Documentação do Oracle Cloud Infrastructure

Pareamento Local de VCNs usando Gateways de Pareamento Local

Este tópico trata do pareamento local de VCNs. Nesse caso, local significa que as VCNs residem na mesma região. Se as VCNs estiverem em regiões distintas, consulte Pareamento Remoto de VCN usando um DRG Legado.

Ainda há suporte para gateways de pareamento local. Esse cenário supõe que você esteja usando um DRG legado. No momento, a Oracle recomenda o roteamento do tráfego de uma VCN para outra por meio de um DRG atualizado, conforme descrito em Pareamento Local de VCN por meio de um DRG Atualizado.

Visão Geral do Pareamento Local de VCNs

Pareamento local de VCNs é o processo de conexão de duas VCNs na mesma região, de forma que seus recursos possam se comunicar usando endereços IP privados sem rotear o tráfego pela internet ou por meio da sua rede local. As VCNs podem estar na mesma tenancy do Oracle Cloud Infrastructure ou em tenancies distintas. Sem pareamento, uma VCN precisa de um gateway de internet e de endereços IP públicos para as instâncias que precisam se comunicar com outra VCN.

Consulte Limites de Gateway e Solicitando um Aumento do Limite do Serviço para obter informações relacionadas a limites.

Para obter mais informações, consulte Acesso a Outras VCNs: Pareamento.

Resumo dos Componentes do Serviço Networking para Pareamento usando um LPG

De forma geral, os componentes do serviço Networking necessários para um pareamento local incluem:

  • Duas VCNs com CIDRs que não se sobreponham, na mesma região
  • Um gateway de pareamento local (LPG) em cada VCN no relacionamento de pareamento.
  • Uma conexão entre esses dois LPGs.
  • Suporte a regras de roteamento para permitir que o tráfego flua pela conexão e somente entre sub-redes selecionadas, nas respectivas VCNs (se desejado).
  • Suporte a regras de segurança para controlar os tipos de tráfego permitidos entre as instâncias nas sub-redes que precisam se comunicar com a outra VCN.

O diagrama a seguir ilustra os componentes.

Esta imagem mostra o layout básico de duas VCNs que estão localmente pareadas, cada uma com um gateway de pareamento local.
Observação

Uma VCN pode usar os LPGs pareados para acessar estes recursos:

  • VNICs em outra VCN
  • Uma rede local anexada à outra VCN, se um cenário de roteamento avançado chamado roteamento de trânsito tiver sido configurado para as VCNs

Uma VCN não pode usar a VCN pareada para acessar outros destinos fora das VCNs (como a internet). Por exemplo, se a VCN-1 no diagrama anterior tivesse um gateway de internet, as instâncias na VCN-2 não poderiam usá-la para enviar o tráfego a pontos finais na internet. No entanto, a VCN-2 pode receber tráfego da internet por meio da VCN-1. Para obter mais informações, consulte Implicações Importantes do Pareamento de VCNs.

Acordo Explícito Obrigatório dos Dois Lados

O pareamento abrange duas VCNs que podem pertencer à mesma parte ou a duas partes específicas. As duas partes podem estar na sua empresa, mas em departamentos distintos. Ou as duas partes podem estar em empresas totalmente diferentes (por exemplo, em um modelo de provedor de serviços).

O pareamento entre duas VCNs exige um acordo explícito de ambas as partes na forma de políticas do Oracle Cloud Infrastructure Identity and Access Management, que são implementadas para o compartimento ou para a tenancy da respectiva VCN de cada uma delas. Se as VCNs estiverem em tenancies específicas, cada administrador deverá fornecer o OCID da tenancy e usar instruções de política especiais para permitir o pareamento.

Cenário Avançado: Roteamento de Trânsito

Há um cenário de roteamento avançado chamado roteamento de trânsito que permite a comunicação entre uma rede on-premises e várias VCNs em um único Oracle Cloud Infrastructure FastConnect ou VPN Site a Site. As VCNs devem estar na mesma região e devem estar localmente pareadas em um layout hub e spoke. Como parte do cenário, a VCN que está atuando como hub tem uma tabela de roteamento associada a cada LPG (em geral, as tabelas de roteamento estão associadas às sub-redes de uma VCN).

Ao criar um LPG, você pode, opcionalmente, associar uma tabela de roteamento a ele. Ou se você já tiver um LPG existente sem uma tabela de roteamento, poderá associar uma tabela de roteamento a ele. A tabela de roteamento deve pertencer à VCN do LPG. Uma tabela de roteamento associada a um LPG só pode conter regras que usem o DRG anexado da VCN como alvo.

É possível que um LPG exista sem ter uma tabela de roteamento associada a ele. No entanto, após você associar uma tabela de roteamento a um LPG, sempre deverá haver uma tabela de roteamento associada a ele. Mas você pode associar outra tabela de roteamento. Você também pode editar as regras da tabela ou excluir algumas ou todas as regras.

Conceitos Importantes sobre Pareamento Local

Os conceitos a seguir ajudam a compreender os conceitos básicos do pareamento de VCNs e como estabelecer um pareamento local.

PEERING
Um pareamento é um relacionamento de pareamento único entre duas VCNs. Exemplo: se a VCN-1 for pareada com outras três VCNs, haverá três pareamentos. A palavra local do pareamento local indica que as VCNs estão na mesma região. Uma VCN pode ter no máximo 10 pareamentos locais de cada vez.
Cuidado

As duas VCNs no relacionamento de pareamento não devem ter CIDRs sobrepostos. No entanto, se a VCN-1 for pareada com outras três VCNs, essas três VCNs poderão ter CIDRs que se sobreponham entre si. Você configuraria as sub-redes na VCN-1 de modo a ter regras de roteamento que direcionassem o tráfego para a VCN pareada pretendida.
VCN ADMINISTRATORS
Em geral, o pareamento de VCNs só poderá ocorrer se os dois administradores das VCNs estiverem de acordo com esse pareamento. Na prática, isso significa que os dois administradores devem:
  • Compartilhar algumas informações básicas entre si.
  • Trabalhar de forma coordenada para configurar as políticas do Oracle Cloud Infrastructure Identity and Access Management necessárias para permitir o pareamento.
  • Configurar suas VCNs para o pareamento.
Dependendo da situação, um único administrador poderá ser responsável pelas VCNs e pelas políticas relacionadas.
Para obter mais informações sobre as políticas necessárias e a configuração da VCN, consulte Configurando um Pareamento Local.
ACCEPTOR AND REQUESTOR
Para implementar as políticas do IAM necessárias para pareamento, os dois administradores das VCNs devem designar um administrador como solicitante e outro como aceitador. O solicitante deve ser aquele que inicia a solicitação para conectar os dois LPGs. Por sua vez, o aceitador deve criar uma política do IAM específica que permita ao solicitante estabelecer conexão com LPGs no compartimento do aceitador. Sem essa política, a solicitação do solicitante para conexão falhará.
GATEWAY DE PAREAMENTO LOCAL (LPG)
Um gateway de pareamento local (LPG) é um componente de uma VCN para rotear o tráfego para uma VCN com pareamento local. Como parte da configuração de VCNs, cada administrador deve criar um LPG para sua respectiva VCN. Uma VCN deve ter um LPG distinto para cada pareamento local que ela estabelece (no máximo 10 LPGs por VCN). Dando continuidade ao exemplo anterior: a VCN-1 teria três LPGs pareados com outras três VCNs. Na API, um LocalPeeringGateway é um objeto que contém informações sobre o pareamento. Não é possível reutilizar um LPG para estabelecer outro pareamento posteriormente.
PEERING CONNECTION
Quando o solicitante inicia a solicitação de pareamento (na Console ou na API), ele está pedindo efetivamente para estabelecer conexão com os dois LPGs. O solicitante deve ter informações para identificar cada LPG (como o compartimento e o nome do LPG ou o OCID do LPG). Cada administrador deve implementar as políticas do IAM necessárias para seu respectivo pareamento ou tenancy.
Ambos os administrador das VCNs podem encerrar um pareamento excluindo seu respectivo LPG. Nesse caso, o status do outro LPG muda para REVOKED. Em vez disso, o administrador pode processar a conexão não funcional removendo as regras de roteamento ou as regras de segurança que permitem ao tráfego fluir pela conexão (consulte as seções a seguir).
ROUTING TO THE LPG
Como parte da configuração das VCNs, cada administrador deve atualizar o roteamento da VCN para permitir que o tráfego flua entre as VCNs. Na prática, o processo é semelhante ao roteamento configurado para qualquer gateway (como um gateway de internet ou um gateway de roteamento dinâmico). Para cada sub-rede que precisa se comunicar com a outra VCN, você atualiza a tabela de roteamento da sub-rede. A regra de roteamento especifica o CIDR do tráfego de destino e o seu LPG como alvo. O seu LPG roteia o tráfego correspondente à regra para o outro LPG, que, por sua vez, encaminha o tráfego para o próximo salto na outra VCN.
No diagrama a seguir, a VCN-1 e a VCN-2 estão pareadas. O tráfego de uma instância na Sub-rede A (10.0.0.15) destinado a uma instância na VCN-2 (192.168.0.15) é roteado para o LPG-1 com base na regra da tabela de roteamento da Sub-rede A (Consulte Callout 1: Tabela de Roteamento da Sub-rede A). A partir daí, o tráfego é roteado para o LPG-2. Depois, vai para o destino na Sub-rede X.
Esta imagem mostra o caminho do tráfego roteado de um gateway de pareamento local para o outro.
Callout 1: Tabela de Roteamento da Sub-rede A
CIDR de Destino Destino da Rota
0.0.0.0/0 Gateway de Internet
172.16.0.0/12 DRG
192.168.0.0/16 LPG-1
Callout 2: Tabela de Roteamento da Sub-rede X
CIDR de Destino Destino da Rota
10.0.0.0/16 LPG-2
Observação

Conforme mencionado anteriormente, uma VCN pode usar os LPGs pareados para acessar VNICs em outra VCN para acessar a rede local, caso o roteamento de trânsito tenha sido configurado para as VCNs. Mas uma VCN não pode usar a VCN pareada para acessar outros destinos fora das VCNs (como a internet). Por exemplo, no diagrama anterior, a VCN-2 não pode usar o gateway de internet anexado à VCN-1.

REGRAS DE SEGURANÇA
Cada sub-rede em uma VCN tem uma ou mais listas de segurança que controlam o tráfego de entrada e de saída das VNICs da sub-rede no nível do pacote. Você pode usar listas de segurança para controlar o tipo de tráfego permitido com a outra VCN. Como parte da configuração das VCNs, cada administrador deve determinar quais sub-redes de suas próprias VCNs precisam se comunicar com VNICs na outra VCN e deve atualizar as listas de segurança da sub-rede de forma adequada.
Se você usar NSGs (network security groups) para implementar regras de segurança, observe que você tem a opção de criar regras de segurança para um NSG que especifica outro NSG como a origem ou o destino do tráfego. Entretanto, os dois NSGs devem pertencer à mesma VCN.

Implicações Importantes do Pareamento de VCNs

Se você ainda não tiver feito, leia Implicações Importantes do Pareamento para entender o controle de acesso, a segurança e as implicações de desempenho das VCNs pareadas.

Configurando um Pareamento Local

Este é o processo geral para configurar um pareamento entre duas VCNs na mesma região:

  1. Crie os LPGs: cada administrador de VCN cria um LPG para sua própria VCN.
  2. Compartilhe informações: os administradores compartilham as informações básicas necessárias.
  3. Configure as políticas do IAM necessárias para a conexão: os administradores configuram as políticas do IAM para ativar a conexão a ser estabelecida.
  4. Estabelecer a conexão: o solicitante conecta os dois LPGs.
  5. Atualize as tabelas de roteamento: Cada administrador atualiza as tabelas de roteamento de suas VCNs para permitir o tráfego entre as VCNs pareadas, conforme desejado.
  6. Atualize as regras de segurança: Cada administrador atualiza as regras de segurança de suas VCNs para permitir o tráfego entre as VCNs pareadas, conforme desejado.

Se desejarem, os administradores poderão executar as tarefas E e F antes de estabelecer a conexão. Nesse caso, cada administrador deverá conhecer o bloco IDR ou as sub-redes específicas da VCN do outro administrador e compartilhar essas informações na tarefa B. Após a conexão ser estabelecida, você também poderá obter o bloco CIDR da outra VCN exibindo os detalhes do seu próprio LPG na Console. Verifique o CIDR Propagado do Par. Ou se você estiver usando a API, consulte o parâmetro peerAdvertisedCidr.

Você também precisará pré-configurar algumas definições de IAM, como grupos, antes de passar pelo processo passo a passo.

Tarefa B: Compartilhar informações

Se você for o solicitante, forneça estas informações ao aceitador (por exemplo, por e-mail ou por outro método fora de banda):

  • Se as VCNs estiverem na mesma tenancy: o nome do grupo do IAM que deverá ter permissão para criar uma conexão no compartimento do aceitador. No exemplo da próxima tarefa, o grupo é RequestorGrp.
  • Se as VCNs estiverem em diferentes tenancies: o OCID da sua tenancy e o OCID do grupo IAM que devem ter permissão para criar uma conexão no compartimento do aceitador. No exemplo da próxima tarefa, trata-se do OCID para RequestorGrp.
  • Opcional: o CIDR da sua VCN ou de sub-redes específicas para pareamento com a outra VCN.

Se você for o aceitador, forneça estas informações ao solicitante:

  • Se as VCNs estiverem na mesma tenancy: o OCID do seu LPG. Opcionalmente, também os nomes da sua VCN, do seu LPG e do compartimento em que cada um deles está.
  • Se as VCNs estiverem em tenancies distintas: o OCID do seu LPG e o OCID da sua tenancy.
  • Opcional: o CIDR da sua VCN ou de sub-redes específicas para pareamento com a outra VCN.
Tarefa C: Configurar as políticas do IAM

Se ambas as VCNs estiverem na mesma tenancy, use a política em Pareamento Local usando um LPG (VCNs na Mesma Tenancy).

Se as VCNs estiverem em tenancies diferentes, use a política em Pareamento Local usando um LPG (VCNs em Tenancies Diferentes).

Tarefa E: Configurar as tabelas de roteamento

Configure as tabelas de roteamento para usar as informações da outra VCN fornecida na Tarefa B: Compartilhar informações, usando as instruções em Configurando Tabelas de Roteamento da VCN para Usar um LPG.

Tarefa F: Configurar as regras de segurança

Configure as regras de segurança para usar as informações para a outra VCN que você recebeu na Tarefa B: Compartilhar informações, usando as instruções em Configurando Regras de Segurança para Usar um LPG.