O cenário circuito de acesso remoto mostra como permitir que sua rede on-premises acesse duas ou mais redes virtuais na nuvem (VCNs) por meio de um único circuito virtual FastConnect ou de uma conexão IPSec da VPN Site a Site, mesmo que as VCNs estejam em diferentes regiões ou tenancies. Nesse cenário, a conectividade é estabelecida entre as VCNs e a rede on-premises, mas não entre as VCNs. Essa opção de política de
roteamento é implementada configurando as tabelas de roteamento do gateway de roteamento dinâmico (DRG); caso contrário, esse cenário será semelhante ao
pareamento remoto. Esse cenário só está disponível para um DRG atualizado. De forma geral, os componentes do serviço
Networking necessários para circuito de acesso único incluem: Duas VCNs com CIDRs não sobrepostos, na mesma região Observação Nenhum CIDR da VCN pode ser sobreposto As duas VCNs no relacionamento de pareamento não podem ter CIDRs sobrepostos. Além disso, se uma VCN específica tiver vários relacionamentos de pareamento, as outras VCNs não deverão ter CIDRs que se sobreponham entre si. Por
exemplo, se a VCN-1 for pareada com a VCN-2 e também com a VCN-3, a VCN-2 e a VCN-3 não deverão ter CIDRs que se sobreponham. Se você estiver configurando esse cenário, precisará atender a esse requisito no estágio de planejamento. É provável que haja problemas de roteamento quando ocorrerem CIDRs sobrepostos, mas as operações da Console ou da API não impedem que você crie uma configuração que cause problemas. O diagrama a seguir ilustra os componentes. A VCN-1 será opcional se sua intenção principal for acessar a VCN-2. É necessário dar suporte a tabelas de roteamento e regras de segurança em cada VCN para permitir o tráfego.Visão Geral
Resumo dos componentes do serviço Networking para circuito de acesso único
Observação
Uma VCN só pode usar as RPCs conectadas para acessar a rede on-premises ou as VCNs conectadas ao DRG. Por exemplo, se a VCN-1 no diagrama anterior tivesse um gateway de internet, as instâncias na VCN-2 NÃO poderiam usá-la para enviar o tráfego a pontos finais na internet. Para obter mais informações, consulte Implicações Importantes do Pareamento.
Implicações importantes do pareamento
Se você ainda não tiver feito, leia Implicações Importantes do Pareamento para entender o controle de acesso, a segurança e as implicações de desempenho das VCNs pareadas.
O pareamento de VCNs em diferentes tenancies tem algumas complicações de permissões que precisam ser resolvidas em ambas as tenancies. Consulte Políticas do IAM relacionadas ao pareamento do DRG para obter detalhes sobre as permissões necessárias.
Conceitos importantes do pareamento remoto
Os conceitos a seguir ajudam a compreender os conceitos básicos do pareamento de VCNs e como estabelecer um pareamento remoto.
PEERINGUm pareamento é um relacionamento de pareamento único entre duas VCNs. Exemplo: Se a VCN-1 for pareada com outras duas VCNs, haverá dois pareamentos. A palavra remoto no termo pareamento remoto indica que as VCNs estão em diferentes regiões. Para esse método de pareamento remoto, as VCNs podem estar na mesma tenancy ou em tenancies diferentes.VCN ADMINISTRATORSEm geral, o pareamento de VCNs só poderá ocorrer se os dois administradores das VCNs estiverem de acordo com esse pareamento. Na prática, os dois administradores devem:- Compartilhar algumas informações básicas entre si.
- Trabalhar de forma coordenada para configurar as políticas do Oracle Cloud Infrastructure Identity and Access Management necessárias para permitir o pareamento.
- Configurar suas VCNs para o pareamento.
Configurando o circuito de acesso único
Antes de tentar implementar esse cenário, verifique se:
- A VCN-1 é anexado ao DRG-1 na região 1 seguindo as etapas em Anexando uma VCN a um DRG.
- A VCN-2 é anexado ao DRG-2 na região 2 seguindo as etapas em Anexando uma VCN a um DRG.
- A VCN-2 é pareada com a VCN-1 seguindo as etapas em Pareando VCNs em diferentes regiões por meio de um DRG
- Ambos os DRGs não são modificados.
- O circuito virtual FastConnect 1 está na região 1, conectado ao DRG-1, seguindo o método apropriado, dependendo da origem do circuito virtual (parceiro Oracle, colocalização Oracle, provedor de terceiros) conforme descrito na documentação do FastConnect.
O diagrama a seguir mostra o estado inicial antes da implementação desse cenário. A VCN-1 e a VCN-2 estão pareadas. O tráfego de uma instância na Sub-rede A (10.0.0.15) destinado a uma instância na VCN-2 (192.168.0.15) é roteado para o DRG-1 com base na regra da tabela de roteamento da Sub-rede A. A partir daí, o tráfego é roteado por meio das RPCs para o DRG-2. Depois, vai para o destino na Sub-rede X. A rede on-premises pode tratar recursos na VCN-1, mas não na VCN-2.
Callout 1: Tabela de Roteamento da Sub-rede A
0.0.0.0/0 | Gateway de Internet |
192.168.0.0/16 | DRG-1 |
172.16.0.0/12 | DRG-1 |
Callout 2: Tabela de Roteamento da Sub-rede X
10.0.0.0/16 | DRG-2 |
O cenário de circuito de acesso implementado descrito no próximo diagrama não permite que as VCNs roteiem o tráfego entre si. A VCN-1 e a VCN-2 estão pareadas. O tráfego de um recurso on-premises na sua rede (172.16.0.10) destinado a uma instância na VCN-2 (192.168.0.15) é roteado para o DRG-1 com base na regra da tabela de roteamento de anexo IPSEC_TUNNEL To-on-premises. A partir daí, o tráfego é roteado por meio do anexo de RPC para o DRG-2. Depois, vai para o destino na Subnet X.
Chamada 1: Tabela de Roteamento do DRG-1 RT-OnPrem
10.0.0.0/16 | Anexo da VCN | Dinâmico |
192.168.0.0/16 | Anexo de RPC | Dinâmico |
Callout 2: Tabela de Roteamento do DRG-1 RT-VCN
172.16.0.0/12 | Anexos de Circuito Virtual | Dinâmico |
Callout 3: Tabela de Roteamento do DRG-1 RT-RPC
172.16.0.0/12 | Anexos de Circuito Virtual | Dinâmico |
Callout 4: Tabela de Roteamento da Sub-rede X
172.16.0.0/12 | DRG-2 |
Observação
Como mencionado anteriormente, uma determinada VCN pode usar o anexo de RPC do DRG conectado para só acessar VNICs na sua rede on-premises, e não nos destinos da internet. Por exemplo, no diagrama anterior, a VCN-2 não pode usar o gateway de internet anexado à VCN-1.
Etapas
Todas essas etapas são executadas no DRG-1: