Verschiedene Möglichkeiten zum Herstellen einer Verbindung zu Oracle Services

Hier einige Beispiele, wie Sie private Serviceendpunktverbindungen von Ihrem virtuellen Rechner in Oracle Cloud Infrastructure und einem virtuellen Rechner in Ihrem On-Premise-Netzwerk aktivieren können.

Private Verbindung von VM zu Services herstellen

Um die VM des Konsumenten mit Oracle-Services zu verbinden, können Sie über das Servicegateway eine Verbindung zur VCN des Benutzers herstellen, um sie privat zu machen. Auf der anderen Seite können Sie einen privaten Serviceendpunkt verwenden, der automatisch vom Service in der VCN erstellt wird und mit der VMs über diese IP-Adresse eine Verbindung zu den Services herstellen können.

Servicegateway ermöglicht privaten Zugriff auf die VMs in einem privaten Subnetz für die unterstützten Oracle-Services innerhalb der Region. Sie können ein Servicegateway in Ihren privaten Subnetzen erstellen und so den Datenverkehr auf einen öffentlichen Oracle-Service zugreifen, wie z. B. ADW/ATP und Object Storage. Verbindungen können aus den VMs in einem Subnetz eingeleitet werden.

Bei privaten Serviceendpunkten können Sie den Service privat in Ihrem eigenen VCN ausführen und können von jeder Ressource aufgerufen werden, die Zugriff auf diesen VCN hat. Als Servicebenutzer erstellen Sie einen privaten Serviceendpunkt in Ihrem eigenen VCN und nutzen die Oracle-Services privat, ohne Access Control-Listen (ACLs) für jeden öffentlichen IP-Adressraum zu öffnen.

Private Verbindung mit FastConnect oder VPN herstellen

Mit Oracle Cloud Infrastructure können Consumer Datenverkehr von lokalen Systemen an ihr Servicegateway weiterleiten, indem sie FastConnect - oder VPN-basierte private Konnektivität verwenden. Dadurch erhalten die On-Premise-Systeme einen privaten und sichereren Pfad zum Zugriff auf den Service im Vergleich zum internetbasierten Zugriff.

Mit dem Servicegateway durchlaufen Daten einen FastConnect Private Virtual Circuit oder eine Site zu Site-VPN, überführt ein VCN und durchläuft dann ein Servicegateway zu Ihrem Oracle-Service.

Mit privaten Serviceendpunkten sind die Ressourcen über eine private IP-Adresse im VCN des Verbrauchers zugänglich, sodass die Konnektivität von On Premise über Fastconnect und/oder Site zu Site-VPN ermöglicht wird. Die Netzwerkkonfiguration bleibt sicher, indem sie nicht bis zu öffentlichen IP-Adressen geöffnet wird. Sie können die Konfiguration in den Firewalls des Unternehmens vereinfachen und Tabellen weiterleiten, um den Zugriff nur auf die private IP-Adresse zu ermöglichen.

Szenario 1: Verbindung zu Oracle Services weiterleiten

Sie können den Oracle-Serviceprovider anfordern, einen privaten Serviceendpunkt (VNIC) in Ihrem privaten Netzwerk zu erstellen. Ihr Consumer verwendet diese VNIC für den Zugriff auf den Service. Sie durchlaufen den üblichen Onboarding-Workflow, der von dem Service angeboten wird. Neben den Details, die für das Erstellen der Serviceinstanz erforderlich sind, müssen Sie eine Voreinstellung für den Zugriff auf den Service mit einem privaten Endpunkt des Service angeben, einschließlich dem spezifischen VCN und Subnet, in dem der Endpunkt erstellt wird. Der Serviceprovider erstellt eine Instanz und erstellt einen privaten Serviceendpunkt in Consumer VCN/subnet.

Beschreibung von forward_connection_to_services.png folgt
Beschreibung der Abbildung forward_connection_to_services.png

Die private Instanzkonnektivität des Konsumenten auf Oracle Cloud Infrastructure ist identisch mit jeder anderen privaten IP in der VCN des Konsumenten. Es ist eine Service 2-Instanz vorhanden, die einen privaten Serviceendpunkt im VCN des Consumers aufweist. VCN umfasst drei Subnetze: Subnetz A (CIDR 10.1.20.0/24), Subnetz B (CIDR 10.1.21.0/24) und Subnetz C (CIDR 10.1.22.0/24).

Ein On-Premise-Zugriff für den Service erfordert kein zusätzliches Setup für Routing, Sicherheitslisten oder Firewalls, außer dem, über das der Consumer bereits Zugriff auf seine VCN hat, von On Premise. Der Datenfluss sieht folgendermaßen aus:
  • Privater Serviceendpunkt
    • Von der privaten Instanz im Subnetz Ein Verkehr erreicht den privaten Serviceendpunkt in Subnetz B mit einer privaten IP-Adresse innerhalb der VCN des Verbrauchers.
    • Datenflüsse zum Service 2 basierend auf den Subnetzsicherheitsregeln oder Netzwerksicherheitsgruppen, die pro privatem Serviceendpunkt konfiguriert wurden.
  • Servicegateway
    • Vom Host auf dem Subnetz C werden Daten an ein Servicegateway im VCN des Consumers weitergeleitet.
    • Von Consumer VCN verläuft es zu Oracle Services und erreicht Service 1.

Wenn für den privaten Serviceendpunkt eine Oracle-Ressource einem privaten Serviceendpunkt zugeordnet wird, arbeitet die Konnektivität außerhalb des Kästchens für private Instanzen im Subnetz A ohne zusätzliche Konfigurationen für Routentabellen und Oracle Cloud Infrastructure Network-Sicherheitsgruppen.

Wenn Sie einen privaten Zugriff von Ihrem Data Center zu Oracle Cloud benötigen, können Sie Oracle Cloud Infrastructure FastConnect oder IPSec VPN verwenden. Sie können Ihr On-Premise-Netzwerk auf VCN von Consumern um höhere Bandbreite, geringere Latenz und Flexibilität des Peering-Typs erweitern, wie private und/oder öffentlich. Von Ihrem Consumer VCN aus können Sie eine Verbindung zum Service-Provider herstellen.

Beschreibung von fastconnect_vpn_connection.png folgt
Beschreibung der Abbildung fastconnect_vpn_connection.png

In diesem Beispiel ist die Workload eine benutzerdefinierte Anwendung mit einem öffentlichen Load Balancer. Die benutzerdefinierte Anwendung verwendet eine private Datenbank, die in Oracle Cloud ausgeführt wird. Der Datenverkehr zwischen der Cloud und On Premise ist isoliert und sicher. Beachten Sie, dass für den Zugriff auf On Premise über dynamisches Routinggateway (DRG) und für DNS-Konfigurationen diese Konnektivität erforderlich ist.
  • In Oracle Cloud Infrastructure endet der virtuelle FastConnect Circuit bei DRG, der mit einem virtuellen Cloud-Netzwerk (VCN) verbunden ist.
  • Der Datenverkehr vom VCN Consumer zum Service VCN wird über die private IP-Adresse weitergeleitet. Der Datenverkehr in der entgegengesetzten Richtung wird durch DRG geleitet. In beiden Richtungen verlässt der Datenverkehr niemals das private Netzwerk.
  • Sie können eine öffentliche Verbindung zu VCN öffentlich von On Premise aus herstellen, indem Sie den öffentlichen DNS-Namen des Service verwenden.

Szenario 2: Verbindung von Oracle Services umkehren

Eine Gruppe von Services muss Verbindungen zurück zum Consumer-Netzwerk initiieren. Beispiel: Möglicherweise soll die Oracle Analytics Cloud eine Verbindung zu den Endpunkten der Consumer-Datenbank herstellen, die sich in VCN oder On Premise befinden können, um Daten aufzunehmen und die erforderlichen Dashboards/Berichte zu erstellen. Nutzer sollen nicht auf diese Datenquellen über das Internet zugegriffen werden, und möchten den Zugriff auf Oracle Analytics Cloud begrenzen. Mit der Funktionalität für umkehrte Verbindungen im privaten Endpunkt des Oracle Cloud Infrastructure-Service können Serviceprovider auf Endpunkte im Netzwerk des Consumers zugreifen. Die Serviceinstanzen in den Oracle-Services können auf eine vom Consumer festgelegte Workload zugreifen, ohne das Internet zu durchlaufen.

Beschreibung von Reverse _connection_from_services.png folgt
Beschreibung der Abbildung Reverse_connection_from_services.png

Hinweis:

Servicegateway unterstützt keine umgekehrten Verbindungen.

Dieses Produkt erweitert die private Konnektivität von Serviceinstanzen in Oracle Services zu VCN des Verbrauchers, On Premise-Netzwerk und zu anderen Netzwerken, auf die über das VCN des Verbrauchers zugegriffen werden kann. Serviceprovider können mehrere private Serviceendpunkte erstellen, die jede Konnektivität zu einem anderen Consumer-Netzwerk bereitstellen.