Oracle Cloud Infrastructure - Dokumentation

Verbindung über Site-to-Site-VPN

In diesem Thema wird beschrieben, wie Sie eine Verbindung zwischen einem Oracle Cloud Infrastructure Classic-IP-Netzwerk und einem virtuellen Oracle Cloud Infrastructure-Cloud-Netzwerk (VCN) einrichten. Die Verbindung erfolgt über Site-to-Site-VPN.

Eine weitere Option ist, dass Oracle eine Verbindung über das Oracle-Netzwerk einrichtet. Weitere Informationen finden Sie unter Verbindung über Oracle-Netzwerk.

Highlights

  • Sie können eine Hybrid-Workload zwischen Ihren Oracle Cloud Infrastructure Classic- und Oracle Cloud Infrastructure-Umgebungen ausführen.
  • Sie richten Site-to-Site-VPN zwischen dem VPN-as-a-Service-(VPNaaS-)Gateway des IP-Netzwerks und dem angehängten dynamischen Routinggateway (DRG) des VCN ein. Die Verbindung erfolgt über das Internet. Sie konfigurieren Routing- und Sicherheitsregeln in den Umgebungen, um den Trafficfluss zu ermöglichen.
  • Die beiden Umgebungen dürfen keine sich überschneidenden CIDRs aufweisen. Die Cloud-Ressourcen können nur mit privaten IP-Adressen über die Verbindung kommunizieren.
  • Die beiden Umgebungen müssen sich nicht in demselben geografischen Gebiet bzw. in derselben Region befinden.
  • Die Verbindung ist kostenlos.

Überblick

Sie können die Oracle Cloud Infrastructure-Umgebung und die Oracle Cloud Infrastructure Classic-Umgebung mit Site-to-Site-VPN verbinden. Die Verbindung vereinfacht ein Hybrid-Deployment mit Anwendungskomponenten, die in den beiden Umgebungen eingerichtet sind. Sie können die Verbindung auch verwenden, um Workloads von Oracle Cloud Infrastructure Classic zu Oracle Cloud Infrastructure zu migrieren. Anders als bei der Verwendung des Oracle-Netzwerks für die Verbindung können Sie Site-to-Site-VPN selbst in wenigen Minuten einrichten. Im Vergleich zu FastConnect: Es fallen keine zusätzlichen Kosten und operationalen Gemeinkosten für die Arbeit mit einem FastConnect-Partner an.

Das folgende Diagramm zeigt ein Beispiel für ein Hybrid-Deployment. Oracle Analytics Cloud wird in einem Oracle Cloud Infrastructure Classic-IP-Netzwerk ausgeführt und greift über die Verbindung auf den Datenbankservice in Oracle Cloud Infrastructure zu.

Dieses Diagramm zeigt die Verbindung zwischen einem IP-Netzwerk und einem VCN.

Weitere wichtige Details:

  • Die Verbindung wird in allen Oracle Cloud Infrastructure- und Oracle Cloud Infrastructure Classic-Regionen unterstützt. Die beiden Umgebungen müssen sich nicht in demselben geografischen Gebiet befinden.
  • Die Verbindung ermöglicht nur die Kommunikation mit privaten IP-Adressen.
  • Die CIDR-Blöcke des IP-Netzwerks und des VCN-Subnetzes, die kommunizieren müssen, dürfen sich nicht überschneiden.
  • Diese Verbindung ermöglicht die Kommunikation ausschließlich zwischen Ressourcen im Oracle Cloud Infrastructure Classic-IP-Netzwerk und dem Oracle Cloud Infrastructure-VCN. Sie ermöglicht keinen Traffic zwischen Ihrem On-Premise-Netzwerk über das IP-Netzwerk in das VCN oder über das On-Premise-Netzwerk über das VCN zum IP-Netzwerk.
  • Diese Verbindung ermöglicht auch keinen Traffic vom IP-Netzwerk über das verbundene VCN in ein Peer-VCN in derselben Oracle Cloud Infrastructure-Region oder einer anderen Region.

In der folgenden Tabelle werden die vergleichbaren Netzwerkkomponenten aufgeführt, die auf jeder Seite der Verbindung erforderlich sind.

Komponente Oracle Cloud Infrastructure Classic Oracle Cloud Infrastructure
Cloud-Netzwerk IP-Netzwerk VCN
Gateway VPNaaS-Gateway Dynamisches Routinggateway (DRG)
Sicherheitsregeln Sicherheitsregeln Netzwerksicherheitsgruppen, Sicherheitslisten

Site-to-Site-VPN zwischen IP-Netzwerk und VCN einrichten

Das folgende Ablaufdiagramm stellt den allgemeinen Prozess zum Verbinden Ihres IP-Netzwerks und des VCN mit Site-to-Site-VPN dar.

Dieses Ablaufdiagramm stellt die Schritte zum Verbinden Ihres IP-Netzwerks und des VCN mit VCN Connect dar.

Voraussetzungen

Folgendes muss bereits vorhanden sein:

Aufgabe 1: VPNaaS-Gateway für das IP-Netzwerk einrichten

  1. Verwenden Sie diese Werte beim Einrichten des VPNaaS-Gateways:

    • IP-Netzwerk: Das Oracle Cloud Infrastructure Classic-IP-Netzwerk, das Sie mit dem VCN verbinden möchten. Sie können nur ein IP-Netzwerk angeben.
    • Kundengateway: Ein Platzhalterwert wie 129.213.240.51. Mit diesem Platzhalterwert können Sie im Prozess fortfahren. Sie aktualisieren den Wert später mit der IP-Adresse des Oracle Cloud Infrastructure-VPN-Routers.
    • Vom Kunden erreichbare Routen: Der CIDR-Block für das VCN. Sie können nur ein VCN angeben.
    • Phase 2 ESP-Proposal angeben: Kontrollkästchen aktiviert.
    • ESP-Verschlüsselung: AES 256
    • ESP-Hash: SHA1
    • IPSec-Gültigkeitsdauer: 1800
    • Perfect Forward Secrecy erforderlich: Kontrollkästchen aktiviert.
  2. Notieren Sie sich die resultierende öffentliche IP-Adresse des VPNaaS-Gateways.
Aufgabe 2: Komponenten des VCN und den IPSec-Tunnel einrichten
Aufgabe 2a: Dynamisches Routinggateway (DRG) für das VCN einrichten

Wenn an Ihr VCN noch kein DRG angehängt wurde, erstellen Sie ein DRG, und hängen Sie es an:

Aufgabe 2b: Routing zum DRG konfigurieren

Fügen Sie eine Routingregel hinzu, die den Traffic von den Subnetzen des VCN zum DRG weiterleitet. Verwenden Sie den CIDR-Block des IP-Netzwerks als Ziel für die Regel.

  1. Bestimmen Sie, welche Subnetze in Ihrem VCN mit dem IP-Netzwerk kommunizieren müssen.

  2. Aktualisieren Sie die Routentabelle für jedes dieser Subnetze, um eine neue Regel aufzunehmen, die den Traffic, der für das CIDR des IP-Netzwerks bestimmt ist, an das DRG weiterleitet:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
    2. Klicken Sie auf das gewünschte VCN.
    3. Klicken Sie unter Ressourcen auf Routentabellen.
    4. Klicken Sie auf die gewünschte Routentabelle.

    5. Klicken Sie auf Routingregel hinzufügen, und geben Sie Folgendes ein:

      • Ziel-CIDR-Block: Der CIDR-Block des IP-Netzwerks.
      • Zieltyp: Dynamisches Routinggateway. Das angehängte DRG des VCN wird automatisch als Ziel ausgewählt, sodass Sie es nicht selbst angeben müssen.
      • Beschreibung: Eine optionale Beschreibung der Regel.
    6. Klicken Sie auf Routingregel hinzufügen.

Jeder Subnetztraffic mit einem Ziel, das der Regel entspricht, wird an das DRG weitergeleitet. Weitere Informationen zum Einrichten von Routingregeln finden Sie unter VCN-Routentabellen.

Wenn Sie später keine Verbindung mehr benötigen und das DRG löschen möchten, müssen Sie zuerst alle Routingregeln im VCN löschen, die das DRG als Ziel angeben.

Aufgabe 2c: Sicherheitsregeln konfigurieren

Um den Trafficfluss zwischen dem IP-Netzwerk und dem VCN zu gewährleisten, müssen die IP-Netzwerksicherheitsregeln und die Sicherheitsregeln des VCN den gewünschten Traffic zulassen.

Im Folgenden werden die Regeltypen aufgeführt, die hinzugefügt werden müssen:

  • Ingress-Regeln für die Traffictypen, die Sie in einer Cloud aus der anderen Cloud zulassen möchten, speziell aus dem CIDR-Block der anderen Cloud.
  • Egress-Regel, mit der ausgehender Traffic von einer Cloud in die andere übertragen werden kann. Wenn das VCN-Subnetz bereits eine umfassende Egress-Regel für alle Protokolltypen an alle Ziele (0.0.0.0/0) hat, müssen Sie für das IP-Netzwerk keine spezielle Regel hinzufügen.
Für das IP-Netzwerk

Konfigurieren Sie die Netzwerksicherheitsregeln so, dass das IP-Netzwerk den gewünschten Traffic zulässt.

Für das VCN
Hinweis

Im Folgenden werden Sicherheitslisten verwendet. Sie könnten jedoch stattdessen die Sicherheitsregeln in einer oder mehreren Netzwerksicherheitsgruppen implementieren und die Ressourcen des VCN in NSGs platzieren.
  1. Bestimmen Sie, welche Subnetze in Ihrem VCN mit dem IP-Netzwerk kommunizieren müssen.

  2. Aktualisieren Sie die Sicherheitsliste für jedes dieser Subnetze mit Regeln, die den gewünschten Egress- oder Ingress-Traffic speziell mit dem CIDR-Block des IP-Netzwerks zulassen:

    1. Klicken Sie in der Konsole auf Sicherheitslisten, während Sie das gewünschte VCN anzeigen.

    2. Klicken Sie auf die gewünschte Sicherheitsliste.

      Klicken Sie unter Ressourcen auf Ingress-Regeln oder Egress-Regeln, um zwischen den verschiedenen Regeltypen zu wechseln.

    3. Fügen Sie für jeden zulässigen Traffictyp eine oder mehrere Regeln hinzu.

    Weitere Informationen zum Einrichten von Sicherheitslistenregeln finden Sie unter Sicherheitslisten.

    Wichtig

    Die Standardsicherheitsliste des VCN lässt keine ICMP-Echoantwort und -Echoanforderung (Ping) zu. Fügen Sie Regeln hinzu, um diesen Traffic zu aktivieren. Siehe Regeln zum Aktivieren von Ping
Beispiel

Sie möchten eine Regel für zustandsbehafteten Ingress hinzufügen, die den Ingress-HTTPS-Traffic (Port 443) vom CIDR des IP-Netzwerks aktiviert. Die folgenden grundlegenden Schritte werden beim Hinzufügen einer Regel ausgeführt:

  1. Klicken Sie auf der Seite Ingress-Regeln auf Ingress-Regel hinzufügen.
  2. Lassen Sie das Kontrollkästchen Zustandslos deaktiviert.
  3. Quell-CIDR: Geben Sie denselben CIDR-Block ein, den die Routingregeln verwenden (siehe Aufgabe 2b: Routing zum DRG konfigurieren).
  4. IP-Protokoll: Behalten Sie "TCP" bei.
  5. Quellportbereich: Behalten Sie "Alle" bei.
  6. Zielportbereich: Geben Sie "443" ein.
  7. Klicken Sie auf Ingress-Regel hinzufügen.
  8. Beschreibung: Geben Sie optional eine Beschreibung der Regel ein.
Aufgabe 2d: CPE-Objekt erstellen

CPE-Objekt erstellen. Eine IP-Adresse ist erforderlich. Verwenden Sie die öffentliche IP-Adresse des VPNaaS-Gateways.

Aufgabe 2e: IPSec-Verbindung erstellen

Erstellen Sie in Ihrem DRG eine IPsec-Verbindung zum CPE-Objekt. Sie müssen mindestens eine statische Route angeben. Die Werte müssen mit den Subnetzen oder Aggregaten des IP-Netzwerks übereinstimmen.

Die resultierende IPSec-Verbindung besteht aus zwei Tunneln. Notieren Sie sich die IP-Adresse und das Shared Secret für einen dieser Tunnel. In der nächsten Aufgabe geben Sie diese Werte an.

Aufgabe 3: VPNaaS-Verbindung mit den Tunnelinformationen aktualisieren

Aktualisieren Sie die VPNaaS-Verbindung. Verwenden Sie die folgenden Werte:

  • Kundengateway: Die IP-Adresse des Tunnels aus der vorherigen Aufgabe.
  • Pre-Shared Key: Das Shared Secret des Tunnels aus der vorherigen Aufgabe.

Nachdem die IPsec-Verbindung aktualisiert und bereitgestellt wurde, sollte der Status des IPsec-Tunnels in "Verfügbar" geändert werden. Das Provisioning kann einige Minuten dauern.

Aufgabe 4: Verbindung testen

Nachdem der Tunnelstatus in "Verfügbar" geändert wurde, testen Sie die Verbindung. Je nachdem, wie Sie die Sicherheitsregeln Ihres IP-Netzwerks und die VCN-Sicherheitsregeln eingerichtet haben, sollten Sie in der Lage sein, in Ihrem VCN eine Instanz zu starten und von einer Instanz im IP-Netzwerk darauf zuzugreifen. Oder Sie können eine Verbindung von der VCN-Instanz zu einer Instanz im IP-Netzwerk herstellen. Wenn Sie dazu in der Lage sind, ist Ihre Verbindung einsatzbereit.

Verbindung beenden

Wenn Sie die Verbindung beenden möchten, löschen Sie die IPSec-Verbindung:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Site-to-Site-VPN.

    Eine Liste der IPSec-Verbindungen in dem angezeigten Compartment, wird angezeigt. Wenn Sie den gewünschten Mitarbeiter nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).

  2. Klicken Sie auf die gewünschte IPSec-Verbindung.
  3. Klicken Sie auf Beenden.
  4. Bestätigen Sie den Löschvorgang, wenn Sie dazu aufgefordert werden.

Die IPSec-Verbindung weist während des Löschens für kurze Zeit den Status "Wird beendet" auf.