Oracle Cloud Infrastructure - Dokumentation

Überblick über Site-to-Site-VPN

Site-to-Site-VPN stellt eine Site-to-Site-IPsec-Verbindung zwischen Ihrem On-Premise-Netzwerk und dem virtuellen Cloud-Netzwerk (VCN) bereit. Die IPSec-Protokollsuite verschlüsselt den IP-Traffic, bevor die Pakete von der Quelle zum Ziel übertragen werden, und entschlüsselt den Traffic, wenn er ankommt. Site-to-Site-VPN wurde zuvor als VPN Connect und IPsec-VPN bezeichnet.

Weitere sichere VPN-Lösungen sind OpenVPN, eine Client-VPN-Lösung, auf die Sie in Oracle Marketplace zugreifen können. OpenVPN verbindet einzelne Geräte mit Ihrem VCN, allerdings keine ganzen Sites oder Netzwerke.

Dieses Thema bietet einen Überblick über Site-to-Site-VPN für Ihr VCN. Szenarios, die ein Site-to-Site-VPN enthalten, finden Sie unter Szenario B: Privates Subnetz mit einem VPN und Szenario C: Öffentliche und private Subnetze mit einem VPN.

Informationen zu Limits finden Sie unter Limits für Site-to-Site-VPNs und Erhöhung des Servicelimits anfordern.

Personalbedarf und erforderliche Kenntnisse

Im Allgemeinen sind folgende Personen an der Einrichtung von Site-to-Site-VPN mit Oracle Cloud Infrastructure beteiligt:

  • DevOps-Teammitglied (oder ähnliche Funktion), das über die Oracle Cloud Infrastructure-Konsole die Cloud-Komponenten einrichtet, die für das virtuelle Netzwerk und das Site-to-Site-VPN erforderlich sind.
  • Netzwerktechniker (oder ähnliche Funktion), der das CPE-Gerät (Customer Premises Equipment) mit Informationen konfiguriert, die vom DevOps-Teammitglied bereitgestellt werden.
Tipp

Das DevOps-Teammitglied muss die erforderliche Berechtigung zum Erstellen und Verwalten der Cloud-Komponenten besitzen. Wenn es sich bei der betreffenden Person um den Standardadministrator für Ihre Oracle Cloud Infrastructure-Mandanten oder ein Mitglied der Administratorengruppe handelt, besitzt sie automatisch die erforderliche Berechtigung. Informationen zum Einschränken des Zugriffs auf Ihre Netzwerkkomponenten finden Sie unter Zugriffskontrolle.

Die Mitarbeiter sollten mit den folgenden Konzepten und Definitionen vertraut sein:

CLOUD-RESSOURCEN
Alles, was Sie auf einer Cloud-Plattform bereitstellen. Beispiel: In Oracle Cloud Infrastructure kann ein VCN, eine Compute-Instanz, ein Benutzer, ein Compartment, ein Load Balancer oder eine andere Servicekomponente auf der Plattform als Cloud-Ressource bezeichnet werden.
ON PREMISE
Ein vielfach verwendeter Begriff in Cloud-Technologien, der sich auf traditionelle Data-Center-Umgebungen bezieht. On Premise kann sich auf ein Colocation-Szenario, eine dedizierte Stellfläche, ein dediziertes Data-Center-Gebäude oder einen Desktop unter Ihrem Schreibtisch beziehen.
ORACLE CLOUD-ID (OCID)
Eine eindeutige ID, die jeder Ressource zugewiesen ist, die Sie in Oracle Cloud Infrastructure bereitstellen. Die OCID ist eine lange Zeichenfolge, die Oracle automatisch generiert. Sie können den Wert für eine OCID nicht wählen und die OCID einer Ressource nicht ändern. Weitere Informationen finden Sie unter Ressourcen-IDs.

Oracle-IPsec-Verbindung

Im Allgemeinen kann eine IPsec-Verbindung mit den folgenden Modi konfiguriert werden:

  • Transportmodus: IPSec verschlüsselt und authentifiziert nur die tatsächliche Payload des Pakets, und die Headerinformationen bleiben intakt.
  • Tunnelmodus (von Oracle unterstützt): IPSec verschlüsselt und authentifiziert das gesamte Paket. Nach der Verschlüsselung wird das Paket gekapselt, um ein neues IP-Paket mit unterschiedlichen Headerinformationen zu bilden.

Oracle Cloud Infrastructure unterstützt nur den Tunnelmodus für IPSec-VPNs.

Jede Oracle-IPsec-Verbindung besteht aus mehreren redundanten IPsec-Tunneln. Bei einem Tunnel können Sie jeweils entweder dynamisches Border Gateway Protocol-(BGP-)Routing oder statisches Routing verwenden, um den Traffic dieses Tunnels weiterzuleiten. Weitere Details zum Routing folgen.

Site-to-Site-VPN-IPsec-Tunnel bieten die folgenden Vorteile:

  • Daten werden über öffentliche Internetleitungen übertragen, sodass keine dedizierten, teuren Mietleitungen von einer Site zur anderen benötigt werden.
  • Die internen IP-Adressen der beteiligten Netzwerke und Knoten bleiben externen Benutzern verborgen.
  • Die gesamte Kommunikation zwischen der Quell- und der Zielsite wird verschlüsselt, sodass das Risiko des Datendiebstahls erheblich verringert wird.

Routing für Site-to-Site-VPN

Wenn Sie ein Site-to-Site-VPN einrichten, verfügt dieses über zwei redundante IPsec-Tunnel. Oracle empfiehlt, dass Sie das CPE-Gerät so konfigurieren, dass beide Tunnel verwendet werden (sofern Ihr Gerät dies unterstützt). Beachten Sie, dass Oracle in der Vergangenheit IPsec-Verbindungen mit bis zu vier IPsec-Tunneln erstellt hat.

Die folgenden drei Routingtypen sind verfügbar. Wählen Sie den Routingtyp für jeden IPsec-Tunnel separat im Site-to-Site-VPN aus:

  • Dynamisches BGP-Routing: Die verfügbaren Routen werden dynamisch über BGP erlernt. Vom DRG werden die Routen aus Ihrem On-Premise-Netzwerk dynamisch erlernt. Auf der Oracle-Seite werden vom DRG die VCN-Subnetze veröffentlicht.
  • Statisches Routing: Wenn Sie die IPSec-Verbindung zum DRG einrichten, geben Sie die spezifischen Routen zu Ihrem On-Premise-Netzwerk an, über die das VCN informiert sein soll. Außerdem müssen Sie das CPE-Gerät mit statischen Routen zu den Subnetzen des VCN konfigurieren. Diese Routen werden nicht dynamisch erlernt.
  • Policybasiertes Routing: Wenn Sie die IPsec-Verbindung zum DRG einrichten, geben Sie die spezifischen Routen zu Ihrem On-Premise-Netzwerk an, über die das VCN informiert sein soll. Außerdem müssen Sie das CPE-Gerät mit statischen Routen zu den Subnetzen des VCN konfigurieren. Diese Routen werden nicht dynamisch erlernt.

Wichtige Routingdetails zu Site-to-Site-VPN

Hier finden Sie wichtige Details zum Routing für Ihr Site-to-Site-VPN:

  • Routingoptionen:

    • Ursprünglich hat das Site-to-Site-VPN nur statisches Routing unterstützt, und Sie mussten mindestens eine statische Route für die gesamte IPsec-Verbindung bereitstellen.
    • Jetzt sind zwei verschiedene Routingtypen verfügbar (BGP und statisches Routing), und Sie konfigurieren den Routingtyp für jeden Tunnel einzeln. Für einen Tunnel wird jeweils nur ein Routingtyp unterstützt.
    • Im Allgemeinen empfiehlt Oracle, denselben Routingtyp für alle Tunnel in der IPSec-Verbindung zu verwenden. Ausnahme: Wenn Sie gerade zwischen statischem Routing und BGP wechseln, verwendet ein Tunnel möglicherweise vorübergehend statisches Routing, während der andere bereits zu BGP übergegangen ist.
    • Wenn Sie eine IPSec-Verbindung erstellen, ist das statische Routing der Standardroutingtyp für alle Tunnel, es sei denn, Sie konfigurieren explizit BGP für jeden Tunnel.

  • Erforderliche Routinginformationen:

    • Wenn Sie BGP auswählen, müssen Sie für jeden Tunnel zwei IP-Adressen angeben (eine für jeden der beiden BGP-Router in der BGP-Session des Tunnels). Die Adressen müssen sich in der Verschlüsselungsdomain für die IPSec-Verbindung befinden. Außerdem müssen Sie die BGP-Nummer des autonomen Systems (BGP-ASN) für Ihr Netzwerk angeben.
    • Wenn Sie statisches Routing auswählen, müssen Sie mindestens eine statische Route angeben (maximal 10). Auf den statischen Routen wird die gesamte IPSec-Verbindung konfiguriert, sodass in der IPSec-Verbindung dasselbe Set von statischen Routen für alle Tunnel verwendet wird, für die statisches Routing konfiguriert ist. Sie können die statischen Routen nach dem Erstellen der IPSec-Verbindung jederzeit ändern. Wenn Sie PAT zwischen Ihrem CPE-Gerät und dem VCN durchführen, ist die statische Route für die IPSec-Verbindung die PAT-IP-Adresse. Siehe Beispiellayout mit PAT.
    • Wenn Sie statisches Routing wählen, können Sie optional für jedes Ende des Tunnels eine IP-Adresse für die Fehlerbehebung oder das Monitoring von Tunneln angeben.
    • Wenn für den Tunnel BGP konfiguriert ist, werden die statischen Routen der IPSec-Verbindung ignoriert. Alle statischen Routen, die mit der IPSec-Verbindung verknüpft sind, werden nur dann für das Routing des Traffics eines bestimmten Tunnels verwendet, wenn für diesen Tunnel statisches Routing konfiguriert ist. Dies ist insbesondere relevant, wenn Sie ein Site-to-Site-VPN nutzen, das statisches Routing verwendet, jedoch zu BGP wechseln möchten.

  • Routing ändern:

    • Wenn Sie für einen Tunnel von BGP zu statischem Routing wechseln möchten, müssen Sie zunächst sicherstellen, dass mit der IPSec-Verbindung selbst mindestens eine statische Route verknüpft ist.
    • Sie können den Routingtyp eines vorhandenen Tunnels jederzeit ändern (es sei denn, der Tunnel wird aktuell von Oracle bereitgestellt). Beim Ändern des Routings bleibt der Tunnel hochgefahren (der zugehörige IPSec-Status ändert sich nicht). Der Traffic, der den Tunnel durchläuft, wird jedoch während der erneuten Bereitstellung und während der Neukonfiguration des CPE-Geräts vorübergehend unterbrochen. Informationen zum Ändern von Site-to-Site-VPN finden Sie unter Mit Site-to-Site-VPN arbeiten.
    • Da Sie den Routingtyp für jeden Tunnel separat konfigurieren, können Sie bei einem Wechsel von statischem Routing zu BGP im Site-to-Site-VPN einen Tunnel nach dem anderen konfigurieren. Dadurch wird vermieden, dass die gesamte IPsec-Verbindung heruntergefahren wird. Anweisungen finden Sie unter Von statischem Routing zu dynamischem BGP-Routing wechseln.

Routen-Advertisements und Pfadvoreinstellungen bei mehreren Verbindungen

Wenn Sie BGP verwenden, bietet das an Ihr VCN angehängte DRG dem CPE Routen an.

Wenn Sie mehrere Verbindungen zwischen Ihrem On-Premise-Netzwerk und VCN einrichten, müssen Sie wissen, welche Routen vom DRG angeboten werden und wie Sie Pfadvoreinstellungen für die gewünschte Verbindung festlegen.

Wichtige Informationen finden Sie unter Routingdetails für Verbindungen zu Ihrem On-Premise-Netzwerk.

Bestimmten Tunnel im Site-to-Site-VPN vorziehen

In einem Site-to-Site-VPN können Sie beeinflussen, welcher Tunnel bevorzugt wird. Sie können folgende Elemente konfigurieren:

  • Lokale BGP-Voreinstellung für CPE: Wenn Sie BGP verwenden, können Sie das lokale BGP-Voreinstellungsattribut auf dem CPE-Gerät konfigurieren, um zu steuern, welcher Tunnel für von Ihrem On-Premise-Netzwerk initiierte Verbindungen zu Ihrem VCN bevorzugt wird. Da Oracle im Allgemeinen asymmetrisches Routing verwendet, müssen Sie weitere Attribute konfigurieren, wenn Oracle über denselben Tunnel antworten soll. Siehe die beiden nächsten Elemente.
  • Spezifischere Routen im bevorzugten Tunnel: Sie können Ihr CPE so konfigurieren, dass spezifischere Routen für den Tunnel angeboten werden, den Sie bevorzugen möchten. Oracle verwendet beim Beantworten oder Initiieren von Verbindungen die Route mit der längsten Präfixübereinstimmung.
  • AS Path Prepending: BGP bevorzugt den kürzesten AS-Pfad. Wenn Sie BGP verwenden, können Sie mittels AS Path Prepending steuern, welcher Tunnel den kürzesten Pfad für eine bestimmte Route aufweist. Oracle verwendet beim Beantworten oder Initiieren von Verbindungen den kürzesten AS-Pfad.

Überblick über Site-to-Site-VPN-Komponenten

Wenn Sie noch nicht mit den grundlegenden Komponenten des Networking-Service vertraut sind, sollten Sie Networking lesen, bevor Sie fortfahren.

Wenn Sie Site-to-Site-VPN für Ihr VCN einrichten, müssen Sie verschiedene Networking-Komponenten erstellen. Sie können die Komponenten entweder über die Konsole oder mit der API erstellen. Eine Beschreibung der Komponenten finden Sie im folgenden Diagramm.

Diese Abbildung zeigt die Komponenten von Site-to-Site-VPN.
Callout 1: Standard-VCN-Routentabelle
Ziel-CIDR Routenziel
0.0.0.0/0 DRG
CPE-Objekt
An Ihrem Ende des Site-to-Site-VPN befindet sich das eigentliche Gerät in Ihrem On-Premise-Netzwerk (Hardware oder Software). Der Begriff Customer Premises Equipment (CPE) wird in einigen Branchen häufig verwendet, um auf diese Art von On-Premise-Gerät zu verweisen. Beim Einrichten des VPN müssen Sie eine virtuelle Darstellung des Geräts erstellen. Oracle bezeichnet diese virtuelle Darstellung als CPE. In dieser Dokumentation wird jedoch in der Regel der Begriff CPE-Objekt verwendet, um die virtuelle Darstellung vom eigentlichen CPE-Gerät zu unterscheiden. Das CPE-Objekt enthält grundlegende Informationen zu Ihrem Gerät, die von Oracle benötigt werden. Eine öffentliche IP eines einzelnen CPE-Objekts kann bis zu 8 IPSec-Verbindungen enthalten.
DYNAMISCHES ROUTINGGATEWAY (DRG)
Am Oracle-Ende des Site-to-Site-VPN befindet sich ein als dynamisches Routinggateway bezeichneter virtueller Router, der als Gateway in Ihr VCN aus Ihrem On-Premise-Netzwerk dient. Unabhängig davon, ob Sie ein Site-to-Site-VPN oder private Virtual Circuits von Oracle Cloud Infrastructure FastConnect zur Anbindung Ihres On-Premise-Netzwerks und VCN verwenden, wird der Traffic durch das DRG geleitet. Weitere Informationen finden Sie unter Dynamische Routinggateways.
Ein Netzwerktechniker stellt sich das DRG möglicherweise als VPN-Headend vor. Nachdem Sie ein DRG erstellt haben, müssen Sie es über die Konsole oder API an Ihr VCN anhängen. Sie müssen auch eine oder mehrere Routingregeln hinzufügen, die den Traffic vom VCN an das DRG weiterleiten. Ohne den DRG-Anhang und die Routingregeln kann kein Traffic zwischen Ihrem VCN und On-Premise-Netzwerk fließen. Sie können das DRG jederzeit von Ihrem VCN trennen, jedoch alle verbleibenden VPN-Komponenten beibehalten. Dann können Sie das DRG erneut anhängen oder an ein anderes VCN anhängen.
IPSec-Verbindung
Nachdem Sie das CPE-Objekt und das DRG erstellt haben, verbinden Sie diese, indem Sie eine IPsec-Verbindung erstellen. Diese können Sie sich als übergeordnetes Objekt für das gesamte Site-to-Site-VPN vorstellen. Die IPSec-Verbindung besitzt eine eigene OCID . Beim Erstellen dieser Komponente konfigurieren Sie den Routingtyp, der für jeden IPSec-Tunnel verwendet werden soll, und geben alle zugehörigen Routinginformationen an. Eine öffentliche IP eines einzelnen CPE-Objekts kann bis zu 8 IPSec-Verbindungen enthalten.
TUNNEL
Mit einem IPSec-Tunnel wird Traffic zwischen sicheren IPSec-Endpunkten verschlüsselt. Oracle erstellt zwecks Redundanz zwei Tunnel in jeder IPSec-Verbindung. Jeder Tunnel besitzt eine eigene OCID . Oracle empfiehlt, das CPE-Gerät so zu konfigurieren, dass beide Tunnel unterstützt werden. Dies ist hilfreich für den Fall, dass ein Fehler auftritt oder Oracle einen Tunnel zu Wartungszwecken offline setzen muss. Jeder Tunnel verfügt über Konfigurationsinformationen, die der Netzwerktechniker bei der Konfiguration Ihres CPE-Geräts benötigt. Diese Informationen umfassen eine IP-Adresse und ein Shared Secret sowie ISAKMP- und IPSec-Parameter. Mit dem CPE-Konfigurations-Helper können Sie Informationen erfassen, die der Netzwerktechniker benötigt. Weitere Informationen finden Sie unter Unterstützte IPSec-Parameter und Geprüfte CPE-Geräte.

Zugriffskontrolle für die Komponenten

Zum Zwecke der Zugriffskontrolle müssen Sie beim Einrichten des Site-to-Site-VPN das Compartment angeben, in dem die einzelnen Komponenten gespeichert werden sollen. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, legen Sie alle Komponenten im selben Compartment wie das VCN ab. Beachten Sie, dass sich die IPSec-Tunnel immer im selben Compartment wie die übergeordnete IPSec-Verbindung befinden. Informationen zu Compartments und zum Einschränken des Zugriffs auf Ihre Netzwerkkomponenten finden Sie unter Zugriffskontrolle.

Komponentennamen und -IDs

Sie können jeder der Komponenten beim Erstellen optional einen aussagekräftigen Namen zuweisen. Diese Namen müssen nicht eindeutig sein. Es entspricht jedoch Best Practice, eindeutige Namen in Ihrem Mandanten zu verwenden. Geben Sie keine vertraulichen Informationen ein. Oracle weist jeder Komponente automatisch eine OCID zu. Weitere Informationen finden Sie unter Ressourcen-IDs.

Wenn sich das CPE hinter einem NAT-Gerät befindet

Im Allgemeinen muss die CPE-IKE-ID, die an Ihrem Ende der Verbindung konfiguriert wurde, mit der CPE-IKE-ID übereinstimmen, die von Oracle verwendet wird. Standardmäßig verwendet Oracle die öffentliche IP-Adresse des CPE, die Sie beim Erstellen des CPE-Objekts in der Oracle-Konsole angeben. Wenn Ihr CPE sich jedoch hinter einem NAT-Gerät befindet, kann es sich bei der an Ihrem Ende konfigurierten CPE-IKE-ID um die private IP-Adresse des CPE handeln, wie im folgenden Diagramm dargestellt.

Diese Abbildung zeigt das CPE hinter einem NAT-Gerät, die öffentlichen und privaten IP-Adressen sowie die CPE-IKE-ID.
Hinweis

Einige CPE-Plattformen lassen die Änderung der lokalen IKE-ID nicht zu. In diesem Fall müssen Sie die Remote-IKE-ID in der Oracle-Konsole so ändern, dass sie mit der lokalen IKE-ID Ihres CPE übereinstimmt. Sie können den Wert angeben, wenn Sie die IPSec-Verbindung einrichten oder später, indem Sie die IPSec-Verbindung bearbeiten. Oracle erwartet, dass der Wert eine IP-Adresse oder ein vollständig angegebener Domainname (FQDN) ist, wie cpe.example.com. Weitere Informationen finden Sie unter Von Oracle verwendete CPE-IKE-ID ändern.

Informationen zum Shared Secret des Tunnels

Jeder Tunnel besitzt ein Shared Secret. Standardmäßig weist Oracle dem Tunnel das Shared Secret zu, es sei denn, Sie geben selbst ein Shared Secret an. Sie können für jeden Tunnel ein Shared Secret bereitstellen, wenn Sie die IPSec-Verbindung erstellen, oder später, nachdem die Tunnel erstellt wurden. Für das Shared Secret sind nur Buchstaben, Zahlen und Leerzeichen zulässig. Wenn Sie das Shared Secret eines vorhandenen Tunnels ändern, wird der Tunnel beim erneuten Provisioning heruntergefahren.

Anweisungen hierzu finden Sie unter Von einem IPSec-Tunnel verwendetes Shared Secret ändern.

Ressourcen für die Konfiguration des CPE

Der Netzwerktechniker muss das CPE auf Ihrer Seite der IPSec-Verbindung konfigurieren. Um die Arbeit zu vereinfachen, stellt Oracle die folgenden Ressourcen bereit:

Weitere Informationen finden Sie auch unter CPE-Konfiguration.

Verbindung überwachen

Mit Metriken, Alarmen und Benachrichtigungen können Sie die Integrität, Kapazität und Performance Ihrer Oracle Cloud Infrastructure-Ressourcen überwachen. Weitere Informationen finden Sie unter Monitoring und Notifications.

Informationen zum Monitoring der Verbindung finden Sie unter Site-to-Site-VPN-Metriken.