Pareamento Remoto de VCN usando um DRG Legado

Este tópico trata do pareamento remoto de VCNs. Nesse caso, remoto significa que as VCNs residem em regiões diferentes. Se as VCNs que você deseja conectar estiverem na mesma região, consulte Pareamento de VCN Local usando LPGs (Local Peering Gateways).

Observação

Este artigo pressupõe que o DRG seja um DRG legado e recomendamos o método descrito em Pareamento Remoto de VCN por meio de um DRG Atualizado para qualquer DRG submetido a upgrade. Consulte Versões do DRG para obter uma explicação das versões do DRG.

Visão Geral do Pareamento Remoto de VCNs

Pareamento remoto de VCNs é o processo de conexão de duas VCNs em regiões diferentes (mas na mesma tenancy ). O peering permite que os recursos das VCNs se comuniquem usando endereços IP privados sem rotear o tráfego pela internet ou por meio de uma rede on-premises. Sem pareamento, uma VCN precisaria de um gateway de Internet e de endereços IP públicos para as instâncias que precisam se comunicar com outra VCN em outra região.

Resumo dos Componentes do serviço Networking para Peering Remoto

De alto nível, os componentes do serviço Networking necessários para um pareamento remoto incluem:

  • Duas VCNs com CIDRs que não se sobrepõem, em diferentes regiões que suportam pareamento remoto.

    Observação

    Não Deve Haver Sobreposição entre Todos os CIDRs da VCN

    As duas VCNs na relacionamento de pareamento não devem ter CIDRs que se sobreponham. Além disso, se uma VCN específica tiver várias relações de pareamento, essas outras VCNs não deverão ter CIDRs sobrepostos entre si. Por exemplo, se a VCN-1 for pareada com a VCN-2 e também com a VCN-3, a VCN-2 e a VCN-3 não deverão ter CIDRs que se sobreponham.

  • Um DRG (Dynamic Routing Gateway) anexado a cada VCN no relacionamento de pareamento. Uma VCN já tem um DRG se você estiver usando um túnel IPSec da VPN Local a Site ou um circuito virtual privado Oracle Cloud Infrastructure FastConnect.
  • Uma conexão de pareamento remoto (RPC) em cada DRG no relacionamento de pareamento.
  • Uma conexão entre essas duas RPCs.
  • Suporte a regras de rota para permitir que o tráfego flua pela conexão e apenas para selecionar sub-redes nas respectivas VCNs (se necessário).
  • Suporte a regras de segurança para controlar os tipos de tráfego permitidos entre as instâncias nas sub-redes que precisam se comunicar com a outra VCN.

O diagrama a seguir ilustra os componentes.

Esta imagem mostra o layout básico de duas VCNs que estão pareadas remotamente, cada uma com uma conexão de pareamento remoto no DRG
Observação

Uma VCN só pode usar as RPCs conectadas para acessar VNICs na outra VCN ou em uma rede on-premises e não destinos fora das VCNs, como a internet. Por exemplo, se o VCN-1 no diagrama anterior tivesse um gateway de internet, as instâncias da VCN-2 não o poderiam usar para enviar tráfego para os pontos finais na internet. Para obter mais informações, consulte Implicações Importantes do Pareamento.

Spoke para Spoke: Pareamento Remoto com Roteamento de Trânsito

Observação

O cenário que esta seção menciona ainda é suportado, mas está obsoleto. Recomendamos que você use o método de roteamento de Trânsito de DRG descrito em Roteando tráfego por meio de um appliance virtual de rede central.

Imagine que em cada região você tenha diversas VCNs em um layout hub-and-spoke, conforme mostrado no diagrama a seguir. Esse tipo de layout dentro de uma região é abordado com detalhes em Roteamento de Trânsito dentro de uma VCN hub. As VCNs spoke em uma região específica são pareadas localmente com a VCN hub na mesma região, usando gateways de pareamento locais .

Você pode configurar o pareamento remoto entre as duas VCNs hubs. Você então poderá configurar também o roteamento de trânsito do DRG e de LPGs da VCN hub, conforme descrito em Roteamento de Trânsito dentro de uma VCN hub. Essa instalação permite que uma VCN de spoke em uma região comunique-se com uma ou mais VCNs de spoke na outra região sem precisar de uma conexão remota de pareamento diretamente entre essas VCNs.

Por exemplo, você pode configurar o roteamento de forma que os recursos na VCN-1-A possam se comunicar com recursos na VCN-2-A e na VCN-2-B por meio das VCNs hubs. Dessa forma, a VCN 1-A não precisa ter um pareamento remoto separado com cada uma das VCNs spoke na outra região. Você também pode configurar o roteamento para que a VCN-1-B possa se comunicar com as VCNs spoke na região 2, sem precisar de pareamentos remotos específicos para eles.

Esta imagem mostra o layout básico de duas regiões com VCNs em um layout hub e spoke, com pareamento remoto entre as VCNs hub.

Acordo Explícito Obrigatório dos Dois Lados

O pareamento envolve duas VCNs na mesma tenancy que podem ser administradas pela mesma parte ou por duas partes distintas. As duas partes podem estar na mesma empresa, mas em departamentos diferentes.

O pareamento entre duas VCNs requer um acordo explícito de ambas as partes na forma de políticas do Oracle Cloud Infrastructure Identity and Access Management que cada parte implementa para seu compartimento da própria VCN.

Conceitos Importantes sobre Pareamento Remoto

Os conceitos a seguir ajudam a entender os conceitos básicos de pareamento e como estabelecer um pareamento remoto.

PEERING
Um pareamento é um relacionamento de pareamento único entre duas VCNs. Exemplo: Se o VCN-1 for pareado com duas outras VCNs, haverá dois pareamentos. A palavra remoto no termo pareamento remoto indica que as VCNs estão em diferentes regiões.
VCN ADMINISTRATORS
Em geral, o pareamento de VCNs só poderá ocorrer se os dois administradores das VCNs estiverem de acordo com esse pareamento. Na prática, isso significa que os dois administradores devem:
  • Compartilhar algumas informações básicas entre si.
  • Coordenar para configurar as políticas do Oracle Cloud Infrastructure Identity and Access Management necessárias para permitir o pareamento.
  • Configurar suas VCNs para o pareamento.
Dependendo da situação, um único administrador poderá ser responsável pelas VCNs e pelas políticas relacionadas.
Para obter mais informações sobre as políticas necessárias e a configuração da VCN, consulte Configurando um Pareamento Remoto.
ACCEPTOR AND REQUESTOR
Para implementar as políticas do IAM necessárias para pareamento, os dois administradores de VCN devem selecionar um administrador como solicitante e o outro como aceitador. O solicitante deve ser aquele que inicia a solicitação para conectar as duas RPCs. Por sua vez, o aceitador deve criar uma política específica do IAM que dê ao solicitante permissão para se conectar com RPCs no compartimento do aceitador. Sem essa política, a solicitação do solicitante para conexão falhará.
REGION SUBSCRIPTION
Para parear uma VCN em outra região, uma tenancy deve estar inscrita primeiro nessa região. Para obter informações sobre inscrições em regiões, consulte Gerenciando Regiões.
CONEXÃO DE PAREAMENTO REMOTO (RPC)
Uma conexão de peering remoto (RPC) é um componente que você cria no DRG anexado a uma VCN. O trabalho da RPC é atuar como um ponto de conexão para uma VCN remotamente pareada. Como parte da configuração de VCNs, cada administrador deve criar uma RPC para o DRG de sua respectiva VCN. Um DRG específico deve ter uma RPC separada para cada pareamento remoto que ele estabelece para a VCN. Para continuar o exemplo anterior: o DRG na VCN-1 teria duas RPCs para parear com outras duas VCNs. Na API, uma RemotePeeringConnection é um objeto que contém informações sobre o pareamento. Não é possível reutilizar uma RPC para estabelecer outro pareamento posteriormente.
CONNECTION BETWEEN TWO RPCS
Quando o solicitante começa a solicitação para par (na Console ou API), ele está efetivamente pedindo para conectar as duas RPCs. Isso significa que o solicitante deve ter informações para identificar cada RPC (como a região e o OCID da RPC).
O administrador da VCN pode encerrar um pareamento excluindo sua RPC. Nesse caso, o status da outra RPC muda para REVOKED. O administrador pode desativar a conexão removendo as regras da rota que permitem que o tráfego flua pela conexão (consulte a próxima seção).
ROUTING TO THE DRG
Como parte da configuração das VCNs, cada administrador deve atualizar o roteamento da VCN para permitir que o tráfego flua entre as VCNs. Para cada sub-rede que precisa se comunicar com a outra VCN, atualize a tabela de roteamento da sub-rede. A regra de roteamento especifica o CIDR do tráfego do destino e o DRG como o destino. O DRG roteia tráfego que corresponde a essa regra para o outro DRG, que, por sua vez , roteia esse tráfego para o próximo salto na outra VCN.
No diagrama a seguir, a VCN-1 e a VCN-2 estão pareadas. O tráfego de uma instância na Sub-rede A (10.0.0.15) destinado a uma instância na VCN-2 (192.168.0.15) é roteado para o DRG-1 com base na regra da tabela de roteamento da Sub-rede A. A partir daí, o tráfego é roteado por meio das RPCs para o DRG-2. Depois, vai para o destino na Sub-rede X.
Esta imagem mostra as tabelas de roteamento e o caminho do tráfego roteado de um DRG para o outro.
Callout 3: Tabela de Roteamento da Sub-rede A
CIDR de Destino Destino da Rota
0.0.0.0/0 Gateway de Internet
192.168.0.0/16 DRG-1
Callout 4: Tabela de Roteamento da Sub-rede X
CIDR de Destino Destino da Rota
10.0.0.0/16 DRG-2
Observação

Como mencionado anteriormente, uma VCN só pode usar as RPCs conectadas para acessar VNICs na outra VCN e não destinos fora das VCNs (como a internet ou uma rede local). Por exemplo, no diagrama anterior, a VCN-2 não poderá usar o gateway de internet anexado à VCN-1.

REGRAS DE SEGURANÇA
Cada sub-rede em uma VCN tem uma ou mais listas de segurança que controlam o tráfego de entrada e de saída das VNICs da sub-rede no nível do pacote. Você pode usar listas de segurança para controlar o tipo de tráfego permitido com a outra VCN. Como parte da configuração das VCNs, cada administrador deve decidir quais sub-redes em sua própria VCN precisam se comunicar com VNICs na outra VCN e atualizar as listas de segurança da sub-rede para permitir o tráfego.
Se você usar NSGs (network security groups) para implementar regras de segurança, observe que você tem a opção de criar regras de segurança para um NSG que especifica outro NSG como a origem ou o destino do tráfego. Entretanto, os dois NSGs devem pertencer à mesma VCN.

Implicações Importantes do Pareamento

Se você ainda não tiver feito, leia Implicações Importantes do Pareamento para entender o controle de acesso, a segurança e as implicações de desempenho das VCNs pareadas.

Configurando um Pareamento Remoto

Essa seção abrange o processo geral para configurar um pareamento entre duas VCNs em diferentes regiões.

Importante

O seguinte procedimento pressupõe que:

  1. Crie os RPCs: cada administrador de RPC cria um LPG para o DRG de sua própria VCN.
  2. Compartilhe informações: os administradores compartilham as informações básicas necessárias.
  3. Configure as políticas do IAM necessárias para a conexão: os administradores configuram as políticas do IAM para ativar a conexão a ser estabelecida.
  4. Estabeleça a conexão: o solicitante conecta as duas RPCs (consulte Conceitos Importantes sobre Pareamento Remoto para obter a definição de solicitante e aceitador).
  5. Atualizar tabelas da rota: cada administrador atualiza as tabelas da rota da VCN para permitir o tráfego entre as VCNs ou sub-redes pareadas.
  6. Atualizar regras da segurança: cada administrador atualiza as regras da VCN para permitir o tráfego entre as VCNs ou as sub-redes pareadas.

Os administradores podem executar tarefas E e F antes de estabelecer a conexão. Cada administrador precisa conhecer o bloco CIDR ou sub-redes específicas da outra VCN e compartilhá-lo na tarefa B.

Tarefa A: Criar as RPCs

Cada administrador aceitador ou solicitante cria uma RPC para o DRG de sua própria VCN.

Observação

Política do IAM Necessária para Criar RPCs

Se os administradores já tiverem amplas permissões de administrador de rede (consulte Permitir que os administradores de rede gerenciem uma rede na nuvem), eles terão permissão para criar, atualizar e excluir RPCs. Caso contrário, veja a seguir um exemplo de política que fornece as permissões necessárias a um grupo chamado RPCAdmins. A segunda instrução é necessária porque a criação de uma RPC afeta o DRG ao qual ela pertence; portanto, o administrador deve ter permissão para gerenciar DRGs.

Allow group RPCAdmins to manage remote-peering-connections in tenancy
Allow group RPCAdmins to manage drgs in tenancy

Consulte Criando uma Conexão de Pareamento Remoto e Gerenciamento de Pareamento Remoto para obter instruções gerais sobre como criar e trabalhar com RPCs. Se você for o aceitador, registre a região e o OCID da RPC e compartilhe essas informações com o solicitante. Se as duas VCNs estiverem em tenancies diferentes, cada administrador deverá registrar o OCID da tenancy (localizado na parte inferior da página na Console) e fornecer essas informações ao outro administrador.

Tarefa B: Compartilhar informações
  • Se você for o aceitador, forneça estas informações ao solicitante (por exemplo, por e-mail ou por outro método fora de banda):

    • A região na qual a VCN se encontra (a tenancy do solicitante deve estar inscrita nessa região).
    • O OCID da RPC.
    • Os blocos CIDR para sub-redes na VCN a serem disponibilizados para a outra VCN. O solicitante precisa dessas informações ao configurar o roteamento para a VCN do solicitante.
  • Se você for o solicitante, forneça estas informações ao aceitador:

    • A região na qual a VCN está (a tenancy do aceitador deve se inscrever nessa região).
    • O nome do grupo do IAM para conceder permissão para criar uma conexão no compartimento do aceitador.
    • Os blocos CIDR para sub-redes na VCN a serem disponibilizados para a outra VCN. O aceitador precisa dessas informações ao configurar o roteamento para a VCN do aceitador.
Tarefa C: Configurar as políticas do IAM

Quando ambas as VCNs estiverem na mesma tenancy, mas em regiões diferentes, use as políticas fornecidas em Pareamento Remoto com um DRG Legado.

Se ambas as VCNs estiverem em tenancies diferentes, mas na mesma região, use as políticas fornecidas em Anexando a VCNs em Outras Tenancies.

Tarefa D: Estabelecer a conexão

O solicitante deve executar esta tarefa.

Pré-requisito: o solicitante deve ter:

  • A região em que a VCN do aceitador está (a tenancy do solicitante deverá estar inscrita na região).
  • O OCID da RPC do aceitador.

Consulte Criando uma Conexão de Pareamento Remoto para obter instruções gerais e use as informações fornecidas para o aceitador. Consulte Remote Peering Management para obter instruções gerais sobre como trabalhar com RPCs.

Tarefa E: Configurar as tabelas de roteamento

Como mencionado anteriormente, cada administrador pode executar essa tarefa antes ou depois de a conexão ser estabelecida.

Pré-requisito: Cada administrador deve ter o bloco CIDR da VCN ou o bloco CIDR para sub-redes específicas na outra VCN.

Para cada VCN, decida quais sub-redes na VCN precisam se comunicar com a outra VCN e atualize a tabela de roteamento (consulte Atualizando as Regras da Tabela de Roteamento de uma VCN) para cada uma dessas sub-redes a fim de incluir uma nova regra de roteamento que direcione o tráfego destinado à outra VCN para o DRG:

  • Tipo de Destino: Gateway de Roteamento Dinâmico. O DRG anexado à VCN é selecionado automaticamente como alvo e você não precisa especificar o alvo.
  • Bloco CIDR de Destino: o bloco CIDR da outra VCN. Se quiser, você poderá especificar uma sub-rede ou um subconjunto específico do CIDR da VCN pareada.
  • Descrição: Uma descrição opcional da regra.

Qualquer tráfego da sub-rede com um destino que corresponda à regra é roteado para o DRG. Para obter mais informações sobre regras e tabelas de roteamento da VCN, consulte Tabelas de Roteamento da VCN.

Dica

Sem o roteamento necessário, o tráfego não flui entre os DRGs pareados. Caso ocorra uma situação em que você precise interromper temporariamente o pareamento, remova temporariamente as regras de roteamento que permitem tráfego. Não é necessário excluir as RPCs.
Tarefa F: Configurar as regras de segurança

Como mencionado anteriormente, cada administrador pode executar essa tarefa antes ou depois de a conexão ser estabelecida.

Pré-requisito: Cada administrador deve conhecer o bloco CIDR ou sub-redes específicas para compartilhar com a outra VCN. Em geral, use o mesmo bloco CIDR usado na regra de tabela de roteamento do procedimento Tarefa E: Configurar as tabelas de roteamento.

Adicione as seguintes regras:

  • Regras de entrada para os tipos de tráfego que você deseja permitir da outra VCN, seja do CIDR da VCN ou apenas de sub-redes específicas.
  • Regra de saída para permitir o tráfego de saída da VCN local para a outra VCN. Se a sub-rede já tiver uma Regra de Saída ampla para todos Os Tipos de Protocolos para Todos os Destinos (como 0.0.0.0/0), você não precisará adicionar uma Regra Especial para a outra VCN.
Observação

O procedimento a seguir usa listas de segurança, mas você pode, em vez disso, implementar as regras de segurança em um grupo de segurança de rede e criar todos os recursos da sub-rede nesse NSG.

Para a VCN local, decida quais sub-redes na VCN precisam se comunicar com a outra VCN e atualize a lista de segurança para cada uma dessas sub-redes a fim de incluir regras que permitam o tráfego de saída ou de entrada com o bloco CIDR ou a sub-rede da outra VCN:

Para obter mais informações sobre regras de segurança, consulte Regras de Segurança.

Exemplo

Digamos que você queira adicionar uma regra de monitoramento de estado que permite tráfego HTTPS (porta 443) de entrada proveniente do outro CIDR da VCN. Estas são as etapas básicas que você executa ao adicionar uma regra:

  1. Na seção Permitir Regras para Entrada, selecione +Add Regra.
  2. Deixe a caixa de seleção Sem Monitoramento de Estado desmarcada.
  3. Tipo de Origem: deixe como CIDR.
  4. CIDR de Origem: insira o mesmo bloco CIDR que as regras de roteamento utilizam (consulte Tarefa E: Configurar tabelas de roteamento).
  5. Protocolo IP: deixe como TCP.
  6. Intervalo de Portas de Origem: deixe como Todos.
  7. Intervalo de Portas de Destino: insira 443.
  8. Descrição: Uma descrição opcional da regra.