Remoteverbindung
Das Szenario Remoteverbindung zeigt, wie Ihr On-Premise-Netzwerk über einen einzelnen FastConnect-Virtual Circuit oder eine Site-to-Site-VPN-IPsec-Verbindung auf zwei oder mehr virtuelle Cloud-Netzwerke (VCNs) zugreifen kann, selbst wenn sich die VCNs in verschiedenen Regionen oder Mandanten befinden.
Überblick
In diesem Szenario wird die Verbindung zwischen VCNs und dem On-Premise-Netzwerk hergestellt, jedoch nicht zwischen den VCNs. Diese Routing-Policy wird implementiert, indem die Routingtabellen des dynamischen Routinggateways (DRG) konfiguriert werden. Ansonsten ähnelt dieses Szenario dem Remote-Peering.
Dieses Szenario ist nur für ein upgegradetes DRG verfügbar.
Übersicht über Networking-Komponenten für eine Einzelverbindung
Allgemein erforderliche Networking-Servicekomponenten für eine Einzelverbindung:
-
Zwei VCNs mit sich nicht überschneidenden CIDRs in verschiedenen Regionen.
Hinweis
Keine VCN-CIDRs dürfen sich überschneiden.
Die CIDRs der beiden VCNs in der Peering-Beziehung dürfen sich nicht überschneiden. Wenn ein bestimmtes VCN über mehrere Peering-Beziehungen verfügt, dürfen sich die CIDRs dieser anderen VCNs ebenfalls nicht überschneiden. Beispiel: Wenn VCN-1 mit VCN-2 und VCN-3 in einer Peering-Beziehung steht, dürfen sich die CIDRs von VCN-2 und VCN-3 nicht überschneiden.
Wenn Sie dieses Szenario konfigurieren, müssen Sie diese Anforderung in der Planungsphase erfüllen. Routingprobleme treten wahrscheinlich auf, wenn sich CIDRs überschneiden. Sie werden jedoch nicht daran gehindert, mit der Konsole oder API-Vorgängen eine Konfiguration zu erstellen, die Probleme verursacht.
- Ein dynamisches Routinggateway (DRG), das an jedes VCN in der Peering-Beziehung angehängt ist. Ihr VCN verfügt bereits über ein DRG, wenn Sie ein Site-to-Site-VPN oder einen privaten Virtual Circuit von Oracle Cloud Infrastructure FastConnect verwenden.
- Zwei benutzerdefinierte DRG-Routentabellen: eine, die Traffic zu den VCNs leitet, und eine, die Traffic zum On-Premise-Netzwerk leitet. Die DRG-Standardroutentabellen (eine für lokale VCN-Anhänge und eine für alle anderen Anhänge) werden nach Abschluss der Konfiguration nicht verwendet.
- Eine Remote-Peering-Verbindung (RPC) auf jedem DRG in der Peering-Beziehung.
- Eine hergestellte Remote-Peering-Verbindung zwischen diesen beiden RPCs.
- Unterstützende Routingregeln, die den Traffic über die Verbindung und gegebenenfalls nur zwischen den ausgewählten Subnetzen in den jeweiligen VCNs zulassen.
- Unterstützende Sicherheitsregeln zur Steuerung, welche Traffictypen von und zu den Instanzen in den Subnetzen, die mit dem anderen VCN kommunizieren müssen, weitergeleitet werden dürfen.
Das folgende Diagramm veranschaulicht die Komponenten. VCN-1 ist optional, wenn Sie in erster Linie auf VCN-2 zugreifen möchten. Unterstützende Routentabellen und Sicherheitsregeln sind in jedem VCN erforderlich, um Traffic zu ermöglichen.
Ein VCN kann die verbundenen RPCs nur verwenden, um Ihr On-Premise-Netzwerk oder die mit dem DRG verbundenen VCNs zu erreichen. Beispiel: Wenn VCN-1 im vorherigen Diagramm ein Internetgateway hätte, könnten die Instanzen in VCN-2 dieses NICHT zum Senden von Traffic an Endpunkte im Internet verwenden. Weitere Informationen finden Sie unter Wichtige Auswirkungen von Peering.
Wichtige Auswirkungen von Peering
Sofern noch nicht geschehen, lesen Sie Wichtige Auswirkungen von Peering, um die wichtigen Auswirkungen auf die Zugriffskontrolle, Sicherheit und Performance von Peer-VCNs zu verstehen.
Beim Peering von VCNs in verschiedenen Mandanten treten einige Komplikationen mit Berechtigungen auf, die in beiden Mandanten gelöst werden müssen. Einzelheiten zu den erforderlichen Berechtigungen finden Sie unter IAM-Policys für das Routing zwischen VCNs.
Wichtige Konzepte für das Remote-Peering
Die folgenden Konzepte helfen Ihnen dabei, die Grundlagen von VCN-Peering zu verstehen und ein Remote-Peering einzurichten.
- PEERING
- Beim Peering handelt es sich um eine einzelne Peering-Beziehung zwischen zwei VCNs. Beispiel: Wenn VCN-1 per Peering mit zwei anderen VCNs verbunden ist, sind zwei Peerings vorhanden. Der Bestandteil Remote des Begriffs Remote Peering gibt an, dass sich die VCNs in verschiedenen Regionen befinden. Bei dieser Methode des Remote-Peerings können sich die VCNs in demselben Mandanten oder in verschiedenen Mandanten befinden.
- VCN-ADMINISTRATOREN
- Im Allgemeinen kann VCN-Peering nur dann stattfinden, wenn beide VCN-Administratoren dem zustimmen. In der Praxis müssen die beiden Administratoren:
- ACCEPTOR UND REQUESTOR
- Um die für das Peering erforderlichen IAM-Policys zu implementieren, müssen die beiden VCN-Administratoren einen Administrator als Requestor und den anderen als Acceptor bestimmen. Der Requestor ist derjenige, der die Anforderung zum Verbinden der beiden RPCs initiiert. Der Acceptor erstellt wiederum eine bestimmte IAM-Policy, die dem Requestor die Berechtigung für die Verbindung zu den RPCs im Compartment des Acceptors erteilt. Ohne diese Policy wird die Anforderung des Requestors zum Verbinden nicht erfolgreich sein.
- REGIONSABONNEMENT
- Um ein Peering mit einem VCN in einer anderen Region erstellen zu können, benötigt Ihr Mandant ein Abonnement für diese Region. Informationen zum Abonnieren finden Sie unter Regionen verwalten.
- REMOTE-PEERING-VERBINDUNG (RPC)
- Eine Remote-Peering-Verbindung (RPC) ist eine Komponente, die Sie in dem an Ihr VCN angehängten DRG erstellen. Die RPC dient als Verbindungspunkt für ein per Remote-Peering angebundenes VCN. Bei der Konfiguration der VCNs muss jeder Administrator eine RPC für das DRG auf dem VCN erstellen. Ein DRG muss für jedes Remote-Peering, das es für das VCN einrichtet, eine separate RPC enthalten. Im Falle des vorherigen Beispiels würde dies Folgendes bedeuten: Das DRG auf VCN-1 hätte zwei RPCs für das Peering mit zwei anderen VCNs. In der API ist eine RemotePeeringConnection ein Objekt, das Informationen zum Peering enthält. Eine RPC kann nicht für die Einrichtung eines anderen Peerings wiederverwendet werden.
- VERBINDUNG ZWISCHEN ZWEI RPCS
- Wenn der Requestor die Anforderung an den Peer (in der Konsole oder API) initiiert, fordert er die andere Seite auf, die beiden RPCs zu verbinden. Der Requestor muss Informationen zur Identifizierung jeder RPC haben (wie Region und OCID der RPC).
- ROUTING ZUM DRG
- Bei der Konfiguration der VCNs muss jeder Administrator das Routing des VCN aktualisieren, um den Traffic zwischen den VCNs zu ermöglichen. Aktualisieren Sie für jedes Subnetz, das mit dem On-Premise-Netzwerk kommunizieren muss, die Routentabelle des Subnetzes. Die Routingregel gibt das CIDR des Zieltraffics und Ihr DRG als Ziel an. Ihr DRG leitet den Traffic, der dieser Regel entspricht, an das andere DRG weiter. Dieses leitet den Traffic wiederum zum nächsten Hop im anderen VCN weiter.
- SICHERHEITSREGELN
- Jedes Subnetz in einem VCN verfügt über mindestens eine Sicherheitsliste, die den Traffic in die und aus den VNICs des Subnetzes auf der Paketebene steuert. Mit Sicherheitslisten steuern Sie, welcher Traffictyp für das andere VCN zulässig ist. Bei der Konfiguration der VCNs muss jeder Administrator festlegen, welche Subnetze in seinem eigenen VCN mit VNICs in dem anderen VCN kommunizieren müssen, und die Subnetzsicherheitslisten entsprechend aktualisieren.
Einzelverbindung einrichten
Bevor Sie versuchen, dieses Szenario zu implementieren, stellen Sie Folgendes sicher:
- VCN-1 ist wie unter VCN an ein DRG anhängen beschrieben an DRG-1 in Region 1 angehängt.
- VCN-2 ist wie unter VCN an ein DRG anhängen beschrieben an DRG-2 in Region 2 angehängt.
- VCN-2 wird per Peering mit VCN-1 verbunden, wie unter Remote-VCN-Peering über ein upgegradetes DRG beschrieben.
- Beide DRGs sind ansonsten unverändert.
- Der FastConnect-Virtual Circuit 1 befindet sich in Region 1 und ist gemäß der entsprechenden Methode je nach Quelle des Virtual Circuits (Oracle-Partner, Oracle-Colocation, Drittanbieter) mit DRG-1 verbunden, wie in der Dokumentation für FastConnect beschrieben.
Das folgende Diagramm zeigt den Anfangszustand vor der Implementierung dieses Szenarios. VCN-1 und VCN-2 sind Peers. Der Traffic von einer Instanz im Subnetz A (10.0.0.15), der für eine Instanz in VCN-2 (192.168.0.15) bestimmt ist, wird basierend auf der Regel in der Routentabelle von Subnetz A an DRG-1 weitergeleitet. Von dort wird der Traffic über die RPCs an DRG-2 und von dort anschließend an das Ziel im Subnetz X weitergeleitet. Das On-Premise-Netzwerk kann Ressourcen in VCN-1, aber nicht in VCN-2 adressieren.
Ziel-CIDR | Routenziel |
---|---|
0.0.0.0/0 | Internetgateway |
192.168.0.0/16 | DRG-1 |
172.16.0.0/12 | DRG-1 |
Ziel-CIDR | Routenziel |
---|---|
10.0.0.0/16 | DRG-2 |
Das im nächsten Diagramm beschriebene implementierte Verbindungsszenario lässt nicht zu, dass die VCNs Traffic zueinander weiterleiten. VCN-1 und VCN-2 sind Peers. Traffic von einer On-Premise-Ressource in Ihrem Netzwerk (172.16.0.10), die für eine Instanz in VCN-2 (192.168.0.15) bestimmt ist, wird basierend auf der Regel in der IPSEC_TUNNEL-Anhangsroutentabelle für den Traffic zu On Premise an DRG-1 weitergeleitet. Von dort wird der Traffic über den RPC-Anhang an DRG-2 und anschließend an das Ziel in Subnetz X weitergeleitet.
Ziel-CIDR | Routenziel | Typ |
---|---|---|
10.0.0.0/16 | VCN-Anhang | Dynamisch |
192.168.0.0/16 | RPC-Anhang | Dynamisch |
Ziel-CIDR | Routenziel | Typ |
---|---|---|
172.16.0.0/12 | Virtual-Circuit-Anhang | Dynamisch |
Ziel-CIDR | Routenziel | Typ |
---|---|---|
172.16.0.0/12 | Virtual-Circuit-Anhang | Dynamisch |
Ziel-CIDR | Routenziel |
---|---|
172.16.0.0/12 | DRG-2 |
Wie bereits erwähnt, kann ein VCN mit dem RPC-Anhang des verbundenen DRG nur VNICs in Ihrem On-Premise-Netzwerk und keine Ziele im Internet erreichen. Beispiel: Im vorherigen Diagramm kann VCN-2 das an VCN-1 angehängte Internetgateway nicht verwenden.
Schritte
Alle folgenden Schritte werden auf DRG-1 ausgeführt:
Für diese Tabelle sind keine statischen Routen erforderlich.
-
- Klicken Sie auf das gewünschte DRG: DRG-1.
- Klicken Sie unter Ressourcen auf DRG-Routentabellen.
- Klicken Sie auf DRG-Routentabelle erstellen.
-
Geben Sie Folgendes ein:
- Name: Geben Sie "RT-VCN" ein, oder wählen Sie einen anderen aussagekräftigen Namen aus.
-
Klicken Sie auf DRG-Routentabelle erstellen.
Wiederholen Sie diese Schritte, um zwei weitere leere Routentabellen mit den Namen "RT-OnPrem" und "RT-RPC" zu erstellen, bevor Sie mit der nächsten Aufgabe fortfahren.
Erstellen Sie eine Importroutenverteilung für den DRG-Anhang, der von VCN-1 verwendet wird. Die Importroutenverteilung enthält eine Anweisung, die Routen von Anhängen des Typs "Virtual Circuit" akzeptiert.
-
- Klicken Sie auf das gewünschte DRG: DRG-1.
- Klicken Sie unter Ressourcen auf Importroutenverteilungen.
- Klicken Sie auf Importroutenverteilung erstellen.
-
Geben Sie Folgendes ein:
- Name: Geben Sie "Import-VCN" ein, oder wählen Sie einen anderen aussagekräftigen Namen aus.
- Priorität: Geben Sie "10" ein, oder wählen Sie eine andere Prioritätsnummer aus.
- Übereinstimmungstyp: Wählen Sie Anhangstyp aus.
Anhangstyp: Wählen Sie Virtual Circuit aus.
Hinweis
Wenn Sie die Option Anhangstyp verwenden, enthält die Importroutenverteilung Routen von allen Anhängen zu diesem DRG mit dem ausgewählten Typ. -
Klicken Sie abschließend auf Importroutenverteilung erstellen .
- Klicken Sie unter Ressourcen auf DRG-Routentabellen.
- Klicken Sie auf den Namen der Routentabelle, die Sie der neuen Importroutenverteilung zuweisen möchten: "RT-VCN".
- Klicken Sie auf Bearbeiten.
- Klicken Sie auf Importroutenverteilung aktivieren. Mit dieser Option können Sie der Routentabelle eine Importroutenverteilung zuweisen, sodass neue Routen basierend auf BGP-Advertisements dynamisch erlernt werden.
- Wählen Sie die Importroutenverteilung mit dem Namen "Import-VCN" aus, die Sie in den vorherigen Schritten erstellt haben.
- Klicken Sie auf Änderungen speichern.
Erstellen Sie eine Importroutenverteilung für den DRG-Anhang, der vom Virtual-Circuit-Anhang verwendet wird. Die Importroutenverteilung enthält zwei Anweisungen: eine, die Routen von Anhängen des Typs "VCN" akzeptiert, und eine andere, die Routen von Anhängen des Typs "RPC" akzeptiert.
-
- Klicken Sie auf das gewünschte DRG: DRG-1.
- Klicken Sie unter Ressourcen auf Importroutenverteilungen.
- Klicken Sie auf Importroutenverteilung erstellen.
-
Geben Sie Folgendes ein:
- Name: Geben Sie "Import-OnPrem" ein, oder wählen Sie einen anderen aussagekräftigen Namen aus.
- Priorität: Geben Sie "10" ein, oder wählen Sie eine andere Prioritätsnummer aus.
- Übereinstimmungstyp: Wählen Sie Anhangstyp aus.
Anhangstyp: Wählen Sie Virtuelles Cloud-Netzwerk aus.
- Klicken Sie auf + Weitere Anweisung, um eine weitere Routenverteilungsanweisung hinzuzufügen.
- Priorität: Geben Sie "20" ein, oder wählen Sie eine andere Prioritätsnummer aus.
- Übereinstimmungstyp: Wählen Sie Anhangstyp aus.
-
Anhangstyp: Wählen Sie Remote-Peering-Verbindung aus.
Hinweis
Wenn Sie die Option Anhangstyp verwenden, enthält die Importroutenverteilung Routen von allen Anhängen zu diesem DRG mit dem RPC-Typ. Jede RPC-Verbindung zu VCNs in anderen Regionen wird einbezogen.
-
Klicken Sie abschließend auf Importroutenverteilung erstellen.
- Klicken Sie unter Ressourcen auf DRG-Routentabellen.
- Klicken Sie auf den Namen der Routentabelle, die Sie der neuen Importroutenverteilung zuweisen möchten: "RT-OnPrem".
- Klicken Sie auf Bearbeiten.
- Klicken Sie auf Importroutenverteilung aktivieren. Mit dieser Option können Sie der Routentabelle eine Importroutenverteilung zuweisen, sodass neue Routen basierend auf BGP-Advertisements dynamisch erlernt werden.
- Wählen Sie die Importroutenverteilung mit dem Namen "Import-OnPrem" aus, die Sie in den vorherigen Schritten erstellt haben.
- Klicken Sie auf Änderungen speichern.
Erstellen Sie eine Importroutenverteilung für den DRG-Anhang, der vom Anhang der Remote-Peering-Verbindung verwendet wird. Die Importroutenverteilung enthält eine Anweisung, die Routen von Anhängen des Typs "Virtual Circuit" akzeptiert.
-
- Klicken Sie auf das gewünschte DRG: DRG-1.
- Klicken Sie unter Ressourcen auf Importroutenverteilungen.
- Klicken Sie auf Importroutenverteilung erstellen.
-
Geben Sie Folgendes ein:
- Name: Geben Sie "Import-RPC" ein, oder wählen Sie einen anderen aussagekräftigen Namen aus.
- Priorität: Geben Sie "10" ein, oder wählen Sie eine andere Prioritätsnummer aus.
- Übereinstimmungstyp: Wählen Sie Anhangstyp aus.
Anhangstyp: Wählen Sie Virtual Circuit aus.
Hinweis
Wenn regionsübergreifende VCNs miteinander kommunizieren sollen, importieren Sie den RPC-Anhang in die Importverteilung, die von RT-VCN verwendet wird, und den VCN-Anhang in die Importverteilung, die von RT-RPC verwendet wird.
-
Klicken Sie abschließend auf Importroutenverteilung erstellen.
- Klicken Sie unter Ressourcen auf DRG-Routentabellen.
- Klicken Sie auf den Namen der Routentabelle, die Sie der neuen Importroutenverteilung zuweisen möchten: "RT-RPC".
- Klicken Sie auf Bearbeiten.
- Klicken Sie auf Importroutenverteilung aktivieren. Mit dieser Option können Sie der Routentabelle eine Importroutenverteilung zuweisen, sodass neue Routen basierend auf BGP-Advertisements dynamisch erlernt werden.
- Wählen Sie die Importroutenverteilung mit dem Namen "Import-RPC" aus, die Sie in den vorherigen Schritten erstellt haben.
- Klicken Sie auf Änderungen speichern.
-
- Klicken Sie auf den Namen des gewünschten DRG: DRG-1.
- Klicken Sie unter Ressourcen auf Virtuelle Cloud-Netzwerke - Anhänge.
- Klicken Sie auf den Namen des DRG-Anhangs, der von VCN-1 verwendet wird.
- Klicken Sie auf Bearbeiten.
- Klicken Sie auf Erweiterte Optionen anzeigen.
- DRG-Routentabelle von der automatisch generierten Routentabelle für VCN-Anhänge in "RT-VCN" ändern
- Klicken Sie auf Änderungen speichern.
- Klicken Sie im Navigationspfad am oberen Bildschirmrand auf den Namen des gewünschten DRG: DRG-1.
- Klicken Sie unter Ressourcen auf Virtual Circuits - Anhänge.
- Klicken Sie auf den Namen des DRG-Anhangs, der von Virtual Circuit 1 verwendet wird.
- Klicken Sie auf Bearbeiten.
- Klicken Sie auf Erweiterte Optionen anzeigen.
- Ändern Sie die DRG-Routentabelle von der automatisch generierten Routentabelle für RPC-, VIRTUAL_CIRCUIT- und IPSEC_TUNNEL-Anhänge in "RT-OnPrem".
- Klicken Sie auf Änderungen speichern.
- Klicken Sie im Navigationspfad am oberen Bildschirmrand auf den Namen des gewünschten DRG: DRG-1.
- Klicken Sie unter Ressourcen auf Remote-Peering-Verbindungen - Anhänge.
- Klicken Sie auf den Namen des DRG-Anhangs, der von RPC-1 verwendet wird.
- Klicken Sie auf Bearbeiten.
- Klicken Sie auf Erweiterte Optionen anzeigen.
- Ändern Sie die DRG-Routentabelle von der automatisch generierten Routentabelle für RPC-, VIRTUAL_CIRCUIT- und IPSEC_TUNNEL-Anhänge in "RT-RPC".
Damit ist die Konfiguration einer Einzelverbindung abgeschlossen. Zu diesem Zeitpunkt werden alle Pakete, die von einem lokalen oder Remote-VCN an Ihr On-Premise-Netzwerk gesendet werden, an das gegenseitig angeschlossene DRG und dann an Ihr On-Premise-Netzwerk gesendet.