Oracle Cloud Infrastructure-Dokumentation

VCNs über ein lokales Peering-Gateway (LPG) verbinden

Auf Compute Cloud@Customer können Sie lokale Peering-Gateways konfigurieren. Beim VCN-Peering werden mehrere virtuelle Cloud-Netzwerke (VCNs) miteinander verbunden, sodass Ressourcen über private IP-Adressen miteinander kommunizieren können.

Mit dem VCN-Peering können Sie Ihr Netzwerk in mehrere VCNs unterteilen, beispielsweise basierend auf Abteilungen oder Geschäftsbereichen, wobei jedes VCN direkten privaten Zugriff auf die anderen VCNs besitzt. Sie können auch gemeinsame Ressourcen in einem einzelnen VCN platzieren, auf die alle anderen VCNs privat zugreifen können. Zwei Peer-VCNs können sich im selben oder in verschiedenen Mandanten befinden.

Policys

Das Peering zwischen zwei VCNs erfordert eine explizite Zustimmung beider Parteien in Form von IAM-Policys, die jede Partei für ihr eigenes VCN-Compartment oder ihren eigenen Mandanten implementiert. Wenn sich die VCNs in unterschiedlichen Mandanten befinden, muss jeder Administrator seine Mandanten-OCID angeben und spezielle koordinierte Policy-Anweisungen erstellen, um das Peering zu aktivieren.

Um die für die Peering erforderlichen IAM-Policys zu implementieren, müssen die beiden VCN-Administratoren einen Administrator als Anforderer und den anderen als Akzeptor bestimmen. Der Anforderer ist derjenige, der die Anforderung zum Verbinden der beiden LPGs initiiert. Der Acceptor muss wiederum eine bestimmte IAM-Policy erstellen, die dem Anforderer die Berechtigung zum Verbinden zu den LPGs im Compartment des Acceptors erteilt. Ohne diese Policy wird die Verbindungsanforderung des Anforderers nicht erfolgreich. Beide VCN-Administratoren können eine Peering-Verbindung löschen, indem sie ihr LPG löschen.

Routing und Traffic Control

Bei der Konfiguration der VCNs muss jeder Administrator das VCN-Routing aktualisieren, damit der Traffic zwischen den VCNs fließen kann. In der Praxis ist es genauso, wie beim Einrichten von Routing für jedes Gateway, wie z.B. ein Internetgateway oder ein dynamisches Routinggateway. Aktualisieren Sie für jedes Subnetz, das mit dem anderen VCN kommunizieren muss, die Routentabelle des Subnetz-Systems. Die Routingregel gibt das CIDR des Zieltraffics und Ihr LPG als Ziel an. Ihr LPG leitet den Traffic, der dieser Regel entspricht, an das andere LPG weiter. Dieses leitet den Traffic wiederum zum nächsten Hop im anderen VCN weiter.

Sie können den Paketfluss über die Peering-Verbindung mit Routentabellen in Ihrem VCN steuern. Beispiel: Sie können den Traffic auf bestimmte Subnetze im anderen VCN beschränken. Ohne Peering zu löschen, können Sie den Trafficfluss zum anderen VCN stoppen, indem Sie Routingregeln entfernen, die den Traffic vom VCN zum anderen VCN leiten. Sie können den Traffic auch wirksam stoppen, indem Sie alle Sicherheitslistenregeln entfernen, die den Ingress- oder Egress-Traffic mit dem anderen VCN aktivieren. Dadurch wird kein Traffic über die Peering-Verbindung gestoppt, aber auf der VNIC-Ebene gestoppt.

Sicherheitsregeln

Jeder VCN-Administrator muß sicherstellen, daß der gesamte ausgehende und eingehende Traffic im anderen VCN beabsichtigt, erwartet und wohldefiniert ist. In der Praxis bedeutet dies die Implementierung von Sicherheitslistenregeln, die explizit angeben, welche Traffictypen die VCNs untereinander versenden und akzeptieren können. Wenn Ihre Subnetze die Standardsicherheitsliste verwenden, gibt es zwei Regeln, die SSH- und ICMP-Ingress-Traffic von überall und somit auch vom anderen VCN zulassen. Prüfen Sie diese Regeln, und entscheiden Sie, ob Sie sie beibehalten oder aktualisieren möchten.

Neben Sicherheitslisten und Firewalls sollten sie andere BS-basierte Konfiguration für die Instanzen in Ihrem VCN auswerten. Es können Standardkonfigurationen vorhanden sein, die nicht für Ihr eigenes VCN-CIDR gelten, aber versehentlich für das andere VCN-CIDR gelten.

VCNs über ein lokales Peering-Gateway verbinden

In Compute Cloud@Customer ist ein lokales Peering-Gateway (LPG) eine Möglichkeit, VCNs zu verbinden, sodass Elemente in jedem VCN kommunizieren können, selbst wenn sie eine private IP-Adresse verwenden.

Zum Einrichten einer Peering-Verbindung sind die folgenden Komponenten erforderlich:

  • Zwei VCNs mit sich nicht überschneidenden CIDRs

  • Ein lokales Peering-Gateway (LPG) in jedem VCN in der Peering-Beziehung

  • Eine Verbindung zwischen den beiden LPGs

  • Routingregeln zur Aktivierung von Traffic über die Peering-Verbindung zu und von den gewünschten Subnetzen in den jeweiligen VCNs

  • Sicherheitsregeln zur Steuerung, welche Traffictypen von und zu den Instanzen in den betreffenden Subnetzen zulässig sind

    1. Wählen Sie im Navigationsmenü der Compute Cloud@Customer-Konsole unter Networking die Option Virtuelle Cloud-Netzwerke aus.

      Eine Liste der zuvor konfigurierten VCNs in Compartments wird angezeigt. Wenn das Compartment, in dem Sie das lokale Peering-Gateway erstellen, nicht angezeigt wird, wählen Sie im Dropdown-Menü das richtige Compartment aus.

    2. Wählen Sie den Namen des VCN aus.

    3. Wählen Sie im Menü Ressourcen die Option Lokale Peering-Gateways aus.

    4. Wählen Sie Lokales Peering-Gateway erstellen aus.

    5. Erforderliche Informationen eingeben:

      • Name: Geben Sie einen Namen ein. Geben Sie dabei keine vertraulichen Informationen ein.

      • Erstellen in Compartment: Wählen Sie das Compartment aus, in dem das lokale Peering-Gateway erstellt werden soll.

      • Routentabellenverknüpfung (optional) Optional können Sie eine Routentabelle mit dem lokalen Peering-Gateway verknüpfen. Eine Liste der konfigurierten Routentabellen für das ausgewählte Compartment befindet sich in einem Dropdown-Menü. Sie können das Compartment ändern, indem Sie neben dem Compartment-Namen (change) auswählen.

      • Tagging: (Optional) Fügen Sie dieser Ressource ein oder mehrere Tags hinzu. Tags können auch später angewendet werden. Weitere Informationen zum Tagging von Ressourcen finden Sie unter Tags bei der Ressourcenerstellung hinzufügen (IAM in OCI).

    6. Wählen Sie Lokales Peering-Gateway erstellen aus.

      Das lokale Peering-Gateway kann jetzt VCNs mit "Peering-Verbindung herstellen" verbinden und bereit für das Hinzufügen von Routingregeln oder Sicherheitseinstellungen sein.

  • Verwenden Sie den Befehl oci network local-peering-gateway create und die erforderlichen Parameter, um ein neues lokales Peering-Gateway (LPG) für das angegebene VCN zu erstellen.

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    Eine vollständige Liste der CLI-Befehle, Flags und Optionen finden Sie in der Befehlszeilenreferenz.

  • Mit dem Vorgang CreateLocalPeeringGateway können Sie ein neues lokales Peering-Gateway (LPG) für das angegebene VCN erstellen.

    Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-APIs und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter Software Development Kits und Befehlszeilenschnittstelle (CLI).