Documentação do Oracle Cloud Infrastructure

Pareamento de VCN Local por Meio de um DRG Atualizado

Este cenário descreve o uso de uma conexão mútua com um DRG atualizado para permitir o tráfego entre duas ou mais VCNs.

Visão Geral

Em vez de usar conexões de pareamento local, você pode estabelecer comunicações de rede privada entre duas ou mais redes virtuais na nuvem (VCNs) na mesma região anexando-as a um gateway de roteamento dinâmico (DRG) comum e fazendo ajustes apropriados nas tabelas de roteamento da VCN e do DRG.

Esse cenário só está disponível para um DRG atualizado.

Se você estiver usando o DRG legado, poderá parear duas VCNs na mesma região usando LPG (Local Peering Gateways), conforme descrito no cenário Pareamento de VCN Local usando LPGs (Local Peering Gateways). O pareamento de duas VCNs na mesma região por meio de um DRG oferece mais flexibilidade no roteamento e gerenciamento simplificado, mas tem o custo do aumento de microssegundos na latência por causa do tráfego de roteamento por meio de um roteador virtual, o DRG.

Esse cenário de amostra pareia duas VCNs. Antes de tentar implementar esse cenário, verifique se:

  • A VCN-A não está anexado a um DRG
  • A VCN-B não está anexada a um DRG
  • A VCN-A e a VCN-B têm CIDRs não sobrepostos

O pareamento de VCNs em diferentes tenancies exige mais políticas do IAM para autorização de tenancy cruzada. Consulte Políticas do Serviço IAM para Roteamento entre VCNs para obter detalhes sobre as permissões necessárias. Quando você anexar uma VCN em outra região a um DRG, use as etapas em Anexando um DRG a uma VCN em outra Tenancy. A maioria das etapas neste cenário pressupõe que o DRG e as duas VCNs estejam na mesma tenancy.

Etapas

Este é o processo geral para configurar um pareamento entre duas VCNs na mesma região usando um DRG:

  1. Criar o DRG: Consulte Tarefa A: Criar um DRG.
  2. Anexar VCN A ao DRG: Consulte Tarefa B: Anexar VCN-A ao DRG.
  3. Anexar VCN B ao DRG: Consulte Tarefa C: Anexar VCN-B ao DRG.
  4. Configurar tabelas de roteamento na VCN A para enviar o tráfego destinado ao CIDR da VCN B para o DRG: Consulte Tarefa D: Configurar tabelas de roteamento na VCN-A para enviar o tráfego destinado ao CIDR da VCN-B para o anexo do DRG.
  5. Configurar tabelas de roteamento na VCN B para enviar o tráfego destinado ao CIDR da VCN A para o DRG: Consulte Tarefa E: Configurar tabelas de roteamento na VCN-B para enviar o tráfego destinado ao CIDR da VCN-A para o anexo do DRG.
  6. Atualizar regras de segurança: Atualize as regras de segurança de cada VCN para ativar o tráfego entre as VCNs pareadas, conforme planejado. Consulte Tarefa F: Atualizar regras de segurança.

Esta página resume algumas implicações de controle de acesso, segurança e desempenho de VCNs pareadas. Você pode controlar o acesso e o tráfego entre duas VCNs pareadas usando políticas do IAM, tabelas de roteamento em cada VCN, tabelas de roteamento no DRG e listas de segurança em cada VCN.

Resumo dos componentes do serviço Networking para pareamento por meio de um DRG

De forma geral, os componentes do serviço Networking necessários para um pareamento local por meio de um DRG incluem:

  • Duas VCNs com CIDRs que não se sobreponham, na mesma região
  • Um único gateway de roteamento dinâmico (DRG) anexado a cada VCN de pareamento.
  • Suporte a regras de roteamento para permitir que o tráfego flua pela conexão e somente entre sub-redes selecionadas, nas respectivas VCNs (se desejado).
  • Suporte a regras de segurança para controlar os tipos de tráfego permitidos entre as instâncias nas sub-redes que precisam se comunicar com a outra VCN.

O diagrama a seguir ilustra os componentes.

Esta imagem mostra o layout básico de duas VCNs que estão localmente pareadas, cada uma com um gateway de pareamento local.
Observação

Uma determinada VCN pode acessar estes recursos:

  • VNICs em outra VCN
  • Uma rede local anexada à outra VCN, se um cenário de roteamento avançado chamado roteamento de trânsito tiver sido configurado para as VCNs

Duas VCNs interconectadas com um DRG não podem acessar outros gateways de nuvem (como um Gateway de internet ou Gateway NAT), exceto com roteamento de trânsito por meio de um LPG. Por exemplo, se a VCN-1 no diagrama anterior tivesse um gateway de internet, as instâncias na VCN-2 não poderiam usá-la para enviar o tráfego a pontos finais na internet. No entanto, a VCN-2 pode receber tráfego da internet por meio da VCN-1. Para obter mais informações, consulte Implicações Importantes do Pareamento de VCNs.

Conceitos Importantes sobre Pareamento Local

Os conceitos a seguir ajudam a compreender os conceitos básicos do pareamento de VCNs usando DRG e como estabelecer um pareamento local.

PEERING
Pareamento é um relacionamento entre duas VCNs que se conectam ao mesmo DRG e podem rotear mutuamente o tráfego. A palavra local do pareamento local indica que as VCNs estão na mesma região. Um determinado DRG pode ter no máximo 300 anexos de DRG locais de cada vez.
Cuidado

As VCNs de pareamento não devem ter CIDRs sobrepostos.
ADMINISTRADORES
Em geral, o pareamento de VCNs só poderá ocorrer se todos os administradores de VCN e de DRG envolvidos concordarem com isso. Dependendo da situação, um único administrador poderá ser responsável por todos os DRGs e VCNs envolvidos e pelas políticas relacionadas.
Para obter mais informações sobre as políticas obrigatórias e a configuração da VCN, consulte Políticas do IAM para Roteamento entre VCNs.
ROUTING TO THE DRG
Como parte da configuração das VCNs, cada administrador deve atualizar o roteamento da VCN para permitir que o tráfego flua entre as VCNs. Na prática, o processo é semelhante ao roteamento configurado para qualquer gateway (como um gateway de internet ou um gateway de roteamento dinâmico). Para cada sub-rede que precisa se comunicar com a outra VCN, você atualiza a tabela de roteamento da sub-rede. A regra de roteamento especifica o CIDR do tráfego de destino e o seu DRG como alvo. A sua VCN roteia o tráfego correspondente a essa regra para o DRG, que, por sua vez, roteia o tráfego para o próximo hop na outra VCN.
No diagrama a seguir, a VCN-1 e a VCN-2 estão pareadas. O tráfego de uma instância na Sub-rede A (10.0.0.15) destinado a uma instância na VCN-2 (192.168.0.15) é roteado para o DRG com base na regra da tabela de roteamento da Sub-rede A. A partir daí, o tráfego é roteado para a VCN-2. Depois, vai para o destino na Sub-rede X. O DRG nesse cenário usa a tabela de roteamento gerada automaticamente.
Esta imagem mostra as tabelas de roteamento e o caminho do tráfego roteado de uma VCN para outra.
Callout 1: Tabela de Roteamento da Sub-rede A
CIDR de Destino Destino da Rota
172.16.0.0/12 DRG
192.168.0.0/16 DRG
0.0.0.0/0 Gateway de Internet
Callout 2: Tabela de Roteamento da Sub-rede X
CIDR de Destino Destino da Rota
172.16.0.0/12 DRG
10.0.0.0/16 DRG
REGRAS DE SEGURANÇA
Cada sub-rede em uma VCN tem uma ou mais listas de segurança que controlam o tráfego de entrada e de saída das VNICs da sub-rede no nível do pacote. Você pode usar listas de segurança para controlar o tipo de tráfego permitido com a outra VCN. Como parte da configuração das VCNs, cada administrador deve determinar quais sub-redes de suas próprias VCNs precisam se comunicar com VNICs na outra VCN e deve atualizar as listas de segurança da sub-rede de forma adequada.
Se você usar grupos de segurança de rede (NSGs) para implementar regras de segurança, observe que você poderá criar regras de segurança para um NSG que especifica outro NSG como origem ou destino do tráfego. Entretanto, os dois NSGs devem pertencer à mesma VCN.

Configurando este cenário na console

Tarefa A: Criar um DRG

Um DRG criado antes de maio de 2021 não pode executar roteamento entre redes on-premises e diversas VCNs nem fornecer pareamento local entre VCNs. Se você precisar dessa funcionalidade e vir um botão Fazer Upgrade do DRG, clique nele.

Observação

Um clique no botão Fazer Upgrade do DRG também redefine todas as sessões BGP existentes e interrompe temporariamente o tráfego da rede on-premises enquanto ocorre o upgrade do DRG. Lembre-se de que você não pode reverter o upgrade.

Enquanto trabalha na mesma região das VCNs que você deseja parear, execute as seguintes etapas:

  1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em Gateway de roteamento dinâmico.

  2. Em Escopo da Lista, selecione um compartimento no qual você tenha permissão para trabalhar. A página é atualizada para exibir apenas os recursos desse compartimento. Se você não tiver certeza sobre qual compartimento usar, entre em contato com um administrador. Para obter mais informações, consulte Controle de Acesso.
  3. Clique em Criar Gateway de Roteamento Dinâmico.

  4. Informe os seguintes itens:

    • Nome: um nome descritivo para o DRG. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    • Criar no Compartimento: O compartimento no qual você deseja criar o DRG, que pode ser diferente do compartimento no qual você está trabalhando no momento.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
  5. Clique em Criar Gateway de Roteamento Dinâmico.

O novo DRG é criado e exibido na página Gateways de Roteamento Dinâmico do compartimento escolhido. O DRG fica no estado "Provisionando" por pouco tempo. Você só pode conectá-lo a outras partes da sua rede após a conclusão do provisionamento.

O provisionamento inclui a criação de duas tabelas de roteamento: uma para VCNs conectadas e outra para outros recursos, como circuitos virtuais e túneis IPSec. Não é possível excluir as tabelas de roteamento padrão, mas elas podem ser editadas. Se não forem modificadas, as políticas de roteamento padrão em um DRG permitirão que o tráfego seja roteado entre todas as VCNs anexadas a ele.

Observação

As tabelas de roteamento do DRG atualizado padrão implementam o mesmo comportamento de roteamento dos DRGs legados no que diz respeito a compatibilidade retroativa.
Tarefa B: Anexar a VCN-A ao DRG
Observação

Um DRG atualizado pode ser anexado a muitas VCNs, mas uma VCN só pode ser anexada a um DRG de cada vez. O anexo é criado automaticamente no compartimento que contém a VCN. Uma VCN não precisa estar no mesmo compartimento ou na mesma tenancy que o DRG atualizado.

Você poderá eliminar conexões de pareamento local do seu design de rede geral se conectar diversas VPNs na mesma região ao mesmo DRG e configurar as tabelas de roteamento do DRG adequadamente.

O pareamento de VCNs em diferentes tenancies exige mais políticas do IAM para autorização de tenancy cruzada. Consulte Políticas do Serviço IAM para Roteamento entre VCNs para obter detalhes sobre as permissões necessárias. Quando você anexar uma VCN em outra região a um DRG, use as etapas em Anexando um DRG a uma VCN em outra Tenancy.

As instruções a seguir permitem que você navegue até o DRG atualizado e escolha qual VCN deverá ser anexada. Em vez disso, você pode navegar até a VCN e escolher qual DRG anexar.

  1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em Gateway de roteamento dinâmico.

  2. Clique no DRG atualizado que você deseja anexar à VCN A.
  3. Em Recursos, clique em Anexos de rede virtual na nuvem.
  4. Clique em Criar anexo de VCN.
    • (Opcional) Dê um nome amigável ao ponto de anexo. Se você não especificar um nome, será criado um para você.
    • Selecione a VCN A na lista. Você também poderá clicar em Alterar compartimento e escolher outro compartimento se a VCN não estiver no compartimento atual e, em seguida, selecionar a VCN A na lista.
  5. (Opcional) Se você estiver configurando um cenário avançado para roteamento de trânsito, poderá associar uma tabela de roteamento da VCN ao anexo do DRG (é possível fazer isso posteriormente):
    1. Clique em Mostrar Opções Avançadas.
    2. Clique na guia Tabela de roteamento da VCN.
    3. Selecione a tabela de roteamento que você deseja associar ao anexo da VCN no DRG. Se você selecionar Nenhum, a tabela de roteamento padrão da VCN será usada.
  6. Clique em Criar anexo de VCN.

O anexo fica no estado "Anexando" por um curto período.

Quando o anexo estiver pronto, crie uma regra de roteamento que direcione o tráfego da sub-rede para esse DRG. Consulte Para rotear o tráfego de uma sub-rede para um DRG.

Tarefa C: Anexar a VCN-B ao DRG
Observação

Um DRG pode ser anexado a muitas VCNs, mas a VCN só pode ser anexada a um DRG de cada vez. O anexo é criado automaticamente no compartimento que contém a VCN. Uma VCN não precisa estar no mesmo compartimento que o DRG.

Você poderá eliminar conexões de pareamento local do seu design de rede geral se conectar diversas VPNs na mesma região ao mesmo DRG e configurar as tabelas de roteamento do DRG adequadamente.

O pareamento de VCNs em diferentes tenancies exige mais políticas do IAM para autorização de tenancy cruzada. Consulte Políticas do Serviço IAM para Roteamento entre VCNs para obter detalhes sobre as permissões necessárias. Quando você anexar uma VCN em outra região a um DRG, use as etapas em Anexando um DRG a uma VCN em outra Tenancy.

As instruções a seguir permitem que você navegue até o DRG e escolha qual VCN deverá ser anexada. Em vez disso, você pode navegar até a VCN e escolher qual DRG anexar.

  1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em Gateway de roteamento dinâmico.

  2. Clique no DRG que você deseja anexar à VCN B.
  3. Em Recursos, clique em Anexos de rede virtual na nuvem.
  4. Clique em Criar anexo de VCN.
    • (Opcional) Dê um nome amigável ao ponto de anexo. Se você não especificar um nome, será criado um para você.
    • Selecione a VCN B na lista. Você também pode clicar em Alterar compartimento e escolher o compartimento que contém a VCN B. Em seguida, selecione a VCN B na lista.
  5. (Opcional) Se você estiver configurando um cenário avançado para roteamento de trânsito, poderá associar uma tabela de roteamento da VCN ao anexo do DRG (é possível fazer isso posteriormente):
    1. Clique em Mostrar Opções Avançadas.
    2. Clique na guia Tabela de roteamento da VCN.
    3. Selecione a tabela de roteamento que você deseja associar ao anexo da VCN no DRG. Se você selecionar Nenhum, a tabela de roteamento padrão da VCN será usada.
  6. Clique em Criar anexo de VCN.

O anexo fica no estado "Anexando" por um curto período.

Quando o anexo estiver pronto, crie uma regra de roteamento que direcione o tráfego da sub-rede para esse DRG. Consulte Para rotear o tráfego de uma sub-rede para um DRG.

Tarefa D: Configurar tabelas de roteamento na VCN-A para enviar o tráfego destinado ao CIDR da VCN-B para o anexo do DRG

Como mencionado anteriormente, cada administrador poderá executar essa tarefa antes ou depois que a VCN for anexada ao DRG.

Pré-requisito: cada administrador deve ter o bloco CIDR ou as sub-redes específicas da outra VCN.

Para a VCN A:

  1. Determine quais sub-redes da VCN-A precisam se comunicar com a outra VCN.

  2. Atualize a tabela de roteamento de cada uma dessas sub-redes para incluir uma nova regra que direcione o tráfego destinado ao CIDR da outra VCN IP para o DRG:

    1. Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
    2. Clique na VCN do seu interesse, a VCN-A.
    3. Em Recursos, clique em Tabelas de Roteamento.
    4. Clique na tabela de roteamento na qual você está interessado.

    5. Clique em Adicionar Regra de Roteamento e informe o seguinte:

      • Tipo de Destino: Gateway de Roteamento Dinâmico.
      • Bloco CIDR de Destino: O bloco CIDR da VCN-B. Se quiser, você poderá especificar uma sub-rede ou um subconjunto específico do CIDR da VCN-B.
      • Compartimento de Destino: O compartimento no qual a outra VCN está localizada, caso não seja o compartimento atual.
      • Alvo: O DRG.
      • Descrição: Uma descrição opcional da regra.
    6. Clique em Adicionar Regra de Roteamento.

Qualquer tráfego de sub-rede com um destino que corresponda à regra será roteado para o seu DRG. Para obter mais informações sobre a configuração de regras de roteamento, consulte Tabelas de Roteamento da VCN.

Se futuramente você não precisar mais do pareamento e quiser encerrar o relacionamento de pareamento, primeiro exclua todas as regras de roteamento da sua VCN que especificam a outra como destino.

Dica

Sem o roteamento necessário, o tráfego não flui entre as VCNs pareadas. Se ocorrer uma situação em que você precise interromper temporariamente o relacionamento de pareamento, remova as regras de roteamento que permitem o tráfego.
Tarefa E: Configurar tabelas de roteamento na VCN-B para enviar tráfego destinado ao CIDR da VCN-A para o anexo do DRG

Como mencionado anteriormente, cada administrador poderá executar essa tarefa antes ou depois que a VCN for anexada ao DRG.

Pré-requisito: cada administrador deve ter o bloco CIDR ou as sub-redes específicas da outra VCN.

Para VCN-B:

  1. Determine quais sub-redes da VCN-B precisam se comunicar com a outra VCN.

  2. Atualize a tabela de roteamento de cada uma dessas sub-redes para incluir uma nova regra que direcione o tráfego destinado ao CIDR da outra VCN IP para o DRG:

    1. Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
    2. Clique na VCN do seu interesse, a VCN-B.
    3. Em Recursos, clique em Tabelas de Roteamento.
    4. Clique na tabela de roteamento na qual você está interessado.

    5. Clique em Adicionar Regra de Roteamento e informe o seguinte:

      • Tipo de Destino: Gateway de Roteamento Dinâmico.
      • Bloco CIDR de Destino: O bloco CIDR da VCN-A. Se desejar, você poderá especificar uma determinada sub-rede do bloco CIDR da VCN-A.
      • Compartimento de Destino: O compartimento no qual a outra VCN está localizada, caso não seja o compartimento atual.
      • Alvo: O DRG.
      • Descrição: Uma descrição opcional da regra.
    6. Clique em Adicionar Regra de Roteamento.

Qualquer tráfego de sub-rede com um destino que corresponda à regra será roteado para o seu DRG. Para obter mais informações sobre a configuração de regras de roteamento, consulte Tabelas de Roteamento da VCN.

Se posteriormente você não precisar mais do pareamento e quiser encerrar o relacionamento de pareamento, exclua todas as regras de roteamento da sua VCN que especificam a outra VCN como destino.

Dica

Sem o roteamento necessário, o tráfego não flui entre as VCNs pareadas. Se ocorrer uma situação em que você precise interromper temporariamente o pareamento, simplesmente remova as regras de roteamento que permitem o tráfego.
Tarefa F: Atualizar regras de segurança.

Como mencionado anteriormente, cada administrador pode executar essa tarefa antes ou depois de a conexão ser estabelecida.

Pré-requisito: cada administrador deve ter o bloco CIDR ou as sub-redes específicas da outra VCN. Em geral, use o mesmo bloco CIDR usado na regra de tabela de roteamento do procedimento Tarefa E: Configurar as tabelas de roteamento.

Quais regras você deve adicionar?

  • Regras de entrada para os tipos de tráfego proveniente da outra VCN que você deseja permitir, especificamente do CIDR da VCN ou de sub-redes específicas.
  • Uma regra de saída para permitir o tráfego de saída da sua VCN para a outra VNC. Se a sub-rede já tiver uma regra de saída ampla para todos os tipos de protocolos a todos os destinos (0.0.0.0/0), não será necessário adicionar uma especial para a outra VCN.
Observação

O procedimento a seguir usa listas de segurança, mas você pode, em vez disso, implementar as regras de segurança em um grupo de segurança de rede e criar todos os recursos da sub-rede nesse NSG.

Para cada VCN:

  1. Determine quais sub-redes da sua VCN precisam se comunicar com a outra VCN.

  2. Atualize a lista de segurança para cada uma dessas sub-redes para incluir regras que permitam o tráfego de saída ou de entrada desejado, especificamente com o bloco CIDR ou com uma sub-rede da outra VCN:

    1. Na Console, ao verificar a VCN na qual você está interessado, clique em Listas de Segurança.
    2. Clique na lista de segurança na qual você está interessado.
    3. Em Recursos, clique em Regras de Entrada ou Regras de Saída dependendo do tipo de regra com a qual você deseja trabalhar.

    4. Se quiser adicionar uma regra, clique em Adicionar Regra de Entrada (ou Adicionar Regra de Saída).

      Exemplo

      Digamos que você deseja adicionar uma regra com monitoramento de estado que permita o tráfego HTTPS de entrada (porta 443) proveniente do CIDR da outra VCN. Estas são as etapas básicas que você executa ao adicionar uma regra:

      1. Deixe a caixa de seleção Sem Monitoramento de Estado desmarcada.
      2. Tipo de Origem: deixe como CIDR.
      3. CIDR de Origem: insira o mesmo bloco CIDR que as regras de roteamento utilizam (consulte Tarefa E: Configurar tabelas de roteamento).
      4. Protocolo IP: deixe como TCP.
      5. Intervalo de Portas de Origem: deixe como Todos.
      6. Intervalo de Portas de Destino: insira 443.
      7. Descrição: Uma descrição opcional da regra.
    5. Se quiser excluir uma regra existente, clique no menu Ações (Menu Ações) e depois clique em Remover.
    6. Se quiser editar uma regra existente, clique no menu Ações (Menu Ações) e, em seguida, clique em Editar.

Para obter mais informações sobre regras de segurança, consulte Regras de Segurança.