Documentación de Oracle Cloud Infrastructure

Conexión de redes virtuales en la nube a través de un gateway de intercambio de tráfico local (LPG)

En Compute Cloud@Customer, puede configurar gateways de intercambio de tráfico locales. El intercambio de VCN es el proceso de conexión de varias redes virtuales en la nube (VCN) para que los recursos se puedan comunicar mediante direcciones IP privadas.

You can use VCN peering to divide your network into multiple VCNs, for example, based on departments or lines of business, with each VCN having direct private access to the others. También puede situar recursos compartidos en una única VCN a los que el resto de las VCN pueden acceder de forma privada. Dos redes virtuales en la nube con intercambio de tráfico pueden estar en el mismo arrendamiento o en otro diferente.

Políticas

Peering between two VCNs requires explicit agreement from both parties in the form of IAM policies that each party implements for their own VCN compartment or tenancy. Si las redes virtuales en la nube están en arrendamientos diferentes, cada administrador debe proporcionar su OCID de arrendamiento y establecer sentencias de política coordinadas especiales para activar el intercambio de tráfico.

Para implantar las políticas de IAM necesarias para el intercambio del tráfico, los dos administradores VCN deben designar un administrador como solicitante y el otro como aceptante. El Solicitante debe ser el que inicie la solicitud para conectar los dos LPG. A su vez, el aceptante debe crear una política de IAM concreta que otorgue al solicitantes permiso para conectarse a los LPG del compartimento del aceptante. Sin esa política, la solicitud de conexión del solicitante falla. Cualquier administrador de VCN puede suprimir una conexión de intercambio de tráfico suprimiendo su LPG.

Enrutamiento y control de tráfico

As part of configuring the VCNs, each administrator must update the VCN routing to enable traffic to flow between the VCNs. En práctica, se parece al enrutamiento que ha configurado para cualquier gateway, como un gateway de Internet o un gateway de enrutamiento dinámico. Para cada subred que necesite comunicarse con la otra VCN, actualice la tabla del direccionamiento de subred. La regla de ruta especifica el CIDR del tráfico de destino y su LPG como destino. Su LPG enruta el tráfico que coincide con la regla con el otro LPG, que a su vez, enruta el tráfico al siguiente salto en la otra VCN.

Puede controlar el flujo de paquetes a través de la conexión de intercambio de tráfico con tablas de rutas en la VCN. Por ejemplo, puede restringir el tráfico únicamente a subredes específicas de otra VCN. Si no suprime el intercambio de tránsito, puede detener la transferencia de tráfico a la otra VCN eliminando las reglas de ruta que dirigen el tráfico de la VCN a la otra VCN. También puede detener de manera eficaz el tráfico al suprimir cualquier regla de la lista de seguridad que permita el tráfico de entrada y salida con otra VCN. Esto no detiene la circulación de tráfico por la conexión, sino que la detiene en el nivel de la VNIC.

Reglas de seguridad

Cada administrador de la VCN debe asegurarse de que todoel tráfico saliente y entrante con la otra VCN esté bien definido, tenga un objetivo y un espere. En la práctica, esto significa implementar reglas de listas de seguridad que determinan explícitamente los tipos de tráfico que la VCN puede enviar a otra y aceptar de ella. Si las subredes utilizan la lista de seguridad por defecto, hay dos reglas que permiten el tráfico de entrada SSH e ICMP desde cualquier lugar, por lo que también la otra VCN. Evalúe estas reglas y si desea mantenerlas o actualizarlas.

Además de las listas de seguridad y los firewalls, evalúe otra configuración basada En el sistema operativo en las instancias de su VCN. Puede haber configuraciones por defecto que no se apliquen a su propio CIDR de la VCN, pero que se apliquen involuntariamente al otro CIDR de la VCN.

Conexión de redes virtuales en la nube mediante un gateway de intercambio de tráfico local

En Compute Cloud@Customer, un gateway de intercambio de tráfico local (LPG) es una forma de conectar las redes virtuales en la nube para que los elementos de cada VCN se puedan comunicar, incluso mediante la dirección IP privada.

Los siguientes componentes son necesarios para configurar una conexión de intercambio de tráfico:

  • Dos redes virtuales en la nube con CIDR que no se superponen

  • Un gateway de intercambio de tráfico local (LPG) en cada VCN de la relación del intercambio de tráfico

  • Una conexión entre los dos LPG

  • Reglas de ruta para permitir el tráfico a través de la conexión de intercambio de tráfico hacia y desde las subredes deseadas en las respectivas redes virtuales en la nube

  • Reglas de seguridad para controlar los tipos de tráfico permitidos desde y hacia las instancias en las subredes que se tratan

    1. En el menú de navegación de la consola de Compute Cloud@Customer, en Red, seleccione Redes virtuales en la nube.

      Se muestra una lista de las redes virtuales en la nube configuradas anteriormente en los compartimentos. Si no se muestra el compartimento en el que está creando el gateway de intercambio de tráfico local, utilice el menú desplegable para seleccionar el compartimento correcto.

    2. Seleccione el nombre de la VCN.

    3. En el menú Recursos, seleccione Gateways de intercambio de tráfico locales.

    4. Seleccione Crear gateway de intercambio de tráfico locales.

    5. Introduzca la información necesaria:

      • Nombre: introduzca un nombre. Evite introducir información confidencial.

      • Crear en compartimento: seleccione el compartimento en el que desea crear el gateway de intercambio de tráfico local.

      • Asociación de tabla de rutas (opcional) Opcionalmente, puede asociar una tabla de rutas al gateway de intercambio de tráfico local. Una lista de tablas de rutas configuradas para el compartimento seleccionado se encuentra en un menú desplegable. Puede cambiar el compartimento seleccionando (change) junto al nombre del compartimento.

      • Etiquetado: (opcional) agregue una o más etiquetas a este recurso. Las etiquetas también se pueden aplicar más tarde. Para obtener más información sobre el etiquetado de recursos, consulte Adición de etiquetas en la creación de recursos (IAM en OCI).

    6. Seleccione Crear gateway de intercambio de tráfico locales.

      El gateway de intercambio de tráfico local ya está listo para conectar las redes virtuales en la nube con Establecer conexión de intercambio de tráfico y listo para agregar reglas de ruta o valores de seguridad.

  • Utilice el comando oci network local-peering-gateway create y los parámetros necesarios para crear un nuevo gateway de intercambio de tráfico local (LPG) para la VCN especificada.

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    Para obtener una lista completa de los comandos, los indicadores y las opciones de CLI, consulte la Referencia de línea de comando.

  • Utilice la operación CreateLocalPeeringGateway para crear un nuevo gateway de intercambio de tráfico local (LPG) para la VCN especificada.

    Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.