Conexão na Rede da Oracle
Este tópico descreve uma forma de configurar uma conexão entre uma rede IP do Oracle Cloud Infrastructure Classic e uma VCN (rede virtual na nuvem) do Oracle Cloud Infrastructure. A conexão é estabelecida na rede da Oracle.
Outra opção é conectar as duas nuvens à VPN Site a Site. Para obter mais informações, consulte Conexão por VPN Site a Site.
Destaques
- Você pode executar uma carga de trabalho híbrida entre os seus ambientes do Oracle Cloud Infrastructure Classic e do Oracle Cloud Infrastructure.
- O gateway privado da rede IP é conectado com o DRG (Dynamic Routing Gateway) anexado à VCN. A conexão é estabelecida na rede da Oracle. Você configura regras de roteamento e segurança nos ambientes para permitir o tráfego.
- Os dois ambientes devem pertencer à mesma empresa e não devem ter CIDRs que se sobreponham. Por meio da conexão, os recursos de nuvem só podem se comunicar com endereços IP privados.
- Os dois ambientes devem estar na área Ashburn, na área Londres ou na área Sydney e em regiões específicas listadas na seção a seguir. A conectividade com outras regiões não é suportada.
- A conexão está disponível sem custo.
Visão Geral
Você pode solicitar à Oracle que forneça uma conexão entre o seu ambiente do Oracle Cloud Infrastructure e o seu ambiente do Oracle Cloud Infrastructure Classic. A conexão facilita uma implantação híbrida com componentes do aplicativo que são configurados nos dois ambientes. Você também pode usar a conexão para migrar cargas de trabalho do Oracle Cloud Infrastructure Classic para o Oracle Cloud Infrastructure. Comparação com a VPN Site a Site: os recursos nos dois ambientes têm uma conexão de rede mais confiável e consistente, com melhor throughput, visto que o tráfego usa os links internos da Oracle. Em comparação com o FastConnect: você não incorre no custo adicional e na sobrecarga operacional de trabalhar com um parceiro FastConnect.
O diagrama a seguir mostra um exemplo de uma implantação híbrida. O Oracle Analytics Cloud está sendo executado em uma rede IP do Oracle Cloud Infrastructure Classic e está acessando o serviço Database do Oracle Cloud Infrastructure por meio dessa conexão.
Outros detalhes importantes a saber:
- A conexão é suportada somente entre estas regiões:
- A região Leste da Austrália (Sidney) do Oracle Cloud Infrastructure e a região Sidney Classic
- A região Oeste dos Estados Unidos (Ashburn) do Oracle Cloud Infrastructure e a região Ashburn Classic
- A região Sul do Reino Unido (Londres) do Oracle Cloud Infrastructure e a região Slough Classic
- A conexão permite uma comunicação que usa somente endereços IP privados.
- Os blocos CIDR da rede IP e das sub-redes VCN que precisarem se comunicar não deverão se sobrepor.
- A rede IP e a VCN devem pertencer à mesma empresa. Essas informações são validadas durante a configuração da conexão.
- Essa conexão permite apenas a comunicação entre recursos da rede IP do Oracle Cloud Infrastructure Classic e da VCN do Oracle Cloud Infrastructure. Ela não permite o tráfego entre a sua rede local e a VCN por meio da rede IP nem o tráfego entre a sua rede local e a rede IP por meio da VCN.
- A conexão também não permite que o tráfego flua da rede IP (por meio da VCN conectada) para uma VCN pareada na mesma região do Oracle Cloud Infrastructure ou em outra região.
A tabela a seguir resume os componentes de rede comparáveis necessários em cada lado da conexão.
| Componente | Oracle Cloud Infrastructure Classic | Oracle Cloud Infrastructure |
|---|---|---|
| Rede na nuvem | Rede IP | VCN |
| Gateway | gateway privado | gateway de roteamento dinâmico (DRG) |
| Roteamento | rotas | tabelas de roteamento com regras de roteamento |
| Regras de segurança | regras de segurança | grupos de segurança de rede, listas de segurança |
Conectando a Sua Rede IP e a VCN
O fluxograma a seguir mostra o processo geral para conectar a sua rede IP e a VCN.
Pré-requisitos:
Você deverá ter:
- Uma rede IP do Oracle Cloud Infrastructure Classic.
- Uma VCN com sub-redes do Oracle Cloud Infrastructure.
Caso ainda não tenha um gateway privado para a sua rede IP, crie um.
Se você ainda não tiver um DRG anexado à sua VCN, crie um DRG e anexe-o:
Quando você cria o gateway privado e anexa uma rede IP a ele, o tráfego dos recursos da nuvem na rede IP utiliza o gateway privado como o próximo salto. Não é necessário atualizar as rotas para a rede IP.
Você deve adicionar uma regra de roteamento que direcione o tráfego das sub-redes da VCN para o DRG:
- Determine quais sub-redes da sua VCN precisam se comunicar com a rede IP.
-
Atualize a tabela de roteamento em relação a cada uma dessas sub-redes para incluir uma nova regra que direcione o tráfego destinado ao CIDR da rede IP para o seu DRG:
- Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
- Clique na VCN em que você está interessado.
- Em Recursos, clique em Tabelas de Roteamento.
- Clique na tabela de roteamento na qual você está interessado.
-
Clique em Adicionar Regra de Roteamento e informe o seguinte:
- Bloco CIDR de Destino: o bloco CIDR da rede IP.
- Tipo de Destino: Gateway de Roteamento Dinâmico. O DRG anexado à VCN é selecionado automaticamente como alvo e você não precisa especificar o alvo.
- Descrição: Uma descrição opcional da regra.
- Clique em Adicionar Regra de Roteamento.
Qualquer tráfego de sub-rede com um destino que corresponda à regra será roteado para o seu DRG. Para obter mais informações sobre a configuração de regras de roteamento, consulte Tabelas de Roteamento da VCN.
Posteriormente, se você não precisar mais da conexão e quiser excluir o seu DRG, primeiro exclua da sua VCN todas as regras de roteamento que especificam o DRG como alvo.
Para garantir fluxos de tráfego entre a rede IP e a VCN, as regras de segurança da rede IP e as regras de segurança da VCN devem ser definidas para permitir tráfego.
Estes são os tipos de regras que podem ser adicionados:
- Regras de entrada para os tipos de tráfego que você deseja permitir de uma nuvem para a outra, especificamente o tráfego do bloco CIDR da outra nuvem.
- Uma regra de saída para permitir o tráfego de saída de uma nuvem para a outra. Se a sub-rede da VCN já tiver uma regra de saída ampla para todos os tipos de protocolos em todos os destinos (0.0.0.0/0), não será necessário adicionar uma regra especial para a rede IP.
Configure as regras de segurança de rede da rede IP de modo a permitir o tráfego.
O procedimento a seguir usa listas de segurança, mas você pode, em vez disso, implementar as regras de segurança em um ou mais grupos de segurança de rede e, em seguida, colocar os recursos da VCN em NSGs.
- Determine quais sub-redes da sua VCN precisam se comunicar com a rede IP.
-
Atualize a lista de segurança de cada uma dessas sub-redes para incluir regras que permitam o tráfego de saída ou de entrada especificamente com o bloco CIDR da rede IP:
- Na Console, ao verificar a VCN na qual você está interessado, clique em Listas de Segurança.
-
Clique na lista de segurança na qual você está interessado.
Em Recursos, você pode clicar em Regras de Entrada ou Regras de Saída para alternar entre os diferentes tipos de regras.
-
Adicione uma ou mais regras, cada uma para o tipo específico de tráfego que você deseja permitir.
Para obter mais informações sobre a configuração de regras de segurança, consulte Regras de Segurança.
A lista de segurança padrão da VCN não permite resposta de eco ICMP nem solicitação de eco (ping). Você deve adicionar regras para permitir esse tráfego. Consulte Regras para Permitir Solicitações de Ping
Digamos que você deseja adicionar uma regra com monitoramento de estado que permita o tráfego HTTPS de entrada (porta 443) proveniente do CIDR da rede IP. Estas são as etapas básicas que você executa ao adicionar uma regra:
- Na página Regras de Entrada, clique em Adicionar Regra de Entrada.
- Deixe a caixa de seleção Sem Estado desmarcada.
- CIDR de Origem: insira o mesmo bloco CIDR que as regras de roteamento utilizam (consulte Tarefa 3: Configurar tabelas de roteamento).
- Protocolo IP: deixe como TCP.
- Intervalo de Portas de Origem: deixe como Todos.
- Intervalo de Portas de Destino: insira 443.
- Descrição: Opcionalmente, insira uma descrição da regra.
- Clique em Adicionar Regra de Entrada.
Para que a Oracle configure a conexão, crie um ticket no My Oracle Support e forneça as seguintes informações:
- Nome do ticket: Criar Rede IP - Conexão da VCN - <your_company_name> - Ashburn
- Domínio de identidades do OCI-C
- Nome do gateway privado do OCI-C
- Região
- OCID da tenancy do OCI
- OCID do DRG do OCI
Por exemplo:
- Nome do ticket: Criar Rede IP - Conexão da VCN - ACME - Ashburn
- Domínio de identidades do OCI-C: 123456789, uscom-east-1
- Nome do gateway do OCI-C: Compute-acme/jack.jones@example.com/privategateway1
- Região: uscom-east-1 (OCI-C) / us-ashburn-1 (OCI)
- OCID da tenancy do OCI: ocid1.tenancy.oc1..examplefbpnk5cmdl7gkr6kcakfqmvhvbpcv
- OCID do DRG do OCI: ocid1.drg.oc1.iad.exampleutg6cmd3fqwqbea7ctadcatm
Pode demorar de três a quatro dias úteis para que o seu ticket do My Oracle Support seja concluído e a conexão esteja pronta para teste.
Após receber confirmação do pessoal de suporte de que a conexão está pronta, teste-a. Dependendo de como tiver configurado as regras de segurança da sua rede IP e as regras de segurança da VCN, você poderá iniciar uma instância na sua VCN e acessá-la por meio de uma instância na rede IP. Ou você poderá estabelecer conexão com uma instância na rede IP por meio da instância da VCN. Se você puder, a sua conexão estará pronta para uso.
Encerrando a Conexão
Se você quiser encerrar a conexão, abra um ticket no My Oracle Support.