Documentación de Oracle Cloud Infrastructure

Punto de acceso remoto

El escenario depunto de acceso remoto muestra cómo permitir que la red local acceda a dos o más redes virtuales en la nube (VCN) a través de un único circuito virtual de FastConnect o de una conexión IPSec de VPN de sitio a sitio, incluso si las VCN están en diferentes regiones o arrendamientos.

Visión general

En este escenario, se establece la conectividad entre las VCN y la red local, pero no entre las VCN. Esta opción de política de enrutamiento se implanta mediante la configuración de tablas de enrutamiento del gateway de enrutamiento dinámico (DRG). Por lo demás, este escenario se asemeja al intercambio de tráfico remoto.

Este escenario solo está disponible para un DRG actualizado.

Resumen de los componentes de Networking para un punto de acceso único

En general, los componentes del servicio Networking necesarios para un punto de acceso único incluyen:

  • Dos VCN con CIDR no solapados en diferentes regiones.

    Nota

    No se puede solapar ningún CIDR de VCN

    Las dos VCN de la relación de intercambio de tráfico no pueden tener CIDR solapados. Además, si una determinada VCN tiene varias relaciones de intercambio de tráfico, esas otras VCN no deben tener CIDR superpuestos entre sí. Por ejemplo, si la VCN-1 está asociada con la VCN-2 y también con la VCN-3, la VCN-2 y la VCN 3 no deben tener CIDR superpuestos.

    Si configura este escenario, tendrá que cumplir este requisito en la etapa de planificación. Es probable que surjan problemas de enrutamiento si se produce un solapamiento de CIDR, pero las operaciones de la consola o de API no le impedirán crear una configuración que cause incidencias.

  • Un gateway de enrutamiento dinámico (DRG) conectado a cada VCN en la relación de intercambio de tráfico. Su VCN ya tiene un DRG si está utilizando una VPN de sitio a sitio o un circuito virtual privado de Oracle Cloud Infrastructure FastConnect.
  • Dos tablas de rutas de DRG personalizadas: una que enruta el tráfico a las VCN y otra que enruta el tráfico a la red local. Las tablas de rutas de DRG por defecto (una para las asociaciones de VCN locales y otra para todas las demás asociaciones) no se utilizan una vez completada la configuración.
  • Una conexión de intercambio de tráfico remoto (RPC) en cada DRG de la relación de intercambio de tráfico.
  • Una conexión con intercambio de tráfico remoto establecida entre esas dos RPC.
  • Soporte de reglas de ruta para permitir que el tráfico fluya por la conexión y solo hacia y desde subredes determinadas en las VCN respectivas (si se desea).
  • Admitir reglas de seguridad para controlar los tipos de tráfico permitidos entre las instancias de las subredes que deben comunicarse con la otra VCN.

En el diagrama siguiente se ilustran los componentes. VCN-1 es opcional si la intención principal es acceder a VCN-2. Se necesitan tablas de rutas y reglas de seguridad compatibles en cada VCN para permitir el tráfico.

En esta imagen se muestra el diseño básico de dos VCN cuyo tráfico se ha intercambiado de forma remota, cada una con una conexión de intercambio de tráfico remoto en el DRG.
Nota

Una VCN determinada puede utilizar las RPC conectadas solo para acceder a la red local o a las VCN conectadas al DRG. Por ejemplo, si la VCN-1 del diagrama anterior tuviera un gateway de internet, las instancias de la VCN-2 NO podrían usarlo para enviar tráfico a puntos finales en internet. Para obtener más información, consulte Implicaciones importantes del intercambio de tráfico.

Implicaciones importantes del intercambio de tráfico

Si aún no lo ha hecho, lea las Implicaciones importantes del intercambio de tráfico para comprender las importantes implicaciones de control de acceso, seguridad y rendimiento para las VCN de intercambio de tráfico.

El intercambio de tráfico de VCN de diferentes arrendamientos tiene algunas complicaciones de permisos que deben resolverse en ambos arrendamientos. Consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube para obtener más información sobre los permisos necesarios.

Conceptos importantes del intercambio de tráfico remoto

Los siguientes conceptos ayudan a comprender los conceptos básicos del intercambio de tráfico de VCN y cómo establecer un intercambio de tráfico remoto.

INTERCAMBIO DE TRÁFICO
Un intercambio de tráfico es una única relación de intercambio de tráfico entre dos VCN. Ejemplo: si VCN-1 intercambia tráfico con otras dos VCN, hay dos intercambios de tráfico. La parte remoto de intercambio de tráfico remoto indica que las VCN están en distintas regiones. Para este método de intercambio de tráfico remoto, las VCN pueden estar en el mismo arrendamiento o en distintos arrendamientos.
ADMINISTRADORES DE VCN
En general, el intercambio de tráfico de VCN solo se puede producir si ambos administradores de VCN están de acuerdo. En la práctica, los dos administradores deben:
  • Compartir información básica entre sí.
  • Coordinarse para configurar las políticas de Oracle Cloud Infrastructure Identity and Access Management necesarias para activar el intercambio de tráfico.
  • Configurar sus VCN para el intercambio de tráfico.
Dependiendo de la situación, un único administrador puede ser responsable de las dos VCN y las políticas relacionadas. Las VCN pueden estar en el mismo arrendamiento o en distintos arrendamientos.
Para obtener más información sobre las políticas necesarias y la configuración de la VCN, consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube.
ACEPTANTE Y SOLICITANTE
Para implantar las políticas de IAM necesarias para el intercambio de tráfico, los dos administradores de VCN deben designar un administrador como solicitante y otro como aceptante. El solicitante debe ser el que inicie la solicitud para conectar las dos RPC. A su vez, el aceptante debe crear una política de IAM concreta que proporcione al solicitante permiso para conectarse a las RPC del compartimiento  del aceptante. Sin esa política, se produce un error en la solicitud del solicitante de conexión.
SUSCRIPCIÓN A LA REGIÓN
Para realizar intercambios de tráfico con una VCN de otra región, su arrendamiento debe estar suscrito en primer lugar a esa región. Para obtener más información sobre la suscripción, consulte Gestión de regiones.
CONEXIÓN CON INTERCAMBIO DE TRÁFICO REMOTO (RPC)
Una conexión de intercambio de tráfico remoto (RPC) es un componente creado en el dispositivo DRG conectado su VCN. El trabajo de RPC debe actuar como un punto de conexión para una VCN con intercambio de tráfico remoto. Como parte de la configuración de las VCN, cada administrador debe crear una RPC para el DRG de su VCN. Un DRG determinado debe tener una RPC independiente para cada intercambio de tráfico remoto que establece para la VCN. Para continuar con el ejemplo anterior: el DRG de la VCN-1 tendría dos RPC para realizar el intercambio de tráfico con otras dos VCN. En la API, un RemotePeeringConnection es un objeto que contiene información sobre el intercambio de tráfico. No puede reutilizar una RPC para establecer más adelante otro intercambio de tráfico con él.
CONEXIÓN ENTRE DOS RPC
Cuando el solicitante inicia la solicitud de intercambio de tráfico (en la consola o la API), está pidiendo realmente conectar las dos RPC. El solicitante debe tener información para identificar cada RPC (como la región y el OCID de la RPC).
Cualquier administrador de VCN puede terminar un intercambio de tráfico suprimiendo su RPC. En ese caso, el otro estado de RPC cambia a REVOCADO. En cambio, el administrador podría representar la conexión como no funcional eliminando las reglas de ruta que permiten que el tráfico fluya a través de la conexión (consulte la siguiente sección).
ENRUTAMIENTO AL DRG
Como parte de la configuración de las VCN, cada administrador debe actualizar el enrutamiento de la VCN para permitir que el tráfico fluya entre las VCN. Para cada subred que necesite comunicarse con la red local, actualice la tabla de rutas de la subred. La regla de ruta especifica el CIDR del tráfico de destino y su DRG como destino. Su dispositivo DRG enruta el tráfico que coincide con la regla con el otro DRG, que a su vez, enruta el tráfico al siguiente salto en la otra VCN.
REGLAS DE SEGURIDAD
Cada subred de una VCN tiene una o varias listas de seguridad que controlan el tráfico de entrada y salida de las VNIC de la subred en el nivel de paquetes. Puede utilizar listas de seguridad para controlar el tipo de tráfico permitido con la otra VCN. Como parte de la configuración de las VCN, cada administrador debe determinar qué subredes de su propia VCN deben comunicarse con las VNIC de la otra VCN y actualizar las listas de seguridad de la subred según corresponda.
Si utiliza grupos de seguridad de red (NSG) para implantar reglas de seguridad, tenga en cuenta que puede escribir reglas de seguridad para un NSG que especifique otro NSG como origen o destino de tráfico. Sin embargo, los dos NSG deben pertenecer a la misma VCN.

Configuración de un punto de acceso único

Antes de intentar implantar este escenario, asegúrese de que:

  1. VCN-1 se asocia a DRG-1 de la región 1 siguiendo los pasos de Asociación de una VCN a un DRG.
  2. VCN-2 se asocia a DRG-2 de la región 2 siguiendo los pasos de Asociación de una VCN a un DRG.
  3. La VCN-2 se conecta a la VCN-1 siguiendo los pasos de Intercambio de tráfico de VCN remoto a través de un DRG actualizado
  4. Ninguno de los DRG se modifica de otro modo.
  5. El circuito virtual 1 de FastConnect se encuentra en la región 1, conectado a DRG-1 siguiendo el método adecuado en función del origen del circuito virtual (partner de Oracle, colocación de Oracle, proveedor de terceros), como se describe en la documentación de FastConnect.

En el siguiente diagrama se muestra el estado inicial antes de implantar este escenario. VCN-1 y VCN-2 se intercambian tráfico. El tráfico de una instancia de la subred A (10.0.0.15) destinado a una instancia de VCN-2 (192.168.0.15) se enruta a DRG-1 según la regla de la tabla de rutas de la subred A. A partir de ahí, el tráfico se enruta a través de las RPC a DRG-2 y, a continuación, desde allí, hasta el destino de la subred X. La red local puede atender los recursos de VCN-1, pero no los de VCN-2.

En esta imagen se muestran las tablas de rutas y la ruta de tráfico enrutado de un dispositivo DRG a otro.

Referencia 1: Tabla de rutas de la subred A
CIDR de destino Destino de ruta
0.0.0.0/0 Gateway de internet
192.168.0.0/16 DRG-1
172.16.0.0/12 DRG-1

Referencia 2: Tabla de rutas de la subred X
CIDR de destino Destino de ruta
10.0.0.0/16 DRG-2

El escenario de punto de acceso implantado que se describe en el siguiente diagrama no permite a las VCN enrutar el tráfico entre ellas. VCN-1 y VCN-2 se intercambian tráfico. El tráfico desde un recurso local de la red (172.16.0.10) destinado a una instancia de VCN-2 (192.168.0.15) se enruta a DRG-1 según la regla de la tabla de rutas de la asociación IPSEC_TUNNEL al entorno local. Desde aquí, el tráfico se enruta a través de la asociación de RPC a DRG-2 y, a continuación, al destino de la subred X.

En esta imagen se muestran las tablas de rutas y la ruta de tráfico enrutado de un dispositivo DRG a otro.
Referencia 1: Tabla de rutas de DRG-1 RT-OnPrem
CIDR de destino Destino de ruta Tipo
10.0.0.0/16 Asociación de VCN Dinámico
192.168.0.0/16 Asociación de RPC Dinámico
Referencia 2: Tabla de rutas de DRG-1 RT-VCN
CIDR de destino Destino de ruta Tipo
172.16.0.0/12 Asociación de circuito virtual Dinámico
Referencia 3: Tabla de rutas de DRG-1 RT-RPC
CIDR de destino Destino de ruta Tipo
172.16.0.0/12 Asociación de circuito virtual Dinámico
Referencia 4: Tabla de rutas de la subred X
CIDR de destino Destino de ruta
172.16.0.0/12 DRG-2
Nota

Como se ha mencionado anteriormente, una VCN determinada puede utilizar la asociación de RPC del DRG conectado para acceder solo a las VNIC de la red local, y no a destinos en internet. Por ejemplo, en el diagrama anterior, la VCN-2 no puede utilizar el gateway de internet asociado a la VCN-1.

Pasos

Todos los pasos siguientes se realizan en DRG-1:

Paso 1: crear nuevas tablas de rutas de DRG

Esta tabla no necesita ninguna ruta estática.

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico.

  2. Haga clic en el DRG que le interese, DRG-1.
  3. En Recursos, haga clic en Tablas de rutas de DRG.
  4. Haga clic en Crear tabla de rutas de DRG.

  5. Introduzca lo siguiente:

    • Nombre: introduzca "RT-VCN" o seleccione otro nombre descriptivo.

  6. Haga clic en Crear tabla de rutas de DRG.

Repita estos pasos para crear dos tablas de rutas vacías adicionales denominadas "RT-OnPrem" y "RT-RPC" antes de pasar a la siguiente tarea.

Paso 2: crear una distribución de rutas de importación para "RT-VCN"

Cree una distribución de rutas de importación para la asociación de DRG que utiliza VCN-1. La distribución de rutas de importación contendrá una sentencia, aceptando rutas de anexos de tipo circuito virtual.

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico.

  2. Haga clic en el DRG que le interese, DRG-1.
  3. En Recursos, haga clic en Distribuciones de rutas de importación.
  4. Haga clic en Crear distribución de rutas de importación.

  5. Introduzca lo siguiente:

    • Nombre: introduzca "Import-VCN" o seleccione otro nombre descriptivo.
    • Prioridad: introduzca "10" o seleccione otro número de prioridad.
    • Tipo de coincidencia: seleccione Tipo de asociación.

      Tipo de asociación: seleccione Circuito virtual.

    Nota

    Al utilizar la opción Tipo de asociación, la distribución de rutas de importación incluirá rutas de todas las asociaciones a este DRG con el tipo seleccionado.

  6. Haga clic en Crear distribución de rutas de importación cuando haya terminado.

  7. En Recursos, haga clic en Tablas de rutas de DRG.
  8. Haga clic en el nombre de la tabla de rutas que desea asignar a la nueva distribución de rutas de importación, "RT-VCN".
  9. Haga clic en Editar.
  10. Haga clic en Activar distribución de rutas de importación: esta opción permite asignar una distribución de rutas de importación a la tabla de rutas para que aprenda de forma dinámica nuevas rutas en función de los anuncios de BGP.
    • Seleccione la distribución de rutas de importación que ha creado en pasos anteriores, denominada "Import-VCN"
  11. Haga clic en Guardar cambios.
Paso 3: crear una distribución de rutas de importación para "RT-OnPrem"

Cree una distribución de rutas de importación para la asociación de DRG utilizada por la asociación de circuito virtual. La distribución de rutas de importación contendrá dos sentencias, una que acepta rutas de asociaciones de tipo VCN y otra que acepta rutas de asociaciones de tipo RPC.

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico.

  2. Haga clic en el DRG que le interese, DRG-1.
  3. En Recursos, haga clic en Distribuciones de rutas de importación.
  4. Haga clic en Crear distribución de rutas de importación.

  5. Introduzca lo siguiente:

    • Nombre: introduzca "Import-OnPrem" o elija otro nombre descriptivo.
    • Prioridad: introduzca "10" o seleccione otro número de prioridad.
    • Tipo de coincidencia: seleccione Tipo de asociación.

      Tipo de asociación: seleccione Red virtual en la nube.

  6. Haga clic en + Otra sentencia para agregar otra sentencia de distribución de rutas.
    • Prioridad: introduzca "20" o seleccione otro número de prioridad.
    • Tipo de coincidencia: seleccione Tipo de asociación.

    • Tipo de asociación: seleccione Conexión con intercambio de tráfico remoto.

      Nota

      Al utilizar la opción Tipo de asociación, la distribución de rutas de importación incluirá rutas de todas las asociaciones a este DRG con el tipo RPC. Se incluirá cualquier conexión RPC a las VCN de otras regiones.

  7. Haga clic en Crear distribución de rutas de importación cuando haya terminado.

  8. En Recursos, haga clic en Tablas de rutas de DRG.
  9. Haga clic en el nombre de la tabla de rutas que desea asignar a la nueva distribución de rutas de importación, "RT-OnPrem".
  10. Haga clic en Editar.
  11. Haga clic en Activar distribución de rutas de importación: esta opción permite asignar una distribución de rutas de importación a la tabla de rutas para que aprenda de forma dinámica nuevas rutas en función de los anuncios de BGP.
    • Seleccione la distribución de rutas de importación que ha creado en pasos anteriores, denominada "Import-OnPrem"
  12. Haga clic en Guardar cambios.
Paso 4: crear una distribución de rutas de importación para "RT-RPC"

Cree una distribución de rutas de importación para la asociación de DRG utilizada por la asociación de conexión con intercambio de tráfico remoto. La distribución de rutas de importación contendrá una sentencia, aceptando rutas de anexos de tipo circuito virtual.

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico.

  2. Haga clic en el DRG que le interese, DRG-1.
  3. En Recursos, haga clic en Distribuciones de rutas de importación.
  4. Haga clic en Crear distribución de rutas de importación.

  5. Introduzca lo siguiente:

    • Nombre: introduzca "Import-RPC" o elija otro nombre descriptivo.
    • Prioridad: introduzca "10" o seleccione otro número de prioridad.
    • Tipo de coincidencia: seleccione Tipo de asociación.

      Tipo de asociación: seleccione Circuito virtual.

    Nota

    Si desea que las VCN entre regiones se comuniquen entre sí, importe la asociación de RPC en la distribución de importación utilizada por RT-VCN y la asociación de VCN en la distribución de importación utilizada por RT-RPC.

  6. Haga clic en Crear distribución de rutas de importación cuando haya terminado.

  7. En Recursos, haga clic en Tablas de rutas de DRG.
  8. Haga clic en el nombre de la tabla de rutas que desea asignar a la nueva distribución de rutas de importación, "RT-RPC".
  9. Haga clic en Editar.
  10. Haga clic en Activar distribución de rutas de importación: esta opción permite asignar una distribución de rutas de importación a la tabla de rutas para que aprenda de forma dinámica nuevas rutas en función de los anuncios de BGP.
    • Seleccione la distribución de rutas de importación que ha creado en los pasos anteriores, denominada "Import-RPC"
  11. Haga clic en Guardar cambios.
Paso 5: reasignar tablas de rutas de asociación

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico.

  2. Haga clic en el nombre del DRG que le interese, DRG-1.
  3. En Recursos, haga clic en Asociaciones de redes virtuales en la nube.
  4. Haga clic en el nombre de la asociación de DRG utilizada por VCN-1.
  5. Haga clic en Editar.
  6. Haga clic en Mostrar opciones avanzadas.
  7. Cambie la tabla de rutas de DRG de la tabla de rutas generada automáticamente para las asociaciones de VCN a "RT-VCN"
  8. Haga clic en Guardar cambios.
  9. En la ruta de navegación situada en la parte superior de la pantalla, haga clic en el nombre del DRG en el que está interesado, DRG-1.
  10. En Recursos, haga clic en Asociaciones de circuitos virtuales.
  11. Haga clic en el nombre de la asociación de DRG que utiliza el circuito virtual 1.
  12. Haga clic en Editar.
  13. Haga clic en Mostrar opciones avanzadas.
  14. Cambie la tabla de rutas de DRG de la tabla de rutas generada automáticamente para las asociaciones RPC, VIRTUAL_CIRCUIT y IPSEC_TUNNEL a "RT-OnPrem".
  15. Haga clic en Guardar cambios.
  16. En la ruta de navegación situada en la parte superior de la pantalla, haga clic en el nombre del DRG en el que está interesado, DRG-1.
  17. En Recursos, haga clic en Asociaciones de conexiones de intercambio de tráfico remotas.
  18. Haga clic en el nombre de la asociación de DRG utilizada por RPC-1.
  19. Haga clic en Editar.
  20. Haga clic en Mostrar opciones avanzadas.
  21. Cambie la tabla de rutas de DRG de la tabla de rutas generada automáticamente para las asociaciones RPC, VIRTUAL_CIRCUIT y IPSEC_TUNNEL a "RT-RPC".

De esta forma se completa la configuración del punto de acceso único. En este punto, todos los paquetes enviados desde una VCN local o remota a su red local se envía al DRG asociado mutuamente y, a continuación, a su red local.