VPN-Verbindung zu Google
Der Site-to-Site-VPN-Service von Oracle Cloud Infrastructure (OCI) bietet eine sichere IPSec-Verbindung zwischen einem On-Premise-Netzwerk und einem virtuellen Cloud-Netzwerk (VCN). Sie können auch Site-to-Site-VPN verwenden, um OCI-Ressourcen mit anderen Cloud-Serviceanbietern zu verbinden.
Dieses Thema enthält eine Best Practices-Konfiguration für einen IPSec-VPN-Tunnel zwischen OCI und Google Cloud Platform (GCP) mit dem OCI Site-to-Site-VPN-Service und dem Google Cloud-VPN-Service.
In diesem Dokument wird angenommen, dass Sie bereits ein VCN und ein dynamisches Routinggateway (DRG) bereitgestellt und alle VCN-Routentabellen und Sicherheitslisten konfiguriert haben, die für dieses Szenario und alle Äquivalente in Google Cloud erforderlich sind.
GCP-spezifische Hinweise
Routingtyp: In diesem Szenario wird Border Gateway Protocol (BGP) verwendet, um Routen zwischen GCP und OCI auszutauschen. Nach Möglichkeit wird für Site-to-Site-VPN BGP bevorzugt. Optional kann statisches Routing auch zwischen GCP und OCI verwendet werden.
OCI-Site-to-Site-VPN-Version verifizieren
Sie können die Site-to-Site-VPN-Version prüfen, die von der Verbindung IPSec auf der Registerkarte IPSec-Verbindungsinformationen auf einer Verbindungsseite IPSec verwendet wird.
Unterstützte IPSec-Parameter
Eine Liste der vom Hersteller unterstützten IPSec-Parameter für alle OCI-Regionen finden Sie unter Unterstützte IPSec-Parameter.
Konfigurationsprozess
-
Im Google Cloud-Hauptportal:
- Blenden Sie das Hauptmenü in der oberen linken Ecke ein
- Scrollen Sie nach unten zu Hybrid Connectivity.
- VPN auswählen
-
Wählen Sie auf der nächsten Seite den Link VPN-Verbindung erstellen aus, um den Workflow zum Erstellen einer IPSec-VPN-Verbindung zu starten.
-
Wählen Sie unter VPN-Optionen die Option High-availability (HA) VPN aus, und wählen Sie unten die Schaltfläche Continue aus.
-
Erstellen Sie ein Cloud-HA-VPN-Gateway. Geben Sie folgende Details ein:
- Name: Geben Sie dem VPN-Gateway einen Namen.
- Netzwerk: Wählen Sie die VPC aus, mit der sich das VPN IPSec verbindet.
-
Region: Wählen Sie die Region für das VPN-Gateway
Wenn Sie die Konfiguration des VPN-Gateways abgeschlossen haben, wählen Sie die Schaltfläche Erstellen und fortfahren aus, um fortzufahren.
-
Auf der nächsten Seite wird die öffentliche IP des GCP-VPN-Endpunkts angezeigt.
Speichern Sie die öffentliche IP einer der Schnittstellen, öffnen Sie die OCI-Console in einem separaten Fenster, und führen Sie den Konfigurationsprozess fort. Sie kehren später zurück, um die GCP-Konfiguration abzuschließen, nachdem die OCI-IPSec-Verbindung bereitgestellt wurde.
- Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter Kundenkonnektivität die Option Kunden-Premise-Equipment aus.
- Wählen Sie Customer-Premises Equipment erstellen aus.
-
Geben Sie folgende Werte ein:
- In Compartment erstellen: Wählen Sie das Compartment für das gewünschte VCN aus.
- Name: Ein aussagekräftiger Name für das CPE-Objekt. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
In diesem Beispiel wird "TO_GCP" als Name verwendet.
- IP-Adresse: Geben Sie die öffentliche IP-Adresse des GCP-VPN-Gateways ein.
- CPE-Lieferant: Wählen Sie Weitere aus.
- Wählen Sie CPE erstellen aus.
- Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter Kundenkonnektivität die Option Site-to-Site-VPN aus.
- Wählen Sie IPSec-Verbindung erstellen aus.
-
Geben Sie folgende Werte ein:
- Erstellen in Compartment: Übernehmen Sie die Vorgabe (das VCN-Compartment).
- Name: Geben Sie einen aussagekräftigen Namen für die IPSec-Verbindung ein. Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
- Compartment Customer Premises Equipment: Übernehmen Sie die Vorgabe (das Compartment des VCN).
- Customer-Premises Equipment: Wählen Sie das zuvor erstellte CPE-Objekt mit dem Namen TO_GCP aus.
- Compartment dynamisches Routinggateway: Übernehmen Sie die Vorgabe (das VCN-Compartment).
- Dynamisches Routinggateway: Wählen Sie das zuvor erstellte DRG aus.
- CIDR mit statischer Route: Geben Sie die Standardroute 0.0.0.0/0 ein. Da BGP für den aktiven Tunnel verwendet wird, ignoriert OCI diese Route. Dieser Eintrag ist für den zweiten Tunnel der IPsec-Verbindung erforderlich, der standardmäßig statisches Routing verwendet, in diesem Szenario jedoch nicht verwendet wird. Wenn Sie statisches Routing für diese Verbindung verwenden möchten, geben sie statische Routen ein, die die virtuellen GCP-Netzwerke darstellen. Für jede IPsec-Verbindung können bis zu 10 statische Routen konfiguriert werden.
-
Stellen Sie sicher, dass OCI die ausgewählte /30-Adresse für die internen Tunnel-IPs unterstützt. OCI lässt die Verwendung folgender IP-Bereiche für Innentunnel-IPs nicht zu:
- 169.254.10.0 - 169.254.19.255
- 169.254.100.0 - 169.254.109.255
- 169.254.192.0 - 169.254.201.255
-
Geben Sie die folgenden Details auf der Registerkarte Tunnel 1 ein (erforderlich):
- Name: Geben Sie einen beschreibenden Namen für den TUNNEL ein. (Beispiel: GCP-TUNNEL-1). Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
- Benutzerdefiniertes Shared Secret angeben: Der Pre-Shared Key, der von IPSec für diesen Tunnel verwendet wird. Aktivieren Sie dieses Kontrollkästchen, wenn Sie einen benutzerdefinierten Schlüssel verwenden möchten. Wenn keine Auswahl angegeben wird, wird eine für Sie generiert.
- IKE-Version: Wählen Sie IKEv2 aus.
- Routingtyp: Wählen Sie Dynamisches BGP-Routing aus. Wählen Sie Statisches Routing aus, wenn Sie statisches Routing verwenden möchten.
- BGP-ASN: Geben Sie die von GCP verwendete BGP-ASN ein. Die GCP-BGP-ASN wird in den nachfolgenden Schritten konfiguriert. In diesem Szenario wird die BGP-ASN 65000 für GCP verwendet.
- IPv4 Innere Tunnelschnittstelle - CPE: Geben Sie die von GCP verwendete BGP-IP-Adresse ein. Verwenden Sie die vollständige CIDR-Notation für diese IP-Adresse. Dies muss eine linklokale Adresse sein. In diesem Szenario wird das CIDR 169.254.20.0/30 für die BGP-IP-Adressen verwendet.
- IPv4 Innere Tunnelschnittstelle - Oracle: Geben Sie die von OCI verwendete BGP-IP-Adresse ein. Nehmen Sie diese IP-Adresse in die CIDR-Notation auf. Dies muss eine linklokale Adresse sein. In diesem Szenario wird das CIDR 169.254.20.0/30 für die BGP-IP-Adressen verwendet.
- Wählen Sie Erweiterte Optionen anzeigen für den Tunnel, und ändern sie die Lebensdauer der Phase 1 und Phase 2 so, dass sie mit der GCP-seite übereinstimmen, wie hier aufgeführt: https://cloud.google.com/network-connectivity/docs/vpn/concepts/supported-ike-ciphers.
Die Werte für den Lebensdauerbereich von Phase 1 und Phase 2 auf GCP-Seite sind davon abhängig, ob Sie IKEv1 oder IKEv2 verwenden. Es stehen folgende Optionen zur Verfügung:
- Gültigkeitsdauer des Phase-1-IKE-Sessionschlüssels in Sekunden = 36.000 Sekunden
- Gültigkeitsdauer des Phase-2-IPsec-Sessionschlüssels in Sekunden = 10.800 Sekunden
Behalten Sie für alle anderen Einstellungen die Standardwerte bei.
-
Wählen Sie IPSec-Verbindung erstellen aus.
Die IPSec-Verbindung wird erstellt und auf der Seite angezeigt. Die Verbindung weist kurzfristig den Status "Provisioning wird ausgeführt" auf.
- Kehren Sie zum GCP-VPN-Konfigurationsfenster zurück.
- Wählen Sie unter Peer VPN Gateway die Option On-prem or Non Google Cloud aus.
- Blenden Sie die Liste Peer VPN gateway name ein, und wählen Sie Create new VPN peer gateway aus.
- Die Seite Add a peer VPN gateway wird aufgerufen. Geben Sie folgende Details ein:
- Name: Geben Sie dem Peer-VPN-Gateway einen Namen.
- Schnittstellen: Wählen Sie eine Schnittstelle aus.
-
Interface 0 IP address: Geben Sie hier die Oracle-VPN-IP-Adresse ein. Diese IP-Adresse wurde unter OCI - Oracle-VPN-IP-Adresse und Shared Secret speichern gespeichert.
- Um fortzufahren, wählen Sie die Schaltfläche "Erstellen" unten. Sie kehren zum Workflow VPN erstellen zurück.
-
Erweitern Sie die Liste Cloud Router, und wählen Sie Create new router aus.
-
Die Seite Create a router wird aufgerufen. Geben Sie folgende Details ein:
- Name: Geben Sie dem Cloud-Router einen Namen.
-
Google-ASN: Geben Sie die Google-BGP-ASN ein, die auch bei der Konfiguration der IPSec-Verbindung in OCI verwendet wird.
Behalten Sie alle anderen Optionen als Standard bei.
- Wenn Sie die Konfiguration des Cloud-Routers abgeschlossen haben, wählen Sie die Schaltfläche Erstellen aus, um fortzufahren.
Sie kehren zum Workflow VPN erstellen zurück.
Schließen Sie die Konfiguration des VPN-Tunnels ab. Geben Sie folgende Details ein:
- Cloud Router: Wählen Sie den im vorherigen Schritt konfigurierten Cloud Router aus.
- Associated Cloud VPN gateway IP: Entspricht der in OCI konfigurierten IP-Adresse des CPE-Objekts.
- Associated peer VPN Gateway interface: Entspricht der Oracle-VPN-IP-Adresse des OCI-VPN-Tunnels. Siehe OCI - Oracle-VPN-IP-Adresse und Shared Secret speichern.
- Name: Geben Sie dem VPN-Tunnel einen Namen.
- IKE-Version: Wählen Sie IKEv2 (empfohlen). Wenn Sie IKEv1 verwenden, stellen Sie sicher, dass IKEv1 auch für den VPN-Tunnel unter der IPSec-Verbindung in OCI konfiguriert ist.
-
IKE-Pre-Shared Key: Gleichen Sie das Shared Secret des VPN-Tunnels in der IPSec-Verbindung in OCI ab. Siehe OCI - Oracle-VPN-IP-Adresse und Shared Secret speichern. Behalten Sie alle anderen Optionen als Standard bei.
Wenn Sie die Konfiguration des VPN-Tunnels abgeschlossen haben, wählen Sie Erstellen und fortfahren aus.
In diesem Schritt wird die BGP-Session für einen IPSec-Tunnel konfiguriert. Die BGP-Einstellungen müssen mit der OCI-Seite der Konfiguration übereinstimmen, die in OCI - Verbindung IPSec erstellen konfiguriert ist.
- Wählen Sie unter "BGP-Session" für den VPN-Tunnel die Schaltfläche Konfigurieren.
- Geben Sie auf der Seite BGP-Session erstellen für den Tunnel die folgenden Details ein:
- Name: Geben Sie der BGP-Session einen Namen.
- Peer ASN: Geben Sie die BGP-ASN ein. Die BGP-ASN von Oracle für die kommerzielle Cloud ist 31898, mit Ausnahme der Region Serbia Central (Jovanovac) mit 14544.
- BGP-IP des Cloud-Routers: Stimmen Sie mit der IP-Adresse überein, die für IPV4 Inside Tunnel Interface - CPE von Tunnel 1 in OCI - Create IPSec Connection konfiguriert ist. Verwenden Sie in diesem Feld keine CIDR-Notation.
- BGP-Peer-IP: Entspricht der IP-Adresse, die für IPV4 Inside Tunnel Interface - Oracle von Tunnel 1 in OCI - Create IPSec Connection konfiguriert wurde. Verwenden Sie in diesem Feld keine CIDR-Notation.
-
BGP peer: Wählen Sie Aktiviert aus.
Behalten Sie alle anderen Optionen als Standard bei.
- Wenn Sie die Konfiguration der BGP-Session abgeschlossen haben, wählen Sie Speichern und fortfahren aus, um zur Seite BGP-Sessions konfigurieren zurückzukehren.
-
Wählen Sie die Schaltfläche BGP-Konfiguration speichern, um fortzufahren.
- Die Seite Zusammenfassung und Erinnerung wird aufgerufen.
VPN tunnel status und BGP status werden als "established" angezeigt.
- Wählen Sie unten OK, um die Konfiguration abzuschließen.
Navigieren Sie zur IPSec-Verbindung in OCI und zu den Site-to-Site-VPN-Verbindungen in GCP, um den Status des Tunnels zu prüfen.
Der OCI-Tunnel unter der IPSec-Verbindung zeigt den Status Hochgefahren für IPSec an, um einen Betriebstunnel zu bestätigen.
Im BGP-Status IPV4 wird ebenfalls Up angezeigt, was eine eingerichtete BGP-Session bestätigt.
Navigieren Sie in der GCP-onsole zu den Cloud-VPN-Tunneln. Sowohl für einen VPN-Tunnelstatus als auch für einen BGP-Sessionstatus muss Established angegeben werden.
Ein Monitoring-Service ist auch in OCI verfügbar, um Cloud-Ressourcen aktiv und passiv Zu überwachen. Informationen zum Monitoring für OCI Site-to-Site-VPN finden Sie unter Site-to-Site-VPN-Metriken.
Bei Problemen finden Sie weitere Informationen unter Site-to-Site-VPN - Fehlerbehebung.