1. Configuration d'OCI Observability and Management pour les bases de données AWS RDS
  2. Configuration de la solution

Configuration de la solution

La configuration de cette solution est un processus en deux étapes, qui consiste à configurer l'infrastructure réseau, puis à installer la passerelle de gestion et l'agent de gestion. Les procédures suivantes vous guideront à travers ces étapes.

Configurez les fonctions de réseau

Suivez les étapes suivantes pour configurer la mise en tunnel VPN IPSec entre AWS et OCI afin d'activer la communication entre les services RDS et O&M. Cette configuration fonctionnera avec le VPN site à site OCI version 2.

Création d'une passerelle client temporaire pour AWS

Utilisez la passerelle client temporaire pour provisionner initialement le VPN site à site AWS, affichant l'adresse VPN AWS du tunnel. Pour pouvoir créer une connexion IPSec, OCI exige une adresse IP publique de l'homologue VPN distant. Une fois ce processus terminé, une nouvelle passerelle client représentant l'adresse IP publique d'adresse VPN OCI réelle est configurée.

  1. A partir du portail AWS principal, développez le menu Services en haut à gauche de l'écran. Accédez à VPC sous Réseau et transmission de contenu.
  2. Faites défiler le menu de gauche vers le bas et, sous Réseau privé virtuel (VPN), cliquez sur Passerelles client.
  3. Cliquez sur Créer une passerelle client pour créer une passerelle client.
    La page Créer passerelle client s'affiche.
  4. Entrez les détails suivants :
    • Nom : attribuez un nom temporaire à la passerelle client. Dans cet exemple, le nom TempGateway est utilisé.
    • Routage : sélectionnez Dynamic.
    • Numéro ASN BGP : saisissez le numéro ASN BGP OCI. Le numéro ASN BGP d'Oracle pour le cloud commercial est le 31898, à l'exception de la région Centre de la Serbie (Jovanovac) qui est le 14544.
    • adresse IP : utilisez n'importe quelle adresse IPv4 valide pour la passerelle temporaire. Cet exemple utilise 1.1.1.1.
  5. Lorsque vous avez terminé la configuration de la passerelle client temporaire, terminez le processus de provisionnement en cliquant sur Créer une passerelle client.

Création et connexion d'une passerelle privée virtuelle pour AWS

Une passerelle privée virtuelle (VPG) permet aux ressources situées en dehors de votre réseau de communiquer avec les ressources qui se trouvent à l'intérieur de votre réseau. Pour créer et attacher un VPG pour AWS, suivez cette procédure.

  1. Dans le menu AWS de gauche, faites défiler la page vers le bas et, sous Réseau privé virtuel (VPN), cliquez sur Passerelles privées virtuelles.
  2. Cliquez sur Créer une passerelle privée virtuelle pour en créer une.
    La page Créer une passerelle privée virtuelle apparaît.
  3. Entrez les détails suivants :
    • Nom : attribuez un nom à la passerelle privée virtuelle.
    • ASN : sélectionnez l'ASN Amazon par défaut.
  4. Lorsque vous avez terminé la configuration de la passerelle privée virtuelle, effectuez le provisionnement en cliquant sur Créer une passerelle privée virtuelle.
  5. Une fois la passerelle privée créée, attachez-la au catalogue privé virtuel de votre choix :
    1. Toujours sur la page Passerelle privée virtuelle, assurez-vous que votre VPG est sélectionné, ouvrez le menu Actions (Menu Actions), puis sélectionnez Attacher au VPC. La page Attacher au VPC de la passerelle privée virtuelle sélectionnée apparaît.
    2. Sélectionnez votre catalogue privé virtuel dans la liste, puis cliquez sur Oui, attacher pour terminer l'attachement de la passerelle virtuelle au catalogue privé virtuel.

Création d'une connexion VPN pour AWS

Pour connecter OCI à AWS à l'aide des services VPN natifs, suivez cette procédure.

  1. Démarrez le menu de gauche vers le bas et cliquez sur Site-to-Site VPN Connections sous Virtual Private Network (VPN).
  2. Cliquez sur Créer une connexion VPN pour créer une passerelle privée virtuelle. Vous accédez à la page Créer une connexion VPN.
  3. Entrez les détails suivants :
    • Balise de nom : attribuez un nom à la connexion VPN.
    • Type de passerelle cible : sélectionnez Passerelle privée virtuelle, puis sélectionnez la passerelle privée virtuelle créée précédemment dans la liste.
    • passerelle client : sélectionnez Existant, puis sélectionnez la passerelle client temporaire dans la liste.
    • Options de routage : sélectionnez Dynamique (requiert BGP).
    • Version des adresses IP internes du tunnel : sélectionnez IPv4.
    • CIDR de réseau IPv4 local/distant : ne renseignez pas ces deux champs, ce qui crée un VPN IPSec basé sur un routage de type Tout/Tout.

      Passez à l'étape suivante. Ne cliquez pas sur Créer une connexion VPN pour l'instant.

  4. Toujours sur la page Créer une connexion VPN, accédez plus bas à Options de tunnel.
  5. Choisissez un CIDR /30 dans la plage 169.254.0.0/16 locale de liaison. Entrez le CIDR complet dans Inside IPv4 CIDR for Tunnel 1.
  6. Assurez-vous qu'OCI prend en charge l'adresse /30 choisie pour les adresses IP de tunnel internes.
    OCI ne vous permet pas d'utiliser les plages suivantes pour les adresses IP de tunnel internes :
    • 169,254-169,254
    • 169,254-169,254
    • 169,254-169,254
    Passez à l'étape suivante. Ne cliquez pas sur Créer une connexion VPN pour l'instant.
  7. Sous Options avancées pour le tunnel 1, sélectionnez Modifier les options du tunnel 1.
    Un ensemble d'options supplémentaire apparaît. Si vous souhaitez restreindre les algorithmes cryptographiques utilisés pour ce tunnel, configurez ici les options de phase 1 et de phase 2 voulues. Vous devez utiliser IKEv2 pour cette connexion. Désactivez la case à cocher IKEv1 pour empêcher l'utilisation de IKEv1. Reportez-vous à "Paramètres IPSec pris en charge" pour obtenir une description des options de phase 1 et de phase 2 prises en charge par OCI (reportez-vous à "En savoir plus").
  8. Une fois que vous avez configuré toutes les options nécessaires, terminez le processus de provisionnement de la connexion VPN en cliquant sur Créer une connexion VPN.

Téléchargement de la configuration AWS

Pendant le provisionnement de la connexion VPN, téléchargez l'ensemble des informations de configuration de tunnel. Ce fichier texte est requis pour terminer la configuration du tunnel dans la console OCI.

  1. Veillez à sélectionner votre connexion VPN, puis cliquez sur Télécharger la configuration.
  2. Sélectionnez le paramètre "Generic" pour le fournisseur et la plate-forme, puis cliquez sur Téléchargement pour enregistrer une copie texte de la configuration sur votre disque dur local.
  3. Ouvrez le fichier de configuration téléchargé dans l'éditeur de texte de votre choix. Sous IPSec Tunnel #1, section #1 Internet Key Exchange Configuration. Vous y trouvez la clé prépartagée générée automatiquement pour votre tunnel. Enregistrez cette valeur.
    Il est possible qu'AWS génère une clé prépartagée utilisant des points ou des traits de soulignement (. ou _). OCI ne prend pas en charge ces caractères dans les clés prépartagées. Une clé qui inclut ces valeurs doit être modifiée. Pour modifier votre clé prépartagée dans AWS pour un tunnel, procédez comme suit :
    1. Sélectionnez votre connexion VPN, ouvrez le menu Actions et sélectionnez Modifier les options de tunnel VPN.
    2. Toujours sous Tunnel 1 dans la configuration téléchargée, accédez à la section #3 Tunnel Interface Configuration.
    3. Pour terminer la configuration du VPN site à site dans OCI, enregistrez les valeurs suivantes :
      • Adresse IP externe de la passerelle privée virtuelle
      • Adresse IP interne de la passerelle client
      • Adresse IP interne de la passerelle privée virtuelle
      • Numéro ASN BGP de la passerelle privée virtuelle. L'ASN par défaut est 64512.

Créer un équipement sur site client pour OCI

Ensuite, vous devez configurer le dispositif sur site (Customer Premises Equipment, ou CPE) à votre extrémité du VPN site à site afin que le trafic puisse circuler entre votre réseau sur site et votre réseau cloud virtuel (VCN). Utilisez la procédure suivante.

  1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur Equipement sur site client.
  2. Cliquez sur Créer un équipement de site client.
  3. Entrez les valeurs suivantes :
    • Créer dans le compartiment : sélectionnez le compartiment pour le VCN souhaité.
    • Nom : entrez le nom descriptif de l'objet CPE. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier à l'aide de l'API). Evitez de saisir des informations confidentielles. Cet exemple utilise le nom TO_AWS.
    • adresse IP : entrez l'adresse IP externe de la passerelle privée virtuelle, affichée dans la configuration téléchargée à partir d'AWS.
    • Fournisseur de CPE : sélectionnez Autre.
  4. Cliquez sur Créer un CPE.

Création d'une connexion IPSec pour OCI

Vous devez à présent créer les tunnels IPSec et configurer le type de routage, statique ou BGP. Utilisez la procédure suivante.

  1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connexion client, cliquez sur VPN site à site.
  2. Cliquez sur Créer une connexion IPSec.
    Une nouvelle boîte de dialogue de connexion IPSec apparaît.
  3. Entrez les valeurs suivantes :
    • Créer dans le compartiment : à laisser tel quel (compartiment du VCN).
    • Nom : saisissez le nom descriptif de la connexion IPSec (exemple : OCI-AWS-1). Il n'a pas besoin d'être unique et vous pouvez le modifier plus tard. Evitez de saisir des informations confidentielles.
    • Compartiment du CPE (Customer-Premise Equipment) : à laisser tel quel (compartiment du VCN).
    • Customer-Premise Equipment : sélectionnez l'objet CPE que vous avez créé précédemment, nommé TO_AWS.
    • Compartiment de passerelle de routage dynamique : laissez-le tel quel (compartiment du VCN).
    • Passerelle de routage dynamique : sélectionnez le DRG que vous avez créé précédemment.
    • CIDR de routage statique : entrez un routage par défaut, 0.0.0.0/0.

      Comme le tunnel actif utilise BGP, OCI ignore ce routage. Une entrée est requise pour le second tunnel de la connexion IPSec, qui utilise par défaut le routage statique, mais l'adresse n'est pas utilisée dans ce scénario. Si vous prévoyez d'utiliser un routage statique pour cette connexion, saisissez des routages statiques représentant vos réseaux virtuels AWS. Vous pouvez configurer jusqu'à 10 routes statiques par connexion IPSec.

  4. Entrez les détails suivants dans l'onglet Tunnel 1 (requis) :
    • Nom : entrez le nom descriptif du tunnel (exemple : AWS-TUNNEL-1). Il n'a pas besoin d'être unique et vous pouvez le modifier plus tard. Evitez de saisir des informations confidentielles.
    • Provide custom shared secret : entrez la clé prépartagée utilisée par IPSec pour le tunnel. Cochez cette case et saisissez la clé prépartagée issue du fichier de configuration VPN AWS.
    • Version IKE : sélectionnez IKEv2.
    • Type de routage : sélectionnez le routage dynamique BGP.
    • ASN BGP : entrez le numéro ASN BGP utilisé par AWS comme trouvé dans le fichier de configuration VPN AWS. Le numéro ASN BGP AWS est 64512.
    • IPv4 Interface de tunnel interne - CPE : entrez l'adresse IP interne de passerelle privée virtuelle issue du fichier de configuration VPN AWS. Utilisez la notation CIDR complète pour l'adresse IP.
    • IPv4 Interface de tunnel interne - Oracle : entrez l'adresse IP interne utilisée par OCI. Dans le fichier de configuration VPN AWS, saisissez l'adresse IP interne de la passerelle client. Utilisez la notation CIDR complète pour l'adresse IP.
  5. Cliquez sur Créer une connexion IPSec.
    La connexion IPSec est créée et affichée sur la page. Elle présente l'état Provisionnement pendant une courte période.
  6. Une fois la connexion IPSec provisionnée, notez l'adresse IP de VPN Oracle du tunnel. Cette adresse sera utilisée pour créer une passerelle client dans le portail AWS.
    1. Ouvrez le menu de navigation et cliquez sur Networking. Sous Connexion client, cliquez sur VPN site à site.

      La liste des connexions IPSec du compartiment apparaît. Si vous ne voyez pas la connexion que vous recherchez, vérifiez que vous consultez le bon compartiment (sélectionnez-le dans la liste située à gauche de la page).

    2. Cliquez sur la connexion IPSec qui vous intéresse (exemple : OCI-AWS-1).
    3. Recherchez l'adresse IP de VPN Oracle d' AWS-TUNNEL-1.

Création d'une passerelle client AWS

Maintenant, créez une passerelle client sur la passerelle client existante à l'aide des détails capturés à partir de la connexion OCI IPSec.

  1. Dans la console AWS, accédez à Passerelles client et créez une passerelle client en entrant les détails suivants :
    • Nom : attribuez un nom à la passerelle client.
    • Routage : sélectionnez Dynamic.
    • Numéro ASN BGP : saisissez le numéro ASN BGP OCI. Le numéro ASN BGP d'Oracle pour le cloud commercial est le 31898, à l'exception de la région Centre de la Serbie (Jovanovac) qui est le 14544.
    • IP Address : saisissez l'adresse IP de VPN Oracle du tunnel 1. Utilisez l'adresse IP enregistrée dans la tâche précédente.
  2. Pour terminer le provisionnement, cliquez sur Créer une passerelle client.

Modification de la connexion VPN avec la nouvelle passerelle client AWS

Cette tâche remplace la passerelle client temporaire par celle qui utilise l'adresse IP de VPN OCI.

  1. Sur la console AWS, accédez à Connexions Site-to-Site VPN et sélectionnez votre connexion VPN.
  2. Ouvrez le menu Actions et sélectionnez Modifier la connexion VPN.
    La page Modifier la connexion VPN apparaît.
  3. Entrez les détails suivants :
    • Type de cible : sélectionnez Passerelle client dans la liste.
    • ID de passerelle client cible : sélectionnez dans la liste la nouvelle passerelle client avec l'adresse IP de VPN OCI.
  4. Lorsque vous avez terminé, cliquez sur Enregistrer pour enregistrer la configuration. Après quelques minutes, AWS termine le provisionnement de la connexion VPN, et le VPN IPSec entre AWS et OCI est démarré.
  5. A ce stade, vous pouvez supprimer la passerelle client temporaire.

Valider la connectivité

Accédez à la connexion IPSec dans OCI et aux connexions de VPN site à site dans AWS pour vérifier le statut du tunnel.

  • Le tunnel OCI sous la connexion IPSec affiche le statut IPSec sur Démarré pour confirmer qu'il est opérationnel.
  • Le statut BGP IPv4 affiche également Démarré, ce qui indique l'établissement d'une session BGP.
  • Le statut de tunnel dans l'onglet Détails du tunnel pour la connexion VPN site à site dans AWS affiche Actif.

Installation de la passerelle de gestion et de l'agent

Reportez-vous à la section "Téléchargement sécurisé des données d'observabilité sur site à l'aide de la passerelle de gestion" pour en savoir plus sur l'architecture d'installation de l'agent et de la passerelle dans un environnement VPN site à site (reportez-vous à "En savoir plus").

Installation de la passerelle de gestion

Ensuite, vous devez installer la passerelle de gestion. La passerelle de gestion doit être en mesure de communiquer avec les services OCI via le tunnel VPN IPSec, et non via le sous-réseau public. Cette tâche dépassant le cadre de ce document, reportez-vous à la section "Installation de la passerelle de gestion" pour obtenir des étapes détaillées (voir "Explorer plus").

Installation de l'agent de gestion

Tout d'abord, vous devez installer l'agent de gestion. Étant donné que cette tâche dépasse le cadre de ce document, vous pouvez vous reporter à la section "Installation de l'agent de gestion" pour connaître les étapes détaillées (voir "En savoir plus").

Déploiement de modules d'extension de service

Les agents de gestion vous permettent de déployer des plug-ins de service pour différents services OCI. Vous pouvez déployer des modules d'extension de service vers des agents de gestion permettant d'effectuer des tâches pour ces services. Les agents de gestion peuvent disposer de plusieurs modules d'extension de service.

Déployez les plug-ins suivants sur l'agent de gestion.

  • Informations sur la gestion des bases de données et les opérations
  • Logging Analytics
  • Service hôte Ops Insights
  • Stack Monitoring

déployer un plug-in de service sur l'agent

Utilisez cette méthode lorsque l'agent de gestion est déjà installé, comme décrit dans Installation des agents de gestion.

Effectuez les opérations suivantes :
  1. Dans le menu de gauche, cliquez sur Agents pour ouvrir la page Agents.
  2. Dans la liste Agents, cliquez sur l'agent où déployer le module d'extension. La page Détails de l'agent apparaît.
  3. Cliquez sur Déployer les modules d'extension. La fenêtre Déployer les modules d'extension apparaît. Sélectionnez le modèle d'extension et cliquez sur Mettre à jour. Le module d'extension sélectionné sera déployé sur l'agent.
  4. Vérifiez le statut de l'agent et des modules d'extension sur la page d'accueil de l'agent.