Documentación de Oracle Cloud Infrastructure

Conexión mediante VPN de sitio a sitio

En este tema se explica una forma de configurar una conexión entre una red IP de Oracle Cloud Infrastructure Classic y una red virtual en la nube (VCN) de Oracle Cloud Infrastructure. La conexión se realiza mediante VPN de sitio a sitio.

Otra opción consiste en que Oracle configure una conexión a través de su red. Para obtener más información, consulte Conexión entre redes de Oracle.

Aspectos destacados

  • Puede ejecutar una carga de trabajo híbrida entre sus entornos de Oracle Cloud Infrastructure Classic y Oracle Cloud Infrastructure.
  • Puede configurar la VPN de sitio a sitio entre el gateway de VPN como servicio (VPNaaS) de la red IP y el gateway de enrutamiento dinámico (DRG) asociado de la VCN. La conexión se realiza mediante internet. Puede configurar las reglas de enrutamiento y de seguridad en los entornos para activar el tráfico.
  • Los dos entornos no deben tener CIDR solapados. Los recursos en la nube se pueden comunicar por medio de la conexión solo con direcciones IP privadas.
  • Los dos entornos no tienen que estar en la misma área geográfica ni región.
  • La conexión es un servicio gratuito.

Visión general

Puede conectar su entorno de Oracle Cloud Infrastructure y su entorno de Oracle Cloud Infrastructure Classic con VPN de sitio a sitio. La conexión facilita un despliegue híbrido con componentes de aplicación que se configuran en los dos entornos. También puede utilizar la conexión para migrar cargas de trabajo de Oracle Cloud Infrastructure Classic a Oracle Cloud Infrastructure. En comparación con la red de Oracle para la conexión: puede configurar la VPN de sitio a sitio en cuestión de minutos. Comparado con FastConnect: no se aplicarán cargos adicionales y se evitarán sobrecargas operativas al trabajar con un partner de FastConnect.

En el siguiente diagrama se muestra un ejemplo de un despliegue híbrido. Oracle Analytics Cloud se ejecuta en una red IP de Oracle Cloud Infrastructure Classic y accede al servicio de base de datos en Oracle Cloud Infrastructure a través de la conexión.

En este diagrama se muestra la conexión entre una red IP y la VCN.

Estos son otros detalles importantes para tener en cuenta:

  • La conexión se admite en cualquiera de las regiones de Oracle Cloud Infrastructure y Oracle Cloud Infrastructure Classic. Los dos entornos no tienen que estar en la misma área geográfica.
  • La conexión permite la comunicación que solo utiliza direcciones IP privadas.
  • Los bloques CIDR de la red IP y las subredes de la VCN que necesitan estar comunicados no se deben solapar.
  • Esta conexión permite la comunicación solo entre recursos de la red IP de Oracle Cloud Infrastructure Classic y la VCN de Oracle Cloud Infrastructure. Esto no activa el tráfico entre su red local a través de la red IP a la VCN o desde su red local a través de la VCN hasta la red IP.
  • La conexión tampoco permite que el tráfico fluya desde la red IP a través de la VCN conectada hasta una VCN conectada en la misma región de Oracle Cloud Infrastructure o una región diferente.

La siguiente tabla muestra los componentes de red comparables necesarios en cada lado de la conexión.

Componente Oracle Cloud Infrastructure Classic Oracle Cloud Infrastructure
Red en la nube Red IP VCN
Gateway Gateway de VPNaaS gateway de enrutamiento dinámico (DRG)
Reglas de seguridad reglas de seguridad grupos de seguridad de red, listas de seguridad

Configuración de una VPN de sitio a sitio entre su red IP y la VCN

En el siguiente diagrama de flujo se muestra el proceso general de conexión de la red IP y la VCN con la VPN de sitio a sitio.

En este diagrama de flujo se muestran los pasos para conectar su red IP y la VCN con VPN Connect

Previos necesarios:

Ya debería tener:

  • Una red IP de Oracle Cloud Infrastructure Classic.
  • Una VCN de Oracle Cloud Infrastructure con subredes.
Tarea 1: configurar un gateway de VPNaaS para la red IP

  1. Utilice estos valores al configurar el gateway de VPNaaS:

    • Red IP: la red IP de Oracle Cloud Infrastructure Classic que desea conectar a la VCN. Solo puede especificar una única red IP.
    • Gateway de cliente: valor de marcador de posición, como 129.213.240.51. El uso de este valor de marcador de posición permite el avance en el proceso. Posteriormente, actualizará el valor con la dirección IP del enrutador de la VPN de Oracle Cloud Infrastructure.
    • Rutas accesibles al cliente: bloque CIDR para la VCN. Solo puede especificar una VCN.
    • Especifique la casilla de la propuesta ESP de fase 2: casilla de control seleccionada.
    • Cifrado ESP: AES 256
    • Hash ESP: SHA1
    • Duración de IPSec: 1800
    • Solicitar confidencialidad directa perfecta: casilla de control seleccionada.
  2. Registre la dirección IP pública resultante del gateway de VPNaaS.
Tarea 2: configurar los componentes de la VCN y el túnel de IPSec
Tarea 2b: configurar el enrutamiento a un DRG

Agregue una regla de ruta que dirija el tráfico de las subredes de la VCN al DRG. Utilice el bloque CIDR de la red IP como destino para la regla.

  1. Determine cuáles son las subredes de la VCN que deben comunicarse con la red IP.

  2. Actualice la tabla de rutas de cada una de esas subredes para incluir una nueva regla que dirija el tráfico destinado al CIDR de la red IP hasta el DRG:

    1. Abra el menú de navegación, haga clic en Red y, a continuación, en Redes virtuales en la nube.
    2. Haga clic en la VCN que le interesa.
    3. En Recursos, haga clic en Tablas de rutas.
    4. Haga clic en la tabla de rutas que le interesa.

    5. Haga clic en Agregar regla de ruta e introduzca lo siguiente:

      • Bloque CIDR de destino: el bloque CIDR de la red IP.
      • Tipo de destino: gateway de enrutamiento dinámico. El DRG asociado de la VCN se selecciona automáticamente como destino y no tiene que especificarlo usted mismo.
      • Descripción: descripción opcional de la regla.
    6. Haga clic en Agregar regla de ruta.

Todo el tráfico de subred con un destino que coincida con la regla se direcciona al DRG. Para obtener más información sobre la configuración de reglas de ruta, consulte Tablas de rutas de VCN.

Más adelante, si ya no necesita la conexión y desea suprimir el DRG, primero debe empezar por todas las reglas de ruta de la VCN que especifican el DRG como destino.

Tarea 2c: configurar las reglas de seguridad

Para garantizar los flujos de tráfico entre la red IP y la VCN, defina las reglas de seguridad de la red IP y las reglas de seguridad de la VCN de modo que permitan el tráfico deseado.

Estos son los tipos de reglas que se deben agregar:

  • Reglas de entrada para los tipos de tráfico que desea permitir que entren en una nube desde la otra, concretamente, desde el bloque CIDR de la otra nube.
  • Regla de salida para permitir el tráfico saliente de una nube a la otra. Si la subred de la VCN ya tiene una regla de salida amplia para todos los tipos de protocolos a todos los destinos (0.0.0.0/0), no es necesario, entonces, que agregue una especial para la red IP.
Para la red IP

Configure las reglas de seguridad de red de la red IP para permitir el tráfico deseado.

Para la VCN
Tenga

en cuenta que el siguiente procedimiento utiliza listas de seguridad, pero, en cambio, puede implementar las reglas de seguridad en uno o más grupos de seguridad de red y, por lo tanto, situar los recursos de la VCN en el NSG.
  1. Determine cuáles son las subredes de la VCN que deben comunicarse con la red IP.

  2. Actualice la lista de seguridad de cada una de las subredes para incluir reglas que permitan el tráfico deseado de salida o entrada deseado específicamente con el bloque CIDR de la red IP:

    1. En la consola, mientras visualiza la VCN que le interesa, haga clic en Listas de seguridad.

    2. Haga clic en la lista de seguridad en la que está interesado.

      En Recursos, puede hacer clic en Reglas de entrada o en Reglas de salida para cambiar entre los distintos tipos de reglas.

    3. Agregue una o varias reglas, cada una para el tipo de tráfico específico que desea permitir.

    Para obtener más información sobre la configuración de reglas de listas de seguridad, consulte Listas de seguridad.

    Importante

    La lista de seguridad por defecto de la VCN no permite la respuesta de eco de ICMP ni la solicitud de eco (ping). Agregue reglas para activar ese tráfico. Consulte Reglas para activar el ping
Ejemplo

Supongamos que desea agregar una regla con estado que activa el tráfico de entrada HTTPS (puerto 443) desde el CIDR de la red IP. A continuación, se muestran los pasos básicos que debe realizar al agregar una regla:

  1. En la página Reglas de entrada, haga clic en Agregar regla de entrada.
  2. Deje desactivada la casilla Stateless (Sin estado).
  3. CIDR de origen: introduzca el mismo bloque CIDR que utilizan las reglas de ruta (consulte Tarea 2b: configurar enrutamiento al DRG).
  4. Protocolo IP: Dejar como TCP.
  5. Rango de puertos de origen: déjelo como Todos.
  6. Rango de puertos de destino: Introducir 443.
  7. Haga clic en Agregar regla de entrada.
  8. Descripción: opcionalmente, introduzca una descripción de la regla.
Tarea 2d: crear un objeto CPE

Cree un objeto CPE. La dirección IP es necesaria. Utilice la dirección IP pública del gateway de VPNaaS.

Tarea 2e: crear la conexión a IPSec

Desde el DRG, cree una conexión IPSec al objeto CPE. Debe proporcionar una o más rutas estáticas. Los valores deben coincidir con las subredes o el agregado de la red IP.

La conexión IPSec resultante consta de dos túneles. Registre la dirección IP y el secreto compartido para uno de esos túneles. En la siguiente tarea, proporcionará esos valores.

Tarea 3: actualizar la conexión de VPNaaS con la información del túnel

Actualice la conexión VPNaaS. Utilice estos valores:

  • Gateway de cliente: dirección IP del túnel de la tarea anterior.
  • Clave compartida previamente: secreto compartido del túnel de la tarea anterior.

Una vez actualizada y aprovisionada la conexión IPsec, el estado del túnel de IPSec debe cambiar a Disponible. El aprovisionamiento puede tardar varios minutos.

Tarea 4: probar la conexión

Después de que el estado del túnel cambie a Disponible, pruebe la conexión. En función de cómo haya configurado las reglas de seguridad de la red IP y las reglas de seguridad de la VCN, podrá iniciar una instancia en la VCN y acceder a ella desde una instancia de la red IP. O bien, debe poder conectarse desde la instancia de la VCN a una instancia en la red IP. Si lo consigue, la conexión estará lista para su uso.

Finalización de la conexión

Si desea finalizar la conexión, suprima la conexión de IPSec:

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad con el cliente, haga clic en VPN de sitio a sitio.

    Se muestra una lista de las conexiones de IPSec en el compartimiento que está visualizando. Si no encuentra el que está buscando, verifique que está visualizando el compartimento correcto (selecciónelo en la lista en la parte izquierda de la página).

  2. Haga clic en la conexión de IPSec que le interesa.
  3. Haga clic en Finalizar.
  4. Confirme la finalización cuando sea solicitada.

La conexión de IPSec estará en estado Finalización durante un período corto mientras se suprima.