Pareamento Local de VCN por Meio de um DRG Atualizado

Este cenário descreve o uso de uma conexão mútua com um DRG atualizado para permitir o tráfego entre duas ou mais VCNs.

Visão Geral

Em vez de usar conexões de pareamento locais, você pode estabelecer comunicações da rede privada entre duas ou mais redes virtuais em nuvem (VCNs) na mesma região anexando-as a um gateway (DRG) comum de roteamento dinâmico e fazendo as alterações apropriadas nas tabelas de roteamento de VCN e DRG.

Esse cenário só está disponível para um DRG atualizado.

Se estiver usando o DRG legado, você poderá parear duas VCNs na mesma região usando o LPG (Local Peering Gateways), conforme descrito no cenário Pareamento Local de VCN usando LP (Local Peering Gateways). O pareamento de duas VCNs na mesma região por meio do DRG oferece mais flexibilidade de roteamento e gerenciamento simplificado, mas tem o custo de aumentar a latência de microssegundos porque o tráfego roteia por meio do roteador virtual, o DRG.

Esse cenário de amostra pareia duas VCNs. Antes de implementar este cenário, certifique-se de que:

  • A VCN-A não está anexada a um DRG
  • A VCN-B não está anexada a um DRG
  • Os CIDRs usados pela VCN-A e pela VCN-B não se sobrepõem

O pareamento das VCNs em diferentes tenancies requer mais políticas do serviço IAM para autorização entre tenancies. Consulte Políticas do Serviço IAM para Roteamento entre VCNs para obter detalhes sobre as permissões necessárias. Quando você anexar uma VCN em outra região a um DRG, use as etapas em Anexando um DRG a uma VCN em Outra Tenancy. A maioria das etapas neste cenário pressupõe que o DRG e as duas VCNs estejam na mesma tenancy.

Etapas

Este é o processo geral para configurar um pareamento entre duas VCNs na mesma região usando um DRG:

  1. Criar o DRG: Consulte Tarefa A: Criar um DRG.
  2. Anexar VCN A ao DRG: Consulte Tarefa B: Anexar VCN-A ao DRG.
  3. Anexar VCN B ao DRG: Consulte Tarefa C: Anexar VCN-B ao DRG.
  4. Configurar tabelas de roteamento na VCN A para enviar o tráfego destinado ao CIDR da VCN B para o DRG: Consulte Tarefa D: Configurar tabelas de roteamento na VCN-A para enviar o tráfego destinado ao CIDR da VCN-B para o anexo do DRG.
  5. Configurar tabelas de roteamento na VCN B para enviar o tráfego destinado ao CIDR da VCN A para o DRG: Consulte Tarefa E: Configurar tabelas de roteamento na VCN-B para enviar o tráfego destinado ao CIDR da VCN-A para o anexo do DRG.
  6. Atualizar regras de segurança: Atualize as regras de segurança de cada VCN para ativar o tráfego entre as VCNs pareadas, conforme planejado. Consulte Tarefa F: Atualizar regras de segurança.

Esta página resume algumas implicações de controle de acesso, segurança e desempenho de VCNs pareadas. Você pode controlar o acesso e o tráfego entre duas VCNs pareadas usando políticas do IAM, tabelas de roteamento em cada VCN, tabelas de roteamento no DRG e listas de segurança em cada VCN.

Resumo dos componentes do serviço Networking para pareamento por meio de um DRG

De forma geral, os componentes do serviço Networking necessários para um pareamento local por meio de um DRG incluem:

  • Duas VCNs na mesma região com CIDRs que não se sobrepõem
  • Um único DRG (Dynamic Routing Gateway) anexado a cada VCN de mesmo nível
  • Suporte a regras de roteamento para permitir que o tráfego flua pela conexão e somente entre sub-redes selecionadas, nas respectivas VCNs (se desejado)
  • Suporte a regras de segurança para controlar os tipos de tráfego permitidos entre as instâncias nas sub-redes que precisam se comunicar com a outra VCN

O diagrama a seguir ilustra os componentes.

Esta imagem mostra o layout básico de duas VCNs que estão localmente pareadas, cada uma com um gateway de pareamento local.
Observação

Uma VCN específica pode acessar estes recursos:

  • VNICs em outra VCN
  • Uma rede local anexada à outra VCN, se um cenário de roteamento avançado chamado roteamento de trânsito tiver sido configurado para as VCNs

Duas VCNs interconectadas com um DRG não conseguem acessar outros gateways da nuvem (como um gateway de internet ou um gateway NAT), exceto para roteamento de trânsito por um LPG. Por exemplo, se o VCN-1 no diagrama anterior tivesse um gateway de internet, as instâncias da VCN-2 não o poderiam usar para enviar tráfego para os pontos finais na internet. No entanto, a VCN-2 pode receber tráfego da internet por meio da VCN-1. Para obter mais informações, consulte Implicações Importantes do Pareamento de VCNs.

Conceitos Importantes sobre Pareamento Local

Os conceitos a seguir ajudam a compreender os conceitos básicos do pareamento de VCNs usando DRG e como estabelecer um pareamento local.

PEERING
Um pareamento é um relacionamento entre duas VCNs que se conectam ao mesmo DRG e podem rotear o tráfego mutuamente. A palavra local no termo pareamento local indica que as VCNs estão na mesma região. Um DRG específico pode ter um máximo de 300 anexos de DRG locais por vez.
Cuidado

As VCNs de pareamento não devem ter CIDRs sobrepostos.
ADMINISTRADORES
Em geral, o pareamento de VCNs só poderá ocorrer se todos os administradores de VCN e de DRG envolvidos concordarem com isso. Dependendo da situação, um único administrador poderá ser responsável por todos os DRGs e VCNs envolvidos e pelas políticas relacionadas.
Para obter mais informações sobre as políticas obrigatórias e a configuração da VCN, consulte Políticas do IAM para Roteamento entre VCNs.
ROUTING TO THE DRG
Como parte da configuração das VCNs, cada administrador deve atualizar o roteamento da VCN para permitir que o tráfego flua entre as VCNs. Na prática, isso se assemelha ao roteamento que você configura para qualquer gateway (como gateway de Internet ou gateway de roteamento dinâmico). Para cada sub-rede que precisa se comunicar com a outra VCN, você atualiza a tabela de roteamento da sub-rede. A regra de roteamento especifica o CIDR do tráfego do destino e o DRG como o destino. A VCN roteia tráfego que corresponde a essa regra para o DRG, que, por sua vez, roteia esse tráfego para o próximo salto na outra VCN.
No diagrama a seguir, a VCN-1 e a VCN-2 estão pareadas. O tráfego de uma instância na Sub-rede A (10.0.0.15) destinado a uma instância na VCN-2 (192.168.0.15) é roteado para o DRG com base na regra da tabela de roteamento da Sub-rede A. A partir daí, o tráfego é roteado para a VCN-2. Depois, vai para o destino na Sub-rede X. O DRG nesse cenário usa uma tabela de roteamento padrão.
Esta imagem mostra as tabelas de roteamento e o caminho do tráfego roteado de uma VCN para outra.
Callout 1: Tabela de Roteamento da Sub-rede A
CIDR de Destino Destino da Rota
172.16.0.0/12 DRG
192.168.0.0/16 DRG
0.0.0.0/0 Gateway de Internet
Callout 2: Tabela de Roteamento da Sub-rede X
CIDR de Destino Destino da Rota
172.16.0.0/12 DRG
10.0.0.0/16 DRG
REGRAS DE SEGURANÇA
Cada sub-rede em uma VCN tem uma ou mais listas de segurança que controlam o tráfego de entrada e de saída das VNICs da sub-rede no nível do pacote. Você pode usar listas de segurança para controlar o tipo de tráfego permitido com a outra VCN. Como parte da configuração das VCNs, cada administrador deve decidir quais sub-redes em sua própria VCN precisam se comunicar com VNICs na outra VCN e atualizar as listas de segurança da sub-rede para correspondência.
Se você usar grupos de segurança de rede (NSGs) para implementar regras de segurança, observe que você poderá criar regras de segurança para um NSG que especifica outro NSG como origem ou destino do tráfego. Entretanto, os dois NSGs devem pertencer à mesma VCN.

Configurando este cenário na Console

Tarefa A: Criar um DRG

Um DRG criado antes de maio de 2021 não pode executar o roteamento entre redes locais e várias VCNs nem fornecer pareamento local entre VCNs. Se precisar dessa funcionalidade e aparecer um botão Fazer Upgrade do DRG, selecione-o.

Observação

A seleção do botão Atualizar DRG também redefina todas as sessões BGP existentes e interrompe temporariamente o tráfego da rede on-premises enquanto o DRG é atualizado. Lembre-se de que você não pode reverter o upgrade.

Se você criar um DRG na mesma região das VCNs que deseja parear, usando as etapas em Criando um DRG.

Tarefa B: Anexar a VCN-A ao DRG
Observação

Um DRG atualizado pode ser anexado a muitas VCNs, mas uma VCN só pode ser anexada a um DRG de cada vez. O anexo é criado automaticamente no compartimento que contém a VCN. Uma VCN não precisa estar no mesmo compartimento ou na mesma tenancy que o DRG submetido a upgrade.

Você pode eliminar as conexões de pareamento local do design geral da rede se conectar várias VPNs na mesma região ao mesmo DRG e configurar as tabelas do roteamento do DRG adequadamente.

O pareamento das VCNs em diferentes tenancies requer mais políticas do serviço IAM para autorização entre tenancies. Consulte Políticas do Serviço IAM para Roteamento entre VCNs para obter detalhes sobre as permissões necessárias. Quando você anexar uma VCN em outra região a um DRG, use as etapas em Anexando um DRG a uma VCN em Outra Tenancy.

Anexe a VCN-A ao DRG criado na Tarefa A. Você pode anexar um DRG a uma VCN ou anexar uma VCN a um DRG.

Tarefa C: Anexar a VCN-B ao DRG
Observação

Um DRG pode ser anexado a muitas VCNs, mas a VCN só pode ser anexada a um DRG de cada vez. O anexo é criado automaticamente no compartimento que contém a VCN. Uma VCN não precisa estar no mesmo compartimento do DRG.

Você pode eliminar as conexões de pareamento local do design geral da rede se conectar várias VPNs na mesma região ao mesmo DRG e configurar as tabelas do roteamento do DRG adequadamente.

O pareamento das VCNs em diferentes tenancies requer mais políticas do serviço IAM para autorização entre tenancies. Consulte Políticas do Serviço IAM para Roteamento entre VCNs para obter detalhes sobre as permissões necessárias. Quando você anexar uma VCN em outra região a um DRG, use as etapas em Anexando um DRG a uma VCN em Outra Tenancy.

Anexe a VCN-B ao DRG criado na Tarefa A. Você pode anexar um DRG a uma VCN ou anexar uma VCN a um DRG.

Tarefa D: Configurar tabelas de roteamento na VCN-A para enviar o tráfego destinado ao CIDR da VCN-B para o anexo do DRG

Como mencionado anteriormente, cada administrador poderá executar essa tarefa antes ou depois que a VCN for anexada ao DRG.

Pré-requisito: Cada administrador deve ter o bloco CIDR para a outra VCN ou para sub-redes específicas nessa VCN.

Para VCN-A, decida quais sub-redes na VCN-A precisam se comunicar com a VCN-B e atualize a tabela de roteamento para cada uma dessas sub-redes a fim de incluir uma nova regra que direcione o tráfego destinado ao CIDR da outra VCN para o DRG. Utilizar as definições:

  • Tipo de Destino: Gateway de Roteamento Dinâmico.
  • Bloco CIDR de Destino: O bloco CIDR da VCN-B. Se quiser, você poderá especificar uma sub-rede ou um subconjunto específico do CIDR da VCN-B.
  • Compartimento de Destino: o compartimento com a outra VCN, se não o compartimento atual.
  • Destino: O DRG criado na Tarefa A.
  • Descrição: Uma descrição opcional da regra.

Qualquer tráfego da sub-rede com um destino que corresponda à regra é roteado para o DRG. Para obter mais informações sobre a configuração de regras de roteamento, consulte Tabelas de Roteamento da VCN.

Se no futuro você não precisar mais do pareamento e quiser encerrar o relacionamento de pareamento, primeiro exclua todas as regras de roteamento na VCN que especificam a outra VCN.

Dica

Sem o roteamento necessário, o tráfego não flui entre as VCNs pareadas. Se ocorrer uma situação em que você precise interromper temporariamente o relacionamento de pareamento, remova as regras de roteamento que permitem o tráfego.
Tarefa E: Configurar tabelas de roteamento na VCN-B para enviar tráfego destinado ao CIDR da VCN-A para o anexo do DRG

Como mencionado anteriormente, cada administrador poderá executar essa tarefa antes ou depois que a VCN for anexada ao DRG.

Pré-requisito: cada administrador deve ter o bloco CIDR ou as sub-redes específicas da outra VCN.

Para a VCN-B, decida quais sub-redes na VCN-B precisam se comunicar com a VCN-A e atualize a tabela de roteamento para cada uma dessas sub-redes a fim de incluir uma nova regra que direcione o tráfego destinado ao CIDR da outra VCN para o DRG. Utilizar as definições:

  • Tipo de Destino: Gateway de Roteamento Dinâmico.
  • Bloco CIDR de Destino: O bloco CIDR da VCN-A. Se desejar, você poderá especificar uma determinada sub-rede do bloco CIDR da VCN-A.
  • Compartimento de Destino: o compartimento com a outra VCN, se não o compartimento atual.
  • Destino: O DRG criado na Tarefa A.
  • Descrição: Uma descrição opcional da regra.

Qualquer tráfego da sub-rede com um destino que corresponda à regra é roteado para o DRG. Para obter mais informações sobre a configuração de regras de roteamento, consulte Tabelas de Roteamento da VCN.

Se mais tarde você não precisar mais do pareamento e quiser encerrar o relacionamento de pareamento, exclua todas as regras de roteamento na VCN que especificam a outra VCN como destino.

Dica

Sem o roteamento necessário, o tráfego não flui entre as VCNs pareadas. Se precisar interromper temporariamente o pareamento, você poderá remover as regras de roteamento que permitem o tráfego.
Tarefa F: Atualizar regras de segurança.

Como mencionado anteriormente, cada administrador pode executar essa tarefa antes ou depois de a conexão ser estabelecida.

Pré-requisito: cada administrador deve ter o bloco CIDR ou as sub-redes específicas da outra VCN. Em geral, use o mesmo bloco CIDR usado na regra de tabela de roteamento do procedimento Tarefa E: Configurar as tabelas de roteamento.

Adicione as seguintes regras:

  • Regras de entrada para os tipos de tráfego que você deseja permitir a partir do CIDR da outra VCN ou de sub-redes específicas.
  • Regra de saída para permitir o tráfego de saída da VCN local para a outra VCN. Se a sub-rede já tiver uma regra de saída ampla para todos os tipos de protocolos a todos os destinos (0.0.0.0/0), não será necessário adicionar uma especial para a outra VCN.
Observação

O procedimento a seguir usa listas de segurança, mas você pode, em vez disso, implementar as regras de segurança em um grupo de segurança de rede e criar todos os recursos da sub-rede nesse NSG.

Para cada VCN, decida quais sub-redes da VCN local precisam se comunicar com a outra VCN e atualize a lista de segurança para cada uma dessas sub-redes a fim de incluir regras que permitam o tráfego de saída ou de entrada pretendido com o bloco CIDR ou a sub-rede da outra VCN

Exemplo

Para adicionar uma regra com monitoramento de estado que permita tráfego HTTPS de entrada (porta 443) do CIDR da outra VCN, use as seguintes definições para implementar essa regra:

  • Deixe a caixa de seleção Sem Monitoramento de Estado desmarcada.
  • Tipo de Origem: deixe como CIDR.
  • CIDR de origem: Informe o mesmo bloco CIDR que as regras da rota usam (consulte Tarefa D ou Tarefa E).
  • Protocolo IP: deixe como TCP.
  • Intervalo de Portas de Origem: deixe como Todos.
  • Intervalo de Portas de Destino: insira 443.
  • Descrição: Uma descrição opcional da regra.

Para obter mais informações sobre regras de segurança, consulte Regras de Segurança.