Documentación de Oracle Cloud Infrastructure

Conexión de redes virtuales en la nube a través de un gateway de intercambio de tráfico local (LPG)

En Compute Cloud@Customer, puede configurar gateways de intercambio de tráfico locales. El intercambio de VCN es el proceso de conectar varias redes virtuales en la nube (VCN) para que los recursos se puedan comunicar mediante direcciones IP privadas.

Puede utilizar el intercambio de VCN para dividir la red en varias VCN, por ejemplo, en función de los departamentos o las líneas de negocio, y cada VCN tenga acceso privado directo a las demás. También puede colocar los recursos compartidos en una única VCN a la que todas las demás VCN puedan acceder de forma privada. Dos redes virtuales en la nube pueden estar en el mismo arrendamiento o en otros distintos.

Políticas

El intercambio de tráfico entre dos VCN requiere un acuerdo explícito entre ambas partes en forma de políticas de IAM que cada parte implemente para su propio compartimento o arrendamiento de VCN. Si las redes virtuales en la nube están en arrendamientos diferentes, cada administrador debe proporcionar su OCID de arrendamiento y establecer sentencias de política coordinadas especiales para activar el intercambio de tráfico.

Para implementar las políticas de IAM necesarias para el intercambio de tráfico, los dos administradores de VCN deben designar un administrador como solicitante y otro como aceptante. El solicitante debe ser el que inicie la solicitud para conectar los dos LPG. A su vez, el aceptante debe crear una política de IAM concreta que proporcione al solicitante permiso para conectarse a los LPG del compartimento del aceptante. Sin esa política, la solicitud del solicitante de conexión falla. Cualquier administrador de VCN puede suprimir una conexión de intercambio de tráfico al suprimir su LPG.

Control de tráfico y enrutamiento

Como parte de la configuración de las redes virtuales en la nube, cada administrador debe actualizar el enrutamiento de la VCN para permitir que el tráfico fluya entre las redes virtuales en la nube. En la práctica, es como el enrutamiento configurado para cualquier gateway, como un gateway de Internet o un gateway de enrutamiento dinámico. Para cada subred que necesite comunicarse con la otra VCN, actualice la tabla de rutas de subred. La regla de ruta especifica el CIDR del tráfico de destino y su LPG como destino. Su LPG enruta el tráfico que coincide con la regla con el otro LPG, que a su vez, enruta el tráfico al siguiente salto en la otra VCN.

Puede controlar el flujo de paquetes a través de la conexión de intercambio con tablas de rutas de VCN. Por ejemplo, puede restringir el tráfico únicamente a subredes específicas de otra VCN. Si no suprime el intercambio de tráfico, puede detener el flujo de tráfico para la otra VCN mediante la eliminación de reglas de ruta que dirigen el tráfico de VCN a otra VCN. También puede detener de manera eficaz el tráfico al eliminar cualquier regla de la lista de seguridad que active el tráfico de entrada y salida con otra VCN. Esto no detiene el flujo de tráfico a través de la conexión de intercambio de tráfico, pero lo detiene en el nivel de VNIC.

Reglas de seguridad

Cada administrador de VCN debe asegurarse de que todo el tráfico de salida y de entrada con la otra VCN esté bien definido, esté previsto y esté bien definido. En la práctica, esto significa implementar reglas de listas de seguridad que determinan explícitamente los tipos de tráfico que la VCN puede enviar a otra y aceptar de ella. Si las subredes utilizan la lista de seguridad por defecto, existen dos reglas que permiten el tráfico de entrada SSH e ICMP desde cualquier lugar, así como la otra VCN. Evaluar estas reglas y si desea mantenerlas o actualizarlas.

Además de las listas de seguridad y los cortafuegos, evalúe otra configuración basada en el sistema operativo en las instancias de su VCN. Puede haber configuraciones por defecto que no se aplican a su propio CIDR de VCN, pero que se aplican involuntariamente al otro CIDR de VCN.

Conexión de redes virtuales en la nube a través de un gateway de intercambio de tráfico local

En Compute Cloud@Customer, un gateway de intercambio de tráfico local (LPG) es una forma de conectar las VCN para que los elementos de cada VCN se puedan comunicar, incluso mediante una dirección IP privada.

Los siguientes componentes son necesarios para configurar una conexión de intercambio de tráfico:

  • Dos VCN con CIDR no superpuestos

  • Un gateway de intercambio de tráfico local (LPG) en cada VCN de la relación de intercambio de tráfico

  • Una conexión entre los dos LPG

  • Reglas de ruta para activar el tráfico a través de la conexión de intercambio de tráfico hacia y desde las subredes deseadas en las VCN respectivas

  • Reglas de seguridad para controlar los tipos de tráfico permitidos entre las instancias de las subredes en cuestión

    1. En el menú de navegación de la consola de Compute Cloud@Customer, en Red, seleccione Redes virtuales en la nube.

      Se muestra una lista de las VCN configuradas anteriormente en los compartimentos. Si no se muestra el compartimento en el que está creando el gateway de intercambio de tráfico local, utilice el menú desplegable para seleccionar el compartimento correcto.

    2. Seleccione el nombre de la VCN.

    3. En el menú Recursos, seleccione Gateways de intercambio de tráfico locales.

    4. Seleccione Crear gateway de intercambio de tráfico locales.

    5. Introduzca la información necesaria:

      • Nombre: introduzca un nombre. Evite introducir información confidencial.

      • Crear en compartimento: seleccione el compartimento en el que desea crear el gateway de intercambio de tráfico local.

      • Etiquetado: (opcional) agregue una o más etiquetas a este recurso. Las etiquetas también se pueden aplicar más adelante. Para obtener más información sobre el etiquetado de recursos, consulte Etiquetas de recursos.

    6. Seleccione Crear gateway de intercambio de tráfico locales.

      El gateway de intercambio de tráfico local ya está listo para conectar las redes virtuales en la nube con Establecer conexión de intercambio de tráfico y listo para agregar reglas de ruta o valores de seguridad.

  • Utilice el comando oci network local-peering-gateway create y los parámetros necesarios para crear un nuevo gateway de intercambio de tráfico local (LPG) para la VCN especificada.

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    Para obtener una lista completa de los comandos, los indicadores y las opciones de la CLI, consulte la Referencia de la línea de comandos.

  • Utilice la operación CreateLocalPeeringGateway para crear un nuevo gateway de intercambio de tráfico local (LPG) para la VCN especificada.

    Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.