Documentazione dell'infrastruttura Oracle Cloud

Connessione delle reti VCN tramite Local Peering Gateway (LPG)

In Compute Cloud@Customer, puoi configurare i gateway di peering locali. Il peering VCN è il processo di connessione di più reti cloud virtuali (VCN) in modo che le risorse possano comunicare utilizzando indirizzi IP privati.

Puoi utilizzare il peering VCN per dividere la tua rete in più VCN, ad esempio in base ai dipartimenti o alle linee di business, con ogni VCN che dispone di accesso privato diretto alle altre. Puoi anche collocare le risorse condivise in un'unica VCN a cui tutte le altre VCN possono accedere privatamente. Due VCN peer possono trovarsi nella stessa tenancy o in una diversa.

Criteri

Il peering tra due reti VCN richiede l'accordo esplicito di entrambe le parti sotto forma di criteri IAM implementati da ciascuna parte per il proprio compartimento o tenancy VCN. Se le VCN si trovano in tenancy diverse, ogni amministratore deve fornire l'OCID della tenancy e creare istruzioni dei criteri coordinate speciali per abilitare il peering.

Per implementare i criteri IAM necessari per il peering, i due amministratori della VCN devono designare un amministratore come richiedente e l'altro come accettante. Il richiedente deve essere quello per avviare la richiesta di collegare i due GPL. A sua volta, il responsabile accettazione deve creare un determinato criterio IAM che conceda al richiedente l'autorizzazione a connettersi ai GPL nel compartimento del responsabile accettazione. In assenza di tale criterio, la richiesta di connessione del richiedente non riesce. L'amministratore della rete VCN può eliminare una connessione peering eliminando il GPL.

Instradamento e controllo del traffico

Nell'ambito della configurazione delle reti VCN, ogni amministratore deve aggiornare l'instradamento VCN per consentire il flusso di traffico tra le reti VCN. In pratica, questo assomiglia all'instradamento impostato per qualsiasi gateway, ad esempio un gateway Internet o un gateway di instradamento dinamico. Per ogni subnet che deve comunicare con l'altra VCN, aggiorna la tabella di instradamento della subnet. La regola di instradamento specifica il CIDR del traffico di destinazione e il GPL come destinazione. Il GPL instrada il traffico che corrisponde a tale regola all'altro GPL, che a sua volta instrada il traffico all'hop successivo nell'altra VCN.

Puoi controllare il flusso di pacchetti sulla connessione peering con le tabelle di instradamento nella tua VCN. Ad esempio, puoi limitare il traffico solo a subnet specifiche nell'altra VCN. Senza eliminare il peering, puoi interrompere il flusso di traffico verso l'altra VCN rimuovendo le regole di instradamento che indirizzano il traffico dalla tua VCN verso l'altra VCN. Puoi anche arrestare il traffico in modo efficace rimuovendo qualsiasi regola della lista di sicurezza che abiliti il traffico in entrata o in uscita con l'altra VCN. Ciò non arresta il flusso di traffico sulla connessione di peering, ma lo arresta a livello di VNIC.

Regole di sicurezza

Ogni amministratore della VCN deve assicurarsi che tutto il traffico in uscita e in entrata con l'altra VCN sia previsto e ben definito. In pratica, ciò significa implementare regole della lista di sicurezza che dichiarano in modo esplicito i tipi di traffico che la VCN può inviare all'altro e accettare dall'altro. Se le subnet utilizzano la lista di sicurezza predefinita, esistono due regole che consentono il traffico in entrata SSH e ICMP da qualsiasi posizione, quindi anche le altre VCN. Valutare queste regole e se si desidera conservarle o aggiornarle.

Oltre agli elenchi di sicurezza e ai firewall, valuta altre configurazioni basate sul sistema operativo nelle istanze nella tua VCN. Potrebbero essere presenti configurazioni predefinite che non si applicano al proprio CIDR VCN, ma si applicano inavvertitamente all'altro CIDR VCN.

Connessione di VCN tramite Local Peering Gateway

In Compute Cloud@Customer, un Local Peering Gateway (LPG) consente di connettere le reti VCN in modo che gli elementi di ogni VCN possano comunicare, anche utilizzando un indirizzo IP privato.

Per impostare una connessione peering sono necessari i componenti riportati di seguito.

  • Due VCN con CIDR non sovrapposti

  • Un gateway di peering locale (LPG) su ogni VCN nella relazione di peering

  • Una connessione tra i due GPL

  • Regole di instradamento per abilitare il traffico sulla connessione peering da e verso le subnet desiderate nelle rispettive reti VCN

  • Regole di sicurezza per controllare i tipi di traffico consentiti verso e dalle istanze nelle subnet in questione

    1. Nel menu di navigazione della Console di Compute Cloud@Customer, in Networking, selezionare Reti cloud virtuali.

      Viene visualizzata una lista di VCN configurate in precedenza nei compartimenti. Se il compartimento in cui si sta creando il gateway di peering locale non viene visualizzato, utilizzare il menu a discesa per selezionare il compartimento corretto.

    2. Selezionare il nome della VCN.

    3. Nel menu Risorse, selezionare Gateway peering locale.

    4. Selezionare Crea Local Peering Gateway.

    5. Immettere le informazioni necessarie:

      • Nome: immettere un nome. Evitare di fornire informazioni riservate.

      • Crea nel compartimento: selezionare il compartimento in cui creare il gateway peering locale.

      • Associazione tabella di instradamento (facoltativo) Facoltativamente, è possibile associare una tabella di instradamento al gateway peering locale. Un elenco di tabelle di instradamento configurate per il compartimento selezionato si trova in un menu a discesa. È possibile modificare il compartimento selezionando (change) accanto al nome del compartimento.

      • Applicazione di tag: (facoltativo) aggiungere una o più tag a questa risorsa. I tag possono essere applicati anche in seguito. Per ulteriori informazioni sull'applicazione di tag alle risorse, vedere Aggiunta di tag alla creazione di risorse (IAM in OCI).

    6. Selezionare Crea Local Peering Gateway.

      Il Local Peering Gateway è ora pronto per la connessione delle reti VCN con Establish Peering Connection e per l'aggiunta di regole di instradamento o impostazioni di sicurezza.

  • Utilizzare il comando oci network local-peering-gateway create e i parametri necessari per creare un nuovo gateway di peering locale (LPG) per la VCN specificata.

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    Per un elenco completo di comandi, flag e opzioni dell'interfaccia CLI, vedere Riferimento per la riga di comando.

  • Utilizzare l'operazione CreateLocalPeeringGateway per creare un nuovo gateway di peering locale (LPG) per la VCN specificata.

    Per informazioni sull'uso dell'API e sulle richieste di firma, vedere API REST e Credenziali di sicurezza. Per informazioni sugli SDK, vedere Software Development Kit and Command Line Interface (interfaccia a riga di comando e kit di sviluppo software).