Oracle Cloud Infrastructure - Dokumentation

Privater Zugriff auf Oracle-Services

Transitrouting bezieht sich auf eine Netzwerktopologie, bei der Ihr On-Premise-Netzwerk über eine Zwischenstation auf Oracle-Ressourcen oder -Services oder VCNs zugreifen kann. Die Zwischenstation kann ein VCN oder ein dynamisches Routinggateway (DRG) sein, an das Ihr On-Premise-Netzwerk bereits angehängt ist. Sie verbinden das On-Premise-Netzwerk mit FastConnect oder Site-to-Site-VPN mit einem DRG und konfigurieren dann das Routing so, dass der Traffic durch die Zwischenstation zu seinem Ziel weitergeleitet wird.

Die drei primären Transitroutingszenarios sind:

  • Privater Zugriff auf Oracle-Services: Das in diesem Thema behandelte Szenario. In diesem Szenario erhält Ihr On-Premise-Netzwerkprivaten Zugriff auf Oracle-Services, sodass Ihre On-Premise-Hosts ihre privaten IP-Adressen verwenden können und der Traffic nicht über das öffentliche Internet geleitet wird. Stattdessen wird der Traffic über einen privaten FastConnect-Virtual Circuit oder über ein Site-to-Site-VPN geleitet, durchquert ein virtuelles Cloud-Netzwerk (VCN) und anschließend ein Servicegateway  zum gewünschten Oracle-Service. Dieses Szenario ist für eine Implementierung verfügbar, die entweder ein Legacy-System oder ein aktualisiertes DRG verwendet.
  • Zugriff zwischen mehreren Netzwerken über ein einzelnes DRG mit einer Firewall zwischen Netzwerken: In diesem Szenario werden mehrere VCNs mit einem einzelnen DRG verbunden. Dabei ist das Routing so konfiguriert, dass Pakete über eine Firewall in einem VCN gesendet werden, bevor sie an ein anderes Netzwerk gesendet werden können. Siehe Traffic über eine zentrale Netzwerk-Virtual-Appliance weiterleiten. Dieses Szenario ist nur für eine Implementierung mit einem aktualisierten DRG verfügbar.
  • Zugriff auf mehrere VCNs in derselben Region: Dieses Szenario ermöglicht die Kommunikation zwischen einem On-Premise-Netzwerk und mehreren VCNs in derselben Region über einen einzelnen privaten FastConnect-Virtual Circuit oder über ein Site-to-Site-VPN. Dabei wird ein VCN als Hub verwendet. Weitere Informationen finden Sie unter Transitrouting in einem Hub-VCN. Dieses Szenario ist für eine Implementierung mit einem Legacy-DRG verfügbar.

Highlights

  • Sie können ein VCN so einrichten, dass Ihr On-Premise-Netzwerk über das VCN privaten Zugriff auf Oracle-Services im Oracle Services Network erhält. Die Hosts in Ihrem On-Premise-Netzwerk kommunizieren mit ihren privaten IP-Adressen.
  • Das VCN kommuniziert über ein dynamisches Routinggateway (DRG) mit dem On-Premise-Netzwerk. Der Zugriff auf Oracle-Services erfolgt über ein Servicegateway im VCN. Der Traffic vom VCN zum Oracle-Service durchläuft das Oracle-Fabric, ohne jemals über das öffentliche Internet geleitet zu werden.
  • Das Servicegateway ist regional und ermöglicht nur den Zugriff auf unterstützte Oracle-Services in derselben Region wie das VCN.
  • Die unterstützten Oracle-Services umfassen Oracle Cloud Infrastructure Object Storage und andere im Oracle Services Network. Eine Liste finden Sie unter Servicegateway: Unterstützte Cloud-Services im Oracle Services Network.
  • Das Servicegateway verwendet das Konzept eines Service-CIDR-Labels. Diese Zeichenfolge repräsentiert alle regionalen öffentlichen IP-Adressbereiche für den gewünschten Service oder eine Gruppe von Services (Beispiel: OCI PHX Object Storage ist die Zeichenfolge für Object Storage in US West (Phoenix)). Sie verwenden dieses Service-CIDR-Label beim Konfigurieren des Servicegateways und der zugehörigen Routingregeln, um den Traffic zum Service zu steuern. Sie können es optional beim Konfigurieren von Sicherheitsregeln verwenden. Wenn sich die öffentlichen IP-Adressen des Service in Zukunft ändern, müssen Sie diese Regeln nicht mehr anpassen.
  • Um den beabsichtigten Traffic vom On-Premise-Netzwerk über das VCN zu Oracle-Services zu ermöglichen, implementieren Sie Routingregeln für den DRG-Anhang und das Servicegateway des VCN.
  • Gegebenenfalls können Sie Transitrouting über eine private IP im VCN einrichten. Beispiel: Sie möchten den Traffic zwischen dem On-Premise-Netzwerk und dem Oracle-Service filtern oder prüfen. In diesem Fall leiten Sie den Traffic zu einer privaten IP auf einer Instanz im VCN zur Prüfung weiter, und der daraus resultierende Traffic wird zum Ziel weitergeleitet. In diesem Thema werden beide Situationen behandelt: Transitrouting direkt zwischen Gateways im VCN und Transitrouting über eine private IP.

Oracle Services Network - Überblick

Das Oracle Services Network ist ein konzeptionelles Netzwerk in Oracle Cloud Infrastructure, das für Oracle-Services reserviert ist. Diese Services verfügen über öffentliche IP-Adressen, die Sie normalerweise über das öffentliche Internet erreichen. Sie können jedoch auf das Oracle Services Network zugreifen, ohne dass der Traffic über das öffentliche Internet geleitet wird. Je nachdem, welche der Hosts Zugriff benötigen, gibt es unterschiedliche Möglichkeiten:

  • Hosts in Ihrem On-Premise-Netzwerk:

    • Privater Zugriff über ein VCN mit FastConnect-Private Peering oder über ein Site-to-Site-VPN: Dieses Szenario wird in diesem Thema behandelt. Die On-Premise-Hosts verwenden private IP-Adressen und erreichen das Oracle Services Network über das VCN und dessen Servicegateway.
    • Öffentlicher Zugriff mit FastConnect-Public Peering: Die On-Premise-Hosts verwenden öffentliche IP-Adressen.
  • Hosts in Ihrem VCN:

Privater Zugriff des On-Premise-Netzwerks auf Oracle Services - Überblick

Das folgende Diagramm zeigt das grundlegende Layout für den privaten Zugriff des On-Premise-Netzwerks auf Oracle-Services.

Diese Abbildung zeigt das grundlegende Layout der Netzwerke.

Ihr On-Premise-Netzwerk stellt über einen privaten FastConnect-Virtual Circuit oder ein Site-to-Site-VPN eine Verbindung zum VCN her. Jeder dieser Verbindungstypen endet in einem dynamischen Routinggateway (DRG), das an das VCN angehängt ist. Das VCN verfügt auch über ein Servicegateway, das dem VCN Zugriff auf das Oracle Services Network ermöglicht. Der Traffic vom On-Premise-Netzwerk wird über das VCN und das Servicegateway zum gewünschten Oracle-Service geleitet. Die Antworten werden über das Servicegateway und das VCN an das On-Premise-Netzwerk zurückgesendet.

Wenn Sie ein Servicegateway einrichten, aktivieren Sie ein Service-CIDR-Label. Dabei handelt es sich um eine Zeichenfolge, die alle regionalen öffentlichen IP-Adressbereiche für den Service oder die Gruppe von Services darstellt, auf die Sie über das Servicegateway zugreifen möchten. Beispiel: All PHX Services in Oracle Services Network ist das Service-CIDR-Label für die Oracle-Services, die in US West (Phoenix) über ein Servicegateway verfügbar sind. Oracle verwendet BGP (Border Gateway Protocol) im DRG, um dem Edge-Gerät (auch als Customer Premises Equipment oder CPE bezeichnet) in Ihrem On-Premise-Netzwerk diese regionalen öffentlichen IP-Adressbereiche anzubieten. Eine Liste dieser Bereiche, die über das Servicegateway verfügbar sind, finden Sie unter Öffentliche IP-Adressen für VCNs und das Oracle Services Network.

Mehrere Verbindungspfade zu Oracle-Services

Sie können für Ihr On-Premise-Netzwerk aus Redundanzgründen oder anderen Gründen mehrere Verbindungspfade für Oracle Cloud Infrastructure und Oracle-Services konfigurieren. Beispiel: Sie können sowohl FastConnect-Public Peering als auch FastConnect-Private Peering verwenden. Wenn Sie mehrere Pfade haben, empfängt das Edge-Gerät Routen-Advertisements der öffentlichen IP-Adressbereiche der Oracle-Services über mehrere Pfade. Wichtige Informationen zur korrekten Konfiguration des Edge-Geräts finden Sie unter Routingdetails für Verbindungen zu Ihrem On-Premise-Netzwerk.

Mehrere VCNs mit privatem Zugriff auf Oracle Services

Ihr Unternehmen kann mehrere VCNs verwenden, die jeweils mit einem Servicegateway ausgestattet sind, um den VCN-Ressourcen Zugriff auf Oracle-Services zu gewähren. So haben Sie beispielsweise für jede Abteilung in Ihrer Organisation ein anderes VCN.

Wenn Sie für Ihr On-Premise-Netzwerk ebenfalls privaten Zugriff auf Oracle-Services über ein VCN mit einem Servicegateway einrichten möchten, werden in diesem Abschnitt zwei verschiedene Netzwerklayouts beschrieben, die Sie verwenden können.

Im ersten Layout richten Sie ein einzelnes DRG mit den VCNs in einem Hub-and-Spoke-Layout ein, wie im nächsten Diagramm dargestellt. Das VCN, das als Hub fungiert, ist für die Bereitstellung des On-Premise-Netzwerks mit privatem Zugriff auf Oracle-Services dediziert. Die anderen VCNs sind per lokalem Peering mit dem Hub-VCN verbunden. Sie konfigurieren lediglich das Hub-VCN entsprechend den Anweisungen unter Privaten Zugriff auf Oracle-Services einrichten. Dieses Hub-and-Spoke-Layout wird empfohlen und unter Transitrouting in einem Hub-VCN beschrieben.

In dieser Abbildung wird das On-Premise-Netzwerk dargestellt, das mit einem einzelnen DRG verbunden ist.

Im zweiten Layout gibt es ein separates DRG für jedes VCN, mit einem separaten privaten FastConnect-Virtual Circuit oder einem Site-to-Site-VPN von Ihrem On-Premise-Netzwerk zu jedem DRG. Sie dedizieren ein DRG und VCN zur Bereitstellung des privaten Zugriffs auf Oracle-Services für Ihr On-Premise-Netzwerk. Im nächsten Diagramm ist dies das VCN in der Mitte. Um dieses VCN zu konfigurieren, befolgen Sie die Anweisungen unter Privaten Zugriff auf Oracle-Services einrichten.

In dieser Abbildung wird das On-Premise-Netzwerk dargestellt, das mit mehreren DRGs verbunden ist.

Beachten Sie, dass das On-Premise-Netzwerk in beiden Layouts die Oracle-Services nur über das Servicegateway eines einzelnen VCN (das speziell für diesen Zweck dediziert wurde) und nicht über die Servicegateways der anderen VCNs erreichen kann. Für diese anderen VCNs können nur die Ressourcen innerhalb dieser VCNs die Oracle-Services über das Servicegateway ihres jeweiligen VCN erreichen.

Unabhängig davon, welches Layout Sie auswählen, können Sie eine IAM-Policy schreiben, um den Zugriff auf einen Object Storage-Bucket einzuschränken, sodass nur Anforderungen, die über ein bestimmtes VCN-Servicegateway eingehen, für diesen Bucket zulässig sind. Bei beiden Layouts empfiehlt es sich, die Policy zu schreiben, um Anforderungen von mehreren VCNs zuzulassen. Um den Zugriff auf bestimmte VCNs einzuschränken, erstellen Sie eine Netzwerkquelle, um das zulässige VCN anzugeben, und schreiben Sie dann die Policy, die den Zugriff nur auf die Netzwerkquelle einschränkt. Eine Netzwerkquelle kann mehrere VCNs angeben. Sie können auch eine Netzwerkquelle für jedes VCN erstellen. Informationen zum Erstellen von Netzwerkquellen finden Sie unter Netzwerkquellen verwalten.

Bei der folgenden Beispiel-Policy wird davon ausgegangen, dass Sie eine Netzwerkquelle für jedes Ihrer VCNs einrichten. Mit der Policy können Ressourcen in der ObjectBackup-Beispielgruppe Objekte in einen vorhandenen Bucket mit dem Namen db-backup schreiben, der in einem Compartment mit dem Namen ABC enthalten ist. Beim Schreiben einer solchen Policy können Sie eine oder mehrere Netzwerkquellen angeben. Das dargestellte Beispiel enthält drei.

Allow group ObjectBackup to read buckets in compartment ABC

Allow group ObjectBackup to manage objects in compartment ABC where
   all {target.bucket.name='db-backup', 
        any {request.networkSource.name='<hub_VCN_network_source>', request.networkSource.name='<spoke_1_VCN_network_source>', request.networkSource.name='<spoke_2_VCN_network_source>'},
        any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Weitere Informationen finden Sie in der Prozedur zum Einrichten eines Servicegateways unter Servicegateway in der Konsole einrichten.

Anforderungen von Oracle-Services an Ihre Clients

Das Servicegateway lässt keine eingehenden Verbindungsanforderungen an das VCN oder Ihr On-Premise-Netzwerk zu. Alle Verbindungsanforderungen von einem Oracle-Service an Ihr On-Premise-Netzwerk müssen über einen öffentlichen Pfad wie das Internet oder FastConnect-Public Peering eingehen.

Wenn Sie über Oracle Analytics Cloud Verbindungsanforderungen an Clients initiieren und Sie außerdem privaten Zugriff auf Oracle-Services für Ihr On-Premise-Netzwerk einrichten möchten, lesen Sie dieses bekannte Problem.

Optionen zum Transitrouting für privaten Zugriff auf Oracle-Services

Es gibt zwei Optionen für das Routing über das VCN für privaten Zugriff auf Oracle-Services:

  • Transitrouting direkt über Gateways: Sie leiten den Traffic direkt durch das VCN von einem Gateway zum anderen weiter.
  • Transitrouting über eine private IP: Sie richten eine Instanz im VCN ein, um den Traffic zwischen dem On-Premise-Netzwerk und dem Oracle Services Network zu filtern oder zu prüfen, und leiten den Traffic über eine private IP in der Instanz weiter.

In den Beispielen in den folgenden Abschnitten wird vorausgesetzt, dass das VCN keine Workloads enthält, die Zugriff auf das On-Premise-Netzwerk oder Oracle Services Network benötigen. Das VCN wird nur für das Transitrouting des Traffics durch das VCN verwendet.

Transitrouting direkt über Gateways

In diesem Beispiel erfolgt das Routing direkt über die beiden Gateways im VCN: das dynamische Routinggateway (DRG)  und das Servicegateway . Siehe folgendes Diagramm.

Diese Abbildung zeigt die Routentabellen und Routingregeln, die bei der Einrichtung des Szenarios erforderlich sind.

Die Diagramm-Callouts zeigen zwei Routentabellen, die jeweils mit einer anderen Ressource verknüpft sind:

  • DRG-Anhang:

    • Die VCN-Routentabelle ist mit dem DRG-Anhang verknüpft. Warum mit dem Anhang und nicht mit dem DRG selbst? Weil das DRG eine Standalone-Ressource ist, die Sie an ein beliebiges VCN anhängen können, das sich in derselben Region und demselben Mandanten wie das DRG befindet. Das betreffende VCN wird im Anhang selbst angegeben.
    • Die VCN-Routentabelle leitet den eingehenden Traffic weiter, der aus dem On-Premise-Netzwerk stammt und für einen unterstützten Oracle-Service bestimmt ist. Sie konfigurieren die Regel so, dass dieser Traffic an das Servicegateway gesendet wird.
    Callout 1: VCN-Routentabelle für den DRG-Anhang
    Ziel-CIDR Routenziel
    Alle OSN-Services in der Region Servicegateway

  • Servicegateway:

    • Diese VCN-Routentabelle ist mit dem Servicegateway verknüpft.
    • Die VCN-Routentabelle leitet den Antworttraffic weiter, der von einem unterstützten Oracle-Service stammt und für das On-Premise-Netzwerk bestimmt ist. Sie konfigurieren die Regel, mit der der Traffic an das DRG gesendet wird.
    Callout 2: VCN-Routentabelle für das Servicegateway
    Routenziel Routenziel
    172.16.0.0/12 DRG
Transitrouting über eine private IP im VCN

In diesem Beispiel richten Sie eine Instanz im VCN ein, die als Firewall oder Angriffserkennungssystem fungieren soll, um den Traffic zwischen dem On-Premise-Netzwerk und Oracle Services Network zu filtern oder zu prüfen. Siehe folgendes Diagramm.

Diese Abbildung zeigt die Routentabellen und Routingregeln, die bei der Einrichtung des Szenarios mit einer privaten IP im Hub-VCN erforderlich sind.
Callout 1: Mit Subnet-Frontend verknüpfte Routentabelle
Ziel-CIDR Routenziel
172.16.0.0/12 DRG
Callout 2: Mit Subnet-Backend verknüpfte Routentabelle
Ziel-CIDR Routenziel
Alle OSN-Services in der Region Servicegateway
Callout 3: Mit dem DRG-Anhang verknüpfte Routentabelle
Ziel-CIDR Routenziel
Alle OSN-Services in der Region 10.0.4.3
Callout 4: Mit dem DRG-Anhang verknüpfte Routentabelle
Ziel-CIDR Routenziel
172.16.0.0/12 10.0.8.3

Die Instanz verfügt über zwei VNICs, jede mit einer privaten IP. Eine der VNICs befindet sich in einem Subnetz, das dem On-Premise-Netzwerk (hier als Frontend-Subnetz bezeichnet) zugewandt ist. Die andere VNIC befindet sich in einem Subnetz, das dem Oracle Services Network (hier als Backend-Subnetz bezeichnet) zugewandt ist. Die Frontend-VNIC hat die private IP 10.0.4.3, und die Backend-VNIC hat die private IP 10.0.8.3.

Das Diagramm zeigt vier Routentabellen, die jeweils mit einer anderen Ressource verknüpft sind:

  • DRG-Anhang:

    • Diese VCN-Routentabelle ist mit dem DRG-Anhang verknüpft. Warum mit dem Anhang und nicht mit dem DRG selbst? Weil das DRG eine Standalone-Ressource ist, die Sie an ein beliebiges VCN anhängen können, das sich in derselben Region und demselben Mandanten wie das DRG befindet. Das betreffende VCN wird im Anhang selbst angegeben.
    • Die VCN-Routentabelle leitet den eingehenden Traffic weiter, der aus dem On-Premise-Netzwerk stammt und für einen unterstützten Oracle-Service bestimmt ist. Sie konfigurieren die Regel so, dass der Traffic an die private IP im Frontend-Subnetz gesendet wird.

  • Servicegateway:

    • Diese VCN-Routentabelle ist mit dem Servicegateway verknüpft.
    • Die VCN-Routentabelle leitet den Antworttraffic weiter, der von einem unterstützten Oracle-Service stammt und für das On-Premise-Netzwerk bestimmt ist. Sie konfigurieren die Regel so, dass dieser Traffic an die private IP im Backend-Subnetz gesendet wird.

  • Frontend-Subnetz:

    • Diese VCN-Routentabelle ist mit Subnet-Frontend verknüpft.
    • Sie enthält eine Regel, mit der Traffic mit dem On-Premise-Netzwerk ermöglicht wird.

  • Backend-Subnetz:

    • Diese VCN-Routentabelle ist mit Subnet-Backend verknüpft.
    • Sie enthält eine Regel, die den Traffic mit dem regionalen Oracle Services Network zulässt.

Wichtige Einschränkungen des Transitroutings

Dieser Abschnitt enthält weitere wichtige Details zum Routing:

  • Routentabelle für den DRG-Anhang:

    • Eine mit einem DRG-Anhang verknüpfte VCN-Routentabelle kann nur Regeln enthalten, die auf ein Servicegateway, eine private IP oder ein lokales Peering-Gateway ausgerichtet sind.
    • Mit einem DRG-Anhang ist immer eine Routentabelle verknüpft. Sie können jedoch eine andere Routentabelle verknüpfen, die Regeln der Tabelle bearbeiten sowie einige oder alle Regeln löschen.
  • Routentabelle für ein Servicegateway:
    • Eine mit einem Servicegateway verknüpfte VCN-Routentabelle kann nur Regeln enthalten, die auf ein DRG oder eine private IP ausgerichtet sind.
    • Ein Servicegateway kann auch ohne zugehörige Routentabelle vorhanden sein. Sobald Sie ein Servicegateway jedoch mit einer Routentabelle verknüpft haben, muss immer eine Routentabelle mit ihm verknüpft sein. Sie können jedoch eine andere Routentabelle mit dem LPG verknüpfen. Sie können auch die Regeln der Tabelle bearbeiten oder einige oder alle Regeln löschen.
  • Traffic durch das VCN:Die hier erläuterten Routentabellen sind nur für die Weiterleitung von Traffic durch das VCN zwischen Geräten im On-Premise-Netzwerk und Geräten im Oracle Services Network bestimmt. Wenn Sie eine private IP im VCN verwenden, konfigurieren Sie die Routentabellen so, dass die private IP in diesen Trafficpfad platziert wird, der durch das VCN führt.
  • Im VCN eingehender Traffic: Die vorhergehende Aussage ist zwar zutreffend (für Traffic durch das VCN), doch ist der in Subnetzen innerhalb des VCN eingehende Traffic immer zulässig. Sie müssen keine expliziten Regeln für diesen eingehenden Traffic in der Routentabelle des DRG-Anhangs oder der Routentabelle des Servicegateways einrichten. Wenn diese Art des eingehenden Traffics das DRG oder das Servicegateway erreicht, wird der Traffic automatisch über das lokale VCN-Routing an das Ziel im VCN weitergeleitet. Aufgrund des lokalen VCN-Routings können Sie für Routentabellen, die zu einem bestimmten VCN gehören, keine Regel erstellen, die das VCN-CIDR (oder einen Unterabschnitt) als Ziel der Regel auflistet.
  • VCN-Traffic beim Transitrouting über eine private IP: Die unmittelbar vorhergehende Aussage zum lokalen VCN-Routing bedeutet, dass Sie das VCN für den Transit zwischen dem On-Premise-Netzwerk und Spoke-VCNs verwenden sollten. Richten Sie keine Workloads im VCN selbst ein. Genauer gesagt: Wenn Sie Transitrouting über eine private IP im VCN einrichten, können Sie nicht gleichzeitig den Traffic des VCN über diese private IP leiten. Wenn Sie wie im vorherigen Diagramm die Routingregel in der Routentabelle des Servicegateways ändern, sodass das Ziel-CIDR 0.0.0.0/0 anstelle von 172.16.0.0/12 lautet, wird nur der Traffic vom Oracle Services Network, der für Adressen außerhalb des VCN-CIDR-Blocks bestimmt ist, über die private IP weitergeleitet. Aufgrund des lokalen VCN-Routings wird der gesamte Traffic, der für Adressen innerhalb des VCN bestimmt ist, automatisch direkt an die IP-Zieladresse weitergeleitet. Das lokale VCN-Routing hat Vorrang vor der Routentabelle des Servicegateways (im Allgemeinen vor allen Routentabellen des VCN).

Erforderliche IAM Policy

Um Oracle Cloud Infrastructure zu verwenden, muss Ihnen ein Administrator in einer Policy  Sicherheitszugriff erteilen. Dieser Zugriff ist erforderlich, unabhängig davon, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Nachricht erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Administrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment  Sie arbeiten sollen.

Wenn Sie Mitglied der Administratorengruppe sind, besitzen Sie bereits die erforderliche Zugriffsberechtigung zur Einrichtung des Transitroutings. Andernfalls müssen Sie auf den Networking-Service zugreifen und Instanzen starten können. Siehe IAM-Policys für Networking.

Privaten Zugriff auf Oracle-Services einrichten

In diesem Abschnitt wird gezeigt, wie Sie über die Konsole Transitrouting mit einem VCN einrichten, um Ihrem On-Premise-Netzwerk privaten Zugriff auf Oracle-Services zu gewähren.

Für direktes Routing zwischen Gateways
Tipp

Viele der für dieses erweiterte Szenario erforderlichen Netzwerkkomponenten und Verbindungen sind möglicherweise bereits eingerichtet. Daher können Sie einige der folgenden Aufgaben eventuell überspringen. Wenn Sie bereits über ein Netzwerklayout mit einem VCN mit Verbindung zu Ihrem On-Premise-Netzwerk sowie über ein Servicegateway für dieses VCN verfügen, ist Aufgabe 4 am wichtigsten für Sie. Sie ermöglicht die Weiterleitung des Traffics zwischen Ihrem On-Premise-Netzwerk und dem Oracle Services Network.
Aufgabe 1: VCN einrichten
Diese Abbildung zeigt Aufgabe 1: VCN einrichten.

In dieser Aufgabe richten Sie das VCN ein. In diesem Beispiel ist kein Subnetz erforderlich.

Weitere Informationen und Anweisungen finden Sie unter:

Aufgabe 2: Servicegateway zum VCN hinzufügen
Diese Abbildung zeigt Aufgabe 2: Servicegateway zum VCN hinzufügen.

In dieser Aufgabe fügen Sie dem VCN ein Servicegateway hinzu und aktivieren das Gateway für das regionale Oracle Services Network.

Beachten Sie, dass Sie die Routentabelle noch nicht erstellen, die mit dem Servicegateway verknüpft wird. Dies erfolgt in einer späteren Aufgabe.

  1. Zeigen Sie in der Konsole die Details des VCN an.
  2. Klicken Sie unter Ressourcen auf Servicegateways.
  3. Klicken Sie auf Servicegateway erstellen.

  4. Geben Sie folgende Werte ein:

    • Name: Ein aussagekräftiger Name für das Servicegateway. Er muss nicht eindeutig sein. Geben Sie keine vertraulichen Informationen ein.
    • Erstellen in Compartment: Das Compartment, in dem Sie das Servicegateway erstellen möchten, wenn es sich von dem Compartment unterscheidet, in dem Sie derzeit arbeiten.
    • Services: All <region> Services in Oracle Services Network.

  5. Klicken Sie auf Servicegateway erstellen.

    Das Servicegateway wird dann erstellt und auf der Seite Servicegateways im ausgewählten Compartment angezeigt.

Aufgabe 3: VCN mit dem On-Premise-Netzwerk verbinden
Diese Abbildung zeigt Aufgabe 3: VCN mit dem On-Premise-Netzwerk verbinden.
In dieser Aufgabe richten Sie entweder FastConnect oder Site-to-Site-VPN zwischen dem VCN und dem On-Premise-Netzwerk ein. Im Rahmen dieses Verfahrens hängen Sie ein DRG an das VCN an und richten das Routing zwischen dem VCN und Ihrem On-Premise-Netzwerk ein. Erstellen Sie die mit dem DRG-Anhang verknüpfte Routentabelle noch nicht. Dies erfolgt in einer späteren Aufgabe. Weitere Informationen und Anweisungen finden Sie unter:
Wichtig

Wenn Sie Site-to-Site-VPN mit statischem Routing verwenden und das VCN so konfiguriert ist, dass Ihr On-Premise-Netzwerk privaten Zugriff auf Oracle-Services erhält, müssen Sie Ihr Edge-Gerät mit den Routen für die öffentlichen IP-Bereiche des Oracle Services Network konfigurieren, die vom DRG über den privaten Pfad (über das Servicegateway) angeboten werden. Eine Liste dieser Bereiche finden Sie unter Öffentliche IP-Adressen für VCNs und das Oracle Services Network.
Aufgabe 4: Ingress-Routing für DRG und Servicegateway einrichten
Diese Abbildung zeigt Aufgabe 4: Ingress-Routing für DRG und Servicegateway einrichten.
Callout 1: Mit dem DRG-Anhang verknüpfte Routentabelle
Ziel-CIDR Routenziel
Alle OSN-Services in der Region Servicegateway
Callout 2: Mit dem DRG-Anhang verknüpfte Routentabelle
Ziel-CIDR Routenziel
172.16.0.0/12 DRG

In dieser Aufgabe richten Sie die Routentabellen für den DRG-Anhang und das Servicegateway ein.

Voraussetzungen:

  • An das VCN ist bereits ein DRG angehängt.
  • Sie haben bereits ein Servicegateway.

  1. Erstellen Sie eine Routentabelle für den DRG-Anhang:

    1. Zeigen Sie in der Konsole die Details des VCN an.
    2. Klicken Sie unter Ressourcen auf Routentabellen, um die Routentabellen des VCN anzuzeigen.
    3. Klicken Sie auf Routentabelle erstellen.

    4. Geben Sie Folgendes ein:

      • Name: Ein aussagekräftiger Name für die Routentabelle. Beispiel: VCN-Ingress-Routentabelle. Geben Sie keine vertraulichen Informationen ein.
      • Erstellen in Compartment: Übernehmen Sie die Vorgabe.

    5. Klicken Sie auf + Weitere Routingregel, und geben Sie die folgenden Informationen für die Routingregel ein:

      • Zieltyp: Servicegateway.
      • Zielservice: All <region> Services in Oracle Services Network.
      • Compartment: Das Compartment, in dem das Servicegateway gespeichert ist.
      • Ziel: Das Servicegateway.
      • Beschreibung: Eine optionale Beschreibung der Regel.

    6. Klicken Sie auf Routentabelle erstellen.

      Die Routentabelle wird erstellt und in der Liste angezeigt.

  2. Verknüpfen Sie die Routentabelle (in diesem Beispiel als VCN-Ingress-Routentabelle bezeichnet) mit dem DRG-Anhang des VCN:

    1. Zeigen Sie die Details des VCN an, und klicken Sie auf Dynamische Routinggateways, um das angehängte DRG anzuzeigen.
    2. Klicken Sie auf das Menü Aktionen (Menü "Aktionen") und dann auf Mit Routentabelle verknüpfen.

    3. Geben Sie Folgendes ein:

      • Routentabellen-Compartment: Wählen Sie das Compartment der Routentabelle für den DRG-Anhang aus.
      • Routentabelle: Wählen Sie die Routentabelle für den DRG-Anhang aus.

    4. Klicken Sie auf Verknüpfen.

      Die Routentabelle wird mit dem DRG-Anhang verknüpft.

  3. Erstellen Sie eine Routentabelle für das Servicegateway:

    1. Zeigen Sie die Details des VCN an, und klicken Sie auf Routentabellen.
    2. Klicken Sie auf Routentabelle erstellen.

    3. Geben Sie Folgendes ein:

      • Erstellen in Compartment: Übernehmen Sie die Vorgabe.
      • Name: Ein aussagekräftiger Name für die Routentabelle. Beispiel: Servicegateway-Routentabelle. Geben Sie keine vertraulichen Informationen ein.

    4. Klicken Sie auf + Weitere Routingregel, und geben Sie die folgenden Informationen für die Routingregel ein:

      • Zieltyp: Dynamisches Routinggateway. Das angehängte DRG des VCN wird automatisch als Ziel ausgewählt, sodass Sie es nicht selbst angeben müssen.
      • Ziel-CIDR-Block: Das CIDR des On-Premise-Netzwerks (172.16.0.0/12 im vorherigen Beispiel).
      • Beschreibung: Eine optionale Beschreibung der Regel.

    5. Klicken Sie auf Routentabelle erstellen.

      Die Routentabelle wird erstellt und in der Liste angezeigt.

  4. Verknüpfen Sie die Routentabelle (in diesem Beispiel als Servicegateway-Routentabelle bezeichnet) mit dem Servicegateway:

    1. Zeigen Sie die Details des VCN an, und klicken Sie auf Servicegateways.
    2. Klicken Sie für das Servicegateway auf das Aktionsmenü (Menü "Aktionen") und dann auf Mit Routentabelle verknüpfen.

    3. Geben Sie Folgendes ein:

      • Routentabellen-Compartment: Wählen Sie das Compartment der Routentabelle für das Servicegateway aus.
      • Routentabelle: Wählen Sie die Routentabelle für das Servicegateway aus.

    4. Klicken Sie auf Verknüpfen.

      Die Routentabelle wird mit dem Servicegateway verknüpft.

Für Routing über eine private IP
Tipp

Viele der für dieses erweiterte Szenario erforderlichen Netzwerkkomponenten und Verbindungen sind möglicherweise bereits eingerichtet. Daher können Sie einige der folgenden Aufgaben eventuell überspringen. Wenn Sie bereits über ein Netzwerklayout mit einem VCN mit Verbindung zu Ihrem On-Premise-Netzwerk sowie über ein Servicegateway für dieses VCN verfügen, sind Aufgabe 4 und 5 am wichtigsten für Sie. Mit ihnen kann Traffic zwischen Ihrem On-Premise-Netzwerk und dem Spoke-VCN weitergeleitet werden.
Aufgabe 1: VCN einrichten
Diese Abbildung zeigt Aufgabe 1: VCN einrichten.

In dieser Aufgabe richten Sie das VCN ein. Dieses Beispiel enthält ebenfalls zwei Subnetze: eines für die Frontend-VNIC auf der Instanz und eines für die Backend-VNIC auf der Instanz. Oracle empfiehlt die Verwendung von regionalen privaten Subnetzen.

Weitere Informationen und Anweisungen finden Sie unter:

Aufgabe 2: Servicegateway zum VCN hinzufügen
Diese Abbildung zeigt Aufgabe 2: Servicegateway zum VCN hinzufügen.

In dieser Aufgabe fügen Sie dem VCN ein Servicegateway hinzu und aktivieren das Gateway für das regionale Oracle Services Network.

Beachten Sie, dass Sie die Routentabelle noch nicht erstellen, die mit dem Servicegateway verknüpft wird. Dies erfolgt in einer späteren Aufgabe.

  1. Zeigen Sie in der Konsole die Details des VCN an.
  2. Klicken Sie unter Ressourcen auf Servicegateways.
  3. Klicken Sie auf Servicegateway erstellen.

  4. Geben Sie folgende Werte ein:

    • Name: Ein aussagekräftiger Name für das Servicegateway. Er muss nicht eindeutig sein. Geben Sie keine vertraulichen Informationen ein.
    • Erstellen in Compartment: Das Compartment, in dem Sie das Servicegateway erstellen möchten, wenn es sich von dem Compartment unterscheidet, in dem Sie derzeit arbeiten.
    • Services: All <region> Services in Oracle Services Network.

  5. Klicken Sie auf Servicegateway erstellen.

    Das Servicegateway wird dann erstellt und auf der Seite Servicegateways im ausgewählten Compartment angezeigt.

Aufgabe 3: VCN mit dem On-Premise-Netzwerk verbinden
Diese Abbildung zeigt Aufgabe 3: VCN mit dem On-Premise-Netzwerk verbinden.
In dieser Aufgabe richten Sie entweder FastConnect oder Site-to-Site-VPN zwischen Ihrem Hub-VCN und Ihrem On-Premise-Netzwerk ein. Im Rahmen dieses Vorgangs hängen Sie ein DRG an das Hub-VCN an und richten das Routing zwischen dem Hub-VCN und Ihrem On-Premise-Netzwerk ein. Beachten Sie, dass Sie die die mit dem DRG-Anhang verknüpfte Routentabelle noch nicht erstellen. Dies erfolgt in einem späteren Schritt. Weitere Informationen und Anweisungen:
Wichtig

Wenn Sie Site-to-Site-VPN mit statischem Routing verwenden und das VCN so konfiguriert ist, dass Ihr On-Premise-Netzwerk privaten Zugriff auf Oracle-Services erhält, müssen Sie Ihr Edge-Gerät mit den Routen für die öffentlichen IP-Bereiche des Oracle Services Network konfigurieren, die vom DRG über den privaten Pfad (über das Servicegateway) angeboten werden. Eine Liste dieser Bereiche finden Sie unter Öffentliche IP-Adressen für VCNs und das Oracle Services Network.
Aufgabe 4: Private IPs in einer Instanz im VCN einrichten
Diese Abbildung zeigt Aufgabe 4: Private IPs in einer Instanz im VCN einrichten.
In dieser Aufgabe richten Sie die Instanz mit zwei privaten IPs ein. Voraussetzungen:
  1. Falls noch nicht geschehen, erstellen Sie die Instanz im VCN. Siehe Instanz erstellen. Die primäre VNIC wird im angegebenen Subnetz erstellt.
  2. Erstellen Sie eine sekundäre VNIC für das andere Subnetz, und konfigurieren Sie deren Verwendung im Betriebssystem. Siehe Konsole verwenden.
  3. Deaktivieren Sie die Quell-/Zielprüfung für jede der VNICs. Siehe VNICs und physische NICs - Überblick.
  4. Legen Sie für jede VNIC fest, welche private IP als Routingziel verwendet werden soll. Wenn Sie anstelle der primären privaten IP der VNIC eine sekundäre private IP verwenden möchten, weisen Sie diese sekundäre private IP zu, und konfigurieren Sie deren Verwendung im Betriebssystem. Siehe Neue sekundäre private IP zu einer VNIC zuweisen.
  5. Notieren Sie für jede der von Ihnen erstellten privaten IPs die private IP-Adresse (Beispiel: 10.0.4.3).
  6. Konfigurieren Sie die Instanz nach Bedarf für den ausgeführten Job (Beispiel: Konfigurieren Sie die Firewall oder ein Angriffserkennungssystem in der Instanz).
Aufgabe 5: Ingress-Routing für DRG und Servicegateway einrichten
Diese Abbildung zeigt Aufgabe 5: Ingress-Routing für DRG und Servicegateway einrichten.
Callout 1: Mit Subnet-Frontend verknüpfte Routentabelle
Ziel-CIDR Routenziel
172.16.0.0/12 DRG
Callout 2: Mit Subnet-Backend verknüpfte Routentabelle
Ziel-CIDR Routenziel
Alle OSN-Services in der Region Servicegateway
Callout 3: Mit dem DRG-Anhang verknüpfte Routentabelle
Ziel-CIDR Routenziel
Alle OSN-Services in der Region 10.0.4.3
Callout 4: Mit dem DRG-Anhang verknüpfte Routentabelle
Ziel-CIDR Routenziel
172.16.0.0/12 10.0.8.3

In dieser Aufgabe richten Sie die Routentabellen für den DRG-Anhang und das Servicegateway ein.

Voraussetzungen:

  • An das VCN ist bereits ein DRG angehängt.
  • Sie haben bereits ein Servicegateway.
  • Sie verfügen bereits über die zwei privaten IPs, die als Routingziele verwendet werden sollen (siehe vorherige Aufgabe).

  1. Erstellen Sie eine Routentabelle für den DRG-Anhang:

    1. Zeigen Sie in der Konsole die Details des VCN an.
    2. Klicken Sie unter Ressourcen auf Routentabellen, um die Routentabellen des VCN anzuzeigen.
    3. Klicken Sie auf Routentabelle erstellen.

    4. Geben Sie Folgendes ein:

      • Name: Ein aussagekräftiger Name für die Routentabelle. Beispiel: VCN-Ingress-Routentabelle. Geben Sie keine vertraulichen Informationen ein.
      • Erstellen in Compartment: Übernehmen Sie die Vorgabe.

    5. Klicken Sie auf + Weitere Routingregel, und geben Sie die folgenden Informationen für die Routingregel ein:

      • Zieltyp: Private IP.
      • Ziel: Service.
      • Zielservice: All <region> Services in Oracle Services Network
      • Compartment: Das Compartment, in dem sich die private IP des Frontend-Subnetzes befindet.
      • Ziel: Die private IP des Frontend-Subnetzes, die Sie sich in der vorherigen Aufgabe notiert haben (Beispiel: 10.0.4.3).
      • Beschreibung: Eine optionale Beschreibung der Regel.

    6. Klicken Sie auf Routentabelle erstellen.

      Die Routentabelle wird erstellt und in der Liste angezeigt.

  2. Verknüpfen Sie die Routentabelle (in diesem Beispiel als VCN-Ingress-Routentabelle bezeichnet) mit dem DRG-Anhang des VCN:

    1. Zeigen Sie die Details des VCN an, und klicken Sie auf Dynamische Routinggateways, um das angehängte DRG anzuzeigen.
    2. Klicken Sie auf das Menü Aktionen (Menü "Aktionen") Routentabelle verknüpfen.
    3. Wählen Sie die Routentabelle aus.

    4. Klicken Sie auf Routentabelle verknüpfen.

      Die Routentabelle wird mit dem DRG-Anhang verknüpft.

  3. Erstellen Sie eine Routentabelle für das Servicegateway:

    1. Zeigen Sie die Details des VCN an, und klicken Sie auf Routentabellen.
    2. Klicken Sie auf Routentabelle erstellen.

    3. Geben Sie Folgendes ein:

      • Erstellen in Compartment: Übernehmen Sie die Vorgabe.
      • Name: Ein aussagekräftiger Name für die Routentabelle. Beispiel: Servicegateway-Routentabelle. Geben Sie keine vertraulichen Informationen ein.

    4. Klicken Sie auf + Weitere Routingregel, und geben Sie die folgenden Informationen für die Routingregel ein:

      • Zieltyp: Private IP.
      • Ziel: CIDR-Block.
      • Ziel-CIDR-Block: Das CIDR des On-Premise-Netzwerks (172.16.0.0/12 im vorherigen Beispiel).
      • Compartment: Das Compartment, in dem sich die private IP befindet.
      • Ziel: Die private IP des Backend-Subnetzes, die Sie sich in der vorherigen Aufgabe notiert haben (Beispiel: 10.0.8.3).
      • Beschreibung: Eine optionale Beschreibung der Regel.

    5. Klicken Sie auf Routentabelle erstellen.

      Die Routentabelle wird erstellt und in der Liste angezeigt.

  4. Verknüpfen Sie die Routentabelle (in diesem Beispiel als Servicegateway-Routentabelle bezeichnet) mit dem Servicegateway:

    1. Zeigen Sie die Details des VCN an, und klicken Sie auf Servicegateways.
    2. Klicken Sie für das Servicegateway auf das Aktionsmenü (Menü "Aktionen") und dann auf Mit Routentabelle verknüpfen.

    3. Geben Sie Folgendes ein:

      • Routentabellen-Compartment: Wählen Sie das Compartment der Routentabelle für das Servicegateway aus.
      • Routentabelle: Wählen Sie die Routentabelle für das Servicegateway aus.

    4. Klicken Sie auf Verknüpfen.

      Die Routentabelle wird mit dem Servicegateway verknüpft.

Transitrouting deaktivieren

Um das Transitrouting zu deaktivieren, entfernen Sie die Regeln aus:

  • Der Routentabelle, die mit dem DRG-Anhang verknüpft ist.
  • Die mit dem Servicegateway verknüpfte Routentabelle.

Eine Routentabelle kann mit einer Ressource verknüpft sein, ohne jedoch Regeln aufzuweisen. Ohne mindestens eine Regel führt eine Routentabelle keine Aktion durch.

Ein DRG-Anhang oder ein Servicegateway kann ohne zugehörige Routentabelle vorhanden sein. Sobald Sie einen DRG-Anhang oder ein Servicegateway jedoch mit einer Routentabelle verknüpft haben, muss immer eine Routentabelle damit verknüpft sein. Sie können jedoch eine andere Routentabelle mit dem LPG verknüpfen. Sie können auch die Regeln der Tabelle bearbeiten sowie einige oder alle Regeln löschen.