Pareamento Remoto de VCN por meio de um DRG Atualizado
Este tópico trata do pareamento remoto de VCNs.
Nesse caso, remoto significa que as redes virtuais na nuvem (VCNs) estão cada uma anexadas a um gateway de roteamento dinâmico (DRG) diferente que reside em uma região diferente. Se as VCNs que você deseja conectar estiverem na mesma região, consulte Pareamento de VCN Local por Meio de um DRG Atualizado.
Esse cenário está disponível para um DRG legado ou submetido a upgrade, com a exceção de que um DRG legado não suportará a conexão de DRGs em tenancies distintas. Consulte Versões do DRG para obter um detalhamento das possíveis versões do DRG.
Antes de tentar implementar esse cenário, verifique se:
- A VCN A está anexada ao DRG A na região 1
- A VCN B está anexada ao DRG B na região 2
- A configuração de roteamento nos dois DRGs não foi alterada
- Permissões apropriadas do IAM são aplicadas para VCNs que estão nas mesmas tenancies ou em tenancies diferentes
Visão Geral do Pareamento Remoto de VCNs
Pareamento remoto de VCN é o processo de conexão de duas VCNs em diferentes regiões. O pareamento permite que os recursos da VCNs se comuniquem usando endereços IP privados sem rotear o tráfego pela internet ou por meio da sua rede local. As VCNs podem estar na mesma tenancy do Oracle Cloud Infrastructure ou em tenancies distintas. Sem pareamento, uma VCN precisa de um gateway de internet e de endereços IP públicos para as instâncias que precisam se comunicar com outra VCN em outra região.
Resumo dos Componentes do serviço Networking para Pareamento Remoto
De forma geral, os componentes do serviço Networking necessários para um pareamento local incluem:
-
Duas VCNs com CIDRs não sobrepostos, na mesma região
Observação
Nenhum CIDR da VCN pode ser sobreposto
As duas VCNs no relacionamento de pareamento não podem ter CIDRs sobrepostos. Além disso, se uma VCN específica tiver vários relacionamentos de pareamento, as outras VCNs não deverão ter CIDRs que se sobreponham entre si. Por exemplo, se a VCN-1 for pareada com a VCN-2 e também com a VCN-3, a VCN-2 e a VCN-3 não deverão ter CIDRs que se sobreponham.
Se você estiver configurando esse cenário, precisará atender a esse requisito no estágio de planejamento. É provável que haja problemas de roteamento quando ocorrerem CIDRs sobrepostos, mas as operações da Console ou da API não impedem que você crie uma configuração que cause problemas.
- Um DRG (gateway de roteamento dinâmico) anexado a cada VCN no relacionamento de pareamento. Sua VCN já terá um DRG se você estiver usando um túnel IPSec de VPN Site a Site ou um circuito virtual privado FastConnect do Oracle Cloud Infrastructure.
- Uma conexão de pareamento remoto (RPC) em cada DRG no relacionamento de pareamento.
- Uma conexão entre essas duas RPCs.
- Suporte a regras de roteamento para permitir que o tráfego flua pela conexão e somente entre sub-redes selecionadas nas respectivas VCNs (se desejado).
- Suporte a regras de segurança para controlar os tipos de tráfego permitidos entre as instâncias nas sub-redes que precisam se comunicar com a outra VCN.
O diagrama a seguir ilustra os componentes.
Uma determinada VCN pode usar as RPCs conectadas para acessar somente VNICs na outra VCN, ou na sua rede on-premises, se o DRG tiver uma conexão com um CPE on-premises. Por exemplo, se a VCN-1 no diagrama anterior tivesse um gateway de internet, as instâncias na VCN-2 NÃO poderiam usá-la para enviar o tráfego a pontos finais na internet. Para obter mais informações, consulte Implicações Importantes do Pareamento.
Implicações Importantes do Pareamento
Se você ainda não tiver feito, leia Implicações Importantes do Pareamento para entender o controle de acesso, a segurança e as implicações de desempenho das VCNs pareadas.
O pareamento de VCNs em diferentes tenancies tem algumas complicações de permissões que precisam ser resolvidas em ambas as tenancies. Consulte Políticas do Serviço IAM para Roteamento entre VCNs para obter detalhes sobre as permissões necessárias.
Spoke para Spoke: Pareamento Remoto com Roteamento de Trânsito (Somente DRGs Legados)
O cenário mencionado desta seção ainda é suportado, mas a Oracle recomenda que você use o método de roteamento de trânsito do DRG descrito em Roteando o tráfego por meio de um appliance virtual de rede central.
Imagine que, em cada região, você tenha várias VCNs em um layout de hub e spoke, conforme mostrado no diagrama a seguir. Esse tipo de layout dentro de uma região é abordado com detalhes em Roteamento de Trânsito dentro de uma VCN hub. As VCNs spokes de uma região são imediatamente pareadas com a VCN hub na mesma região, usando gateways de pareamento local.
Você pode configurar o pareamento remoto entre as duas VCNs hubs. Você então poderá configurar também o roteamento de trânsito do DRG e de LPGs da VCN hub, conforme descrito em Roteamento de Trânsito dentro de uma VCN hub. Essa configuração permite que uma VCN spoke em uma região se comunique com uma ou mais VCNs spokes na outra região sem precisar de uma conexão de pareamento remoto direta entre essas VCNs.
Por exemplo, você pode configurar o roteamento de forma que os recursos na VCN-1-A possam se comunicar com recursos na VCN-2-A e na VCN-2-B por meio das VCNs hubs. Dessa forma, a VCN 1-A não precisa ter um pareamento remoto separado com cada VCN spoke da outra região. Você também pode configurar o roteamento para que a VCN-1-B possa se comunicar com as VCNs spoke na região 2, sem precisar de pareamentos remotos específicos para eles.
Spoke para Spoke: Pareamento Remoto com Roteamento de Trânsito (DRG Atualizado)
O cenário em esta seção usa o método de roteamento de trânsito do DRG descrito em Roteando o tráfego por meio de um appliance virtual de rede central.
Imagine que, em cada região, você tenha várias VCNs em um layout de hub e spoke, conforme mostrado no diagrama a seguir. Esse tipo de layout dentro de uma região é abordado com detalhes em Roteamento de Trânsito dentro de uma VCN hub. As VCNs spoke em uma determinada região são pareadas localmente com o par DRG/VCN hub na mesma região por conexão mútua com o DRG.
Você pode configurar o pareamento remoto entre as duas VCNs hubs. You can then also set up transit routing for the hub VCN's DRG, as discussed in Routing traffic through a central network virtual appliance. Essa configuração permite que uma VCN spoke em uma região se comunique com uma ou mais VCNs spokes na outra região sem precisar de uma conexão de pareamento remoto direta entre essas VCNs.
Por exemplo, você pode configurar o roteamento de forma que os recursos na VCN-1-A possam se comunicar com recursos na VCN-2-A e na VCN-2-B por meio das VCNs hubs. Dessa forma, a VCN 1-A não precisa ter um pareamento remoto separado com cada VCN spoke da outra região. Você também pode configurar o roteamento para que a VCN-1-B possa se comunicar com as VCNs spoke na região 2, sem precisar de pareamentos remotos específicos para eles.
Conceitos Importantes sobre Pareamento Remoto
Os conceitos a seguir ajudam a compreender os conceitos básicos do pareamento de VCNs e como estabelecer um pareamento remoto.
- PEERING
- Um pareamento é um relacionamento de pareamento único entre duas VCNs. Exemplo: Se a VCN-1 for pareada com outras duas VCNs, haverá dois pareamentos. A palavra remoto no termo pareamento remoto indica que as VCNs estão em diferentes regiões. Para esse método de pareamento remoto, as VCNs podem estar na mesma tenancy ou em tenancies diferentes.
- VCN ADMINISTRATORS
- Em geral, o pareamento de VCNs só poderá ocorrer se os dois administradores das VCNs estiverem de acordo com esse pareamento. Na prática, os dois administradores devem:
- ACCEPTOR AND REQUESTOR
- Para implementar as políticas do IAM necessárias para pareamento, os dois administradores das VCNs devem designar um administrador como solicitante e outro como aceitador. O solicitante deve ser quem inicia a solicitação para conectar os duas RPCs. Por sua vez, o aceitador deve criar uma política do IAM específica que permita ao solicitante estabelecer conexão com RPCs no compartimento do aceitador. Sem essa política, a solicitação do solicitante para conexão falhará.
- REGION SUBSCRIPTION
- Para fazer um pareamento com uma VCN em outra região, primeiro a sua tenancy deverá estar inscrita nessa região. Para obter informações sobre inscrições em regiões, consulte Gerenciando Regiões.
- CONEXÃO DE PAREAMENTO REMOTO (RPC)
- Uma conexão de pareamento remoto (RPC) é um componente que você cria no DRG anexado à sua VCN. O trabalho da RPC é atuar como um ponto de conexão para uma VCN remotamente pareada. Como parte da configuração de VCNs, cada administrador deve criar uma RPC para o DRG de sua respectiva VCN. Um DRG deve ter uma RPC separada para cada pareamento remoto estabelecido com a VCN. Para continuar o exemplo anterior: o DRG na VCN-1 teria duas RPCs para parear com outras duas VCNs. Na API, uma RemotePeeringConnection é um objeto que contém informações sobre o pareamento. Não é possível reutilizar uma RPC para estabelecer outro pareamento posteriormente.
- CONNECTION BETWEEN TWO RPCS
- Quando o solicitante inicia a solicitação de pareamento (na Console ou na API), ele está pedindo efetivamente para estabelecer conexão com as duas RPCs. O solicitante deve ter informações para identificar cada RPC (como a região e o OCID da RPC).
- ROUTING TO THE DRG
- Como parte da configuração das VCNs, cada administrador deve atualizar o roteamento da VCN para permitir que o tráfego flua entre as VCNs. Para cada sub-rede que precisa se comunicar com a outra VCN, você atualiza a tabela de roteamento da sub-rede. A regra de roteamento especifica o CIDR do tráfego de destino e o seu DRG como alvo. O seu DRG roteia o tráfego correspondente à regra para o outro DRG, que, por sua vez, encaminha o tráfego para o próximo salto na outra VCN.
- REGRAS DE SEGURANÇA
- Cada sub-rede em uma VCN tem uma ou mais listas de segurança que controlam o tráfego de entrada e de saída das VNICs da sub-rede no nível do pacote. Você pode usar listas de segurança para controlar o tipo de tráfego permitido com a outra VCN. Como parte da configuração das VCNs, cada administrador deve determinar quais sub-redes de suas próprias VCNs precisam se comunicar com VNICs na outra VCN e deve atualizar as listas de segurança da sub-rede de forma adequada.
Implicações Importantes do Pareamento
Se você ainda não tiver feito, leia Implicações Importantes do Pareamento para entender o controle de acesso, a segurança e as implicações de desempenho das VCNs pareadas.
Configurando um Pareamento Remoto
Essa seção abrange o processo geral para configurar um pareamento entre duas VCNs em diferentes regiões.
O seguinte procedimento pressupõe que:
- A sua tenancy está inscrita na outra região da VCN. Caso contrário, consulte Gerenciando Regiões.
- Você já tem uma VCN anexada ao seu DRG. Caso contrário, consulte Gateways de Roteamento Dinâmico.
- Você já configurou as políticas obrigatórias do IAM para a conexão. As políticas do IAM para pareamento remoto na mesma tenancy e entre tenancies são diferentes. Consulte Políticas do Serviço IAM para Roteamento entre VCNs
Visão geral das etapas obrigatórias:
- Crie os RPCs: cada administrador de RPC cria um LPG para o DRG de sua própria VCN.
- Compartilhe informações: os administradores compartilham as informações básicas necessárias.
- Estabeleça a conexão: O solicitante conecta as duas RPCs (consulte Conceitos Importantes sobre Pareamento Remoto para obter a definição de solicitante e aceitador).
- Atualizar as tabelas de roteamento: Cada administrador atualiza as tabelas de roteamento de suas VCNs para permitir o tráfego entre as VCNs pareadas, conforme desejado.
- Atualizar as regras de segurança: Cada administrador atualiza as regras de segurança de suas VCNs para permitir o tráfego entre as VCNs pareadas, conforme desejado.
Se você quiser, os administradores poderão executar as tarefas 4 e 5 antes de estabelecer a conexão. Cada administrador precisa conhecer o bloco CIDR ou as sub-redes específicas da VCN do outro administrador e compartilhar essas informações na tarefa 2.
Cada administrador cria uma RPC para sua própria VCN. "Você" no procedimento a seguir significa um administrador (o aceitador ou o solicitante).
Política Obrigatória do IAM para Criar RPCs
Se os administradores já tiverem amplas permissões de administrador de rede (consulte Permitir que os administradores de rede gerenciem uma rede na nuvem), eles terão permissão para criar, atualizar e excluir RPCs. Caso contrário, veja a seguir um exemplo de política que fornece as permissões necessárias a um grupo chamado RPCAdmins. A segunda instrução é necessária porque a criação de uma RPC afeta o DRG ao qual ela pertence; portanto, o administrador deve ter permissão para gerenciar DRGs.
Allow group RPCAdmins to manage remote-peering-connections in tenancy
Allow group RPCAdmins to manage drgs in tenancy
- Na Console, confirme que você está exibindo o compartimento que contém o DRG ao qual deseja adicionar o LPG. Para obter informações sobre compartimentos e controle de acesso, consulte Controle de Acesso.
-
- Clique no DRG no qual você está interessado.
- Em Recursos, clique em Anexos de Conexões de Pareamento Remoto.
- Clique em Criar Conexão de Pareamento Remoto.
-
Informe o seguinte:
- Nome: um nome amigável para a RPC. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
- Criar no compartimento: o compartimento no qual você deseja criar a RPC, se for diferente do compartimento no qual você está trabalhando no momento.
-
Clique em Criar Conexão de Pareamento Remoto.
Em seguida, a RPC é criada e exibida na página Conexões de Pareamento Remoto no compartimento escolhido.
- Se você for o aceitador, anote a região e o OCID da RPC para fornecê-los posteriormente ao solicitante.
- Se as duas VCNs estiverem em tenancies diferentes, anote o OCID da sua tenancy (localizado na parte inferior da página na Console). Dê o OCID para o outro administrador posteriormente.
Esta tarefa é específica de uma conexão entre tenancies. Se a sua conexão estiver na mesma tenancy, você poderá passar para a próxima tarefa.
-
Se você for o aceitador, forneça estas informações ao solicitante (por exemplo, por e-mail ou por outro método fora de banda):
- A região em que a sua VCN está (a tenancy do solicitante deverá estar inscrita nessa região).
- O OCID da sua RPC.
- Os blocos CIDR para sub-redes da sua VCN que você deseja que fiquem disponíveis à outra VCN. O solicitante precisa dessas informações ao configurar o roteamento para a VCN do solicitante.
- Se as VCNs estiverem em tenancies diferentes: o OCID da sua tenancy.
-
Se você for o solicitante, forneça estas informações ao aceitador:
- A região em que a sua VCN está (a tenancy do aceitador deverá estar inscrita nessa região).
- Se as VCNs estiverem na mesma tenancy: O nome do grupo do IAM ao qual será concedido permissão para criar uma conexão no compartimento do aceitador (no exemplo da próxima tarefa, o grupo é RequestorGrp).
- Se as VCNs estiverem em tenancies diferentes: o OCID da sua tenancy.
- Os blocos CIDR para sub-redes da sua VCN que você deseja que fiquem disponíveis à outra VCN. O aceitador precisa dessas informações ao configurar o roteamento para a VCN do aceitador.
O solicitante deve executar esta tarefa.
Pré-requisito: o solicitante deve ter:
- A região em que a VCN do aceitador está (a tenancy do solicitante deverá estar inscrita na região).
- O OCID da RPC do aceitador.
- O OCID da tenancy do aceitante (somente se a VCN do aceitador estiver em outra tenancy)
- Na Console, confirme que você está exibindo o compartimento que contém o DRG ao qual deseja adicionar o LPG. Para obter informações sobre compartimentos e controle de acesso, consulte Controle de Acesso.
-
- Clique no DRG no qual você está interessado.
- Em Recursos, clique em Conexões de Pareamento Remoto.
- Exiba os detalhes da RPC do solicitante que você deseja conectar com a RPC do aceitador. Para fazer isso, clique no nome da RPC na coluna Conexão de Pareamento Remoto correspondente ao anexo de RPC criado na Tarefa A.Observação
Se essa for uma RPC na mesma tenancy, você não precisará se preocupar se a RPC é estabelecida pelo solicitante ou pelo aceitador. - Clique em Estabelecer Conexão.
-
Informe o seguinte:
- Região: a região que contém a VCN do aceitador. A lista inclui apenas as regiões que suportam pareamento remoto de VCNs e nas quais a sua tenancy está inscrita.
- OCID da Conexão de Pareamento Remoto: o OCID da RPC do aceitador.
-
Clique em Estabelecer Conexão.
A conexão é estabelecida, e o estado da RPC passa para PEERED.
Como mencionado anteriormente, cada administrador pode executar essa tarefa antes ou depois de a conexão ser estabelecida.
Pré-requisito: cada administrador deve ter o bloco CIDR ou as sub-redes específicas da outra VCN.
Para a sua própria VCN:
- Determine quais sub-redes da sua VCN precisam se comunicar com a outra VCN.
-
Atualize a tabela de roteamento em relação a cada uma dessas sub-redes de modo a incluir uma nova regra que direcione para o seu DRG o tráfego destinado à outra VCN:
- Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
- Clique na VCN em que você está interessado.
- Em Recursos, clique em Tabelas de Roteamento.
- Clique na tabela de roteamento na qual você está interessado.
-
Clique em Adicionar Regra de Roteamento e informe o seguinte:
- Tipo de Destino: Gateway de Roteamento Dinâmico. O DRG anexado à VCN é selecionado automaticamente como alvo e você não precisa especificar o alvo.
- Bloco CIDR de Destino: o bloco CIDR da outra VCN. Se quiser, você poderá especificar uma sub-rede ou um subconjunto específico do CIDR da VCN pareada.
- Descrição: Uma descrição opcional da regra.
- Clique em Adicionar Regra de Roteamento.
Qualquer tráfego de sub-rede com um destino que corresponda à regra será roteado para o seu DRG. Para obter mais informações sobre a configuração de regras de roteamento, consulte Tabelas de Roteamento da VCN.
Sem o roteamento necessário, o tráfego não flui entre os DRGs pareados. Se ocorrer uma situação em que você precise interromper temporariamente o pareamento, simplesmente remova as regras de roteamento que permitem o tráfego. Não é necessário excluir as RPCs.
Como mencionado anteriormente, cada administrador pode executar essa tarefa antes ou depois de a conexão ser estabelecida.
Pré-requisito: cada administrador deve ter o bloco CIDR ou as sub-redes específicas da outra VCN. Em geral, use o mesmo bloco CIDR usado na regra de tabela de roteamento do procedimento Tarefa E: Configurar as tabelas de roteamento.
Quais regras você deve adicionar?
- Regras de entrada para os tipos de tráfego proveniente da outra VCN que você deseja permitir, especificamente do CIDR da VCN ou de sub-redes específicas.
- Uma regra de saída para permitir o tráfego de saída da sua VCN para a outra VNC. Se a sub-rede já tiver uma regra de saída ampla para todos os tipos de protocolos a todos os destinos (0.0.0.0/0), não será necessário adicionar uma especial para a outra VCN.
O procedimento a seguir usa listas de segurança, mas você pode, em vez disso, implementar as regras de segurança em um grupo de segurança de rede e criar todos os recursos da sub-rede nesse NSG.
Para a sua própria VCN:
- Determine quais sub-redes da sua VCN precisam se comunicar com a outra VCN.
-
Atualize a lista de segurança para cada uma dessas sub-redes para incluir regras que permitam o tráfego de saída ou de entrada desejado, especificamente com o bloco CIDR ou com uma sub-rede da outra VCN:
- Na Console, ao verificar a VCN na qual você está interessado, clique em Listas de Segurança.
- Clique na lista de segurança na qual você está interessado.
- Em Recursos, clique em Regras de Entrada ou Regras de Saída dependendo do tipo de regra com a qual você deseja trabalhar.
-
Se quiser adicionar uma regra, clique em Adicionar Regra de Entrada (ou Adicionar Regra de Saída).
- Se quiser excluir uma regra existente, clique no menu e depois clique em Remover.
- Se quiser editar uma regra existente, clique no menu Ações (
) e, em seguida, clique em Editar.
Para obter mais informações sobre regras de segurança, consulte Regras de Segurança.