Hinweis:

Oracle Cloud Infrastructure Site-to-Site VPN mit statischem Routing zwischen zwei OCI-Regionen einrichten

Einführung

Wenn Ihre Anwendungen, Datenbanken oder Services über verschiedene Oracle Cloud Infrastructure-(OCI-)Regionen oder -Mandanten verteilt sind, ist das Remote Peering Connection-(RPC-)Peering die bevorzugte Methode, um die Netzwerkkommunikation zwischen ihnen zu ermöglichen. Wenn RPC-Peering nicht möglich ist, besteht eine Alternative darin, eine OCI Site-to-Site VPN IPSec-Verbindung herzustellen. Während OCI das Erstellen eines OCI Site-to-Site-VPN IPSec mit dem dynamischen Routinggateway (DRG) nicht direkt unterstützt, können Sie einen benutzerdefinierten VPN-Endpunkt (wie Libreswan) auf der einen Seite konfigurieren und das DRG auf der anderen Seite verwenden, um diese Verbindung zu erreichen.

image

image

Sie können diese Methode auch verwenden, wenn Sie ein OCI-Site-to-Site-VPN zwischen On-Premise und OCI einrichten müssen und das DRG nicht als Virtual Private Network-(VPN-)Endpunkt, sondern als eigenen benutzerdefinierten VPN-Endpunkt verwenden möchten.

Ziele

Voraussetzungen

Aufgabe 1: OCI-Zielregion prüfen (VCN, Subnetz, DRG, VCN-Anhänge und -Instanzen)

In dieser Aufgabe werden wir überprüfen, was wir haben, um loszulegen.

Das folgende Bild zeigt, was wir bisher geschaffen haben.

image

Aufgabe 2: OCI-Quellregion prüfen (VCN, öffentliches Subnetz, Internetgateway und Instanzen)

Das folgende Bild zeigt, was wir bisher geschaffen haben.

image

Aufgabe 3: Öffentliche IP-Adresse der CPE-Instanz aus der OCI-Quellregion erfassen

Aufgabe 4: Neues CPE in der OCI-Zielregion erstellen

Aufgabe 5: OCI Site-to-Site-VPN in der OCI-Zielregion konfigurieren

Aufgabe 6: Erfassen Sie die öffentliche IP-Adresse der IPSec-Tunnel in der OCI-Zielregion, und laden Sie die CPE-Konfiguration herunter

Aufgabe 7: Konfigurieren der CPE-Instanz in der OCI-Quellregion und Installieren und Konfigurieren von Libreswan

Aufgabe 8: Firewall auf der CPE-Instanz in der OCI-Quellregion öffnen und VCN- und Subnetzsicherheitslisten konfigurieren

Konfigurieren Sie die VCN- und Subnetzsicherheitslisten so, dass die für die IPSec-Verbindung erforderlichen Ingress-Ports zugelassen werden. Damit die Tunnel korrekt eingerichtet werden können, müssen Sie sicherstellen, dass die Netzwerksicherheit auf beiden Seiten die erforderlichen Ports zulässt.

Linux-Firewall auf dem CPE deaktivieren

In einigen Fällen (zu Testzwecken) ist es möglicherweise besser, die Linux-Firewall der CPE-Instanz, auf der Libreswan ausgeführt wird, vollständig zu deaktivieren. Dies kann mit dem folgenden Befehl erfolgen:

[root@cpe ipsec.d]# systemctl disable --now firewalld

Führen Sie den folgenden Befehl aus, um sicherzustellen, dass der Firewallservice für Libreswan NICHT ausgeführt wird.

[root@cpe ipsec.d]# systemctl status firewalld

Aufgabe 9: Aktivieren und Prüfen, ob der IPSec-Tunnel auf beiden Seiten aktiv ist

Aufgabe 10: Statisches Routing konfigurieren

Aufgabe 11: Endgültigen Ping aus den Quell- und Zielinstanzen initiieren

Aufgabe 12: OCI Site-to-Site-VPN-Status prüfen

Aufgabe 13: Multi-Path-(ECMP-)Routing für gleiche Kosten aktivieren

Bestätigungen

Weitere Lernressourcen

Sehen Sie sich weitere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um ein Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.