Connexion VPN à Google

Le service VPN site à site Oracle Cloud Infrastructure (OCI) offre une connexion IPSec sécurisée entre un réseau sur site et un réseau cloud virtuel (VCN). Vous pouvez également utiliser un VPN site à site pour connecter des ressources OCI à d'autres fournisseurs de services cloud.

Cette rubrique présente les meilleures pratiques à suivre pour configurer un tunnel VPN IPSec entre OCI et Google Cloud Platform (GCP) à l'aide du service de VPN site à site OCI et du service de VPN Google Cloud.

Remarque

Ce document suppose que vous avez déjà provisionné un VCN et une passerelle de routage dynamique (DRG), et configuré également toutes les tables de routage VCN et les listes de sécurité requises pour ce scénario et tous les équivalents dans Google Cloud.

Remarques propres à GCP

Type de routage : ce scénario utilise BGP (Border Gateway Protocol) pour échanger des routages entre GCP et OCI. BGP est recommandé pour le VPN site à site dans la mesure du possible. Le routage statique peut également être utilisé entre GCP et OCI.

Vérification de la version du VPN site à site OCI

Vous pouvez vérifier la version du VPN site à site utilisée par les connexions IPSec dans l'onglet Informations sur IPSec d'une page de connexion IPSec.

Paramètres IPSec pris en charge

Pour obtenir la liste des paramètres IPSec pris en charge indépendamment du fournisseur pour toutes les régions OCI, reportez-vous à Paramètres IPSec pris en charge.

Processus de configuration

GCP - Démarrage de la configuration VPN
  1. Sur le portail principal de Google Cloud, procédez comme suit :
    1. Développez le menu principal dans l'angle supérieur gauche
    2. Accédez à Connectivité hybride.
    3. Sélectionnez VPN.
  2. Sur la page suivante, sélectionnez le lien Créer la connexion VPN pour démarrer le workflow de création d'une connexion VPN IPSec.

  3. Dans Options VPN, sélectionnez VPN haute disponibilité et cliquez sur le bouton Continuer en bas.

  4. Créez une passerelle VPN haute disponibilité cloud. Entrez les informations suivantes :

    • Nom : donnez un nom à la passerelle VPN.
    • Réseau : sélectionnez le catalogue privé virtuel auquel se connecte le VPN IPSec.
    • Région : sélectionnez la région pour la passerelle VPN.

      Lorsque vous avez terminé la configuration de la passerelle VPN, cliquez sur le bouton Créer et continuer pour continuer.

  5. La page suivante présente l'adresse IP publique de l'adresse VPN GCP.

    Enregistrez l'adresse IP publique de l'une des interfaces, puis ouvrez la Console OCI dans une fenêtre distincte et poursuivez le processus de configuration. Vous revenez ultérieurement pour terminer la configuration GCP après le provisionnement de l'instance OCI IPSec.

OCI - Création d'un objet CPE
  1. Ouvrez le menu de navigation et sélectionnez Fonctions de réseau. Sous Connectivité client, sélectionnez Equipement client sur site.
  2. Sélectionnez Créer un CPE (Customer-Premise Equipment).
  3. Entrez les valeurs suivantes :

    • Créer dans le compartiment : sélectionnez le compartiment pour le VCN souhaité.
    • Nom : nom descriptif de l'objet CPE. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.

      Cet exemple utilise le nom "TO_GCP".

    • Adresse IP : saisissez l'adresse IP publique de la passerelle VPN GCP.
    • Fournisseur de CPE : sélectionnez Autre.
  4. Sélectionnez Créer un CPE.
OCI - Création d'une connexion IPSec
  1. Ouvrez le menu de navigation et sélectionnez Fonctions de réseau. Sous Connectivité client, sélectionnez VPN site à site.
  2. Sélectionnez Créer une connexion IPSec.
  3. Entrez les valeurs suivantes :

    • Créer dans le compartiment : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • Nom : saisissez le nom descriptif de la connexion IPSec. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    • Compartiment de CPE (Customer-Premises Equipment) : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • CPE (CPE) : sélectionnez l'objet CPE que vous avez créé précédemment, nommé TO_GCP.
    • Compartiment de la passerelle de routage dynamique : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • Passerelle de routage dynamique : sélectionnez la passerelle de routage dynamique que vous avez créée précédemment.
    • CIDR de routage statique : entrez un routage par défaut, 0.0.0.0/0. Etant donné qu'il est utilisé pour le tunnel actif, OCI ignore ce routage. Cette entrée est requise pour le second tunnel de la connexion IPSec, qui emploie par défaut le routage statique. Elle n'est pas utilisée dans ce scénario. Si vous prévoyez d'utiliser un routage statique pour cette connexion, saisissez des routages statiques représentant les réseaux virtuels GCP. Vous pouvez configurer jusqu'à 10 routages statiques par connexion IPSec.
    • Assurez-vous qu'OCI prend en charge l'adresse /30 choisie pour les IP de tunnel internes. OCI ne vous autorise pas à utiliser les plages d'adresses IP suivantes pour les adresses IP de tunnel internes :

      • 169.254.10.0-169.254.19.255
      • 169.254.100.0-169.254.109.255
      • 169.254.192.0-169.254.201.255
  4. Entrez les détails suivants dans l'onglet Tunnel 1 (requis) :

    • Nom : entrez le nom descriptif du TUNNEL (exemple : GCP-TUNNEL-1). Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    • Indiquer une clef secrète partagée personnalisée : clé prépartagée utilisée par IPSec pour le tunnel. Cochez cette case si vous souhaitez utiliser une clé personnalisée. Si aucune sélection n'est fournie, une sélection est générée pour vous.
    • Version IKE : sélectionnez IKEv2.
    • Type de routage : sélectionnez Routage dynamique BGP. Sélectionnez Racheminement statique si vous souhaitez utiliser le routage statique.
    • ASN BGP : entrez le numéro ASN BGP utilisé par GCP. Le numéro ASN BGP GCP est configuré dans les étapes ultérieures. Ce scénario utilise le numéro ASN BGP 65000 pour GCP.
    • IPv4 Interface de tunnel interne - CPE : entrez l'adresse IP BGP utilisée par GCP. Utilisez la notation CIDR complète pour l'adresse IP. Il doit s'agir d'une adresse locale de liaison. Ce scénario utilise le CIDR 169.254.20.0/30 pour les adresses IP BGP.
    • IPv4 Interface de tunnel interne - Oracle : entrez l'adresse IP BGP utilisée par OCI. Incluez l'adresse IP dans la notation CIDR. Il doit s'agir d'une adresse locale de liaison. Ce scénario utilise le CIDR 169.254.20.0/30 pour les adresses IP BGP.
  5. Sélectionnez Afficher des options avancées pour le tunnel et remplacez les durées de vie de phase 1 et 2 pour qu'elles correspondent au côté GCP, comme indiqué ici : https://cloud.google.com/network-connectivity/docs/vpn/concepts/supported-ike-ciphers.

    Les valeurs de durée de vie des phases 1 et 2 seront différentes du côté GCP selon que vous utilisez IKEv1 ou IKEv2. Voici les éléments suivants :

    • Durée de vie de la clé de session IKE de phase 1 en secondes = 36 000 secondes
    • Durée de vie de la clé de session IPSec de phase 2 en secondes = 10 800 secondes

    Conservez les valeurs par défaut de tous les autres paramètres.

  6. Sélectionnez Créer une connexion IPSec.

    La connexion IPSec est créée et affichée sur la page. La connexion présente l'état Provisionnement pendant une courte période.

OCI - Enregistrement de l'adresse IP de VPN Oracle et de la clé secrète partagée

Une fois que la connexion IPSec a été provisionnée, enregistrez l'adresse IP du VPN site à site à utiliser comme adresse IP de CPE dans le portail GCP et la clé secrète partagée du tunnel.

  1. Accédez à IPSec, dans la console OCI.

    Déterminez le tunnel à utiliser comme tunnel principal. Enregistrez l'adresse IP de VPN site à page de ce tunnel. Ensuite, sélectionnez le nom du tunnel à placer dans la vue de tunnel.

  2. Sous le tunnel, sélectionnez le lien qui permet d'afficher la clé secrète partagée. Enregistrez-la. La clé secrète partagée est utilisée pour effectuer la configuration du VPN IPSec dans GCP.
GCP - Création d'une passerelle homologue VPN

  1. Revenez à la fenêtre de configuration VPN GCP.
  2. Sous Passerelle VPN homologue, sélectionnez Sur site ou autre Google Cloud.
  3. Développez la liste Nom de passerelle VPN homologue et sélectionnez Créer une passerelle homologue VPN.
  4. Vous pouvez accéder à la page Ajouter une passerelle VPN homologue. Entrez les informations suivantes :
  5. Sélectionnez le bouton de création en bas pour continuer. Vous revenez au workflow de création de VPN.
GCP - Création d'un routeur cloud
  1. Développez la liste Routeur cloud et sélectionnez Créer un routeur.

  2. Vous pouvez accéder à la page Créer un routeur. Entrez les informations suivantes :

    • Nom : attribuez un nom au routeur cloud.
    • ASN Google : entrez le ASN BGP Google, également utilisé lors de la configuration de la connexion IPSec dans OCI.

      Conservez toutes les autres options par défaut.

  3. Lorsque vous avez terminé de configurer le routeur cloud, cliquez sur le bouton Créer pour continuer.

    Vous revenez au workflow de création de VPN.

GCP - Configuration finale du tunnel VPN

Terminez la configuration du tunnel VPN. Entrez les informations suivantes :

  • Routeur cloud : sélectionnez le routeur cloud configuré à l'étape précédente.
  • IP de passerelle VPN cloud associée : elle doit correspondre à l'adresse IP d'objet CPE configurée dans OCI.
  • Interface de passerelle VPN homologue associée : elle doit correspondre à l'adresse IP Oracle du tunnel VPN OCI. Reportez-vous à la section OCI - Enregistrement d'une adresse IP VPN Oracle et de la clé secrète partagée.
  • Nom : donnez un nom au tunnel VPN.
  • Version IKE : sélectionnez IKEv2 (recommandé). Si vous utilisez IKEv1, assurez-vous que IKEv1 est également configuré pour le tunnel VPN sous la connexion IPSec dans OCI.
  • Clé prépartagée IKE : elle doit correspondre à la clé secrète partagée du tunnel VPN dans la connexion IPSec dans OCI. Reportez-vous à la section OCI - Enregistrement d'une adresse IP VPN Oracle et de la clé secrète partagée. Conservez toutes les autres options par défaut.

    Lorsque vous avez terminé la configuration du tunnel VPN, sélectionnez Créer et continuer.

GCP - Configuration de sessions BGP

Cette étape implique la configuration de la session BGP pour un tunnel IPSec. Les paramètres BGP doivent correspondre à la partie OCI de la configuration configurée dans OCI - Création d'une connexion IPSec.

  1. Sélectionnez le bouton Configurer sous Session BGP pour le tunnel VPN.
  2. Sur la page Créer une session BGP pour le tunnel, entrez les détails suivants :
    • Nom : nommez la session BGP.
    • Numéro ASN d'homologue : saisissez le numéro ASN BGP. Le numéro ASN BGP d'Oracle pour le cloud commercial est 31898, à l'exception de la région Centre de la Serbie (Jovanovac), qui est 14544.
    • Adresse IP BGP du routeur cloud : corresponde à l'adresse IP configurée pour IPV4 Inside Tunnel Interface - CPE du tunnel 1 dans OCI - Créer une connexion IPSec. N'utilisez pas la notation CIDR dans ce champ.
    • Adresse IP homologue BGP : correspondez à l'adresse IP configurée pour IPV4 Inside Tunnel Interface - Oracle du tunnel 1 dans OCI - Créer une connexion IPSec. N'utilisez pas la notation CIDR dans ce champ.
    • Homologue BGP : sélectionnez Activé.

      Conservez toutes les autres options par défaut.

  3. Lorsque vous avez terminé la configuration de la session BGP, sélectionnez Enregistrer et continuer pour revenir à la page Configurer les sessions BGP.
  4. Pour continuer, cliquez sur le bouton Save BGP configuration.

  5. Vous accédez à la page Récapitulatif et rappel.

    L'état du tunnel VPN et l'état BGP indiquent "établi".

  6. Sélectionnez OK en bas pour achever la configuration.
Vérification

Accédez à la connexion IPSec dans OCI et aux connexions de VPN site à site dans GCP pour vérifier l'état du tunnel.

Le tunnel OCI sous la connexion IPSec affiche Haut sous le statut IPSec, ce qui confirme qu'il est opérationnel.

Le statut BGP IPV4 affiche également Démarré, ce qui indique l'établissement d'une session BGP.

Accédez aux tunnels VPN cloud dans la Console GCP. Le statut du tunnel VPN et la session BGP doivent tous les deux présenter le statut Etabli.

Un service Monitoring est également disponible auprès d'OCI pour surveiller activement et passivement les ressources cloud. Pour plus d'informations sur la surveillance d'OCI site-à-site VPN, reportez-vous à Mesures de VPN site-à-site.

Si vous rencontrez des problèmes, reportez-vous à Dépannage de VPN site à site.