B y, a continuación, seleccionar la VCN B en la lista.
  5. (Opcional) Si configura un escenario avanzado para el enrutamiento en tránsito, puede asociar una tabla de rutas de VCN al DRG (esto puede hacerlo más adelante):
    1. Haga clic en Mostrar opciones avanzadas.
    2. Haga clic en el separador Tabla de rutas de VCN.
    3. Seleccione la tabla de rutas que desee asociar a la VCN del DRG. Si selecciona Ninguno, se utilizará la tabla de rutas de VCN por defecto.
  6. Haga clic en Crear asociación de VCN.

La asociación tendrá el estado "Asociando" durante un período corto.

Cuando la asociación esté lista, cree una regla de ruta que dirija el tráfico de subred a este DRG. Consulte Enrutamiento del tráfico de una subred a un DRG.

Tarea D: configurar tablas de rutas en la VCN-A para enviar tráfico destinado al CIDR de la VCN-B a la asociación de DRG.

Como se ha mencionado anteriormente, cada administrador puede realizar esta tarea antes o después de que se asocie la VCN al DRG.

Previo necesario: Cada administrador debe tener el bloque CIDR o las subredes específicas de la otra VCN.

Para la VCN A:

  1. Determine qué subredes de la VCN-A se deben comunicar con la otra VCN.

  2. Actualice la tabla de rutas para cada una de esas subredes a fin de incluir una nueva regla que dirija el tráfico destinado al CIDR de la otra VCN a su DRG:

    1. Abra el menú de navegación, haga clic en Red y, a continuación, en Redes virtuales en la nube.
    2. Haga clic en la VCN que le interese, la VCN-A.
    3. En Recursos, haga clic en Tablas de rutas.
    4. Haga clic en la tabla de rutas que le interesa.

    5. Haga clic en Agregar regla de ruta e introduzca lo siguiente:

      • Tipo de destino: gateway de enrutamiento dinámico.
      • Bloque de CIDR de destino: bloque de CIDR de la VCN-B. Si lo desea, puede especificar una subred o un subjuego concreto de CIDR de la VCN-B.
      • Compartimiento de destino: compartimiento donde se ubica la otra VCN, si no es el compartimiento actual.
      • Destino: el DRG.
      • Descripción: descripción opcional de la regla.
    6. Haga clic en Agregar regla de ruta.

Todo el tráfico de subred con un destino que coincida con la regla se direcciona al DRG. Para obtener más información sobre la configuración de reglas de ruta, consulte Tablas de rutas de VCN.

Si en el futuro ya no necesita el intercambio de tráfico y desea finalizar la relación de intercambio de tráfico, suprima primero todas las reglas de ruta de la VCN que especifiquen la otra como destino.

Consejo

Sin el enrutamiento necesario, el tráfico no fluye entre las VCN con intercambio de tráfico. Si se produce una situación en la que sea necesario parar temporalmente la relación de intercambio de tráfico, elimine las reglas de ruta que activan el tráfico.
Tarea E: configurar tablas de rutas en la VCN-B para enviar tráfico destinado al CIDR de la VCN-A a la asociación de DRG.

Como se ha mencionado anteriormente, cada administrador puede realizar esta tarea antes o después de que se asocie la VCN al DRG.

Previo necesario: Cada administrador debe tener el bloque CIDR o las subredes específicas de la otra VCN.

Para la VCN-B:

  1. Determine qué subredes de la VCN B se deben comunicar con la otra VCN.

  2. Actualice la tabla de rutas para cada una de esas subredes a fin de incluir una nueva regla que dirija el tráfico destinado al CIDR de la otra VCN a su DRG:

    1. Abra el menú de navegación, haga clic en Red y, a continuación, en Redes virtuales en la nube.
    2. Haga clic en la VCN que le interese, la VCN-B.
    3. En Recursos, haga clic en Tablas de rutas.
    4. Haga clic en la tabla de rutas que le interesa.

    5. Haga clic en Agregar regla de ruta e introduzca lo siguiente:

      • Tipo de destino: gateway de enrutamiento dinámico.
      • Bloque de CIDR de destino: bloque de CIDR de la VCN-A. Si lo desea, puede especificar una subred o un subjuego concreto de bloque de CIDR de la VCN A.
      • Compartimiento de destino: compartimiento donde está ubicada la otra VCN, si no está en el compartimiento actual.
      • Destino: el DRG.
      • Descripción: descripción opcional de la regla.
    6. Haga clic en Agregar regla de ruta.

Todo el tráfico de subred con un destino que coincida con la regla se direcciona al DRG. Para obtener más información sobre la configuración de reglas de ruta, consulte Tablas de rutas de VCN.

Si en el futuro ya no necesita el intercambio de tráfico y desea finalizar la relación de intercambio de tráfico, suprima todas las reglas de ruta de la VCN que especifiquen la otra VNC como destino.

Consejo

Sin el enrutamiento necesario, el tráfico no fluye entre las VCN con intercambio de tráfico. Si se produce una situación en la que fuera necesario detener de forma temporal el intercambio de tráfico, simplemente puede eliminar las reglas de ruta que activan el tráfico.
Tarea F: actualizar reglas de seguridad

Como ya se ha mencionado, cada administrador puede realizar esta tarea antes o después de que se establezca la conexión.

Previo necesario: Cada administrador debe tener el bloque CIDR o las subredes específicas de la otra VCN. En general, utilice el mismo bloque de CIDR que ha utilizado en la regla de tabla de rutas en la Tarea E: configurar las tablas de rutas.

¿Qué reglas debe agregar?

  • Reglas de entrada para los tipos de tráfico que desea permitir desde la otra VCN, concretamente, desde el CIDR o las subredes específicas de la VCN.
  • Regla de salida para permitir el tráfico saliente de la VCN a otra VCN. Si la subred ya tiene una regla de salida amplia para todos los tipos de protocolos a todos los destinos (0.0.0.0/0), no tendrá que agregar una especial para el resto de las VCN.
Nota

El siguiente procedimiento utiliza listas de seguridad, pero en su lugar puede implantar las reglas de seguridad en un grupo de seguridad de red y, a continuación, crear los recursos de la subred en ese NSG.

Para cada VCN:

  1. Determine qué subredes de la VCN se deben comunicar con la otra VCN.

  2. Actualice la lista de seguridad de cada una de esas subredes para incluir reglas que permitan el tráfico de salida o entrada deseado específicamente con el bloque CIDR o la subred de la otra VCN:

    1. En la consola, mientras visualiza la VCN que le interesa, haga clic en Listas de seguridad.
    2. Haga clic en la lista de seguridad en la que está interesado.
    3. En Recursos, haga clic en Reglas de entrada o en Reglas de salida según el tipo de regla con la que desee trabajar.

    4. Si desea agregar una regla, haga clic en Agregar regla de entrada (o en Agregar regla de salida).

      Ejemplo

      Supongamos que desea agregar una regla con estado que permita el tráfico de entrada HTTPS (puerto 443) desde el CIDR de la otra VCN. A continuación, se muestran los pasos básicos que debe realizar al agregar una regla:

      1. Deje desactivada la casilla Sin estado.
      2. Tipo de origen: Dejar como CIDR.
      3. CIDR de origen: Introduzca el mismo bloque CIDR que utilizan las reglas de ruta (consulte Tarea E: Configuración de las tablas de rutas).
      4. Protocolo IP: Dejar como TCP.
      5. Rango de puertos de origen: déjelo como Todos.
      6. Rango de puertos de destino: Introducir 443.
      7. Descripción: descripción opcional de la regla.
    5. Si desea suprimir una regla existente, haga clic en el menú Acciones (Menú Acciones) y, a continuación, en Suprimir.
    6. If you wanted to edit an existing rule, click the Actions menu (Menú Acciones), and then click Edit.

Para obtener más información sobre las reglas de seguridad, consulte Reglas de seguridad.