Acesso a Outras VCNs: Pareamento

O pareamento de VCNs é o processo de conexão de várias redes virtuais na nuvem (VCNs). Há quatro tipos de pareamento de VCNs:

Você pode usar o pareamento de VCNs para dividir a sua rede em várias VCNs (por exemplo, com base em departamentos ou linhas de negócios), com cada VCN tendo acesso direto e privado a outras. Não é necessário que o tráfego flua pela Internet ou pela rede on-premises por meio de uma conexão VPN Site a Site ou FastConnect. Você também pode colocar recursos compartilhados em uma única VCN que todas as outras VCNs podem acessar de forma privada.

Cada VCN pode ter até 10 gateways de pareamento local e pode se conectar a apenas um DRG. Um único DRG suporta até 300 anexos de VCN, permitindo que o tráfego entre eles flua conforme direcionado pelas tabelas de roteamento do DRG. Recomendamos o uso do DRG se você precisar parear com um grande número de VCNs. Se você quiser uma largura de banda extremamente alta e um tráfego de latência super baixa entre duas VCNs na mesma região, use o cenário descrito em Pareamento Local de VCN usando LPGs. O Pareamento Local de VCN por Meio de um DRG Atualizado oferece mais flexibilidade no roteamento por causa do maior número de anexos.

Como o pareamento remoto de VCNs cruza regiões, você pode usá-lo (por exemplo) para espelhar ou fazer o backup dos seus bancos de dados de uma região em outra.

Visão Geral do Pareamento Local de VCNs

Pareamento local de VCNs é o processo de conexão de duas VCNs na mesma região, de forma que seus recursos possam se comunicar usando endereços IP privados sem rotear o tráfego pela internet ou por meio da sua rede local. As VCNs podem estar na mesma tenancy do Oracle Cloud Infrastructure ou em tenancies distintas. Sem pareamento, uma VCN precisa de um gateway de internet e de endereços IP públicos para as instâncias que precisam se comunicar com outra VCN.

O Pareamento Local de VCN por Meio de um DRG Atualizado oferece mais flexibilidade no roteamento e gerenciamento simplificado, mas tem o custo de um aumento na latência (por microssegundos) por causa do tráfego de roteamento por meio de um roteador virtual, o DRG.

Implicações Importantes do Pareamento

Essa seção resume algumas implicações de controles de acesso, segurança e desempenho de VCNs pareadas. Em geral, você pode controlar o acesso e o tráfego entre duas VCNs pareadas usando políticas do IAM, tabelas de roteamento em cada VCN e listas de segurança em cada VCN.

Controlando o Estabelecimento de Pareamentos

Com políticas do IAM, você pode controlar:

Controlando o Fluxo de Tráfego na Conexão

Mesmo que uma conexão tenha sido estabelecida entre a sua VCN e outra VCN, você pode controlar o fluxo de pacotes na conexão com tabelas de roteamento na sua VCN. Por exemplo, você pode restringir o tráfego a apenas sub-redes específicas na VCN.

Sem encerrar o pareamento, você pode interromper o fluxo de tráfego para a outra VCN simplesmente removendo regras de roteamento que direcionam o tráfego da VCN para a outra VCN. Você também pode interromper efetivamente o tráfego removendo regras de segurança que permitam o tráfego de entrada ou de saída com a outra VCN. Isso não interrompe o tráfego que flui pela conexão de pareamento, mas o interrompe no nível da VNIC.

Para obter mais informações sobre o roteamento e as listas de segurança, consulte as discussões nestas seções:

Pareamento local de VCN usando grupos de pareamento local:

Pareamento remoto de VCN usando uma conexão de pareamento remoto:

Pareamento local de VCN usando um gateway de roteamento dinâmico (DRG):

Pareamento remoto de VCN usando um gateway de roteamento dinâmico (DRG):

Controlando os Tipos Específicos de Tráfego Permitidos

É importante que cada administrador de VCN garanta que todo tráfego de saída e entrada com a outra VCN seja planejado ou esperado e bem definido. Na prática, isso significa implementar regras de lista de segurança que declarem explicitamente os tipos de tráfego que a sua VCN pode enviar para a outra e pode aceitar da outra.

Importante

As instâncias que executam imagens de plataforma também têm regras de firewall do sistema operacional que controlam o acesso à instância. Ao diagnosticar e solucionar problemas de acesso a uma instância, certifique-se de que todos os seguintes itens estejam definidos corretamente:

  • As regras nos grupos de segurança de rede nos quais a instância está
  • As regras nas listas de segurança associadas à sub-rede da instância
  • As regras de firewall do sistema operacional da instância

Se a sua instância estiver executando o Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 ou Oracle Linux Cloud Developer 8, será necessário usar o firewalld para interagir com as regras do iptables. Para a sua referência, estes são comandos para abrir uma porta (1521, nesse exemplo):

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

Para instâncias com um volume de inicialização iSCSI, o comando --reload anterior pode causar problemas. Para obter detalhes e uma solução alternativa, consulte O sistema das instâncias congela após a execução de -cmd --reload.

Além de regras de segurança e firewalls, você deve avaliar outra configuração baseada no sistema operacional nas instâncias da sua VCN. Talvez haja configurações padrão que não se aplicam ao CIDR da sua própria VCN, mas que por alguma razão se aplicam inexplicavelmente ao CIDR da VCN.

Usando Regras de Lista de Segurança Padrão

Se as sub-redes da sua VCN utilizarem a lista de segurança padrão com as regras padrão, lembre-se de que há duas regras que permitem um tráfego de entrada proveniente de qualquer lugar (ou seja, 0.0.0.0/0 e, portanto, a outra VCN):

  • Uma regra de entrada com monitoramento de estado que permite tráfego TCP na porta 22 (SSH) proveniente de 0.0.0.0/0 e de qualquer porta de origem
  • Uma regra de entrada com monitoramento de estado que permite tráfego ICMP do tipo 3 código 4 proveniente de 0.0.0.0/0 e de qualquer porta de origem

Avalie essas regras e se deseja mantê-las ou atualizá-las. Como mencionado anteriormente, certifique-se de que todo tráfego de entrada ou de saída permitido seja o pretendido/esperado e esteja bem definido.

Preparação para Riscos de Segurança e de Impacto no Desempenho

Em geral, prepare a sua VCN para as formas como ela pode ser afetada pela outra VCN. Por exemplo, a carga da sua VCN ou de suas instâncias pode aumentar. Ou a sua VCN pode sofrer um ataque mal-intencionado causado diretamente pela outra VCN ou por meio dela.

Sobre o desempenho: se a sua VCN estiver fornecendo um serviço à outra VCN, prepare-se para ampliá-lo e atender às necessidades da outra VNC. Isso pode significar estar preparado para iniciar mais instâncias, conforme necessário. Ou se você estiver preocupado com os altos níveis de tráfego de rede proveniente da sua VCN, considere usar regras de segurança sem monitoramento de estado para limitar o nível de rastreamento das conexões que a sua VCN deverá realizar. As regras de lista de segurança sem monitoramento de estado também podem ajudar a amenizar o impacto de um ataque de negação de serviço (DoS).

Em relação aos riscos de segurança: você não pode necessariamente controlar se a outra VCN está conectada com a internet. Se estiver, a sua VCN poderá estar exposta a ataques de bounce em que um host mal-intencionado na internet pode enviar tráfego à sua VCN, mas fazendo parecer que a origem é a VCN com a qual você está pareado. Para se proteger contra isso, como mencionado anteriormente, use as suas listas de segurança para limitar cuidadosamente o tráfego de entrada proveniente da outra VCN de modo a receber um volume esperado e bem definido.