Intercambio de tráfico de VCN local a través de un DRG actualizado
En este escenario, se describe el uso de una conexión mutua con un DRG actualizado para activar el tráfico entre dos o más redes virtuales en la nube.
Visión general
En lugar de utilizar conexiones de intercambio de tráfico local, puede establecer comunicaciones de red privada entre dos o más redes virtuales en la nube (VCN) de la misma región asociándolas a un gateway de enrutamiento dinámico (DRG) común y realizando los ajustes adecuados en las tablas de rutas de la VCN y el DRG.
Este escenario solo está disponible para un DRG actualizado.
Si utiliza el DRG heredado, puede realizar un intercambio de tráfico en dos VCN de la misma región mediante el uso de gateways de intercambio de tráfico local (LPG), como se describe en el escenario Intercambio de trafico de VCN local mediante gateways de intercambio de tráfico local. El intercambio de tráfico entre dos VCN de la misma región a través de un DRG le ofrece más flexibilidad en el enrutamiento y una gestión simplificada, pero conlleva un aumento de latencia de microsegundos debido al enrutamiento del tráfico a través de un enrutador virtual, el DRG.
En este escenario de ejemplo se realiza un intercambio de tráfico entre dos VCN. Antes de intentar implantar este escenario, asegúrese de que:
- La VCN-A no está asociada a un DRG
- La VCN-B no está asociada a un DRG
- La VCN-A y la VCN-B tienen CIDR no solapados
El intercambio de tráfico entre VCN de distintos arrendamientos requiere más políticas de IAM para la autorización entre arrendamientos. Consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube para obtener más información sobre los permisos necesarios. Al asociar una VCN en una región diferente a un DRG, siga los pasos de Asociación de un DRG a una VCN en un arrendamiento diferente. La mayoría de los pasos de este escenario suponen que el DRG y ambas VCN están en el mismo arrendamiento.
Pasos
Este es el proceso general para configurar un intercambio de tráfico entre dos VCN de la misma región mediante un DRG:
- Crear el DRG: consulte Tarea A: crear un DRG.
- Asociar la VCN A al DRG: consulte Tarea B: asociar la VCN-A al DRG.
- Asociar la VCN B al DRG: consulte Tarea C: asociar la VCN-B al DRG.
- Configurar tablas de rutas en la VCN A para enviar tráfico destinado al CIDR de la VCN B al DRG: consulte Tarea D: configurar tablas de rutas en la VCN-A para enviar tráfico destinado al CIDR de la VCN-B a la asociación de DRG.
- Configurar tablas de rutas en la VCN B para enviar tráfico destinado al CIDR de la VCN A al DRG: consulte Tarea E: configurar tablas de rutas en la VCN-B para enviar tráfico destinado al CIDR de la VCN-A a la asociación de DRG.
- Actualizar reglas de seguridad: actualice las reglas de seguridad de cada VCN para permitir el tráfico entre las VCN con intercambio de tráfico como desee. Consulte Tarea F: actualizar reglas de seguridad.
En esta página se resumen algunas implicaciones de control de acceso, seguridad y rendimiento para las VCN con intercambio de tráfico. Puede controlar el acceso y el tráfico entre dos VCN con intercambio de tráfico mediante políticas de IAM, tablas de rutas en cada VCN, tablas de rutas en el DRG y listas de seguridad en cada VCN.
Resumen de componentes de Networking para el intercambio de tráfico a través de un DRG
En general, los componentes del servicio Networking necesarios para un intercambio de tráfico local a través de un DRG incluyen:
- Dos VCN con CIDR no superpuestos, en la misma región.
- Un único gateway de enrutamiento dinámico (DRG) conectado a cada VCN con intercambio de datos.
- Soporte de reglas de ruta para permitir que el tráfico fluya por la conexión y solo desde y hacia determinadas subredes de las respectivas VCN (si se desea).
- Admitir reglas de seguridad para controlar los tipos de tráfico permitidos entre las instancias de las subredes que deben comunicarse con la otra VCN.
En el diagrama siguiente se ilustran los componentes.
Una VCN determinada puede alcanzar estos recursos:
- VNIC en la otra VCN
- Una red local asociada a otra VCN, si se ha configurado un escenario de enrutamiento avanzado llamado enrutamiento en tránsito para las VCN
Dos VCN interconectadas con un DRG no pueden alcanzar otros gateways en la nube (por ejemplo, un gateway de internet o un gateway de NAT), excepto el enrutamiento en tránsito a través de un LPG. Por ejemplo, si la VCN-1 del diagrama anterior tuviera un gateway de internet, las instancias de la VCN-2 no podrían usarlo para enviar tráfico a puntos finales en internet. Sin embargo, la VCN-2 podría recibir tráfico de internet mediante VCN-1. Para obtener más información, consulte Implicaciones importantes del intercambio de tráfico de VCN.
Conceptos importantes del intercambio de tráfico local
Los siguientes conceptos ayudan a comprender los conceptos básicos del intercambio de tráfico de VCN mediante un DRG y cómo establecer un intercambio de tráfico local.
- INTERCAMBIO DE TRÁFICO
- Un intercambio de tráfico es una relación entre dos VCN que se conectan al mismo DRG y pueden enrutar el tráfico mutuamente. La parte local de intercambio de tráfico local indica que las VCN están en la misma región. Un DRG determinado puede tener un máximo de 300 asociaciones de DRG locales a la vez.
- ADMINISTRADORES
- En general, el intercambio de tráfico de VCN solo puede producirse si todos los administradores de VCN y administradores de DRG involucrados están de acuerdo. Dependiendo de la situación, un único administrador puede ser responsable de todos los DRG, las VCN y las políticas relacionadas implicados.
- ENRUTAMIENTO AL DRG
- Como parte de la configuración de las VCN, cada administrador debe actualizar el enrutamiento de la VCN para permitir que el tráfico fluya entre las VCN. En la práctica, es como el enrutamiento configurado para cualquier gateway (como un gateway de internet o un gateway de enrutamiento dinámico). Para cada subred que necesite comunicarse con la otro VCN, actualice la tabla de rutas de la subred. La regla de ruta especifica el CIDR del tráfico de destino y su DRG como destino. La VCN enruta el tráfico que coincide con esa regla al DRG, que a su vez, enruta el tráfico al siguiente salto en la otra VCN.
- REGLAS DE SEGURIDAD
- Cada subred de una VCN tiene una o varias listas de seguridad que controlan el tráfico de entrada y salida de las VNIC de la subred en el nivel de paquetes. Puede utilizar listas de seguridad para controlar el tipo de tráfico permitido con la otra VCN. Como parte de la configuración de las VCN, cada administrador debe determinar qué subredes de su propia VCN deben comunicarse con las VNIC de la otra VCN y actualizar las listas de seguridad de la subred según corresponda.
Configuración de este escenario en la consola
Un DRG creado antes de mayo de 2021 no puede realizar el enrutamiento entre redes locales y varias VCN, ni proporcionar intercambio de tráfico local entre las VCN. Si necesita esa funcionalidad y se muestra el botón Actualizar DRG, haga clic en él.
Al hacer clic en el botón Actualizar DRG, también se restablecen todas las sesiones de BGP existentes y se interrumpe temporalmente el tráfico de la red local mientras se actualizan los DRG. Tenga en cuenta que no se puede realizar un rollback de la actualización.
Mientras trabaja en la misma región que las VCN entre las que desea un intercambio de tráfico, siga los siguientes pasos:
- Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Dynamic routing gateway.
- En Ámbito de lista, seleccione un compartimento con permiso para trabajar en las actualizaciones de la página in.The para mostrar solo los recursos de ese compartimento. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Control de acceso.
- Haga clic en Crear gateway de enrutamiento dinámico.
-
Introduzca los siguientes elementos:
- Nombre: un nombre descriptivo para el DRG. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
- Crear en compartimiento: compartimiento en el que desea crear el DRG, que puede ser diferente del compartimiento en el que está trabajando actualmente.
- Etiquetas: si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
- Haga clic en Crear gateway de enrutamiento dinámico.
Se creará el nuevo DRG y se mostrará a continuación en la página Gateways de enrutamiento dinámico del compartimento que haya seleccionado. El DRG tendrá el estado "Aprovisionando" durante un período corto. Puede asociarlo a otras partes de la red solo una vez que haya finalizado el aprovisionamiento.
El aprovisionamiento incluye la creación de dos tablas de rutas: una tabla de rutas para las VCN conectadas y otra para otros recursos, como circuitos virtuales y túneles de IPSec. Las tablas de rutas por defecto no se pueden suprimir, pero se pueden editar. Si no se modifican, las políticas de enrutamiento por defecto de un DRG permiten que el tráfico se enrute entre todas las VCN que tiene asociadas.
Las tablas de enrutamiento de DRG actualizadas por defecto implantan el mismo comportamiento de enrutamiento que los DRG heredados para la compatibilidad con versiones anteriores.
Un DRG actualizado se puede asociar a muchas VCN, pero una VCN solo se puede asociar a un DRG a la vez. La asociación se crea automáticamente en el compartimiento que contiene la VCN. No es necesario que una VCN esté en el mismo compartimento o arrendamiento que el DRG actualizado.
Puede eliminar las conexiones de intercambio de tráfico local del diseño de red global si conecta varias VPN de la misma región al mismo DRG y configura las tablas de enrutamiento de DRG correctamente.
El intercambio de tráfico entre VCN de distintos arrendamientos requiere más políticas de IAM para la autorización entre arrendamientos. Consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube para obtener más información sobre los permisos necesarios. Al asociar una VCN en una región diferente a un DRG, siga los pasos de Asociación de un DRG a una VCN en un arrendamiento diferente.
Las siguientes instrucciones le permiten desplazarse al DRG actualizado y, a continuación, elegir qué VCN asociar. En su lugar, puede navegar a la VCN y, a continuación, seleccionar qué DRG desea asociar.
- Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Dynamic routing gateway.
- Haga clic en el DRG actualizado que desea asociar a la VCN A.
- En Recursos, haga clic en Asociaciones de red virtual en la nube.
- Haga clic en Crear asociación de VCN.
- (Opcional) Asigne un nombre fácil de recordar al punto de conexión. Si no especifica un nombre, se creará uno.
- Seleccione la VCN A en la lista. También puede hacer clic en Cambiar compartimento y seleccionar un compartimento diferente si la VCN no está en el compartimento actual y, a continuación, seleccionar la VCN A en la lista.
- (Opcional) Si configura un escenario avanzado para el enrutamiento en tránsito, puede asociar una tabla de rutas de VCN al DRG (esto puede hacerlo más adelante):
- Haga clic en Mostrar opciones avanzadas.
- Haga clic en el separador Tabla de rutas de VCN.
- Seleccione la tabla de rutas que desee asociar a la VCN del DRG. Si selecciona Ninguno, se utilizará la tabla de rutas de VCN por defecto.
- Haga clic en Crear asociación de VCN.
La asociación tendrá el estado "Asociando" durante un período corto.
Cuando la asociación esté lista, cree una regla de ruta que dirija el tráfico de subred a este DRG. Consulte Enrutamiento del tráfico de una subred a un DRG.
Un DRG puede estar asociado a muchas VCN, pero la VCN solo puede estar asociada a un DRG a la vez. La asociación se crea automáticamente en el compartimiento que contiene la VCN. No es necesario que una VCN esté en el mismo compartimento que el DRG.
Puede eliminar las conexiones de intercambio de tráfico local del diseño de red global si conecta varias VPN de la misma región al mismo DRG y configura las tablas de enrutamiento de DRG correctamente.
El intercambio de tráfico entre VCN de distintos arrendamientos requiere más políticas de IAM para la autorización entre arrendamientos. Consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube para obtener más información sobre los permisos necesarios. Al asociar una VCN en una región diferente a un DRG, siga los pasos de Asociación de un DRG a una VCN en un arrendamiento diferente.
Las siguientes instrucciones le permiten navegar al DRG y, a continuación, elegir qué VCN desea asociar. En su lugar, puede navegar a la VCN y, a continuación, seleccionar qué DRG desea asociar.
- Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Dynamic routing gateway.
- Haga clic en el DRG que desea asociar a la VCN B.
- En Recursos, haga clic en Asociaciones de red virtual en la nube.
- Haga clic en Crear asociación de VCN.
- (Opcional) Asigne un nombre fácil de recordar al punto de conexión. Si no especifica un nombre, se creará uno.
- Seleccione la VCN B en la lista. También puede hacer clic en Cambiar compartimento, seleccionar el compartimento que contiene la VCN B y, a continuación, seleccionar la VCN B en la lista.
- (Opcional) Si configura un escenario avanzado para el enrutamiento en tránsito, puede asociar una tabla de rutas de VCN al DRG (esto puede hacerlo más adelante):
- Haga clic en Mostrar opciones avanzadas.
- Haga clic en el separador Tabla de rutas de VCN.
- Seleccione la tabla de rutas que desee asociar a la VCN del DRG. Si selecciona Ninguno, se utilizará la tabla de rutas de VCN por defecto.
- Haga clic en Crear asociación de VCN.
La asociación tendrá el estado "Asociando" durante un período corto.
Cuando la asociación esté lista, cree una regla de ruta que dirija el tráfico de subred a este DRG. Consulte Enrutamiento del tráfico de una subred a un DRG.
Como se ha mencionado anteriormente, cada administrador puede realizar esta tarea antes o después de que se asocie la VCN al DRG.
Previo necesario: Cada administrador debe tener el bloque CIDR o las subredes específicas de la otra VCN.
Para la VCN A:
- Determine qué subredes de la VCN-A se deben comunicar con la otra VCN.
-
Actualice la tabla de rutas para cada una de esas subredes a fin de incluir una nueva regla que dirija el tráfico destinado al CIDR de la otra VCN a su DRG:
- Abra el menú de navegación, haga clic en Red y, a continuación, en Redes virtuales en la nube.
- Haga clic en la VCN que le interese, la VCN-A.
- En Recursos, haga clic en Tablas de rutas.
- Haga clic en la tabla de rutas que le interesa.
-
Haga clic en Agregar regla de ruta e introduzca lo siguiente:
- Tipo de destino: gateway de enrutamiento dinámico.
- Bloque de CIDR de destino: bloque de CIDR de la VCN-B. Si lo desea, puede especificar una subred o un subjuego concreto de CIDR de la VCN-B.
- Compartimiento de destino: compartimiento donde se ubica la otra VCN, si no es el compartimiento actual.
- Destino: el DRG.
- Descripción: descripción opcional de la regla.
- Haga clic en Agregar regla de ruta.
Todo el tráfico de subred con un destino que coincida con la regla se direcciona al DRG. Para obtener más información sobre la configuración de reglas de ruta, consulte Tablas de rutas de VCN.
Si en el futuro ya no necesita el intercambio de tráfico y desea finalizar la relación de intercambio de tráfico, suprima primero todas las reglas de ruta de la VCN que especifiquen la otra como destino.
Sin el enrutamiento necesario, el tráfico no fluye entre las VCN con intercambio de tráfico. Si se produce una situación en la que sea necesario parar temporalmente la relación de intercambio de tráfico, elimine las reglas de ruta que activan el tráfico.
Como se ha mencionado anteriormente, cada administrador puede realizar esta tarea antes o después de que se asocie la VCN al DRG.
Previo necesario: Cada administrador debe tener el bloque CIDR o las subredes específicas de la otra VCN.
Para la VCN-B:
- Determine qué subredes de la VCN B se deben comunicar con la otra VCN.
-
Actualice la tabla de rutas para cada una de esas subredes a fin de incluir una nueva regla que dirija el tráfico destinado al CIDR de la otra VCN a su DRG:
- Abra el menú de navegación, haga clic en Red y, a continuación, en Redes virtuales en la nube.
- Haga clic en la VCN que le interese, la VCN-B.
- En Recursos, haga clic en Tablas de rutas.
- Haga clic en la tabla de rutas que le interesa.
-
Haga clic en Agregar regla de ruta e introduzca lo siguiente:
- Tipo de destino: gateway de enrutamiento dinámico.
- Bloque de CIDR de destino: bloque de CIDR de la VCN-A. Si lo desea, puede especificar una subred o un subjuego concreto de bloque de CIDR de la VCN A.
- Compartimiento de destino: compartimiento donde está ubicada la otra VCN, si no está en el compartimiento actual.
- Destino: el DRG.
- Descripción: descripción opcional de la regla.
- Haga clic en Agregar regla de ruta.
Todo el tráfico de subred con un destino que coincida con la regla se direcciona al DRG. Para obtener más información sobre la configuración de reglas de ruta, consulte Tablas de rutas de VCN.
Si en el futuro ya no necesita el intercambio de tráfico y desea finalizar la relación de intercambio de tráfico, suprima todas las reglas de ruta de la VCN que especifiquen la otra VNC como destino.
Sin el enrutamiento necesario, el tráfico no fluye entre las VCN con intercambio de tráfico. Si se produce una situación en la que fuera necesario detener de forma temporal el intercambio de tráfico, simplemente puede eliminar las reglas de ruta que activan el tráfico.
Como ya se ha mencionado, cada administrador puede realizar esta tarea antes o después de que se establezca la conexión.
Previo necesario: Cada administrador debe tener el bloque CIDR o las subredes específicas de la otra VCN. En general, utilice el mismo bloque de CIDR que ha utilizado en la regla de tabla de rutas en la Tarea E: configurar las tablas de rutas.
¿Qué reglas debe agregar?
- Reglas de entrada para los tipos de tráfico que desea permitir desde la otra VCN, concretamente, desde el CIDR o las subredes específicas de la VCN.
- Regla de salida para permitir el tráfico saliente de la VCN a otra VCN. Si la subred ya tiene una regla de salida amplia para todos los tipos de protocolos a todos los destinos (0.0.0.0/0), no tendrá que agregar una especial para el resto de las VCN.
El siguiente procedimiento utiliza listas de seguridad, pero en su lugar puede implantar las reglas de seguridad en un grupo de seguridad de red y, a continuación, crear los recursos de la subred en ese NSG.
Para cada VCN:
- Determine qué subredes de la VCN se deben comunicar con la otra VCN.
-
Actualice la lista de seguridad de cada una de esas subredes para incluir reglas que permitan el tráfico de salida o entrada deseado específicamente con el bloque CIDR o la subred de la otra VCN:
- En la consola, mientras visualiza la VCN que le interesa, haga clic en Listas de seguridad.
- Haga clic en la lista de seguridad en la que está interesado.
- En Recursos, haga clic en Reglas de entrada o en Reglas de salida según el tipo de regla con la que desee trabajar.
-
Si desea agregar una regla, haga clic en Agregar regla de entrada (o en Agregar regla de salida).
EjemploSupongamos que desea agregar una regla con estado que permita el tráfico de entrada HTTPS (puerto 443) desde el CIDR de la otra VCN. A continuación, se muestran los pasos básicos que debe realizar al agregar una regla:
- Deje desactivada la casilla Sin estado.
- Tipo de origen: Dejar como CIDR.
- CIDR de origen: Introduzca el mismo bloque CIDR que utilizan las reglas de ruta (consulte Tarea E: Configuración de las tablas de rutas).
- Protocolo IP: Dejar como TCP.
- Rango de puertos de origen: déjelo como Todos.
- Rango de puertos de destino: Introducir 443.
- Descripción: descripción opcional de la regla.
- Si desea suprimir una regla existente, haga clic en el y, a continuación, en Eliminar.
- Si desea editar una regla existente, haga clic en el menú Acciones () y, a continuación, en Editar.
Para obtener más información sobre las reglas de seguridad, consulte Reglas de seguridad.