Documentazione di Oracle Cloud Infrastructure

Connessione delle reti VCN tramite Local Peering Gateway (LPG)

In Compute Cloud@Customer, è possibile configurare i gateway di peering locali. Il peering VCN è il processo di connessione di più reti cloud virtuali (VCN, Virtual Cloud Network) in modo che le risorse possano comunicare utilizzando indirizzi IP privati.

Puoi utilizzare il peering VCN per dividere la tua rete in più VCN, ad esempio in base ai reparti o alle linee di business, con ogni VCN che ha accesso privato diretto alle altre. Puoi anche inserire risorse condivise in una singola VCN a cui tutte le altre VCN possono accedere in privato. Due VCN peer possono trovarsi nella stessa tenancy o in tenancy diverse.

Criteri

Il peering tra due VCN richiede l'accordo esplicito di entrambe le parti sotto forma di criteri IAM implementati da ciascuna parte per il proprio compartimento o tenancy VCN. Se le VCN si trovano in tenancy diverse, ogni amministratore deve fornire l'OCID della tenancy e mettere in atto istruzioni criteri coordinate speciali per abilitare il peering.

Per implementare i criteri IAM necessari per il peering, i due amministratori della VCN devono designare un amministratore come richiedente e l'altro come accettante. Il richiedente deve essere quello per avviare la richiesta di connessione dei due GPL. A sua volta, l'accettante deve creare un determinato criterio IAM che conceda al richiedente l'autorizzazione a connettersi ai GPL nel compartimento dell'accettante. Senza tale criterio, la richiesta di connessione del richiedente non riesce. L'amministratore della VCN può eliminare una connessione di peering eliminando il proprio GPL.

Instradamento e controllo del traffico

Nell'ambito della configurazione delle VCN, ogni amministratore deve aggiornare l'instradamento della VCN per consentire il flusso del traffico tra le VCN. In pratica, questo sembra proprio l'instradamento impostato per qualsiasi gateway, come un gateway Internet o un gateway di instradamento dinamico. Per ogni subnet che deve comunicare con l'altra VCN, aggiorni la tabella di instradamento della subnet. La regola di instradamento specifica il CIDR e il GPL del traffico di destinazione come destinazione. Il tuo GPL instrada il traffico che corrisponde a quella regola per l'altro GPL, che a sua volta instrada il traffico all'hop successivo nell'altra VCN.

Puoi controllare il flusso di pacchetti sulla connessione di peering con le tabelle di instradamento nella tua VCN. Ad esempio, puoi limitare il traffico solo a subnet specifiche nell'altra VCN. Senza eliminare il peering, puoi arrestare il flusso di traffico verso l'altra VCN rimuovendo le regole di instradamento che indirizzano il traffico dalla tua VCN verso l'altra VCN. Puoi anche interrompere il traffico in modo efficace rimuovendo qualsiasi regola della lista di sicurezza che abilita il traffico in entrata o in uscita con l'altra VCN. In questo modo il traffico non viene interrotto tramite la connessione di peering, ma viene arrestato a livello di VNIC.

Regole di sicurezza

Ogni amministratore della VCN deve assicurarsi che tutto il traffico in uscita e in entrata con l'altra VCN sia previsto, previsto e ben definito. In pratica, ciò significa implementare regole della lista di sicurezza che specificano in modo esplicito i tipi di traffico che la VCN può inviare all'altra e accettare dall'altra. Se le subnet utilizzano la lista di sicurezza predefinita, esistono due regole che consentono il traffico in entrata SSH e ICMP da qualsiasi luogo, quindi anche l'altra VCN. Valutare queste regole e se si desidera mantenerle o aggiornarle.

Oltre agli elenchi di sicurezza e ai firewall, valuta altre configurazioni basate sul sistema operativo nelle istanze nella tua VCN. Potrebbero essere disponibili configurazioni predefinite che non si applicano al CIDR della tua VCN, ma che si applicano inavvertitamente ad altri CIDR della VCN.

Connessione di VCN tramite un Local Peering Gateway

In Compute Cloud@Customer, un Local Peering Gateway (LPG) è un modo per connettere le VCN in modo che gli elementi di ogni VCN possano comunicare, anche utilizzando un indirizzo IP privato.

Per impostare una connessione peering sono necessari i componenti riportati di seguito.

  • Due VCN con CIDR non sovrapposti

  • Un Local Peering Gateway (LPG) su ogni VCN nella relazione di peering

  • Una connessione tra i due GPL

  • Regole di instradamento per abilitare il traffico tramite la connessione di peering verso e dalle subnet desiderate nelle rispettive VCN

  • Regole di sicurezza per controllare i tipi di traffico consentiti verso e dalle istanze nelle subnet in questione

    1. Nel menu di navigazione della Console di Compute Cloud@Customer, in Networking, selezionare Reti cloud virtuali.

      Viene visualizzata una lista di VCN configurati in precedenza nei compartimenti. Se il compartimento in cui si sta creando il gateway di peering locale non è visualizzato, utilizzare il menu a discesa per selezionare il compartimento corretto.

    2. Selezionare il nome della VCN.

    3. Nel menu Risorse, selezionare Gateway peering locale.

    4. Selezionare Crea Local Peering Gateway.

    5. Immettere le informazioni necessarie:

      • Nome: immettere un nome. Evitare di fornire informazioni riservate.

      • Crea nel compartimento: selezionare il compartimento in cui creare il gateway di peering locale.

      • Applicazione di tag: (facoltativo) aggiungere una o più tag a questa risorsa. Le tag possono essere applicate anche in seguito. Per ulteriori informazioni sull'applicazione di tag alle risorse, vedere Tag delle risorse.

    6. Selezionare Crea Local Peering Gateway.

      Local Peering Gateway è ora pronto per la connessione di VCN con Stabilisci connessione peering e per l'aggiunta di regole di instradamento o impostazioni di sicurezza.

  • Utilizzare il comando oci network local-peering-gateway create e i parametri richiesti per creare un nuovo Local Peering Gateway (LPG) per la VCN specificata.

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    Per un elenco completo dei comandi, dei flag e delle opzioni dell'interfaccia CLI, vedere Command Line Reference.

  • Utilizzare l'operazione CreateLocalPeeringGateway per creare un nuovo Local Peering Gateway (LPG) per la VCN specificata.

    Per informazioni sull'uso dell'API e delle richieste di firma, vedere API REST e Credenziali di sicurezza. Per informazioni sugli SDK, vedere Software Development Kits and Command Line Interface.