Documentação do Oracle Cloud Infrastructure

Conectando VCNs por meio de um LPG (Local Peering Gateway)

No Private Cloud Appliance, Você pode configurar gateways de pareamento locais. O pareamento de VCN é o processo de conexão de várias VCNs (redes virtuais na nuvem) para que os recursos possam se comunicar usando endereços IP privados.

Você pode usar o pareamento de VCN para dividir sua rede em várias VCNs, por exemplo, com base em departamentos ou linhas de negócios, com cada VCN tendo acesso privado direto às outras. Você também pode colocar recursos compartilhados em uma única VCN que todas as outras VCNs podem acessar de forma privada. Duas VCNs pareadas podem estar na mesma tenancy ou em outras.

Políticas

O pareamento entre duas VCNs requer um acordo explícito de ambas as partes na forma de políticas do IAM que cada parte implementa para seu próprio compartimento ou tenancy da VCN. Se as VCNs estiverem em tenancies diferentes, cada administrador deverá fornecer o OCID da tenancy e colocar em prática instruções de política coordenadas especiais para ativar o pareamento.

Para implementar as políticas do IAM necessárias para pareamento, os dois administradores de VCN devem designar um administrador como o solicitante e o outro como o aceitador. O solicitador deve ser a moeda para iniciar a solicitação de conexão dos dois LPGs. Por sua vez, o aceitador deve criar uma política específica do serviço IAM que dê ao solicitador permissão para se conectar a LPGs no compartimento do aceitador, Sem essa política, falha na solicitação de conexão do solicitantes. O administrador da VCN pode excluir uma conexão de pareamento excluindo seu LPG.

Roteamento e Controle de Tráfego

Como parte da configuração das VCNs, cada administrador deve atualizar o roteamento da VCN para permitir o fluxo de tráfego entre as VCNs. Na prática, isso se parece com o roteamento configurado para qualquer gateway, como um gateway de internet ou um gateway de roteamento dinâmico. Para cada sub-rede que precisa se comunicar com a outra VCN, atualize a tabela da rota da sub-rede. A regra de roteamento especifica o CIDR do tráfego de destino e o seu LPG como alvo. O seu LPG roteia o tráfego correspondente à regra para o outro LPG, que, por sua vez, encaminha o tráfego para o próximo salto na outra VCN.

Você pode controlar o fluxo de pacotes pela conexão de pareamento com tabelas de roteamento na sua VCN. Por exemplo, você pode restringir o tráfego a apenas sub-redes específicas na VCN. Sem excluir o pareamento, você pode parar o fluxo de tráfego para a outra VCN removendo regras da rota que direcionam tráfego da sua VCN para a outra VCN. Você também pode interromper efetivamente o tráfego removendo regras de segurança que permitam o tráfego de entrada ou de saída com a outra VCN. Quando o tráfego flui sobre a conexão de pareamento não é interrompido, mas é interrompido no nível da VNIC.

Regras de Segurança

Cada administrador da VCN deve garantir que todo o tráfego de saída e de entrada com a outra VCN seja planejado, esperado e bem definido. Na prática, isso significa implementar regras de lista de segurança que declarem explicitamente os tipos de tráfego que a sua VCN pode enviar para a outra e pode aceitar da outra. Se suas sub-redes usarem a lista de segurança padrão, haverá duas regras permitindo tráfego de entrada SSH e ICMP de qualquer lugar, assim como a outra VCN. Avalie essas regras e se deseja mantê-las ou atualizá-las.

Além de listas de segurança e firewalls, avalie outras configurações baseadas no sistema operacional nas instâncias da sua VCN. Pode haver configurações padrão que não se aplicam ao seu próprio CIDR de VCN, mas que se aplicam inadvertidamente ao outro CIDR de VCN.

Conectando VCNs por meio de um LPG (Local Peering Gateway)

No Private Cloud Appliance, um LPG (Local Peering Gateway) é uma forma de conectar VCNs para que elementos em cada VCN possam se comunicar, mesmo usando endereço IP privado.

Os seguintes componentes são necessários para configurar uma conexão de pareamento:

  • Duas VCNs com CIDRs não sobrepostos

  • Um GLP (Local Peering Gateway) em cada VCN no relacionamento de pareamento

  • Uma conexão entre os dois LPGs

  • Regras de roteamento para permitir tráfego na conexão de pareamento de/para as sub-redes desejadas nas respectivas VCNs

  • Regras de segurança para controlar os tipos de tráfego permitidos de/ para as instâncias nas sub-redes em questão

    1. No menu de navegação UI da Web de Computação, em Rede, selecione Redes Virtuais na Nuvem.

      Uma lista de VCNs configuradas anteriormente em compartimentos é exibida. Se o compartimento no qual você está criando o gateway de pareamento local não for exibido, use o menu drop-down para selecionar o compartimento correto.

    2. Selecione o nome da VCN.

    3. No menu Recursos, selecione LPG (Local Peering Gateways).

    4. Selecione Criar Pareamento Local Gateway.

    5. Especifique as informações necessárias:

      • Nome: Informe um nome. Evite digitar informações confidenciais.

      • Criar no Compartimento: Selecione o compartimento no qual o gateway de pareamento local será criado.

      • Associação da Tabela de Roteamento (Opcional) Opcionalmente, você pode associar uma tabela de roteamento ao gateway de pareamento local. Uma lista de tabelas de roteamento configuradas para o compartimento selecionado está em um menu drop-down. Você pode alterar o compartimento selecionando (change) ao lado do nome do compartimento.

      • Tagging: (Opcional) Adicione tags definidas ou de formato livre para esse recurso, conforme descrito em Adicionando Tags na Criação de Recursos. As tags também podem ser aplicadas posteriormente.

    6. Selecione Criar Pareamento Local Gateway.

      O LPG (Local Peering Gateway) agora está pronto para conectar VCNs com a opção Establish Peering Connection e pronto para a adição de regras de roteamento ou configurações de segurança.

  • Use o comando oci network local-peering-gateway create e os parâmetros necessários para criar um novo LPG (Local Peering Gateway) para a VCN especificada.

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    Para obter uma lista completa de comandos, flags e opções da CLI, consulte a Referência de Linha de Comandos.

  • Use a operação CreateLocalPeeringGateway para criar um novo LPG (Local Peering Gateway) para a VCN especificada.

    Para obter informações sobre como usar a API e assinar solicitações, consulte APIs REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte Kits de Desenvolvimento de Software e Interface de Linha de Comando.