Peering VCN locale mediante Local Peering Gateway

Il peering VCN locale è il processo di connessione di due VCN nella stessa area in modo che le relative risorse possano comunicare utilizzando indirizzi IP privati senza instradare il traffico su Internet o attraverso la rete on premise. I VCN possono trovarsi nella stessa tenancy di Oracle Cloud Infrastructure o in altri ambienti. Senza il peering, una determinata VCN avrebbe bisogno di un gateway Internet e indirizzi IP pubblici per le istanze che devono comunicare con un'altra VCN.

Per informazioni relative ai limiti, vedere Limiti gateway e Richiesta di un aumento del limite del servizio.

Per ulteriori informazioni, consulta la sezione relativa all'accesso ad altre VCN: Peering.

Riepilogo dei componenti di networking per il peering con un GPL

A un livello elevato, i componenti del servizio di networking necessari per un peering locale includono:

• Due VCN con CIDR non sovrapposti, nella stessa area
• Gateway di peering locale (LPG) su ogni VCN nella relazione di peering.
• Una connessione tra questi due GPL.
• Supporto delle regole di instradamento per consentire al traffico di fluire sulla connessione e solo verso e da subnet selezionate nelle rispettive VCN (se desiderato).
• Supporto di regole di sicurezza per controllare i tipi di traffico consentiti verso e dalle istanze nelle subnet che devono comunicare con l'altra VCN.

Il seguente diagramma descrive i componenti.

Nota

Una determinata VCN può utilizzare i GPL sottoposti a peering per raggiungere queste risorse:

• VNIC nell'altra VCN
• Una rete in locale collegata all'altra VCN, se per le VCN è stato impostato uno scenario di instradamento avanzato denominato instradamento del transito

Una VCN non può utilizzare la propria VCN in peer per raggiungere altre destinazioni al di fuori delle VCN (come Internet). Ad esempio, se la VCN-1 nel diagramma precedente doveva disporre di un gateway Internet, le istanze della VCN-2 non potevano utilizzarla per inviare traffico agli endpoint su Internet. Tuttavia, la rete VCN-2 potrebbe ricevere traffico da Internet tramite la rete VCN-1. Per ulteriori informazioni, vedere Implicazioni importanti del peering VCN.

I concetti riportati di seguito consentono di comprendere le nozioni di base del peering VCN e di stabilire un peering locale.

PEERING

Un peering è una singola relazione di peering tra due VCN. Esempio: se i peer VCN-1 con altre tre VCN, esistono tre peer. La parte locale del peering locale indica che i VCN si trovano nella stessa area. Una VCN specifica può avere al massimo 10 peering locali alla volta.

Attenzione

I due VCN nella relazione di peering non devono avere CIDR sovrapposti. Tuttavia, se la VCN-1 è sottoposta a peering con altre tre VCN, tali tre VCN possono avere CIDR sovrapposti tra loro. Dovresti impostare le subnet nella VCN-1 in modo che dispongano di regole di instradamento che indirizzano il traffico alla VCN in peering di destinazione.

AMMINISTRATORI VCN

In generale, il peering VCN può verificarsi solo se entrambi gli amministratori della VCN lo accettano. In pratica, ciò significa che i due amministratori devono:

• Condividi alcune informazioni di base tra loro.
• Coordina per impostare i criteri di Oracle Cloud Infrastructure Identity and Access Management necessari per abilitare il peering.
• Configurare le proprie VCN per il peering.

A seconda della situazione, un singolo amministratore potrebbe essere responsabile sia delle reti VCN che dei criteri correlati.

Per ulteriori informazioni sui criteri richiesti e sulla configurazione della VCN, vedere Impostazione di un peering locale.

ACCETTATORE E RICHIEDENTE

Per implementare i criteri IAM necessari per il peering, i due amministratori della VCN devono assegnare un amministratore come richiedente e l'altro come accettore. Il richiedente deve essere quello per avviare la richiesta di connessione dei due GPL. A sua volta, l'accettante deve creare un determinato criterio IAM che conceda al richiedente l'autorizzazione a connettersi ai GPL nel compartimento dell'accettante. Senza tale criterio, la richiesta di connessione del richiedente non riesce.

LOCAL PEERING GATEWAY (LPG)

Un local peering gateway (LPG) è un componente di una VCN per l'instradamento del traffico a una VCN in peering locale. Nell'ambito della configurazione delle VCN, ogni amministratore deve creare un GPL per la propria VCN. Una VCN specifica deve disporre di un GPL separato per ogni peering locale stabilito (massimo 10 GPL per VCN). Per continuare con l'esempio precedente: la VCN-1 avrebbe tre GPL da peer con altre tre VCN. Nell'API, LocalPeeringGateway è un oggetto che contiene informazioni sul peering. Non è possibile riutilizzare un GPL per stabilire in seguito un altro peering.

CONNESSIONE PEERING

Quando il richiedente avvia la richiesta di peer (nella console o nell'API), chiede effettivamente di connettere i due GPL. Il richiedente deve disporre di informazioni per identificare ogni GPL (come il compartimento e il nome del GPL o l'OCID del GPL). Ogni amministratore deve mettere in atto i criteri IAM necessari per il proprio compartimento o tenancy.

L'amministratore della VCN può arrestare un peering eliminando il proprio GPL. In tal caso, lo stato dell'altro GPL passa a REVOKED. L'amministratore può invece rendere funzionale l'arresto della connessione rimuovendo le regole di instradamento o di sicurezza che consentono al traffico di passare attraverso la connessione (vedere le sezioni successive).

INSTRADAMENTO A LPN

Nell'ambito della configurazione delle VCN, ogni amministratore deve aggiornare l'instradamento della VCN per consentire il flusso del traffico tra le VCN. In pratica, questo sembra l'instradamento impostato per qualsiasi gateway (ad esempio un gateway Internet o un gateway di instradamento dinamico). Per ogni subnet che deve comunicare con l'altra VCN, devi aggiornare la tabella di instradamento della subnet. La regola di instradamento specifica il CIDR e il GPL del traffico di destinazione come destinazione. Il GPL instrada il traffico che corrisponde a quella regola per l'altro GPL, che a sua volta instrada il traffico all'hop successivo nell'altra VCN.

Nel diagramma riportato di seguito, la VCN-1 e la VCN-2 sono sottoposte a peering. Il traffico proveniente da un'istanza nella subnet A (10.0.0.15) destinata a un'istanza nella VCN-2 (192.168.0.15) viene instradato a LPG-1 in base alla regola nella tabella di instradamento della subnet A (vedere Callout 1: Subnet A Route Table). Da lì il traffico viene instradato a GPL-2, e poi da lì, fino alla sua destinazione nella Subnet X.

Callout 1: Tabella di instradamento subnet A

CIDR di destinazione	Destinazione instradamento
0.0.0.0/0	Gateway Internet
172.16.0.0/12	DRG
192.168.0.0/16	LPG-1

Callout 2: Tabella di instradamento X subnet

CIDR di destinazione	Destinazione instradamento
10.0.0.0/16	LPG-2

Nota

Come accennato in precedenza, una VCN specifica può utilizzare i GPL sottoposti a peering per raggiungere le VNIC nell'altra VCN o nella rete in locale se per le VCN è impostato l'instradamento di transito. Tuttavia, una VCN non può utilizzare la VCN in peer per raggiungere altre destinazioni al di fuori delle VCN (come Internet). Ad esempio, nel diagramma precedente, la VCN-2 non può utilizzare il gateway Internet collegato alla VCN-1.

REGOLE DI SICUREZZA

Ogni subnet in una VCN dispone di uno o più elenchi di sicurezza che controllano il traffico in entrata e in uscita dalle VNIC della subnet a livello di pacchetto. È possibile utilizzare gli elenchi di sicurezza per controllare il tipo di traffico consentito con l'altra VCN. Nell'ambito della configurazione delle VCN, ogni amministratore deve scegliere quali subnet nella propria VCN devono comunicare con le VNIC nell'altra VCN e aggiornare gli elenchi di sicurezza della subnet in modo che corrispondano.

Se si utilizzano i gruppi di sicurezza di rete (NSG) per implementare le regole di sicurezza, si noti che è possibile scrivere le regole di sicurezza per un gruppo NSG che specifica un altro gruppo NSG come origine o destinazione del traffico. Tuttavia, i due gruppi NSG devono appartenere alla stessa VCN.

Se non lo si è ancora fatto, leggere Implicazioni importanti del peering per comprendere importanti implicazioni relative al controllo dell'accesso, alla sicurezza e alle prestazioni per le VCN sottoposte a peering.

Ecco il processo generale per impostare un peering tra due VCN nella stessa area:

1. Crea i GPL: ogni amministratore della VCN crea un GPL per la propria VCN.
2. Condividi informazioni: gli amministratori condividono le informazioni di base necessarie.
3. Impostare i criteri IAM necessari per la connessione: gli amministratori impostano i criteri IAM per abilitare la connessione da stabilire.
4. Stabilire la connessione: il richiedente connette i due GPL.
5. Aggiorna tabelle di instradamento: ogni amministratore aggiorna le tabelle di instradamento della propria VCN in modo da abilitare il traffico tra le VCN sottoposte a peering in base alle esigenze.
6. Aggiorna regole di sicurezza: ogni amministratore aggiorna le regole di sicurezza della propria VCN per abilitare il traffico tra le VCN sottoposte a peering in base alle esigenze.

Se lo si desidera, gli amministratori possono eseguire i task E e F prima di stabilire la connessione. In tal caso, ogni amministratore deve conoscere il blocco CIDR o subnet specifiche della VCN dell'altra e condividerlo nel task B. Una volta stabilita la connessione, puoi anche ottenere il blocco CIDR dell'altra VCN visualizzando i dettagli del tuo GPL nella console. Cercare il CIDR pubblicato di peer. In alternativa, se si utilizza l'API, vedere il parametro peerAdvertisedCidr.

Dovrai anche preconfigurare alcune impostazioni IAM come i gruppi prima di passare attraverso il processo passo-passo.