1. Configurer l'observabilité et la gestion OCI pour les bases de données AWS RDS
  2. Configurer la solution

Configurer la solution

La configuration de cette solution est un processus en deux étapes, la configuration de l'infrastructure de réseau, puis l'installation de la passerelle de gestion et de l'agent de gestion. Les procédures suivantes vous guideront à travers ces étapes.

Configurer le réseau

Utilisez les étapes suivantes pour configurer la tunnelisation RPV IPSec entre AWS et OCI afin d'activer la communication entre les services RDS et O&M. Cette configuration fonctionnera avec le RPV site à site pour OCI version 2.

Créer une passerelle temporaire du client pour AWS

Utilisez la passerelle temporaire du client pour provisionner initialement le RPV site à site pour AWS, en exposant le point d'extrémité RPV AWS pour votre tunnel. OCI nécessite une adresse IP publique du pair RPV distant pour que vous puissiez créer une connexion IPSec. Une fois ce processus terminé, une nouvelle passerelle du client représentant l'adresse IP publique réelle du point d'extrémité de RPV OCI est configurée.

  1. Dans le portail AWS principal, développez le menu Services en haut à gauche de l'écran. Accédez à VPC sous Nréseau et diffusion de contenu.
  2. Dans le menu de gauche, faites défiler l'affichage vers le bas et, sous Réseau privé virtuel (RPV), cliquez sur Passerelles du client.
  3. Cliquez sur Créer une passerelle du client pour en créer une.
    La page Create Customer Gateway apparaît.
  4. Entrez les détails suivants :
    • Name (Nom) : Donnez un nom temporaire à cette passerelle du client. Dans cet exemple, le nom TempGateway est utilisé.
    • Routing (Routage) : Sélectionnez Dynamic.
    • ASN BGP : entrez l'ASN BGP pour OCI. Le numéro ASN BGP d'Oracle pour le nuage commercial est 31898, à l'exception de la région Serbie - Centre (Jovanovac) qui est 14544.
    • IP Adresse : Utilisez une adresse IPv4 valide pour la passerelle temporaire. Cet exemple utilise 1.1.1.1.
  5. Lorsque vous avez terminé de configurer votre passerelle temporaire du client, terminez le processus de provisionnement en cliquant sur Créer une passerelle du client.

Créer et attacher une passerelle privée virtuelle pour AWS

Une passerelle privée virtuelle (VPG) permet aux ressources qui se trouvent à l'extérieur de votre réseau de communiquer avec les ressources qui se trouvent à l'intérieur de votre réseau. Pour créer et attacher une passerelle VPG pour AWS, utilisez cette procédure.

  1. Dans le menu de gauche AWS, faites défiler l'affichage vers le bas et, sous Virtual Private Network (VPN (Réseau privé virtuel), cliquez sur Virtual Private Gateways.
  2. Cliquez sur Créer une passerelle privée virtuelle pour en créer une.
    La page Créer une passerelle privée virtuelle s'affiche.
  3. Entrez les détails suivants :
    • Name : Donnez un nom à votre passerelle privée virtuelle (VPG).
    • ASN : Sélectionnez un ASN Amazon par défaut.
  4. Lorsque vous avez terminé de configurer votre passerelle privée virtuelle, terminez le provisionnement en cliquant sur Créer une passerelle privée virtuelle.
  5. Une fois que vous avez été créé, attachez-le au VPC de votre choix :
    1. Toujours dans la page Passerelle privée virtuelle, assurez-vous que votre VPG est sélectionné, ouvrez le menu Actions (Menu Actions) et sélectionnez Attach to VPC. La page Association au VPC pour la passerelle privée virtuelle sélectionnée s'affiche.
    2. Sélectionnez votre RPV dans la liste, puis, pour terminer l'attachement de la passerelle VPG au RPV, cliquez sur Oui, attacher.

Créer une connexion VPN pour AWS

Pour connecter OCI à AWS à l'aide des services RPV natifs, utilisez cette procédure.

  1. Dans le menu de gauche, cliquez sur Site-to-Site VPN Connexions sous Virtual Private Network (RPV).
  2. Cliquez sur Créer une connexion RPV pour en créer une nouvelle. Vous êtes dirigé vers la page Create VPN Connection.
  3. Entrez les détails suivants :
    • Nom du marqueur : Donnez un nom à votre connexion RPV.
    • Type de passerelle cible : Sélectionnez Passerelle privée virtuelle, puis sélectionnez la passerelle privée virtuelle créée précédemment dans la liste.
    • Customer Gateway : sélectionnez Existing, puis sélectionnez la passerelle temporaire du client dans la liste.
    • Options de routage : Sélectionnez Dynamique (requiert BGP).
    • Tunnel within Ip Version : Sélectionnez IPv4.
    • Cidr de réseau IPv4 local/distant : Laissez ces deux champs vides, en créant un RPV IPSec basé sur des routes au choix.

      Passez à l'étape suivante. Ne cliquez pas sur Créer une connexion RPV pour l'instant.

  4. Lorsque vous êtes toujours dans la page Créer une connexion RPV, sélectionnez Options de tunnel.
  5. Sélectionnez un bloc CIDR /30 dans l'intervalle local de liens 169.254.0.0/16. Input the full CIDR in Inside IPv4 CIDR for Tunnel 1.
  6. Assurez-vous qu'OCI prend en charge l'adresse /30 sélectionnée pour les adresses IP de tunnel interne.
    OCI ne vous permet pas d'utiliser les intervalles suivants pour les adresses IP de tunnel interne :
    • 169.254-169.254
    • 169.254-169.254
    • 169.254-169.254
    Passez à l'étape suivante. Ne cliquez pas sur Créer une connexion RPV pour l'instant.
  7. Sous Options avancées pour le tunnel 1, sélectionnez Modifier les options du tunnel 1.
    Un jeu d'options supplémentaire se développe. Si vous souhaitez restreindre les algorithmes de cryptographie utilisés pour ce tunnel, configurez ici les options de phase 1 et de phase 2 voulues. Vous devez utiliser IKEv2 pour cette connexion. Désactivez la case à cocher IKEv1 pour empêcher l'utilisation de IKEv1. Voir "Paramètres IPSec pris en charge" pour une description des options de phase 1 et de phase 2 prises en charge par OCI (voir "Explorer plus")..
  8. Une fois que vous avez terminé de configurer toutes les options nécessaires, terminez le processus de provisionnement de la connexion RPV en cliquant sur Créer une connexion RPV.

Télécharger la configuration AWS

Pendant le provisionnement de votre connexion RPV, téléchargez la configuration de toutes les informations sur le tunnel. Ce fichier texte est requis pour terminer la configuration du tunnel dans la console OCI.

  1. Assurez-vous que votre connexion RPV est sélectionnée, puis cliquez sur Download Configuration.
  2. Sélectionnez le paramètre Vendeur et plate-forme "Générique", puis cliquez sur Télécharger pour enregistrer une copie texte de la configuration sur votre disque dur local.
  3. Ouvrez le fichier de configuration téléchargé dans l'éditeur de texte de votre choix. Regardez sous IPSec Tunnel #1, section #1 Internet Key Exchange Configuration. Vous trouverez ici la clé prépartagée générée automatiquement pour le tunnel. Enregistrez cette valeur.
    Il est possible qu'AWS génère une clé prépartagée comportant un point ou des traits de soulignement (. OCI ne prend pas en charge ces caractères dans une clé prépartagée. Une clé incluant ces valeurs doit être modifiée. Pour modifier votre clé prépartagée dans AWS pour un tunnel :
    1. Sélectionnez votre connexion RPV, ouvrez le menu Actions et sélectionnez Modifier les options de tunnel RPV.
    2. Toujours sous Tunnel 1 dans la configuration téléchargée, faites défiler l'affichage vers le bas jusqu'à la section #3 Tunnel Interface Configuration.
    3. Pour terminer la configuration du RPV site à site dans OCI, enregistrez les valeurs suivantes :
      • Adresse IP externe de la passerelle privée virtuelle
      • Adresse IP interne de la passerelle du client
      • Adresse IP interne de la passerelle privée virtuelle
      • Numéro ASN du BGP de la passerelle privée virtuelle. Le numéro ASN par défaut est 64512.

Créer un équipement local d'abonné pour OCI

Ensuite, vous devez configurer l'appareil sur place (équipement local d'abonné ou CPE) à votre extrémité du RPV site à site afin que le trafic puisse circuler entre votre réseau sur place et le réseau VCN. Utilisez cette procédure.

  1. Ouvrez le menu de navigation et cliquez sur réseau. Sous Connectivité client, cliquez sur Équipement local d'exploitation.
  2. Cliquez sur Créer de l'équipement local d'abonné.
  3. Entrez les valeurs suivantes :
    • Créer dans le compartiment : Sélectionnez un compartiment pour le VCN souhaité.
    • Nom : Entrez un nom descriptif pour l'objet CPE. Il ne doit pas nécessairement être unique, mais il ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles. Cet exemple utilise le nom TO_AWS.
    • Adresse IP : Entrez l'adresse IP externe de la passerelle privée virtuelle affichée dans la configuration téléchargée depuis AWS.
    • Fournisseur d'équipement local d'abonné : Sélectionnez Autre.
  4. Cliquez sur Créer un équipement local d'abonné.

Créer une connexion IPSec pour OCI

Maintenant, vous devez créer les tunnels IPSec et configurer le type de routage, statique ou dynamique BGP. Utilisez cette procédure.

  1. Ouvrez le menu de navigation et cliquez sur réseau. Sous Connectivité client, cliquez sur RPV site-à-site.
  2. Cliquez sur Créer une connexion IPSec.
    Une nouvelle boîte de dialogue de connexion IPSec s'affiche.
  3. Entrez les valeurs suivantes :
    • Créer dans le compartiment : Laissez tel quel (le compartiment du réseau VCN).
    • Nom : Entrez un nom descriptif pour la connexion IPSec (Exemple : OCI-AWS-1). Il ne doit pas forcément être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
    • Compartiment de l'équipement local d'abonné : Laissez tel quel (le compartiment du VCN).
    • équipement local d'abonné : Sélectionnez l'objet CPE créé précédemment, nommé TO_AWS.
    • compartiment de la passerelle de routage dynamique : Laissez tel quel (le compartiment du VCN).
    • Dynamic Routing Gateway : Sélectionnez la passerelle DRG que vous avez créée précédemment.
    • CIDR de route statique : Entrez une route par défaut, 0.0.0.0/0.

      Comme le tunnel actif utilise BGP, OCI ignore cette route. Une entrée est requise pour le second tunnel de la connexion IPSec, qui utilise par défaut le routage statique, mais l'adresse n'est pas utilisée dans ce scénario. Si vous envisagez d'utiliser un Routage statique pour cette connexion, entrez des Routages statiques représentant vos réseaux virtuels AWS. Vous pouvez configurer jusqu'à 10 routes statiques pour chaque connexion IPSec.

  4. Entrez les informations suivantes dans l'onglet Tunnel 1 (obligatoire) :
    • Nom : Entrez un nom descriptif pour le tunnel (Exemple : AWS-TUNNEL-1). Il ne doit pas forcément être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
    • Indiquer une clé secrète partagée personnalisée : Entrez la clé prédéfinie utilisée par IPSec pour ce tunnel. Cochez cette case et entrez la clé prépartagée dans le fichier de configuration du RPV AWS.
    • Version du protocole IKE : Sélectionnez IKEv2.
    • Type d'acheminement : Sélectionnez le routage dynamique BGP.
    • ASN BGP : Entrez le numéro ASN BGP utilisé par AWS tel qu'il figure dans le fichier de configuration RPV AWS. Le numéro ASN du BGP AWS par défaut est 645512.
    • IPv4 Interface de tunnel interne - CPE : Entrez l'adresse IP interne de la passerelle privée virtuelle figurant dans le fichier de configuration du RPV AWS. Utilisez la notation CIDR complète pour cette adresse IP.
    • IPv4 Interface de tunnel interne - Oracle : Entrez l'adresse IP interne utilisée par OCI. Dans le fichier de configuration du RPV AWS, entrez l'adresse IP interne de la passerelle du client. Utilisez la notation CIDR complète pour cette adresse IP.
  5. Cliquez sur Créer une connexion IPSec.
    La connexion IPSec est créée et affichée dans la page. La connexion est à l'état Provisionnement pendant une courte période.
  6. Après avoir provisionné votre connexion IPSec, notez l'adresse IP du RPV Oracle de votre tunnel. Cette adresse sera utilisée pour créer une nouvelle passerelle du client dans le portail AWS.
    1. Ouvrez le menu de navigation et cliquez sur réseau. Sous Connectivité client, cliquez sur RPV site-à-site.

      La liste des connexions IPSec du compartiment que vous consultez s'affiche. Si vous ne voyez pas la connexion que vous recherchez, assurez-vous que vous consultez le bon compartiment (sélectionnez-le dans la liste située dans la partie gauche de la page).

    2. Cliquez sur la connexion IPSec qui vous intéresse (Exemple : OCI-AWS-1).
    3. Recherchez l'adresse IP Oracle VPN de AWS-TUNNEL-1.

Créer une passerelle client AWS

Maintenant, créez une nouvelle passerelle de client au-dessus de la passerelle de client existante à l'aide des détails saisis à partir de la connexion OCI IPSec.

  1. Dans la console AWS, naviguez jusqu'à Passerelles du client et créez une passerelle du client en entrant les détails suivants :
    • Name : Donnez un nom à cette passerelle du client.
    • Routing (Routage) : Sélectionnez Dynamic.
    • ASN BGP : entrez l'ASN BGP pour OCI. Le numéro ASN BGP d'Oracle pour le nuage commercial est 31898, à l'exception de la région Serbie - Centre (Jovanovac) qui est 14544.
    • IP Adresse : Entrez l'adresse IP du RPV Oracle pour le tunnel 1. Utilisez l'adresse IP enregistrée dans la tâche précédente.
  2. Pour terminer le provisionnement, cliquez sur Créer une passerelle du client.

Modifier la connexion VPN avec la nouvelle passerelle client AWS

Cette tâche remplace la passerelle temporaire du client par une passerelle qui utilise l'adresse IP du RPV OCI.

  1. Dans la console AWS, naviguez jusqu'à Site-to-Site VPN Connexions et sélectionnez votre connexion VPN.
  2. Ouvrez le menu Actions et sélectionnez Modifier la connexion RPV.
    La page Modifier la connexion RPV s'affiche.
  3. Entrez les détails suivants :
    • Type de cible : Sélectionnez Passerelle du client dans la liste.
    • Cible : Sélectionnez la nouvelle passerelle de client avec l'adresse IP du RPV OCI dans la liste.
  4. Lorsque vous avez terminé, cliquez sur enregistrer pour enregistrer la configuration. Après quelques minutes, AWS terminera le provisionnement de la connexion RPV et votre RPV IPSec entre AWS et OCI apparaîtront.
  5. À ce stade, vous pouvez supprimer la passerelle temporaire du client.

Valider la connectivité

Accédez à votre connexion IPSec dans OCI et aux connexions RPV site à site dans AWS pour vérifier le statut du tunnel.

  • Votre tunnel OCI sous la connexion IPSec affiche le statut IPSec Actif qui indique qu'il est opérationnel.
  • Le statut BGP IPv4 affiche également Actif, indiquant une session BGP établie.
  • Le statut du tunnel dans l'onglet Détails du tunnel pour votre connexion RPV site à site dans AWS affiche Actif.

installer la passerelle de gestion et l'agent

Reportez-vous à "Sécuriser le chargement des données d'observabilité sur place à l'aide de la passerelle de gestion" pour en savoir plus sur l'architecture d'installation de l'agent et de la passerelle dans un environnement RPV site à site (voir "Explorer plus").

Installez la passerelle de gestion

Vous devez ensuite installer la passerelle de gestion. La passerelle de gestion doit pouvoir communiquer avec les services OCI au moyen du tunnel RPV IPSec, et non au moyen du sous-réseau public. Étant donné que cette tâche dépasse le cadre du présent document, reportez-vous à " Installation de la passerelle de gestion " pour connaître les étapes détaillées (voir " Explorer davantage ").

Installez l'agent de gestion

Tout d'abord, vous devez installer l'agent de gestion. Étant donné que cette tâche dépasse le cadre du présent document, vous pouvez vous référer à " Installation de l'agent de gestion " pour connaître les étapes détaillées (voir " Explorer plus ").

Déployer les plugiciels des services

Les agents de gestion vous permettent de déployer des plugiciels pour différents services OCI. Les plugiciels de service peuvent être déployés sur des agents de gestion permettant d'effectuer des tâches relatives à ces services. Un agent de gestion peut disposer de plusieurs plugiciels de service.

Déployez les plugiciels suivants sur l'agent de gestion.

  • Gestion de base de données et données clés sur l'exploitation
  • Logging Analytics
  • Service hôte de données clés sur l'exploitation
  • Surveillance de pile

Déployer un plugiciel de service sur l'agent

Utilisez cette méthode lorsque l'agent de gestion est déjà installé comme décrit dans Installer les agents de gestion.

Pour déployer un plugiciel :
  1. Dans le menu de gauche, cliquez sur Agents pour ouvrir la page Agents.
  2. Dans la liste Agents, cliquez sur l'agent où vous souhaitez déployer le plugiciel. La page Détails de l'agent s'affiche.
  3. Cliquez sur Déployer les plugiciels. La fenêtre Déployer les plugiciels s'affiche. Sélectionnez le plugiciel et cliquez sur Mettre à jour. Le plugiciel sélectionné est déployé sur l'agent voulu.
  4. Vérifiez le statut de l'agent et des plugiciels dans la page d'accueil de l'agent.