Hinweis:
- Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
- Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte nach Abschluss der Übung durch Werte, die für Ihre Cloud-Umgebung spezifisch sind.
RPC-Verbindung zwischen zwei Mandanten und den zugehörigen dynamischen Routinggateways einrichten
Einführung
In einer mehrmandantenfähigen Oracle Cloud Infrastructure-(OCI-)Umgebung ist die Gewährleistung einer sicheren und effizienten Kommunikation zwischen verschiedenen Mandanten für hybride und verteilte Netzwerkarchitekturen von entscheidender Bedeutung. Eine Möglichkeit, dies zu erreichen, besteht darin, eine Remote-Peering-Verbindung (RPC) zwischen zwei Mandanten und den entsprechenden Dynamic Routing Gateways (DRGs) einzurichten.
Ziele
- Konfigurieren Sie eine RPC zwischen zwei DRGs in separaten OCI-Mandanten, um eine nahtlose Netzwerkkonnektivität sicherzustellen. Am Ende haben Sie ein funktionierendes RPC-Setup, das einen sicheren Trafficfluss zwischen den Mandanten ermöglicht und Ihnen hilft, robuste Multi-Tenant-Architekturen in OCI zu erstellen.
Voraussetzungen
-
Zugriff auf zwei OCI-Mandanten: Sie benötigen Administrator- oder entsprechende Berechtigungen in beiden OCI-Mandanten, um Netzwerkkomponenten zu konfigurieren.
-
DRGs in beiden Mandanten: Für jeden Mandanten muss ein DRG bereits erstellt und an ein virtuelles Cloud-Netzwerk (VCN) angehängt sein.
-
Regionskompatibilität: Die DRGs müssen sich in derselben oder in anderen kommerziellen OCI-Regionen befinden, die RPC unterstützen. Regionsübergreifende RPC wird unterstützt, aber beide Regionen müssen zugänglich sein. Der Anforderer muss die Region "Empfänger" abonnieren.
-
Öffentliche oder private Konnektivität: Legen Sie fest, ob Sie die Kommunikation über private IPs zulassen und sicherstellen, dass ordnungsgemäße Subnetz-CIDR-Blöcke geplant sind, um Konflikte zu vermeiden.
-
VCNs und Routingkonfiguration: Die VCNs in beiden Mandanten müssen Routentabellen und Sicherheitslisten ordnungsgemäß konfiguriert haben, um Traffic über die RPC zuzulassen.
-
Policys für mandantenübergreifendes Peering: Stellen Sie sicher, dass Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Policys vorhanden sind, um DRG-Peering über verschiedene OCI-Mandanten hinweg zu ermöglichen. Möglicherweise müssen Sie Policys für beide Mandanten definieren, um Vertrauen aufzubauen.
Aufgabe 1: Anforderer und Empfängermandanten bestimmen
In Oracle Cloud Infrastructure (OCI) ist es beim Einrichten von cloudübergreifender Kommunikation oder Ressourcenfreigabe von entscheidender Bedeutung, zu definieren, welcher Mandant der Requestor ist und welcher der Acceptor in Bezug auf OCI-IAM-Policys ist. Diese Rollen werden von OCI-IAM-Policys gesteuert, die Berechtigungen für Benutzer, Gruppen und Compartments definieren.
Indem Sie die Rollen "Anforderer" und "Empfänger" klar in den OCI-IAM-Policys definieren, stellen Sie sicher, dass Berechtigungen korrekt eingerichtet sind, um sicheren, kontrollierten Zugriff auf Ressourcen über OCI-Mandanten und -Compartments hinweg zu ermöglichen. Beide Mandanten müssen zusammenarbeiten, um sicherzustellen, dass die entsprechenden Berechtigungen erteilt werden und dass OCI-IAM-Policys so festgelegt werden, dass sie den Best Practices zur Sicherheit entsprechen.
-
Anforderermandant: Der Anforderer ist der OCI-Mandant (oder ein bestimmtes Compartment in einem Mandanten), der eine Anforderung für den Zugriff auf Ressourcen von einem anderen OCI-Mandanten oder -Compartment initiiert. Die OCI-IAM-Policys des Anforderers müssen die erforderlichen Berechtigungen für den Zugriff auf die Ressourcen des Anforderers erteilen. Beispiel: Der Anforderer muss möglicherweise eine Policy erstellen, mit der seine Benutzer auf eine Ressource im Acceptor-Mandanten zugreifen können.
Der Anforderer muss außerdem sicherstellen, dass den Benutzern oder Gruppen, die diese Anforderung stellen, die richtigen OCI-IAM-Rollen zugewiesen werden.
-
Acceptor-Mandant: Der Acceptor ist der OCI-Mandant (oder das Compartment), der die Zugriffsanforderung empfängt und dem Requestor die erforderlichen Berechtigungen erteilt. Die OCI-IAM-Policys des Acceptors müssen definieren, welche Aktionen der Requestor ausführen kann und auf welche Ressourcen er zugreifen kann. Die Policys des Empfängers sollten auch die Benutzer oder Gruppen angeben, die solche Anforderungen akzeptieren dürfen, um sicherzustellen, dass der Zugriff sicher verwaltet wird.
Zusätzlich zur Erteilung des Zugriffs muss der Acceptor OCI-IAM-Policys konfigurieren, um anzugeben, für welche Aktionen der Requestor autorisiert ist. So wird sichergestellt, dass der ordnungsgemäße Geltungsbereich und die Grundsätze der geringsten Berechtigungen befolgt werden.
Die folgende Abbildung zeigt ein Beispiel für zwei Mandanten, die mit RPC verbunden sind, wobei einer von ihnen als Requestor (REQ) und der andere als Acceptor (ACC) definiert ist.
Aufgabe 2: Teilsektor "Empfänger" für Teilsektor "Anforderer" abonnieren
Im Zusammenhang mit der Einrichtung von RPC zwischen zwei OCI-Mandanten muss der Anforderer die Region "Empfängermandanten" abonnieren, während der Anforderer die Region "Anforderer" nicht abonnieren muss. Hier ist der Grund:
Warum der Anforderer den Acceptor-Mandanten abonnieren muss:
-
Kommunikation starten: Der Anforderermandant ist die Entität, die den RPC initiiert, indem Anforderungen an den Anforderermandanten gesendet werden. Um diese Kommunikation zu ermöglichen, muss der Anforderer den Empfänger abonnieren, der es ihm ermöglicht, das Netzwerk und die Dienste des Empfängers zu erkennen und mit ihm zu verbinden.
-
Vertrauen und Konnektivität herstellen: Durch das Abonnieren des Acceptor-Mandanten schafft der Requestor-Mandant das erforderliche Vertrauen und die erforderliche Konnektivität für die Interaktion mit der Umgebung des Acceptors. Das Abonnement stellt sicher, dass der Requestor Traffic und Anforderungen ordnungsgemäß über die Peering-Verbindung an die Services des Acceptors weiterleiten kann.
Warum der Anforderer den Mandanten des Anforderers nicht abonnieren muss:
-
Passive Rolle des Acceptors: Der Acceptor-Mandant empfängt nur Anforderungen des Requestor-Mandanten. Er initiiert keine Kommunikation. Da der Empfänger nur auf die Anforderungen des Anforderers antwortet, muss er den Anforderer nicht abonnieren. Es muss einfach zugänglich und konfiguriert sein, um eingehende Anforderungen zu verarbeiten.
-
Einwegkommunikation: RPCs werden in der Regel mit einem einwegigen Kommunikationsfluss eingerichtet, bei dem der Anforderer der Initiator ist. Der Anforderer benötigt kein Abonnement für den Anforderermandanten, da er keine ausgehenden Verbindungen initiieren oder verwalten muss.
Zusammenfassend muss der Anforderer den Anforderer abonnieren, um RPCs zu initiieren und Konnektivität herzustellen, während der Anforderer nur so konfiguriert werden muss, dass er auf Anforderungen antwortet und kein Abonnement für den Anforderermandanten erfordert.
In der folgenden Abbildung wird ein Beispiel für die OCI-Konsole des Anforderers angezeigt. Beachten Sie, dass der Anforderer die Region {\b Acceptors} abonniert hat.
In der folgenden Abbildung wird ein Beispiel für die OCI-Konsole "Acceptors" angezeigt. Beachten Sie, dass die Acceptors nicht die Region {\b Requestors} abonniert haben.
Aufgabe 3: Erforderliche Parameter erfassen
Erfassen Sie die erforderlichen Parameter, um die OCI-IAM-Policy für den Anforderer und den Empfänger zu erstellen. In der folgenden Tabelle werden die in der OCI-IAM-Policy erforderlichen Felder für den Acceptor- und den Requestor-Mandanten beim Einrichten des Remoteprozeduraufrufzugriffs in OCI angezeigt:
Informationen erforderlich | Anforderer - Mandant | Akzeptant - Mandant |
---|---|---|
Mandanten-OCID | X | X |
Gruppenname | X | |
Gruppen-OCID | X | |
Compartment Name | X | X |
Stellen Sie sicher, dass diese Informationen von beiden Seiten erfasst werden, bevor Sie die OCI-IAM-Policy erstellen.
Aufgabe 4: OCI-IAM-Policy auf Anforderer- und Acceptorseite erstellen und konfigurieren
Die offizielle Dokumentation zur OCI-IAM-Policy, mit der das RPC funktioniert, finden Sie hier: Remote-Peering mit einem upgegradeten DRG.
Wenn Sie sich die Policys ansehen, sehen Sie, dass in der OCI-IAM-Policy für den Requestor einige Informationen vom Acceptor erforderlich sind, und für die Acceptor-OCI-IAM-Policy sind einige Informationen vom Requestor erforderlich. Dies macht es manchmal verwirrend, die Richtlinien zu erstellen, und wenn die Richtlinien nicht korrekt sind, wird der RPC nicht auftauchen, und die Fehlerbehebung wird schwierig sein.
Um dieses Problem zu beheben, haben wir das RPC-IAM-Policy-Tool erstellt. Es sind mehr RPC-Netzwerkarchitekturen verfügbar, aber das RPC IAM Policy Tool kann nur verwendet werden, wenn Sie versuchen, eine RPC zwischen zwei verschiedenen OCI-Mandanten zu erstellen, bei denen jeder Mandant über ein eigenes DRG verfügt.
In der folgenden Abbildung wird das Formular angezeigt, das Sie mit dem RPC-IAM-Policy-Tool zum Einfügen aller erforderlichen Details erhalten. Das Formular fordert weitere Informationen an, die tatsächlich erforderlich sind. Es empfiehlt sich jedoch, alle Informationen an einem Ort zu speichern, bevor Sie mit der Konfiguration der RPC und der OCI-IAM-Policys auf der Seite "Empfänger" und "Anforderer" beginnen.
Die Informationen und Parameter des Anforderers sind mit der Farbe Rot und die Informationen und Parameter des Anforderers mit der Farbe Blau markiert.
Die folgende Abbildung zeigt ein Beispiel für alle ausgefüllten Informationen. Geben Sie Werte in alle erforderlichen Felder ein, und klicken Sie auf Weiterleiten.
Das Tool generiert die folgenden Informationen:
- Ein Diagramm mit den Parametern, die Sie verwendet haben, um Dinge in eine Perspektive zu bringen.
- Eine Tabelle mit allen Parametern, die Sie verwendet haben (damit Sie einen Screenshot erstellen oder diese zur späteren Referenz in Ihre Notizen kopieren können).
- Die OCI-IAM-Policy für den Anforderer.
- Die OCI-IAM-Policy für den Acceptor.
Aufgabe 4.1: OCI-IAM-Policy auf Anfordererseite erstellen und konfigurieren
-
Melden Sie sich bei der OCI-Konsole an, navigieren Sie zu Identität und Sicherheit, und klicken Sie auf Policys.
-
Wählen Sie das Root Compartment aus, und klicken Sie auf Policy erstellen.
-
Geben Sie die folgenden Informationen ein, und klicken Sie auf Erstellen.
- Geben Sie einen Namen und eine Beschreibung für die Policy ein.
- Wählen Sie Manuellen Editor anzeigen aus.
- Kopieren Sie die Policy-Anweisungen für die Requestor-Seite, und fügen Sie sie in die Policy ein.
Wenn Sie die Policy erstellen, werden die konfigurierten Policy-Anweisungen angezeigt.
Wenn Sie zur Policy-Übersichtsseite zurückkehren, wird die konfigurierte Policy angezeigt.
Aufgabe 4.2: OCI-IAM-Policy auf Acceptorseite erstellen und konfigurieren
-
Melden Sie sich bei der OCI-Konsole an, navigieren Sie zu Identität und Sicherheit, und klicken Sie auf Policys.
-
Wählen Sie das Root Compartment aus, und klicken Sie auf Policy erstellen.
-
Geben Sie die folgenden Informationen ein, und klicken Sie auf Erstellen.
- Geben Sie einen Namen und eine Beschreibung für die Policy ein.
- Wählen Sie Manuellen Editor anzeigen aus.
- Kopieren Sie die Policy-Anweisungen für die Requestor-Seite, und fügen Sie sie in die Policy ein.
Wenn Sie die Policy erstellen, werden die konfigurierten Policy-Anweisungen angezeigt.
Wenn Sie zur Policy-Übersicht zurückkehren, wird die konfigurierte Policy angezeigt.
Aufgabe 5: DRG-Anhänge im DRG auf Anforderer- und Annahmeseite konfigurieren
Wir müssen einen RPC auf Anforderer- und Annahmeseite erstellen.
Aufgabe 5.1: RPC auf Anfordererseite erstellen
-
Gehen Sie zur OCI-Konsole, navigieren Sie zu Networking, und klicken Sie auf Dynamische Routinggateways.
-
Klicken Sie auf Remote-Peering-Verbindungsanhänge und Remote-Peering-Verbindung erstellen.
-
Geben Sie Name ein, und klicken Sie auf Remote-Peering-Verbindung erstellen.
Aufgabe 5.2: RPC auf Akzeptorseite erstellen
-
Gehen Sie zur OCI-Konsole, navigieren Sie zu Networking, und klicken Sie auf Dynamische Routinggateways.
-
Klicken Sie auf Remote-Peering-Verbindungsanhänge und Remote-Peering-Verbindung erstellen.
-
Geben Sie Name ein, und klicken Sie auf Remote-Peering-Verbindung erstellen.
-
Erfassen Sie die RPC-OCID von der Seite "Empfänger", da wir diese OCID verwenden müssen, um die RPC-Verbindung von der Seite "Anforderer" aus herzustellen.
Aufgabe 6: Verbindung von der Anfordererseite aus herstellen
-
Gehen Sie von der Anfordererseite zur OCI-Konsole, navigieren Sie zu Networking, Dynamische Routinggateways, und klicken Sie auf Remote-Peering-Verbindungsanhänge.
-
Klicken Sie auf die Remote-Peering-Verbindung (für die Acceptorseite konfiguriert), die in Aufgabe 5 erstellt wurde.
-
Klicken Sie auf Verbindung herstellen.
-
Geben Sie die folgenden Informationen ein, und klicken Sie auf Verbindung herstellen.
- Wählen Sie die Region des Acceptors aus.
- Fügen Sie die in Aufgabe 5 erfasste RPC-OCID ein.
Wenn der Anforderer die Empfängerregion abonniert hat und die richtigen OCI-IAM-Policys konfiguriert sind und die richtige RPC-OCI ist, muss der Peering-Status auf Anfordererseite in Peered geändert werden.
Sie können auf die RPC klicken, um zusätzliche Informationen zum Peering anzuzeigen.
- Beachten Sie, dass der Peer-Status Peered lautet.
- Beachten Sie, dass die Peer-Region Jeddah ist.
- Beachten Sie, dass es sich um ein Mandantenübergreifendes Peering handelt.
-
Außerdem können wir den Peering-Status auf der Seite {\b Acceptor} prüfen.
-
Navigieren Sie von der Seite "Empfänger" zur OCI-Konsole, navigieren Sie zu Networking, Dynamische Routinggateways, und klicken Sie auf Anhänge für Remote-Peering-Verbindungen.
-
Klicken Sie auf die für die Anfordererseite konfigurierte Remote-Peering-Verbindung.
-
Beachten Sie, dass der Peering-Status auch auf der Seite des Acceptors auf Peered gesetzt ist.
Sie können auf die RPC klicken, um zusätzliche Informationen zum Peering anzuzeigen.
- Beachten Sie, dass der Peer-Status Peered lautet.
- Beachten Sie, dass die Peer-Region Riyadh ist.
- Beachten Sie, dass es sich um ein Mandantenübergreifendes Peering handelt.
-
Aufgabe 7: RPC-Architekturen mit drei oder mehr Mandanten entwerfen
Es ist auch möglich, RPC-Verbindungen zwischen mehr als zwei Sites oder Mandanten zu erstellen.
-
In der folgenden Abbildung sehen Sie, dass wir drei verschiedene Mieter verwendet haben:
- OCI Riad (Anforderer)
- OCI Jeddah (Akzeptant)
- OCI Dubai (Akzeptant)
In diesem Beispiel wird Riad eine Art Hub-Site sein, die als Anforderer für zwei Empfänger fungiert.
-
In der folgenden Abbildung sehen Sie, dass wir drei verschiedene Mieter verwendet haben:
- OCI Riad (Anforderer)
- OCI Jeddah (Anforderer + Empfänger)
- OCI Dubai (Akzeptant)
In diesem Beispiel wird Riad der Anforderer für Jeddah und Jeddah der Anforderer für Dubai sein.
-
In der folgenden Abbildung sehen Sie, dass wir drei verschiedene Mieter verwendet haben:
- OCI Riad (Anforderer + Empfänger)
- OCI Jeddah (Akzeptant)
- OCI Dubai (Anforderer)
In diesem Beispiel wird Riad der Anforderer für Jeddah und der Anforderer für Dubai sein.
Schlussfolgerung
Die Einrichtung einer RPC zwischen zwei OCI-Mandanten erfordert eine sorgfältige Planung, eine genaue Konfiguration und die richtigen OCI-IAM-Policys. Im Anschluss an dieses Schritt-für-Schritt-Tutorial haben Sie erfolgreich eine sichere und funktionale RPC zwischen zwei DRGs in separaten Mandanten eingerichtet. Diese Verbindung ermöglicht eine nahtlose Kommunikation über Netzwerke hinweg, eine entscheidende Komponente für die Erstellung skalierbarer und mehrmandantenfähiger OCI-Architekturen.
Um den Prozess zu vereinfachen und potenzielle Policy-Fehler zu vermeiden, bietet das RPC IAM Policy Tool eine einfache Möglichkeit, die erforderlichen OCI IAM-Policys sowohl für den Requestor- als auch für den Acceptor-Mandanten zu generieren. Wenn Sie sicherstellen, dass Ihre Policys, DRG-Anhänge und regionalen Abonnements korrekt konfiguriert sind, wird ein reibungsloses Peering-Setup gewährleistet.
Neben grundlegenden RPC-Konfigurationen bietet das Design von mehrmandantenfähigen Architekturen mit drei oder mehr Mandanten weitere Flexibilität und Skalierbarkeit für Ihr OCI-Netzwerk. Das Verständnis der Rolle jedes Mandanten – sei es als Anforderer, Empfänger oder beides – ermöglicht es Ihnen, robuste, vernetzte Umgebungen zu erstellen, die hybride und verteilte Workloads effizient unterstützen.
Durch die Nutzung der Netzwerkfunktionen von OCI können Sie sichere, skalierbare und leistungsstarke mandantenübergreifende Architekturen erstellen, die auf Best Practices für Unternehmensnetzwerke abgestimmt sind. Wenn Probleme auftreten, ist der erneute Besuch von OCI-IAM-Policys und DRG-Konfigurationen ein guter erster Schritt bei der Fehlerbehebung.
Mit diesem Wissen sind Sie jetzt gut gerüstet, um RPC-Verbindungen in Oracle Cloud Infrastructure einzurichten und zu erweitern, um die Netzwerkanforderungen Ihres Unternehmens zu erfüllen.
Danksagungen
- Autor - Iwan Hoogendoorn (OCI Network Specialist)
Weitere Lernressourcen
Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.
Die Produktdokumentation finden Sie im Oracle Help Center.
Set up RPC Connection between Two Tenants and their Dynamic Routing Gateways
G30586-02
Copyright ©2025, Oracle and/or its affiliates.