Oracle Cloud Infrastructure-Dokumentation

VPN-Verbindung

Verwenden Sie Site-to-Site-VPN, FastConnect oder OpenVPN Access Server, um Ihr lokales Netzwerk mit dem Oracle Cloud Infrastructure-VCN zu verbinden.

Verwenden Sie eine der folgenden VPN-Verbindungsmethoden, um eine Verbindung zum virtuellen Cloud-Netzwerk (VCN) herzustellen:

  • Site-to-Site-VPN: Stellt ein Site-to-Site-VPN IPSec zwischen Ihrem On-Premise-Netzwerk und Ihrem VCN über eine sichere, verschlüsselte Verbindung bereit. Siehe Site-to-Site-VPN.
  • FastConnect: Stellt eine dedizierte private Verbindung zwischen Ihrem Data Center und Oracle Cloud Infrastructure bereit. Es bietet Optionen mit höherer Bandbreite sowie ein zuverlässigeres und konsistenteres Netzwerk als bei internetbasierten Verbindungen. Siehe FastConnect - Überblick.
  • OpenVPN Access Server: Verbindet Ihre Clientgeräte direkt mit Oracle-Cloud-Ressourcen, wie MySQL-DB-Systemen. Sie können OpenVPN Access Server nicht verwenden, um ganze Sites oder Netzwerke mit einem Oracle-VCN zu verbinden. In diesem Szenario wird die Verwendung von Site-to-Site-VPN oder FastConnect empfohlen. OpenVPN Access Server ist im Oracle Cloud Infrastructure Marketplace verfügbar. Sie können es kostenlos installieren und für zwei gleichzeitige VPN-Verbindungen verwenden. Siehe OpenVPN Access Server.

OpenVPN Access Server

Mit OpenVPN Access Server können Sie Ihre Clientgeräte direkt mit Oracle Cloud-Ressourcen (z.B. MySQL-DB-Systeme) verbinden.

Hinweis

Verwenden Sie Site-to-Site-VPN oder FastConnect, um ganze Sites oder Netzwerke mit einem Oracle-VCN zu verbinden.
  1. Erstellen Sie einen OpenVPN-Stack. Der OpenVPN-Stack besteht aus einer Compute-Instanz, auf der der Access-Server ausgeführt wird. Der Stack ist an dasselbe VCN angehängt, an das das DB-System angehängt ist. Sie müssen das Netzwerk konfigurieren, um externe Verbindungen zum Access-Server zu ermöglichen. Siehe OpenVPN-Stack erstellen.
  2. Konfigurieren Sie OpenVPN Access Server, um Traffic an das DB-System weiterzuleiten. Dazu müssen Sie statische IP-Adressen konfigurieren, Routing anstelle von NAT, sowie einen VPN-Benutzer erstellen und konfigurieren. Siehe OpenVPN Access Server konfigurieren.
  3. Installieren und konfigurieren Sie einen VPN-Client, der mit dem OpenVPN Access Server verwendet und mit dem DB-System verbunden werden soll. Weitere Informationen finden Sie in der Dokumentation Ihres VPN-Clients.
  4. Konfigurieren Sie das VCN so, dass eine Kommunikation zwischen dem OpenVPN-Zugriffsserver und dem MySQL-DB-System zulässig ist, das an das private Subnetz angehängt ist. Siehe VCN für OpenVPN Access Server-Verbindungen konfigurieren.
Hinweis

Es wird empfohlen, die Verbindung OpenVPN mit einem Shared Secret Key zu sichern. Siehe OpenVPN-Sicherheit erhöhen.

OpenVPN-Stack erstellen

Der OpenVPN-Stack besteht aus einer Compute-Instanz, auf der der Access-Server ausgeführt wird. Der Stack ist an dasselbe VCN angehängt, an das Ihr DB-System angehängt ist. Sie müssen das Netzwerk konfigurieren, um externe Verbindungen zum Access-Server zu ermöglichen.

Konsole verwenden

Mit der Konsole können Sie einen OpenVPN-Stack erstellen.

Diese Aufgabe erfordert Folgendes:

Gehen Sie wie folgt vor, um einen OpenVPN-Stack zu erstellen:

  1. Öffnen Sie das Navigationsmenü, und wählen Sie Marketplace aus. Wählen Sie dann Alle Anwendungen aus.
  2. Suchen Sie im Suchfeld nach OpenVPN Access Server, und klicken Sie auf OpenVPN-Zugriffsserver.
  3. Wählen Sie das Compartment aus, in dem Sie das VCN erstellt haben, und aktivieren Sie das Kontrollkästchen mit den Vertragsbedingungen.
  4. Klicken Sie auf Stack starten.
  5. Geben Sie im Bereich Stackinformationen der Seite Stack erstellen die folgenden Informationen an:

    Stackinformationen:

    • Name: (Optional) Geben Sie einen Namen für den Stack an.
    • Beschreibung: (Optional) Geben Sie eine Beschreibung des Stacks an.
    • Erstellen in Compartment: Sie können das Feld nicht bearbeiten.
    • Terraform-Version: Sie können das Feld nicht bearbeiten.
  6. Klicken Sie auf Weiter.
  7. Geben Sie im Bereich Variablen konfigurieren die folgenden Informationen an:

    Compute-Konfiguration:

    • OpenVPN-Zugriffsservername: Geben Sie einen eindeutigen Namen für den Access-Server an.
    • Compute-Ausprägung: Wählen Sie eine Ausprägung der Compute-Instanz aus.

    Anwendungskonfiguration:

    • Administratorbenutzername: Geben Sie einen Benutzernamen für den Administrator an, um sich beim Administrationsportal anzumelden. Der Benutzername muss mit einem Kleinbuchstaben beginnen und darf nur alphanumerische Zeichen enthalten.
      Hinweis

      Verwenden Sie openvpn nicht für den Administratorbenutzernamen. Es handelt sich dabei um einen reservierten Benutzernamen.
    • Administratorpasswort: Geben Sie das Administratorpasswort an. Das Kennwort muss mindestens acht alphanumerische Zeichen lang sein und darf keine Sonderzeichen enthalten.
    • Aktivierungsschlüssel: (Optional) Geben Sie den Aktivierungsschlüssel an, den Sie von OpenVPN erwerben, wenn Sie mehr als zwei VPN-Verbindungen mit dieser Access-Server-Compute-Instanz verwenden möchten.
    Netzwerkkonfiguration:
    • Netzwerkstrategie: Wählen Sie Vorhandenes VCN verwenden aus.
    • Vorhandenes Netzwerk: Wählen Sie das VCN aus, an das Ihr DB-System angehängt ist.
    • Vorhandenes Subnetz: Wählen Sie das öffentliche Subnetz Ihres VCN aus.
    Zusätzliche Konfiguration:
    • Compartment: Wählen Sie das Compartment aus, in dem Sie alle Ressourcen erstellen möchten. Standardmäßig ist hier das Compartment ausgewählt, das Sie auf der Seite Marketplace angeben.
    • SSH-Public-Key-Zeichenfolge: (Optional) Geben Sie den SSH-Public Key für den Zugriff auf die Compute-Instanz mit SSH an. Sie müssen die Zeichenfolge nicht angeben, wenn Sie die Administrationsseite vom Access-Server verwenden.
  8. Klicken Sie auf Weiter, um die Seite Prüfen zu öffnen.
  9. Bestätigen Sie die Einstellungen, und klicken Sie auf Erstellen.
Die Seite Jobdetails des Ressourcenmanagers wird angezeigt. Im Abschnitt Logs werden die Ergebnisse des erstellten Stacks und die Anmeldedetails für den Access-Server im folgenden Format aufgeführt:
Outputs:admin_password = ********
admin_username = username
instance_public_url = https://193.122.164.108/admin
Hier ist instance_public_url die öffentliche IP der Compute-Instanz, die den Access-Server hostet. Notieren Sie sich diese Details. Sie sind für nachfolgende Aufgaben erforderlich.

OpenVPN Access Server konfigurieren

Der OpenVPN Access Server leitet Traffic an das DB-System weiter. Dazu müssen Sie statische IP-Adressen konfigurieren, Routing anstelle von NAT, sowie einen VPN-Benutzer erstellen und konfigurieren.

Konsole verwenden

Mit der Konsole können Sie OpenVPN Access Server konfigurieren, um Traffic an das DB-System weiterzuleiten.

Diese Aufgabe erfordert Folgendes:
Gehen Sie wie folgt vor, um OpenVPN Access Server zu konfigurieren:
  1. Laden Sie das OpenVPN Access Server-Administrationstool mit der IP-Adresse und den Zugangsdaten, die am Ende der Erstellung des OpenVPN-Stacks im Feld instance_public_url angezeigt wurden:
    https://<IPAddress>/admin
  2. Öffnen Sie das Navigationsmenü, und klicken Sie auf Konfiguration, und wählen Sie dann VPN-Einstellungen aus.
  3. Geben Sie im Feld Statische IP-Adresse Netzwerk eine statische IP-Adresse an. Eine statische IP wird bevorzugt, weil Sie auch Ingress-Regeln für diese IP-Adresse im Subnetz Ihres VCN konfigurieren müssen. Wenn Sie eine dynamische Adresse verwendet haben, müssen Sie die Ingress-Regeln jedes Mal aktualisieren, wenn die Adresse neu zugewiesen wurde.
    Hinweis

    Das Feld "Dynamische IP-Adresse" ist obligatorisch. Ändern Sie den Standardwert nicht. Er sieht etwa so aus: 172.27.233.0/24. Verwenden Sie bei der Angabe des Wertes für das statische Netzwerk einen ähnlichen Wert wie 172.27.232.0/24.
  4. Wählen Sie im Abschnitt Routing die Option Ja, mit Routing, und fügen Sie die CIDR-Blöcke der privaten und öffentlichen Subnetze hinzu, auf die die VPN-Clients zugreifen müssen. Dies sind die CIDR-Blöcke der Subnetze, die an Ihr VCN angehängt sind. Beispiel: 10.0.0.0/24 und 10.0.1.0/24.
  5. Klicken Sie auf Einstellungen speichern.
  6. Öffnen Sie das Navigationsmenü, und wählen Sie Benutzerverwaltung, Benutzerberechtigungen aus.
  7. Geben Sie im Dialogfeld Benutzerberechtigungen einen Benutzernamen im Feld Neuer Benutzername ein, und klicken Sie in der angrenzenden Spalte auf das Symbol Weitere Einstellungen.
  8. Stellen Sie folgende Informationen bereit:
    • Kennwort: Geben Sie ein Kennwort für den neuen Benutzer an.
    • IP-Adressierung auswählen: Wählen Sie Statische verwenden aus.
    • Statische IP-Adresse VPN: Geben Sie die IP-Adresse an, die dem neuen Benutzer zugewiesen werden soll. Diese IP-Adresse muss sich in dem Bereich befinden, der im Feld Netzwerk statische IP-Adresse der VPN-Konfiguration definiert ist.
    • Adressierungsmethode auswählen: Wählen Sie Routing verwenden aus.
    • Zugriff auf diese Netzwerke zulassen: Geben Sie die IP-Adressen der öffentlichen und privaten Subnetze ein, wie im Abschnitt Routing der VPN-Konfiguration beschrieben.
  9. Speichern Sie den Benutzer. Melden Sie sich ab, und melden Sie sich mit den Zugangsdaten des neuen Benutzers an. Laden Sie das Profil client.ovpn mit dem Link Sich selbst (benutzergesperrtes Profil) unten auf der Seite herunter.
  10. Importieren Sie das Profil in den OpenVPN-Client. Siehe OpenVPN-Dokumentation.
  11. Konfigurieren Sie Ihr Netzwerk so, dass Verbindungen von OpenVPN Access Server akzeptiert werden.

VCN für OpenVPN Access Server-Verbindungen konfigurieren

Konfigurieren Sie ein virtuelles Cloud-Netzwerk, um die Kommunikation zwischen OpenVPN Access Server und dem MySQL-DB-System zu aktivieren, das an das private Subnetz angehängt ist.

Konsole verwenden

Mit der Konsole können Sie ein virtuelles Cloud-Netzwerk konfigurieren, um die Kommunikation zwischen OpenVPN Access Server und dem MySQL-DB-System zu ermöglichen, das an das private Subnetz angehängt ist.

Diese Aufgabe erfordert Folgendes:
Gehen Sie wie folgt vor, um ein virtuelles Cloud-Netzwerk (VCN) zu konfigurieren:
  1. Öffnen Sie das Navigationsmenü, und wählen Sie Networking aus. Wählen Sie dann Virtuelle Cloud-Netzwerke aus.
  2. Klicken Sie auf den Namen des VCN.
  3. Klicken Sie auf der Seite Details virtuelles Cloud-Netzwerk unter Subnetze auf den Namen Ihres privaten Subnetzes.
  4. Klicken Sie auf der Seite Subnetzdetails auf die Routentabelle.
  5. Klicken Sie auf Routingregeln hinzufügen, und geben Sie die folgenden Informationen an:
    • Zieltyp: Wählen Sie Private IP aus.
    • Zieltyp: Wählen Sie CIDR-Block aus.
    • Ziel-CIDR-Block: Geben Sie den CIDR-Block an, den Sie im Feld Statische IP-Adresse - Netzwerk der VPN-Einstellungen von OpenVPN Access Server definiert haben.
    • Zielauswahl: Geben Sie die private IP-Adresse der Compute-Instanz von OpenVPN Access Server an.
  6. Klicken Sie auf Routingregeln hinzufügen.
  7. Navigieren Sie zur Seite Details der Sicherheitsliste Ihres privaten Subnetzes.
  8. Fügen Sie Ingress-Regeln für die statischen IP-Adressen des VPN hinzu. Die Standard-MySQL-Ports sind 3306 und 33060.