Tablas de rutas de VCN
En este tema, se describe cómo gestionar las tablas de rutas en una red virtual en la nube (VCN). Para obtener más información sobre las tablas de rutas en un gateway de enrutamiento dinámico (DRG), consulte Gateways de enrutamiento dinámico.
Visión general de Direccionamiento para VCN
La VCN utiliza tablas de rutas para enviar tráfico fuera de la VCN (por ejemplo, a internet, a la red local o a una VCN con intercambio de tráfico). Estas tablas de rutas tienen reglas que parecen y actúan como las reglas de ruta de red tradicionales con las que es posible que esté familiarizado. Cada regla especifica un bloque CIDR de destino y el destino (el siguiente salto) para cualquier tráfico que coincida con ese CIDR.
Estos son los conceptos básicos sobre el enrutamiento en la VCN:
- El escenario de enrutamiento principal se utiliza para enviar el tráfico de una subred a destinos fuera de la subred. Una subred tiene una única tabla de rutas de su elección asociada a ella. Todas las VNIC de esa subred están sujetas a las reglas de la tabla de rutas. Las reglas controlan la forma en la que se enruta el tráfico que sale de la subred.
- La dirección local de la VCN gestiona automáticamente el tráfico entre las subredes de la VCN y dentro de ellas. El enrutamiento local no necesita definir reglas de ruta explícitas para activar el tráfico; las reglas de enrutamiento local son implícitas y no se muestran en la tabla de enrutamiento. El enrutamiento entre las subredes de una VCN se puede modificar agregando rutas estáticas (consulte Enrutamiento dentro de la VCN).
- Puede utilizar el rutamiento dentro de la VCN para especificar una IP privada de siguiente salto, un LPG o un DRG dentro de una VCN para el tráfico destinado a otra subred de la VCN. El enrutamiento dentro de la VCN permite casos de uso de virtualización de red y seguridad más complejos. OCI también soporta el enrutamiento dentro de la VCN para el tráfico que entra en una VCN a través de un gateway, además del tráfico entre subredes.
- Si una tabla de rutas tiene reglas que se solapan, Oracle utiliza la regla más específica de la tabla para enrutar el tráfico (es decir, la regla con la coincidencia de prefijo más larga). Se dice que dos CIDR se solapan cuando un CIDR está incluido en el otro. Las tablas de rutas de VCN contienen entradas para las rutas de VCN locales. Si crea una ruta estática para el bloque de CIDR de la VCN (con la misma longitud de prefijo que la ruta local de la VCN), la ruta estática tiene prioridad.
- Si ninguna regla de ruta coincide con el tráfico de red que desea enrutar fuera de la VCN, el tráfico se borrará (desaparecerá sin avisar).
- Las direcciones IPv6 están soportadas para todas las regiones comerciales y gubernamentales. Para obtener más información, consulte Direcciones IPv6.
Para obtener información importante sobre el enrutamiento entre su VCN y su red local, consulte Detalles de enrutamiento para conexiones a la red local.
Trabajar con tablas de rutas y reglas de rutas
Cada VCN incluye automáticamente una tabla de rutas por defecto que tiene reglas implícitas que incluyen las rutas de los CIDR de la VCN. Si no lo especifica, cada subred utiliza la tabla de rutas por defecto de la VCN. Al agregar reglas de ruta a su VCN, simplemente puede agregarlas a la tabla por defecto. No obstante, puede crear tablas de rutas personalizadas para cada subred si es necesario. Por ejemplo, si tiene una subred pública y una subred privada en la VCN (puede consultar un ejemplo en Escenario C: subredes públicas y privadas con una VPN), tendrá que utilizar diferentes tablas de rutas para las subredes porque las reglas de ruta de las subredes deben ser diferentes.
Cada subred de una VCN utiliza una única tabla de rutas. Al crear la subred, especifique cuál utilizar. Puede cambiar la tabla de rutas que utiliza la subred en cualquier momento. Asimismo, puede editar las reglas de una tabla de rutas o eliminar todas las reglas de la tabla.
También puede asignar un nombre descriptivo a una tabla de rutas personalizada durante la creación. No tiene que ser único y puede cambiarlo más adelante. Oracle asigna automáticamente la tabla de rutas un identificador único denominado ID de Oracle Cloud (OCID). Para obtener más información, consulte Identificadores de recursos.
Una regla de ruta especifica un bloque CIDR de destino y el destino (el siguiente salto) para cualquier tráfico que coincida con dicho CIDR. Estos son los tipos de destinos permitidos para una regla de ruta:
- Gateway de enrutamiento dinámico (DRG): para las subredes que necesitan acceso privado a redes conectadas a su VCN (por ejemplo, su red local conectada a una VPN de sitio a sitio o FastConnect, una VCN con intercambio de tráfico en la misma región o una VCN con intercambio de tráfico en otra región).
- Gateway de internet: para subredes públicas que necesitan acceso directo a internet.
- Gateway de NAT: para subredes con instancias que no tienen direcciones IP públicas, pero que necesitan acceso saliente a internet.
- Gateway de servicio: para subredes que necesitan acceso privado a servicios de Oracle como Object Storage.
- Gateway de intercambio de tráfico local (LPG): para subredes que necesitan acceso privado a una VCN con intercambio de tráfico en la misma región.
- IP privada: para subredes que tienen que enrutar tráfico a una instancia de la VCN. Para obtener más información, consulte Uso de una IP privada como destino de ruta. Consulte tambiénVisión general del enrutamiento de la VCN.
No es posible suprimir un recurso concreto cuando sea el destino de una regla de ruta. Por ejemplo, no puede suprimir un gateway de internet que tenga tráfico enrutado. Suprima todas las reglas (en todas las tablas de rutas) con ese gateway de internet como destino antes de intentar suprimir el gateway u otro recurso.
Al agregar una regla de ruta a una tabla de rutas, proporcione el bloque CIDR de destino y el destino (más el compartimiento donde se encuentra el destino). Excepción: si el destino es un gateway de servicios, en lugar de un bloque CIDR de destino, especifique una cadena proporcionada por Oracle que represente los puntos finales públicos para el servicio de interés. De esa manera, no tiene que saber todos los bloques CIDR del servicio, que podrían cambiar con el tiempo.
Si configura una regla de forma incorrecta (por ejemplo, introduce el bloque CIDR de destino incorrecto), es posible que el tráfico de red que quería enrutar se anule (desaparezca sin avisar) o que se envíe a un destino no deseado.
Puede mover tablas de rutas de un compartimento a otro. Mover una tabla de rutas no afecta a su asociación a VCN o subredes. Cuando mueve una tabla de rutas a un nuevo compartimiento, las políticas inherentes se aplican inmediatamente y afectan al acceso a la tabla de rutas. Para obtener más información, consulte Control de acceso.
No puede suprimir una tabla de rutas por defecto de una VCN. Para suprimir una tabla de rutas personalizada, esta no debe estar asociada a una subred ni a un gateway, como DRG, LPG, IGW, NGW o SGW.
Consulte la sección Límites de servicio para obtener una lista de límites aplicables e instrucciones para solicitar un aumento del límite.
Enrutamiento dentro de la VCN
El enrutamiento dentro de la VCN permite sustituir las decisiones de enrutamiento por defecto aplicadas al tráfico destinado a las direcciones IP incluidas en el bloque de CIDR de la VCN. El enrutamiento dentro de la VCN tiene las siguientes capacidades:
- Rutas locales: cada VCN enruta automáticamente el tráfico dentro de la VCN y entre las subredes de la VCN, a menos que agregue reglas de ruta indicando lo contrario. El tráfico local utiliza la tabla de rutas asociada a la subred, incluido el enrutamiento local en el CIDR de la VCN.
- Rutas personalizadas dentro de una VCN: son reglas de ruta que crea en la tabla de rutas de VCN o subred para el tráfico dentro de una VCN, que puede sustituir las rutas locales normales. Todas las rutas dentro de la VCN personalizadas tienen un destino (DRG, LPG o IP privada en la VCN) y un tipo de ruta estática.
- Mejor selección de ruta: se selecciona la coincidencia de prefijo más larga (o la ruta más específica). Si hay varias rutas para el mismo prefijo, la mejor ruta se selecciona según la siguiente prioridad de tipo de ruta:
- Rutas estáticas (definidas por el usuario)
- Las rutas locales implícitas (creadas automáticamente por OCI) no están visibles en la tabla de rutas
- IPv6: OCI soporta el enrutamiento dentro de la VCN para prefijos IPv6 de VCN.
El enrutamiento dentro de la subred no está soportado. El tráfico con una dirección IP de destino en la misma subred que la VNIC de origen se reenvía (no se enruta) directamente al destino adecuado.
Enrutamiento de entrada de gateway
- Gateway de intercambio de tráfico local (LPG)
- Gateways de enrutamiento dinámico
- Gateways de internet
- Gateways de NAT
- Gateways de servicio
Si asocia una tabla de rutas a uno de estos gateways, posteriormente el gateway deberá tener siempre una tabla de rutas asociada. Las reglas de la tabla de rutas asociada se pueden modificar o eliminar. Para un gateway de internet, el destino debe estar en una subred pública.
Uso del enrutamiento dentro de la VCN
- Crear reglas de rutas estáticas en la tabla de rutas de IGW que especifiquen un siguiente salto de 10.0.1.4 (un firewall) para el tráfico entrante.
- Crear tablas de rutas para las subredes A, B y C. El tráfico de internet a la subred B y C debe pasar por el dispositivo de firewall en 10.0.1.4 en la subred A. El tráfico entre las subredes B y C debe pasar por el mismo firewall.
En la siguiente imagen se muestra un ejemplo de enrutamiento interno:
| Destino | Objetivo | Tipo de ruta |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Estática |
| Destino | Objetivo | Tipo de ruta |
|---|---|---|
| 0.0.0.0/0 | IGW | Estática |
| Destino | Objetivo | Tipo de ruta |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Estática |
| 0.0.0.0/0 | 10.0.1.4 | Estática |
| Destino | Objetivo | Tipo de ruta |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Estática |
| 0.0.0.0/0 | 10.0.1.4 | Estática |
Política de IAM necesaria
Para que pueda utilizar Oracle Cloud Infrastructure, un administrador le debe otorgar acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si obtiene un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador el tipo de acceso que posee y en qué compartimento debería trabajar.
Para administradores: consulte Políticas de IAM para redes.
Esta sección es específica para los límites de las tablas de rutas de la VCN. Los límites de las tablas de rutas de DRG se proporcionan en la sección Límites de las tablas de rutas de DRG.
| Recurso | Ámbito | Créditos universales de Oracle | Pago por consumo o prueba |
|---|---|---|---|
| Tablas de rutas de VCN | VCN | 300 | 300 |
| Reglas de ruta | Tabla de rutas de VCN | 200 | 200 |
Uso de una IP privada como destino de ruta
Si no está familiarizado con la definición de una IP privada, consulte Direcciones IP privadas. En resumen: una IP privada es un objeto que contiene una dirección IP privada y propiedades relacionadas, y que tiene su propio OCID.
Casos de uso general
OCI utiliza una tabla de rutas de una subred determinada para enrutar el tráfico a una dirección IP de destino que está fuera de la subred. Si el destino está fuera de la VCN, normalmente debe configurar una regla de ruta para enrutar el tráfico a un gateway de la VCN (por ejemplo, un DRG conectado a la red local u otra VCN, o un gateway de internet conectado a internet). Si el destino está en otra subred de la misma VCN, por defecto el tráfico se enruta mediante la ruta local para el CIDR de la VCN. Sin embargo, puede que desee enrutar ese tráfico a través de una instancia de la VCN en primer lugar. En ese caso, puede utilizar una IP privada de la VCN como destino en lugar de un gateway de la VCN. A continuación, se muestran algunas razones por las que podría realizar esto:
- Para implementar un dispositivo de red virtual (NVA), como un firewall o detección de intrusiones, que filtra el tráfico saliente de las instancias.
- Para gestionar una red superpuesta en la VCN, que le permite ejecutar cargas de trabajo de orquestación de contenedores.
- Para implementar la traducción de direcciones de red (NAT) en la VCN. Tenga en cuenta que, en su lugar, Oracle recomienda utilizar un gateway de NAT con su VCN. En general, la NAT permite el acceso saliente de internet para las instancias que no tienen conectividad directa a internet.
Para implementar estos casos de uso, hay más que hacer que solo enrutar el tráfico a la instancia. Asimismo, se requiere configuración en la propia instancia.
Puede activar la alta disponibilidad del destino de ruta de IP privada mediante una dirección IP privada secundaria. En caso de fallo, puede mover la IP privada secundaria de una VNIC existente a otra VNIC de la misma subred. Consulte Movimiento de una dirección IP privada secundaria a una VNIC diferente ( instrucciones de la consola) y UpdatePrivateIp ( instrucciones de la API).
Requisitos para usar una IP privada como destino
- La IP privada debe estar en la misma VCN que la tabla de rutas.
- Se debe configurar la VNIC de la IP privada para omitir la comprobación de origen/destino para que la VNIC pueda desviar tráfico. De forma predeterminada, las VNIC se configuran para realizar la comprobación. Para obtener más información, consulte Visión general de las VNIC y las NIC físicas.
- Debe configurar la propia instancia para reenviar paquetes.
-
La regla de ruta debe especificar el OCID de la IP privada como destino, y no la propia dirección IP. Excepción: si utiliza la consola, puede especificar la propia dirección IP privada como destino, y la consola determina y utiliza el OCID correspondiente en la regla.
Importante
Una regla de ruta con un destino de IP privado puede provocar una interrupción en estos casos:- La instancia a la que está asignada la IP privada se ha detenido o finalizado
- La VNIC a la que está asignada la IP privada se ha actualizado para activar la comprobación de origen/destino o se ha suprimido
- La IP privada no está asignada desde la VNIC
Cuando una IP privada de destino finaliza, en la consola, la regla de ruta muestra una nota de que el OCID de destino ya no existe.
Para failover: si la instancia de destino finaliza antes de poner la IP privada secundaria en espera, debe actualizar la regla de ruta para utilizar el OCID de la nueva IP privada de destino en espera. La regla utiliza el OCID del destino y no la propia dirección IP privada.
Proceso de configuración general
- Determine qué instancia recibirá y reenviará el tráfico.
- Seleccione una IP privada en la instancia (puede estar en la VNIC principal de la instancia o en una VNIC secundaria). Si desea implementar el failover, configure una IP privada secundaria en una de las VNIC de la instancia.
- Desactive la comprobación de origen/destino en la VNIC de la IP privada. Consulte Visión general de las VNIC y las NIC físicas.
- Obtenga el OCID de la IP privada. Si utiliza la consola, puede obtener el OCID o la propia dirección IP privada, junto con el nombre del compartimiento de la IP privada.
- Para la subred que tiene que enrutar el tráfico a la IP privada, consulte la tabla de rutas de la subred. Si la tabla ya tiene una regla con el mismo CIDR de destino, pero un destino diferente, suprima dicha regla.
-
Agregue una regla de ruta con lo siguiente:
- Tipo de destino: consulte la lista de tipos de destino en Visión general del enrutamiento de la VCN. Si el tipo de destino es un DRG, el DRG asociado de la VCN se selecciona automáticamente como destino y no tiene que especificarlo usted mismo. Si el destino es un objeto IP privado, antes de especificar el destino, debe desactivar la comprobación de origen/destino en la VNIC que utiliza ese objeto IP privado. Para obtener más información, consulte Uso de una IP privada como destino de ruta.
- Grupo CIDR de destino: solo está disponible si el destino no es un gateway de servicio. El valor es el bloque CIDR de destino para el tráfico. Puede proporcionar un bloque de CIDR de destino específico o utilizar 0.0.0.0/0 si es necesario enrutar todo el tráfico que sale de la subred al destino especificado en esta regla.
- Servicio de destino: disponible solo si el destino es un gateway de servicio. El valor es la etiqueta CIDR del servicio que le interesa.
- Compartimiento: el compartimiento donde se encuentra el destino.
- Destino: el destino. Si el destino es un objeto IP privado, introduzca su OCID. Asimismo, puede introducir la propia dirección IP privada, en cuyo caso la consola determina el OCID correspondiente y lo utiliza como destino para la regla de ruta.
- Descripción: descripción opcional de la regla.
Como se ha mencionado anteriormente, debe configurar la propia instancia para reenviar paquetes.