Documentação do Oracle Cloud Infrastructure

Pareamento Remoto de VCN por meio de um DRG Atualizado

Este tópico trata do pareamento remoto de VCNs.

Nesse caso, remoto significa que as redes virtuais na nuvem (VCNs) estão cada uma anexadas a um gateway de roteamento dinâmico (DRG) diferente que reside em uma região diferente. Se as VCNs que você deseja conectar estiverem na mesma região, consulte Pareamento de VCN Local por Meio de um DRG Atualizado.

Observação

Esse cenário está disponível para um DRG legado ou submetido a upgrade, com a exceção de que um DRG legado não suportará a conexão de DRGs em tenancies distintas. Consulte Versões do DRG para obter um detalhamento das possíveis versões do DRG.

Antes de tentar implementar esse cenário, verifique se:

  • A VCN A está anexada ao DRG A na região 1
  • A VCN B está anexada ao DRG B na região 2
  • A configuração de roteamento nos dois DRGs não foi alterada
  • Permissões apropriadas do IAM são aplicadas para VCNs que estão nas mesmas tenancies ou em tenancies diferentes

Visão Geral do Pareamento Remoto de VCNs

Pareamento remoto de VCN é o processo de conexão de duas VCNs em diferentes regiões. O pareamento permite que os recursos da VCNs se comuniquem usando endereços IP privados sem rotear o tráfego pela internet ou por meio da sua rede local. As VCNs podem estar na mesma tenancy do Oracle Cloud Infrastructure ou em tenancies distintas. Sem pareamento, uma VCN precisa de um gateway de internet e de endereços IP públicos para as instâncias que precisam se comunicar com outra VCN em outra região.

Resumo dos Componentes do serviço Networking para Pareamento Remoto

De forma geral, os componentes do serviço Networking necessários para um pareamento local incluem:

  • Duas VCNs com CIDRs não sobrepostos, na mesma região

    Observação

    Nenhum CIDR da VCN pode ser sobreposto

    As duas VCNs no relacionamento de pareamento não podem ter CIDRs sobrepostos. Além disso, se uma VCN específica tiver vários relacionamentos de pareamento, as outras VCNs não deverão ter CIDRs que se sobreponham entre si. Por exemplo, se a VCN-1 for pareada com a VCN-2 e também com a VCN-3, a VCN-2 e a VCN-3 não deverão ter CIDRs que se sobreponham.

    Se você estiver configurando esse cenário, precisará atender a esse requisito no estágio de planejamento. É provável que haja problemas de roteamento quando ocorrerem CIDRs sobrepostos, mas as operações da Console ou da API não impedem que você crie uma configuração que cause problemas.

  • Um DRG (gateway de roteamento dinâmico) anexado a cada VCN no relacionamento de pareamento. Sua VCN já terá um DRG se você estiver usando um túnel IPSec de VPN Site a Site ou um circuito virtual privado FastConnect do Oracle Cloud Infrastructure.
  • Uma conexão de pareamento remoto (RPC) em cada DRG no relacionamento de pareamento.
  • Uma conexão entre essas duas RPCs.
  • Suporte a regras de roteamento para permitir que o tráfego flua pela conexão e somente entre sub-redes selecionadas nas respectivas VCNs (se desejado).
  • Suporte a regras de segurança para controlar os tipos de tráfego permitidos entre as instâncias nas sub-redes que precisam se comunicar com a outra VCN.

O diagrama a seguir ilustra os componentes.

Esta imagem mostra o layout básico de duas VCNs que estão pareadas remotamente, cada uma com uma conexão de pareamento remoto no DRG
Observação

Uma determinada VCN pode usar as RPCs conectadas para acessar somente VNICs na outra VCN, ou na sua rede on-premises, se o DRG tiver uma conexão com um CPE on-premises. Por exemplo, se a VCN-1 no diagrama anterior tivesse um gateway de internet, as instâncias na VCN-2 NÃO poderiam usá-la para enviar o tráfego a pontos finais na internet. Para obter mais informações, consulte Implicações Importantes do Pareamento.

Implicações Importantes do Pareamento

Se você ainda não tiver feito, leia Implicações Importantes do Pareamento para entender o controle de acesso, a segurança e as implicações de desempenho das VCNs pareadas.

O pareamento de VCNs em diferentes tenancies tem algumas complicações de permissões que precisam ser resolvidas em ambas as tenancies. Consulte Políticas do Serviço IAM para Roteamento entre VCNs para obter detalhes sobre as permissões necessárias.

Spoke para Spoke: Pareamento Remoto com Roteamento de Trânsito (Somente DRGs Legados)

Observação

O cenário mencionado desta seção ainda é suportado, mas a Oracle recomenda que você use o método de roteamento de trânsito do DRG descrito em Roteando o tráfego por meio de um appliance virtual de rede central.

Imagine que, em cada região, você tenha várias VCNs em um layout de hub e spoke, conforme mostrado no diagrama a seguir. Esse tipo de layout dentro de uma região é abordado com detalhes em Roteamento de Trânsito dentro de uma VCN hub. As VCNs spokes de uma região são imediatamente pareadas com a VCN hub na mesma região, usando gateways de pareamento local.

Você pode configurar o pareamento remoto entre as duas VCNs hubs. Você então poderá configurar também o roteamento de trânsito do DRG e de LPGs da VCN hub, conforme descrito em Roteamento de Trânsito dentro de uma VCN hub. Essa configuração permite que uma VCN spoke em uma região se comunique com uma ou mais VCNs spokes na outra região sem precisar de uma conexão de pareamento remoto direta entre essas VCNs.

Por exemplo, você pode configurar o roteamento de forma que os recursos na VCN-1-A possam se comunicar com recursos na VCN-2-A e na VCN-2-B por meio das VCNs hubs. Dessa forma, a VCN 1-A não precisa ter um pareamento remoto separado com cada VCN spoke da outra região. Você também pode configurar o roteamento para que a VCN-1-B possa se comunicar com as VCNs spoke na região 2, sem precisar de pareamentos remotos específicos para eles.

Esta imagem mostra o layout básico de duas regiões com VCNs em um layout hub e spoke, com pareamento remoto entre as VCNs hub.

Spoke para Spoke: Pareamento Remoto com Roteamento de Trânsito (DRG Atualizado)

Observação

O cenário em esta seção usa o método de roteamento de trânsito do DRG descrito em Roteando o tráfego por meio de um appliance virtual de rede central.

Imagine que, em cada região, você tenha várias VCNs em um layout de hub e spoke, conforme mostrado no diagrama a seguir. Esse tipo de layout dentro de uma região é abordado com detalhes em Roteamento de Trânsito dentro de uma VCN hub. As VCNs spoke em uma determinada região são pareadas localmente com o par DRG/VCN hub na mesma região por conexão mútua com o DRG.

Você pode configurar o pareamento remoto entre as duas VCNs hubs. You can then also set up transit routing for the hub VCN's DRG, as discussed in Routing traffic through a central network virtual appliance. Essa configuração permite que uma VCN spoke em uma região se comunique com uma ou mais VCNs spokes na outra região sem precisar de uma conexão de pareamento remoto direta entre essas VCNs.

Por exemplo, você pode configurar o roteamento de forma que os recursos na VCN-1-A possam se comunicar com recursos na VCN-2-A e na VCN-2-B por meio das VCNs hubs. Dessa forma, a VCN 1-A não precisa ter um pareamento remoto separado com cada VCN spoke da outra região. Você também pode configurar o roteamento para que a VCN-1-B possa se comunicar com as VCNs spoke na região 2, sem precisar de pareamentos remotos específicos para eles.

Esta imagem mostra o layout básico de duas regiões com VCNs em um layout hub e spoke, com pareamento remoto entre as VCNs hub.

Conceitos Importantes sobre Pareamento Remoto

Os conceitos a seguir ajudam a compreender os conceitos básicos do pareamento de VCNs e como estabelecer um pareamento remoto.

PEERING
Um pareamento é um relacionamento de pareamento único entre duas VCNs. Exemplo: Se a VCN-1 for pareada com outras duas VCNs, haverá dois pareamentos. A palavra remoto no termo pareamento remoto indica que as VCNs estão em diferentes regiões. Para esse método de pareamento remoto, as VCNs podem estar na mesma tenancy ou em tenancies diferentes.
VCN ADMINISTRATORS
Em geral, o pareamento de VCNs só poderá ocorrer se os dois administradores das VCNs estiverem de acordo com esse pareamento. Na prática, os dois administradores devem:
  • Compartilhar algumas informações básicas entre si.
  • Trabalhar de forma coordenada para configurar as políticas do Oracle Cloud Infrastructure Identity and Access Management necessárias para permitir o pareamento.
  • Configurar suas VCNs para o pareamento.
Dependendo da situação, um único administrador poderá ser responsável pelas VCNs e pelas políticas relacionadas. As VCNs podem estar na mesma tenancy ou em tenancies diferentes.
Para obter mais informações sobre as políticas obrigatórias e a configuração da VCN, consulte Políticas do IAM para Roteamento entre VCNs.
ACCEPTOR AND REQUESTOR
Para implementar as políticas do IAM necessárias para pareamento, os dois administradores das VCNs devem designar um administrador como solicitante e outro como aceitador. O solicitante deve ser quem inicia a solicitação para conectar os duas RPCs. Por sua vez, o aceitador deve criar uma política do IAM específica que permita ao solicitante estabelecer conexão com RPCs no compartimento do aceitador. Sem essa política, a solicitação do solicitante para conexão falhará.
REGION SUBSCRIPTION
Para fazer um pareamento com uma VCN em outra região, primeiro a sua tenancy deverá estar inscrita nessa região. Para obter informações sobre inscrições em regiões, consulte Gerenciando Regiões.
CONEXÃO DE PAREAMENTO REMOTO (RPC)
Uma conexão de pareamento remoto (RPC) é um componente que você cria no DRG anexado à sua VCN. O trabalho da RPC é atuar como um ponto de conexão para uma VCN remotamente pareada. Como parte da configuração de VCNs, cada administrador deve criar uma RPC para o DRG de sua respectiva VCN. Um DRG deve ter uma RPC separada para cada pareamento remoto estabelecido com a VCN. Para continuar o exemplo anterior: o DRG na VCN-1 teria duas RPCs para parear com outras duas VCNs. Na API, uma RemotePeeringConnection é um objeto que contém informações sobre o pareamento. Não é possível reutilizar uma RPC para estabelecer outro pareamento posteriormente.
CONNECTION BETWEEN TWO RPCS
Quando o solicitante inicia a solicitação de pareamento (na Console ou na API), ele está pedindo efetivamente para estabelecer conexão com as duas RPCs. O solicitante deve ter informações para identificar cada RPC (como a região e o OCID da RPC).
Ambos os administrador das VCNs podem encerrar um pareamento excluindo sua respectiva RPC. Nesse caso, o status da outra RPC muda para REVOKED. Em vez disso, o administrador pode processar a conexão não funcional removendo as regras de roteamento que permitem ao tráfego fluir pela conexão (consulte a seção a seguir).
ROUTING TO THE DRG
Como parte da configuração das VCNs, cada administrador deve atualizar o roteamento da VCN para permitir que o tráfego flua entre as VCNs. Para cada sub-rede que precisa se comunicar com a outra VCN, você atualiza a tabela de roteamento da sub-rede. A regra de roteamento especifica o CIDR do tráfego de destino e o seu DRG como alvo. O seu DRG roteia o tráfego correspondente à regra para o outro DRG, que, por sua vez, encaminha o tráfego para o próximo salto na outra VCN.
No diagrama a seguir, a VCN-1 e a VCN-2 estão pareadas. O tráfego de uma instância na Sub-rede A (10.0.0.15) destinado a uma instância na VCN-2 (192.168.0.15) é roteado para o DRG-1 com base na regra da tabela de roteamento da Sub-rede A. A partir daí, o tráfego é roteado por meio das RPCs para o DRG-2. Depois, vai para o destino na Sub-rede X.
Esta imagem mostra as tabelas de roteamento e o caminho do tráfego roteado de um DRG para o outro.
Callout 1: Tabela de Roteamento da Sub-rede A
CIDR de Destino Destino da Rota
0.0.0.0/0 Gateway de Internet
192.168.0.0/16 DRG-1
Callout 2: Tabela de Roteamento da Sub-rede X
CIDR de Destino Destino da Rota
10.0.0.0/16 DRG-2
Observação

Como mencionado anteriormente, uma determinada VCN pode usar as RPCs conectadas para só acessar VNICs na outra VCN ou na sua rede on-premises, e não nos destinos da internet. Por exemplo, no diagrama anterior, a VCN-2 não pode usar o gateway de internet anexado à VCN-1.

REGRAS DE SEGURANÇA
Cada sub-rede em uma VCN tem uma ou mais listas de segurança que controlam o tráfego de entrada e de saída das VNICs da sub-rede no nível do pacote. Você pode usar listas de segurança para controlar o tipo de tráfego permitido com a outra VCN. Como parte da configuração das VCNs, cada administrador deve determinar quais sub-redes de suas próprias VCNs precisam se comunicar com VNICs na outra VCN e deve atualizar as listas de segurança da sub-rede de forma adequada.
Se você usar grupos de segurança de rede (NSGs) para implementar regras de segurança, observe que você poderá criar regras de segurança para um NSG que especifica outro NSG como origem ou destino do tráfego. Entretanto, os dois NSGs devem pertencer à mesma VCN.

Implicações Importantes do Pareamento

Se você ainda não tiver feito, leia Implicações Importantes do Pareamento para entender o controle de acesso, a segurança e as implicações de desempenho das VCNs pareadas.

Configurando um Pareamento Remoto

Essa seção abrange o processo geral para configurar um pareamento entre duas VCNs em diferentes regiões.

Importante

O seguinte procedimento pressupõe que:

Visão geral das etapas obrigatórias:

  1. Crie os RPCs: cada administrador de RPC cria um LPG para o DRG de sua própria VCN.
  2. Compartilhe informações: os administradores compartilham as informações básicas necessárias.
  3. Estabeleça a conexão: O solicitante conecta as duas RPCs (consulte Conceitos Importantes sobre Pareamento Remoto para obter a definição de solicitante e aceitador).
  4. Atualizar as tabelas de roteamento: Cada administrador atualiza as tabelas de roteamento de suas VCNs para permitir o tráfego entre as VCNs pareadas, conforme desejado.
  5. Atualizar as regras de segurança: Cada administrador atualiza as regras de segurança de suas VCNs para permitir o tráfego entre as VCNs pareadas, conforme desejado.

Se você quiser, os administradores poderão executar as tarefas 4 e 5 antes de estabelecer a conexão. Cada administrador precisa conhecer o bloco CIDR ou as sub-redes específicas da VCN do outro administrador e compartilhar essas informações na tarefa 2.

Tarefa A: Criar as RPCs

Cada administrador cria uma RPC para sua própria VCN. "Você" no procedimento a seguir significa um administrador (o aceitador ou o solicitante).

Observação

Política Obrigatória do IAM para Criar RPCs

Se os administradores já tiverem amplas permissões de administrador de rede (consulte Permitir que os administradores de rede gerenciem uma rede na nuvem), eles terão permissão para criar, atualizar e excluir RPCs. Caso contrário, veja a seguir um exemplo de política que fornece as permissões necessárias a um grupo chamado RPCAdmins. A segunda instrução é necessária porque a criação de uma RPC afeta o DRG ao qual ela pertence; portanto, o administrador deve ter permissão para gerenciar DRGs.

Allow group RPCAdmins to manage remote-peering-connections in tenancy
Allow group RPCAdmins to manage drgs in tenancy
  1. Na Console, confirme que você está exibindo o compartimento que contém o DRG ao qual deseja adicionar o LPG. Para obter informações sobre compartimentos e controle de acesso, consulte Controle de Acesso.

  2. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em Gateway de roteamento dinâmico.

  3. Clique no DRG no qual você está interessado.
  4. Em Recursos, clique em Anexos de Conexões de Pareamento Remoto.
  5. Clique em Criar Conexão de Pareamento Remoto.

  6. Informe o seguinte:

    • Nome: um nome amigável para a RPC. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    • Criar no compartimento: o compartimento no qual você deseja criar a RPC, se for diferente do compartimento no qual você está trabalhando no momento.

  7. Clique em Criar Conexão de Pareamento Remoto.

    Em seguida, a RPC é criada e exibida na página Conexões de Pareamento Remoto no compartimento escolhido.

  8. Se você for o aceitador, anote a região e o OCID da RPC para fornecê-los posteriormente ao solicitante.
  9. Se as duas VCNs estiverem em tenancies diferentes, anote o OCID da sua tenancy (localizado na parte inferior da página na Console). Dê o OCID para o outro administrador posteriormente.
Tarefa B: Compartilhar informações

Esta tarefa é específica de uma conexão entre tenancies. Se a sua conexão estiver na mesma tenancy, você poderá passar para a próxima tarefa.

  • Se você for o aceitador, forneça estas informações ao solicitante (por exemplo, por e-mail ou por outro método fora de banda):

    • A região em que a sua VCN está (a tenancy do solicitante deverá estar inscrita nessa região).
    • O OCID da sua RPC.
    • Os blocos CIDR para sub-redes da sua VCN que você deseja que fiquem disponíveis à outra VCN. O solicitante precisa dessas informações ao configurar o roteamento para a VCN do solicitante.
    • Se as VCNs estiverem em tenancies diferentes: o OCID da sua tenancy.

  • Se você for o solicitante, forneça estas informações ao aceitador:

    • A região em que a sua VCN está (a tenancy do aceitador deverá estar inscrita nessa região).
    • Se as VCNs estiverem na mesma tenancy: O nome do grupo do IAM ao qual será concedido permissão para criar uma conexão no compartimento do aceitador (no exemplo da próxima tarefa, o grupo é RequestorGrp).
    • Se as VCNs estiverem em tenancies diferentes: o OCID da sua tenancy.
    • Os blocos CIDR para sub-redes da sua VCN que você deseja que fiquem disponíveis à outra VCN. O aceitador precisa dessas informações ao configurar o roteamento para a VCN do aceitador.
Tarefa C: Estabelecer a conexão

O solicitante deve executar esta tarefa.

Pré-requisito: o solicitante deve ter:

  • A região em que a VCN do aceitador está (a tenancy do solicitante deverá estar inscrita na região).
  • O OCID da RPC do aceitador.
  • O OCID da tenancy do aceitante (somente se a VCN do aceitador estiver em outra tenancy)
  1. Na Console, confirme que você está exibindo o compartimento que contém o DRG ao qual deseja adicionar o LPG. Para obter informações sobre compartimentos e controle de acesso, consulte Controle de Acesso.

  2. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em Gateway de roteamento dinâmico.

  3. Clique no DRG no qual você está interessado.
  4. Em Recursos, clique em Conexões de Pareamento Remoto.
  5. Exiba os detalhes da RPC do solicitante que você deseja conectar com a RPC do aceitador. Para fazer isso, clique no nome da RPC na coluna Conexão de Pareamento Remoto correspondente ao anexo de RPC criado na Tarefa A.
    Observação

    Se essa for uma RPC na mesma tenancy, você não precisará se preocupar se a RPC é estabelecida pelo solicitante ou pelo aceitador.
  6. Clique em Estabelecer Conexão.

  7. Informe o seguinte:

    • Região: a região que contém a VCN do aceitador. A lista inclui apenas as regiões que suportam pareamento remoto de VCNs e nas quais a sua tenancy está inscrita.
    • OCID da Conexão de Pareamento Remoto: o OCID da RPC do aceitador.

  8. Clique em Estabelecer Conexão.

A conexão é estabelecida, e o estado da RPC passa para PEERED.

Tarefa D: Configurar as tabelas de roteamento

Como mencionado anteriormente, cada administrador pode executar essa tarefa antes ou depois de a conexão ser estabelecida.

Pré-requisito: cada administrador deve ter o bloco CIDR ou as sub-redes específicas da outra VCN.

Para a sua própria VCN:

  1. Determine quais sub-redes da sua VCN precisam se comunicar com a outra VCN.

  2. Atualize a tabela de roteamento em relação a cada uma dessas sub-redes de modo a incluir uma nova regra que direcione para o seu DRG o tráfego destinado à outra VCN:

    1. Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
    2. Clique na VCN em que você está interessado.
    3. Em Recursos, clique em Tabelas de Roteamento.
    4. Clique na tabela de roteamento na qual você está interessado.

    5. Clique em Adicionar Regra de Roteamento e informe o seguinte:

      • Tipo de Destino: Gateway de Roteamento Dinâmico. O DRG anexado à VCN é selecionado automaticamente como alvo e você não precisa especificar o alvo.
      • Bloco CIDR de Destino: o bloco CIDR da outra VCN. Se quiser, você poderá especificar uma sub-rede ou um subconjunto específico do CIDR da VCN pareada.
      • Descrição: Uma descrição opcional da regra.
    6. Clique em Adicionar Regra de Roteamento.

Qualquer tráfego de sub-rede com um destino que corresponda à regra será roteado para o seu DRG. Para obter mais informações sobre a configuração de regras de roteamento, consulte Tabelas de Roteamento da VCN.

Dica

Sem o roteamento necessário, o tráfego não flui entre os DRGs pareados. Se ocorrer uma situação em que você precise interromper temporariamente o pareamento, simplesmente remova as regras de roteamento que permitem o tráfego. Não é necessário excluir as RPCs.
Tarefa E: Configurar as regras de segurança

Como mencionado anteriormente, cada administrador pode executar essa tarefa antes ou depois de a conexão ser estabelecida.

Pré-requisito: cada administrador deve ter o bloco CIDR ou as sub-redes específicas da outra VCN. Em geral, use o mesmo bloco CIDR usado na regra de tabela de roteamento do procedimento Tarefa E: Configurar as tabelas de roteamento.

Quais regras você deve adicionar?

  • Regras de entrada para os tipos de tráfego proveniente da outra VCN que você deseja permitir, especificamente do CIDR da VCN ou de sub-redes específicas.
  • Uma regra de saída para permitir o tráfego de saída da sua VCN para a outra VNC. Se a sub-rede já tiver uma regra de saída ampla para todos os tipos de protocolos a todos os destinos (0.0.0.0/0), não será necessário adicionar uma especial para a outra VCN.
Observação

O procedimento a seguir usa listas de segurança, mas você pode, em vez disso, implementar as regras de segurança em um grupo de segurança de rede e criar todos os recursos da sub-rede nesse NSG.

Para a sua própria VCN:

  1. Determine quais sub-redes da sua VCN precisam se comunicar com a outra VCN.

  2. Atualize a lista de segurança para cada uma dessas sub-redes para incluir regras que permitam o tráfego de saída ou de entrada desejado, especificamente com o bloco CIDR ou com uma sub-rede da outra VCN:

    1. Na Console, ao verificar a VCN na qual você está interessado, clique em Listas de Segurança.
    2. Clique na lista de segurança na qual você está interessado.
    3. Em Recursos, clique em Regras de Entrada ou Regras de Saída dependendo do tipo de regra com a qual você deseja trabalhar.

    4. Se quiser adicionar uma regra, clique em Adicionar Regra de Entrada (ou Adicionar Regra de Saída).

    5. Se quiser excluir uma regra existente, clique no menu Ações (Menu Ações) e depois clique em Remover.
    6. Se quiser editar uma regra existente, clique no menu Ações (Menu Ações) e, em seguida, clique em Editar.

Para obter mais informações sobre regras de segurança, consulte Regras de Segurança.