Observação:

• Este tutorial requer acesso ao Oracle Cloud. Para se inscrever em uma conta gratuita, consulte Conceitos Básicos do Oracle Cloud Infrastructure Free Tier.
• Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.

Configurar a Conexão RPC entre Dois Tenants e seus Gateways de Roteamento Dinâmico

Introdução

Em um ambiente da Oracle Cloud Infrastructure (OCI) com vários locatários, permitir uma comunicação segura e eficiente entre diferentes locatários é crucial para arquiteturas de rede híbridas e distribuídas. Uma maneira de conseguir isso é configurando uma Conexão de Pareamento Remoto (RPC) entre dois tenants e seus DRGs (Dynamic Routing Gateways) correspondentes.

Objetivos

• Configure uma RPC entre dois DRGs em tenants OCI separados, garantindo conectividade perfeita entre redes. No final, você terá uma configuração de RPC funcional que permite um fluxo de tráfego seguro entre os tenants, ajudando a criar arquiteturas robustas de vários tenants na OCI.

Pré-requisitos

• Acesso a Dois Tenants do OCI: Você precisa de permissões de administrador ou apropriadas em ambos os tenants do OCI para configurar componentes de rede.

• DRGs em Ambos os Tenants: Cada tenant deve ter um DRG já criado e anexado a uma VCN (Rede Virtual na Nuvem).

• Compatibilidade da Região: Os DRGs devem estar na mesma região comercial da OCI ou em regiões diferentes que suportam RPC. A RPC entre regiões é suportada, mas ambas as regiões devem estar acessíveis. O Solicitante precisa estar inscrito na região Aceitador.

• Conectividade Pública ou Privada: Decida se você permitirá a comunicação por IPs privados e se garantirá que os blocos CIDR de sub-rede apropriados sejam planejados para evitar conflitos.

• VCNs e Configuração de Roteamento: As VCNs em ambos os tenants devem ter tabelas de roteamento e listas de segurança configuradas corretamente para permitir o tráfego na RPC.

• Políticas para Pareamento entre Tenants: Certifique-se de que as políticas do OCI IAM (Oracle Cloud Infrastructure Identity and Access Management) estejam em vigor para permitir o pareamento do DRG em diferentes tenants do OCI. Talvez seja necessário definir políticas para que ambos os tenants estabeleçam confiança.

Tarefa 1: Determinar o Solicitante e o Tenant do Aceitador

Na Oracle Cloud Infrastructure (OCI), ao configurar comunicações entre nuvens ou compartilhamento de recursos, é fundamental definir qual tenant é o Solicitante e qual é o Aceitador em termos de políticas do OCI IAM. Essas atribuições são controladas pelas políticas do OCI IAM, que definem permissões para usuários, grupos e compartimentos.

Ao definir claramente as atribuições Solicitante e Aceitador nas políticas do OCI IAM, você garante que as permissões sejam configuradas corretamente para permitir acesso seguro e controlado a recursos entre tenants e compartimentos do OCI. Ambos os tenants precisam trabalhar juntos para garantir que as permissões apropriadas sejam concedidas e que as políticas do OCI IAM sejam definidas de maneira que siga as melhores práticas de segurança.

• Tenant do Solicitante: O Solicitante é o tenant do OCI (ou compartimento específico dentro de um tenant) que inicia uma solicitação de acesso a recursos de outro tenant ou compartimento do OCI. As políticas do OCI IAM do Solicitante devem conceder as permissões necessárias para acessar os recursos do Aceitador. Por exemplo, o Solicitante pode precisar criar uma política que permita que seus usuários acessem um recurso no tenant Aceitador.

  O Solicitante também deve garantir que as atribuições certas do OCI IAM sejam designadas aos usuários ou grupos que fazem a solicitação.

• Tenant do Aceitador: O Aceitador é o tenant (ou compartimento) do OCI que recebe a solicitação de acesso e concede as permissões necessárias ao Solicitante. As políticas do OCI IAM do Aceitador devem definir quais ações o Solicitante pode executar e quais recursos ele pode acessar. As políticas do Aceitador também devem especificar os usuários ou grupos que têm permissão para aceitar tais solicitações, garantindo que o acesso seja gerenciado com segurança.

  Além de conceder acesso, o Aceitador deve configurar políticas do OCI IAM para especificar o que o Solicitante está autorizado a fazer, garantindo que o escopo adequado e os princípios de privilégio mínimo sejam seguidos.

A imagem a seguir mostra um exemplo de dois locatários conectados uns aos outros com RPC, em que um deles é definido como Solicitante (REQ) e o outro é Aceitante (ACC).

Tarefa 2: Inscrever a Região do Aceitante na Região do Solicitante

No contexto da configuração da RPC entre dois tenants do OCI, o Solicitante precisa estar inscrito na região de tenants Aceitadores, enquanto o Aceitador não precisa estar inscrito na região Solicitante. Eis o porquê:

Por que o Solicitante precisa estar inscrito no tenant Aceitador:

• Iniciando Comunicação: O tenant Solicitante é a entidade que inicia o RPC enviando solicitações ao tenant Aceitador. Para permitir essa comunicação, o Solicitante precisa estar inscrito no Aceitador, o que permite que ele reconheça e se conecte à rede e aos serviços do Aceitador.

• Estabelecendo Confiança e Conectividade: Ao assinar o tenant Aceitador, o tenant Solicitante estabelece a confiança e a conectividade necessárias para interagir com o ambiente do Aceitador. A assinatura garante que o Solicitante possa rotear o tráfego e as solicitações corretamente para os serviços do Aceitador pela conexão de pareamento.

Por que o aceitador não precisa estar inscrito no locatário do solicitante:

• Função Passiva do Aceitador: O tenant Aceitador só recebe solicitações do tenant Solicitante; ele não inicia nenhuma comunicação. Como o Aceitador está respondendo apenas às solicitações feitas pelo Solicitante, ele não precisa se inscrever no Solicitante. Ele simplesmente precisa estar acessível e configurado para lidar com solicitações recebidas.

• Comunicação Unidirecional: as RPCs geralmente são configuradas com um fluxo de comunicação unidirecional em que o Solicitante é o iniciador. O Aceitador não requer uma assinatura para o tenant do Solicitante, pois não precisa iniciar ou gerenciar conexões de saída.

Em resumo, o Solicitante deve se inscrever no Aceitador para iniciar RPCs e estabelecer conectividade, enquanto o Aceitador só precisa ser configurado para responder às solicitações e não requer uma assinatura para o locatário Solicitante.

Na imagem a seguir, você verá um exemplo da Console do OCI dos Solicitantes. Observe que o Solicitante está inscrito na região Aceitadores.

Na imagem a seguir, você verá um exemplo da Console do OCI para Aceitadores. Observe que os Aceitadores não estão inscritos na região Solicitantes.

Tarefa 3: Coletar os Parâmetros Obrigatórios

Reúna os parâmetros necessários para criar a política do OCI IAM para o Solicitante e o lado Aceitador. Esta é a tabela que mostra os campos obrigatórios na política do OCI IAM para os tenants Aceitante e Solicitante ao configurar o acesso à Chamada de Procedimento Remoto no OCI:

Informação Obrigatória	Tenant Solicitante	Tenant do Aceitador
OCID da Tenancy	X	X
Nome do Grupo	X
OCID do Grupo	X
Nome do Compartimento	X	X

Certifique-se de que essas informações sejam coletadas de ambos os lados antes de criar a política do OCI IAM.

Tarefa 4: Criar e Configurar a Política do OCI IAM no Solicitante e no Lado do Aceitante

A documentação oficial da política do OCI IAM para fazer o trabalho de RPC pode ser encontrada aqui: Pareamento Remoto com um DRG Atualizado.

Ao observar as políticas, você verá que, na política do OCI IAM para o Solicitante, algumas informações são necessárias do Aceitador e, para a política do Aceitador do OCI IAM, algumas informações são necessárias do Solicitante. Isso torna às vezes confuso criar as políticas, e se as políticas não estiverem corretas, o RPC não aparecerá e a solução de problemas será difícil.

Para superar esse problema, criamos a Ferramenta de Política de IAM do RPC. Há mais arquiteturas de rede RPC disponíveis, mas a Ferramenta de Política de IAM RPC só poderá ser usada se você estiver tentando criar uma RPC entre dois tenants do OCI diferentes, em que cada tenant tem seu próprio DRG.

Na imagem a seguir, você verá a forma que a Ferramenta de Política do RPC IAM fornecerá para inserir todos os detalhes necessários. O formulário solicitará mais informações que sejam realmente necessárias, mas é uma boa prática ter todas as informações em um só lugar antes de começar a configurar a RPC e as políticas do OCI IAM no lado Aceitante e Solicitante.

As informações e parâmetros do solicitante são marcados com a cor vermelha e as informações e parâmetros do aceitador são marcados com a cor azul.

A imagem a seguir mostra um exemplo de todas as informações preenchidas. Informe todos os campos obrigatórios e clique em Submeter.

A ferramenta gerará as seguintes informações:

• Um diagrama com os parâmetros que você usou para colocar as coisas em perspectiva.
• Uma tabela com todos os parâmetros que você usou (para que você possa capturar isso na tela ou copiá-lo em suas anotações para referência posterior).
• A política do OCI IAM para o Solicitante.
• A política do OCI IAM para o Aceitante.

Tarefa 4.1: Criar e Configurar a Política do OCI IAM no Lado do Solicitante

1. Faça log-in na Console do OCI, navegue até Identidade e Segurança e clique em Políticas.

2. Certifique-se de selecionar o compartimento raiz e clicar em Criar Política.

   

3. Especifique as seguintes informações e clique em Criar.

   • Digite um Nome e uma Descrição para a política.
   • Selecione Mostrar editor manual.
   • Copie/cole as declarações de política do lado Solicitante na política.

   

   Ao criar a política, você verá as instruções de política configuradas.

   

   Quando voltar à página de visão geral da política, você verá a política configurada.

   

Tarefa 4.2: Criar e Configurar a Política do OCI IAM no Lado do Aceitante

1. Faça log-in na Console do OCI, navegue até Identidade e Segurança e clique em Políticas.

2. Certifique-se de selecionar o compartimento raiz e clicar em Criar Política.

   

3. Especifique as seguintes informações e clique em Criar.

   • Digite um Nome e uma Descrição para a política.
   • Selecione Mostrar editor manual.
   • Copie/cole as declarações de política do lado Solicitante na política.

   

   Ao criar a política, você verá as instruções de política configuradas.

   

   Quando voltar à visão geral da política, você verá a política configurada.

   

Tarefa 5: Configurar os Anexos do DRG no DRG no Solicitante e no lado Aceitador

Precisamos criar um RPC no lado Solicitante e Aceitador.

Tarefa 5.1: Criar RPC no Lado do Solicitante

1. Vá para a Console do OCI, navegue até Rede e clique em Gateways de Roteamento Dinâmico.

2. Clique em Anexos da conexão de pareamento remoto e em Criar conexão de pareamento remoto.

   

3. Informe o nome e clique em Criar conexão de pareamento remoto.

   

Tarefa 5.2: Criar RPC no Lado do Aceitante

1. Vá para a Console do OCI, navegue até Rede e clique em Gateways de Roteamento Dinâmico.

2. Clique em Anexos da conexão de pareamento remoto e em Criar conexão de pareamento remoto.

   

3. Informe o nome e clique em Criar conexão de pareamento remoto.

   

4. Colete o OCID de RPC do lado Aceitante, pois precisamos usar esse OCID para estabelecer a conexão de RPC do lado Solicitante.

   

Tarefa 6: Estabelecer a Conexão do Lado do Solicitante

1. Vá para a Console do OCI no lado do Solicitante, navegue até Rede, Gateways de Roteamento Dinâmico e clique em Anexos de conexão de pareamento remoto.

2. Clique na conexão de pareamento remoto (configurada para o lado Aceitador) criada na Tarefa 5.

3. Clique em Estabelecer conexão.

   

4. Especifique as seguintes informações e clique em Estabelecer conexão.

   • Selecione a Região do Aceitador.
   • Cole o OCID do RPC coletado na Tarefa 5.

   

   Se o Solicitante estiver inscrito na região Aceitador e as políticas corretas do OCI IAM estiverem configuradas e o OCI RPC correto, o status de pareamento deverá ser alterado para Pareado no lado do Solicitante.

   

   Você pode clicar na RPC para verificar informações adicionais sobre o pareamento.

   • Observe que o Status do Par é Pareado.
   • Observe que a Região de Par é Jeddah.
   • Observe que este é um Pareamento entre Tenancies.

   

5. Também podemos verificar o status de pareamento no lado Aceitador.

   1. Vá para a Console do OCI no lado Aceitador, navegue até Rede, Gateways de Roteamento Dinâmico e clique em Anexos de conexão de pareamento remoto.

   2. Clique na conexão de pareamento remoto configurada para o lado do Solicitante.

   3. Observe que o status de pareamento também está definido como Pareado no lado Aceitador.

   

   Você pode clicar na RPC para verificar informações adicionais sobre o pareamento.

   • Observe que o Status do Par é Pareado.
   • Observe que a Região de Pares é Riad.
   • Observe que este é um Pareamento entre Tenancies.

   

Tarefa 7: Projetar arquiteturas RPC com três ou mais locatários

Também é possível criar conexões RPC entre mais de dois sites ou locatários.

• Na imagem a seguir, você pode ver que usamos três locatários diferentes:

  • Riad do OCI (Solicitante)
  • OCI Jeddah (Aceita)
  • OCI Dubai (Aceitador)

  Neste exemplo, Riad será algum tipo de site hub que atuará como Solicitante para dois Aceitadores.

  

• Na imagem a seguir, você pode ver que usamos três locatários diferentes:

  • Riad do OCI (Solicitante)
  • OCI Jeddah (Solicitante + Aceitador)
  • OCI Dubai (Aceitador)

  Neste exemplo, Riad será o Solicitante de Jeddah e Jeddah será o Solicitante de Dubai.

  

• Na imagem a seguir, você pode ver que usamos três locatários diferentes:

  • Riad do OCI (Solicitante + Aceitador)
  • OCI Jeddah (Aceita)
  • OCI Dubai (Solicitante)

  Neste exemplo, Riad será o Solicitante de Jeddah e o Aceitador de Dubai.

  

Conclusão

A configuração de uma RPC entre dois tenants do OCI requer planejamento cuidadoso, configuração precisa e as políticas corretas do OCI IAM. Ao seguir este tutorial passo a passo, você estabeleceu com sucesso um RPC seguro e funcional entre dois DRGs em tenants separados. Essa conexão permite uma comunicação perfeita entre redes, um componente crucial para criar arquiteturas OCI escaláveis e multitenant.

Para simplificar o processo e eliminar possíveis erros de política, a Ferramenta de Política de IAM do RPC fornece uma maneira fácil de gerar as políticas de IAM do OCI necessárias para os tenants Solicitante e Aceitador. Garantir que suas políticas, anexos do DRG e assinaturas regionais estejam configurados corretamente garantirá uma configuração de pareamento suave.

Além das configurações básicas de RPC, o design de arquiteturas multitenant com três ou mais tenants adiciona mais flexibilidade e escalabilidade à sua rede OCI. Compreender a função de cada tenant, seja como Solicitante, Aceitador ou ambos, permite que você crie ambientes robustos e interconectados que suportem cargas de trabalho híbridas e distribuídas de forma eficiente.

Ao aproveitar os recursos de rede da OCI, você pode criar arquiteturas entre tenants seguras, escaláveis e de alto desempenho que se alinhem às melhores práticas de rede empresarial. Se você encontrar problemas, revisitar políticas do OCI IAM e configurações do DRG é uma ótima primeira etapa na solução de problemas.

Com esse conhecimento em mãos, agora você está bem equipado para estabelecer e expandir conexões RPC na Oracle Cloud Infrastructure para atender aos requisitos de rede da sua organização.

Confirmações

• Autor - Iwan Hoogendoorn (Especialista em Rede da OCI)

Mais Recursos de Aprendizagem

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

---

Título e Informações de Copyright

Set up RPC Connection between Two Tenants and their Dynamic Routing Gateways

G30593-02

Copyright ©2025, Oracle and/or its affiliates.