Intercambio de tráfico remoto de VCN a través de un DRG actualizado
En este tema, se trata el intercambio de tráfico remoto de VCN.
En este caso, remoto significa que las redes virtuales en la nube (VCN) están conectadas a un gateway de enrutamiento dinámico (DRG) diferente que reside en una región diferente. Si las VCN con las que desea conectarse están en la misma región, consulte Intercambio de tráfico de VCN local a través de un DRG actualizado.
Este escenario está disponible para un DRG actualizado o heredado, con la excepción de que los DRG heredados no admitirán la conexión de DRG en distintos arrendamientos. Consulte Versiones de DRG para obtener un desglose de las posibles versiones de DRG.
Antes de intentar implantar este escenario, asegúrese de que:
- La VCN A está asociada al DRG A en la región 1
- La VCN B está asociada al DRG B en la región 2
- La configuración de enrutamiento en ambos DRG no se ha modificado
- Los permisos de IAM adecuados se aplican a las VCN que estén en el mismo arrendamiento o en distintos arrendamientos.
Visión general del intercambio de tráfico remoto de VCN
El intercambio de tráfico de VCN remotas es el proceso de conexión de dos VCN de distintas regiones. El intercambio de tráfico permite a los recursos de las VCN comunicarse mediante direcciones IP privadas sin enrutar el tráfico a través de internet o a través de la red local. Las VCN pueden estar en el mismo arrendamiento de Oracle Cloud Infrastructure o en diferentes. Sin intercambio de tráfico, una determinada VCN necesitaría un gateway de internet y direcciones IP públicas para las instancias que necesitan comunicarse con otra VCN en una región diferente.
Resumen de componentes de Networking para el intercambio de tráfico remoto
En un nivel superior, los componentes del servicio de Networking requeridos para un intercambio de tráfico remoto incluyen:
-
Dos VCN con CIDR no solapados en diferentes regiones.
Nota
No se puede solapar ningún CIDR de VCN
Las dos VCN de la relación de intercambio de tráfico no pueden tener CIDR solapados. Además, si una determinada VCN tiene varias relaciones de intercambio de tráfico, esas otras VCN no deben tener CIDR superpuestos entre sí. Por ejemplo, si la VCN-1 está asociada con la VCN-2 y también con la VCN-3, la VCN-2 y la VCN 3 no deben tener CIDR superpuestos.
Si configura este escenario, tendrá que cumplir este requisito en la etapa de planificación. Es probable que surjan problemas de enrutamiento si se produce un solapamiento de CIDR, pero las operaciones de la consola o de API no le impedirán crear una configuración que cause incidencias.
- Un gateway de enrutamiento dinámico (DRG) conectado a cada VCN en la relación de intercambio de tráfico. Su VCN ya tiene un DRG si utiliza un túnel de IPSec de VPN de sitio a sitio o un circuito virtual privado de Oracle Cloud Infrastructure FastConnect.
- Una conexión de intercambio de tráfico remoto (RPC) en cada DRG de la relación de intercambio de tráfico.
- Una conexión entre estos dos RPC.
- Soporte de reglas de ruta para permitir que el tráfico fluya por la conexión y solo hacia y desde subredes determinadas en las VCN respectivas (si se desea).
- Admitir reglas de seguridad para controlar los tipos de tráfico permitidos entre las instancias de las subredes que deben comunicarse con la otra VCN.
En el diagrama siguiente se ilustran los componentes.
Una VCN determinada puede utilizar las RPC conectadas para acceder solo a las VNIC de la otra VCN o a su red local si el DRG tiene una conexión a un CPE local. Por ejemplo, si la VCN-1 del diagrama anterior tuviera un gateway de internet, las instancias de la VCN-2 NO podrían usarlo para enviar tráfico a puntos finales en internet. Para obtener más información, consulte Implicaciones importantes del intercambio de tráfico.
Implicaciones importantes del intercambio de tráfico
Si aún no lo ha hecho, lea las Implicaciones importantes del intercambio de tráfico para comprender las importantes implicaciones de control de acceso, seguridad y rendimiento para las VCN de intercambio de tráfico.
El intercambio de tráfico de VCN de diferentes arrendamientos tiene algunas complicaciones de permisos que deben resolverse en ambos arrendamientos. Consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube para obtener más información sobre los permisos necesarios.
De radio a radio: intercambio de tráfico remoto con enrutamiento en tránsito (solo DRG heredados)
El escenario que se menciona en esta sección sigue estando soportado, pero Oracle recomienda utilizar el método de enrutamiento en tránsito de DRG que se describe en Enrutamiento del tráfico a través de un dispositivo virtual de red central.
Imagine que, en cada región, tiene varias VCN en un diseño de hub y radios, tal y como se muestra en el siguiente diagrama. Este tipo de diseño dentro de una región se trata en detalle en Enrutamiento de tránsito dentro de una VCN de hub. El tráfico de las VCN radiales de una determinada región se intercambia localmente con la VCN de hub de la misma región mediante gateways de intercambio de tráfico local.
Puede configurar el intercambio de tráfico remoto entre las dos VCN de hub. A continuación, también puede configurar el enrutamiento en tránsito para el DRG y los LPG de la VCN de hub, como se describe en Enrutamiento de tránsito dentro de una VCN de hub. Esta configuración permite que una VCN radial de una región se comunique con una o más VCN radiales de la otra región sin necesidad de establecer una conexión de intercambio de tráfico remoto directamente entre esas VCN.
Por ejemplo, puede configurar el enrutamiento de modo que los recursos de la VCN-1-A se puedan comunicar con los recursos de la VCN-2-A y la VCN-2-B mediante las VCN de los hubs. De este modo, no es necesario que VCN 1-A tenga un intercambio remoto independiente con cada una de las VCN radiales de la otra región. También puede configurar el enrutamiento para que la VCN-1-B se pueda comunicar con las VCN radiales de la región 2, sin necesidad de realizar sus propios intercambios de tráfico remotos con ellas.
De radio a radio: intercambio de datos remoto con enrutamiento en tránsito (DRG actualizado)
El escenario de esta sección utiliza el método de enrutamiento en tránsito de DRG que se describe en Enrutamiento del tráfico a través de un dispositivo virtual de red central.
Imagine que, en cada región, tiene varias VCN en un diseño de hub y radios, tal y como se muestra en el siguiente diagrama. Este tipo de diseño dentro de una región se trata en detalle en Enrutamiento de tránsito dentro de una VCN de hub. Las VCN radiales de una región determinada se conectan localmente al par DRG/VCN de hub de la misma región mediante conexión mutua al DRG.
Puede configurar el intercambio de tráfico remoto entre las dos VCN de hub. A continuación, también puede configurar el enrutamiento en tránsito para el DRG de la VCN de hub, como se describe en Enrutamiento del tráfico a través de un dispositivo virtual de red central. Esta configuración permite que una VCN radial de una región se comunique con una o más VCN radiales de la otra región sin necesidad de establecer una conexión de intercambio de tráfico remoto directamente entre esas VCN.
Por ejemplo, puede configurar el enrutamiento de modo que los recursos de la VCN-1-A se puedan comunicar con los recursos de la VCN-2-A y la VCN-2-B mediante las VCN de los hubs. De este modo, no es necesario que VCN 1-A tenga un intercambio remoto independiente con cada una de las VCN radiales de la otra región. También puede configurar el enrutamiento para que la VCN-1-B se pueda comunicar con las VCN radiales de la región 2, sin necesidad de realizar sus propios intercambios de tráfico remotos con ellas.
Conceptos importantes del intercambio de tráfico remoto
Los siguientes conceptos ayudan a comprender los conceptos básicos del intercambio de tráfico de VCN y cómo establecer un intercambio de tráfico remoto.
- INTERCAMBIO DE TRÁFICO
- Un intercambio de tráfico es una única relación de intercambio de tráfico entre dos VCN. Ejemplo: si VCN-1 intercambia tráfico con otras dos VCN, hay dos intercambios de tráfico. La parte remoto de intercambio de tráfico remoto indica que las VCN están en distintas regiones. Para este método de intercambio de tráfico remoto, las VCN pueden estar en el mismo arrendamiento o en distintos arrendamientos.
- ADMINISTRADORES DE VCN
- En general, el intercambio de tráfico de VCN solo se puede producir si ambos administradores de VCN están de acuerdo. En la práctica, los dos administradores deben:
- ACEPTANTE Y SOLICITANTE
- Para implantar las políticas de IAM necesarias para el intercambio de tráfico, los dos administradores de VCN deben designar un administrador como solicitante y otro como aceptante. El solicitante debe ser el que inicie la solicitud para conectar las dos RPC. A su vez, el aceptante debe crear una política de IAM concreta que proporcione al solicitante permiso para conectarse a las RPC del compartimiento del aceptante. Sin esa política, se produce un error en la solicitud del solicitante de conexión.
- SUSCRIPCIÓN A LA REGIÓN
- Para realizar intercambios de tráfico con una VCN de otra región, su arrendamiento debe estar suscrito en primer lugar a esa región. Para obtener más información sobre la suscripción, consulte Gestión de regiones.
- CONEXIÓN CON INTERCAMBIO DE TRÁFICO REMOTO (RPC)
- Una conexión de intercambio de tráfico remoto (RPC) es un componente creado en el dispositivo DRG conectado su VCN. El trabajo de RPC debe actuar como un punto de conexión para una VCN con intercambio de tráfico remoto. Como parte de la configuración de las VCN, cada administrador debe crear una RPC para el DRG de su VCN. Un DRG determinado debe tener una RPC independiente para cada intercambio de tráfico remoto que establece para la VCN. Para continuar con el ejemplo anterior: el DRG de la VCN-1 tendría dos RPC para realizar el intercambio de tráfico con otras dos VCN. En la API, un RemotePeeringConnection es un objeto que contiene información sobre el intercambio de tráfico. No puede reutilizar una RPC para establecer más adelante otro intercambio de tráfico con él.
- CONEXIÓN ENTRE DOS RPC
- Cuando el solicitante inicia la solicitud de intercambio de tráfico (en la consola o la API), está pidiendo realmente conectar las dos RPC. El solicitante debe tener información para identificar cada RPC (como la región y el OCID de la RPC).
- ENRUTAMIENTO AL DRG
- Como parte de la configuración de las VCN, cada administrador debe actualizar el enrutamiento de la VCN para permitir que el tráfico fluya entre las VCN. Para cada subred que necesite comunicarse con la otro VCN, actualice la tabla de rutas de la subred. La regla de ruta especifica el CIDR del tráfico de destino y su DRG como destino. Su dispositivo DRG enruta el tráfico que coincide con la regla con el otro DRG, que a su vez, enruta el tráfico al siguiente salto en la otra VCN.
-
Referencia 1: Tabla de rutas de la subred A CIDR de destino Destino de ruta 0.0.0.0/0 Gateway de internet 192.168.0.0/16 DRG-1 Referencia 2: Tabla de rutas de la subred X CIDR de destino Destino de ruta 10.0.0.0/16 DRG-2 - REGLAS DE SEGURIDAD
- Cada subred de una VCN tiene una o varias listas de seguridad que controlan el tráfico de entrada y salida de las VNIC de la subred en el nivel de paquetes. Puede utilizar listas de seguridad para controlar el tipo de tráfico permitido con la otra VCN. Como parte de la configuración de las VCN, cada administrador debe determinar qué subredes de su propia VCN deben comunicarse con las VNIC de la otra VCN y actualizar las listas de seguridad de la subred según corresponda.
Implicaciones importantes del intercambio de tráfico
Si aún no lo ha hecho, lea las Implicaciones importantes del intercambio de tráfico para comprender las importantes implicaciones de control de acceso, seguridad y rendimiento para las VCN de intercambio de tráfico.
Configuración de un intercambio de tráfico remoto
En esta sección se trata el proceso general de configurar un intercambio de tráfico entre dos VCN de distintas regiones.
En el siguiente procedimiento, se supone que:
- Su arrendamiento está suscrito a la otra región de la VCN. Si no lo está, consulte Gestión de regiones.
- Ya tiene una VCN asociada a su DRG. Si no lo hace, consulte Gateways de enrutamiento dinámico.
- Ya ha configurado las políticas de IAM necesarias para la conexión. Las políticas de IAM para el intercambio de tráfico remoto en el mismo arrendamiento y entre arrendamientos son diferentes. Consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube
Visión general de los pasos necesarios:
- Crear las RPC: cada administrador de VCN crea una RPC para su propio DRG de VCN.
- Compartir información: los administradores comparten la información básica necesaria.
- Establecer la conexión: el solicitante conecta las dos RPC (consulte Conceptos importantes de intercambio de tráfico remoto para conocer la definición de solicitante y de aceptante).
- Actualizar las tablas de rutas: cada administrador actualiza las tablas de rutas de su VCN para permitir el tráfico entre las VCN con intercambio de tráfico como desee.
- Actualizar reglas de seguridad: cada administrador actualiza las reglas de seguridad de su VCN para permitir el tráfico entre las VCN con intercambio de tráfico como desee..
Si lo desea, los administradores pueden realizar las tareas 4 y 5 antes de establecer la conexión. Cada administrador debe conocer el bloque de CIDR o las subredes específicas de la otra VCN y compartirlo en la tarea 2.
Cada administrador crea una RPC para su propio DRG de VCN. "Usted" en el siguiente procedimiento significa un administrador (tanto el aceptante como el solicitante).
Política de IAM necesaria para crear RPC
Si los administradores ya tienen amplios permisos de administrador de red (consulte Permitir a los administradores de red gestionar una red en la nube), tienen permiso para crear, actualizar y eliminar RPC. De lo contrario, se muestra una política de ejemplo que proporciona los permisos necesarios a un grupo denominado RPCAdmins. La segunda declaración es necesaria porque la creación de una RPC afecta al DRG al que pertenece, por lo que el administrador debe tener permisos para gestionar los DRG.
Allow group RPCAdmins to manage remote-peering-connections in tenancy
Allow group RPCAdmins to manage drgs in tenancy
- En la consola, confirme que está viendo el compartimiento que contiene el DRG al que desea agregar el RPC. Para obtener más información sobre compartimientos y control de acceso, consulte Control de acceso.
-
- Haga clic en el DRG en el que esté interesado.
- En Recursos, haga clic en Asociaciones de conexiones de intercambio de tráfico remotas.
- Haga clic en Crear conexión de intercambio de tráfico remota.
-
Introduzca lo siguiente:
- Nombre: Nombre fácil de recordar para el RPC. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
- Crear en compartimiento: el compartimiento en el que desea crear el RPC, si es diferente del compartimiento en el que está trabajando actualmente.
-
Haga clic en Crear conexión de intercambio de tráfico remota.
A continuación, se crea el RPC y se muestra en la página Conexiones de intercambio de tráfico remoto en el compartimiento que haya elegido.
- Si es el aceptante, registre la región y el OCID de la RPC para proporcionarlos posteriormente al solicitante.
- Si las dos VCN están en distintos arrendamientos, registre el OCID de su arrendamiento (que se encuentra en la parte inferior de la página de la consola). Proporcione el OCID al otro administrador más adelante.
Esta tarea es específica de una conexión entre arrendamientos. Si la conexión está en el mismo arrendamiento, puede pasar a la siguiente tarea.
-
Si es el aceptante, proporcione esta información al solicitante (por ejemplo, por correo electrónico u otro método fuera de banda):
- Región en la que se encuentra su VCN (el arrendamiento del solicitante debe estar suscrito a esta región).
- OCID de su RPC.
- Los bloques de CIDR de subredes de la VCN que desee que estén disponibles para la otra VCN. El solicitante necesita esta información al configurar el enrutamiento de la VCN del solicitante.
- Si las VCN están en distintos arrendamientos: el OCID de su arrendamiento.
-
Si es el solicitante, proporcione esta información al aceptante:
- La región en la que está su VCN (el arrendamiento del aceptante debe estar suscrito a esta región).
- Si las VCN están en el mismo arrendamiento: nombre del grupo de IAM al que se le otorgará permiso para crear una conexión en el compartimento del aceptante (en el ejemplo de la siguiente tarea, el grupo es RequestorGrp).
- Si las VCN están en distintos arrendamientos: el OCID de su arrendamiento.
- Los bloques de CIDR de subredes de la VCN que desee que estén disponibles para la otra VCN. El aceptante necesita esta información al configurar el enrutamiento de la VCN del aceptante.
El solicitante debe realizar esta tarea.
Previo necesario: el solicitante debe tener:
- La región en la que está la VCN del aceptante (el arrendamiento del solicitante debe estar suscrito a la región).
- El OCID de la RPC del aceptante.
- El OCID del arrendamiento del aceptante (solo si la VCN del aceptante está en un arrendamiento diferente)
- En la consola, confirme que está viendo el compartimiento que contiene el DRG al que desea agregar el RPC. Para obtener más información sobre compartimientos y control de acceso, consulte Control de acceso.
-
- Haga clic en el DRG en el que esté interesado.
- En Recursos, haga clic en Conexiones de intercambio de tráfico remoto.
- Vea los detalles de la RPC del solicitante que desea conectar a la RPC del aceptante. Para ello, haga clic en el nombre de la RPC en la columna Conexión con intercambio de tráfico remoto correspondiente a la asociación de RPC que ha creado en la tarea A.Nota:
Si se trata de una RPC dentro del mismo arrendamiento, no tiene que preocuparse de si la RPC se establece desde el solicitante o el aceptante. - Haga clic en Establecer conexión.
-
Introduzca lo siguiente:
- Región: la región que contiene la VCN del aceptante. La lista incluye solo regiones que soporten el intercambio de tráfico de VCN remotas y a las que esté suscrito el arrendamiento.
- OCID de la conexión de intercambio de tráfico remoto: el OCID de la RPC del aceptante.
-
Haga clic en Establecer conexión.
Se establece la conexión y el estado de la RPC cambia a CON INTERCAMBIO DE TRÁFICO.
Como ya se ha mencionado, cada administrador puede realizar esta tarea antes o después de que se establezca la conexión.
Previo necesario: Cada administrador debe tener el bloque CIDR o las subredes específicas de la otra VCN.
Para su propia VCN:
- Determine qué subredes de la VCN se deben comunicar con la otra VCN.
-
Actualice la tabla de rutas de cada una de esas subredes para incluir una nueva regla que dirija el tráfico destinado a la otra VCN a su DRG:
- Abra el menú de navegación, haga clic en Red y, a continuación, en Redes virtuales en la nube.
- Haga clic en la VCN que le interesa.
- En Recursos, haga clic en Tablas de rutas.
- Haga clic en la tabla de rutas que le interesa.
-
Haga clic en Agregar regla de ruta e introduzca lo siguiente:
- Tipo de destino: gateway de enrutamiento dinámico. El DRG asociado de la VCN se selecciona automáticamente como destino y no tiene que especificarlo usted mismo.
- Bloque CIDR de destino: el bloque CIDR de la otra VCN. Si lo desea, puede especificar una subred o un subconjunto concreto del CIDR de la VCN con intercambio de tráfico.
- Descripción: descripción opcional de la regla.
- Haga clic en Agregar regla de ruta.
Todo el tráfico de subred con un destino que coincida con la regla se direcciona al DRG. Para obtener más información sobre la configuración de reglas de ruta, consulte Tablas de rutas de VCN.
Sin el enrutamiento requerido, el tráfico no fluye entre los DRG con intercambio de tráfico. Si se produce una situación en la que fuera necesario detener de forma temporal el intercambio de tráfico, simplemente puede eliminar las reglas de ruta que activan el tráfico. No es necesario eliminar las RPC.
Como ya se ha mencionado, cada administrador puede realizar esta tarea antes o después de que se establezca la conexión.
Previo necesario: Cada administrador debe tener el bloque CIDR o las subredes específicas de la otra VCN. En general, utilice el mismo bloque de CIDR que ha utilizado en la regla de tabla de rutas en la Tarea E: configurar las tablas de rutas.
¿Qué reglas debe agregar?
- Reglas de entrada para los tipos de tráfico que desea permitir desde la otra VCN, concretamente, desde el CIDR o las subredes específicas de la VCN.
- Regla de salida para permitir el tráfico saliente de la VCN a otra VCN. Si la subred ya tiene una regla de salida amplia para todos los tipos de protocolos a todos los destinos (0.0.0.0/0), no tendrá que agregar una especial para el resto de las VCN.
El siguiente procedimiento utiliza listas de seguridad, pero en su lugar puede implantar las reglas de seguridad en un grupo de seguridad de red y, a continuación, crear los recursos de la subred en ese NSG.
Para su propia VCN:
- Determine qué subredes de la VCN se deben comunicar con la otra VCN.
-
Actualice la lista de seguridad de cada una de esas subredes para incluir reglas que permitan el tráfico de salida o entrada deseado específicamente con el bloque CIDR o la subred de la otra VCN:
- En la consola, mientras visualiza la VCN que le interesa, haga clic en Listas de seguridad.
- Haga clic en la lista de seguridad en la que está interesado.
- En Recursos, haga clic en Reglas de entrada o en Reglas de salida según el tipo de regla con la que desee trabajar.
-
Si desea agregar una regla, haga clic en Agregar regla de entrada (o en Agregar regla de salida).
- Si desea suprimir una regla existente, haga clic en el menú Acciones (
) y, a continuación, en Suprimir. - Si desea editar una regla existente, haga clic en el menú Acciones () y, a continuación, en Editar.
Para obtener más información sobre las reglas de seguridad, consulte Reglas de seguridad.