Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. In der Übung ersetzen Sie diese Werte durch die Werte, die für Ihre Cloud-Umgebung spezifisch sind.

RPC-Verbindung zwischen zwei Mandanten und ihren dynamischen Routinggateways einrichten

Einführung

In einer mehrmandantenfähigen Oracle Cloud Infrastructure-(OCI-)Umgebung ist es für hybride und verteilte Netzwerkarchitekturen von entscheidender Bedeutung, eine sichere und effiziente Kommunikation zwischen verschiedenen Mandanten zu ermöglichen. Eine Möglichkeit, dies zu erreichen, besteht darin, eine Remote-Peering-Verbindung (RPC) zwischen zwei Mandanten und den entsprechenden dynamischen Routinggateways (DRGs) einzurichten.

Ziele

• Konfigurieren Sie eine RPC zwischen zwei DRGs in separaten OCI-Mandanten, um eine nahtlose Netzwerkkonnektivität sicherzustellen. Am Ende haben Sie ein funktionierendes RPC-Setup, das einen sicheren Trafficfluss zwischen den Mandanten ermöglicht und Ihnen hilft, robuste Multi-Tenant-Architekturen in OCI zu erstellen.

Voraussetzungen

• Zugriff auf zwei OCI-Mandanten: Sie benötigen Administrator- oder entsprechende Berechtigungen in beiden OCI-Mandanten, um Netzwerkkomponenten zu konfigurieren.

• DRGs in beiden Mandanten: Für jeden Mandanten muss bereits ein DRG erstellt und an ein virtuelles Cloud-Netzwerk (VCN) angehängt sein.

• Regionskompatibilität: Die DRGs müssen sich in denselben oder anderen kommerziellen OCI-Regionen befinden, die RPC unterstützen. Regionsübergreifendes RPC wird unterstützt, aber beide Regionen müssen zugänglich sein. Der Anforderer muss den Teilsektor "Empfänger" abonniert haben.

• Öffentliche oder private Konnektivität: Entscheiden Sie, ob Sie die Kommunikation über private IPs zulassen, und stellen Sie sicher, dass geeignete Subnetz-CIDR-Blöcke geplant sind, um Konflikte zu vermeiden.

• VCNs und Routingkonfiguration: Die VCNs in beiden Mandanten müssen ordnungsgemäß konfigurierte Routentabellen und Sicherheitslisten aufweisen, um Traffic über die RPC zuzulassen.

• Policys für mandantenübergreifendes Peering: Stellen Sie sicher, dass Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Policys vorhanden sind, um DRG-Peering über verschiedene OCI-Mandanten hinweg zu ermöglichen. Möglicherweise müssen Sie Policys für beide Mandanten definieren, um Vertrauen aufzubauen.

Aufgabe 1: Anforderer und Akzeptantenmandanten bestimmen

Bei der Einrichtung cloudübergreifender Kommunikation oder Ressourcenfreigabe in Oracle Cloud Infrastructure (OCI) ist es wichtig zu definieren, welcher Mandant der Anforderer ist und welcher Akzeptor in Bezug auf OCI-IAM-Policys ist. Diese Rollen werden von OCI-IAM-Policys gesteuert, die Berechtigungen für Benutzer, Gruppen und Compartments definieren.

Indem Sie die Rollen "Anforderer" und "Anforderer" klar in OCI IAM-Policys definieren, stellen Sie sicher, dass Berechtigungen korrekt eingerichtet sind, um einen sicheren, kontrollierten Zugriff auf Ressourcen über OCI-Mandanten und -Compartments hinweg zu ermöglichen. Beide Mandanten müssen zusammenarbeiten, um sicherzustellen, dass die entsprechenden Berechtigungen erteilt werden und dass OCI-IAM-Policys auf eine Weise festgelegt werden, die den Best Practices zur Sicherheit entspricht.

• Anforderermandant: Der Anforderer ist der OCI-Mandant (oder ein bestimmtes Compartment innerhalb eines Mandanten), der eine Anforderung für den Zugriff auf Ressourcen von einem anderen OCI-Mandanten oder -Compartment initiiert. Die OCI-IAM-Policys des Anforderers müssen die erforderlichen Berechtigungen für den Zugriff auf die Ressourcen des Anforderers erteilen. Beispiel: Der Anforderer muss möglicherweise eine Policy erstellen, mit der seine Benutzer auf eine Ressource im Acceptor-Mandanten zugreifen können.

  Der Anforderer muss außerdem sicherstellen, dass den Benutzern oder Gruppen, die den Antrag stellen, die richtigen OCI-IAM-Rollen zugewiesen werden.

• Acceptor-Mandant: Der Acceptor ist der OCI-Mandant (oder das Compartment), der die Zugriffsanforderung erhält und dem Requestor die erforderlichen Berechtigungen erteilt. Die OCI-IAM-Policys des Acceptors müssen definieren, welche Aktionen der Requestor ausführen kann und auf welche Ressourcen er zugreifen kann. Die Acceptor-Richtlinien sollten auch die Benutzer oder Gruppen angeben, die solche Anforderungen annehmen dürfen, um sicherzustellen, dass der Zugriff sicher verwaltet wird.

  Zusätzlich zum Erteilen von Zugriff muss der Acceptor OCI-IAM-Policys so konfigurieren, dass angegeben wird, wofür der Requestor autorisiert ist. So wird sichergestellt, dass der ordnungsgemäße Geltungsbereich und die Grundsätze der geringsten Berechtigungen eingehalten werden.

Die folgende Abbildung zeigt ein Beispiel für zwei Mandanten, die miteinander mit RPC verbunden sind, wobei einer davon als Requestor (REQ) und der andere als Acceptor (ACC) definiert ist.

Aufgabe 2: Teilsektor "Empfänger" für den Teilsektor "Anforderer" abonnieren

Im Rahmen der Einrichtung von RPC zwischen zwei OCI-Mandanten muss der Anforderer die Region der Acceptor-Mandanten abonnieren, während der Acceptor nicht die Region des Anforderers abonnieren muss. Hier ist der Grund:

Warum der Anforderer den Acceptor-Mandanten abonnieren muss:

• Kommunikation starten: Der Requestor-Mandant ist die Entität, die den RPC initiiert, indem Anforderungen an den Acceptor-Mandanten gesendet werden. Um diese Kommunikation zu ermöglichen, muss der Anforderer den Acceptor abonniert haben, der es ihm ermöglicht, das Netzwerk und die Dienste des Acceptors zu erkennen und zu verbinden.

• Vertrauen und Konnektivität herstellen: Wenn Sie den Acceptor-Mandanten abonnieren, stellt der Requestor-Mandant die erforderliche Vertrauensstellung und Konnektivität für die Interaktion mit der Acceptor-Umgebung her. Das Abonnement stellt sicher, dass der Anforderer Traffic und Anforderungen ordnungsgemäß über die Peering-Verbindung an die Services des Anforderers weiterleiten kann.

Warum der Acceptor den Requestor-Mandanten nicht abonnieren muss:

• Passive Rolle des Acceptors: Der Acceptor-Mandant empfängt nur Anforderungen vom Requestor-Mandanten. Er initiiert keine Kommunikation. Da der Acceptor nur auf die vom Requestor gestellten Anforderungen antwortet, muss er den Requestor nicht abonnieren. Es muss einfach zugänglich und konfiguriert sein, um eingehende Anforderungen zu verarbeiten.

• Einwegkommunikation: RPCs werden in der Regel mit einem unidirektionalen Kommunikationsfluss eingerichtet, wobei der Anforderer der Initiator ist. Der Acceptor benötigt kein Abonnement für den Requestor-Mandanten, da er keine ausgehenden Verbindungen initiieren oder verwalten muss.

Zusammenfassend muss der Anforderer den Acceptor abonnieren, um RPCs zu initiieren und Konnektivität herzustellen, während der Acceptor nur so konfiguriert werden muss, dass er auf Anforderungen antwortet, und kein Abonnement für den Requestor-Mandanten erfordert.

In der folgenden Abbildung wird ein Beispiel für die OCI-Konsole für Anforderer angezeigt. Beachten Sie, dass der Anforderer den Teilsektor {\b Acceptors} abonniert hat.

In der folgenden Abbildung wird ein Beispiel für die Acceptors-OCI-Konsole angezeigt. Beachten Sie, dass die Acceptors nicht für den Bereich "Requestors" abonniert sind.

Aufgabe 3: Erforderliche Parameter erfassen

Erfassen Sie die erforderlichen Parameter, um die OCI-IAM-Policy für den Anforderer und die Acceptorseite zu erstellen. In der folgenden Tabelle werden die Felder angezeigt, die in der OCI-IAM-Policy für den Acceptor- und den Requestor-Mandanten erforderlich sind, wenn der Remoteprozeduraufrufzugriff in OCI eingerichtet wird:

Informationen erforderlich	Anforderer - Mandant	Akzeptanzmandant
Mandanten-OCID	X	X
Gruppenname	X
Gruppen-OCID	X
Compartment-Name	X	X

Stellen Sie sicher, dass diese Informationen von beiden Seiten erfasst werden, bevor Sie die OCI-IAM-Policy erstellen.

Aufgabe 4: OCI-IAM-Policy auf Anforderer- und Acceptorseite erstellen und konfigurieren

Die offizielle Dokumentation zur OCI IAM-Policy, mit der die RPC ausgeführt werden kann, finden Sie hier: Remote-Peering mit einem erweiterten DRG.

Wenn Sie sich die Policys ansehen, werden Sie feststellen, dass in der OCI-IAM-Policy für den Anforderer einige Informationen vom Acceptor erforderlich sind. Für die Acceptor-OCI-IAM-Policy sind einige Informationen vom Anforderer erforderlich. Dies macht es manchmal verwirrend, die Richtlinien zu erstellen, und wenn die Richtlinien nicht korrekt sind, wird der RPC nicht erscheinen, und die Fehlerbehebung wird schwierig sein.

Um dieses Problem zu beheben, haben wir das RPC IAM-Policy-Tool erstellt. Es sind mehr RPC-Netzwerkarchitekturen verfügbar, aber das RPC-IAM-Policy-Tool kann nur verwendet werden, wenn Sie versuchen, eine RPC zwischen zwei verschiedenen OCI-Mandanten zu erstellen, bei denen jeder Mandant sein eigenes DRG hat.

In der folgenden Abbildung wird das Formular angezeigt, in dem Sie mit dem RPC IAM-Policy-Tool alle erforderlichen Details einfügen können. Das Formular fragt nach weiteren Informationen, die tatsächlich erforderlich sind. Es empfiehlt sich jedoch, alle Informationen an einem Ort zu haben, bevor Sie mit der Konfiguration der RPC- und der OCI-IAM-Policys auf der Acceptor- und Requestor-Seite beginnen.

Die Informationen und Parameter des Anforderers sind mit der Farbe Rot markiert, und die Informationen und Parameter des Anforderers sind mit der Farbe Blau markiert.

Die folgende Abbildung zeigt ein Beispiel für alle ausgefüllten Informationen. Geben Sie alle erforderlichen Felder ein, und klicken Sie auf Weiterleiten.

Das Tool generiert die folgenden Informationen:

• Ein Diagramm mit den Parametern, die Sie verwendet haben, um die Dinge in Perspektive zu setzen.
• Eine Tabelle mit allen von Ihnen verwendeten Parametern (so können Sie dies abbilden oder kopieren und später zur Referenz in Ihre Notizen einfügen).
• Die OCI-IAM-Policy für den Anforderer.
• Die OCI-IAM-Policy für den Acceptor.

Aufgabe 4.1: OCI-IAM-Policy auf Anfordererseite erstellen und konfigurieren

1. Melden Sie sich bei der OCI-Konsole an, navigieren Sie zu Identität und Sicherheit, und klicken Sie auf Policys.

2. Wählen Sie das Root Compartment aus, und klicken Sie auf Policy erstellen.

   

3. Geben Sie die folgenden Daten ein, und klicken Sie auf Erstellen.

   • Geben Sie einen Namen und eine Beschreibung für die Policy an.
   • Wählen Sie Manuellen Editor anzeigen.
   • Kopieren Sie die Policy-Anweisungen für die Requestor-Seite, oder fügen Sie sie in die Policy ein.

   

   Wenn Sie die Policy erstellen, werden die konfigurierten Policy-Anweisungen angezeigt.

   

   Wenn Sie zur Seite "Policy-Übersicht" zurückkehren, wird die konfigurierte Policy angezeigt.

   

Aufgabe 4.2: OCI-IAM-Policy auf Acceptorseite erstellen und konfigurieren

1. Melden Sie sich bei der OCI-Konsole an, navigieren Sie zu Identität und Sicherheit, und klicken Sie auf Policys.

2. Wählen Sie das Root Compartment aus, und klicken Sie auf Policy erstellen.

   

3. Geben Sie die folgenden Daten ein, und klicken Sie auf Erstellen.

   • Geben Sie einen Namen und eine Beschreibung für die Policy an.
   • Wählen Sie Manuellen Editor anzeigen.
   • Kopieren Sie die Policy-Anweisungen für die Acceptorseite, und fügen Sie sie in die Policy ein.

   

   Wenn Sie die Policy erstellen, werden die konfigurierten Policy-Anweisungen angezeigt.

   

   Wenn Sie zur Policy-Übersicht zurückkehren, wird die konfigurierte Policy angezeigt.

   

Aufgabe 5: DRG-Anhänge im DRG auf der Anforderer- und der Annahmeseite konfigurieren

Wir müssen einen RPC auf der Anforderer- und Annahme-Seite erstellen.

Aufgabe 5.1: RPC auf Anfordererseite erstellen

1. Navigieren Sie zur OCI-Konsole, navigieren Sie zu Networking, und klicken Sie auf Dynamische Routinggateways.

2. Klicken Sie auf Remote-Peering-Verbindungsanhänge und Remote-Peering-Verbindung herstellen.

   

3. Geben Sie Name ein, und klicken Sie auf Remote-Peering-Verbindungen erstellen.

   

Aufgabe 5.2: RPC auf Akzeptorseite erstellen

1. Navigieren Sie zur OCI-Konsole, navigieren Sie zu Networking, und klicken Sie auf Dynamische Routinggateways.

2. Klicken Sie auf Remote-Peering-Verbindungsanhänge und Remote-Peering-Verbindung herstellen.

   

3. Geben Sie den Namen ein, und klicken Sie auf Remote-Peering-Verbindungen erstellen.

   

4. Erfassen Sie die RPC-OCID von der Acceptorseite, da wir diese OCID verwenden müssen, um die RPC-Verbindung von der Requestorseite herzustellen.

   

Aufgabe 6: Verbindung von der Requestorseite herstellen

1. Navigieren Sie von der Anfordererseite zur OCI-Konsole, navigieren Sie zu Networking, Dynamische Routinggateways, und klicken Sie auf Remote-Peering-Verbindungsanhänge.

2. Klicken Sie auf die Remote-Peering-Verbindung (konfiguriert für die Acceptorseite), die in Aufgabe 5 erstellt wurde.

3. Klicken Sie auf Verbindung herstellen.

   

4. Geben Sie die folgenden Daten ein, und klicken Sie auf Verbindung herstellen.

   • Wählen Sie die Region des Acceptors aus.
   • Fügen Sie die in Aufgabe 5 erfasste RPC-OCID ein.

   

   Wenn der Anforderer die Acceptor-Region abonniert hat und die richtigen OCI-IAM-Policys konfiguriert sind und die richtige RPC-OCI vorhanden ist, muss der Peering-Status auf der Anfordererseite in Peering geändert werden.

   

   Sie können auf die RPC klicken, um zusätzliche Informationen zum Peering anzuzeigen.

   • Beachten Sie, dass der Peerstatus Peer lautet.
   • Beachten Sie, dass die Peerregion Jeddah ist.
   • Beachten Sie, dass dies ein mandantenübergreifendes Peering ist.

   

5. Außerdem können wir den Peering-Status auf der Acceptorseite prüfen.

   1. Navigieren Sie von der Acceptor-Seite zur OCI-Konsole, navigieren Sie zu Networking, Dynamische Routinggateways, und klicken Sie auf Remote-Peering-Verbindungsanhänge.

   2. Klicken Sie auf die für den Anforderer konfigurierte Remote-Peering-Verbindung.

   3. Beachten Sie, dass der Peering-Status auch auf der Acceptorseite auf Peering gesetzt ist.

   

   Sie können auf die RPC klicken, um zusätzliche Informationen zum Peering anzuzeigen.

   • Beachten Sie, dass der Peerstatus Peer lautet.
   • Beachten Sie, dass die Peerregion Riyadh ist.
   • Beachten Sie, dass dies ein mandantenübergreifendes Peering ist.

   

Aufgabe 7: RPC-Architekturen mit drei oder mehr Mietern entwerfen

Es ist auch möglich, RPC-Verbindungen zwischen mehr als zwei Standorten oder Mandanten zu erstellen.

• In der folgenden Abbildung sehen Sie, dass wir drei verschiedene Mieter verwendet haben:

  • OCI Riad (Anforderer)
  • OCI Jeddah (Akzeptor)
  • OCI Dubai (Akzeptor)

  In diesem Beispiel wird Riad eine Art Hub-Site sein, die als Anforderer für zwei Acceptors fungiert.

  

• In der folgenden Abbildung sehen Sie, dass wir drei verschiedene Mieter verwendet haben:

  • OCI Riad (Anforderer)
  • OCI Jeddah (Anforderer + Akzeptor)
  • OCI Dubai (Akzeptor)

  In diesem Beispiel wird Riad der Anforderer für Dschidda und Dschidda der Anforderer für Dubai sein.

  

• In der folgenden Abbildung sehen Sie, dass wir drei verschiedene Mieter verwendet haben:

  • OCI Riad (Anforderer + Akzeptor)
  • OCI Jeddah (Akzeptor)
  • OCI Dubai (Anforderer)

  In diesem Beispiel wird Riad der Anforderer für Dschidda und der Anforderer für Dubai sein.

  

Schlussfolgerung

Für die Einrichtung einer RPC zwischen zwei OCI-Mandanten sind eine sorgfältige Planung, eine genaue Konfiguration und die richtigen OCI-IAM-Policys erforderlich. In diesem Schritt-für-Schritt-Tutorial haben Sie erfolgreich eine sichere und funktionale RPC zwischen zwei DRGs in separaten Mandanten eingerichtet. Diese Verbindung ermöglicht eine nahtlose Kommunikation über Netzwerke, eine entscheidende Komponente für den Aufbau skalierbarer und mehrmandantenfähiger OCI-Architekturen.

Um den Prozess zu vereinfachen und potenzielle Policy-Fehler zu vermeiden, bietet das RPC IAM-Policy-Tool eine einfache Möglichkeit, die erforderlichen OCI-IAM-Policys sowohl für den Requestor- als auch für den Acceptor-Mandanten zu generieren. Wenn Sie sicherstellen, dass Ihre Policys, DRG-Anhänge und regionalen Abonnements korrekt konfiguriert sind, wird ein reibungsloses Peering gewährleistet.

Über grundlegende RPC-Konfigurationen hinaus bietet das Entwerfen von Multi-Tenant-Architekturen mit drei oder mehr Mandanten weitere Flexibilität und Skalierbarkeit für Ihr OCI-Netzwerk. Das Verständnis der Rolle jedes Mandanten – sei es als Anforderer, Akzeptant oder beides – ermöglicht es Ihnen, robuste, miteinander verbundene Umgebungen zu erstellen, die hybride und verteilte Workloads effizient unterstützen.

Durch die Nutzung der Netzwerkfunktionen von OCI können Sie sichere, skalierbare und leistungsstarke mandantenübergreifende Architekturen erstellen, die auf Best Practices für Unternehmensnetzwerke abgestimmt sind. Wenn Probleme auftreten, ist der Besuch von OCI IAM-Policys und DRG-Konfigurationen ein guter erster Schritt bei der Fehlerbehebung.

Mit diesem Wissen sind Sie jetzt bestens gerüstet, um RPC-Verbindungen in Oracle Cloud Infrastructure einzurichten und zu erweitern, um die Netzwerkanforderungen Ihres Unternehmens zu erfüllen.

Bestätigungen

• Autor - Iwan Hoogendoorn (OCI Network Specialist)

Weitere Lernressourcen

Sehen Sie sich weitere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um ein Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Set up RPC Connection between Two Tenants and their Dynamic Routing Gateways

G30586-03

Copyright ©2025,2026,

Oracle und/oder verbundene Unternehmen.