Hinweis:

Sicherer Datenverkehr zwischen Oracle Cloud Infrastructure und Microsoft Azure mit Network Virtual Appliance

Einführung

Um ein integriertes Multi-Cloud-Erlebnis zu schaffen, bieten Microsoft und Oracle eine direkte Verbindung zwischen Microsoft Azure und Oracle Cloud Infrastructure (OCI) über Microsoft Azure ExpressRoute und OCI FastConnect. Die Microsoft Azure ExpressRoute- und OCI FastConnect-Verbindung bietet niedrige Latenz, hohen Durchsatz und private direkte Konnektivität zwischen den beiden Clouds.

Sie können die Verbindung zwischen Microsoft Azure und Oracle Cloud Infrastructure mit den Anweisungen in diesem Schritt-für-Schritt-Anleitung einrichten. Nachdem das Interconnect hochgefahren ist, müssen Sie virtuelle Netzwerke mit ExpressRoute verbinden.

In diesem Tutorial wird erläutert, wie Sie die Interconnect-Konnektivität mit VNET Gateway erweitern und Microsoft Azure Firewall und OCI Network Firewall bereitstellen können, um Ihren Traffic zu sichern. Sie stellen Firewalls in einer Hub- und Spoke-Architektur für Ihren Anwendungsfall bereit. Dieser Anwendungsfall sollte für alle unterstützten Partner von virtuellen Netzwerk-Appliances in den jeweiligen CSPs gelten.

In diesem Dokument erhalten Sie weitere Informationen zu den Empfehlungen für virtuelle Netzwerk-Appliance-Architekturen.

Zielsetzung

Sichern Sie Ihren Datenverkehr mit einer Netzwerkfirewall-Appliance zwischen Oracle Cloud Infrastructure und Microsoft Azure-Umgebung über OCI-Microsoft Azure Interconnect Network-Konnektivität. Wir haben die Bereitstellung der Umgebung mit Microsoft Azure Firewall in Microsoft Azure und OCI Network Firewall in OCI abgedeckt. Der letzte Schritt besteht darin, die Netzwerkkonnektivität zwischen OCI/Microsoft Azure-Regionen zu validieren und sicherzustellen, dass der Traffic über Firewall basierend auf Routingfunktionen über Firewalls über OCI/Microsoft Azure Interconnect validiert wird.

Voraussetzungen

Zielgruppe

Dieses Tutorial richtet sich an Cloud Service-Provider-Experten und Multi-Cloud-Administratoren.

Architektur

Im Folgenden finden Sie die hohe Architektur der Lösung.

OCI Microsoft Azure Interconnect mit nativer Firewalls-Architektur

Anhand dieser Architektur können Sie eine vernetzte Region einrichten und Ihren Traffic mit Network Virtual Appliance in einer Hub- und Spoke-Architektur sichern.

Aufgabe 1: Virtuelles Netzwerk und Subnetz auf Microsoft Azure erstellen

  1. Melden Sie sich beim Microsoft Azure Portal an.

  2. Wählen Sie oben links auf dem Bildschirm Create a resource, Networking, Virtual network aus, oder suchen Sie im Suchfeld nach Virtual network.

  3. Geben Sie unter Virtuelles Netzwerk erstellen diese Informationen in die Registerkarte Grundlagen ein, oder wählen Sie sie aus:

    Projektdetails

    • Abonnement: Wählen Sie Ihr Azure-Abonnement aus.

    • Ressourcengruppe: Wählen Sie Neu erstellen, geben Sie resource-group-name ein, wählen Sie "OK" aus, oder wählen Sie einen vorhandenen resource-group-name basierend auf Parametern aus.

    Instanzdetails

    • Name: Geben Sie virtual-network-name ein.

    • Region: Wählen Sie region-name.

  4. Wählen Sie die Registerkarte IP-Adressen, oder klicken Sie am Ende der Seite auf die Schaltfläche Weiter: IP-Adressen.

  5. Geben Sie auf der Registerkarte IP-Adressen folgende Informationen ein:

    • IPv4-Adressraum: Geben Sie ipv4-address-range ein. Beispiel: Hub VNET: 10.40.0.0/16 für US East Region, Spoke VNET: 10.30.0.0/16 für US East Region.

  6. Wählen Sie unter Subnetzname das Wort default.

  7. Geben Sie unter Subnetz bearbeiten die folgenden Informationen ein:

    • Subnetzname: Geben Sie Subnetzname ein.

    • Subnetzadressbereich: Geben Sie subnet-address-range ein. Beispiel: Compute-Subnetz: 10.40.3.0/24 für Hub VNET, Compute-Subnetz: 10.30.1.0/24 für Spoke VNET.

  8. Klicken Sie auf Speichern.

  9. Wählen Sie die Registerkarte Prüfen und erstellen aus, oder klicken Sie auf die Schaltfläche Prüfen und erstellen.

  10. Wählen Sie Erstellen.

Wiederholen Sie Schritte 1-9 für Hub und Spoke VNets, und fahren Sie mit dem nächsten Abschnitt fort, um Microsoft Azure Firewall Subnet zu erstellen.

Aufgabe 2: Microsoft Azure Firewall-Subnetz erstellen

Befolgen Sie die Schritt-für-Schritt-Anleitung, um ein Firewall-Subnetz mit den folgenden Mindestparametern zu erstellen.

Fahren Sie mit dem nächsten Abschnitt fort, um das Gateway-Subnetz und das virtuelle Netzwerkgateway zu erstellen.

Aufgabe 3: Gateway-Subnetz und virtuelles Netzwerkgateway auf Microsoft Azure erstellen

Sie können die Schritt-für-Schritt-Anleitung befolgen, um ein Gateway-Subnetz und ein virtuelles Netzwerkgateway mit den in den folgenden Tabellen beschriebenen Mindestparametern zu erstellen.

Gateway-Subnetzparameter

Parameter Wert
Gateway-Subnetzname GatwaySubnet-Name automatisch ausgefüllt.
Subnetz-Adressbereich Geben Sie den Adressbereich des Gateway-Subnetzes ein. Beispiel: 10.40.0.0/24 in Hub-VNET

VNET-Gatewayparameter:

Festlegen Wert
Projektdetails  
Abonnement Wählen Sie Ihr Microsoft Azure-Abonnement aus
Ressourcengruppe Dies wird automatisch in Ihrer VNET-Auswahl ausgewählt.
Gatewaydetails  
Name Gatewayname eingeben
Region Wählen Sie (US) Ost-US oder Region, in der Sie VNET erstellt haben
Gatewaytyp Wählen Sie ExpressRoute aus.
SKU Wählen Sie die Gateway-SKU aus der Dropdown-Liste aus
Virtual Network Wählen Sie VNET, das zuvor in Ihrer Region erstellt wurde.
Öffentliche IP-Adresse  
Öffentliche IP-Adresse Klicken Sie auf "Neues Element erstellen".
Name der öffentlichen IP-Adresse Geben Sie einen Namen für die öffentliche IP-Adresse ein.

Nachdem Sie die erforderlichen Ressourcen in der Microsoft Azure-Region erstellt haben, fahren Sie mit dem nächsten Abschnitt fort, um Microsoft Azure Firewall bereitzustellen.

Aufgabe 4: Microsoft Azure-Firewall im virtuellen Hubnetzwerk auf Microsoft Azure bereitstellen

Sie können die schrittweise Anleitung befolgen, um eine Microsoft Azure-Firewall in Ihrem Hub VNET mit den in der folgenden Tabelle beschriebenen Mindestparametern bereitzustellen.

Parameter Wert
Abonnement Wählen Sie Ihr Abonnement aus.
Ressourcengruppe Wählen Sie Ihre Ressourcengruppe. Wählen Sie die Ressourcengruppe aus, die Sie während der Voraussetzungsschritte erstellt haben müssen.
Name firewall-Name eingeben
Firewall-SKU Firewall-SKU aus angegebener Option auswählen
Firewall-Policy Klicken Sie auf "Neu hinzufügen", und erstellen Sie eine neue Firewallrichtlinie.
wahlweise ein virtuelles Netzwerk Wählen Sie das zuvor erstellte virtuelle Netzwerk aus
   
public-ip-address Neue öffentliche IP auswählen oder erstellen

Fahren Sie mit dem nächsten Abschnitt fort, um den ExpressRoute-Circuit mit dem virtuellen Netzwerkgateway zu verbinden.

Aufgabe 5: ExpressRoute-Circuit über eine Verbindung auf Microsoft Azure mit dem virtuellen Netzwerkgateway verbinden

Sie können das schrittweise Handbuch befolgen, um eine ExpressRoute-Verbindung mit den in der folgenden Tabelle beschriebenen Mindestparametern zu erstellen.

Parameter Wert
Abonnement Wählen Sie Ihr Abonnement aus.
Ressourcengruppe Wählen Sie Ihre Ressourcengruppe. Wählen Sie die Ressourcengruppe aus, die Sie während der Voraussetzungsschritte erstellt haben müssen.
Verbindungstyp Wählen Sie ExpressRoute aus.
Name connection-name eingeben
Region Wählen Sie (US) Osten USA oder Region, in der Sie VNET Gateway erstellt haben.
virtual-network-gateway Wählen Sie das zuvor erstellte VNET-Gateway aus.
Expressroute-Circuit Wählen Sie ExpressRoute Circuit aus, der in den Voraussetzungsschritten erstellt wurde.

Nachdem Sie die erforderlichen Verbindungen in beiden Microsoft Azure-Regionen erstellt haben, fahren Sie mit dem nächsten Abschnitt fort, um benutzerdefinierte Routentabellen für Subnetze in VNets zu erstellen.

Aufgabe 6: Benutzerdefinierte Routen auf Microsoft Azure erstellen

Sie können das Schritt-für-Schritt-Anleitung befolgen, um benutzerdefinierte Routen zur verknüpften Tabelle jedes Subnetzes mit den in den folgenden Tabellen beschriebenen Mindestparametern zu erstellen.

Routentabelleneinträge des Gateway-Subnetzes konfigurieren

Parameter Wert
Route-Name Routennamen eingeben
Adresspräfixziel Geben Sie Zielpräfixe ein. Beispiel: Hub-Compute-Subnetz: 10.40.3.0/24, Spoke-Compute-Subnetz: 10.30.1.0/24
Next-Hop-Typ Wählen Sie "Virtuelle Appliance" aus.
next-hop-Adresse Geben Sie die nächste Hop-Adresse als Beispiel für die private IP der Firewall ein: 10.40.1.4

Stellen Sie sicher, dass Sie erforderliche Einträge haben, und verknüpfen Sie diese Routentabelle mit dem Gateway-Subnetz von Hub VNet.

Routentabelleneinträge von Compute-Subnetzen in Hub VNet konfigurieren

Parameter Wert
Route-Name Routennamen eingeben
Adresspräfixziel Geben Sie Zielpräfixe ein. Beispiel: OCI-Hub-Compute-Subnetz: 10.10.0.0/24, OCI-Spoke-Compute-Subnetz: 10.20.0.0/24, Microsoft Azure-Spoke-Subnetz: 10.30.1.0/24, Microsoft Azure Hub VNET: 10.40.0.0/16
Next-Hop-Typ Wählen Sie "Virtuelle Appliance" aus.
next-hop-Adresse Geben Sie die nächste Hop-Adresse als Beispiel für die private IP der Firewall ein: 10.40.1.4

Stellen Sie sicher, dass Sie erforderliche Einträge haben, und verknüpfen Sie diese Routentabelle mit dem Compute-Subnetz von Hub VNet.

Compute-Subnetze in Spoke-VNet-Routentabelleneinträgen konfigurieren

Parameter Wert
Route-Name Routennamen eingeben
Adresspräfixziel Geben Sie Zielpräfixe ein. Beispiel: OCI-Hub-Compute-Subnetz: 10.10.0.0/24, OCI-Spoke-Compute-Subnetz: 10.20.0.0/24, Microsoft Azure-Hub-Compute-Subnetz: 10.40.3.0/24
Next-Hop-Typ Wählen Sie "Virtuelle Appliance" aus.
next-hop-Adresse Geben Sie die nächste Hop-Adresse als Beispiel für die private IP der Firewall ein: 10.40.1.4

Stellen Sie sicher, dass Sie erforderliche Einträge haben, und verknüpfen Sie diese Routentabelle mit dem Compute-Subnetz von Spoke VNet.

Nachdem Sie die erforderlichen Routen erstellt haben, fahren Sie mit dem nächsten Abschnitt fort, um virtuelle Maschinen zu erstellen, um den Traffic zwischen Microsoft Azure und OCI zu validieren.

Aufgabe 7: Benutzerdefinierte Routen auf Microsoft Azure erstellen

In diesem Abschnitt erstellen Sie virtuelle Maschinen, um die Konnektivität von Microsoft Azure zu Oracle Cloud Infrastructure zu validieren.

  1. Wählen Sie oben links auf dem Bildschirm im Microsoft Azure-Portal die Option Ressource erstellen, Compute, Virtuelle Maschine aus.

  2. Geben Sie unter Virtuelle Maschine erstellen - Grundlagen diese Informationen ein, oder wählen Sie sie aus.

    Einstellung Wert
    Projektdetails  
    Abonnement Wählen Sie Ihr Abonnement aus.
    Ressourcengruppe Wählen Sie Ihre Ressourcengruppe. Wählen Sie die Ressourcengruppe aus, die Sie während der Voraussetzungsschritte erstellt haben müssen.
    Instanzdetails  
    VM-Name Geben Sie vm-name ein.
    Region Wählen Sie (US) East US or Region, in dem Sie das Deployment durchführen.
    Verfügbarkeitsoptionen Lassen Sie den Standardwert Keine Infrastrukturredundanz erforderlich.
    Bild Wählen Sie Ubuntu Server 18.04 LTS - Gen1.
    Größe Wählen Sie Standard_B2s aus.
    Administratoraccount  
    Authentifizierungstyp Wählen Sie Kennwort. Sie können auch die SSH-basierte Authentifizierung auswählen und den erforderlichen Wert nach Bedarf aktualisieren.
    Benutzername Geben Sie einen Benutzernamen Ihrer Wahl ein.
    Kennwort Geben Sie ein Kennwort Ihrer Wahl ein. Das Passwort muss mindestens 12 Zeichen lang sein und den definierten Komplexitätsanforderungen entsprechen.
    Kennwort bestätigen Geben Sie das Kennwort erneut ein.
    Regeln für eingehenden Port  
    Öffentliche eingehende Ports Wählen Sie Kein Wert aus.

  3. Wählen Sie Weiter: Datenträger.

  4. Übernehmen Sie unter Virtuelle Maschine erstellen - Datenträger die Standardwerte, und wählen Sie Weiter: Networking aus.

  5. Wählen Sie unter Virtuelle Maschine erstellen - Networking diese Informationen aus.

    Einstellung Wert
    Virtual Network Wählen Sie virtual-network.
    Subnetz Wählen Sie compute-subnet aus. Beispiel: 10.40.3.0/24 in Hub VNet, 10.30.1/24 in Spoke VNet
    Öffentliche IP Übernehmen Sie den Standardwert (neu) my-vm-ip.
    Öffentliche eingehende Ports Wählen Sie Ausgewählte Ports zulassen aus.
    Eingehende Ports auswählen Wählen Sie SSH.

  6. Wählen Sie Prüfen und erstellen. Sie gelangen zur Seite Prüfen + Erstellen, auf der Microsoft Azure Ihre Konfiguration validiert.

  7. Wenn die übergebene Validierungsmeldung angezeigt wird, wählen Sie Erstellen.

Wiederholen Sie Schritte 1-7 für Spoke- und Hub-VMs VNet, und fahren Sie mit dem nächsten Abschnitt fort, um die erforderlichen Ressourcen in Oracle Cloud Infrastructure zu erstellen.

Aufgabe 8: Ressourcen auf Oracle Cloud Infrastructure erstellen

In diesem Abschnitt erstellen Sie die erforderlichen Ressourcen zur Unterstützung der Validierung von der OCI-Konsole in miteinander verbundenen Regionen. Erstellen Sie in der OCI-Konsole die folgenden Ressourcen in jeder Region.

Aufgabe 9: Traffic in OCI/Microsoft Azure Interconnect validieren

In diesem Abschnitt stellen Sie eine Verbindung zu Linux-VMs beider Cloud-Provider her und führen einen Ping-Test aus, um die Konnektivität zu prüfen.

  1. Stellen Sie mit Ihrem Terminal eine Verbindung zu Linux-VMs auf beiden Cloud-Providern her.

  2. Initiieren Sie ein ICMP RTT von Microsoft Azure-VMs zu OCI-VMs und umgekehrt.

ICMP RTT zwischen Microsoft Azure und OCI spiegelt die Konnektivität zwischen OCI- und Microsoft Azure-Regionen wider, die Interconnect und Traffic verwenden, der native Firewallservices gemäß unserer Netzwerktopologie durchläuft.

Hinweis: Die obige Tabelle gibt ICMP RTT als Referenzpunkt wieder, der je nach Region und Anwendungsfallarchitektur variieren kann. Es wird empfohlen, ein POC durchzuführen.

Weitere Informationen zur Microsoft Azure-Latenz zwischen Regionen finden Sie unter: Microsoft Learn: Microsoft Azure Network Roundtrip-Latenzstatistiken

Weitere Informationen zum Testen der Latenz von virtuellen Maschinen finden Sie unter Microsoft Learn: Microsoft Azure-Netzwerklatenz in einem virtuellen Microsoft Azure-Netzwerk testen

Aufgabe 10: Ressourcen bereinigen

Wenn Sie mit den Ressourcen fertig sind, löschen Sie die Ressourcengruppe und die zugehörigen Ressourcen.

  1. Löschen Sie den Interconnect-Link, falls noch nicht geschehen. Weitere Einzelheiten finden Sie in der Dokumentation Schritt-für-Schritt.

  2. Geben Sie your-resource-group-name in das Suchfeld oben im Portal ein, und wählen Sie your-resource-group-name aus den Suchergebnissen.

  3. Wählen Sie Ressourcengruppe löschen.

  4. Geben Sie your-resource-group-name für TYPE THE RESOURCE GROUP NAME ein, und wählen Sie Löschen aus.

  5. Löschen Sie auch die in Oracle Cloud Infrastructure bereitgestellten Ressourcen.

Danksagungen

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem die Website education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie im Oracle Help Center.