Hinweis:

RPC-Verbindung zwischen zwei Mandanten und den zugehörigen dynamischen Routinggateways einrichten

Einführung

In einer mehrmandantenfähigen Oracle Cloud Infrastructure-(OCI-)Umgebung ist die Gewährleistung einer sicheren und effizienten Kommunikation zwischen verschiedenen Mandanten für hybride und verteilte Netzwerkarchitekturen von entscheidender Bedeutung. Eine Möglichkeit, dies zu erreichen, besteht darin, eine Remote-Peering-Verbindung (RPC) zwischen zwei Mandanten und den entsprechenden Dynamic Routing Gateways (DRGs) einzurichten.

image

Ziele

Voraussetzungen

Aufgabe 1: Anforderer und Empfängermandanten bestimmen

In Oracle Cloud Infrastructure (OCI) ist es beim Einrichten von cloudübergreifender Kommunikation oder Ressourcenfreigabe von entscheidender Bedeutung, zu definieren, welcher Mandant der Requestor ist und welcher der Acceptor in Bezug auf OCI-IAM-Policys ist. Diese Rollen werden von OCI-IAM-Policys gesteuert, die Berechtigungen für Benutzer, Gruppen und Compartments definieren.

Indem Sie die Rollen "Anforderer" und "Empfänger" klar in den OCI-IAM-Policys definieren, stellen Sie sicher, dass Berechtigungen korrekt eingerichtet sind, um sicheren, kontrollierten Zugriff auf Ressourcen über OCI-Mandanten und -Compartments hinweg zu ermöglichen. Beide Mandanten müssen zusammenarbeiten, um sicherzustellen, dass die entsprechenden Berechtigungen erteilt werden und dass OCI-IAM-Policys so festgelegt werden, dass sie den Best Practices zur Sicherheit entsprechen.

Die folgende Abbildung zeigt ein Beispiel für zwei Mandanten, die mit RPC verbunden sind, wobei einer von ihnen als Requestor (REQ) und der andere als Acceptor (ACC) definiert ist.

image

Aufgabe 2: Teilsektor "Empfänger" für Teilsektor "Anforderer" abonnieren

Im Zusammenhang mit der Einrichtung von RPC zwischen zwei OCI-Mandanten muss der Anforderer die Region "Empfängermandanten" abonnieren, während der Anforderer die Region "Anforderer" nicht abonnieren muss. Hier ist der Grund:

Warum der Anforderer den Acceptor-Mandanten abonnieren muss:

Warum der Anforderer den Mandanten des Anforderers nicht abonnieren muss:

Zusammenfassend muss der Anforderer den Anforderer abonnieren, um RPCs zu initiieren und Konnektivität herzustellen, während der Anforderer nur so konfiguriert werden muss, dass er auf Anforderungen antwortet und kein Abonnement für den Anforderermandanten erfordert.

In der folgenden Abbildung wird ein Beispiel für die OCI-Konsole des Anforderers angezeigt. Beachten Sie, dass der Anforderer die Region {\b Acceptors} abonniert hat.

image

In der folgenden Abbildung wird ein Beispiel für die OCI-Konsole "Acceptors" angezeigt. Beachten Sie, dass die Acceptors nicht die Region {\b Requestors} abonniert haben.

image

Aufgabe 3: Erforderliche Parameter erfassen

Erfassen Sie die erforderlichen Parameter, um die OCI-IAM-Policy für den Anforderer und den Empfänger zu erstellen. In der folgenden Tabelle werden die in der OCI-IAM-Policy erforderlichen Felder für den Acceptor- und den Requestor-Mandanten beim Einrichten des Remoteprozeduraufrufzugriffs in OCI angezeigt:

Informationen erforderlich Anforderer - Mandant Akzeptant - Mandant
Mandanten-OCID X X
Gruppenname X  
Gruppen-OCID X  
Compartment Name X X

Stellen Sie sicher, dass diese Informationen von beiden Seiten erfasst werden, bevor Sie die OCI-IAM-Policy erstellen.

Aufgabe 4: OCI-IAM-Policy auf Anforderer- und Acceptorseite erstellen und konfigurieren

Die offizielle Dokumentation zur OCI-IAM-Policy, mit der das RPC funktioniert, finden Sie hier: Remote-Peering mit einem upgegradeten DRG.

Wenn Sie sich die Policys ansehen, sehen Sie, dass in der OCI-IAM-Policy für den Requestor einige Informationen vom Acceptor erforderlich sind, und für die Acceptor-OCI-IAM-Policy sind einige Informationen vom Requestor erforderlich. Dies macht es manchmal verwirrend, die Richtlinien zu erstellen, und wenn die Richtlinien nicht korrekt sind, wird der RPC nicht auftauchen, und die Fehlerbehebung wird schwierig sein.

Um dieses Problem zu beheben, haben wir das RPC-IAM-Policy-Tool erstellt. Es sind mehr RPC-Netzwerkarchitekturen verfügbar, aber das RPC IAM Policy Tool kann nur verwendet werden, wenn Sie versuchen, eine RPC zwischen zwei verschiedenen OCI-Mandanten zu erstellen, bei denen jeder Mandant über ein eigenes DRG verfügt.

In der folgenden Abbildung wird das Formular angezeigt, das Sie mit dem RPC-IAM-Policy-Tool zum Einfügen aller erforderlichen Details erhalten. Das Formular fordert weitere Informationen an, die tatsächlich erforderlich sind. Es empfiehlt sich jedoch, alle Informationen an einem Ort zu speichern, bevor Sie mit der Konfiguration der RPC und der OCI-IAM-Policys auf der Seite "Empfänger" und "Anforderer" beginnen.

Die Informationen und Parameter des Anforderers sind mit der Farbe Rot und die Informationen und Parameter des Anforderers mit der Farbe Blau markiert.

image

Die folgende Abbildung zeigt ein Beispiel für alle ausgefüllten Informationen. Geben Sie Werte in alle erforderlichen Felder ein, und klicken Sie auf Weiterleiten.

image

Das Tool generiert die folgenden Informationen:

image

Aufgabe 4.1: OCI-IAM-Policy auf Anfordererseite erstellen und konfigurieren

  1. Melden Sie sich bei der OCI-Konsole an, navigieren Sie zu Identität und Sicherheit, und klicken Sie auf Policys.

  2. Wählen Sie das Root Compartment aus, und klicken Sie auf Policy erstellen.

    image

  3. Geben Sie die folgenden Informationen ein, und klicken Sie auf Erstellen.

    • Geben Sie einen Namen und eine Beschreibung für die Policy ein.
    • Wählen Sie Manuellen Editor anzeigen aus.
    • Kopieren Sie die Policy-Anweisungen für die Requestor-Seite, und fügen Sie sie in die Policy ein.

    image

    Wenn Sie die Policy erstellen, werden die konfigurierten Policy-Anweisungen angezeigt.

    image

    Wenn Sie zur Policy-Übersichtsseite zurückkehren, wird die konfigurierte Policy angezeigt.

    image

Aufgabe 4.2: OCI-IAM-Policy auf Acceptorseite erstellen und konfigurieren

  1. Melden Sie sich bei der OCI-Konsole an, navigieren Sie zu Identität und Sicherheit, und klicken Sie auf Policys.

  2. Wählen Sie das Root Compartment aus, und klicken Sie auf Policy erstellen.

    image

  3. Geben Sie die folgenden Informationen ein, und klicken Sie auf Erstellen.

    • Geben Sie einen Namen und eine Beschreibung für die Policy ein.
    • Wählen Sie Manuellen Editor anzeigen aus.
    • Kopieren Sie die Policy-Anweisungen für die Requestor-Seite, und fügen Sie sie in die Policy ein.

    image

    Wenn Sie die Policy erstellen, werden die konfigurierten Policy-Anweisungen angezeigt.

    image

    Wenn Sie zur Policy-Übersicht zurückkehren, wird die konfigurierte Policy angezeigt.

    image

Aufgabe 5: DRG-Anhänge im DRG auf Anforderer- und Annahmeseite konfigurieren

Wir müssen einen RPC auf Anforderer- und Annahmeseite erstellen.

Aufgabe 5.1: RPC auf Anfordererseite erstellen

  1. Gehen Sie zur OCI-Konsole, navigieren Sie zu Networking, und klicken Sie auf Dynamische Routinggateways.

  2. Klicken Sie auf Remote-Peering-Verbindungsanhänge und Remote-Peering-Verbindung erstellen.

    image

  3. Geben Sie Name ein, und klicken Sie auf Remote-Peering-Verbindung erstellen.

    image

Aufgabe 5.2: RPC auf Akzeptorseite erstellen

  1. Gehen Sie zur OCI-Konsole, navigieren Sie zu Networking, und klicken Sie auf Dynamische Routinggateways.

  2. Klicken Sie auf Remote-Peering-Verbindungsanhänge und Remote-Peering-Verbindung erstellen.

    image

  3. Geben Sie Name ein, und klicken Sie auf Remote-Peering-Verbindung erstellen.

    image

  4. Erfassen Sie die RPC-OCID von der Seite "Empfänger", da wir diese OCID verwenden müssen, um die RPC-Verbindung von der Seite "Anforderer" aus herzustellen.

    image

Aufgabe 6: Verbindung von der Anfordererseite aus herstellen

  1. Gehen Sie von der Anfordererseite zur OCI-Konsole, navigieren Sie zu Networking, Dynamische Routinggateways, und klicken Sie auf Remote-Peering-Verbindungsanhänge.

  2. Klicken Sie auf die Remote-Peering-Verbindung (für die Acceptorseite konfiguriert), die in Aufgabe 5 erstellt wurde.

  3. Klicken Sie auf Verbindung herstellen.

    image

  4. Geben Sie die folgenden Informationen ein, und klicken Sie auf Verbindung herstellen.

    • Wählen Sie die Region des Acceptors aus.
    • Fügen Sie die in Aufgabe 5 erfasste RPC-OCID ein.

    image

    Wenn der Anforderer die Empfängerregion abonniert hat und die richtigen OCI-IAM-Policys konfiguriert sind und die richtige RPC-OCI ist, muss der Peering-Status auf Anfordererseite in Peered geändert werden.

    image

    Sie können auf die RPC klicken, um zusätzliche Informationen zum Peering anzuzeigen.

    • Beachten Sie, dass der Peer-Status Peered lautet.
    • Beachten Sie, dass die Peer-Region Jeddah ist.
    • Beachten Sie, dass es sich um ein Mandantenübergreifendes Peering handelt.

    image

  5. Außerdem können wir den Peering-Status auf der Seite {\b Acceptor} prüfen.

    1. Navigieren Sie von der Seite "Empfänger" zur OCI-Konsole, navigieren Sie zu Networking, Dynamische Routinggateways, und klicken Sie auf Anhänge für Remote-Peering-Verbindungen.

    2. Klicken Sie auf die für die Anfordererseite konfigurierte Remote-Peering-Verbindung.

    3. Beachten Sie, dass der Peering-Status auch auf der Seite des Acceptors auf Peered gesetzt ist.

    image

    Sie können auf die RPC klicken, um zusätzliche Informationen zum Peering anzuzeigen.

    • Beachten Sie, dass der Peer-Status Peered lautet.
    • Beachten Sie, dass die Peer-Region Riyadh ist.
    • Beachten Sie, dass es sich um ein Mandantenübergreifendes Peering handelt.

    image

Aufgabe 7: RPC-Architekturen mit drei oder mehr Mandanten entwerfen

Es ist auch möglich, RPC-Verbindungen zwischen mehr als zwei Sites oder Mandanten zu erstellen.

Schlussfolgerung

Die Einrichtung einer RPC zwischen zwei OCI-Mandanten erfordert eine sorgfältige Planung, eine genaue Konfiguration und die richtigen OCI-IAM-Policys. Im Anschluss an dieses Schritt-für-Schritt-Tutorial haben Sie erfolgreich eine sichere und funktionale RPC zwischen zwei DRGs in separaten Mandanten eingerichtet. Diese Verbindung ermöglicht eine nahtlose Kommunikation über Netzwerke hinweg, eine entscheidende Komponente für die Erstellung skalierbarer und mehrmandantenfähiger OCI-Architekturen.

Um den Prozess zu vereinfachen und potenzielle Policy-Fehler zu vermeiden, bietet das RPC IAM Policy Tool eine einfache Möglichkeit, die erforderlichen OCI IAM-Policys sowohl für den Requestor- als auch für den Acceptor-Mandanten zu generieren. Wenn Sie sicherstellen, dass Ihre Policys, DRG-Anhänge und regionalen Abonnements korrekt konfiguriert sind, wird ein reibungsloses Peering-Setup gewährleistet.

Neben grundlegenden RPC-Konfigurationen bietet das Design von mehrmandantenfähigen Architekturen mit drei oder mehr Mandanten weitere Flexibilität und Skalierbarkeit für Ihr OCI-Netzwerk. Das Verständnis der Rolle jedes Mandanten – sei es als Anforderer, Empfänger oder beides – ermöglicht es Ihnen, robuste, vernetzte Umgebungen zu erstellen, die hybride und verteilte Workloads effizient unterstützen.

Durch die Nutzung der Netzwerkfunktionen von OCI können Sie sichere, skalierbare und leistungsstarke mandantenübergreifende Architekturen erstellen, die auf Best Practices für Unternehmensnetzwerke abgestimmt sind. Wenn Probleme auftreten, ist der erneute Besuch von OCI-IAM-Policys und DRG-Konfigurationen ein guter erster Schritt bei der Fehlerbehebung.

Mit diesem Wissen sind Sie jetzt gut gerüstet, um RPC-Verbindungen in Oracle Cloud Infrastructure einzurichten und zu erweitern, um die Netzwerkanforderungen Ihres Unternehmens zu erfüllen.

Danksagungen

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.