设置远程对等互连
本节介绍在不同区域的两个 VCN 之间建立对等互连的一般过程。
重要的
以下过程假设:
您的租赁已订阅其他 VCN 区域。如果没有,请参阅管理区域。
您已将 VCN 附加到您的 DRG。如果不这样做,请参阅动态路由网关 (DRG)。
您已经为连接设置了所需的IAM策略。同一租户中和租户之间的远程对等互连的 IAM 策略是不同的。请参阅与 DRG 对等互连相关的 IAM 政策
所需步骤概述:
创建 RPC:每个 VCN 管理员为其自己的 VCN 的 DRG 创建一个 RPC。
共享信息:管理员共享所需的基本信息。
建立连接:请求者连接两个 RPC(有关请求者和接受者的定义,请参阅重要的远程对等概念)。
更新路由表:每个管理员都会更新其 VCN 的路由表,以按预期启用对等 VCN 之间的流量。
更新安全规则:每个管理员都会更新其 VCN 的安全规则,以按预期启用对等 VCN 之间的流量。
如果需要,管理员可以在建立连接之前执行任务 4 和 5。每个管理员都需要了解对方 VCN 的 CIDR 块或特定子网,并在任务 2 中共享。
任务 A:创建 RPC
每个管理员为自己的 VCN 的 DRG 创建一个 RPC。以下流程中的“您”是指管理员(接受者或请求者)。
笔记
创建 RPC所需的IAM策略
如果管理员已拥有广泛的网络管理员权限(请参阅让网络管理员管理云网络),则他们有权创建、更新和删除 RPC。否则,这里有一个示例策略,为名为 RPCAdmins 的组授予必要的权限。第二条语句是必需的,因为创建RPC会影响其所属的DRG,因此管理员必须具有管理DRG的权限。
Allow group RPCAdmins to manage remote-peering-connections in tenancy Allow group RPCAdmins to manage drgs in tenancy
在Console中,确认您正在查看包含要将 RPC 添加到的 DRG 的隔间。有关隔间和访问控制的信息,请参阅访问控制。
打开导航菜单并单击网络。在“客户连接”下,单击“动态路由网关”。
单击您感兴趣的 DRG。
在“资源”下,单击“远程对等连接附件”。
单击创建远程对等连接。
输入以下内容:
名称: RPC 的友好名称。它不必是唯一的,并且以后不能在控制台中更改(但您可以使用 API 更改它)。避免输入机密信息。
在隔离区中创建:您要在其中创建 RPC 的隔离区(如果与您当前正在使用的隔离区不同)。
单击创建远程对等连接。
然后,RPC 将被创建并显示在您选择的隔间中的“远程对等连接”页面上。
如果您是接受者,请记录 RPC 的区域和 OCID,以便稍后提供给请求者。
如果两个 VCN 位于不同的租户中,请记录您的租户 OCID(位于控制台页面底部)。稍后将 OCID 提供给其他管理员。
任务 B:共享信息
此任务特定于跨租户连接。如果您的连接位于同一租户中,您可以跳到下一个任务。
如果您是接受者,请将此信息提供给请求者(例如,通过电子邮件或其他带外方法):
您的 VCN 所在的区域(请求者的租赁必须订阅该区域)。
您的 RPC 的 OCID。
您希望 VCN 中的子网的 CIDR 块可供其他 VCN 使用。请求者在为请求者 VCN 设置路由时需要此信息。
如果 VCN 位于不同的租户中:您的租户的 OCID。
如果您是请求者,请将此信息提供给接受者:
您的 VCN 所在区域(接受方的租户必须订阅该区域)。
如果 VCN 位于同一租户中:将被授予在接受者隔离区中创建连接的权限的IAM组的名称(在下一个任务的示例中,该组为 RequestorGrp)。
如果 VCN 位于不同的租户中:您的租户的 OCID。
您希望 VCN 中的子网的 CIDR 块可供其他 VCN 使用。接受方在为接受方 VCN 设置路由时需要此信息。
任务 C:建立连接
请求者必须执行此任务。
先决条件:请求者必须具备:
接受者的 VCN 所在的区域(请求者的租户必须订阅该区域)。
接受者的 RPC 的 OCID。
接受方租户的 OCID(仅当接受方的 VCN 位于不同租户时)
在Console中,确认您正在查看包含要将 RPC 添加到的 DRG 的隔间。有关隔间和访问控制的信息,请参阅访问控制。
打开导航菜单并单击网络。在“客户连接”下,单击“动态路由网关”。
单击您感兴趣的 DRG。
在“资源”下,单击“远程对等连接”。
查看要连接到接受方 RPC 的请求方 RPC 的详细信息。为此,请在
“远程对等连接”
列中单击与您在任务 A 中创建的 RPC 附件相对应的 RPC 名称。
注意:
如果这是同一租户内的 RPC,则无需担心 RPC 是从请求者还是接受者建立的。
单击“建立连接”。
输入以下内容:
区域:包含接受方 VCN 的区域。该列表仅包含既支持远程 VCN 对等互连又支持您的租户订阅的区域。
远程对等连接 OCID:接受方 RPC 的 OCID。
单击“建立连接”。
连接已建立,RPC 的状态更改为 PEERED。
任务 D:配置路由表
如前所述,每个管理员都可以在建立连接之前或之后执行此任务。
先决条件:每个管理员必须拥有其他 VCN 的 CIDR 块或特定子网。
对于您自己的 VCN:
确定您的 VCN 中的哪些子网需要与其他 VCN 通信。
更新每个子网的路由表,以包含将发往其他 VCN 的流量定向到您的 DRG 的新规则:
目标类型:动态路由网关。VCN 附加的 DRG 会自动选择为目标,您无需自行指定目标。
目标 CIDR 块:另一个 VCN 的 CIDR 块。如果需要,您可以指定对等 VCN CIDR 的子网或特定子集。
描述:规则的可选描述。
打开导航菜单,单击“网络”,然后单击“虚拟云网络”。
单击您感兴趣的 VCN。
在“资源”下,单击“路由表”。
单击您感兴趣的路由表。
单击添加路由规则并输入以下内容:
单击添加路由规则。
任何目标与规则匹配的子网流量都会路由到您的 DRG。有关设置路由规则的更多信息,请参阅VCN 路由表。
提示
如果没有所需的路由,流量就不会在对等 DRG 之间流动。如果出现需要暂时停止对等互连的情况,您只需删除启用流量的路由规则即可。您不需要删除 RPC。
任务 E:配置安全规则
如前所述,每个管理员都可以在建立连接之前或之后执行此任务。
先决条件:每个管理员必须拥有其他 VCN 的 CIDR 块或特定子网。通常,请使用与任务 E:配置路由表 中的路由表规则中使用的相同 CIDR 块。
您应该添加什么规则?
针对您希望允许来自其他 VCN(特别是来自 VCN 的 CIDR 或特定子网)的流量类型的入口规则。
允许从您的 VCN 到其他 VCN 的传出流量的出口规则。如果子网已具有针对所有类型协议到所有目标 (0.0.0.0/0) 的广泛出口规则,则您无需为其他 VCN 添加特殊规则。
注意以下过程使用安全列表,但您也可以在 网络安全组
中实施安全规则,然后在该 NSG 中创建子网的资源。
对于您自己的 VCN:
确定您的 VCN 中的哪些子网需要与其他 VCN 通信。
更新每个子网的安全列表,以包含允许特定与其他 VCN 的 CIDR 块或子网的预期出口或入口流量的规则:
在控制台中,查看您感兴趣的 VCN 时,单击安全列表。
单击您感兴趣的安全列表。
在资源下,根据您要使用的规则类型,单击入口规则或出口规则。
如果要添加规则,请单击“添加入口规则”(或“添加出口规则”)。
如果要删除现有规则,请单击“操作”菜单( ),然后单击“删除”。
如果您想要编辑现有规则,请单击“操作”菜单( ),然后单击“编辑”。