Acceso a otras VCN: intercambio de tráfico
El intercambio de tráfico de la VCN es el proceso de conexión de varias redes virtuales en la nube (VCN). Existen cuatro tipos de intercambio de tráfico de VCN:
- Intercambio de tráfico de VCN local (dentro de una misma región) mediante los LPG
- Intercambio de tráfico de VCN remoto (entre regiones) mediante las RPC
- Intercambio de tráfico de VCN local a través de un DRG actualizado
- Intercambio de tráfico de VCN remoto a través de un DRG actualizado
Puede utilizar el intercambio de VCN para dividir la red en varias VCN (por ejemplo, según los departamentos o las líneas de negocio), por lo que cada VCN que tendrá acceso directo o privado a las otras. No es necesario que el tráfico fluya por internet o a través de la red local mediante una VPN de sitio a sitio o FastConnect. También puede situar recursos compartidos en una única VCN a los que el resto de las VCN pueden acceder de forma privada.
Cada VCN puede tener hasta 10 gateways de intercambio de tráfico local y solo se puede asociar a un DRG. Un único DRG soporta hasta 300 asociaciones de VCN, lo que permite que el tráfico entre ellos fluya según lo indicado por las tablas de rutas del DRG. Recomendamos utilizar el DRG si necesita intercambiar tráfico con un gran número de VCN. Si desea un ancho de banda extremadamente alto y un tráfico de latencia superbaja entre dos redes virtuales en la misma región, utilice el escenario descrito en Intercambio de tráfico de VCN local mediante gateways de intercambio de tráfico locales. El intercambio de tráfico de VCN local a través de un DRG actualizado proporciona más flexibilidad en el enrutamiento debido al mayor número de asociaciones.
Debido a que el intercambio de tráfico remoto de VCN cruza regiones, puede utilizarlo (por ejemplo) para crear reflejos o realizar copias de seguridad de las bases de datos de una región a otra.
Visión general del intercambio de tráfico de VCN local
El intercambio de tráfico de VCN local es el proceso de conexión de dos VCN en la misma región para que sus recursos se puedan comunicar mediante direcciones IP privadas sin enrutar el tráfico a través de internet o de la red local. Las VCN pueden estar en el mismo arrendamiento de Oracle Cloud Infrastructure o en otros diferentes. Sin intercambio de tráfico, una determinada VCN necesitaría un gateway de internet y direcciones IP públicas para las instancias que tienen que comunicarse con otra VCN.
El intercambio de tráfico de VCN local a través de un DRG actualizado ofrece más flexibilidad en el enrutamiento y la gestión simplificada, pero tiene el costo de un aumento de la latencia (en microsegundos) debido al enrutamiento del tráfico a través de un enrutador virtual, el DRG.
Implicaciones importantes del intercambio de tráfico
En esta sección, se resumen algunas implicaciones de control de acceso, seguridad y rendimiento para las VCN con intercambio de tráfico. En general, puede controlar el acceso y el tráfico entre dos VCN intercambiadas mediante políticas de IAM, tablas de rutas en cada VCN y listas de seguridad en cada VCN.
Control del establecimiento de intercambios
Con las políticas de IAM, puede controlar:
- Quién puede suscribir su arrendamiento a otra región (requerido para el intercambio de tráfico remoto de VCN)
- Quién en su organización tiene autoridad para establecer intercambios de VCN (por ejemplo, ver las políticas de IAM en Configuración de un Intercambio de tráfico local y Configuración de un intercambio de tráfico remoto). La supresión de estas políticas de IAM no afectará a ninguno de los intercambios de tráfico existentes, solo a la capacidad de crear intercambios de tráfico futuros.
- Quién puede gestionar tablas de rutas y listas de seguridad
Control del flujo de tráfico a través de la conexión
Incluso si se ha establecido una conexión de intercambio entre su VCN y otra, puede controlar el flujo de paquetes a través de la conexión con tablas de rutas de VCN. Por ejemplo, puede restringir el tráfico únicamente a subredes específicas de otra VCN.
Si no finaliza el intercambio de tráfico, puede detener el flujo de tráfico para la otra VCN, simplemente al suprimir las reglas de ruta que dirigen el tráfico de VCN a otra VCN. También puede detener de manera eficaz el tráfico al suprimir cualquier regla de la lista de seguridad que permita el tráfico de entrada y salida con otra VCN. Esto no detiene el flujo de tráfico a través de la conexión de intercambio de tráfico, pero lo detiene en el nivel de la VNIC.
Para obtener más información sobre el direccionamiento y las listas de seguridad, consulte las discusiones en estas secciones:
Intercambio de tráfico de VCN local mediante grupos de intercambio de tráfico local:
- Conceptos importantes del intercambio de tráfico local
- Tarea E: configurar las tablas de rutas
- Tarea F: configurar las reglas de seguridad
Intercambio de tráfico remoto de VCN mediante una conexión de intercambio de tráfico remoto:
- Conceptos importantes del intercambio de tráfico remoto
- Tarea E: configurar las tablas de rutas
- Tarea F: configurar las reglas de seguridad
Intercambio de tráfico local de VCN mediante un gateway de enrutamiento dinámico (DRG):
- Conceptos importantes del intercambio de tráfico local
- Tarea D: configurar tablas de rutas en la VCN-A para enviar tráfico destinado al CIDR de la VCN-B a la asociación de DRG.
- Tarea E: configurar tablas de rutas en la VCN-B para enviar tráfico destinado al CIDR de la VCN-A a la asociación de DRG.
- Tarea F: actualizar reglas de seguridad
Intercambio de tráfico remoto de VCN mediante un gateway de enrutamiento dinámico (DRG):
Control de tipos específicos de tráfico permitido
Es importante que cada administrador de VCN garantice que todo el tráfico saliente y entrante con la otra VCN esté bien definido y que esté previsto o se espere. En la práctica, esto significa implementar reglas de listas de seguridad que determinan explícitamente los tipos de tráfico que la VCN puede enviar a otra y aceptar de ella.
Las instancias que ejecutan imágenes de plataforma también tienen reglas de firewall del sistema operativo que controlan el acceso a la instancia. Al solucionar el problema de acceso a una instancia, asegúrese de que todos los elementos siguientes están definidos correctamente:
- Las reglas de los grupos de seguridad de red en los que está la instancia
- Las reglas de las listas de seguridad asociadas a la subred de la instancia
- Las reglas de firewall del sistema operativo de la instancia
Si la instancia está ejecutando Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 u Oracle Linux Cloud Developer 8, debe usar firewalld para interactuar con las reglas de iptables. A continuación se muestran los comandos para abrir un puerto (1521 en este ejemplo):
sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
sudo firewall-cmd --reloadPara instancias con un volumen de inicio iSCSI, el comando --reload anterior puede causar problemas. Para obtener información detallada y una solución alternativa, consulte Bloqueo del sistema de experiencias en instancias al ejecutar el firewall-cmd --reload.
Además de las listas de seguridad y los firewalls, debe evaluar otra configuración basada en el sistema operativo en las instancias de la VCN. Puede haber configuraciones predeterminadas que no se apliquen a su propio CIDR de VCN, pero que se apliquen involuntariamente al CIDR de otra VCN.
Uso de reglas de la lista de seguridad por defecto
Si las subredes de VCN utilizan la lista de seguridad por defecto con las reglas por defecto que incluye, tenga en cuenta que existen dos reglas que permiten el tráfico de entrada desde cualquier lugar (es decir, 0.0.0.0/0 y, por lo tanto, la otra VCN):
- Regla de entrada con estado que permite el tráfico del puerto TCP 22 (SSH) de 0.0.0.0/0 y cualquier puerto de origen
- Regla de entrada con estado que permite el tráfico de ICMP tipo 3 y código 4 desde 0.0.0.0/0 y cualquier puerto de origen.
Evalúe estas reglas y si desea mantenerlas o actualizarlas. Como se ha indicado antes, asegúrese de que todo el tráfico entrante o saliente que permita esté bien definido y que esté previsto o se espere.
Preparación ante el impacto sobre el rendimiento y los riesgos de seguridad
En general, prepare la VCN para las formas en que podría verse afectada por la otra VCN. Por ejemplo, la carga en la VCN o sus instancias podrían aumentar. O bien, la VCN podría experimentar un ataque malicioso directamente desde otra VCN o a través de ella.
En relación con el rendimiento: si la VCN proporciona un servicio a otra, esté preparado para ampliar el servicio para adaptarse a las demandas de la otra VCN. Esto puede significar que debe estar preparado para iniciar más instancias según sea necesario. O si le preocupa por niveles altos de tráfico de red que llegue a VCN, considere utilizar reglas de listas de seguridad sin estado para limitar el nivel de seguimiento de la conexión que debe realizar VCN. Las reglas de la lista de seguridad sin estado también pueden ayudar a ralentizar el impacto de un ataque de denegación de servicio (DoS).
En relación con los riesgos de seguridad: no puede controlar necesariamente si la otra VCN está conectada a internet. Si se da el caso, su VCN se puede exponer a ataques de rebote en los que un host malicioso de internet puede enviar tráfico a la VCN y hacer como que procede de la VCN con la intercambia tráfico. A fin de protegerse contra esto, como se ha mencionado antes, utilice las listas de seguridad para limitar cuidadosamente y definir correctamente el tráfico entrante y el que se espera más adelante de la otra VCN.