Acesso a Outras VCNs: Pareamento
Pareamento de VCN é o processo de conexão de muitas VCNs (redes virtuais na nuvem). Quatro tipos de pareamento de VCN estão disponíveis:
- Pareamento local de VCN (dentro da região) usando LPGs
- Pareamento remoto de VCN (entre regiões) usando RPCs
- Pareamento Local de VCN por Meio de um DRG Atualizado
- Pareamento Remoto de VCN por meio de um DRG Atualizado
Você pode usar o pareamento de VCN para dividir uma rede grande em várias VCNs (por exemplo, com base em departamentos ou linhas de negócios), com cada VCN tendo acesso direto e privado às outras. O tráfego não precisa fluir pela internet ou por meio de uma rede local por meio da VPN Site a Site ou FastConnect. Você também pode colocar recursos compartilhados em uma única VCN que todas as outras VCNs podem acessar de forma privada.
Cada VCN pode ter até 10 gateways de pareamento local e pode se conectar a apenas um DRG. Um único DRG suporta até 300 anexos de VCN, permitindo que o tráfego entre eles flua conforme direcionado pelas tabelas de roteamento do DRG. Recomendamos usar o DRG se precisar parear com muitas VCNs. Se você quiser a maior largura de banda possível e tráfego de latência super baixa entre duas VCNs na mesma região, use o cenário descrito em Pareamento Local da VCN usando LPGs (Local Peering Gateways). O Pareamento Local de VCN por meio de um DRG Atualizado oferece mais flexibilidade no roteamento por causa do maior número de anexos.
Como o pareamento remoto de VCN cruza regiões, você pode usá-lo (por exemplo) para espelhar ou fazer backup de bancos de dados em uma região para outra.
Visão Geral do Pareamento Local de VCNs
Pareamento local de VCN é o processo de conexão de duas VCNs na mesma região para que seus recursos possam se comunicar usando endereços IP privados sem rotear o tráfego pela internet ou por meio de uma rede on-premises. As VCNs podem estar na mesma tenancy do Oracle Cloud Infrastructure ou em outras. Sem pareamento, uma VCN específica precisaria de um gateway de Internet e de endereços IP públicos para as instâncias que precisam se comunicar com outra VCN.
O Pareamento Local de VCN por Meio de um DRG Atualizado oferece mais flexibilidade no roteamento e no gerenciamento simplificado, mas tem o custo de um aumento da latência (por microssegundos) do tráfego do roteamento por meio do roteador virtual, o DRG.
Implicações Importantes do Pareamento
Essa seção resume algumas implicações de controles de acesso, segurança e desempenho de VCNs pareadas. Em geral, você pode controlar o acesso e o tráfego entre duas VCNs pareadas usando políticas do IAM, tabelas de roteamento em cada VCN e listas de segurança em cada VCN.
Controlando o Estabelecimento de Pareamentos
Com políticas do IAM, você pode controlar:
- Quem pode inscrever a sua tenancy em outra região (necessária para pareamento remoto de VCNs)
- Quem em uma organização tem autoridade para estabelecer pareamentos de VCN (por exemplo, consulte as políticas do serviço IAM em Configurando um Pareamento Local e Configurando um Pareamento Remoto). A exclusão dessas políticas do IAM não afeta nenhum par existente, apenas a capacidade de futuros paringes a serem criados.
- Quem pode gerenciar tabelas de roteamento e listas de segurança
Controlando o Fluxo de Tráfego na Conexão
Mesmo que uma conexão de pareamento tenha sido estabelecida entre uma VCN e outra, você poderá controlar o fluxo de pacotes pela conexão com tabelas de roteamento na VCN. Por exemplo, você pode restringir o tráfego a apenas sub-redes específicas na VCN.
Sem finalizar o pareamento, você pode parar o fluxo de tráfego para a outra VCN removendo regras da rota que direcionam tráfego de uma VCN para a outra VCN. Você também pode interromper efetivamente o tráfego removendo regras de segurança que permitam o tráfego de entrada ou de saída com a outra VCN. Isso não interrompe o tráfego que flui pela conexão de pareamento, mas o interrompe no nível da VNIC.
Para obter mais informações sobre o roteamento e as listas de segurança, consulte as discussões nestas seções:
Pareamento local de VCN usando grupos de pareamento local:
- Conceitos Importantes sobre Pareamento Local
- Tarefa E: Configurar as tabelas de roteamento
- Tarefa F: Configurar as regras de segurança
Pareamento remoto de VCN usando uma conexão de pareamento remoto:
- Conceitos Importantes sobre Pareamento Remoto
- Tarefa E: Configurar as tabelas de roteamento
- Tarefa F: Configurar as regras de segurança
Pareamento local de VCN usando um Gateway de Roteamento Dinâmico (DRG):
- Conceitos Importantes sobre Pareamento Local
- Tarefa D: Configurar tabelas de roteamento na VCN-A para enviar o tráfego destinado ao CIDR da VCN-B para o anexo do DRG
- Tarefa E: Configurar tabelas de roteamento na VCN-B para enviar tráfego destinado ao CIDR da VCN-A para o anexo do DRG
- Tarefa F: Atualizar regras de segurança.
Pareamento remoto de VCN usando um gateway de roteamento dinâmico (DRG):
Controlando os Tipos Específicos de Tráfego Permitidos
Cada administrador da VCN garante que todo o tráfego de saída e entrada com a outra VCN seja planejado, esperado e definido. Na prática, isso significa implementar regras da lista da segurança que estabeleçam explicitamente quais tipos de tráfego uma VCN pode enviar para a outra e aceitar da outra.
As instâncias de computação que executam imagens da plataforma também têm regras que controlam o acesso à instância. Ao diagnosticar e solucionar problemas do acesso a uma instância, verifique se todos os itens a seguir estão definidos corretamente:
- As regras nos grupos de segurança de rede nos quais a instância está
- As regras nas listas de segurança associadas à sub-rede da instância
- As regras de firewall do sistema operacional da instância
Se uma instância estiver executando o Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 ou Oracle Linux Cloud Developer 8, use o firewalld para interagir com as regras do iptables. Para referência, aqui estão comandos para abrir uma porta (1521, neste exemplo):
sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
sudo firewall-cmd --reload
Para instâncias com um volume de inicialização iSCSI, o comando --reload
anterior pode causar problemas. Para obter detalhes e uma solução alternativa, consulte O sistema das instâncias congela após a execução de -cmd --reload.
Além de listas de segurança e firewalls, avalie outras configurações baseadas no sistema operacional nas instâncias na VCN local. Pode haver configurações padrão que não se aplicam ao CIDR da VCN local, mas se aplicam inadvertidamente ao CIDR da outra VCN.
Usando Regras de Lista de Segurança Padrão
Se a sub-rede da VCN local usar a Lista de segurança default com as regras padrão com as quais ela vem, esteja ciente de duas regras que permitem o tráfego de entrada de qualquer lugar (0.0.0.0/0 e, portanto, da outra VCN):
- Uma regra de entrada com monitoramento de estado que permite tráfego TCP na porta 22 (SSH) proveniente de 0.0.0.0/0 e de qualquer porta de origem
- Uma regra de entrada com monitoramento de estado que permite tráfego ICMP do tipo 3 código 4 proveniente de 0.0.0.0/0 e de qualquer porta de origem
Avalie essas regras e se deseja mantê-las ou atualizá-las. Conforme mencionado anteriormente, verifique se todo o tráfego de entrada ou saída que você permitir foi planejado ou esperado e definido.
Preparação para Riscos de Segurança e de Impacto no Desempenho
Em geral, prepare a VCN local para as formas como ela poderá ser afetada pela outra VCN. Por exemplo, a carga na VCN local ou em suas instâncias pode aumentar. Ou a VCN local pode sofrer um ataque mal-intencionado diretamente da outra VCN ou por meio dessa.
Em relação ao desempenho: Se a VCN local estiver fornecendo um serviço a outro, prepare-se para ampliar o serviço para acomodar as demandas da outra VCN. Isso pode significar estar preparado para criar mais instâncias do serviço Compute conforme necessário. Ou, se você estiver preocupado com altos níveis de tráfego de rede provenientes da VCN local, considere o uso de regras de lista de segurança sem monitoramento de estados para limitar o nível de rastreamento de conexão que a VCN local deve executar. As regras de lista de segurança sem monitoramento de estado também podem ajudar a amenizar o impacto de um ataque de negação de serviço (DoS).
Em relação aos riscos de segurança: Você não pode necessariamente controlar se a outra VCN está conectada à internet, o que pode expor a VCN local a ataques de bounce em que um host mal-intencionado na internet envia tráfego para a VCN local que parece ter vindo da VCN com a qual você é pareado. Para protegê-lo contra isso, conforme mencionado anteriormente, use listas da segurança para limitar com cuidado o tráfego de entrada da outra VCN com o tráfego esperado e definido.