1. OCI Observability and Management für AWS RDS-Datenbanken einrichten
  2. Lösung konfigurieren

Lösung konfigurieren

Die Konfiguration dieser Lösung ist ein zweistufiger Prozess, bei dem die Netzwerkinfrastruktur konfiguriert und anschließend Management Gateway und Management Agent installiert wird. Die folgenden Schritte führen Sie durch diese Phasen.

Networking konfigurieren

Führen Sie die folgenden Schritte aus, um das VPN-Tunneling IPSec zwischen AWS und OCI einzurichten, um die Kommunikation zwischen den RDS- und O&M-Services zu ermöglichen. Dieses Setup funktioniert mit OCI Site-to-Site-VPN Version 2.

Erstellen eines temporären Kundengateways für AWS

Mit dem temporären Kundengateway können Sie das AWS-Site-to-Site-VPN anfänglich bereitstellen und den AWS-VPN-Endpunkt für Ihren Tunnel anzeigen. OCI erfordert eine öffentliche IP des Remote-VPN-Peers, bevor Sie eine IPSec-Verbindung erstellen können. Nachdem Sie diesen Prozess abgeschlossen haben, wird ein neues Kundengateway konfiguriert, das die tatsächliche öffentliche IP des OCI-VPN-Endpunkts darstellt.

  1. Erweitern Sie im AWS-Hauptportal das Menü Services oben links auf dem Bildschirm. Wechseln Sie unter Networking & Content Delivery zu VPC.
  2. Scrollen Sie im linken Menü nach unten, und klicken Sie unter Virtuelles privates Netzwerk (VPN) auf Kundengateways.
  3. Klicken Sie auf Customer Gateway erstellen, um ein Kundengateway zu erstellen.
    Die Seite "Kundengateway erstellen" wird angezeigt.
  4. Geben Sie die folgenden Informationen ein:
    • Name: Geben Sie diesem Kundengateway einen temporären Namen. In diesem Beispiel wird der Name TempGateway verwendet.
    • Routing: Wählen Sie "Dynamic" aus.
    • BGP ASN: Geben Sie die OCI-BGP-ASN ein. Die BGP-ASN von Oracle für die kommerzielle Cloud ist 31898, mit Ausnahme der Region Serbien Central (Jovanovac), die 14544 ist.
    • IP Address: Verwenden Sie eine gültige IPv4-Adresse für das temporäre Gateway. In diesem Beispiel wird 1.1.1.1 verwendet.
  5. Wenn Sie die Konfiguration des temporären Kundengateways abgeschlossen haben, schließen Sie den Provisioning-Prozess ab, indem Sie auf Customer Gateway erstellen klicken.

Erstellen und Anhängen eines virtuellen privaten Gateways für AWS

Mit einem Virtual Private Gateway (VPG) können Ressourcen außerhalb Ihres Netzwerks mit Ressourcen kommunizieren, die sich in Ihrem Netzwerk befinden. Im Folgenden wird beschrieben, wie Sie ein VPG für AWS erstellen und anhängen.

  1. Scrollen Sie im linken AWS-Menü nach unten, und klicken Sie unter Virtual Private Network (VPN) auf Virtual Private Gateways.
  2. Klicken Sie auf Create Virtual Private Gateway, um ein neues Virtual Private Gateway zu erstellen.
    Die Seite Virtuelles privates Gateway erstellen wird angezeigt.
  3. Geben Sie die folgenden Informationen ein:
    • Name: Geben Sie einen Namen an.
    • ASN: Wählen Sie "Amazon default ASN" aus.
  4. Wenn Sie die Konfiguration des virtuellen privaten Gateways abgeschlossen haben, schließen Sie das Provisioning ab, indem Sie auf Create Virtual Private Gateway klicken.
  5. Nachdem das VPG erstellt wurde, hängen Sie es an den VPC Ihrer Wahl an:
    1. Stellen Sie auf der Seite Virtual Private Gateway sicher, dass Ihr VPG ausgewählt ist, öffnen Sie das Menü "Aktionen" (Menü "Aktionen"), und wählen Sie An VPC anhängen aus. Die Seite An VPC anhängen für das ausgewählte virtuelle private Gateway wird angezeigt.
    2. Wählen Sie Ihren VPC aus der Liste aus, und klicken Sie auf Yes, Attach, um das Anhängen des VPG an den VPC abzuschließen.

Erstellen einer VPN-Verbindung für AWS

Führen Sie diese Schritte aus, um OCI über die nativen VPN-Services mit AWS zu verbinden.

  1. Scrollen Sie im linken Menü nach unten, und klicken Sie unter Virtual Private Network (VPN) auf Site-to-Site VPN Connections.
  2. Klicken Sie auf VPN-Verbindung erstellen, um ein neues Virtual Private Gateway zu erstellen. Die Seite "Create VPN Connection" wird aufgerufen.
  3. Geben Sie die folgenden Informationen ein:
    • Name tag: Geben Sie einen Namen für die VPN-Verbindung an.
    • Tzielgatewaytyp: Wählen Sie Virtual Private Gateway und dann das zuvor erstellte virtuelle private Gateway aus der Liste aus.
    • Customer Gateway: Wählen Sie "Vorhanden" und dann das temporäre Kundengateway aus der Liste aus.
    • Routing Options: Wählen Sie Dynamic (requires BGP) aus.
    • Tunnel inside IP Version: Wählen Sie IPv4 aus.
    • Lokale/Remote-IPv4-Netzwerk-Cidr: Lassen Sie beide Felder leer, und erstellen Sie ein routenbasiertes IPSec-VPN.

      Gehen Sie zum nächsten Schritt. Klicken Sie noch nicht auf Create VPN Connection.

  4. Scrollen Sie auf der Seite Create VPN Connection nach unten zu Tunnel Options.
  5. Wählen Sie ein /30-CIDR aus dem linklokalen Bereich 169.254.0.0/16 aus. Geben Sie das vollständige CIDR im Inside IPv4 CIDR for Tunnel 1 ein.
  6. Stellen Sie sicher, dass OCI die ausgewählte /30-Adresse für die internen Tunnel-IPs unterstützt.
    OCI lässt die Verwendung folgender IP-Bereiche für Tunnel-IPs nicht zu:
    • 169,254-169,254
    • 169,254-169,254
    • 169,254-169,254
    Gehen Sie zum nächsten Schritt. Klicken Sie noch nicht auf Create VPN Connection.
  7. Wählen Sie unter Erweiterte Optionen für Tunnel 1 die Option Optionen für Tunnel 1 bearbeiten aus.
    Eine zusätzliche Gruppe von Optionen wird erweitert. Wenn Sie die für diesen Tunnel verwendeten Verschlüsselungsalgorithmen einschränken möchten, konfigurieren Sie die gewünschten Optionen für Phase 1 und Phase 2 hier. Verwenden Sie IKEv2 für diese Verbindung. Deaktivieren Sie das Kontrollkästchen IKEv1, um zu verhindern, dass IKEv1 verwendet wird. Eine Beschreibung der von OCI unterstützten Optionen für Phase 1 und Phase 2 finden Sie unter "Unterstützte IPSec-Parameter" (siehe "Weitere Informationen").
  8. Nachdem Sie alle erforderlichen Optionen konfiguriert haben, schließen Sie den Provisioning-Prozess für die VPN-Verbindung ab, indem Sie auf Create VPN Connection klicken.

AWS-Konfiguration herunterladen

Laden Sie beim Provisioning der VPN-Verbindung die Konfiguration aller Tunnelinformationen herunter. Diese Textdatei ist erforderlich, wenn Sie den Tunnel in der OCI-Konsole konfigurieren möchten.

  1. Stellen Sie sicher, dass Ihre VPN-Verbindung ausgewählt ist, und klicken Sie auf Konfiguration herunterladen.
  2. Wählen Sie unter Vendor and Platform die Einstellung "Generic" aus, und klicken Sie dann auf Download, um eine Textkopie der Konfiguration auf Ihrer lokalen Festplatte zu speichern.
  3. Öffnen Sie die heruntergeladene Konfigurationsdatei im Texteditor Ihrer Wahl. Schauen Sie unter IPSec Tunnel #1, section #1 Internet Key Exchange Configuration. Hier finden Sie den automatisch generierten Pre-Shared Key für Ihren Tunnel. Speichern Sie diesen Wert.
    AWS generiert möglicherweise einen Pre-Shared Key mit Punkt (.) oder Unterstrich (_). OCI unterstützt die Verwendung dieser Zeichen in einem Pre-Shared Key nicht. Ein Schlüssel, der diese Zeichen enthält, muss geändert werden. So ändern Sie Ihren Pre-Shared Key in AWS für einen Tunnel:
    1. Wählen Sie Ihre VPN-Verbindung, öffnen Sie das Menü Aktionen, und wählen Sie VPN-Tunneloptionen ändern aus.
    2. Scrollen Sie in der heruntergeladenen Konfiguration unter Tunnel 1 nach unten zum Abschnitt #3 Tunnel Interface Configuration.
    3. Um die Site-to-Site-VPN-Konfiguration in OCI abzuschließen, notieren Sie sich die folgenden Werte:
      • Externe IP-Adresse des virtuellen privaten Gateways
      • Interne IP für das Kundengateway
      • Interne IP für das virtuelle private Gateway
      • Virtual Private Gateway-BGP-ASN Die Standard-ASN ist 64512.

Customer Premises Equipment für OCI erstellen

Als Nächstes müssen Sie das On-Premises-Gerät (Customer Premises Equipment oder CPE) am Ende des Site-to-Site-VPN konfigurieren, damit der Traffic zwischen Ihrem On-Premises-Netzwerk und dem virtuellen Cloud-Netzwerk (VCN) fließen kann. Gehen Sie wie im Folgenden beschrieben vor.

  1. Klicken Sie im Navigationsmenü auf Networking. Klicken Sie unter Kundenkonnektivität auf Kunden-Premise-Geräte.
  2. Klicken Sie auf Customer Premises Equipment erstellen.
  3. Geben Sie folgende Werte ein:
    • In Compartment erstellen: Wählen Sie das Compartment für das gewünschte VCN aus.
    • Name: Geben Sie einen beschreibenden Namen für das CPE-Objekt ein. Dieser Name muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie dabei keine vertraulichen Informationen ein. In diesem Beispiel wird TO_AWS als Name verwendet.
    • IP-Adresse: Geben Sie die externe IP-Adresse des Virtual Private Gateways ein, die in der von AWS heruntergeladenen Konfiguration angezeigt wird.
    • CPE-Anbieter: Wählen Sie Weitere aus.
  4. Klicken Sie auf CPE erstellen.

IPSec-Verbindung für OCI erstellen

Jetzt müssen Sie die IPSec-Tunnel erstellen und den Typ des Routings konfigurieren, entweder statisches oder dynamisches BGP-Routing. Gehen Sie wie im Folgenden beschrieben vor.

  1. Klicken Sie im Navigationsmenü auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.
  2. Klicken Sie auf IPSec-Verbindung erstellen.
    Ein neues Verbindungsdialogfeld IPSec wird angezeigt.
  3. Geben Sie folgende Werte ein:
    • Erstellen in Compartment: Übernehmen Sie die Vorgabe (das VCN-Compartment).
    • Name: Geben Sie einen aussagekräftigen Namen für die Verbindung IPSec ein (Beispiel: OCI-AWS-1). Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie dabei keine vertraulichen Informationen ein.
    • Compartment für Customer-Premises Equipment: Übernehmen Sie die Vorgabe (das Compartment des VCN).
    • Customer-Premises Equipment: Wählen Sie das zuvor erstellte CPE-Objekt namens TO_AWS aus.
    • Compartment dynamisches Routinggateway: Übernehmen Sie die Vorgabe (das VCN-Compartment).
    • Dynamisches Routinggateway: Wählen Sie das zuvor erstellte DRG aus.
    • CIDR mit statischer Route: Geben Sie die Default-Route 0.0.0.0/0 ein.

      Da der aktive Tunnel BGP verwendet, ignoriert OCI diese Route. Für den zweiten Tunnel der IPSec-Verbindung ist ein Eintrag erforderlich, der standardmäßig statisches Routing verwendet, aber die in diesem Szenario nicht verwendete Adresse. Wenn Sie statisches Routing für diese Verbindung verwenden möchten, geben Sie statische Routen ein, die Ihr virtuelles AWS-Netzwerk darstellen. Sie können bis zu 10 statische Routen für jede IPSec-Verbindung konfigurieren.

  4. Geben Sie die folgenden Details auf der Registerkarte Tunnel 1 ein (erforderlich):
    • Name: Geben Sie einen beschreibenden Namen für den Tunnel ein. (Beispiel: AWS-TUNNEL-1). Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie dabei keine vertraulichen Informationen ein.
    • Benutzerdefiniertes Shared Secret angeben: Geben Sie den Pre-Shared Key ein, der von IPSec für diesen Tunnel verwendet wird. Aktivieren Sie dieses Kontrollkästchen, und geben Sie den Pre-Shared Key aus der AWS-VPN-Konfigurationsdatei ein.
    • IKE-Version: Wählen Sie IKEv2 aus.
    • Routingtyp: Wählen Sie dynamisches BGP-Routing aus.
    • BGP-ASN: Geben Sie die von AWS verwendete BGP-ASN aus der AWS-VPN-Konfigurationsdatei ein. Die standardmäßige AWS-BGP-ASN lautet 64512.
    • IPv4 Interne Tunnelschnittstelle - CPE: Geben Sie die interne IP-Adresse des virtuellen privaten Gateways aus der AWS-VPN-Konfigurationsdatei ein. Verwenden Sie die vollständige CIDR-Notation für diese IP-Adresse.
    • IPv4 Interne Tunnelschnittstelle - Oracle: Geben Sie die von OCI verwendete interne IP-Adresse ein. Geben Sie aus der AWS-VPN-Konfigurationsdatei die interne IP-Adresse für das Kundengateway ein. Verwenden Sie die vollständige CIDR-Notation für diese IP-Adresse.
  5. Klicken Sie auf IPSec-Verbindung erstellen.
    Die Verbindung IPSec wird erstellt und auf der Seite angezeigt. Die Verbindung befindet sich für einen kurzen Zeitraum im Provisioning-Status.
  6. Notieren Sie sich nach dem Provisioning der IPSec-Verbindung die Oracle-VPN-IP-Adresse des Tunnels. Diese Adresse wird verwendet, um ein neues Kundengateway im AWS-Portal zu erstellen.
    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

      Eine Liste der IPSec-Verbindungen in dem Compartment, das Sie geöffnet haben, wird angezeigt. Wenn Sie die gewünschte Verbindung nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).

    2. Klicken Sie auf die gewünschte Verbindung IPSec (Beispiel: OCI-AWS-1).
    3. Suchen Sie die Oracle-VPN-IP-Adresse von AWS-TUNNEL-1.

Erstellen eines neuen AWS-Kundengateways

Erstellen Sie jetzt ein neues Kundengateway über dem vorhandenen Kundengateway, indem Sie die Details verwenden, die über die OCI-Verbindung IPSec erfasst wurden.

  1. Gehen Sie in der AWS-Konsole zu Kundengateways, und erstellen Sie ein Kundengateway, indem Sie die folgenden Details eingeben:
    • Name: Geben Sie diesem Kundengateway einen Namen.
    • Routing: Wählen Sie "Dynamic" aus.
    • BGP ASN: Geben Sie die OCI-BGP-ASN ein. Die BGP-ASN von Oracle für die kommerzielle Cloud ist 31898, mit Ausnahme der Region Serbien Central (Jovanovac), die 14544 ist.
    • IP Address: Geben Sie die Oracle VPN-IP-Adresse für Tunnel 1 ein. Verwenden Sie die IP, die in der vorherigen Aufgabe gespeichert wurde.
  2. Um das Provisioning abzuschließen, klicken Sie auf Customer Gateway erstellen.

Ändern der VPN-Verbindung mit dem neuen AWS-Kundengateway

Diese Aufgabe ersetzt das temporäre Kundengateway durch ein Gateway, das die OCI-VPN-IP-Adresse verwendet.

  1. Gehen Sie in der AWS-Konsole zu Site-to-Site VPN Connections, und wählen Sie Ihre VPN-Verbindung aus.
  2. Öffnen Sie das Menü Aktionen, und wählen Sie VPN-Verbindung ändern aus.
    Die Seite Modify VPN Connection wird angezeigt.
  3. Geben Sie die folgenden Informationen ein:
    • Zieltyp: Wählen Sie Kundengateway in der Liste aus.
    • Zielkundengateway-ID: Wählen Sie das neue Kundengateway mit der OCI-VPN-IP-Adresse in der Liste aus.
  4. Wenn Sie fertig sind, klicken Sie auf Speichern, um die Konfiguration zu speichern. Nach einigen Minuten beendet AWS das Provisioning der VPN-Verbindung, und Ihr IPSec-VPN zwischen AWS und OCI wird bereitgestellt.
  5. An dieser Stelle können Sie das temporäre Kundengateway löschen.

Konnektivität validieren

Navigieren Sie zu Ihrer IPSec-Verbindung in OCI und den Site-to-Site-VPN-Verbindungen in AWS, um den Tunnelstatus zu prüfen.

  • Der OCI-Tunnel unter der Verbindung IPSec zeigt den Status Hochgefahren für IPSec an, um einen Betriebstunnel zu bestätigen.
  • Unter IPv4 BGP-Status wird auch Hochgefahren angezeigt, was eine eingerichtete BGP-Session bestätigt.
  • Der Tunnelstatus auf der Registerkarte Tunneldetails für Ihre Site-to-Site-VPN-Verbindung in AWS zeigt Hochgefahren an.

Management Gateway und Agent installieren

Informationen zur Architektur zur Installation von Agent und Gateway in einer Site-to-Site-VPN-Umgebung finden Sie unter "Sicherer On-Premise-Upload von Beobachtungsdaten mit Management Gateway" (siehe "Weitere Informationen").

Installieren Sie Management Gateway

Als Nächstes müssen Sie Management Gateway installieren. Das Management Gateway sollte mit den OCI-Services über den VPN-Tunnel IPSec und nicht über das öffentliche Subnetz kommunizieren können. Da diese Aufgabe außerhalb des Geltungsbereichs dieses Dokuments liegt, finden Sie detaillierte Schritte unter "Management Gateway-Installation" (siehe "Mehr erfahren").

Installieren Sie den Management Agent

Zuerst müssen Sie den Management Agent installieren. Da diese Aufgabe außerhalb des Geltungsbereichs dieses Dokuments liegt, können Sie auf "Management Agent Installation" für detaillierte Schritte verweisen (siehe "Mehr erfahren").

Service-Plug-ins bereitstellen

Mit Management-Agents können Sie Service-Plug-ins für verschiedene OCI-Services bereitstellen. Service-Plug-ins können für Management-Agents bereitgestellt werden, um Aufgaben für diese Services auszuführen. Jeder Management Agent kann mehrere Service-Plug-ins haben.

Stellen Sie die folgenden Plug-ins auf dem Management Agent bereit.

  • Datenbankmanagement und Operations Insights
  • Logging Analytics
  • Ops Insights-Hostservice
  • Stack Monitoring

Service-Plug-in auf dem Agent bereitstellen

Verwenden Sie diese Methode, wenn der Management Agent bereits installiert ist, wie unter Management-Agents installieren beschrieben.

So stellen Sie ein Plug-in bereit:
  1. Klicken Sie im linken Menü auf Agents, um die Seite "Agent" zu öffnen.
  2. Klicken Sie in der Liste Agents auf den gewünschten Agent, für den Sie das Plug-in bereitstellen möchten. Die Seite Agent-Details wird angezeigt.
  3. Klicken Sie auf Plug-ins bereitstellen. Das Fenster Plug-ins bereitstellen wird angezeigt. Wählen Sie das Plug-in aus, und klicken Sie auf Aktualisieren. Das ausgewählte Plug-in wird für den gewünschten Agent bereitgestellt.
  4. Prüfen Sie den Status des Agent und der Plug-ins auf der Homepage des Agent.