1. Configurar OCI Observability and Management para bases de datos RDS de AWS
  2. Configuración de la solución

Configuración de la solución

La configuración de esta solución es un proceso de dos etapas, que configura la infraestructura de red y, a continuación, instala Management Gateway y Management Agent. Los siguientes procedimientos le guiarán a través de estas etapas.

Configure la red

Utilice los siguientes pasos para configurar el túnel VPN IPSec entre AWS y OCI para permitir la comunicación entre los servicios de RDS y O&M. Esta configuración funcionará con la versión 2 de la VPN de sitio a sitio de OCI.

Creación de una puerta de enlace de cliente temporal para AWS

Utilice el gateway de cliente temporal para provisionar inicialmente la VPN de sitio a sitio de AWS, mostrando el punto final de VPN de AWS para el túnel. OCI requiere una IP pública del peer de VPN remoto para poder crear una conexión IPSec. Después de finalizar este proceso, se configura un nuevo gateway de cliente que representa la IP pública del punto final de VPN de OCI real.

  1. En el portal principal de AWS, amplíe el menú Services situado en la parte superior izquierda de la pantalla. Vaya a VPC en Networking & Content Delivery.
  2. En el menú de la izquierda, desplácese hacia abajo y, en Virtual Private Network (VPN), haga clic en Customer Gateways.
  3. Haga clic en Crear gateway de cliente para crear un gateway de cliente.
    Aparece la página Creación Pasarela Cliente.
  4. Introduzca los siguientes detalles:
    • Name: asigne un nombre temporal a este gateway de cliente. En este ejemplo, se utiliza el nombre TempGateway.
    • Routing: seleccione Dynamic.
    • ASN de BGP: introduzca el ASN de BGP de OCI. El ASN de BGP de Oracle para la nube comercial es 31898, excepto en la región Central de Serbia (Jovanovac), que es 14544.
    • IP Address: utilice cualquier dirección IPv4 válida para el gateway temporal. En este ejemplo se utiliza 1.1.1.1.
  5. Cuando finalice la configuración del gateway de cliente temporal, complete el proceso de aprovisionamiento haciendo clic en Create Customer Gateway.

Creación y asociación de un gateway privado virtual para AWS

Un gateway privado virtual (VPG) permite que los recursos que están fuera de la red se comuniquen con los recursos que están dentro de la red. Para crear y asociar un VPG para AWS, utilice este procedimiento.

  1. En el menú de la izquierda de AWS, desplácese hacia abajo y, en Virtual Private Network (VPN), haga clic en Virtual Private Gateways.
  2. Haga clic en Crear gateway privado virtual para crear un nuevo gateway privado virtual.
    Aparece la página Crear gateway privado virtual.
  3. Introduzca los siguientes detalles:
    • Name: asigne un nombre al gateway privado virtual (VPG).
    • ASN: seleccione Amazon Default ASN.
  4. Cuando finalice la configuración del gateway privado virtual, complete el aprovisionamiento haciendo clic en Crear gateway privado virtual.
  5. Una vez creado el VPG, asócielo al VPC que desee:
    1. Mientras esté en la página Gateway privado virtual, asegúrese de que su VPG esté seleccionado, abra el menú Acciones (Menú Acciones) y seleccione Asociar a VPC. Aparece la página Attach to VPC del gateway privado virtual seleccionado.
    2. Seleccione su VPC en la lista y, a continuación, para completar la asociación del VPG a su VPC, haga clic en Yes, Attach.

Creación de una conexión VPN para AWS

Para conectar OCI a AWS mediante los servicios VPN nativos, utilice este procedimiento.

  1. En el menú de la izquierda, despliegue y haga clic en Site-to-Site VPN Connections en Virtual Private Network (VPN).
  2. Haga clic en Crear conexión VPN para crear un nuevo gateway privado virtual. Accederá a la página Crear conexión VPN.
  3. Introduzca los siguientes detalles:
    • Name tag: asigna un nombre a tu conexión VPN.
    • Target Gateway Type: seleccione Virtual Private Gateway y, a continuación, seleccione Virtual Private Gateway creado anteriormente en la lista.
    • Customer Gateway: seleccione Existing y, a continuación, seleccione el gateway de cliente temporal en la lista.
    • Routing Options: seleccione Dinámico (requiere BGP).
    • Tunnel dentro de la versión de IP: seleccione IPv4.
    • Local/Remote IPv4 Network Cidr: deje ambos campos en blanco y cree una VPN IPSec basada en cualquier ruta.

      Continúe con el siguiente paso. No haga clic en Crear conexión VPN aún.

  4. Mientras sigue en la página Crear conexión VPN, desplácese hacia abajo hasta Opciones de túnel.
  5. Seleccione un CIDR /30 dentro del rango local de enlaces 169.254.0.0/16. Introduzca el CIDR completo en Inside IPv4 CIDR para el túnel 1.
  6. Asegúrese de que OCI soporte la dirección /30 elegida para las IP de túnel internas.
    OCI no permite utilizar los siguientes rangos de IP para las IP de túnel internas:
    • 169,254-169,254
    • 169,254-169,254
    • 169,254-169,254
    Continúe con el siguiente paso. No haga clic en Crear conexión VPN aún.
  7. En Advanced Opciones para el túnel 1, seleccione Editar opciones de túnel 1.
    Se ampliará un juego adicional de opciones. Si desea restringir los algoritmos de criptografía utilizados para este túnel, configure aquí las opciones de fase 1 y fase 2 deseadas. Debe utilizar IKEv2 para esta conexión. Desactivar la casilla de control IKEv1 para evitar que se utilice IKEv1. Consulte la sección sobre parámetros IPSec soportados para obtener una descripción de las opciones de fase 1 y fase 2 que soporta OCI (consulte "Explorar más").
  8. Cuando haya terminado de configurar todas las opciones necesarias, complete el proceso de aprovisionamiento de conexión VPN haciendo clic en Create VPN Connection.

Descarga de la configuración de AWS

Durante el aprovisionamiento de su conexión VPN, descargue la configuración de toda la información de túnel. Este archivo de texto es necesario para completar la configuración del túnel en la consola de OCI.

  1. Asegúrese de que la conexión VPN esté seleccionada y, a continuación, haga clic en Descargar configuración.
  2. Seleccione el valor Vendor and Platform "Generic" y, a continuación, haga clic en Download para guardar una copia de texto de la configuración en el disco duro local.
  3. Abra el archivo de configuración descargado en el editor de texto que desee. Consulte IPSec Tunnel #1, section #1 Internet Key Exchange Configuration. Aquí encontrará la clave compartida previamente generada automáticamente para el túnel. Guarde este valor.
    AWS puede generar una clave compartida previamente con los caracteres de punto o guion bajo (. o _). OCI no soporta el uso de esos caracteres en una clave compartida previamente. Las claves que incluyan estos valores deben cambiarse. Para cambiar la clave compartida previamente en AWS para un túnel:
    1. Seleccione la conexión VPN, abra el menú Acciones y seleccione Modificar opciones de túnel VPN.
    2. Mientras se encuentra en Tunnel 1 en la configuración descargada, desplácese hacia abajo hasta la sección #3 Tunnel Interface Configuration.
    3. Para completar la configuración de la VPN de sitio a sitio en OCI, registre los siguientes valores:
      • Dirección IP externa del gateway privado virtual
      • IP interna del gateway de cliente
      • IP interna del gateway privado virtual
      • ASN de BGP del gateway privado virtual. El ASN por defecto es 64512.

Crear equipo local de cliente para OCI

A continuación, debe configurar el dispositivo local (equipo local del cliente o CPE) en el extremo de la VPN de sitio a sitio para que el tráfico pueda fluir entre la red local y la red virtual en la nube (VCN). Utilice este procedimiento.

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Equipo local de cliente.
  2. Haga clic en Crear equipo local del cliente.
  3. Introduzca los siguientes valores:
    • Crear en compartimento: seleccione el compartimento de la VCN que desee.
    • Nombre: introduzca un nombre descriptivo para el objeto de CPE. No tiene que ser único y no se puede cambiar posteriormente en la consola (si bien puede cambiarlo con la API). Evite introducir información confidencial. En este ejemplo se utiliza TO_AWS como nombre.
    • Dirección IP: introduzca la dirección IP externa del gateway privado virtual que se muestra en la configuración descargada desde AWS.
    • Proveedor de CPE: seleccione Otro.
  4. Haga clic en Crear CPE.

Crear una conexión IPSec para OCI

Ahora, debe crear los túneles IPSec y configurar el tipo de enrutamiento, ya sea estático o dinámico de BGP. Utilice este procedimiento.

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en VPN de sitio a sitio.
  2. Haga clic en Crear conexión IPSec.
    Aparece un nuevo cuadro de diálogo de conexión IPSec.
  3. Introduzca los siguientes valores:
    • Create in Compartment: se deja como está (el compartimento de la VCN).
    • Nombre: introduzca un nombre descriptivo para la conexión IPSec ( ejemplo: OCI-AWS-1). No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Compartimiento del equipo local del cliente: déjelo tal cual ( compartimento de la VCN).
    • Equipo local de cliente: seleccione el objeto CPE que ha creado antes, denominado TO_AWS.
    • Compartimiento de gateway de enrutamiento dinámico: deje el campo como está ( compartimento de la VCN).
    • Gateway de enrutamiento dinámico: seleccione el DRG creado anteriormente.
    • CIDR de ruta estática: introduzca una ruta por defecto, 0.0.0.0/0.

      Dado que el túnel activo utiliza BGP, OCI ignora esta ruta. Se necesita una entrada para el segundo túnel de la conexión IPSec, que utiliza por defecto el enrutamiento estático, pero la dirección no se utiliza en este escenario. Si desea utilizar un enrutamiento estático para esta conexión, introduzca rutas estáticas que representen las redes virtuales de AWS. Puede configurar hasta 10 rutas estáticas para cada conexión IPSec.

  4. En la ficha Túnel 1, introduzca los siguientes datos:
    • Nombre: introduzca un nombre descriptivo para el túnel (por ejemplo, AWS-TUNNEL-1). No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Provide custom shared secret: introduzca la clave compartida previamente que utiliza IPSec para este túnel. Marca esta casilla e introduce la clave compartida previamente desde el archivo de configuración de VPN de AWS.
    • Versión de IKE: seleccione IKEv2.
    • Routing Type: seleccione BGP Dynamic Routing.
    • ASN de BGP: introduzca el ASN de BGP utilizado por AWS tal y como se ha encontrado en el archivo de configuración de VPN de AWS. El ASN de BGP de AWS por defecto es 64512.
    • IPv4 Interfaz de túnel interna - CPE: introduzca la dirección IP interna del gateway privado virtual en el archivo de configuración de VPN de AWS. Utilice la notación CIDR completa para esta dirección IP.
    • IPv4 Interfaz de túnel interna - Oracle: introduzca la dirección IP interna que utiliza OCI. En el archivo de configuración de VPN de AWS, introduzca la dirección IP interna del gateway de cliente. Utilice la notación CIDR completa para esta dirección IP.
  5. Haga clic en Crear conexión IPSec.
    Se creará la conexión IPSec y se mostrará en la página. La conexión tendrá el estado Aprovisionando durante un período corto.
  6. Después de aprovisionar la conexión IPSec, anote la dirección IP de VPN de Oracle del túnel. Esta dirección se utilizará para crear un nuevo gateway de cliente en el portal de AWS.
    1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en VPN de sitio a sitio.

      Aparecerá una lista de las conexiones de IPSec en el compartimento que esté viendo. Si no encuentra la conexión que está buscando, verifique que está visualizando el compartimento correcto (selecciónelo en la lista en la parte izquierda de la página).

    2. Haga clic en la conexión IPSec que desee (ejemplo: OCI-AWS-1).
    3. Busque la dirección IP de VPN de Oracle de AWS-TUNNEL-1.

Creación de una nueva puerta de enlace de cliente de AWS

Ahora, cree un nuevo gateway de cliente sobre el gateway de cliente existente mediante los detalles capturados de la conexión IPSec de OCI.

  1. En la consola de AWS, vaya a Customer Gateways y cree un gateway de cliente introduciendo los siguientes detalles:
    • Name: asigne un nombre a este gateway de cliente.
    • Routing: seleccione Dynamic.
    • ASN de BGP: introduzca el ASN de BGP de OCI. El ASN de BGP de Oracle para la nube comercial es 31898, excepto en la región Central de Serbia (Jovanovac), que es 14544.
    • IP Address: introduzca la dirección IP de la VPN de Oracle para el túnel 1. Utilice la IP guardada en la tarea anterior.
  2. Para completar el aprovisionamiento, haga clic en Crear gateway de cliente.

Modificación de la conexión VPN con la nueva puerta de enlace del cliente de AWS

Esta tarea sustituye el gateway de cliente temporal por uno que utiliza la dirección IP de la VPN de OCI.

  1. En la consola de AWS, busque Site a Site VPN Connections y seleccione su conexión VPN.
  2. Abra el menú Acciones y seleccione Modificar conexión VPN.
    Aparece la página Modificar conexión VPN.
  3. Introduzca los siguientes detalles:
    • Target Type: seleccione Customer Gateway en la lista
    • Target Customer Gateway ID: seleccione el nuevo gateway con la dirección IP de VPN de OCI en la lista.
  4. Cuando termine, haga clic en Guardar para guardar la configuración. Después de unos minutos, AWS terminará de aprovisionar la conexión VPN y aparecerá la VPN IPSec entre AWS y OCI.
  5. En este punto, puede suprimir el gateway de cliente temporal.

Validar la conectividad

Busque su conexión IPSec en OCI y las conexiones de VPN de sitio a sitio en AWS para verificar el estado del túnel.

  • El túnel de OCI en la conexión IPSec muestra Activo para el estado IPSec para confirmar un túnel operativo.
  • IPv4 Estado de BGP también muestra Activo, lo que indica una sesión de BGP establecida.
  • El estado del túnel en el separador Detalles del túnel de su conexión VPN de sitio a sitio en AWS muestra Activo.

Instalación de Management Gateway y Agent

Consulte "Carga segura de datos de observabilidad local mediante Management Gateway" para obtener más información sobre la arquitectura para instalar el agente y el gateway en un entorno VPN de sitio a sitio (consulte "Explorar más").

Instalación de Management Gateway

A continuación, debe instalar Management Gateway. El gateway de gestión debe poder comunicarse con los servicios de OCI a través del túnel de VPN IPSec, no a través de la subred pública. Dado que esta tarea está fuera del alcance de este documento, consulte "Instalación de Management Gateway" para obtener pasos detallados (consulte "Explorar más").

Instalación de Management Agent

En primer lugar, debe instalar Management Agent. Dado que esta tarea está fuera del alcance de este documento, puede consultar "Instalación de Management Agent" para conocer los pasos detallados (consulte "Explorar más").

Despliegue de plugins de servicio

Management Agent permite desplegar plugins de servicio para diferentes servicios de OCI. Los plugins de servicio se pueden desplegar en Management Agent, lo que permite realizar tareas para esos servicios. Cualquier agente de gestión determinado puede tener varios plugins de servicio.

Despliegue los siguientes plugins en el agente de gestión.

  • Gestión de bases de datos y estadísticas de operaciones
  • Logging Analytics
  • Servicio de host de Ops Insights
  • Supervisión de pila

Despliegue de un Plugin de Servicio en el Agente

Utilice este método cuando Management Agent ya esté instalado como se describe en Instalación de instancias de Management Agent.

Para desplegar un plugin, realice lo siguiente:
  1. En el menú de la izquierda, haga clic en Agentes para abrir la página Agentes.
  2. En la lista Agentes, haga clic en el agente deseado en el que desea desplegar el plugin. Aparece la página Detalles del agente.
  3. Haga clic en Desplegar plugins. Aparece la ventana Despliegue de plugins. Seleccione el plugin y haga clic en Actualizar. El plugin seleccionado se desplegará en el agente deseado.
  4. Compruebe el estado del agente y los plugins en la página inicial del agente.