Documentazione dell'infrastruttura Oracle Cloud

Peering VCN locale tramite un DRG aggiornato

Questo scenario descrive l'uso di una connessione reciproca a un DRG aggiornato per abilitare il traffico tra due o più VCN.

panoramica

Anziché utilizzare le connessioni peering locali, puoi stabilire comunicazioni di rete private tra due o più reti cloud virtuali (VCN) nella stessa area collegandole a un gateway di instradamento dinamico comune (DRG) e apportando le modifiche appropriate alle tabelle di instradamento VCN e DRG.

Questo scenario è disponibile solo per un DRG aggiornato.

Se si utilizza il gateway DRG legacy, è possibile eseguire il peer di due VCN nella stessa area utilizzando Local Peering Gateway (LPG) come descritto nello scenario Peering VCN locale mediante Local Peering Gateway. Il peering di due VCN nella stessa area tramite un DRG offre una maggiore flessibilità di instradamento e una gestione semplificata, ma comporta un aumento della latenza di microsecondi a causa dell'instradamento del traffico attraverso un router virtuale, il DRG.

Questo scenario di esempio è pari a due VCN. Prima di implementare questo scenario, assicurarsi che:

  • La VCN-A non è collegata a un DRG
  • La VCN-B non è collegata a un DRG
  • I CIDR utilizzati dalla VCN-A e dalla VCN-B non si sovrappongono

Il peering delle reti VCN in tenancy diverse richiede un numero maggiore di criteri IAM per l'autorizzazione cross-tenancy. Per informazioni dettagliate sulle autorizzazioni necessarie, vedere Criteri IAM per l'instradamento tra VCN. Quando si collega una VCN in un'area diversa a un DRG, eseguire la procedura descritta in Come collegare un DRG a una VCN in una tenancy diversa. La maggior parte dei passi in questo scenario presuppone che il gateway DRG ed entrambi i VCN si trovino nella stessa tenancy.

Passi

Di seguito viene descritto il processo generale per impostare un peering tra due VCN nella stessa area utilizzando un DRG.

  1. Creare il DRG: vedere Task A: Creare un DRG.
  2. Collega la VCN A al DRG: vedere Task B: Collega la VCN-A al DRG.
  3. Collega VCN B al gateway DRG: vedere Task C: Collega VCN-B al gateway DRG.
  4. Configurare le tabelle di instradamento nella VCN A per inviare il traffico destinato al CIDR della VCN B al DRG: vedere Task D: configurare le tabelle di instradamento nella VCN-A per inviare il traffico destinato al CIDR della VCN-B al collegamento del DRG.
  5. Configurare le tabelle di instradamento nella VCN B per inviare il traffico destinato al CIDR della VCN A al DRG: vedere Task E: configurare le tabelle di instradamento nella VCN-B per inviare il traffico destinato al CIDR della VCN-A al collegamento del DRG.
  6. Aggiorna regole di sicurezza: aggiorna le regole di sicurezza di ogni VCN per abilitare il traffico tra le VCN sottoposte a peering come previsto. Vedere Task F: Aggiorna regole di sicurezza.

Questa pagina contiene un riepilogo di alcune implicazioni relative a controllo dell'accesso, sicurezza e prestazioni per le reti VCN sottoposte a peering. Puoi controllare l'accesso e il traffico tra due VCN in peer utilizzando i criteri IAM, le tabelle di instradamento in ogni VCN, le tabelle di instradamento nel DRG e le liste di sicurezza in ogni VCN.

Riepilogo dei componenti di networking per il peering tramite un DRG

A un livello elevato, i componenti del servizio di networking necessari per un peering locale tramite un DRG includono:

  • Due reti VCN nella stessa area con CIDR che non si sovrappongono
  • Un singolo Gateway di instradamento dinamico (DRG) collegato a ciascuna VCN peer
  • Supporto delle regole di instradamento per consentire al traffico di fluire attraverso la connessione e solo a e da subnet selezionate nelle rispettive reti VCN (se necessario)
  • Supporto delle regole di sicurezza per controllare i tipi di traffico consentiti verso e dalle istanze nelle subnet che devono comunicare con le altre VCN

Il seguente diagramma descrive i componenti.

Questa immagine mostra il layout di base di due VCN di cui viene eseguito il peering locale, ognuna con un gateway di peering locale.
Nota

Una VCN specifica può raggiungere queste risorse:

  • VNIC nell'altra VCN
  • Una rete in locale collegata all'altra VCN, se per le VCN è stato impostato uno scenario di instradamento avanzato denominato instradamento del transito

Due VCN interconnesse con un DRG non possono raggiungere altri gateway cloud (come un gateway Internet o un gateway NAT) ad eccezione dell'instradamento del transito tramite un GPL. Ad esempio, se la VCN-1 nel diagramma precedente dovesse avere un gateway Internet, le istanze nella VCN-2 non potrebbero utilizzarla per inviare traffico agli endpoint su Internet. Tuttavia, la rete VCN-2 potrebbe ricevere il traffico da Internet tramite la rete VCN-1. Per ulteriori informazioni, vedere Implicazioni importanti del peering VCN.

Importanti concetti di peering locale

I concetti riportati di seguito consentono di comprendere le nozioni di base del peering VCN mediante un gateway DRG e di stabilire un peering locale.

PEERING
Un peering è una relazione tra due reti VCN che si connettono entrambe allo stesso DRG e possono instradare reciprocamente il traffico. La parte locale del peering locale indica che le reti VCN si trovano nella stessa area. Un determinato DRG può avere al massimo 300 collegamenti DRG locali alla volta.
Attenzione

I VCN peer non devono avere CIDR sovrapposti.
AMMINISTRATORI
In generale, il peering VCN può verificarsi solo se tutti gli amministratori VCN e gli amministratori DRG coinvolti lo accettano. A seconda della situazione, un singolo amministratore potrebbe essere responsabile di tutti i DRG, VCN coinvolti e dei criteri correlati.
Per ulteriori informazioni sui criteri necessari e sulla configurazione della VCN, vedere Policy IAM per l'instradamento tra VCN.
INSTRADAMENTO AL DRG
Nell'ambito della configurazione delle reti VCN, ogni amministratore deve aggiornare l'instradamento della VCN per consentire il flusso di traffico tra le reti VCN. In pratica, questo assomiglia all'instradamento impostato per qualsiasi gateway, ad esempio un gateway Internet o un gateway di instradamento dinamico. Per ogni subnet che deve comunicare con l'altra VCN, aggiorna la tabella di instradamento della subnet. La regola di instradamento specifica il CIDR del traffico di destinazione e il DRG come destinazione. La VCN instrada il traffico che corrisponde alla regola al gateway DRG, che a sua volta instrada il traffico all'hop successivo nell'altra VCN.
Nel diagramma riportato di seguito viene eseguito il peering delle reti VCN-1 e VCN-2. Il traffico proveniente da un'istanza nella subnet A (10.0.0.15) destinata a un'istanza nella VCN-2 (192.168.0.15) viene instradato al DRG in base alla regola nella tabella di instradamento della subnet A. Da lì il traffico viene instradato alla VCN-2, quindi da lì, alla relativa destinazione nella subnet X. Il DRG in questo scenario utilizza una tabella di instradamento predefinita.
Questa immagine mostra le tabelle di instradamento e il percorso del traffico instradato da una VCN all'altra.
Callout 1: Tabella di instradamento subnet A
CIDR di destinazione Destinazione instradamento
172.16.0.0/12 DRG
192.168.0.0/16 DRG
0.0.0.0/0 Gateway Internet
Callout 2: Tabella di instradamento X subnet
CIDR di destinazione Destinazione instradamento
172.16.0.0/12 DRG
10.0.0.0/16 DRG
REGOLE DI SICUREZZA
Ogni subnet in una VCN dispone di una o più liste di sicurezza che controllano il traffico in entrata e in uscita dalle VNIC della subnet a livello di pacchetto. Puoi utilizzare le liste di sicurezza per controllare il tipo di traffico consentito con le altre VCN. Nell'ambito della configurazione delle reti VCN, ogni amministratore deve decidere quali subnet nella propria VCN devono comunicare con le VNIC nell'altra VCN e aggiornare le liste di sicurezza della propria subnet in modo che corrispondano.
Se si utilizzano i gruppi di sicurezza di rete (NSG) per implementare le regole di sicurezza, si noti che è possibile scrivere regole di sicurezza per un gruppo NSG che specifica un altro gruppo NSG come origine o destinazione del traffico. Tuttavia, i due gruppi NSG devono appartenere alla stessa VCN.

Impostazione di questo scenario nella console

Task A: Creare un DRG

Un DRG creato prima di maggio 2021 non può eseguire l'instradamento tra reti on premise e più VCN o fornire il peering locale tra VCN. Se è necessaria tale funzionalità e viene visualizzato un pulsante Aggiorna DRG, selezionarlo.

Nota

La selezione del pulsante Aggiorna DRG comporta la reimpostazione di tutte le sessioni BGP esistenti e l'interruzione temporanea del traffico dalla rete in locale durante l'aggiornamento del DRG. Tenere presente che non è possibile eseguire il rollback dell'aggiornamento.

Se si assegna nuovamente un DRG nella stessa area delle reti VCN di cui si desidera eseguire il peer, attenersi alla procedura descritta in Creazione di un DRG.

Task B: collega la VCN-A al DRG
Nota

Un DRG aggiornato può essere collegato a molte reti VCN, ma una VCN può essere collegata a un solo gateway DRG alla volta. Il collegamento viene creato automaticamente nel compartimento che contiene la VCN. Una VCN non deve trovarsi nello stesso compartimento o tenancy del DRG di cui è stato eseguito l'upgrade.

È possibile eliminare le connessioni peering locali dalla progettazione di rete complessiva se si connettono più VPN nella stessa area allo stesso DRG e si configurano le tabelle di instradamento DRG in modo appropriato.

Il peering delle reti VCN in tenancy diverse richiede un numero maggiore di criteri IAM per l'autorizzazione cross-tenancy. Per informazioni dettagliate sulle autorizzazioni necessarie, vedere Criteri IAM per l'instradamento tra VCN. Quando si collega una VCN in un'area diversa a un DRG, eseguire la procedura descritta in Come collegare un DRG a una VCN in una tenancy diversa.

Collegare la VCN-A al DRG creato nel task A. Puoi collegare un DRG a una VCN o collegare una VCN a un DRG.

Task C: collega la VCN-B al DRG
Nota

Un DRG può essere collegato a molte reti VCN, ma la VCN può essere collegata a un solo DRG alla volta. Il collegamento viene creato automaticamente nel compartimento che contiene la VCN. Una VCN non deve trovarsi nello stesso compartimento del DRG.

È possibile eliminare le connessioni peering locali dalla progettazione di rete complessiva se si connettono più VPN nella stessa area allo stesso DRG e si configurano le tabelle di instradamento DRG in modo appropriato.

Il peering delle reti VCN in tenancy diverse richiede un numero maggiore di criteri IAM per l'autorizzazione cross-tenancy. Per informazioni dettagliate sulle autorizzazioni necessarie, vedere Criteri IAM per l'instradamento tra VCN. Quando si collega una VCN in un'area diversa a un DRG, eseguire la procedura descritta in Come collegare un DRG a una VCN in una tenancy diversa.

Collegare la rete VCN-B al DRG creato nel task A. Puoi collegare un DRG a una VCN o collegare una VCN a un DRG.

Task D: configurare le tabelle di instradamento nella VCN-A per inviare il traffico destinato al CIDR della VCN-B al collegamento DRG

Come accennato in precedenza, ogni amministratore può eseguire questo task prima o dopo che la VCN è collegata al DRG.

Prerequisito: ogni amministratore deve avere il blocco CIDR per l'altra VCN o per subnet specifiche in tale VCN.

Per la VCN-A, decidere quali subnet della VCN-A devono comunicare con la VCN-B e aggiornare la tabella di instradamento per ciascuna di tali subnet in modo da includere una nuova regola che indirizza il traffico destinato al CIDR dell'altra VCN al DRG. Utilizzare le impostazioni riportate di seguito.

  • Tipo di destinazione: gateway di instradamento dinamico.
  • Blocco CIDR di destinazione: blocco CIDR della VCN-B. Se lo desideri, puoi specificare una subnet o un subset particolare del CIDR della VCN-B.
  • Compartimento di destinazione: il compartimento con l'altra VCN, se non il compartimento corrente.
  • Destinazione: il DRG creato nel task A.
  • Descrizione: una descrizione facoltativa della regola.

Qualsiasi traffico della subnet con una destinazione che corrisponde alla regola viene instradato al DRG. Per ulteriori informazioni sull'impostazione delle regole di instradamento, vedere Tabelle di instradamento VCN.

Se in futuro non sarà più necessario il peering e si desidera terminare la relazione di peering, eliminare prima tutte le regole di instradamento nella VCN che specificano l'altra VCN.

Suggerimento

Senza l'instradamento richiesto, il traffico non scorre tra le VCN sottoposte a peering. Se si verifica una situazione in cui è necessario arrestare temporaneamente la relazione di peering, rimuovere le regole di instradamento che abilitano il traffico.
Task E: configurare le tabelle di instradamento nella rete VCN-B per inviare il traffico destinato alla rete VCN-A sul collegamento DRG

Come accennato in precedenza, ogni amministratore può eseguire questo task prima o dopo che la VCN è collegata al DRG.

Prerequisito: ogni amministratore deve disporre del blocco CIDR o di subnet specifiche per l'altra VCN.

Per la VCN-B, decidere quali subnet nella VCN-B devono comunicare con la VCN-A e aggiornare la tabella di instradamento per ciascuna di tali subnet in modo da includere una nuova regola che indirizza il traffico destinato al CIDR dell'altra VCN al DRG. Utilizzare le impostazioni riportate di seguito.

  • Tipo di destinazione: gateway di instradamento dinamico.
  • Blocco CIDR di destinazione: VCN: il blocco CIDR di A. Se lo desideri, puoi specificare una subnet o un subset particolare del blocco CIDR della VCN A.
  • Compartimento di destinazione: il compartimento con l'altra VCN, se non il compartimento corrente.
  • Destinazione: il DRG creato nel task A.
  • Descrizione: una descrizione facoltativa della regola.

Qualsiasi traffico della subnet con una destinazione che corrisponde alla regola viene instradato al DRG. Per ulteriori informazioni sull'impostazione delle regole di instradamento, vedere Tabelle di instradamento VCN.

Se in un secondo momento non è più necessario il peering e si desidera terminare la relazione di peering, eliminare tutte le regole di instradamento nella VCN che specificano l'altra VCN come destinazione.

Suggerimento

Senza il routing richiesto, il traffico non scorre tra le VCN sottoposte a peering. Se è necessario interrompere temporaneamente il peering, è possibile rimuovere le regole di instradamento che abilitano il traffico.
Task F: Aggiorna regole di sicurezza

Come accennato in precedenza, ogni amministratore può eseguire questo task prima o dopo la creazione della connessione.

Prerequisito: ogni amministratore deve disporre del blocco CIDR o di subnet specifiche per l'altra VCN. In generale, utilizzare lo stesso blocco CIDR utilizzato nella regola della tabella di instradamento in Task E: configurare le tabelle di instradamento.

Aggiungere le regole riportate di seguito.

  • Regole di entrata per i tipi di traffico che si desidera consentire dal CIDR dell'altra VCN o da subnet specifiche.
  • Regola di uscita per consentire il traffico in uscita dalla VCN locale all'altra VCN. Se la subnet dispone già di una regola di uscita estesa per tutti i tipi di protocolli per tutte le destinazioni (0.0.0.0/0), non è necessario aggiungerne una speciale per l'altra VCN.
Nota

La procedura riportata di seguito utilizza liste di sicurezza, ma è possibile implementare le regole di sicurezza in un gruppo di sicurezza di rete, quindi creare le risorse della sottorete in tale gruppo NSG.

Per ogni VCN, decidere quali subnet della VCN locale devono comunicare con l'altra VCN e aggiornare la lista di sicurezza per ciascuna di tali subnet in modo da includere regole che consentano il traffico in uscita o in entrata previsto con il blocco CIDR o la subnet delle altre VCN

Esempio

Per aggiungere una regola con conservazione dello stato che consenta il traffico HTTPS in entrata (porta 443) dal CIDR dell'altra VCN, utilizzare le impostazioni riportate di seguito per implementare tale regola.

  • Lasciare deselezionata la casella di controllo senza conservazione dello stato.
  • Tipo di origine: lasciare come CIDR.
  • CIDR di origine: immettere lo stesso blocco CIDR utilizzato dalle regole di instradamento (vedere Task D o Task E).
  • Protocollo IP: lasciare come TCP.
  • Intervallo porte di origine: lasciare tutto.
  • Intervallo di porte di destinazione: immettere 443.
  • Descrizione: una descrizione facoltativa della regola.

Per ulteriori informazioni sulle regole di sicurezza, vedere Regole di sicurezza.