Connexion RPV à AWS

La première étape du processus de configuration consiste à créer une passerelle temporaire du client. Cette passerelle temporaire du client sert à provisionner initialement le RPV site à site pour AWS, en exposant le point d'extrémité de RPV AWS pour le tunnel. OCI nécessite l'adresse IP publique du pair RPV distant distant avant de créer une connexion IPSec. Une fois ce processus terminé, une nouvelle passerelle du client est configurée pour représenter l'IP publique réelle du point d'extrémité de RPV.

1. Dans le portail AWS principal, développez le menu Services en haut à gauche de l'écran. Accédez à VPC sous Networking & Content Delivery (Réseau et diffusion de contenu).
2. Dans le menu de gauche, sélectionnez Customer Gateways sous Virtual Private Network (VPN).
3. Sélectionnez Créer une passerelle du client pour créer une passerelle du client.

4. Vous accédez à la page Create Customer Gateway (Créer une passerelle du client). Entrez les détails suivants :

   • Name (Nom) : Donnez à cette passerelle du client un nom temporaire. Dans cet exemple, le nom TempGateway est utilisé.
   • Routing (Routage) : Sélectionnez Dynamic (Dynamique).
   • BGP ASN (No ASN du BGP) : Entrez le numéro ASN du BGP pour OCI. Le numéro ASN BGP d'Oracle pour le nuage commercial est 31898, à l'exception de la région Serbie - Centre (Jovanovac) qui est 14544.

   • IP Address (adresse IP) : Utilisez une adresse IPv4 valide pour la passerelle temporaire. Cet exemple utilise 1.1.1.1.

     Lorsque vous avez terminé de configurer votre passerelle de client temporaire, sélectionnez Créer une passerelle de client pour terminer le provisionnement.

1. Dans le menu de gauche AWS, sélectionnez Virtual Private Gateways sous Virtual Private Network (VPN (Réseau privé virtuel).

2. Sélectionnez le bouton Create Virtual Private Gateway pour créer une passerelle privée virtuelle.

3. Vous êtes dirigé vers la page Créer une passerelle privée virtuelle. Entrez les détails suivants :

   • Name (Nom) : Give the Virtual Private Gateway (VPG) a name.

   • ASN : Sélectionnez ASN par défaut Amazon.

     Lorsque vous avez terminé de configurer la passerelle privée virtuelle, sélectionnez le bouton Créer une passerelle privée virtuelle pour terminer le provisionnement.

4. Une fois que vous avez créé la passerelle VPG, vous devez l'attacher au VPC de votre choix.

   Toujours dans la page Passerelle privée virtuelle, assurez-vous que la passerelle VPG est sélectionnée, sélectionnez le menu Actions (trois points), puis Attacher au VPC.

5. Vous êtes dirigé vers la page Attach to VPC (Attacher au VPC) pour la passerelle privée virtuelle sélectionnée.

   Sélectionnez le VPC dans la liste, puis cliquez sur le bouton Oui, attacher pour terminer l'attachement du VPG au VPC.

1. Dans le menu de gauche, faites défiler l'affichage vers le bas et sélectionnez Site-to-Site VPN Connections (Connexions RPV site à site) sous Virtual Private Network (Réseau privé virtuel).
2. Sélectionnez Create VPN Connection pour créer une passerelle privée virtuelle.
3. Vous êtes dirigé vers la page Create VPN Connection. Entrez les détails suivants :
   • Marqueur de nom : Donnez un nom à la connexion RPV.
   • Target Gateway Type (Type de passerelle cible) : Sélectionnez Virtual Private Gateway, puis sélectionnez la passerelle privée virtuelle créée précédemment dans la liste.
   • Customer Gateway : Sélectionnez Existing, puis sélectionnez la passerelle temporaire du client dans la liste.
   • Options de routage : Sélectionnez Dynamique (requiert un BGP).
   • Tunnel within Ip Version : Sélectionnez IPv4.

   • Cidr de réseau IPv4 local/distant : Laissez ces deux champs vides, en créant un RPV IPSec basé sur des routes au choix.

     Passez à l'étape suivante. Ne sélectionnez pas le bouton Créer une connexion RPV pour le moment.

4. Toujours dans la page Create VPN Connection (Créer une connexion RPV), sélectionnez Tunnel Options.

   Sélectionnez un CIDR /30 dans l'intervalle local de liens 169.254.0.0/16. Entrez le bloc CIDR complet dans le champ Intérieur du bloc CIDR IPv4 CIDR pour le tunnel 1.

   Assurez-vous qu'OCI prend en charge l'adresse /30 sélectionnée pour les adresses IP de tunnel interne. OCI ne vous permet pas d'utiliser les intervalles suivants pour les adresses IP de tunnel interne :

   • 169.254.10.0-169.254.19.255
   • 169.254.100.0-169.254.109.255
   • 169.254.192.0-169.254.201.255

   Passez à l'étape suivante. Ne sélectionnez pas le bouton Créer une connexion RPV pour le moment.

5. Sous Options avancées pour le tunnel 1, sélectionnez le bouton radio Modifier les options du tunnel 1. Un jeu d'options supplémentaire se développe.

   Si vous souhaitez être restrictif avec les algorithmes de cryptographie utilisés pour ce tunnel, configurez ici les options de phase 1 et de phase 2 voulues. Nous vous recommandons d'utiliser IKEv2 pour cette connexion. Désactivez la case à cocher IKEv1 pour empêcher l'utilisation de ce protocole. Pour savoir quelles options de phase 1 et de phase 2 OCI prend en charge, voir Paramètres IPSec pris en charge.

   Une fois que vous avez terminé de configurer toutes les options voulues, sélectionnez le bouton Create VPN Connection en bas pour terminer le provisionnement de la connexion VPN.

Pendant le provisionnement de la connexion RPV, téléchargez la configuration de toutes les informations sur le tunnel. Ce fichier texte est requis pour terminer la configuration du tunnel dans la console OCI.

1. Assurez-vous que la connexion RPV est sélectionnée, puis sélectionnez le bouton Télécharger la configuration.
2. Sélectionnez le paramètre Vendor et Platform "Generic", puis sélectionnez le bouton Download pour enregistrer une copie texte de la configuration sur un disque dur local.
3. Ouvrez le fichier de configuration téléchargé dans n'importe quel éditeur de texte.

   Regardez la section IPSec Tunnel #1, #1 Configuration d'échange de clés Internet. Vous trouverez ici une clé prépartagée générée automatiquement pour le tunnel. Enregistrez cette valeur.

   AWS peut générer une clé prépartagée comportant un point ou des traits de soulignement (. ou _). OCI ne prend pas en charge l'utilisation de ces caractères dans une clé prépartagée. Une clé incluant ces valeurs doit être modifiée. Pour modifier la clé prépartagée dans AWS pour un tunnel, sélectionnez la connexion RPV, sélectionnez le menu Actions (trois points), puis Modifier les options de tunnel RPV.

4. Toujours sous Tunnel 1 dans la configuration téléchargée, accédez à la section #3 Tunnel Interface Configuration (Configuration de l'interface de tunnel 3).

   Notez les valeurs suivantes pour terminer la configuration du RPV site à site dans OCI :

   • Adresse IP externe de la passerelle privée virtuelle
   • Adresse IP interne de la passerelle du client
   • Adresse IP interne de la passerelle privée virtuelle
   • Numéro ASN du BGP de la passerelle privée virtuelle. Le numéro ASN par défaut est 64512.

1. Ouvrez le menu de navigation et sélectionnez Service de réseau. Sous Connectivité client, sélectionnez Équipement local d'abonné.
2. Sélectionnez Créer un équipement local d'abonné.

3. Entrez les valeurs suivantes :

   • Créer dans le compartiment : Sélectionnez un compartiment pour le VCN souhaité.
   • Nom : nom descriptif de l'objet CPE. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.

     Cet exemple utilise le nom "TO_AWS".

   • Adresse IP : Entrez l'adresse IP externe de la passerelle privée virtuelle affichée dans la configuration téléchargée depuis AWS.
   • Fournisseur d'équipement local d'achat : Sélectionnez Autre.
4. Sélectionnez Créer un équipement local d'abonné.

1. Ouvrez le menu de navigation et sélectionnez Service de réseau. Sous Connectivité client, sélectionnez RPV site-à-site.
2. Sélectionnez Créer une connexion IPSec.

3. Entrez les valeurs suivantes :

   • Créer dans le compartiment : Laissez tel quel (le compartiment du réseau VCN).
   • Nom : Entrez un nom descriptif pour la connexion IPSec (Exemple : OCI-AWS-1. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
   • Compartiment de l'équipement local d'abonné : Laissez tel quel (le compartiment du VCN).
   • équipement local d'abonné : Sélectionnez l'objet CPE créé précédemment, nommé TO_AWS.
   • Compartiment de la passerelle de routage dynamique : Laissez tel quel (le compartiment du VCN).
   • Passerelle de routage dynamique : Sélectionnez la passerelle DRG que vous avez créée précédemment.
   • CIDR de route statique : Entrez une route par défaut, 0.0.0.0/0. Comme le tunnel actif utilise BGP, OCI ignore cette route. Une entrée est requise pour le second tunnel de la connexion IPSec, qui utilise par défaut le routage statique, mais l'adresse n'est pas utilisée dans ce scénario. Si vous envisagez d'utiliser un routage statique pour cette connexion, entrez des routes statiques représentant les réseaux virtuels AWS. Jusqu'à 10 routes statiques peuvent être configurées pour chaque connexion IPSec.

4. Entrez les détails suivants dans l'onglet Tunnel 1 (obligatoire) :

   • Nom : Entrez un nom descriptif pour le TUNNEL (Exemple : AWS-TUNNEL-1). Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
   • Indiquer une clé secrète partagée personnalisée : Entrez la clé prépartagée utilisée par IPSec pour ce tunnel. Cochez cette case et entrez la clé déjà partagée dans le fichier de configuration du RPV AWS.
   • Version du protocole IKE : Sélectionnez IKEv2.
   • Type d'acheminement : Sélectionnez Racheminement dynamique BGP.
   • ASN BGP : Entrez le numéro ASN BGP utilisé par AWS tel qu'il figure dans le fichier de configuration RPV AWS. Le numéro ASN du BGP AWS par défaut est 64512.
   • IPv4 Interface de tunnel interne - CPE : Entrez l'adresse IP interne de la passerelle privée virtuelle provenant du fichier de configuration du RPV AWS. Utilisez la notation CIDR complète pour cette adresse IP.
   • IPv4 Interface de tunnel interne - Oracle : Entrez l'adresse IP interne utilisée par OCI. Entrez l'adresse IP interne de la passerelle du client figurant dans le fichier de configuration du RPV AWS. Utilisez la notation CIDR complète pour cette adresse IP.

5. Sélectionnez Créer une connexion IPSec.

   La connexion IPSec est créée et affichée dans la page. La connexion est à l'état Provisionnement pendant une courte période.

6. Une fois la connexion IPSec provisionnée, notez l'adresse IP du RPV Oracle du tunnel. Cette adresse est utilisée pour créer une nouvelle passerelle du client dans le portail AWS.
   1. Ouvrez le menu de navigation et sélectionnez Service de réseau. Sous Connectivité client, sélectionnez RPV site-à-site.

      La liste des connexions IPSec du compartiment que vous consultez est affichée. Si vous ne voyez pas la politique que vous recherchez, vérifiez que vous consultez le compartiment approprié. Pour voir les politiques attachées à un autre compartiment, sous Portée de la liste, sélectionnez ce compartiment dans la liste.

   2. Sélectionnez la connexion IPSec qui vous intéresse (Exemple : OCI-AWS-1).
   3. Recherchez l'adresse IP du RPV Oracle AWS-TUNNEL-1.

Dans la console AWS, naviguez jusqu'à Customer Gateways (Passerelles du client) et créez une passerelle du client à l'aide des détails suivants :

• Name (Nom) : Donnez un nom à cette passerelle du client.
• Routing (Routage) : Sélectionnez Dynamic (Dynamique).
• BGP ASN (No ASN du BGP) : Entrez le numéro ASN du BGP pour OCI. Le numéro ASN BGP d'Oracle pour le nuage commercial est 31898, à l'exception de la région Serbie - Centre (Jovanovac) qui est 14544.

• adresse IP : Entrez l'adresse IP du RPV Oracle pour le tunnel 1. Utilisez l'adresse IP enregistrée dans la tâche précédente.

  Sélectionnez Créer une passerelle du client pour terminer le provisionnement.

Cette tâche remplace la passerelle temporaire du client par une passerelle qui utilise l'adresse IP du RPV OCI.

1. Accédez à Site-to-site VPN Connections (Connexions RPV site à site) dans la console AWS et sélectionnez la connexion RPV.

2. Sélectionnez le menu Actions (trois points), puis Modifier la connexion RPV.

3. Vous êtes dirigé vers la page Modifier la connexion RPV. Entrez les détails suivants :

   • Target Type (Type de cible) : Sélectionnez Customer Gateway (Passerelle de client dans la liste.

   • Tible Customer Gateway ID : Sélectionnez la nouvelle passerelle du client avec l'adresse IP du RPV OCI dans la liste.

     Sélectionnez le bouton Save (Enregistrer) pour enregistrer la configuration lorsque vous avez terminé.

     Au bout de quelques minutes, AWS termine le provisionnement de la connexion RPV et le RPV IPSec entre AWS et OCI apparaît.

4. À ce stade, vous pouvez supprimer la passerelle temporaire du client.

Accédez à la connexion IPSec dans OCI et aux connexions RPV site à site dans AWS pour vérifier le statut du tunnel.

• Le tunnel OCI sous la connexion IPSec affiche le statut IPSec Actif pour confirmer un tunnel opérationnel.
• Le statut BGP IPv4 affiche également Actif indiquant une session BGP établie.
• Le statut du tunnel sous l'onglet Détails du tunnel pour la connexion RPV site à site dans AWS affiche Actif.

Un service Surveillance est également disponible dans OCI pour surveiller activement et passivement les ressources en nuage. Pour plus d'informations sur la surveillance du RPV site à site pour OCI, voir Mesures du RPV site à site.

En cas de problèmes, voir Dépannage du RPV site à site.