1. Verbinden Sie Oracle Cloud Infrastructure Serbien Realm mit einer anderen OCI Commercial-Region
  2. OCI-Serbia-Realm mit einer anderen OCI-Geschäftsregion verbinden

OCI-Serbia-Realm mit einer anderen OCI-Geschäftsregion verbinden

Oracle hat die Jovanovac-Region Oracle Cloud in Kragujevac, Serbien, eröffnet. Diese Region ist in kommerziellen Oracle-Regionen eindeutig, da sie in einer eindeutigen Realm vorhanden ist.

Realms werden im Oracle Cloud-Design implementiert, um eine Region oder eine Gruppe von Regionen aus Gründen der Datensouveränität, Compliance oder Sicherheit abzuschneiden. Eine Realm ist eine logische Sammlung von Cloud-Regionen, die voneinander isoliert sind und nicht zulassen, dass Kundeninhalte Realm-Grenzen zu einer Region außerhalb dieser Realm durchlaufen. Auf jede Realm wird separat zugegriffen.

Oracle stellt nicht die Tools bereit, mit denen Regionen über einen Realm-Grenzwert über unser Netzwerkbackbone verbunden werden können. Es gibt Anwendungsfälle, in denen ein Kunde seine Oracle Cloud-Präsenz über die Realm-Grenzen hinweg verbinden möchte. In diesem Lösungs-Playbook untersuchen wir, wie die Jovanovac-Region Oracle Cloud mit einer kommerziellen Oracle Cloud-Region über die Realm-Grenzen hinweg mit einem Drittanbieter aus dem Oracle Cloud Infrastructure FastConnect-Standort verbunden wird.

Bevor Sie beginnen

Um die in diesem Lösungs-Playbook beschriebenen Aufgaben ausführen zu können, benötigen Sie grundlegende Kenntnisse zum Networking und können sich mit Oracle Cloud Infrastructure (OCI) vertraut machen. Führen Sie vor Beginn die folgenden Voraussetzungen aus.

Um FastConnect für beide in diesem Lösungs-Playbook beschriebenen Speicherorte bereitzustellen, müssen Sie die folgenden Ressourcen bereitstellen und konfigurieren.
  • VCNs - Ein VCN in der Region/Realm in Serbien mit 172.16.0.0/16 CIDR und ein anderes VCN in der Region Frankfurt mit 10.1.0.0/16 CIDR mit allen Subnetzen, Routing und Sicherheitsliste/Netzwerksicherheitsgruppen, um die Konnektivität zwischen Serbien und Frankfurt-CIDR-Blöcken sowie Ihren On-Premise-CIDR-Blöcken zu ermöglichen.
  • DRGs - Ein DRG in Serbien und ein DRG in Frankfurt mit VCN-Anhängen und Routing sind vorhanden, um Traffic zwischen dem VCN in Serbien und dem VCN in Frankfurt zu ermöglichen.
  • Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Berechtigungen - Ein OCI-Account mit mindestens einem Benutzer mit entsprechenden OCI-IAM-Berechtigungen. Beispiel: Ein Benutzer in der Administratorengruppe.
  • Erforderliche Daten zur Konfiguration dieser Lösung:
    • Nicht überlappende IP-CIDR-Blöcke verwenden - In diesem Lösungs-Playbook verwenden wir 172.16.0.0/16 für Serbien, 10.1.0.0/16 für Frankfurt und 100.64.0.0/16 für das On-Premise-Data Center des Kunden.
    • Eine private Border Gateway Protocol (BGP) Autonomous System Number (ASN) - Sie können jede ASN zwischen 64512 und 65533 auswählen.
    • Mindestens (3) /30 Subnetze - Für Point-to-Point-FastConnect-Links. In diesem Lösungs-Playbook verwenden wir 192.168.0.0/30, 192.168.0.4/30 und 192.168.0.8/30.
  • Für Verbindungen zu einem externen Provider: Mindestens eine physische Verbindung mit dem Provider für jeden der jeweiligen Links (d.h. eine physische Verbindung für Serbien, eine physische Verbindung für Frankfurt).
  • Netzwerkausrüstung - CPE-Geräte, die das Layer-3-Routing mit BGP unterstützen.
  • Accountlimits - Wenn Sie mit Oracle eine Colocation beabsichtigen, müssen Sie Oracle bitten, die Accountlimits für Crossconnects zu erhöhen.

    Hinweis:

    Die Standardlimits sind anfänglich auf 0 gesetzt, und ohne eine bestimmte Anforderung zur Limiterhöhung können Sie keinen gültigen Crossconnect erstellen. Anweisungen zum Einreichen dieses Antrags finden Sie unter Anfordern einer Erhöhung des Servicelimits. Geben Sie in Ihrer Anforderung die Region an, in der Sie die Ressourcen benötigen. Es kann einige Geschäftstage dauern, bis das Limit wirksam wird.

Architektur

In dieser Architektur verwenden wir zwei FastConnect-Setups, die Ihr Netzwerk als Verbindungspunkt zwischen den beiden OCI-Realms verwenden.

Ein On-Premise-Kundenstandort ist sowohl mit der Region Serbien Realm (eu-jovanovac-1) als auch mit der Region Frankfurt (eu-frankfurt-1) in unserer Commercial Realm verbunden. Der Verbindungsprozess für den Kunden umfasst folgende Schlüsselpunkte:

  • Mit einem externen Telekommunikationsprovider können Sie Layer-2-Konnektivität vom On-Premise-CPE1 bis zum Oracle Edge-Router im Oracle-Standort FastConnect in Serbien bereitstellen.
  • Mit einem externen Telekommunikationsanbieter können Sie Layer-2-Konnektivität vom On-Premise-CPE2 bis zum Oracle Edge-Router im Oracle-Standort FastConnect in Frankfurt bereitstellen.
  • Richten Sie eine Layer-3-BGP-Peering-Verbindung von CPE1 zum Oracle Edge-Router im OCI-Standort Serbien FastConnect ein.
  • Richten Sie eine Layer-3-BGP-Peering-Verbindung von CPE2 zum Oracle Edge-Router im OCI-Standort Frankfurt FastConnect ein.
  • Stellen Sie Layer-3-Netzwerkkonnektivität in einem eigenen Netzwerk bereit, damit der Traffic von der OCI-Realm in Serbien die Region Frankfurt erreicht und umgekehrt.

Beschreibung von oci-serbia-realm-arch.png folgt
Beschreibung der Abbildung oci-serbia-realm-arch.png

OCI-Serbia-realm-arch-oracle.zip

Diese Architektur unterstützt die folgenden Komponenten:

  • FastConnect

    Mit Oracle Cloud Infrastructure FastConnect können Sie ganz einfach eine dedizierte, private Verbindung zwischen Ihrem Data Center und Oracle Cloud Infrastructure erstellen. FastConnect bietet Optionen mit höherer Bandbreite und eine zuverlässigere Netzwerkerfahrung im Vergleich zu internetbasierten Verbindungen.

  • Virtuelles Cloud-Netzwerk (VCN) und Subnetz

    Ein VCN ist ein anpassbares, Software-definiertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten können. Wie herkömmliche Data Center-Netzwerke erhalten Sie mit VCNs vollständige Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem Bereich zusammenhängender Adressen, die sich nicht mit anderen Subnetzen im VCN überschneiden. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.

  • Sicherheitsliste

    Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Typ des Traffics angeben, der in das und aus dem Subnetz zugelassen werden muss.

  • Route-Tabelle

    Virtuelle Routentabellen enthalten Regeln, mit denen Traffic von Subnetzen zu Zielen außerhalb eines VCN, normalerweise über Gateways, weitergeleitet wird.

  • Dynamisches Routinggateway (DRG)

    Das DRG ist ein virtueller Router, der einen Pfad für privaten Netzwerktraffic zwischen VCNs in derselben Region zwischen einem VCN und einem Netzwerk außerhalb der Region bereitstellt, wie einem VCN in einer anderen Oracle Cloud Infrastructure-Region, einem On-Premise-Netzwerk oder einem Netzwerk in einem anderen Cloud-Provider.

Hinweise

Berücksichtigen Sie bei der Implementierung dieser Lösung die folgenden Best Practices für das Design.

  • Vermeiden einzelner Fehlerpunkte - Es wird empfohlen, verschiedene CPE-Verbindungen (einen Router für die Konnektivität zu Serbien und einen separaten Router für die Konnektivität zu Frankfurt) zu verwenden. Dadurch werden die Chancen auf einen Ausfall aufgrund eines einzelnen Fehlers reduziert.
  • VPN als Backup in FastConnect verwenden - Oracle empfiehlt, dass Sie Site-to-Site-VPN als Backup für die FastConnect-Verbindung verwenden. Stellen Sie sicher, dass die Site-to-Site-VPN-IPSec-Tunnel zur Verwendung von BGP-Routing mit einem routenbasierten VPN konfiguriert sind. Bearbeiten Sie in Ihrem vorhandenen On-Premise-Netzwerk das Routing so, dass es Routen bevorzugt, die über FastConnect als durch Site-to-Site-VPN erlernte Routen. Beispiel: Verwenden Sie AS_Path Prepend, um Egress-Datenverkehr von Oracle zu beeinflussen, und verwenden Sie eine lokale Voreinstellung, um Egress-Datenverkehr aus Ihrem Netzwerk zu beeinflussen. Wenn Sie ein VPN-Backup verwenden, prüfen Sie das BGP-Routingverhalten von Oracle in der Tabelle unter Routen von Oracle zu Ihrem On-Premise-Netzwerk mit AS_PATH bevorzugen.
  • Beeinflussung von Traffic von Oracle Cloud zu On-Premise (AS_PATH) - Wenn Traffic von Oracle Cloud einen Pfad gegenüber dem anderen bevorzugen soll, wenn er zu Ihrem On-Premise-Speicherort zurückkommt, können Sie das BGP-Attribut AS_PATH verwenden, um Routen von Oracle Cloud zu Ihrem On-Premise-Netzwerk zu bevorzugen.
  • Beeinflussung von Traffic von On Premise zu Oracle Cloud (lokale Voreinstellung) - Wenn Traffic von Ihrem On-Premise-Standort einen Pfad gegenüber dem anderen bevorzugen soll, wie er zu Oracle Cloud gehört, können Sie die Vorteile der lokalen BGP-Voreinstellung nutzen, um den Egress-Traffic zu beeinflussen, der Ihr On-Premise-Netzwerk zu Oracle Cloud verlässt.