Pareamento Local de VCNs usando Gateways de Pareamento Local

Pareamento local de VCN é o processo de conexão de duas VCNs na mesma região para que seus recursos possam se comunicar usando endereços IP privados sem rotear o tráfego pela internet ou por meio de uma rede on-premises. As VCNs podem estar na mesma tenancy do Oracle Cloud Infrastructure ou em outras. Sem pareamento, uma VCN precisaria de um gateway de Internet e de endereços IP públicos para as instâncias que precisam se comunicar com outra VCN.

Consulte Limites de Gateway e Solicitando um Aumento do Limite do Serviço para obter informações relacionadas a limites.

Para obter mais informações, consulte Acesso a Outras VCNs: Pareamento.

Resumo dos Componentes do Serviço Networking para Pareamento usando um LPG

De alto nível, os componentes do serviço Networking necessários para um pareamento local incluem:

• Duas VCNs na mesma região cujos CIDRs não se sobrepõem
• Um gateway de pareamento local (LPG) em cada VCN no relacionamento de pareamento
• Uma conexão entre esses dois LPGs
• Regras de roteamento que permitem que o tráfego flua pela conexão e apenas para e de sub-redes específicas nas respectivas VCNs (se desejado).
• Regras de segurança que controlam os tipos de tráfego permitidos de/ para as instâncias nas sub-redes que precisam se comunicar com a outra VCN.

O diagrama a seguir ilustra os componentes.

Observação

Uma VCN pode usar os LPGs pareados para acessar estes recursos:

• VNICs em outra VCN
• Uma rede local anexada à outra VCN, se um cenário de roteamento avançado chamado roteamento de trânsito tiver sido configurado para as VCNs

Uma VCN não pode usar a VCN pareada para acessar outros destinos fora das VCNs (como a internet). Por exemplo, se a VCN-1 no diagrama anterior tivesse um gateway de internet, as instâncias na VCN-2 não poderiam usá-la para enviar o tráfego a pontos finais na internet. No entanto, a VCN-2 pode receber tráfego da internet por meio da VCN-1. Para obter mais informações, consulte Implicações Importantes do Pareamento de VCNs.

Os conceitos a seguir ajudam a compreender os conceitos básicos do pareamento de VCNs e como estabelecer um pareamento local.

PEERING

Um pareamento é um relacionamento de pareamento único entre duas VCNs. Exemplo: Se a VCN-1 for pareada com outras três VCNs, haverá três pareamentos. A palavra local no termo pareamento local indica que as VCNs estão na mesma região. Uma VCN específica pode ter no máximo 10 pareamentos locais por vez.

Cuidado

As duas VCNs no relacionamento de pareamento não devem ter CIDRs sobrepostos. No entanto, se a VCN-1 for pareada com outras três VCNs, essas três VCNs poderão ter CIDRs que se sobreponham entre si. Você configuraria as sub-redes na VCN-1 de modo a ter regras de roteamento que direcionassem o tráfego para a VCN pareada pretendida.

VCN ADMINISTRATORS

Em geral, o pareamento de VCNs só poderá ocorrer se os dois administradores das VCNs estiverem de acordo com esse pareamento. Na prática, isso significa que os dois administradores devem:

• Compartilhar algumas informações básicas entre si.
• Coordenar para configurar as políticas do Oracle Cloud Infrastructure Identity and Access Management necessárias para permitir o pareamento.
• Configurar suas VCNs para o pareamento.

Dependendo da situação, um único administrador poderá ser responsável pelas VCNs e pelas políticas relacionadas.

Para obter mais informações sobre as políticas necessárias e a configuração da VCN, consulte Configurando um Pareamento Local.

ACCEPTOR AND REQUESTOR

Para implementar as políticas do IAM necessárias para pareamento, os dois administradores de VCN devem designar um administrador para ser o solicitante e o outro como o aceitador. O solicitante deve ser aquele que faz a solicitação para conectar os dois LPGs. Por sua vez, o aceitador deve criar uma política específica do IAM que dê ao solicitante permissão para se conectar a LPGs no compartimento do aceitador. Sem essa política, a solicitação do solicitante para conexão falhará.

GATEWAY DE PAREAMENTO LOCAL (LPG)

Um gateway de pareamento local (LPG) é um componente de uma VCN para rotear o tráfego para uma VCN com pareamento local. Como parte da configuração de VCNs, cada administrador deve criar um LPG para sua respectiva VCN. Uma VCN deve ter um LPG separado para cada pareamento local que estabelecer (no máximo 10 LPGs por VCN). Dando continuidade ao exemplo anterior: a VCN-1 teria três LPGs pareados com outras três VCNs. Na API, um LocalPeeringGateway é um objeto que contém informações sobre o pareamento. Não é possível reutilizar um LPG para estabelecer outro pareamento posteriormente.

PEERING CONNECTION

Quando o solicitante faz a solicitação para par (na Console ou API), ele está efetivamente pedindo para conectar os dois LPGs. O solicitante deve ter informações para identificar cada LPG (como o compartimento e o nome do LPG ou o OCID do LPG). Cada administrador deve implementar as políticas do IAM necessárias no compartimento ou na tenancy.

O administrador da VCN pode encerrar um pareamento excluindo seu LPG. Nesse caso, o status do outro LPG muda para REVOKED. Em vez disso, o administrador pode fazer com que a interrupção da conexão funcione removendo as regras da rota ou de segurança que permitem que o tráfego flua pela conexão (consulte as próximas seções).

ROUTING TO THE LPG

Como parte da configuração das VCNs, cada administrador deve atualizar o roteamento da VCN para permitir que o tráfego flua entre as VCNs. Na prática, isso é semelhante ao roteamento que você configura para qualquer gateway (como gateway de Internet ou gateway de roteamento dinâmico). Para cada sub-rede que precisa se comunicar com a outra VCN, você atualiza a tabela de roteamento da sub-rede. A regra de roteamento especifica o CIDR e o LPG do tráfego do destino como o destino. O LPG roteia tráfego que corresponde a essa regra para o outro LPG, que, por sua vez, roteia esse tráfego para o próximo salto na outra VCN.

No diagrama a seguir, a VCN-1 e a VCN-2 estão pareadas. O tráfego de uma instância na Sub-rede A (10.0.0.15) destinado a uma instância na VCN-2 (192.168.0.15) é roteado para o LPG-1 com base na regra da tabela de rota da Sub-rede A (consulte Callout 1: Tabela de Rota da Sub-rede A). A partir daí, o tráfego é roteado para o LPG-2. Depois, vai para o destino na Sub-rede X.

Callout 1: Tabela de Roteamento da Sub-rede A

CIDR de Destino	Destino da Rota
0.0.0.0/0	Gateway de Internet
172.16.0.0/12	DRG
192.168.0.0/16	LPG-1

Callout 2: Tabela de Roteamento da Sub-rede X

CIDR de Destino	Destino da Rota
10.0.0.0/16	LPG-2

Observação

Conforme mencionado anteriormente, uma VCN específica pode usar os LPGs pareados para acessar VNICs em outra VCN ou a rede local, se o roteamento de trânsito tiver sido configurado para as VCNs. Mas uma VCN não pode usar a VCN pareada para acessar outros destinos fora das VCNs (como a internet). Por exemplo, no diagrama anterior, a VCN-2 não pode usar o gateway de internet anexado à VCN-1.

REGRAS DE SEGURANÇA

Cada sub-rede em uma VCN tem uma ou mais listas de segurança que controlam o tráfego de entrada e de saída das VNICs da sub-rede no nível do pacote. Você pode usar listas de segurança para controlar o tipo de tráfego permitido com a outra VCN. Como parte da configuração das VCNs, cada administrador deve decidir quais sub-redes em sua própria VCN precisam se comunicar com VNICs na outra VCN e atualizar as listas de segurança da sub-rede para correspondência.

Se você usar NSGs (network security groups) para implementar regras de segurança, observe que você tem a opção de criar regras de segurança para um NSG que especifica outro NSG como a origem ou o destino do tráfego. Entretanto, os dois NSGs devem pertencer à mesma VCN.

Se você ainda não tiver feito, leia Implicações Importantes do Pareamento para entender o controle de acesso, a segurança e as implicações de desempenho das VCNs pareadas.

Este é o processo geral para configurar um pareamento entre duas VCNs na mesma região:

1. Crie os LPGs: cada administrador de VCN cria um LPG para sua própria VCN.
2. Compartilhe informações: os administradores compartilham as informações básicas necessárias.
3. Configure as políticas do IAM necessárias para a conexão: os administradores configuram as políticas do IAM para ativar a conexão a ser estabelecida.
4. Estabelecer a conexão: o solicitante conecta os dois LPGs.
5. Atualizar tabelas de roteamento: Cada administrador atualiza as tabelas de roteamento da VCN para permitir o tráfego entre as VCNs pareadas conforme desejado.
6. Atualizar regras de segurança: Cada administrador atualiza as regras de segurança da VCN para permitir o tráfego entre as VCNs pareadas conforme desejado.

Os administradores podem executar tarefas E e F antes de estabelecer a conexão. Nesse caso, cada administrador deverá conhecer o bloco IDR ou as sub-redes específicas da VCN do outro administrador e compartilhar essas informações na tarefa B. Depois que a conexão for estabelecida, obtenha o bloco CIDR da outra VCN, exibindo detalhes do LPG local na Console. Verifique o CIDR Propagado do Par. Ou se você estiver usando a API, consulte o parâmetro peerAdvertisedCidr.

Você também precisa configurar algumas definições do IAM, como grupos, antes de passar pelo processo passo a passo.