Oracle Cloud Infrastructure - Dokumentation

Interconnect für Google Cloud

In diesem Thema wird beschrieben, wie Sie Oracle Interconnect for Google Cloud einrichten.

Mit Oracle Interconnect for Google Cloud können Sie in bestimmten Regionen eine cloudübergreifende Verbindung zwischen Oracle Cloud Infrastructure und Google Cloud Platform (GCP) erstellen. Mit dieser Verbindung können Sie Cloud-to-Cloud-Workloads einrichten, ohne dass der Traffic zwischen den Clouds über das Internet geleitet wird. In diesem Thema wird beschrieben, wie Sie virtuelle Netzwerkinfrastrukturressourcen einrichten, um dieses Deployment zu aktivieren.

Highlights

  • Sie können ein Oracle Cloud Infrastructure-(OCI-)virtuelles Cloud-Netzwerk (VCN) mit einer GCP Virtual Private Cloud (VPC) verbinden und eine Cloud-to-Cloud-Workload ausführen. Im typischen Anwendungsfall können Sie eine Oracle Database auf OCI bereitstellen und eine benutzerdefinierte Anwendung in GCP bereitstellen.
  • Die beiden virtuellen Netzwerke müssen zu demselben Unternehmen oder derselben Organisation gehören und dürfen keine sich überschneidenden CIDRs aufweisen. Bei Oracle Interconnect for Google Cloud müssen Sie einen Partner Interconnect-Circuit und einen OCI FastConnect-Virtual Circuit erstellen.

Verfügbarkeit

Oracle Interconnect for Google Cloud ist nur in den gepaarten Regionen verfügbar, die in den folgenden Karten und Tabellen dargestellt sind. Weitere Informationen zu Standorten von GCP-Regionen finden Sie in der Tabelle mit Standorten für Colocation-Einrichtungen in der GCP-Dokumentation.

Die folgende Abbildung zeigt Regionen mit Oracle Interconnect for Google Cloud, in denen alle kommerziellen OCI-Regionen und Notierungsregionen mit Interconnect zu Azure und GCP angezeigt werden. Die teilnehmenden GCP-Regionen sind ebenfalls in den folgenden Tabellen aufgeführt.

Karte mit Regionen, die mit Azure oder GCP verbunden sind.

US Government Cloud-Regionen mit Oracle Interconnect for Google Cloud sind in der Dokumentation für US Government Cloud aufgeführt.

Asien

OCI-Region - Schlüssel Google Cloud-Region

Australien Ost (Sydney) / ap-sydney-1 - SYD

Sydney (Australien-southeast1)

Australien Südosten (Melbourne) / ap-melbourne-1 - MEL

Melbourne (Australien-southeast2)

India West (Mumbai) / ap-mumbai-1 - BOM

Mumbai (Asien-south1)

Japan East (Tokio) / ap-tokyo-1 - NRT

Tokio (Asien-northeast1)
Singapur (Singapur) / ap-singapore-1 - SIN

Singapur (Asien-southeast1)

Europa, Naher Osten und Afrika (EMEA)

OCI-Region - Schlüssel Google Cloud-Region

Germany Central (Frankfurt) / eu-frankfurt-1 - FRA

Frankfurt (EU-west3)

Spanien Zentral (Madrid) / eu-madrid-1 - MAD

Madrid (EU-southwest1)

UK South (London) / uk-london-1 - LHR

London (EU-west2)

Schweiz Nord (Zürich) / eu-zurich-1 - ZRH

 Zürich (EU-west6)

Lateinamerika (LATAM)

OCI-Region - Schlüssel Google Cloud-Region

Brasilien Osten (Sao Paulo) /sa-saopaulo-1 - GRU

São Paulo (Südamerika-east1)

Nordamerika (NA)

OCI-Standort - Schlüssel Google Cloud-Region

Kanada Südosten (Montreal) (ca-montreal-1) - YUL

Montréal (Nordamerika-northeast1)

Kanada Südosten (Toronto) (ca-toronto-1) - YYZ

Toronto (Nordamerika-northeast2)

US East (Ashburn) (us-ashburn-1) - IAD

N Virginia (us-east4)

Überblick über unterstützten Traffic

Hier finden Sie weitere Einzelheiten zu den unterstützten Traffictypen.

VCN-to-VPC-Verbindung: Erweiterung von einer Cloud zu einer anderen

Sie können ein VCN und eine VPC verbinden, sodass Traffic, der private IP-Adressen verwendet, über eine Cloud-to-Cloud-Verbindung geleitet wird.

Das folgende Diagramm zeigt beispielsweise ein VCN, das mit einem VCP verbunden ist. Ressourcen in der VPC führen eine Anwendung aus, die auf eine Oracle-Datenbank zugreift, die auf Datenbankserviceressourcen im VCN ausgeführt wird. Der Traffic zwischen der Anwendung und der Datenbank verwendet einen logischen Circuit, der auf der Cloud-zu-Cloud-Verbindung zwischen GCP und OCI ausgeführt wird.

Dieses Diagramm zeigt die Verbindung zwischen einem GCP-VPC und einem OCI-VCN.

Um die Verbindung zwischen VPC und VCN zu aktivieren, richten Sie einen GCP-VLAN-Anhang und einen OCI-Virtual Circuit FastConnect ein. Die Verbindung verfügt über keine integrierte Redundanz. Sie müssen also eine zweite Oracle Interconnect for Google Cloud-Verbindung einrichten, um ein hochverfügbares, resilientes Netzwerkdesign zu ermöglichen.

Ausführliche Anweisungen finden Sie unter Verbindung einrichten.

Peer-VCNs

Der Verbindungstraffic kann von der VPC zu mindestens einem Peer-VCN in derselben OCI-Region oder in anderen OCI-Regionen fließen.

Traffictypen, die nicht von der Verbindung unterstützt werden

Diese Verbindung ermöglicht keinen Traffic zwischen einem On-Premise-Netzwerk über OCI zur VPC oder von einem On-Premise-Netzwerk über GCP zu OCI.

Wichtige Auswirkungen von Cloud-Verbindungen

In diesem Abschnitt werden einige Auswirkungen von Oracle Interconnect for Google Cloud auf Zugriffskontrolle, Sicherheit und Performance zusammengefasst. Im Allgemeinen können Sie den Zugriff und Traffic mit IAM-Policys, Routentabellen im VCN und mit Sicherheitsregeln im VCN steuern.

In den folgenden Abschnitten werden die Auswirkungen aus Sicht eines VCN beschrieben. Ähnliche Implikationen betreffen einen VPC. Wie bei einem VCN können Sie GCP-Ressourcen wie Routentabellen und Netzwerksicherheitsgruppen verwenden, um eine VPC zu sichern.

Aufbau einer Verbindung steuern

Mit den IAM-Policys von Oracle Cloud Infrastructure können Sie:

Trafficfluss über die Verbindung steuern

Selbst wenn eine Verbindung zwischen VCN und VPC hergestellt wurde, können Sie den Paketfluss über die Verbindung mit den VCN-Routentabellen steuern. Beispiel: Sie können den Traffic nur auf bestimmte Subnetze in der VPC beschränken.

Ohne die Verbindung zu beenden, können Sie den Trafficfluss zum VPC stoppen, indem Sie Routingregeln entfernen, die den Traffic vom VCN zum VPC leiten. Sie können den Traffic auch wirksam stoppen, indem Sie alle Sicherheitsregeln entfernen, die den VPC-Ingress- oder -Egress-Traffic ermöglichen. Dadurch wird nicht der Trafficfluss über die Verbindung, aber auf VNIC-Ebene gestoppt.

Bestimmte zulässige Traffictypen steuern

Stellen Sie sicher, dass der gesamte ausgehende und eingehende Datenverkehr mit der VPC beabsichtigt oder erwartet und definiert ist. Implementieren Sie GCP-Sicherheits- und Oracle-Sicherheitsregeln, die explizit angeben, welche Traffictypen die Clouds untereinander senden und akzeptieren können.

Wichtig

Oracle Cloud Infrastructure-Instanzen mit Linux- oder Windows-Plattformimages verfügen auch über Firewallregeln, die den Zugriff auf die Instanz steuern. Stellen Sie bei der Behebung von Fehlern beim Zugriff auf eine Instanz sicher, dass die folgenden Elemente korrekt festgelegt sind: die Netzwerksicherheitsgruppen, in denen sich die Instanz befindet, die mit dem Subnetz der Instanz verknüpften Sicherheitslisten und die Firewallregeln der Instanz.

Wenn auf einer Instanz Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 oder Oracle Linux Cloud Developer 8 ausgeführt wird, müssen Sie firewalld für die Interaktion mit den iptables-Regeln verwenden. Zu Referenzzwecken sind hier Befehle zum Öffnen eines Ports (in diesem Beispiel 1521) aufgeführt:

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

Bei Instanzen mit einem iSCSI-Boot-Volume kann der vorherige --reload-Befehl Probleme verursachen. Weitere Einzelheiten und einen Workaround finden Sie unter Bei den Instanzen hängt das System, nachdem "firewall-cmd --reload" ausgeführt wurde.

Bewerten Sie nicht nur Sicherheitsregeln und Firewalls, sondern auch andere BS-basierte Konfigurationen auf den Instanzen im VCN. Es können Standardkonfigurationen vorhanden sein, die nicht für das CIDR des VCN gelten, sondern versehentlich für das CIDR des VPC.

Standardsicherheitslistenregeln mit VCN verwenden

Wenn die VCN-Subnetze die Standardsicherheitsliste mit den Standardregeln verwenden, erlauben zwei Regeln in dieser Liste Ingress-Traffic von überall (0.0.0.0/0 und somit VPC):

  • Regel für zustandslosen Ingress, die Traffic über den TCP-Port 22 (SSH) von 0.0.0.0/0 und jedem Quellport zulässt
  • Regel für statusbehafteten Ingress, die Traffic auf ICMP-Typ-3-Code-4-Traffic von 0.0.0.0/0 und allen Quellports zulässt

Prüfen Sie diese Regeln, und entscheiden Sie, ob Sie sie beibehalten oder aktualisieren möchten. Wie bereits erwähnt, stellen Sie sicher, dass der gesamte zulässige eingehende oder ausgehende Traffic beabsichtigt oder erwartet und definiert ist.

Performanceauswirkungen und Sicherheitsrisiken antizipieren

Richten Sie das VCN generell so ein, wie es von der VPC betroffen sein könnte. Beispiel: Die Auslastung des VCN oder seiner Instanzen könnte sich erhöhen. Oder es könnte direkt vom oder über den VPC zu einem bösartigen Angriff auf das VCN kommen.

Was die Performance angeht: Wenn das VCN einen Service für die VPC bereitstellt, müssen Sie darauf vorbereitet sein, den Service entsprechend den Anforderungen der VPC zu skalieren. Dies kann bedeuten, dass gegebenenfalls weitere Instanzen erstellt werden müssen. Wenn Sie über hohen Traffic im VCN besorgt sind, sollten Sie die Verwendung von zustandslosen Sicherheitsregeln in Betracht ziehen, um das Ausmaß des Verbindungstrackings zu begrenzen, das das VCN ausführen muss. Außerdem können Sicherheitsregeln für zustandslosen Traffic die Auswirkungen eines Denial-of-Service-(DoS-)Angriffs eindämmen.

Zu Sicherheitsrisiken: Wenn die VPC mit dem Internet verbunden ist, kann das VCN Bounce-Angriffen ausgesetzt sein. Bei einem Bounce-Angriff sendet ein böswilliger Host im Internet Traffic an das VCN, das von der VPC zu kommen scheint. Um dies zu verhindern, verwenden Sie, wie bereits erwähnt, Sicherheitsregeln, um den eingehenden Traffic von der VPC sorgfältig auf den erwarteten und definierten Traffic zu begrenzen.

Verbindung einrichten

In diesem Abschnitt wird beschrieben, wie Sie Oracle Interconnect for Google Cloud einrichten (Hintergrundinformationen finden Sie unter Überblick über unterstützten Traffic).

Die Google Cloud Platform-Seite dieser Verbindung verwendet das, was Google als "Partner Interconnect" bezeichnet. Die OCI-Seite verwendet die Methode FastConnect Oracle Partner.

Voraussetzungen: Erforderliche Ressourcen

Folgendes muss bereits vorhanden sein:

  • Ein GCP-VPC mit Subnetzen, einem Google Cloud-Router und Serviceperimetern
  • Ein Oracle Cloud Infrastructure-VCN mit Subnetzen und einem angehängten dynamischen Routinggateway (DRG). Denken Sie daran, das DRG an das VCN anzuhängen, nachdem Sie es erstellt haben. Wenn Sie bereits ein Site-to-Site-VPN oder FastConnect zwischen einem On-Premise-Netzwerk und einem VCN verwenden, verfügt das VCN bereits über ein angehängtes DRG. Verwenden Sie dasselbe DRG beim Einrichten der Verbindung zu GCP.
  • IAM-Berechtigungen zum Konfigurieren der Ressourcen, die für die erforderlichen OCI-Komponenten erforderlich sind.
  • Ein gültiges Abonnement in OCI und GCP für die Regionen, die Sie verbinden möchten

In der folgenden Tabelle werden die vergleichbaren Netzwerkkomponenten auf beiden Seiten der Verbindung aufgeführt.

Komponente GCP Oracle Cloud Infrastructure
Virtuelles Netzwerk Virtual Private Cloud (VPC) VCN
Virtual Circuit VLAN-Anhang FastConnect privater Virtual Circuit
Gateway Google Cloud-Router Dynamisches Routinggateway (DRG)
Routing Routentabellen Routentabellen
Sicherheitsregeln Serviceumfang Netzwerksicherheitsgruppen (NSGs) oder Sicherheitslisten

Voraussetzungen: Erforderliche BGP-Informationen

Die Verbindung zwischen VPC und VCN verwendet dynamisches BGP-Routing. Wenn Sie den Virtual Circuit von Oracle einrichten, geben Sie die BGP-IP-Adressen an, die für die beiden redundanten BGP-Sessions zwischen Oracle und GCP verwendet werden:

  • Ein primäres Paar von BGP-Adressen (eine IP-Adresse für die Oracle-Seite, eine IP-Adresse für die GCP-Seite)
  • Ein separates, sekundäres Paar von BGP-Adressen (eine IP-Adresse für die Oracle-Seite, eine IP-Adresse für die GCP-Seite)

Für jedes Paar müssen Sie einen separaten Adressblock mit einer Subnetzmaske von /28 bis /31 angeben.

Die zweite und dritte Adresse in jedem Adressblock werden für das BGP-IP-Adresspaar verwendet.

  • Die zweite Adresse im Block bezieht sich auf die Oracle-Seite der BGP-Session.
  • Die dritte Adresse im Block bezieht sich auf die GCP-Seite der BGP-Session.

Die erste und letzte Adresse im Block werden für andere interne Zwecke verwendet. Beispiel: Wenn der CIDR-Block 10.0.0.20/30 ist, lauten die Adressen im Block:

  • 10.0.0.20
  • 10.0.0.21: Verwenden Sie diese für die Oracle-Seite (geben Sie in der Oracle-Konsole die Adresse als 10.0.0.21/30 ein)
  • 10.0.0.22: Verwenden Sie diese für die GCP-Seite (geben Sie in der Oracle-Konsole die Adresse als 10.0.0.22/30 ein, und beachten Sie, dass diese Adresse in der Konsole als "Kunden"-Seite bezeichnet wird)
  • 10.0.0.23

Beachten Sie, dass Sie auch einen zweiten Block derselben Größe für die sekundären BGP-Adressen angeben müssen. Beispiel: 10.0.0.24/30. In diesem Fall ist 10.0.0.25 für die Oracle-Seite und 10.0.0.26 für die GCP-Seite vorgesehen. In der Oracle-Konsole müssen Sie diese als 10.0.0.25/30 und 10.0.0.26/30 eingeben.

Voraussetzungen: Erforderliche IAM-Policy

Sie benötigen bereits den erforderlichen GCP-Zugriff und Oracle Cloud Infrastructure IAM-Zugriff, um die relevanten GCP- und Oracle-Netzwerkressourcen zu erstellen und damit zu arbeiten. Wenn sich Ihr Benutzeraccount in der Administratorengruppe befindet, haben Sie wahrscheinlich die erforderliche Berechtigung. Andernfalls deckt eine Policy wie diese alle Netzwerkressourcen ab:

Allow group NetworkAdmins to manage virtual-network-family in tenancy

Um einen Virtual Circuit nur zu erstellen und zu verwalten, benötigen Sie eine Policy wie die Folgende:

Allow group VirtualCircuitAdmins to manage drgs in tenancy

Allow group VirtualCircuitAdmins to manage virtual-circuits in tenancy

Weitere Informationen finden Sie unter IAM-Policys für Networking.

Gesamtprozess

Das folgende Diagramm zeigt den allgemeinen Prozess der Verbindung von VPC und VCN.

Dieses Swimlane-Diagramm zeigt die Schritte zum Verbinden einer GCP-VPC und eines OCI-VCN
Aufgabe 1: Netzwerksicherheit konfigurieren

Die erste Aufgabe besteht darin, zu entscheiden, welcher Traffic zwischen den relevanten Subnetzen innerhalb des VPC und des VCN fließen muss, und dann die erforderlichen Serviceperimeter- und VCN-Sicherheitsregeln zu konfigurieren. Die folgenden allgemeinen Regeltypen müssen hinzugefügt werden:

  • Ingress-Regeln für die Traffictypen, die Sie aus den relevanten Subnetzen der anderen Cloud zulassen möchten.
  • Egress-Regeln, um ausgehenden Traffic in die andere Cloud zuzulassen. Wenn das VCN-Subnetz bereits eine umfassende Egress-Regel für alle Protokolltypen an alle Ziele (0.0.0.0/0) hat, müssen Sie für den Traffic zur VPC keine spezielle Regel hinzufügen. Die Standardsicherheitsliste des VCN enthält eine so umfassende Standardausgaberegel.

Es werden folgende Traffictypen empfohlen, die zwischen VPC und VCN zulässig sind:

  • Ping-Traffic in beiden Richtungen zum Testen der Verbindung von jeder Seite
  • SSH (TCP-Port 22)
  • Clientverbindungen zu einer Oracle-Datenbank (SQL*NET auf TCP-Port 1521)

Lassen Sie nur Traffic zwischen bestimmten relevanten Adressbereichen zu (z.B. von und an relevante Subnetze der anderen Cloud).

Für die VPC: Entscheiden Sie, welche Subnetze in der VPC mit dem VCN kommunizieren müssen. Konfigurieren Sie dann die Serviceperimeter für diese Subnetze, um Traffic zuzulassen.

Für das VCN:

Hinweis

Im Folgenden werden Sicherheitslisten verwendet. Sie könnten jedoch stattdessen die Sicherheitsregeln in mindestens einer Netzwerksicherheitsgruppe implementieren und die relevanten Ressourcen des VCN in NSGs platzieren.
  1. Entscheiden Sie, welche Subnetze im VCN mit der VPC kommunizieren müssen.

  2. Aktualisieren Sie die Sicherheitsliste für jedes dieser Subnetze mit Regeln, die Egress- oder Ingress-Traffic mit dem CIDR-Block der VPC oder einem Subnetz der VPC zulassen:

    1. Wählen Sie in der Konsole Sicherheitslisten aus, während Sie das gewünschte VCN anzeigen.
    2. Wählen Sie die gewünschte Sicherheitsliste aus.

    3. Wählen Sie Alle Regeln bearbeiten aus, und erstellen Sie mindestens eine Regel für jeden zulässigen Traffictyp. Sehen Sie sich die folgenden Beispielregeln an.

    4. Wählen Sie Sicherheitslistenregeln speichern, wenn Sie fertig sind.

    Weitere Informationen zum Einrichten von Sicherheitsregeln finden Sie unter Sicherheitsregeln.

Beispiel: Ausstehendes Ping vom VCN zum VPC

Mit der folgenden Egress-Sicherheitsregel kann eine Instanz eine Ping-Anforderung an einen Host außerhalb des VCN erstellen (Echoanforderung ICMP-Typ 8). Dies ist eine Regel für zustandsbehafteten Egress, die die Antwort automatisch zulässt. Eine separate Ingress-Regel für Echoantwort ICMP-Typ 0 ist nicht erforderlich.

  1. Wählen Sie im Abschnitt Regeln für Egress zulassen die Option +Add-Regel aus.
  2. Geben Sie die folgenden Werte ein, um diese Sicherheitsregel zu erstellen:
    • Lassen Sie das Kontrollkästchen zustandslos deaktiviert.
    • Ziel-CIDR: Das relevante Subnetz in der VPC (10.0.0.0/16 im vorherigen Diagramm)
    • IP-Protokoll: ICMP
    • Typ und Code: 8
    • Beschreibung: Eine optionale Beschreibung der Regel.
  3. Wählen Sie Sicherheitslistenregeln speichern unten im Dialogfeld.
Beispiel: Eingehendes Ping an das VCN von VPC

Mit der folgenden Ingress-Sicherheitsregel kann eine Instanz eine Ping-Anforderung von einem Host in der VPC empfangen (Echoanforderung ICMP-Typ 8). Dies ist eine Regel für zustandsbehafteten Egress, die die Antwort automatisch zulässt. Eine separate Egress-Regel für Echoantwort ICMP-Typ 0 ist nicht erforderlich.

  1. Wählen Sie im Abschnitt Regeln für Egress zulassen die Option +Add-Regel aus.
  2. Geben Sie die folgenden Werte ein, um diese Sicherheitsregel zu erstellen:
    • Lassen Sie das Kontrollkästchen zustandslos deaktiviert.
    • Quell-CIDR: Das relevante Subnetz in der VPC (10.0.0.0/16 im vorherigen Diagramm)
    • IP-Protokoll: ICMP
    • Typ und Code: 8
    • Beschreibung: Eine optionale Beschreibung der Regel.
  3. Wählen Sie Sicherheitslistenregeln speichern unten im Dialogfeld.
Beispiel: Eingehendes SSH für das VCN

Mit der folgenden Ingress-Sicherheitsregel kann eine Instanz eine SSH-Verbindung (auf TCP-Port 22) von einem Host in der VPC empfangen.

  1. Wählen Sie im Abschnitt Regeln für Egress zulassen die Option +Add-Regel aus.
  2. Geben Sie die folgenden Werte ein, um diese Sicherheitsregel zu erstellen:
    • Lassen Sie das Kontrollkästchen zustandslos deaktiviert.
    • Quell-CIDR: Das relevante Subnetz in der VPC (10.0.0.0/16 im vorherigen Diagramm)
    • IP-Protokoll: TCP
    • Quellportbereich: Alle
    • Zielportbereich: 22
    • Beschreibung: Eine optionale Beschreibung der Regel.
  3. Wählen Sie Sicherheitslistenregeln speichern unten im Dialogfeld.
Beispiel: SQL-Verbindungen zur Datenbank

Die folgende Ingress-Sicherheitsregel lässt SQL-Verbindungen (auf TCP-Port 1521) von Hosts in der VPC zu.

  1. Wählen Sie im Abschnitt Regeln für Egress zulassen die Option +Add-Regel aus.
  2. Geben Sie die folgenden Werte ein, um diese Sicherheitsregel zu erstellen:
    • Lassen Sie das Kontrollkästchen zustandslos deaktiviert.
    • Quell-CIDR: Das relevante Subnetz in der VPC (10.0.0.0/16 im vorherigen Diagramm)
    • IP-Protokoll: TCP
    • Quellportbereich: Alle
    • Zielportbereich: 1521
    • Beschreibung: Eine optionale Beschreibung der Regel.
  3. Wählen Sie Sicherheitslistenregeln speichern unten im Dialogfeld.
Aufgabe 2: Google Cloud Interconnect-VLAN-Anhang erstellen

Erstellen Sie ein Paar Partner Interconnect-Verbindungen zu Oracle Cloud Infrastructure FastConnect. Legen Sie während des Setups die folgenden Parameter fest:

  • Netzwerk: Verwenden Sie den Standardwert.
  • Region: Wählen Sie eine Region aus, in der das Interconnect verfügbar ist. Siehe Verfügbarkeit.
  • Cloud-Router: Wählen Sie einen Cloud-Router aus, der bereits mit der VPC funktioniert, mit der Sie eine Verbindung zu einem OCI-VCN herstellen möchten.
  • MTU: Wählen Sie 1500 aus. Diese Größe verursacht am wenigsten Probleme. Weitere Informationen zu MTU-Größen in OCI finden Sie im Artikel Hängende Verbindung.

Sie erhalten einen oder mehrere Pairing-Schlüssel von GCP. Siehe Schritt 10 von Unverschlüsselte VLAN-Anhänge erstellen. Notieren oder speichern Sie diesen Kopplungsschlüssel, da Sie ihn Oracle bereitstellen müssen, wenn Sie im nächsten Schritt einen Virtual Circuit FastConnect einrichten. Der Pairing-Schlüssel ist ein eindeutiger Schlüssel, mit dem OCI das Google Cloud VPC-Netzwerk und den zugehörigen Cloud-Router identifizieren und eine Verbindung herstellen kann. OCI erfordert diesen Schlüssel, um die Konfiguration des VLAN-Anhangs abzuschließen.

Hinweis

Nachdem die VLAN-Anhänge erstellt wurden, aktivieren Sie das Kontrollkästchen "Aktivieren", um die VLAN-Anhänge vorab zu aktivieren. Wenn Sie dies jetzt tun, können Sie Aufgabe 4 (optional): Verbindung aktivieren überspringen.
Hinweis

Es wird empfohlen, ein redundantes Paar von Interconnect-VLAN-Anhängen zu erstellen, um die Verfügbarkeit zu erhöhen. Das Erstellen von Redundanz führt zu 2 Paarungsschlüsseln. Wenn Sie keine Redundanz benötigen, können Sie einen einzelnen VLAN-Anhang erstellen (Sie können ihn später immer redundant machen), was zu einem einzelnen Pairing-Schlüssel führt.

In der nächsten Aufgabe richten Sie einen privaten FastConnect-Virtual Circuit für Google Cloud Platform ein. Wenn das Provisioning des Virtual Circuits abgeschlossen ist, wird der VLAN-Anhang aktualisiert, um anzuzeigen, dass privates Peering aktiviert ist.

Aufgabe 3: Virtual Circuit von OCI FastConnect einrichten
  1. Bestätigen Sie in der Konsole, dass Sie das Compartment anzeigen, in welchem Sie arbeiten möchten. Wenn Sie nicht sicher sind, zu welchem Compartment Sie eine Verbindung herstellen möchten, verwenden Sie das Compartment mit dem DRG. Diese Compartment-Auswahl bestimmt zusammen mit einer entsprechenden IAM-Policy, wer auf den Virtual Circuit zugreifen kann, den Sie gerade erstellen.

  2. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter Kundenkonnektivität die Option FastConnect aus.

    Auf der daraufhin angezeigten FastConnect-Seite erstellen Sie einen neuen Virtual Circuit und kehren später dorthin zurück, wenn Sie den Virtual Circuit verwalten müssen.

  3. Wählen Sie Erstellen FastConnect aus.
  4. Wählen Sie FastConnect-Partner aus, und wählen Sie Google Cloud : OCI Interconnect aus der Liste aus.

  5. Wählen Sie entweder Einzelner Virtual Circuit (Standard) oder Redundante Virtual Circuits aus, um Virtual Circuits zu konfigurieren, die verschiedene physische Geräte am selben FastConnect-Speicherort verwenden. Weitere Informationen zur Redundanz finden Sie unter FastConnect Best Practices für Redundanz. Wenn Sie Einzelner Virtual Circuit auswählen, können Sie später zurückkehren, um einen redundanten Virtual Circuit hinzuzufügen.

  6. Wählen Sie Weiter aus.

  7. Geben Sie Folgendes für den Virtual Circuit ein (Virtual Circuit 1, wenn Sie Redundante Virtual Circuits gewählt haben):

    • Name: Ein aussagekräftiger Name für die Virtual Circuits. Der Wert muss über die Virtual Circuits hinweg nicht eindeutig sein. Sie können ihn später ändern. Geben Sie keine vertraulichen Informationen ein.
    • Erstellen in Compartment: Übernehmen Sie die Vorgabe (das Compartment, in dem Sie arbeiten).
    • Wählen Sie Partner aus, und wählen Sie den Partner in der Liste aus.
      Hinweis

      Wenn Sie Megaport als Partner auswählen, können Sie die Partnerseite des Circuits mit den oben genannten optionalen Schritten bereitstellen.

  8. Wählen Sie den Virtual Circuit-Typ Privat aus. Redundante Virtual Circuits müssen sowohl privat als auch öffentlich sein, sodass diese Einstellung auf dem anderen Virtual Circuit abgeglichen wird. Geben Sie nun Folgendes ein:

    • Wählen Sie entweder Gesamter Traffic oder IPSec nur über FastConnect-Traffic aus. Der Virtual Circuit kann mit einer der beiden Optionen für IPSec über FastConnect verwendet werden. Sie können jedoch auswählen, dass nur verschlüsselter Traffic auf dem Virtual Circuit zulässig ist. Redundante Virtual Circuits müssen dieselbe Einstellung aufweisen, sodass sie auf dem anderen Virtual Circuit übereinstimmen.
    • Dynamisches Routinggateway: Wählen Sie das DRG, an das der FastConnect-Traffic weitergeleitet werden soll. Für IPSec über FastConnect ist ein upgegradetes DRG erforderlich. Dieses DRG kann an mehrere VCNs oder an andere DRGs mit angehängten VCNs angehängt werden.
    • Bereitgestellte Bandbreite: Wählen Sie einen Wert aus. Wenn die Bandbreite später vergrößert werden muss, können Sie den Virtual Circuit auf einen anderen Wert aktualisieren (siehe So bearbeiten Sie einen Virtual Circuit).
    • Partner Service-Schlüssel (Optional): Geben Sie den von Google bereitgestellten Serviceschlüssel ein. Sie können diesen Schlüssel jetzt eingeben oder den Circuit später bearbeiten.

    Wenn die BGP-Session zu Oracle aufgebaut wird (siehe Einfache Netzwerkdiagramme), enthält das Dialogfeld weitere Felder für die BGP-Session:

    • BGP-IP-Adresse: Die BGP-Peering-IP-Adresse für die Edge (CPE) mit einer Subnetzmaske von /28 nach /31.
    • BGP-IP-Adresse von Oracle: Die BGP-Peering-IP-Adresse, die Sie für die Oracle-Edge (DRG) verwenden möchten, mit einer Subnetzmaske von /28 bis /31.
    • IPv6-Adressenzuweisung aktivieren: Die IPv6-Adresse wird für alle kommerziellen Regionen und Regierungsregionen unterstützt. Siehe FastConnect und IPv6.
    • Kunden-BGP-ASN: Die öffentliche oder private ASN für das Google VCP.
    • BGP-Authentifizierungsschlüssel MD5 verwenden (optional): Aktivieren Sie dieses Kontrollkästchen, und geben Sie einen Schlüssel an, wenn die MD5-Authentifizierung erforderlich ist. Oracle unterstützt die MD5-Authentifizierung bis zu 125 Bit.
    • Bidirektionale Weiterleitungserkennung aktivieren (optional): Aktivieren Sie dieses Kontrollkästchen, um Bidirectional Forwarding Detection zu aktivieren.
      Hinweis

      Wenn Sie Bidirektionale Weiterleitungserkennung verwenden, muss das gekoppelte Gerät so konfiguriert werden, dass es ein Mindestintervall von 300 ms und einen Multiplikator von 3 verwendet.
  9. Wenn Sie einen redundanten Virtual Circuit erstellen, geben Sie die erforderlichen Informationen für den anderen Virtual Circuit ein (Virtual Circuit 2). Wenn Sie die Option Redundante Virtual Circuits gewählt haben, beachten Sie, dass die Einstellungen für den Virtual Circuit-Typ (privat oder öffentlich) und Nur Traffic oder IPSec über FastConnect-Traffic für Virtual Circuit 2 bereits auf Virtual Circuit 1 abgestimmt sind. Wenn Sie sie ändern, werden die Einstellungen auf dem anderen Circuit automatisch entsprechend geändert.
    Hinweis

    Das Erstellen eines redundanten Virtual Circuits ist optional, wenn Sie Redundante Virtual Circuits ausgewählt haben und der ausgewählte Partner eine Layer-3-Verbindung zu OCI erstellt. Ein redundanter Virtual Circuit ist jedoch erforderlich, wenn der ausgewählte Partner eine Layer-2-Verbindung erstellt. Weitere Informationen zu Layer-2- und Layer-3-Verbindungen finden Sie unter FastConnect Best Practices bei Redundanz.

  10. Wählen Sie Erstellen.

    Der Virtual Circuit wird erstellt, und eine Statusseite wird angezeigt. Wählen Sie Schließen aus, um zur Liste der Virtual Circuits zurückzukehren.

  11. Wählen Sie den Namen des erstellten Virtual Circuits aus. Während sich der Virtual Circuit im Status PENDING PARTNER befindet, werden seine OCID und ein Link zum Portal des Partners im Bestätigungsfeld "Verbindung erstellt" oben auf der Seite angezeigt. Die OCID des Virtual Circuits ist auch mit anderen Virtual Circuits verfügbar. Kopieren Sie die OCID, und fügen Sie sie an einer anderen Stelle ein. Sie geben sie in der nächsten Aufgabe an den Oracle-Partner weiter. Kopieren Sie außerdem die OCID für den redundanten Circuit, wenn Sie einen erstellt haben.

Nachdem Sie den Virtual Circuit FastConnect erstellt haben, warten Sie, bis OCI die Verbindungen konfiguriert. Prüfen Sie auf der Detailseite für den erstellten Virtual Circuit auf der Registerkarte Virtual Circuit-Informationen, ob sich der Lebenszyklusstatus für die Virtual Circuit-Informationen in Bereitgestellt ändert. Prüfen Sie außerdem auf der Registerkarte BGP-Informationen, ob die BGP-Session aufgebaut wurde. Warten Sie einige Minuten, bis die BGP-Session in den Status Established geändert wurde. Informationen hierzu finden Sie auch unter So rufen Sie den Status eines FastConnect-VMs ab.

Aufgabe 4 (optional): Verbindung aktivieren

Dieser Schritt ist nur erforderlich, wenn Sie die GCP-VLAN-Anhänge nicht vorab aktiviert haben, als Sie die Kopplungsschlüssel in Aufgabe 2: Google Cloud Interconnect-VLAN-Anhang erstellen angegeben haben.

Wenn die Konfiguration und das Provisioning auf OCI-Seite abgeschlossen sind und Sie die GCP-VLAN-Anhänge nicht vorab aktiviert haben, erhalten Sie eine E-Mail-Benachrichtigung von Google Cloud . Nachdem Sie die E-Mail erhalten haben, müssen Sie den VLAN-Anhang aktivieren in der Google Cloud- Konsole. Sie müssen die Verbindung aktivieren und ihren Aktivierungsstatus prüfen, bevor Sie prüfen können, ob die Verbindung mit der Google Cloud hergestellt wurde .

Aufgabe 5: Routentabellen konfigurieren

Für die VPC: Entscheiden Sie, welche Subnetze in der VPC mit dem VCN kommunizieren müssen. Konfigurieren Sie dann BGP-Advertisement für diese Subnetze so, dass Traffic je nach Bedarf weitergeleitet wird.

Für das VCN:

  1. Entscheiden Sie, welche Subnetze im VCN mit der VPC kommunizieren müssen.

  2. Aktualisieren Sie die Routentabelle für jedes dieser Subnetze, um eine neue Regel aufzunehmen, die den Traffic, der für das CIDR des VPCs bestimmt ist, an das DRG weiterleitet:

    1. Wenn Sie das gewünschte VCN anzeigen, wählen Sie in der Konsole die Option Tabellen weiterleiten aus.
    2. Wählen Sie die gewünschte Routentabelle aus.
    3. Wählen Sie Routingregeln bearbeiten aus.

    4. Wählen Sie + Weitere Routingregel aus, und geben Sie Folgendes ein:

      • Zieltyp: Dynamisches Routinggateway. Das angehängte DRG des VCN wird automatisch als Ziel ausgewählt, sodass Sie es nicht selbst angeben müssen.
      • Ziel-CIDR-Block: Das relevante Subnetz in der VPC (10.0.0.0/16 im vorherigen Diagramm).
      • Beschreibung: Eine optionale Beschreibung der Regel.
    5. Klicken Sie auf Speichern.

Jeder Subnetztraffic mit einem Ziel, das der Regel entspricht, wird an das DRG weitergeleitet. Das DRG weiß dann, dass der Traffic basierend auf den BGP-Sessioninformationen des Virtual Circuits an die VPC weitergeleitet wird.

Wenn Sie später keine Verbindung mehr benötigen und das DRG löschen möchten, müssen Sie zuerst alle Routingregeln im VCN löschen, die das DRG als Ziel angeben.

Weitere Informationen zum Einrichten von Routingregeln finden Sie unter VCN-Routentabellen.

Aufgabe 6: Verbindung prüfen und testen
Wichtig

Wenn Sie sich entscheiden, die Verbindung zu beenden, müssen Sie einem bestimmten Prozess folgen. Siehe So beenden Sie Oracle Interconnect for Google Cloud.
  1. Prüfen Sie, ob die Border Gateway Protocol-(BGP-)Session mit Google Cloud eingerichtet wurde.
    Die BGP-Session kann über die OCI-Konsole verifiziert werden. Prüfen Sie dazu die Registerkarte BGP-Informationen auf der Detailseite für den Virtual Circuit, den Sie unter Aufgabe 3: OCI FastConnect Virtual Circuit einrichten erstellt haben. Fahren Sie erst fort, nachdem Sie bestätigt haben, dass die BGP-Session den Status Established aufweist. Informationen hierzu finden Sie auch unter So rufen Sie den Status eines FastConnect-VMs ab.
  2. Stellen Sie sicher, dass die VPC-Serviceperimeter und VCN-Sicherheitsregeln (siehe Aufgabe 1: Netzwerksicherheit konfigurieren) korrekt konfiguriert sind.
  3. Erstellen Sie eine Testinstanz in einem VCN.
  4. Verwenden Sie die Testinstanz, um mit SSH auf einen Host in der VPC zuzugreifen, oder verwenden Sie einen Host in der VPC, um auf die Testinstanz zuzugreifen.
Wenn Schritt 4 erfolgreich war, ist die Verbindung jetzt einsatzbereit.

Wenden Sie sich an OCI- oder Google Cloud- Supportteams, wenn der BGP-Status nicht eingerichtet ist.

Oracle Interconnect for Google Cloud verwalten

So rufen Sie den Status eines FastConnect-VMs ab
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter Kundenkonnektivität die Option FastConnect aus.
  2. Wählen Sie das Compartment aus, in dem sich die Verbindung befindet.
  3. Wählen Sie die gewünschte Verbindung aus. Wenn das Symbol für den Virtual Circuit grün ist und "UP" angibt, wird der Virtual Circuit bereitgestellt und das BGP wurde ordnungsgemäß konfiguriert. Der Virtual Circuit ist einsatzbereit.
So bearbeiten Sie einen FastConnect-Virtual Circuit

Die folgenden Elemente können Sie für einen Virtual Circuit ändern:

  • Den Namen
  • Welches DRG verwendet wird
Achtung

Wenn der Virtual Circuit den Status PROVISIONED aufweist, wird bei Änderung des verwendeten DRG der Status in PROVISIONING geändert. Dies kann möglicherweise dazu führen, dass die Verbindung heruntergefahren wird. Sobald Oracle den Virtual Circuit erneut durch Provisioning bereitstellt, wird der Status wieder auf PROVISIONED gesetzt. Vergewissern Sie sich, dass die Verbindung wieder hergestellt ist und ordnungsgemäß funktioniert.
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter Kundenkonnektivität die Option FastConnect aus.
  2. Wählen Sie das Compartment aus, in dem sich die Verbindung befindet, und wählen Sie die Verbindung aus.
  3. Wählen Sie den Virtual Circuit aus.
  4. Wählen Sie Bearbeiten aus, und nehmen Sie Änderungen vor. Geben Sie dabei keine vertraulichen Informationen ein.
  5. Klicken Sie auf Speichern.
So beenden Sie Oracle Interconnect for Google Cloud

Die folgenden Schritte zeigen den allgemeinen Prozess zum Beenden von Oracle Interconnect for Google Cloud.

  1. Zeigen Sie im GCP-Portal Cloud Interconnect an, und zeigen Sie dann die zugehörigen VLAN-Anhänge an, um die noch vorhandenen VLAN-Anhänge für Cloud Interconnect anzuzeigen. Weitere Informationen finden Sie unter VLAN-Anhänge anzeigen. Wenn noch VLAN-Anhänge vorhanden sind, lesen Sie Netzwerke trennen, und löschen Sie alle VLAN-Anhänge.
  2. Löschen Sie im Oracle-Portal den Virtual Circuit FastConnect:
    1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter Kundenkonnektivität die Option FastConnect aus.
    2. Wählen Sie das Compartment aus, in dem sich die Verbindung befindet, und wählen Sie die Verbindung aus.
    3. Wählen Sie den Virtual Circuit aus.
    4. Klicken Sie auf Löschen.

    5. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.

      Der Lebenszyklusstatus des Virtual Circuit ändert sich in TERMINATING.

Oracle Interconnect for Google Cloud wird beendet.