Peering VCN locale mediante Local Peering Gateway

Il peering VCN locale è il processo di connessione di due VCN nella stessa area in modo che le risorse possano comunicare utilizzando indirizzi IP privati senza instradare il traffico su Internet o tramite una rete on-premise. I VCN possono trovarsi nella stessa tenancy di Oracle Cloud Infrastructure o in una diversa. Senza il peering, una VCN avrebbe bisogno di un gateway Internet e di indirizzi IP pubblici per le istanze che devono comunicare con un'altra VCN.

Per informazioni relative ai limiti, vedere Limiti gateway e Richiesta di un aumento del limite del servizio.

Per ulteriori informazioni, consulta la sezione relativa all'accesso ad altre VCN: Peering.

Riepilogo dei componenti di networking per il peering con un GPL

A un livello elevato, i componenti del servizio di networking necessari per un peering locale includono:

• Due VCN nella stessa area i cui CIDR non si sovrappongono
• Un gateway di peering locale (LPG) su ogni VCN nella relazione di peering
• Una connessione tra questi due GPL
• Regole di instradamento che consentono al traffico di fluire sulla connessione e solo a e da subnet selezionate nelle rispettive reti VCN (se necessario).
• Regole di sicurezza che controllano i tipi di traffico consentiti verso e dalle istanze nelle subnet che devono comunicare con le altre VCN.

Il seguente diagramma descrive i componenti.

Nota

Una VCN può utilizzare i GPL sottoposti a peering per raggiungere queste risorse:

• VNIC nell'altra VCN
• Una rete in locale collegata all'altra VCN, se per le VCN è stato impostato uno scenario di instradamento avanzato denominato instradamento del transito

Una VCN non può utilizzare la propria VCN in peer per raggiungere altre destinazioni al di fuori delle VCN (come Internet). Ad esempio, se la VCN-1 nel diagramma precedente doveva disporre di un gateway Internet, le istanze della VCN-2 non potevano utilizzarla per inviare traffico agli endpoint su Internet. Tuttavia, la rete VCN-2 potrebbe ricevere traffico da Internet tramite la rete VCN-1. Per ulteriori informazioni, vedere Implicazioni importanti del peering VCN.

I concetti riportati di seguito consentono di comprendere le nozioni di base del peering VCN e di stabilire un peering locale.

PEERING

Un peering è un'unica relazione di peering tra due reti VCN. Esempio: se la VCN-1 esegue il peer con altre tre VCN, esistono tre peer. La parte locale del peering locale indica che le reti VCN si trovano nella stessa area. Una VCN specifica può avere al massimo 10 peer locali alla volta.

Attenzione

I due VCN nella relazione di peering non devono avere CIDR sovrapposti. Tuttavia, se la VCN-1 è sottoposta a peering con altre tre VCN, tali tre VCN possono avere CIDR sovrapposti tra loro. Dovresti impostare le subnet nella VCN-1 in modo che dispongano di regole di instradamento che indirizzano il traffico alla VCN in peering di destinazione.

AMMINISTRATORI VCN

In generale, il peering VCN può verificarsi solo se entrambi gli amministratori della VCN lo accettano. In pratica, ciò significa che i due amministratori devono:

• Condividi alcune informazioni di base tra loro.
• Coordina per impostare i criteri di Oracle Cloud Infrastructure Identity and Access Management necessari per abilitare il peering.
• Configurare le proprie VCN per il peering.

A seconda della situazione, un singolo amministratore potrebbe essere responsabile sia delle reti VCN che dei criteri correlati.

Per ulteriori informazioni sui criteri richiesti e sulla configurazione della VCN, vedere Impostazione di un peering locale.

ACCETTATORE E RICHIEDENTE

Per implementare i criteri IAM necessari per il peering, i due amministratori della rete VCN devono assegnare un amministratore come richiedente e l'altro come accettore. Il richiedente deve essere quello per effettuare la richiesta di collegare i due GPL. A sua volta, il responsabile accettazione deve creare un criterio IAM specifico che concede al richiedente l'autorizzazione a connettersi ai GPL nel compartimento del responsabile accettazione. In assenza di tale criterio, la richiesta di connessione del richiedente non riesce.

LOCAL PEERING GATEWAY (LPG)

Un local peering gateway (LPG) è un componente di una VCN per l'instradamento del traffico a una VCN in peering locale. Nell'ambito della configurazione delle VCN, ogni amministratore deve creare un GPL per la propria VCN. Una VCN specifica deve disporre di un GPL separato per ogni peering locale stabilito (massimo 10 GPL per VCN). Per continuare con l'esempio precedente: la VCN-1 avrebbe tre GPL da peer con altre tre VCN. Nell'API, LocalPeeringGateway è un oggetto che contiene informazioni sul peering. Non è possibile riutilizzare un GPL per stabilire in seguito un altro peering.

CONNESSIONE PEERING

Quando il richiedente effettua la richiesta di peer (nella console o nell'API), chiede effettivamente di connettere i due GPL. Il richiedente deve disporre di informazioni per identificare ogni GPL (ad esempio il compartimento e il nome del GPL o l'OCID del GPL). Ogni amministratore deve predisporre i criteri IAM necessari per il compartimento o la tenancy.

L'amministratore della rete VCN può terminare un peering eliminando il GPL. In tal caso, lo stato dell'altro GPL passa a REVOKED. L'amministratore potrebbe invece interrompere la connessione rimuovendo le regole di instradamento o le regole di sicurezza che consentono al traffico di fluire attraverso la connessione (vedere le sezioni successive).

INSTRADAMENTO A LPN

Nell'ambito della configurazione delle reti VCN, ogni amministratore deve aggiornare l'instradamento della VCN per consentire il flusso di traffico tra le reti VCN. In pratica, è simile all'instradamento impostato per qualsiasi gateway, ad esempio un gateway Internet o un gateway di instradamento dinamico. Per ogni subnet che deve comunicare con l'altra VCN, aggiorna la tabella di instradamento della subnet. La regola di instradamento specifica il CIDR del traffico di destinazione e il GPL come destinazione. Il GPL instrada il traffico che corrisponde a tale regola all'altro GPL, che a sua volta instrada il traffico all'hop successivo nell'altra VCN.

Nel diagramma riportato di seguito, la VCN-1 e la VCN-2 sono sottoposte a peering. Il traffico proveniente da un'istanza nella subnet A (10.0.0.15) destinata a un'istanza nella VCN-2 (192.168.0.15) viene instradato a LPG-1 in base alla regola nella tabella di instradamento della subnet A (vedere Callout 1: Subnet A Route Table). Da lì il traffico viene instradato a GPL-2, e poi da lì, fino alla sua destinazione nella Subnet X.

Callout 1: Tabella di instradamento subnet A

CIDR di destinazione	Destinazione instradamento
0.0.0.0/0	Gateway Internet
172.16.0.0/12	DRG
192.168.0.0/16	LPG-1

Callout 2: Tabella di instradamento X subnet

CIDR di destinazione	Destinazione instradamento
10.0.0.0/16	LPG-2

Nota

Come accennato in precedenza, una VCN specifica può utilizzare i GPL sottoposti a peering per raggiungere le VNIC nell'altra VCN o nella rete in locale se per le VCN è impostato l'instradamento di transito. Tuttavia, una VCN non può utilizzare la VCN in peer per raggiungere altre destinazioni al di fuori delle VCN (come Internet). Ad esempio, nel diagramma precedente, la VCN-2 non può utilizzare il gateway Internet collegato alla VCN-1.

REGOLE DI SICUREZZA

Ogni subnet in una VCN dispone di una o più liste di sicurezza che controllano il traffico in entrata e in uscita dalle VNIC della subnet a livello di pacchetto. Puoi utilizzare le liste di sicurezza per controllare il tipo di traffico consentito con le altre VCN. Nell'ambito della configurazione delle reti VCN, ogni amministratore deve decidere quali subnet nella propria VCN devono comunicare con le VNIC nell'altra VCN e aggiornare le liste di sicurezza della propria subnet in modo che corrispondano.

Se si utilizzano i gruppi di sicurezza di rete (NSG) per implementare le regole di sicurezza, si noti che è possibile scrivere le regole di sicurezza per un gruppo NSG che specifica un altro gruppo NSG come origine o destinazione del traffico. Tuttavia, i due gruppi NSG devono appartenere alla stessa VCN.

Se non lo si è ancora fatto, leggere Implicazioni importanti del peering per comprendere importanti implicazioni relative al controllo dell'accesso, alla sicurezza e alle prestazioni per le VCN sottoposte a peering.

Ecco il processo generale per impostare un peering tra due VCN nella stessa area:

1. Crea i GPL: ogni amministratore della VCN crea un GPL per la propria VCN.
2. Condividi informazioni: gli amministratori condividono le informazioni di base necessarie.
3. Impostare i criteri IAM necessari per la connessione: gli amministratori impostano i criteri IAM per abilitare la connessione da stabilire.
4. Stabilire la connessione: il richiedente connette i due GPL.
5. Aggiorna tabelle di instradamento: ogni amministratore aggiorna le tabelle di instradamento della propria VCN in modo da abilitare il traffico tra le VCN sottoposte a peering in base alle esigenze.
6. Aggiorna regole di sicurezza: ogni amministratore aggiorna le regole di sicurezza della propria VCN per abilitare il traffico tra le VCN sottoposte a peering in base alle esigenze.

Gli amministratori possono eseguire i task E e F prima di stabilire la connessione. In tal caso, ogni amministratore deve conoscere il blocco CIDR o subnet specifiche dalla VCN dell'altra e condividerlo nel task B. Una volta stabilita la connessione, ottenere il blocco CIDR dell'altra VCN visualizzando i dettagli del GPL locale nella console. Cerca CIDR peer Advertised. Oppure, se si utilizza l'API, vedere il parametro peerAdvertisedCidr.

È inoltre necessario configurare alcune impostazioni IAM, ad esempio i gruppi, prima di eseguire il processo passo-passo.