Instradamento del transito all'interno di una VCN hub
Il instradamento del transito si riferisce a una topologia di rete in cui una rete on premise utilizza un intermediario per raggiungere risorse o servizi Oracle o VCN. L'intermediario può essere una VCN o un gateway di instradamento dinamico (DRG) a cui è già collegata la rete in locale. È possibile connettere la rete in locale a un DRG con FastConnect o VPN da sito a sito, quindi configurare l'instradamento in modo che il traffico trasferisca tramite l'intermediario alla relativa destinazione.
I tre scenari principali di instradamento del transito sono:
- Accesso tra più reti tramite un singolo DRG con un firewall tra reti: questo scenario utilizza il DRG come hub, con l'instradamento configurato per l'invio di pacchetti tramite un firewall in una VCN prima che possano essere inviati a un'altra rete. Vedere Instradamento del traffico tramite un'appliance virtuale di rete centrale. Questo scenario è disponibile solo per un'implementazione che utilizza un DRG aggiornato.
- Accesso a più VCN nella stessa area: lo scenario trattato in questo argomento. Questo scenario utilizza una VCN come hub e crea la comunicazione tra una rete in locale e diverse VCN (connesse mediante peering locale) nella stessa area su un singolo circuito virtuale privato FastConnect o VPN da sito a sito. Si consiglia invece di utilizzare lo scenario precedente. Questo scenario è disponibile per un'implementazione che utilizza un DRG legacy o aggiornato.
- Accesso privato ai servizi Oracle: questo scenario utilizza una VCN come hub e offre un accesso privato alla rete in locale ai servizi Oracle, in modo che gli host in locale possano utilizzare i propri indirizzi IP privati e il traffico non vada su Internet. Vedere Accesso privato ai servizi Oracle. Questo scenario è disponibile per un'implementazione che utilizza un DRG legacy o aggiornato.
Evidenziazioni
- È possibile utilizzare una singola connessione VPN da sito a sito FastConnect tra una rete in locale con diverse VCN nella stessa area, in una topologia hub e spoke.
- I VCN devono trovarsi nella stessa area, ma possono trovarsi in tenancy diverse. I blocchi CIDR delle varie subnet di interesse per la rete in locale e le reti VCN non devono sovrapporsi.
- La VCN che funge da hub utilizza un gateway di instradamento dinamico (DRG) per comunicare con la rete in locale. Questa rete VCN hub peer con ogni VCN che funge da spoke (indicato come VCN spoke in questo argomento). I VCN hub e spoke utilizzano i gateway di peering locali (LPG) per la comunicazione.
- Per abilitare il traffico previsto dalla rete in locale attraverso l'hub a una VCN spoke in peering, implementare le regole di instradamento per il DRG hub o il collegamento DRG e l'LPG della VCN hub e per le subnet della VCN spoke.
- È possibile impostare l'instradamento del transito attraverso un IP privato nella VCN hub. Ad esempio, potresti voler filtrare o ispezionare il traffico tra la rete in locale e una VCN spoke. In questo caso, il traffico viene instradato a un IP privato su un'istanza nella VCN hub per l'ispezione e il traffico risultante continua fino alla destinazione. Questo argomento riguarda entrambe le situazioni: l'instradamento del transito direttamente tra i gateway nella VCN hub e l'instradamento del transito tramite un IP privato.
- La configurazione delle tabelle di instradamento che risiedono nella VCN hub consente di controllare se una determinata subnet in una VCN spoke in peering viene pubblicizzata nella rete on premise e se una determinata subnet nella rete on premise viene pubblicizzata in una VCN spoke in peering.
Un altro scenario consente di connettere una rete on-premise a diversi VCN. Anziché utilizzare una singola topologia DRG e hub e spoke, puoi impostare un DRG separato per ogni VCN e un circuito virtuale privato separato su un singolo FastConnect. Tuttavia, lo scenario può essere utilizzato solo con FastConnect tramite un provider di terze parti o tramite colorazione con Oracle. I VCN devono trovarsi nella stessa area e nella stessa tenancy. Per ulteriori informazioni, vedere FastConnect con più DRG e VCN.
Panoramica dell'instradamento del transito
Per instradamento del transito si intende il task di instradamento del traffico a una rete cloud virtuale (VCN) o a una rete on premise tramite una VCN hub centrale. Ecco un esempio di base del motivo per cui potresti utilizzare l'instradamento del transito: hai una grande organizzazione con diversi reparti, ciascuno con la propria VCN. Una rete on premise deve accedere alle diverse VCN, ma non si desidera che il sovraccarico amministrativo derivi dalla gestione di una connessione sicura da ogni VCN alla rete on premise. In alternativa, si desidera utilizzare una singola VPN FastConnect o Site-to-Site.
Uno scenario di rete di base prevede la connessione della rete on premise a una VCN con Oracle Cloud Infrastructure FastConnect o con una VPN site-to-site. Questi due scenari di base illustrano la topologia: Scenario B: Private Subnet with a VPN e Scenario C: Public and Private Subnets with a VPN.
Questo scenario utilizza una topologia hub-and-spoke, come illustrato nel seguente diagramma. Il termine hub qui indica solo che una VCN funge da hub in questa progettazione hub e spoke.
Una delle reti VCN funge da hub (VCN-H) e si connette alla rete on premise tramite FastConnect o una VPN Site-to-Site. Le altre VCN vengono eseguite in peering locale con la VCN hub. Il traffico tra la rete on premise e le VCN sottoposte a peering passa attraverso la VCN hub. I VCN devono trovarsi nella stessa area, ma possono trovarsi in tenancy diverse.
Gateway coinvolti in instradamento transito
Il diagramma successivo mostra i gateway sulle reti VCN. La VCN hub dispone di un gateway di instradamento dinamico (DRG) che rappresenta il percorso di comunicazione con la rete in locale. Ogni VCN spoke sottoposta a peering locale utilizza una coppia di gateway di peering locali (LPG) che ancorano la connessione di peering: un LPG si trova nella VCN hub e l'altro nella VCN spoke.
Riepilogo dei nuovi concetti per gli utenti esperti del servizio di networking
Se hai già familiarità con il servizio di networking e il peering VCN locale, questi sono i nuovi concetti più importanti da comprendere:
- Per ogni subnet VCN spoke in grado di comunicare con la rete in locale, aggiornare la tabella di instradamento della subnet con una regola che imposta la destinazione (l'hop successivo) come LPG della VCN spoke per tutto il traffico destinato alla rete in locale.
-
Aggiungere una tabella di instradamento alla VCN hub, associarla al collegamento DRG e aggiungere una regola di instradamento a una destinazione che imposta la destinazione (l'hop successivo) nel gPL della VCN hub (per tale spoke) per tutto il traffico destinato alla VCN spoke in questione (o a una subnet specifica nella VCN interessata).
-
Aggiungere un'altra tabella di instradamento alla VCN hub, associarla al gPL della VCN hub (per tale spoke) e aggiungere una regola di instradamento che imposta la destinazione (l'hop successivo) come DRG per tutto il traffico destinato alla rete in locale (o a una subnet specifica in tale rete). :
Per informazioni sull'instradamento del transito direttamente attraverso i gateway, vedere i task specifici riportati di seguito per ulteriori informazioni.
- Per l'instradamento diretto tra gateway
- Task 6: impostare l'instradamento in entrata per DRG e LPG sulla VCN hub
Per l'instradamento del transito tramite un IP privato, vedere i task specifici riportati di seguito per ulteriori informazioni.
Esempio: componenti e instradamento per un hub e un singolo spoke
Gli esempi riportati in questa sezione mostrano una VCN che funge da hub e una sola VCN spoke per semplicità.
In un modello hub e spoke, la VCN hub può avere diversi spoke e, pertanto, diversi GPL (uno per spoke). In questo argomento viene utilizzata la frase GPL della VCN hub, che potrebbe pertanto essere ambigua. Quando la frase viene utilizzata qui, significa l'hub LPG per lo speciale spoke di interesse. Nei seguenti diagrammi, l'hub è LPG-H-1. Altri raggi comporterebbero la creazione di un GPL-H-2, GPL-H-3 e così via.
Il diagramma riportato di seguito mostra le tabelle di instradamento del servizio di networking e le regole di instradamento necessarie per l'instradamento del transito direttamente tramite i gateway. Sebbene la VCN hub non richieda una subnet per garantire il funzionamento dell'instradamento del transito, l'esempio presentato qui include una subnet denominata Subnet-H.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| 192.168.0.0/16 | LPG-H-1 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.0.0.0/16 | LPG-1 |
| 172.16.0.0/12 | LPG-1 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 192.168.0.0/16 | LPG-H-1 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
Lo scenario nel diagramma utilizza quattro tabelle di instradamento, ciascuna associata a una risorsa diversa:
-
Subnet-H:
- Questa tabella di instradamento appartiene alla VCN hub ed è associata a Subnet-H.
- Questa tabella di instradamento dispone di una regola per instradare il traffico destinato alla rete in locale al DRG. Ha un'altra regola per instradare il traffico destinato alla VCN spoke a LPG-H-1.
-
Subnet-1:
- Questa tabella di instradamento appartiene alla VCN spoke ed è associata alla subnet-1.
- Questa tabella di instradamento contiene regole per instradare il traffico destinato alla VCN hub o alla rete in locale a LPG-1.
-
Tabella di instradamento VCN sul collegamento DRG:
- La tabella di instradamento appartiene alla VCN hub ed è associata all'allegato del gateway DRG. Perché il collegamento e non il DRG stesso? Poiché il gateway DRG è una risorsa standalone che puoi collegare a qualsiasi rete VCN nella stessa area e tenancy del gateway DRG. Il collegamento stesso identifica la VCN.
- La tabella di instradamento instrada il traffico in entrata dalla rete in locale e destinato alla VCN spoke (VCN-1). Configurare la regola per inviare tale traffico a LPG-H-1.
-
Tabella di instradamento VCN su LPG-H-1:
- Questa tabella di instradamento appartiene alla VCN hub ed è associata a LPG-H-1.
- La tabella di instradamento instrada il traffico in entrata dalla rete VCN-1 e destinato alla rete in locale. Configurare la regola per inviare tale traffico al DRG.
Il diagramma riportato di seguito mostra le tabelle di instradamento del servizio di networking e le regole di instradamento necessarie per l'instradamento del transito tramite un IP privato su un'istanza nella VCN hub. Puoi decidere di implementare questo scenario con una singola VNIC o con diverse VNIC. Il diagramma successivo mostra due VNIC: una in una subnet chiamata Subnet-H-Frontend e un'altra in una subnet chiamata Subnet-H-Backend. La VNIC frontend dispone di un IP privato 10.0.4.3 e la VNIC backend dispone di un IP privato 10.0.8.3.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| 192.168.0.0/16 | 10.0.4.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 192.168.0.0/16 | LPG-H-1 |
| 172.16.0.0/12 | 10.0.8.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.0.0.0/16 | LPG-1 |
| 172.16.0.0/12 | LPG-1 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 192.168.0.0/16 | 10.0.4.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | 10.0.8.3 |
Nessuna tabella di instradamento speciale è associata a LPG-1.
Il diagramma mostra cinque tabelle di instradamento, ciascuna associata a una risorsa diversa:
-
Collegamento DRG:
- La tabella di instradamento appartiene alla VCN hub ed è associata all'allegato del gateway DRG. Perché il collegamento e non il DRG stesso? Poiché il gateway DRG è una risorsa standalone che puoi collegare a qualsiasi rete VCN nella stessa area e tenancy del gateway DRG. Il collegamento stesso identifica la VCN.
- La tabella di instradamento instrada il traffico in entrata dalla rete in locale e destinato alla VCN spoke (VCN-1). Configura la regola per l'invio del traffico all'IP privato nella subnet frontend.
-
LPG-H-1:
- Questa tabella di instradamento appartiene alla VCN hub ed è associata a LPG-H-1.
- La tabella di instradamento instrada il traffico in entrata dalla rete VCN-1 e destinato alla rete in locale. Configura la regola per l'invio del traffico all'IP privato nella subnet backend.
-
Subnet-H-Frontend:
- Questa tabella di instradamento appartiene alla VCN hub ed è associata a Subnet-H-Frontend.
- Questa tabella di instradamento dispone di una regola per instradare il traffico destinato alla rete in locale al DRG.
- Sebbene Oracle non consigli di inserire i carichi di lavoro nelle subnet della VCN hub, il diagramma mostra anche una regola di instradamento per instradare il traffico destinato alla VCN spoke all'IP privato nella subnet frontend (10.0.4.3) per l'applicazione di filtri in base all'istanza. La seconda regola viene mostrata qui per fornire un quadro migliore dell'instradamento per questo esempio.
-
Subnet-H-Backend:
- Questa tabella di instradamento appartiene alla VCN hub ed è associata a Subnet-H-Backend.
- Questa tabella di instradamento dispone di una regola per instradare il traffico destinato alla VCN (VCN-1) spoke a LPG-H-1.
- Sebbene Oracle non consigli di inserire i carichi di lavoro nelle subnet della VCN hub, il diagramma mostra anche una regola di instradamento per instradare il traffico destinato alla rete in locale all'IP privato nella subnet backend (10.0.8.3) per l'applicazione del filtro in base all'istanza. La seconda regola viene mostrata qui per fornire un quadro migliore dell'instradamento per questo esempio.
-
Subnet-1:
- Questa tabella di instradamento appartiene alla VCN spoke ed è associata alla subnet-1.
- Questa tabella di instradamento contiene regole per instradare il traffico destinato alla VCN hub o alla rete in locale a LPG-1.
Importanti restrizioni di instradamento del transito da comprendere
Questa sezione include altri importanti dettagli sul routing:
-
Tabella di instradamento per il collegamento DRG:
- Una tabella di instradamento VCN associata a un collegamento DRG può avere solo regole destinate a un gateway di servizi, a un IP privato o a un gateway di peering locale.
- A un collegamento DRG è sempre associata una tabella di instradamento, ma è possibile associare una tabella di instradamento diversa, modificare le regole della tabella o eliminare alcune o tutte le regole.
-
Tabella di instradamento per un GPL:
- Una tabella di instradamento VCN associata a un collegamento DRG può avere solo regole destinate a un gateway di servizi, a un IP privato o a un gateway di peering locale.
- Un GPL può esistere senza una tabella di instradamento associata. Tuttavia, dopo aver associato una tabella di instradamento a un LPG, deve essere sempre associata a una tabella di instradamento. È tuttavia possibile associare una tabella di instradamento diversa. È inoltre possibile modificare le regole della tabella oppure eliminare alcune o tutte le regole.
- Traffico attraverso la VCN hub: le tabelle di instradamento descritte qui sono destinate solo allo spostamento del traffico attraverso la VCN hub tra le posizioni nella rete in locale e le posizioni nella VCN spoke. Se si utilizza un IP privato nell'hub, configurare tali tabelle di instradamento in modo che l'IP privato venga inserito nel percorso del traffico attraverso l'hub.
- Traffico in entrata verso la VCN hub: anche se l'istruzione precedente è vera (circa il traffico tramite l'hub), il traffico in entrata verso le subnet all'interno della VCN hub è sempre consentito. Non è necessario impostare regole esplicite per questo traffico in entrata nella tabella di instradamento del collegamento DRG o nella tabella di instradamento del GPL hub. Quando questo tipo di traffico in entrata raggiunge il gateway DRG o l'LPG hub, il traffico viene instradato automaticamente alla destinazione nella VCN hub mediante l'instradamento locale della VCN. A causa dell'instradamento locale della VCN, per qualsiasi tabella di instradamento appartenente a una determinata VCN, non è possibile creare una regola che elenca il CIDR (o una sottosezione) della VCN come destinazione della regola.
- Traffico della VCN dell'hub durante il transito tramite un IP privato: l'istruzione immediatamente precedente sull'instradamento locale della VCN indica che si utilizza solo la VCN dell'hub per il transito tra la rete in locale e le VCN spoke. Non impostare i carichi di lavoro nella VCN hub stessa. In modo più esplicito, se imposti l'instradamento del transito tramite un IP privato nella VCN hub, non puoi anche instradare il traffico della VCN hub attraverso tale IP privato. Ad esempio, nel diagramma precedente, se si dovesse modificare la regola di instradamento nella tabella di instradamento LPG-H-1 in modo che il CIDR di destinazione sia 0.0.0.0/0 anziché 172.16.0.0/12, solo il traffico proveniente dalla VCN-1 e destinato agli indirizzi al di fuori del blocco CIDR della VCN hub verrà instradato tramite l'IP privato. A causa dell'instradamento locale della VCN, qualsiasi traffico destinato agli indirizzi all'interno della VCN viene instradato automaticamente direttamente all'indirizzo IP di destinazione. L'instradamento locale della VCN ha la precedenza sulla tabella di instradamento LPG-H-1 (in generale, oltre qualsiasi tabella di instradamento della VCN).
Il seguente flusso di traffico non è supportato:
- Il traffico passa attraverso il DRG-1 in uscita da un collegamento alla VCN-1.
- Il traffico corrisponde a una regola nella tabella di instradamento in entrata del collegamento a LPG-1, sottoposta a peering a LPG-2 nella VCN-2.
- Il traffico corrisponde a una regola nella tabella di instradamento in entrata di LPG-2 a DRG-2 (allegato alla VCN-2).
Anche se potrebbe sembrare che questa dovrebbe funzionare, non è supportata. Il modo supportato per spostare il traffico come mostrato tra due DRG nella stessa area è tramite una connessione di peering remoto all'interno dell'area.
Informazioni sulla sovrapposizione CIDR
In questo esempio, le varie reti non hanno blocchi CIDR sovrapposti (172.16.0.0/12 rispetto a 10.0.0.0/16 rispetto a 192.168.0.0/16). Il servizio di networking non consente il peering VCN locale tra due VCN con CIDR sovrapposti. Ciò significa che ogni parlato non deve sovrapporsi all'hub.
Tuttavia, il servizio di networking non convalida se le reti VCN spoke si sovrappongono tra loro o se una qualsiasi delle reti VCN si sovrappone alla rete on premise. Assicurarsi che i CIDR per tutte le subnet che devono comunicare tra loro non si sovrappongano. In caso contrario, il traffico viene eliminato.
Una tabella di instradamento del servizio di networking non può contenere due regole con lo stesso CIDR di destinazione. Tuttavia, se due regole nella stessa tabella di instradamento hanno CIDR di destinazione sovrapposti, la regola più specifica nella tabella viene utilizzata per instradare il traffico (la regola con la corrispondenza del prefisso più lunga).
Instrada la pubblicità alla rete in locale e ai VCN spoke
Dal punto di vista della sicurezza, puoi controllare la pubblicità degli instradamenti in modo che solo le subnet specifiche nella rete on premise vengano pubblicizzate alle reti VCN spoke. Analogamente, puoi controllare quali subnet nelle reti VCN spoke vengono pubblicate nella rete on premise.
Gli instradamenti pubblicizzati per la rete on premise sono costituiti da:
- Le regole elencate nella tabella di instradamento associata al collegamento DRG (192.168.0.0/16 nel diagramma precedente)
- Le singole subnet nella VCN hub
Gli instradamenti pubblicati nella VCN spoke includono:
- Le singole subnet nella VCN hub
- Le regole elencate nella tabella di instradamento associate al GPL della VCN hub per lo spoke (172.16.0.0/12 nel diagramma precedente)
Pertanto, l'amministratore della VCN hub, da solo, può controllare quali instradamenti vengono pubblicati nella rete in locale e nelle reti VCN spoke.
Nell'esempio precedente, gli instradamenti pertinenti utilizzano come destinazione il blocco CIDR completo della rete in locale (172.16.0.0/12) e della VCN spoke (192.168.0.0/16), ma potrebbero invece utilizzare una subnet di tali reti per limitare l'instradamento a subnet specifiche.
Dettagli sull'instradamento per percorsi di traffico diversi
Per illustrare ulteriormente come avviene l'instradamento nell'esempio precedente, esaminiamo più da vicino i diversi percorsi di traffico. Ecco di nuovo gli stessi diagrammi.
In primo luogo, se si sta eseguendo l'instradamento del transito direttamente tramite gateway nella VCN dell'hub:
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| 192.168.0.0/16 | LPG-H-1 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.0.0.0/16 | LPG-1 |
| 172.16.0.0/12 | LPG-1 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 192.168.0.0/16 | LPG-H-1 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
Nessuna tabella di instradamento speciale è associata a LPG-1.
In secondo luogo, se si sta eseguendo l'instradamento del transito tramite un IP privato nella VCN hub:
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| 192.168.0.0/16 | 10.0.4.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 192.168.0.0/16 | LPG-H-1 |
| 172.16.0.0/12 | 10.0.8.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.0.0.0/16 | LPG-1 |
| 172.16.0.0/12 | LPG-1 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 192.168.0.0/16 | 10.0.4.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | 10.0.8.3 |
Nessuna tabella di instradamento speciale è associata a LPG-1.
- Il traffico lascia la rete on-premise e raggiunge il DRG. La destinazione del traffico si trova nella subnet-1 (ad esempio, 192.168.0.5).
-
La tabella di instradamento associata del collegamento DRG dispone di una regola per 192.168.0.0/16. Corrisponde alla destinazione e invia il traffico alla destinazione di instradamento:
- Instradamento del transito direttamente tramite gateway: la destinazione della regola è LPG-H-1.
- Instradamento del transito tramite un IP privato: la destinazione della regola è l'IP privato 10.0.4.3. L'istanza riceve ed elabora il traffico e invia qualsiasi traffico risultante dalla VNIC della subnet backend. La tabella di instradamento della subnet backend invia tale traffico a LPG-H-1.
Ricorda che puoi utilizzare le regole nella tabella di instradamento del collegamento DRG per controllare quali subnet nella VCN spoke vengono pubblicate nella rete on premise. È invece possibile impostare la regola in modo da elencare solo una subnet della VCN spoke.
- LPG-H-1 riceve il traffico.
- Il traffico in uscita che lascia una VCN tramite un GPL viene instradato automaticamente al GPL sottoposto a peering, che in questa situazione è il GPL-1. Tale instradamento si verifica automaticamente a causa della connessione di peering tra i due GPL.
- Il GPL-1 riceve il traffico.
- Il traffico che arriva a una VCN tramite il GPL viene instradato automaticamente alla destinazione all'interno della VCN a causa dell'instradamento locale della VCN. Non sono necessarie regole di instradamento esplicite.
- Il traffico proviene da un'istanza della subnet-1 nella VCN spoke. La destinazione del traffico si trova nella rete in locale (ad esempio, 172.16.0.3).
- La tabella di instradamento associata della subnet-1 contiene una regola per 172.16.0.0/12. Corrisponde alla destinazione e invia il traffico al target di instradamento, LPG-1.
- Il GPL-1 riceve il traffico.
- Il traffico in uscita da una VCN tramite un GPL viene instradato automaticamente al GPL sottoposto a peering, che in questa situazione è il GPL-H-1. Tale instradamento si verifica automaticamente a causa della connessione di peering tra i due GPL.
- LPG-H-1 riceve il traffico.
-
La tabella di instradamento associata a LPG-H-1 contiene una regola per 172.16.0.0/12. Corrisponde alla destinazione e invia il traffico alla destinazione di instradamento:
- Instradamento del transito direttamente tramite i gateway: la destinazione della regola è il gateway DRG.
- Instradamento del transito tramite un IP privato: la destinazione della regola è l'IP privato 10.0.8.3. L'istanza riceve ed elabora il traffico e invia qualsiasi traffico risultante dalla VNIC della subnet frontend. La tabella di instradamento della subnet frontend la invia al DRG.
Tenere presente che è possibile utilizzare le regole nella tabella di instradamento del GPL per controllare quali subnet nella rete in locale vengono pubblicate nella VCN spoke. È invece possibile impostare la regola in modo da elencare solo una subnet della rete in locale.
- Il DRG riceve il traffico.
- Il traffico in uscita che esce dalla VCN tramite il DRG viene instradato in base alla configurazione VPN da sito a sito e FastConnect. Non sono necessarie regole esplicite nella tabella di instradamento del collegamento DRG.
Si noti che la subnet-1 nella VCN spoke e nell'LPG-H-1 dispongono entrambe di regole di instradamento con 172.16.0.0/12 come CIDR di destinazione. Queste regole non devono utilizzare lo stesso blocco CIDR. Tuttavia, assicurati che entrambe le regole coprano il traffico che desideri instradare da spoke alla rete on premise. La regola nella tabella di instradamento della subnet-1 controlla quale traffico viene instradato dalla subnet-1 al GPL-H-1. La regola nella tabella di instradamento di LPG-H-1 controlla quale traffico viene instradato dalla VCN spoke alla rete in locale. Se la regola di instradamento di LPG-H-1 è più restrittiva della regola di instradamento della subnet-1, è possibile che il traffico che esce dalla subnet venga eliminato e non raggiunga il DRG.
A seconda della situazione, potresti voler abilitare il traffico tra le istanze nella VCN hub e una VCN spoke e non solo il traffico tra la rete on premise e una VCN spoke. È possibile eseguire questa operazione se si esegue l'instradamento direttamente tra i gateway. Non è possibile instradare il traffico da una VCN spoke attraverso l'IP privato e su altre istanze nella VCN hub. La nota alla fine di questa sezione spiega perché.
Di seguito è riportata la modalità di flusso del traffico dalla VCN spoke a una destinazione con un indirizzo nella VCN hub:
- Il traffico proviene da un'istanza della subnet-1 nella VCN spoke. La destinazione del traffico si trova in una subnet nella VCN hub, ad esempio 10.0.0.3.
- La tabella di instradamento associata della subnet-1 contiene una regola per 10.0.0.0/16. Corrisponde alla destinazione e invia il traffico al target di instradamento, LPG-1.
- Il GPL-1 riceve il traffico.
- Il traffico in uscita da una VCN tramite un GPL viene instradato automaticamente al GPL sottoposto a peering, che in questa situazione è il GPL-H-1. Tale instradamento si verifica automaticamente a causa della connessione di peering tra i due GPL.
- LPG-H-1 riceve il traffico.
- Il traffico che arriva a una VCN tramite un GPL e destinato a un indirizzo nella VCN viene instradato automaticamente alla destinazione dall'instradamento locale della VCN. Non sono necessarie regole di instradamento esplicite.
Una serie simile di passaggi di routing si verifica per il traffico che va da Subnet-H a Subnet-1, ma nella direzione inversa. La tabella di instradamento di Subnet-H dispone di una regola che corrisponde al CIDR (192.168.0.0/16) della VCN spoke e invia il traffico a LPG-H-1, che lo inoltra a LPG-1.
Se si imposta l'instradamento del transito tramite un IP privato nella VCN hub, tenere presente che la tabella di instradamento LPG-H-1 controlla solo l'instradamento del traffico destinato agli indirizzi al di fuori della VCN hub. Il traffico destinato agli indirizzi all'interno della VCN viene gestito dall'instradamento locale della VCN hub, che ha la precedenza e instrada sempre il traffico direttamente all'indirizzo di destinazione del pacchetto. Ciò significa che non è possibile instradare il traffico destinato agli indirizzi all'interno della VCN hub attraverso l'IP privato utilizzato per il traffico di transito attraverso l'hub. Anche se la regola di instradamento LPG-H-1 utilizza una destinazione = 0.0.0.0/0 e una destinazione = 10.0.8.3, l'instradamento locale della VCN hub ha la precedenza e instrada il traffico direttamente alla destinazione nella VCN hub anziché nell'IP privato.
Criterio IAM necessario
Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere un membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.
Se si è membri del gruppo Administrators, si dispone già dell'accesso necessario per impostare l'instradamento del transito. In caso contrario, è necessario accedere al servizio di networking e avere la possibilità di creare istanze. Vedere Criteri IAM per il networking.
Impostazione dell'instradamento del transito VCN nella console
In questa sezione viene descritto come utilizzare la console per impostare l'instradamento del transito con una VCN per concedere alla rete in locale l'accesso a più VCN nella stessa area.
In questo scenario avanzato potrebbero essere già stati impostati molti dei componenti e delle connessioni di rete necessari. È quindi possibile saltare alcune delle attività seguenti. Se si dispone già di una topologia di rete con una VCN hub connessa alla rete in locale e delle VCN spoke in peering con la VCN hub, i task 5 e il task 6 sono i più importanti. Consentono l'instradamento del traffico tra la rete on premise e la VCN spoke.
In questo task è possibile impostare la VCN hub. Una subnet nella VCN hub è facoltativa. Tuttavia, questo esempio ne include uno. La subnet può contenere risorse cloud che la rete on premise o la VCN spoke devono utilizzare.
Per ulteriori informazioni e istruzioni:
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
In questo task, è possibile impostare la VCN spoke con almeno una subnet. Per ulteriori informazioni e istruzioni:
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| 192.168.0.0/16 | LPG-H-1 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.0.0.0/16 | LPG-1 |
Quando si imposta il peering locale tra due VCN, assicurarsi di stabilire la connessione tra i GPL. Può essere facile trascurare quella parte del processo.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| 192.168.0.0/16 | LPG-H-1 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.0.0.0/16 | LPG-1 |
| 172.16.0.0/12 | LPG-1 |
- Per la VCN spoke, visualizzare la lista delle subnet.
- Per la subnet di interesse, esaminarne i dettagli e fare clic sul collegamento per la tabella di instradamento associata.
-
Modificare la tabella di instradamento in modo che includa una regola che invia traffico alla rete in locale:
- Fare clic su Aggiungi regole di instradamento.
-
Immettere queste informazioni per la regola di instradamento:
- Tipo di destinazione: Local Peering Gateway.
- Blocco CIDR di destinazione: il CIDR della rete in locale (172.16.0.0/12 nell'esempio precedente).
- Compartimento: compartimento in cui si trova il GPL della VCN spoke.
- Gateway di peering locale di destinazione: il GPL della VCN spoke.
- Descrizione: una descrizione facoltativa della regola.
- Fare clic su Aggiungi regole di instradamento.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| 192.168.0.0/16 | LPG-H-1 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.0.0.0/16 | LPG-1 |
| 172.16.0.0/12 | LPG-1 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 192.168.0.0/16 | LPG-H-1 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
In questo task è possibile impostare le tabelle di instradamento per il collegamento DRG e il GPL della VCN hub per lo spoke di interesse (LPG-H-1).
Requisiti indispensabili:
- Hai già un DRG collegato alla VCN hub.
- Si dispone già di un GPL VCN hub per lo spoke di interesse.
-
Creare una tabella di instradamento per il collegamento DRG:
- Nella console, visualizzare i dettagli della VCN hub.
- In Risorse, fare clic su Tabelle di instradamento per visualizzare le tabelle di instradamento della VCN.
- Fare clic su Crea tabella di instradamento.
-
Immettere quanto riportato di seguito.
- Nome: un nome descrittivo per la tabella di instradamento. Esempio: Tabella di instradamento DRG. Evitare di inserire informazioni riservate.
- Crea nel compartimento: non modificare le impostazioni.
-
Fare clic su + Regola di instradamento aggiuntiva e immettere le informazioni riportate di seguito per la regola di instradamento.
- Tipo di destinazione: Local Peering Gateway.
- Blocco CIDR di destinazione: questo CIDR della VCN spoke (192.168.0.0/16 nell'esempio precedente). Tenere presente che è possibile utilizzare gli instradamenti in questa tabella per controllare quali subnet nella VCN spoke vengono pubblicate nella rete on premise. È invece possibile impostare la regola in modo da elencare solo una determinata subnet della VCN spoke dalla rete on premise.
- Compartimento: compartimento in cui si trova il GPL della VCN hub.
- Destinazione: il GPL della VCN hub.
- Descrizione: una descrizione facoltativa della regola.
-
Fare clic su Crea tabella di instradamento.
La tabella di instradamento viene creata e visualizzata nella lista.
-
Associare la tabella di instradamento (chiamata Tabella di instradamento del gateway DRG in questo esempio) al collegamento del gateway DRG della VCN hub:
- Durante la visualizzazione dei dettagli della VCN hub, fare clic su Gateway di instradamento dinamico per visualizzare il DRG collegato.
- Fare clic sul menu Azioni
, quindi su Associa tabella di instradamento. - Selezionare la tabella di instradamento.
-
Fare clic su Associa tabella di instradamento.
La tabella di instradamento è associata al collegamento DRG.
-
Creare una tabella di instradamento per il GPL della VCN hub per questo spoke:
- Durante la visualizzazione dei dettagli della VCN hub, fare clic su Tabelle di instradamento.
- Fare clic su Crea tabella di instradamento.
-
Immettere quanto riportato di seguito.
- Crea nel compartimento: non modificare le impostazioni.
- Nome: un nome descrittivo per la tabella di instradamento. Esempio: Tabella di instradamento LPG-# dell'hub (dove # indica quale spoke). Evitare di inserire informazioni riservate.
-
Fare clic su + Regola di instradamento aggiuntiva e immettere le informazioni riportate di seguito per la regola di instradamento.
- Tipo di destinazione: gateway di instradamento dinamico. Il gateway DRG collegato della VCN viene selezionato automaticamente come destinazione e non è necessario specificare manualmente la destinazione.
- Blocco CIDR di destinazione: il CIDR della rete in locale (172.16.0.0/12 nell'esempio precedente). Tenere presente che è possibile utilizzare gli instradamenti in questa tabella per controllare quali subnet della rete in locale vengono pubblicate in questa VCN spoke. È invece possibile impostare la regola in modo da elencare solo una subnet della rete in locale che deve comunicare con questo spoke.
- Descrizione: una descrizione facoltativa della regola.
-
Fare clic su Crea tabella di instradamento.
La tabella di instradamento viene creata e visualizzata nella lista.
-
Associare la tabella di instradamento (chiamata tabella di instradamento LPG-# hub in questo esempio) al GPL della VCN hub per lo spoke di interesse:
- Durante la visualizzazione dei dettagli della VCN hub, fare clic su Gateway di peering locale per visualizzare l'LPG della VCN hub per questo spoke.
- Per il GPL a cui si è interessati, fare clic sul menu Azioni , quindi su Associa a tabella di instradamento.
-
Immettere quanto riportato di seguito.
- Compartimento tabella di instradamento: selezionare il compartimento della tabella di instradamento per il GPL.
- Tabella di instradamento: selezionare la tabella di instradamento per il GPL.
-
Fare clic su Associazione.
La tabella di instradamento è associata a LPG.
- Ripetere i task da 3 a 5 per la nuova VCN spoke.
-
Ripetere il task 6 con le seguenti modifiche:
- Per il Passo 1: invece di creare una tabella di instradamento per il collegamento DRG, aggiornare la tabella di instradamento esistente in modo da includere una nuova regola per la nuova VCN spoke. Il CIDR di destinazione è il CIDR (o una subnet all'interno) della VCN spoke. La destinazione è il GPL della VCN hub per il nuovo spoke.
- Per il Passo 2: ignorare completamente questo passo perché il collegamento DRG è già associato alla relativa tabella di instradamento.
- Per il Passo 3: Ripeti così com'è. Assegnare un nome alla nuova tabella di instradamento in base alla quale si parla della tabella di instradamento (ad esempio, Tabella di instradamento LPG-2 dell'hub per il secondo spoke).
- Per il Passo 4: Ripeti così com'è. Associare la nuova tabella di instradamento creata nel Passo 3 al GPL della VCN hub per il nuovo spoke.
In questo scenario avanzato potrebbero essere già stati impostati molti dei componenti e delle connessioni di rete necessari. È quindi possibile saltare alcune delle attività seguenti. Se hai già una topologia di rete con una VCN hub connessa alla tua rete on premise e le VCN spoke in locale in peering con la VCN hub, i task da 5 a 7 sono i più importanti. Consentono l'instradamento del traffico tra la rete on premise e la VCN spoke.
In questo task è possibile impostare la VCN hub. La VCN hub deve avere due subnet: una per la VNIC frontend nell'istanza e una per la VNIC backend nell'istanza. Oracle consiglia di utilizzare subnet private regionali, a meno che non siano presenti risorse nella subnet frontend che richiedono l'accesso a Internet.
Per ulteriori informazioni e istruzioni:
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| 192.168.0.0/16 | 10.0.4.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| 192.168.0.0/16 | 10.0.4.3 |
In questo task, è possibile impostare la VCN spoke con almeno una subnet. Per ulteriori informazioni e istruzioni:
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| 192.168.0.0/16 | 10.0.4.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 192.168.0.0/16 | LPG-H-1 |
| 172.16.0.0/12 | 10.0.8.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.0.0.0/16 | LPG-1 |
| 172.16.0.0/12 | LPG-1 |
Quando si imposta il peering locale tra due VCN, assicurarsi di stabilire la connessione tra i GPL. Può essere facile trascurare quella parte del processo.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| 192.168.0.0/16 | 10.0.4.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 192.168.0.0/16 | LPG-H-1 |
| 172.16.0.0/12 | 10.0.8.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.0.0.0/16 | LPG-1 |
| 172.16.0.0/12 | LPG-1 |
- Per la VCN spoke, visualizzare la lista delle subnet.
- Per la subnet di interesse, esaminarne i dettagli e fare clic sul collegamento per la tabella di instradamento associata.
-
Modificare la tabella di instradamento in modo che includa una regola che invia traffico alla rete in locale:
- Fare clic su Aggiungi regole di instradamento.
-
Immettere queste informazioni per la regola di instradamento:
- Tipo di destinazione: Local Peering Gateway.
- Blocco CIDR di destinazione: il CIDR della rete in locale (172.16.0.0/12 nell'esempio precedente).
- Compartimento: compartimento in cui si trova il GPL della VCN spoke.
- Gateway di peering locale di destinazione: il GPL della VCN spoke.
- Descrizione: una descrizione facoltativa della regola.
- Fare clic su Aggiungi regole di instradamento.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| 192.168.0.0/16 | 10.0.4.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 192.168.0.0/16 | LPG-H-1 |
| 172.16.0.0/12 | 10.0.8.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.0.0.0/16 | LPG-1 |
| 172.16.0.0/12 | LPG-1 |
In questo task, è possibile impostare l'istanza in modo che disponga di due IP privati.
Requisiti indispensabili:
- Si dispone già di una VCN hub con una subnet.
- Consultare queste informazioni: Using a Private IP as a Route Target.
- Se non lo hai già fatto, crea l'istanza nella VCN hub. Vedere Creazione di un'istanza. La VNIC primaria viene creata nella subnet specificata.
- Creare una VNIC secondaria per l'altra subnet e configurare il sistema operativo in modo che la utilizzi. Vedere Gestione delle VNIC.
- Disabilitare il controllo di origine/destinazione su ciascuna VNIC. Vedere Panoramica delle VNIC e delle NIC fisiche.
- Per ogni VNIC, determinare l'IP privato che si desidera utilizzare come destinazione di instradamento. Se si desidera utilizzare un IP privato secondario anziché l'IP privato primario della VNIC, assegnare tale IP privato secondario e configurare il sistema operativo in modo che lo utilizzi. Vedere Assegnazione di un nuovo IP privato secondario a una VNIC.
- Per ciascuno degli IP privati creati, registrare l'indirizzo IP privato (ad esempio: 10.0.4.3).
- Configurare l'istanza in base alle esigenze per il job eseguito, ad esempio configurare il firewall o il sistema di rilevamento delle intrusioni nell'istanza.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| 192.168.0.0/16 | 10.0.4.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 192.168.0.0/16 | LPG-H-1 |
| 172.16.0.0/12 | 10.0.8.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.0.0.0/16 | LPG-1 |
| 172.16.0.0/12 | LPG-1 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 192.168.0.0/16 | 10.0.4.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | 10.0.8.3 |
Nessuna tabella di instradamento speciale è associata a LPG-1.
In questo task è possibile impostare le tabelle di instradamento per il collegamento DRG e il GPL della VCN hub per lo spoke di interesse (LPG-H-1).
Requisiti indispensabili:
- Hai già un DRG collegato alla VCN hub.
- Si dispone già di un GPL VCN hub per lo spoke di interesse.
- Si dispone già dei due IP privati da utilizzare come destinazioni di instradamento (vedere il task precedente).
-
Creare una tabella di instradamento per il collegamento DRG:
- Nella console, visualizzare i dettagli della VCN hub.
- In Risorse, fare clic su Tabelle di instradamento per visualizzare le tabelle di instradamento della VCN.
- Fare clic su Crea tabella di instradamento.
-
Immettere quanto riportato di seguito.
- Nome: un nome descrittivo per la tabella di instradamento. Esempio: Tabella di instradamento DRG. Evitare di inserire informazioni riservate.
- Crea nel compartimento: non modificare le impostazioni.
-
Fare clic su + Regola di instradamento aggiuntiva e immettere le informazioni riportate di seguito per la regola di instradamento.
- Tipo di destinazione: IP privato.
- Blocco CIDR di destinazione: questo CIDR della VCN spoke (192.168.0.0/16 nell'esempio precedente). Tenere presente che è possibile utilizzare gli instradamenti in questa tabella per controllare quali subnet nella VCN spoke vengono pubblicate nella rete on premise. È invece possibile impostare la regola in modo da elencare solo una determinata subnet della VCN spoke dalla rete on premise.
- Compartimento: compartimento in cui si trova l'IP privato della subnet frontend.
- Destinazione: l'IP privato della subnet frontend, registrato nell'attività precedente (10.0.4.3 nell'esempio).
- Descrizione: una descrizione facoltativa della regola.
-
Fare clic su Crea tabella di instradamento.
La tabella di instradamento viene creata e visualizzata nella lista.
-
Associare la tabella di instradamento (chiamata Tabella di instradamento del gateway DRG in questo esempio) al collegamento del gateway DRG della VCN hub:
- Durante la visualizzazione dei dettagli della VCN hub, fare clic su Gateway di instradamento dinamico per visualizzare il DRG collegato.
- Fare clic sul menu Azioni , quindi su Associa a tabella di instradamento.
-
Immettere quanto riportato di seguito.
- Compartimento tabella di instradamento: selezionare il compartimento della tabella di instradamento per il collegamento DRG.
- Tabella di instradamento: selezionare la tabella di instradamento per il collegamento DRG.
-
Fare clic su Associazione.
La tabella di instradamento è associata al collegamento DRG.
-
Creare una tabella di instradamento per il GPL della VCN hub per questo spoke:
- Durante la visualizzazione dei dettagli della VCN hub, fare clic su Tabelle di instradamento.
- Fare clic su Crea tabella di instradamento.
-
Immettere quanto riportato di seguito.
- Crea nel compartimento: non modificare le impostazioni.
- Nome: un nome descrittivo per la tabella di instradamento. Esempio: Tabella di instradamento LPG-# dell'hub (dove # indica quale spoke). Evitare di inserire informazioni riservate.
-
Fare clic su + Regola di instradamento aggiuntiva e immettere le informazioni riportate di seguito per la regola di instradamento.
- Tipo di destinazione: IP privato.
- Blocco CIDR di destinazione: il CIDR della rete in locale (172.16.0.0/12 nell'esempio precedente). Tenere presente che è possibile utilizzare gli instradamenti in questa tabella per controllare quali subnet della rete in locale vengono pubblicate in questa VCN spoke. È invece possibile impostare la regola in modo da elencare solo una subnet della rete in locale che deve comunicare con questo spoke.
- Compartimento: compartimento in cui si trova l'IP privato.
- Destinazione: l'IP privato della subnet backend, registrato nel task precedente (10.0.8.3 nell'esempio).
- Descrizione: una descrizione facoltativa della regola.
-
Fare clic su Crea tabella di instradamento.
La tabella di instradamento viene creata e visualizzata nella lista.
-
Associare la tabella di instradamento (chiamata tabella di instradamento LPG-# hub in questo esempio) al GPL della VCN hub per lo spoke di interesse:
- Durante la visualizzazione dei dettagli della VCN hub, fare clic su Gateway di peering locale per visualizzare l'LPG della VCN hub per questo spoke.
- Per il GPL a cui si è interessati, fare clic sul menu Azioni , quindi su Associa a tabella di instradamento.
-
Immettere quanto riportato di seguito.
- Compartimento tabella di instradamento: selezionare il compartimento della tabella di instradamento per il GPL.
- Route Table: selezionare la tabella di instradamento per il GPL.
-
Fare clic su Associazione.
La tabella di instradamento è associata a LPG.
Sebbene Oracle non consigli di inserire i carichi di lavoro nelle subnet della VCN hub, per ottenere un quadro migliore dell'instradamento nell'esempio, il diagramma mostra altre due regole di instradamento nelle tabelle di instradamento della subnet della VCN hub. Per la subnet frontend, esiste una regola di instradamento per instradare il traffico destinato alla VCN spoke verso l'IP privato nella subnet frontend (10.0.4.3) per l'applicazione di filtri in base all'istanza. Per la subnet backend, esiste una regola di instradamento per instradare il traffico destinato alla rete in locale all'IP privato nella subnet backend (10.0.8.3) per l'applicazione del filtro in base all'istanza. La procedura seguente aggiunge queste due regole di instradamento.
- Per la VCN spoke, visualizzare la lista delle subnet.
- Per la subnet frontend, esaminare i relativi dettagli e fare clic sul collegamento per la tabella di instradamento associata.
-
Modificare la tabella di instradamento della subnet frontend in modo da includere una regola che invia il traffico destinato alla VCN spoke all'IP privato nella subnet frontend:
- Fare clic su Aggiungi regole di instradamento.
-
Immettere queste informazioni per la regola di instradamento:
- Tipo di destinazione: IP privato.
- Blocco CIDR di destinazione: questo CIDR della VCN spoke (192.168.0.0/16 nell'esempio precedente).
- Compartimento: compartimento in cui si trova l'IP privato della subnet frontend.
- Destinazione: l'IP privato della subnet frontend, registrato nell'attività precedente (10.0.4.3 nell'esempio).
- Descrizione: una descrizione facoltativa della regola.
- Fare clic su Aggiungi regole di instradamento.
- Per la subnet backend, esaminare i relativi dettagli e fare clic sul collegamento per la tabella di instradamento associata.
-
Modificare la tabella di instradamento della subnet backend in modo da includere una regola che invia il traffico destinato alla rete in locale all'IP privato nella subnet backend:
- Fare clic su Aggiungi regole di instradamento.
-
Immettere queste informazioni per la regola di instradamento:
- Tipo di destinazione: IP privato.
- Blocco CIDR di destinazione: il CIDR della rete in locale (172.16.0.0/12 nell'esempio precedente).
- Compartimento: compartimento in cui si trova l'IP privato della subnet backend.
- Destinazione: l'IP privato della subnet backend, registrato nel task precedente (10.0.8.3 nell'esempio).
- Descrizione: una descrizione facoltativa della regola.
- Fare clic su Aggiungi regole di instradamento.
- Ripetere i task da 3 a 5 per la nuova VCN spoke.
-
Ripetere il task 7 con le seguenti modifiche:
- Per il Passo 1: invece di creare una tabella di instradamento per il collegamento DRG, aggiornare la tabella di instradamento esistente in modo da includere una nuova regola per la nuova VCN spoke. Il CIDR di destinazione è il CIDR (o una subnet all'interno) della VCN spoke. La destinazione è l'IP privato della subnet frontend 10.0.4.3.
- Per il Passo 2: ignorare completamente questo passo perché il collegamento DRG è già associato alla relativa tabella di instradamento.
- Per il Passo 3: Ripeti così com'è. Assegnare un nome alla nuova tabella di instradamento in base alla quale si parla della tabella di instradamento (ad esempio, Tabella di instradamento LPG-2 dell'hub per il secondo spoke).
- Per il Passo 4: Ripeti così com'è. Associare la nuova tabella di instradamento creata nel Passo 3 al GPL della VCN hub per il nuovo spoke.
Disattivazione instradamento transito
Per disattivare l'instradamento del transito, rimuovere le regole da:
- Tabella di instradamento associata al collegamento DRG.
- Tabella di instradamento associata a ogni LPG nella VCN hub.
Una tabella di instradamento può essere associata a una risorsa ma non dispone di regole. Senza almeno una regola, una tabella di instradamento non fa nulla.
Un collegamento DRG o un GPL può esistere senza una tabella di instradamento associata. Dopo aver associato una tabella di instradamento a un collegamento DRG o a un LPG, tuttavia, deve essere sempre associata a una tabella di instradamento. È tuttavia possibile associare una tabella di instradamento diversa. È inoltre possibile modificare le regole della tabella oppure eliminare alcune o tutte le regole.
Modifiche all'API
Per informazioni sulle modifiche apportate all'API del servizio di networking per supportare l'instradamento del transito, vedere le note di rilascio dell'instradamento del transito.