Oracle Cloud Infrastructure - Dokumentation

Verbindung über Oracle-Netzwerk

In diesem Thema wird beschrieben, wie Sie eine Verbindung zwischen einem Oracle Cloud Infrastructure Classic-IP-Netzwerk und einem virtuellen Oracle Cloud Infrastructure-Cloud-Netzwerk (VCN) einrichten. Die Verbindung erfolgt über das Netzwerk von Oracle.

Eine weitere Option besteht darin, die beiden Clouds mit Site-to-Site-VPN zu verbinden. Weitere Informationen finden Sie unter Verbindung über Site-to-Site-VPN.

Highlights

  • Sie können eine Hybrid-Workload zwischen Ihren Oracle Cloud Infrastructure Classic- und Oracle Cloud Infrastructure-Umgebungen ausführen.
  • Oracle verbindet das private Gateway des IP-Netzwerks mit dem angehängten dynamischen Routinggateway (DRG) des VCN. Die Verbindung erfolgt über das Oracle-Netzwerk. Sie konfigurieren Routing- und Sicherheitsregeln in den Umgebungen, um den Trafficfluss zu ermöglichen.
  • Die beiden Umgebungen müssen zu demselben Unternehmen gehören und dürfen keine sich überschneidenden CIDRs aufweisen. Die Cloud-Ressourcen können nur mit privaten IP-Adressen über die Verbindung kommunizieren.
  • Die beiden Umgebungen müssen sich im Gebiet Ashburn, im Gebiet London oder im Gebiet Sydney und in bestimmten Regionen befinden, die im nächsten Abschnitt aufgeführt werden. Konnektivität mit anderen Regionen wird nicht unterstützt.
  • Die Verbindung ist kostenlos.

Überblick

Sie können das Provisioning einer Verbindung zwischen Ihrer Oracle Cloud Infrastructure-Umgebung und der Oracle Cloud Infrastructure Classic-Umgebung bei Oracle anfordern. Die Verbindung vereinfacht ein Hybrid-Deployment mit Anwendungskomponenten, die in den beiden Umgebungen eingerichtet sind. Sie können die Verbindung auch verwenden, um Workloads von Oracle Cloud Infrastructure Classic zu Oracle Cloud Infrastructure zu migrieren. Im Gegensatz zu Site-to-Site-VPN haben die Ressourcen in den beiden Umgebungen eine zuverlässigere und konsistentere Netzwerkverbindung mit besserem Durchsatz, da der Traffic die internen Links von Oracle verwendet. Im Vergleich zu FastConnect: Es fallen keine zusätzlichen Kosten und operationalen Gemeinkosten für die Arbeit mit einem FastConnect-Partner an.

Das folgende Diagramm zeigt ein Beispiel für ein Hybrid-Deployment. Oracle Analytics Cloud wird in einem Oracle Cloud Infrastructure Classic-IP-Netzwerk ausgeführt und greift über die Verbindung auf den Datenbankservice in Oracle Cloud Infrastructure zu.

Dieses Diagramm zeigt die Verbindung zwischen einem IP-Netzwerk und einem VCN.

Weitere wichtige Details:

  • Die Verbindung wird nur zwischen den folgenden Regionen unterstützt:
    • Die Region Oracle Cloud Infrastructure Australia East (Sydney) und die Region Sydney Classic
    • Die Region Oracle Cloud Infrastructure US East (Ashburn) und die Region Ashburn Classic
    • Die Region "Oracle Cloud Infrastructure UK South" (London) und die Region Slough Classic
  • Die Verbindung ermöglicht nur die Kommunikation mit privaten IP-Adressen.
  • Die CIDR-Blöcke des IP-Netzwerks und des VCN-Subnetzes, die kommunizieren müssen, dürfen sich nicht überschneiden.
  • Das IP-Netzwerk und das VCN müssen zum selben Unternehmen gehören. Dies wird beim Einrichten der Verbindung durch Oracle geprüft.
  • Diese Verbindung ermöglicht die Kommunikation ausschließlich zwischen Ressourcen im Oracle Cloud Infrastructure Classic-IP-Netzwerk und dem Oracle Cloud Infrastructure-VCN. Sie ermöglicht keinen Traffic zwischen Ihrem On-Premise-Netzwerk über das IP-Netzwerk in das VCN oder über das On-Premise-Netzwerk über das VCN zum IP-Netzwerk.
  • Diese Verbindung ermöglicht auch keinen Traffic vom IP-Netzwerk über das verbundene VCN in ein Peer-VCN in derselben Oracle Cloud Infrastructure-Region oder einer anderen Region.

In der folgenden Tabelle werden die vergleichbaren Netzwerkkomponenten aufgeführt, die auf jeder Seite der Verbindung erforderlich sind.

Komponente Oracle Cloud Infrastructure Classic Oracle Cloud Infrastructure
Cloud-Netzwerk IP-Netzwerk VCN
Gateway Privates Gateway Dynamisches Routinggateway (DRG)
Routing Routen Routentabellen mit Routingregeln
Sicherheitsregeln Sicherheitsregeln Netzwerksicherheitsgruppen, Sicherheitslisten

IP-Netzwerk und VCN verbinden

Das folgende Ablaufdiagramm stellt den allgemeinen Prozess der Verbindung Ihres IP-Netzwerks und des VCN dar.

Dieses Ablaufdiagramm stellt die Schritte für die Verbindung Ihres IP-Netzwerks mit dem VCN dar.

Voraussetzungen

Folgendes muss bereits vorhanden sein:

Aufgabe 1: Privates Gateways für Ihr IP-Netzwerk einrichten

Wenn Sie noch kein privates Gateway für Ihr IP-Netzwerk haben, erstellen Sie eines.

Aufgabe 2: Ein dynamisches Routinggateway (DRG) für das VCN einrichten

Wenn an Ihr VCN noch kein DRG angehängt wurde, erstellen Sie ein DRG, und hängen Sie es an:

Aufgabe 3: Routentabellen konfigurieren
Für das IP-Netzwerk

Wenn Sie das private Gateway erstellen und ein IP-Netzwerk daran anhängen, wird der Traffic von Cloud-Ressourcen im IP-Netzwerk über das private Gateway als nächsten Hop geleitet. Sie müssen keine Routen für das IP-Netzwerk aktualisieren.

Für das VCN

Sie müssen eine Routingregel hinzufügen, die den Traffic von den Subnetzen des VCN an das DRG weiterleitet:

  1. Bestimmen Sie, welche Subnetze in Ihrem VCN mit dem IP-Netzwerk kommunizieren müssen.

  2. Aktualisieren Sie die Routentabelle für jedes dieser Subnetze, um eine neue Regel aufzunehmen, die den Traffic, der für das CIDR des IP-Netzwerks bestimmt ist, an das DRG weiterleitet:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
    2. Klicken Sie auf das gewünschte VCN.
    3. Klicken Sie unter Ressourcen auf Routentabellen.
    4. Klicken Sie auf die gewünschte Routentabelle.

    5. Klicken Sie auf Routingregel hinzufügen, und geben Sie Folgendes ein:

      • Ziel-CIDR-Block: Der CIDR-Block des IP-Netzwerks.
      • Zieltyp: Dynamisches Routinggateway. Das angehängte DRG des VCN wird automatisch als Ziel ausgewählt, sodass Sie es nicht selbst angeben müssen.
      • Beschreibung: Eine optionale Beschreibung der Regel.
    6. Klicken Sie auf Routingregel hinzufügen.

Jeder Subnetztraffic mit einem Ziel, das der Regel entspricht, wird an das DRG weitergeleitet. Weitere Informationen zum Einrichten von Routingregeln finden Sie unter VCN-Routentabellen.

Wenn Sie später keine Verbindung mehr benötigen und das DRG löschen möchten, müssen Sie zuerst alle Routingregeln im VCN löschen, die das DRG als Ziel angeben.

Aufgabe 4: Sicherheitsregeln konfigurieren

Um den Trafficfluss zwischen dem IP-Netzwerk und dem VCN zu gewährleisten, müssen die IP-Netzwerksicherheitsregeln und die Sicherheitsregeln des VCN Traffic zulassen.

Im Folgenden werden die Regeltypen aufgeführt, die hinzugefügt werden müssen:

  • Ingress-Regeln für die Traffictypen, die Sie in einer Cloud aus der anderen Cloud zulassen möchten, speziell aus dem CIDR-Block der anderen Cloud.
  • Egress-Regel, mit der ausgehender Traffic von einer Cloud in die andere übertragen werden kann. Wenn das VCN-Subnetz bereits eine umfassende Egress-Regel für alle Protokolltypen an alle Ziele (0.0.0.0/0) hat, müssen Sie für das IP-Netzwerk keine spezielle Regel hinzufügen.
Für das IP-Netzwerk

Konfigurieren Sie die Netzwerksicherheitsregeln so, dass das IP-Netzwerk Traffic zulässt.

Für das VCN
Hinweis

Im Folgenden werden Sicherheitslisten verwendet. Sie könnten jedoch stattdessen die Sicherheitsregeln in einer oder mehreren Netzwerksicherheitsgruppen implementieren und die Ressourcen des VCN in NSGs platzieren.
  1. Bestimmen Sie, welche Subnetze in Ihrem VCN mit dem IP-Netzwerk kommunizieren müssen.

  2. Aktualisieren Sie die Sicherheitsliste für jedes dieser Subnetze mit Regeln, die Egress- oder Ingress-Traffic speziell mit dem CIDR-Block des IP-Netzwerks zulassen:

    1. Klicken Sie in der Konsole auf Sicherheitslisten, während Sie das gewünschte VCN anzeigen.

    2. Klicken Sie auf die gewünschte Sicherheitsliste.

      Klicken Sie unter Ressourcen auf Ingress-Regeln oder Egress-Regeln, um zwischen den verschiedenen Regeltypen zu wechseln.

    3. Fügen Sie für jeden zulässigen Traffictyp eine oder mehrere Regeln hinzu.

Weitere Informationen zum Einrichten von Sicherheitsregeln finden Sie unter Sicherheitsregeln.

Wichtig

Die Standardsicherheitsliste des VCN lässt keine ICMP-Echoantwort und -Echoanforderung (Ping) zu. Sie müssen Regeln hinzufügen, um diesen Traffic zu ermöglichen. Siehe Regeln zum Aktivieren von Ping
Beispiel:

Sie möchten eine Regel für zustandsbehafteten Ingress hinzufügen, die den Ingress-HTTPS-Traffic (Port 443) vom CIDR des IP-Netzwerks aktiviert. Die folgenden grundlegenden Schritte werden beim Hinzufügen einer Regel ausgeführt:

  1. Klicken Sie auf der Seite Ingress-Regeln auf Ingress-Regel hinzufügen.
  2. Lassen Sie das Kontrollkästchen Zustandslos deaktiviert.
  3. Quell-CIDR: Geben Sie denselben CIDR-Block ein, den die Routingregeln verwenden (siehe Aufgabe 3: Routentabellen konfigurieren).
  4. IP-Protokoll: Behalten Sie "TCP" bei.
  5. Quellportbereich: Behalten Sie "Alle" bei.
  6. Zielportbereich: Geben Sie "443" ein.
  7. Beschreibung: Geben Sie optional eine Beschreibung der Regel ein.
  8. Klicken Sie auf Ingress-Regel hinzufügen.
Aufgabe 5: My Oracle Support-Ticket erstellen

Damit Oracle die Verbindung einrichtet, erstellen Sie ein Ticket unter My Oracle Support, und geben die folgenden Informationen an:

  • Ticketname: IP-Netzwerk erstellen - VCN-Verbindung - <your_company_name> - Ashburn
  • OCI-C-Identitätsdomain
  • Name des privaten OCI-C-Gateways
  • Region
  • OCID des OCI-Mandanten
  • OCID des OCI-DRG

Beispiel:

  • Ticketname: IP-Netzwerk erstellen - VCN-Verbindung - ACME - Ashburn
  • OCI-C-Identitätsdomain: 123456789, uscom-east-1
  • Name des privaten OCI-C-Gateways: Compute-acme/jack.jones@example.com/privategateway1
  • Region: uscom-east-1(OCI-C) / us-ashburn-1 (OCI)
  • OCID des OCI-Mandanten: ocid1.tenancy.oc1..examplefbpnk5cmdl7gkr6kcakfqmvhvbpcv
  • OCID des OCI-DRG: ocid1.drg.oc1.iad.exampleutg6cmd3fqwqbea7ctadcatm

Es kann drei bis vier Werktage dauern, bis Ihr My Oracle Support-Ticket bearbeitet ist und die Verbindung getestet werden kann.

Aufgabe 6: Verbindung testen

Testen Sie die Verbindung, nachdem Sie vom Supportmitarbeiter die Bestätigung erhalten haben, dass die Verbindung einsatzbereit ist. Je nachdem, wie Sie die Sicherheitsregeln Ihres IP-Netzwerks und die VCN-Sicherheitsregeln eingerichtet haben, sollten Sie in der Lage sein, in Ihrem VCN eine Instanz zu starten und von einer Instanz im IP-Netzwerk darauf zuzugreifen. Oder Sie können eine Verbindung von der VCN-Instanz zu einer Instanz im IP-Netzwerk herstellen. Wenn Sie dazu in der Lage sind, ist Ihre Verbindung einsatzbereit.

Verbindung beenden

Wenn Sie die Verbindung beenden möchten, erstellen Sie ein Ticket unter My Oracle Support.