Oracle Cloud Infrastructure - Dokumentation

VPN-Verbindung zu Azure

Der Site-to-Site-VPN-Service von Oracle Cloud Infrastructure (OCI) bietet eine sichere IPSec-Verbindung zwischen einem On-Premise-Netzwerk und einem virtuellen Cloud-Netzwerk (VCN). Sie können auch Site-to-Site-VPN verwenden, um OCI-Ressourcen Mit anderen Cloud-Serviceprovidern zu verbinden.

Dieses Thema enthält eine Best Practices-Konfiguration für einen IPSec-VPN-Tunnel zwischen OCI und Microsoft Azure mit dem OCI Site-to-Site-VPN-Service und dem Azure-VPN-Service IPSec.

Hinweis

In diesem Dokument wird davon ausgegangen, dass Sie bereits ein virtuelles Cloud-Netzwerk (VCN) und ein dynamisches Routinggateway (DRG) bereitgestellt haben und alle VCN-Routentabellen und Sicherheitslisten konfiguriert haben, die für dieses Szenario und alle Äquivalente in Azure erforderlich sind.

Microsoft Azure-spezifische Hinweise

IKE-Version: Eine IPSec-VPN-Verbindung zwischen OCI und Microsoft Azure muss zur Interoperabilität IKE-Version 2 verwenden.

Routingtyp: In diesem Szenario wird Border Gateway Protocol (BGP) verwendet, um Routen zwischen Azure und OCI auszutauschen. Nach Möglichkeit wird für Site-to-Site-VPN BGP bevorzugt. Optional kann statisches Routing auch zwischen Azure und OCI verwendet werden.

Perfect Forward Secrecy: Bei der Perfect Forward Secrecy (PFS) werden neue Diffie-Hellman-Schlüssel in Phase 2 generiert, und Phase 2 verwendet dieselben Schlüssel, die in Phase 1 generiert wurden, anstatt denselben Schlüssel zu verwenden. Beide VPN-Peers müssen mit der ausgewählten PFS-Gruppeneinstellung für Phase 2 übereinstimmen. Standardmäßig stimmen Azure (Gruppe 1, 2, 14 und 24 nur für IKEv2) und OCI (Gruppe 5) nicht mit PFS überein. Die OCI-seitige PFS-Gruppe kann so geändert werden, dass sie dem CPE entspricht.

OCI-Site-to-Site-VPN-Version verifizieren

Sie können die Site-to-Site-VPN-Version prüfen, die von der Verbindung IPSec auf der Registerkarte IPSec-Verbindungsinformationen auf der Verbindungsseite IPSec verwendet wird.

Unterstützte IPSec-Parameter

Eine Liste der vom Hersteller unterstützten IPSec-Parameter für alle OCI-Regionen finden Sie unter Unterstützte IPSec-Parameter.

Konfigurationsprozess

Azure - VPN-Gateway erstellen
  1. Suchen Sie im Azure-Hauptportal nach Virtual Network Gateway. Wählen Sie in den Suchergebnissen einen Wert aus.
  2. Wählen Sie auf der nächsten Seite die Schaltfläche Erstellen, um ein neues virtuelles Netzwerkgateway zu erstellen.
  3. Die Seite Create Virtual Network Gateway wird aufgerufen.
    • Name: Geben Sie dem Gateway einen Namen.
    • Region: Wählen Sie eine Azure-Region aus. Die Region muss mit dem virtuellen Netzwerk identisch sind.
    • Gateway Type: Wählen Sie VPN aus.
    • VPN type: Wählen Sie Route-based aus.
    • SKU und Generation: Wählen Sie eine Gateway-SKU, die IKEv2 unterstützt und Ihre Durchsatzanforderungen entspricht. Weitere Informationen zu Gateway-SKUs finden Sie in der Azure-Dokumentation unter VPN Gateways.
    • Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk für das Gateway aus. Dieses virtuelle Netzwerk benötigt auch ein Gatewaysubnetz.
    • Gateway-Subnetzadressbereich: Wenn das virtuelle Netzwerk bereits über ein GatewaySubnet verfügt, wählen Sie es aus. Wählen Sie andernfalls einen nicht verwendeten Adressbereich.
    • Öffentliche IP-Adresse: Das virtuelle Netzwerkgateway benötigt eine öffentliche IP-Adresse. Falls bereits eine öffentliche IP-Adresse erstellt wurde, wählen Sie sie aus. Wählen Sie andernfalls Neu erstellen aus, und geben Sie der öffentlichen IP-Adresse einen Namen.
    • Enable active-active mode: Lassen Sie diese Option deaktiviert.
    • BGP konfigurieren: Wählen Sie Aktiviert aus. Wenn Sie statisches Routing verwenden möchten, lassen Sie diese Option deaktiviert.
    • Autonome Systemnummer (ASN): Azure verwendet standardmäßig die BGP-ASN (65515). Wählen Sie den Standardwert aus.

    • Benutzerdefinierte Azure APIPA BGP-IP-Adresse: Wählen Sie ein /30-Subnetz aus 169.254.21.0/24 oder 169.254.22.0/24 aus. Diese Adressen sind die BGP-IP-Adressen für Azure und OCI. Geben Sie hier eine der beiden verfügbaren IPs aus dem gewählten /30 ein. In diesem Szenario werden 169.254.21.1 für OCI und 169.254.21.2 für Azure verwendet.

      Wenn Sie die Konfiguration des virtuellen Netzwerkgateways abgeschlossen haben, wählen Sie die Schaltfläche Prüfen + erstellen und anschließend die Schaltfläche Erstellen auf der folgenden Seite.

  4. Navigieren Sie zu dem neu erstellten virtuellen Netzwerkgateway, und speichern Sie die öffentliche IP-Adresse. Die IP-Adresse wird zum Erstellen der IPSec-Verbindung in OCI verwendet.
OCI - CPE-Objekt erstellen
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter Kundenkonnektivität die Option Kunden-Premise-Equipment aus.
  2. Wählen Sie Customer-Premises Equipment erstellen aus.

  3. Geben Sie folgende Werte ein:

    • In Compartment erstellen: Wählen Sie das Compartment für das gewünschte VCN aus.
    • Name: Ein aussagekräftiger Name für das CPE-Objekt. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.

      In diesem Beispiel wird "TO_Azure" als Name verwendet.

    • IP-Adresse: Geben Sie die öffentliche IP des virtuellen Azure-Netzwerkgateways ein. Sie finden diese öffentliche IP in der Azure-Konsole. Rufen Sie dazu die Übersichtsseite des virtuellen Netzwerkgateways auf, das in der vorherigen Aufgabe erstellt wurde.
    • CPE-Lieferant: Wählen Sie Weitere aus.
  4. Wählen Sie CPE erstellen aus.
OCI - IPsec-Verbindung erstellen
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter Kundenkonnektivität die Option Site-to-Site-VPN aus.
  2. Wählen Sie IPSec-Verbindung erstellen aus.

  3. Geben Sie folgende Werte ein:

    • Erstellen in Compartment: Übernehmen Sie die Vorgabe (das VCN-Compartment).
    • Name: Geben Sie einen aussagekräftigen Namen für die IPSec-Verbindung ein. Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
    • Compartment Customer Premises Equipment: Übernehmen Sie die Vorgabe (das Compartment des VCN).
    • Customer-Premises Equipment: Wählen Sie das zuvor erstellte CPE-Objekt mit dem Namen TO_Azure aus.
    • Compartment dynamisches Routinggateway: Übernehmen Sie die Vorgabe (das VCN-Compartment).
    • Dynamisches Routinggateway: Wählen Sie das zuvor erstellte DRG aus.
    • CIDR mit statischer Route: geben Sie die Standardroute 0.0.0.0/0 ein. Da BGP für den aktiven Tunnel verwendet wird, ignoriert OCI diese Route. Dieser Eintrag ist für den zweiten Tunnel der IPsec-Verbindung erforderlich, der standardmäßig statisches Routing verwendet, in diesem Szenario jedoch nicht verwendet wird. Wenn Sie für diese Verbindung statisches Routing verwenden möchten, geben sie statische Routen ein, die diese virtuellen Azure-Netzwerke darstellen. Für jede IPsec-Verbindung können bis zu 10 statische Routen konfiguriert werden.

  4. Geben Sie die folgenden Details auf der Registerkarte Tunnel 1 ein (erforderlich):

    • Name: Geben Sie einen beschreibenden Namen für den TUNNEL ein. (Beispiel: Azure-TUNNEL-1). Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
    • Benutzerdefiniertes Shared Secret angeben: Der Pre-Shared Key, der von IPSec für diesen Tunnel verwendet wird. Aktivieren Sie dieses Kontrollkästchen, wenn Sie einen benutzerdefinierten Schlüssel verwenden möchten. Wenn nichts ausgewählt ist, wird eines für Sie generiert.
    • IKE-Version: Wählen Sie IKEv2 aus.
    • Routingtyp: Wählen Sie Dynamisches BGP-Routing aus. Wählen Sie Statisches Routing aus, wenn Sie statisches Routing verwenden möchten.
    • BGP-ASN: Geben Sie die von Azure verwendete BGP-ASN ein. Die Azure-BGP-ASN wird in Schritt 3 des Abschnitts Azure - VPN-Gateway erstellen konfiguriert. In diesem Szenario wird die Azure-BGP-Standard-ASN 65515 verwendet.
    • Interne Tunnelschnittstelle IPv4 - CPE: Die von Azure verwendete BGP-IP-Adresse. Verwenden Sie die vollständige CIDR-Notation für diese IP-Adresse. Die BGP-IP-Adresse von Azure wird in Schritt 3 des Abschnitts Azure - VPN-Gateway erstellen konfiguriert.
    • IPv4 Innere Tunnelschnittstelle - Oracle: Die von OCI verwendete BGP-IP-Adresse. Verwenden Sie die vollständige CIDR-Notation für diese IP-Adresse. Diese IP-Adresse ist die andere verwendbare IP aus dem gewählten /30.
  5. Wählen Sie Erweiterte Optionen anzeigen aus, und blenden Sie die Konfiguration für Phase zwei (IPSec) ein. Wählen Sie eine Diffie-Hellman-Gruppe für Perfect Forward Secrecy aus. Wählen Sie GROUP2, GROUP14 oder GROUP24 aus.

  6. Wählen Sie IPSec-Verbindung erstellen aus.

    Die IPSec-Verbindung wird erstellt und auf der Seite angezeigt. Die Verbindung weist kurzfristig den Status "Provisioning wird ausgeführt" auf.

OCI - PFS ändern

Standardmäßig verwendet OCI Site-to-Site-VPN die PFS-Gruppe 5 für alle IPSec-VPN-Tunnel. Für IKEv2 sendet Azure Vorschläge mit den PFS-Gruppen 1, 2, 14 und 24.

Mit der OCI-Konsole können Sie die Phase 2 IPSec-Policy eines Tunnels so festlegen, dass der benutzerdefinierte PFS-Gruppenwert 2, 14 oder 24 verwendet wird. OCI unterstützt PFS-Gruppe 1 nicht.

OCI - Site-to-Site-VPN-IP-Adresse und Shared Secret speichern

Nachdem die Verbindung IPSec bereitgestellt wurde, speichern Sie die Site-to-Site-VPN-IP-Adresse, die als CPE-IP im Azure-Portal und als Shared Secret für den Tunnel verwendet werden soll.

  1. Navigieren Sie zur Verbindung IPSec in der OCI-Konsole.

    Wählen Sie aus, welcher Tunnel als primärer Tunnel verwendet werden soll. Speichern Sie die IP-Adresse des Site-to-Site-VPN-Tunnels. Wählen Sie als Nächstes den Tunnelnamen des Tunnels, der in die Tunnelansicht aufgenommen werden soll.

  2. Klicken Sie unter dem Tunnel auf den Link, um das Shared Secret anzuzeigen. Speichern Sie es. Das Shared Secret wird verwendet, um die IPsec-VPN-Konfiguration in Azure abzuschließen.
Azure - Lokales Netzwerkgateway erstellen

  1. Suchen Sie im Azure-Hauptportal nach Local Network Gateway. Wählen Sie in den Suchergebnissen einen Wert aus.

  2. Wählen Sie auf der nächsten Seite die Schaltfläche Erstellen, um ein lokales Netzwerkgateway zu erstellen.

  3. Die Seite Create Local Network Gateway wird aufgerufen. Geben Sie folgende Details ein:

    • Region: Wählen Sie eine Azure-Region aus. Die Region muss mit dem virtuellen Netzwerk und virtuellem Netzwerkgateway übereinstimmen.
    • Name: Geben Sie dem lokalen Netzwerkgateway einen Namen.
    • IP Address: Geben Sie die gespeicherte OCI-VPN-IP-Adresse für Tunnel 1 ein.
    • Adressraum: Lassen Sie dieses Feld leer, wenn Sie die CIDRs der OCI-VCNs mit statischem Routing eingeben.
    • BGP-Einstellungen konfigurieren: Aktivieren Sie dieses Kontrollkästchen. Wenn Sie statisches Routing verwenden, lassen Sie die Option deaktiviert.
    • Autonomous system number (ASN): Geben Sie die OCI-BGP-ASN ein. Die BGP-ASN von Oracle für die kommerzielle Cloud ist 31898, mit Ausnahme der Region Serbia Central (Jovanovac) mit 14544.
    • BGP peer IP address: Die OCI-BGP-IP-Adresse. Dieselbe IP-Adresse, die für IPV4 Inside Tunnel Interface - Oracle in Schritt 4 von OCI - IPSec-Verbindung erstellen verwendet wird.
Azure - VPN-Verbindung erstellen

  1. Navigieren Sie zu dem zuvor erstellten virtuellen Netzwerkgateway. Wählen Sie im linken Menü Connections und dann die Schaltfläche Add, um eine Verbindung hinzuzufügen.

  2. Die Seite Add Connection wird aufgerufen. Geben Sie folgende Details ein:

    • Name: Vergeben Sie einen Namen für die Verbindung.
    • Verbindungstyp: Wählen Sie Site-to-site (IPsec) aus.
    • Lokales Netzwerkgateway: Wählen Sie das zuvor erstellte lokale Netzwerkgateway aus.
    • Shared Key (PSK) - Geben sie das Shared Secret aus dem OCI-Tunnel an. Informationen dazu, wo sich der Shared Key in der OCI-Konsole befindet, finden Sie in OCI - Site-to-Site VPN-IP-Adresse und Shared Secret speichern.
    • BGP aktivieren: Aktivieren Sie dieses Kontrollkästchen. Lassen Sie diese Option deaktiviert, wenn Sie statisches Routing verwenden.

    • IKE Protocol: Wählen Sie IKEv2 aus.

      Behalten Sie alle anderen Optionen als Standard bei. Wenn Sie die Konfiguration der VPN-Verbindung abgeschlossen haben, wählen Sie unten auf der Seite die Schaltfläche OK aus.

      Nach einigen Minuten schließt Azure das Provisioning der neuen VPN-Verbindung ab, und das VPN IPSec zwischen Azure und OCI wird gestartet.

Verifizierung

Navigieren Sie zu einer IPSec-Verbindung in OCI und der Virtual Network Gateway-Verbindung in Azure, um den Status des Tunnels zu prüfen.

Der OCI-Tunnel unter der IPSec-Verbindung zeigt den Status Hochgefahren für IPSec an, um einen Betriebstunnel zu bestätigen.

Im BGP-Status IPV4 wird ebenfalls Up angezeigt, was eine eingerichtete BGP-Session bestätigt.

Der Verbindungsstatus unter dem virtuellen Netzwerkgateway für diesen Tunnel zeigt Verbunden an, um den Betriebstunnel zu bestätigen.

Ein Monitoring-Service ist auch in OCI verfügbar, um Cloud-Ressourcen aktiv und passiv Zu überwachen. Informationen zum Monitoring von OCI Site-to-Site-VPN finden Sie unter Site-to-Site-VPN-Metriken.

Bei Problemen finden Sie weitere Informationen unter Site-to-Site-VPN - Fehlerbehebung.