Documentación de Oracle Cloud Infrastructure

Intercambio de tráfico de VCN local a través de un DRG actualizado

En este escenario, se describe el uso de una conexión mutua con un DRG actualizado para activar el tráfico entre dos o más redes virtuales en la nube.

Visión general

En lugar de utilizar conexiones de intercambio de tráfico locales, puede establecer comunicaciones de red privada entre dos o más redes virtuales en la nube (VCN) en la misma región asociándolas a un gateway de enrutamiento dinámico común (DRG) y realizando los cambios adecuados en las tablas de rutas de VCN y DRG.

Este escenario solo está disponible para un DRG actualizado.

Si utiliza el DRG heredado, puede conectar dos redes virtuales en la misma región mediante gateways de intercambio de tráfico locales (LPG), como se describe en el escenario Intercambio de tráfico de VCN local mediante gateways de intercambio de tráfico locales. El intercambio de tráfico de dos redes virtuales en la nube en la misma región a través de un DRG le proporciona más flexibilidad de enrutamiento y una gestión simplificada, pero el costo del aumento de la latencia en microsegundos porque el tráfico se enruta a través de un enrutador virtual, el DRG.

En este escenario de ejemplo se realiza un intercambio de tráfico entre dos VCN. Antes de implantar este escenario, asegúrese de que:

  • La VCN-A no está asociada a un DRG
  • La VCN-B no está asociada a un DRG
  • Los CIDR utilizados por VCN-A y VCN-B no se solapan

Las redes virtuales en la nube de intercambio de tráfico en distintos arrendamientos necesitan más políticas de IAM para la autorización entre arrendamientos. Consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube para obtener más información sobre los permisos necesarios. Al asociar una VCN en una región diferente a un DRG, utilice los pasos de Asociación del DRG a una VCN de un arrendamiento diferente. La mayoría de los pasos de este escenario asumen que el DRG y ambas VCN están en el mismo arrendamiento.

Pasos

Este es el proceso general para configurar un intercambio de tráfico entre dos VCN de la misma región mediante un DRG:

  1. Crear el DRG: consulte Tarea A: crear un DRG.
  2. Agregar la VCN A al DRG: consulte Tarea B: asociar la VCN-A al DRG.
  3. Conectar la VCN B al DRG: consulte Tarea C: conectar la VCN-B al DRG.
  4. Configuración de tablas de rutas en la VCN A para enviar tráfico destinado al CIDR de la VCN B al DRG. Consulte Tarea D: configuración de tablas de rutas en la VCN-A para enviar tráfico destinado al CIDR de la VCN-B a la asociación de DRG.
  5. Configurar tablas de rutas en la VCN B para enviar tráfico destinado al CIDR de la VCN A al DRG. Consulte Tarea E: configurar tablas de rutas en la VCN-B para enviar tráfico destinado al CIDR de la VCN-A a la asociación de DRG.
  6. Actualizar reglas de seguridad: actualice las reglas de seguridad de cada VCN para activar el tráfico entre las VCN conectadas según lo previsto. Consulte Tarea F: actualizar reglas de seguridad.

En esta página se resumen algunas implicaciones de control de acceso, seguridad y rendimiento para las VCN con intercambio de tráfico. Puede controlar el acceso y el tráfico entre dos redes virtuales en la nube con intercambio de tráfico mediante políticas de IAM, tablas de rutas en cada VCN, tablas de rutas en el DRG y listas de seguridad en cada VCN.

Resumen de componentes de Networking para intercambio de tráfico a través de un DRG

En general, los componentes del servicio Networking necesarios para un intercambio de tráfico local a través de un DRG incluyen:

  • Dos redes virtuales en la nube de la misma región con CIDR que no se solapan
  • Un único gateway de direccionamiento dinámico (DRG) conectado a cada VCN de peer
  • Soporte de reglas de ruta para permitir que el tráfico fluya por la conexión y solo desde y hacia determinadas subredes de las respectivas VCN (si se desea)
  • Admitir reglas de seguridad para controlar los tipos de tráfico permitidos entre las instancias de las subredes que deben comunicarse con la otra VCN

En el diagrama siguiente se ilustran los componentes.

En esta imagen, se muestra el diseño básico de dos VCN con intercambio de tráfico local, cada una con un gateway de intercambio de tráfico local.
Nota

Una VCN concreta puede acceder a estos recursos:

  • VNIC en la otra VCN
  • Una red local asociada a otra VCN, si se ha configurado un escenario de enrutamiento avanzado llamado enrutamiento en tránsito para las VCN

Dos redes virtuales en la nube interconectadas con un DRG no pueden acceder a otros gateways en la nube (como un gateway de Internet o un gateway de NAT), excepto el enrutamiento en tránsito a través de un LPG. Por ejemplo, si el VCN-1 del diagrama anterior tuviera un Gateway de Internet, las instancias de la VCN-2 no pudieran usarlo para enviar tráfico a puntos finales en Internet. Sin embargo, la VCN-2 podría recibir tráfico de Internet mediante VCN-1. Para obtener más información, consulte Implicaciones importantes del intercambio de tráfico de VCN.

Conceptos importantes del intercambio de tráfico local

Los siguientes conceptos ayudan a comprender los conceptos básicos del intercambio de tráfico de VCN mediante un DRG y cómo establecer un intercambio de tráfico local.

INTERCAMBIO DE TRÁFICO
Un intercambio de tráfico es una relación entre dos redes virtuales en la nube que se conectan al mismo DRG y pueden enrutar mutuamente el tráfico. La parte local del intercambio de tráfico local indica que las VCN están en la misma región. Un DRG determinado puede tener un máximo de 300 asociaciones de un DRG local a la vez.
Atención

Las VCN de intercambio de tráfico no deben tener CIDR solapados.
ADMINISTRADORES
En general, el intercambio de tráfico de VCN solo puede producirse si todos los administradores de VCN y administradores de DRG involucrados están de acuerdo. Dependiendo de la situación, un único administrador puede ser responsable de todos los DRG, las VCN y las políticas relacionadas implicados.
Para obtener más información sobre las políticas necesarias y la configuración de la VCN, consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube.
ENRUTAMIENTO AL DRG
Como parte de la configuración de las VCN, cada administrador debe actualizar el enrutamiento de la VCN para permitir que el tráfico fluya entre las VCN. En práctica, se parece al enrutamiento que ha configurado para cualquier gateway (como un gateway de Internet o ungateway de enrutamiento dinámico). Para cada subred que necesite comunicarse con la otro VCN, actualice la tabla de rutas de la subred. La regla de ruta especifica el CIDR del tráfico del destino y el DRG como destino. La VCN enruta al DRG el tráfico que coincide con esa regla, que a su vez enruta al tráfico al siguiente salto en la otra VCN.
En el diagrama siguiente, la VCN-1 y la VCN-2 se intercambian tráfico. El tráfico desde una instancia de la subred A (10.0.0.15) destinado a una instancia de VCN-2 (192.168.0.15) se enruta al DRG según la regla de la tabla de rutas de la subred A. Desde ahí, el tráfico se enruta a VCN-2 y, a continuación, desde allí, a su destino en la subred X. El DRG de este escenario utiliza una tabla de rutas por defecto.
En esta imagen se muestran las tablas de rutas y la ruta de acceso del tráfico enrutado de una VCN a la otra.
Referencia 1: Tabla de rutas de la subred A
CIDR de destino Destino de ruta
172.16.0.0/12 DRG
192.168.0.0/16 DRG
0.0.0.0/0 Gateway de internet
Referencia 2: Tabla de rutas de la subred X
CIDR de destino Destino de ruta
172.16.0.0/12 DRG
10.0.0.0/16 DRG
REGLAS DE SEGURIDAD
Cada subred de una VCN tiene una o varias listas de seguridad que controlan el tráfico de entrada y salida de las VNIC de la subred en el nivel de paquetes. Puede utilizar listas de seguridad para controlar el tipo de tráfico permitido con la otra VCN. As part of configuring the VCNs, each administrator must decide which subnets in their own VCN need to communicate with VNICs in the other VCN and update their subnet's security lists to match.
Si utiliza grupos de seguridad de red (NSG) para implantar reglas de seguridad, tenga en cuenta que puede escribir reglas de seguridad para un NSG que especifique otro NSG como origen o destino de tráfico. Sin embargo, los dos NSG deben pertenecer a la misma VCN.

Configuración de este escenario en la Consola

Tarea A: crear un DRG

Un DRG creado antes de mayo de 2021 no puede realizar el enrutamiento entre redes locales y varias redes virtuales en la nube, ni proporcionar un intercambio de tráfico local entre las redes virtuales en la nube. Si necesita esa funcionalidad y se muestra un botón Actualizar DRG, selecciónelo.

Nota

Al hacer clic en el botón Actualizar DRG, también se restablecen todas las sesiones del BGP existentes e interrumpe temporalmente el tráfico de la red local mientras se actualiza el DRG. Tenga en cuenta que no se puede realizar un rollback de la actualización.

Si vuelve a aplicar un DRG en la misma región que las redes virtuales en la nube que desea conectar, mediante los pasos de Creación de un DRG.

Tarea B: asociar la VCN-A al DRG
Nota

Un DRG actualizado se puede asociar a muchas VCN, pero una VCN solo se puede asociar a un DRG a la vez. La asociación se crea automáticamente en el compartimiento que contiene la VCN. No es necesario que una VCN esté en el mismo compartimento o arrendamiento que el DRG actualizado.

Puede eliminar las conexiones de intercambio de tránsito local de todo el diseño de red si conecta varias VPN de la misma región al mismo DRG y configura las tablas del enrutamiento de DRG correctamente.

Las redes virtuales en la nube de intercambio de tráfico en distintos arrendamientos necesitan más políticas de IAM para la autorización entre arrendamientos. Consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube para obtener más información sobre los permisos necesarios. Al asociar una VCN en una región diferente a un DRG, utilice los pasos de Asociación del DRG a una VCN de un arrendamiento diferente.

Asocie la VCN-A al DRG que ha creado en la tarea A. Puede asociar un DRG a una VCN o asociar una VCN a un DRG.

Tarea C: asociar la VCN-B al DRG
Nota

Un DRG puede estar asociado a muchas VCN, pero la VCN solo puede estar asociada a un DRG a la vez. La asociación se crea automáticamente en el compartimiento que contiene la VCN. No es necesario que una VCN esté en el mismo compartimento que el DRG.

Puede eliminar las conexiones de intercambio de tránsito local de todo el diseño de red si conecta varias VPN de la misma región al mismo DRG y configura las tablas del enrutamiento de DRG correctamente.

Las redes virtuales en la nube de intercambio de tráfico en distintos arrendamientos necesitan más políticas de IAM para la autorización entre arrendamientos. Consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube para obtener más información sobre los permisos necesarios. Al asociar una VCN en una región diferente a un DRG, utilice los pasos de Asociación del DRG a una VCN de un arrendamiento diferente.

Asocie la VCN-B al DRG que ha creado en la tarea A. Puede asociar un DRG a una VCN o asociar una VCN a un DRG.

Tarea D: configurar tablas de rutas en la VCN-A para enviar tráfico destinado al CIDR de la VCN-B a la asociación de DRG.

Como se ha mencionado anteriormente, cada administrador puede realizar esta tarea antes o después de que se asocie la VCN al DRG.

Previo necesario: Cada administrador debe tener el bloque CIDR para la otra VCN o para las subredes específicas de esa VCN.

Para la VCN-A, decida qué subredes de la VCN-A deben comunicarse con la VCN-B y actualice la tabla de rutas para que cada una de esas subredes incluya una nueva regla que dirija el tráfico destinado al CIDR de la otra VCN al DRG. Utilice la configuración:

  • Tipo de destino: gateway de enrutamiento dinámico.
  • Bloque de CIDR de destino: bloque de CIDR de la VCN-B. Si lo desea, puede especificar una subred o un subjuego concreto de CIDR de la VCN-B.
  • Compartimento de destino: compartimento con la otra VCN, si no el compartimento actual.
  • Destino: DRG creado en la tarea A.
  • Descripción: descripción opcional de la regla.

Cualquier tráfico del subred con un destino que coincide con la regla se direcciona al DRG. Para obtener más información sobre la configuración de reglas de ruta, consulte Tablas de rutas de VCN.

Si en el futuro ya no necesita el intercambio del tráfico y desea finalizar la relación del intercambio de tránsito, suprima primero todas la reglas del enrutamiento de la VCN que especifican la otra VCN.

Consejo

Sin el enrutamiento necesario, el tráfico no fluye entre las VCN con intercambio de tráfico. Si se produce una situación en la que sea necesario parar temporalmente la relación de intercambio de tráfico, elimine las reglas de ruta que activan el tráfico.
Tarea E: configurar tablas de rutas en la VCN-B para enviar tráfico destinado al CIDR de la VCN-A a la asociación de DRG.

Como se ha mencionado anteriormente, cada administrador puede realizar esta tarea antes o después de que se asocie la VCN al DRG.

Previo necesario: Cada administrador debe tener el bloque CIDR o las subredes específicas de la otra VCN.

Para la VCN-B, decida qué subredes de la VCN-B deben comunicarse con la VCN-A y actualice la tabla de rutas para que cada una de esas subredes incluya una nueva regla que dirija el tráfico destinado al CIDR de la otra VCN al DRG. Utilice la configuración:

  • Tipo de destino: gateway de enrutamiento dinámico.
  • Bloque de CIDR de destino: bloque de CIDR de la VCN-A. Si lo desea, puede especificar una subred o un subjuego concreto de bloque de CIDR de la VCN A.
  • Compartimento de destino: compartimento con la otra VCN, si no el compartimento actual.
  • Destino: DRG creado en la tarea A.
  • Descripción: descripción opcional de la regla.

Cualquier tráfico del subred con un destino que coincide con la regla se direcciona al DRG. Para obtener más información sobre la configuración de reglas de ruta, consulte Tablas de rutas de VCN.

Si, en el futuro, ya no necesita el intercambio del tráfico y desea finalizar la relación del intercambio de tránsito, suprima todas la reglas del enrutamiento de la VCN que especifique la otra VCN como destino.

Consejo

Sin el enrutamiento necesario, el tráfico no fluye entre las VCN con intercambio de tráfico. Si alguna vez necesita parar temporalmente el intercambio de tráfico, puede eliminar las reglas de ruta que activan el tráfico.
Tarea F: actualizar reglas de seguridad

Como ya se ha mencionado, cada administrador puede realizar esta tarea antes o después de que se establezca la conexión.

Previo necesario: Cada administrador debe tener el bloque CIDR o las subredes específicas de la otra VCN. En general, utilice el mismo bloque de CIDR que ha utilizado en la regla de tabla de rutas en la Tarea E: configurar las tablas de rutas.

Agregue las siguientes reglas:

  • Reglas de entrada para los tipos de tráfico que desea permitir desde el CIDR de la otra VCN o subredes específicas.
  • Regla de salida para permitir el tráfico saliente de la VCN local a otra VCN. Si la subred ya tiene una regla de salida amplia para todos los tipos de protocolos a todos los destinos (0.0.0.0/0), no tendrá que agregar una especial para el resto de las VCN.
Nota

El siguiente procedimiento utiliza listas de seguridad, pero en su lugar puede implantar las reglas de seguridad en un grupo de seguridad de red y, a continuación, crear los recursos de la subred en ese NSG.

Para cada VCN, decida qué subredes de la VCN local deben comunicarse con la otra VCN y actualice la lista de seguridad para que cada una de esas subredes incluya reglas que permitan el tráfico de salida o entrada deseado con el bloque o la subred de CIDR de la otra VCN

Ejemplo

Para agregar una regla con estado que permita el tráfico HTTPS (puerto 443) de entrada desde el CIDR de la otra VCN, utilice la siguiente configuración para implantar esa regla:

  • Deje desactivada la casilla Sin estado.
  • Tipo de origen: Dejar como CIDR.
  • CIDR de destino: introduzca el mismo bloque CIDR que utilizan las reglas de ruta (consulte Tarea D o Tarea E).
  • Protocolo IP: Dejar como TCP.
  • Rango de puertos de origen: déjelo como Todos.
  • Rango de puertos de destino: Introducir 443.
  • Descripción: descripción opcional de la regla.

Para obtener más información sobre las reglas de seguridad, consulte Reglas de seguridad.