Documentazione dell'infrastruttura Oracle Cloud

Interconnessione per Google Cloud

Questo argomento descrive come impostare Oracle Interconnect for Google Cloud.

Oracle Interconnect for Google Cloud ti consente di creare una connessione cross-cloud tra Oracle Cloud Infrastructure e Google Cloud Platform (GCP) in determinate aree. Questa connessione ti consente di impostare carichi di lavoro cloud-to-cloud senza che il traffico tra i cloud passi su Internet. Questo argomento descrive come impostare le risorse dell'infrastruttura di rete virtuale per abilitare questa distribuzione.

Evidenziazioni

  • Puoi connettere una rete cloud virtuale (VCN) di Oracle Cloud Infrastructure (OCI) con un Cloud privato virtuale (VPC) GCP ed eseguire un carico di lavoro cloud-to-cloud. Nel caso d'uso tipico, potresti distribuire un Oracle Database su OCI e un'applicazione personalizzata in GCP.
  • Le due reti virtuali devono appartenere alla stessa azienda o organizzazione e non devono avere CIDR sovrapposti. Oracle Interconnect for Google Cloud richiede la creazione di un circuito di interconnessione partner e di un circuito virtuale FastConnect OCI.

disponibilità

Oracle Interconnect for Google Cloud è disponibile solo nelle aree abbinate illustrate nelle seguenti mappe e tabelle. Per ulteriori informazioni sulle posizioni delle aree GCP, vedere la tabella Posizioni strutture di posizione nella documentazione GCP.

L'immagine seguente mostra le aree con Oracle Interconnect for Google Cloud, che mostrano tutte le region OCI commerciali e annotano le aree con interconnessione sia a Azure che a GCP. Nelle tabelle seguenti sono elencate anche le aree GCP partecipanti.

Mappa che mostra le aree di interconnessione con Azure o GCP.

Le region cloud del governo degli Stati Uniti con Oracle Interconnect for Google Cloud sono elencate nella documentazione del Government Cloud degli Stati Uniti,

Asia Pacifico

Area OCI - Chiave Area Google Cloud

Australia orientale (Sydney) / ap-sydney-1 - SYD

Sydney (australia-southeast1)

Australia sud-orientale (Melbourne) / ap-melbourne-1 - MEL

Melbourne (australia-southeast2)

India (Ovest) / ap-mumbai-1 - BOM

Mumbai (asia-south1)

Giappone orientale (Tokyo) / ap-tokyo-1 - NRT

Tokyo (asia-northeast1)
Singapore (Singapore) / ap-singapore-1 - SIN

Singapore (asia-southeast1)

Europa, Medio Oriente e Africa (EMEA)

Area OCI - Chiave Area Google Cloud

Germania centrale (Francoforte) / eu-frankfurt-1 - FRA

Francoforte (europe-west3)

Spagna Centrale (Madrid) / eu-madrid-1 - MAD

Madrid (europe-southwest1)

Regno Unito (Sud) / uk-london-1 - LHR

Londra (europe-west2)

Svizzera settentrionale (Zurigo) / eu-zurich-1 - ZRH

 Zurigo (europe-west6)

America Latina (LATAM)

Area OCI - Chiave Area Google Cloud

Brasile (Est) - San Paolo (San Paolo) /sa-saopaulo-1 - GRU

San Paolo (Sudamerica-east1)

Nord America (NA)

Posizione OCI - Chiave Area Google Cloud

Canada sud-orientale (Montreal) (ca-montreal-1) - YUL

Montréal (Nordamerica-northeast1)

Canada sud-orientale (Toronto) (ca-toronto-1) - YYZ

Toronto (Nordamerica-northeast2)

Stati Uniti orientali (Ashburn) (us-ashburn-1) - IAD

N. Virginia (us-east4)

Panoramica del traffico supportato

Di seguito sono riportati ulteriori dettagli sui tipi di traffico supportati.

Connessione da VCN a VPC: estensione da un cloud all'altro

Puoi connettere una rete VCN e VPC in modo che il traffico che utilizza indirizzi IP privati passi attraverso una connessione cloud-to-cloud.

Ad esempio, il diagramma riportato di seguito mostra una VCN connessa a una VCP. Le risorse nel VPC eseguono un'applicazione che accede a un database Oracle eseguito sulle risorse del servizio di database nella VCN. Il traffico tra l'applicazione e il database utilizza un circuito logico eseguito sulla connessione cloud-to-cloud tra GCP e OCI.

Questo diagramma mostra la connessione tra un VPC GCP e la VCN OCI.

Per abilitare la connessione tra il VPC e la VCN, impostare un collegamento VLAN GCP e un circuito virtuale FastConnect OCI. La connessione non dispone di ridondanza integrata, il che significa che è necessario impostare una seconda connessione Oracle Interconnect for Google Cloud per abilitare una progettazione di rete resiliente e ad alta disponibilità.

Per istruzioni dettagliate, vedere Impostazione di una connessione.

VCN in peer

Il traffico di connessione può passare dal VPC a una o più VCN peer nella stessa region OCI o in altre region OCI.

Tipi di traffico non supportati dalla connessione

Questa connessione non abilita il traffico tra una rete in locale tramite OCI e VPC o da una rete in locale tramite GCP e OCI.

Importanti implicazioni della connessione dei cloud

Questa sezione contiene un riepilogo di alcune implicazioni relative a controllo dell'accesso, sicurezza e prestazioni di Oracle Interconnect for Google Cloud. In generale, puoi controllare l'accesso e il traffico utilizzando i criteri IAM, le tabelle di instradamento nella VCN e le regole di sicurezza nella VCN.

Le sezioni che seguono illustrano le implicazioni dal punto di vista di una VCN. Implicazioni simili influenzano un VPC. Come con una VCN, puoi utilizzare le risorse GCP, come le tabelle di instradamento e i gruppi di sicurezza di rete, per proteggere un VPC.

Controllo dell'istituzione di una connessione

Con i criteri IAM di Oracle Cloud Infrastructure, puoi controllare:

Controllo del flusso di traffico sulla connessione

Anche se è stata stabilita una connessione tra VCN e VPC, è possibile controllare il flusso di pacchetti tramite la connessione alle tabelle di instradamento della VCN. Ad esempio, è possibile limitare il traffico solo a subnet specifiche nel VPC.

Senza arrestare la connessione, puoi arrestare il flusso di traffico verso il VPC rimuovendo le regole di instradamento che indirizzano il traffico dalla VCN al VPC. Puoi anche interrompere il traffico in modo efficace rimuovendo qualsiasi regola di sicurezza che abilita il traffico in entrata o in uscita VPC. In questo modo il traffico non viene interrotto tramite la connessione, ma viene arrestato a livello di VNIC.

Controllo dei tipi specifici di traffico consentiti

Assicurarsi che tutto il traffico in uscita e in entrata con il VPC sia previsto o previsto e definito. Implementa le regole di sicurezza GCP e Oracle che specificano in modo esplicito i tipi di traffico che un cloud può inviare all'altro e accettare dall'altro.

Importante

Anche le istanze di Oracle Cloud Infrastructure che eseguono Linux o immagini della piattaforma Windows dispongono di regole firewall che controllano l'accesso all'istanza. Durante la risoluzione dei problemi di accesso a un'istanza, assicurarsi che gli elementi riportati di seguito siano impostati correttamente: i gruppi di sicurezza di rete in cui si trova l'istanza, le liste di sicurezza associate alla subnet dell'istanza e le regole firewall dell'istanza.

Se un'istanza esegue Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 o Oracle Linux Cloud Developer 8, devi utilizzare firewalld per interagire con le regole iptables. Per riferimento, ecco i comandi per l'apertura di una porta (1521 in questo esempio):

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

Per le istanze con un volume di avvio iSCSI, il comando --reload precedente può causare problemi. Per informazioni dettagliate e una soluzione alternativa, vedere Instances experience system hang after running firewall-cmd --reload.

Oltre a utilizzare le regole di sicurezza e i firewall, valuta altre configurazioni basate sul sistema operativo nelle istanze nella VCN. Potrebbero essere disponibili configurazioni predefinite che non si applicano al CIDR della VCN, ma che si applicano inavvertitamente al CIDR del VPC.

Utilizzo delle regole predefinite della lista di sicurezza con la VCN

Se le subnet della VCN utilizzano la lista di sicurezza predefinita con le regole predefinite, due regole in tale lista consentono il traffico in entrata da qualsiasi posizione (0.0.0.0/0 e quindi il VPC):

  • Regola di entrata con conservazione dello stato che consente il traffico sulla porta TCP 22 (SSH) dal traffico 0.0.0.0/0 e da qualsiasi porta di origine
  • Regola di entrata con conservazione dello stato che consente il traffico su ICMP di tipo 3, codice 4 dal traffico 0.0.0.0/0 e da qualsiasi porta di origine

Valutare queste regole e se si desidera mantenerle o aggiornarle. Come indicato in precedenza, assicurarsi che tutto il traffico in entrata o in uscita consentito sia previsto e definito.

Prepararsi all'impatto sulle prestazioni e ai rischi per la sicurezza

In generale, prepara la VCN per le modalità in cui potrebbe essere interessata dal VPC. Ad esempio, il carico sulla VCN o sulle relative istanze potrebbe aumentare. In alternativa, la VCN potrebbe subire un attacco dannoso direttamente da o tramite il VPC.

Per quanto riguarda le prestazioni: se la VCN fornisce un servizio alla VPC, preparati a eseguire lo scale-up del servizio per soddisfare le esigenze della VPC. Ciò potrebbe significare essere pronti a creare più istanze, se necessario. In alternativa, se sei preoccupato per gli elevati livelli di traffico di rete che arrivano alla rete VCN, prendi in considerazione l'utilizzo di regole di sicurezza senza conservazione dello stato per limitare il livello di monitoraggio della connessione che la VCN deve eseguire. Le regole di sicurezza senza conservazione dello stato possono anche contribuire a rallentare l'impatto di un attacco di tipo Denial of Service (DoS).

Per quanto riguarda i rischi per la sicurezza: se il VPC è connesso a Internet, la VCN può essere esposta ad attacchi di mancato recapito. Un attacco di mancato recapito coinvolge un host dannoso su Internet che invia traffico alla VCN che sembra provenire dal VPC. Per evitare questo, come accennato in precedenza, utilizzare le regole di sicurezza per limitare attentamente il traffico in entrata dal VPC al traffico previsto e definito.

Impostazione di una connessione

In questa sezione viene descritto come impostare Oracle Interconnect for Google Cloud (per informazioni in background, vedere Panoramica sul traffico supportato).

Il lato Google Cloud Platform di questa connessione utilizza quello che Google definisce "Interconnessione partner". Il lato OCI utilizza il metodo FastConnect Oracle Partner.

Prerequisiti: risorse necessarie

Devi già avere:

  • Un VPC GCP con subnet, un router Google Cloud e perimetri di servizio
  • Una VCN dell'infrastruttura Oracle Cloud con subnet e un gateway di instradamento dinamico (DRG) collegato. Ricordarsi di collegare il DRG alla VCN dopo averla creata. Se si dispone già di una VPN da sito a sito o FastConnect tra una rete in locale e una VCN, la VCN dispone già di un DRG collegato. Si utilizza lo stesso DRG qui durante l'impostazione della connessione a GCP.
  • Autorizzazioni IAM per configurare le risorse necessarie per i componenti OCI necessari.
  • Una sottoscrizione valida sia in OCI che in GCP per le aree che si desidera connettere

Come promemoria, ecco una tabella che elenca i componenti di rete comparabili coinvolti in ciascun lato della connessione.

Componente GCP Oracle Cloud Infrastructure
Rete virtuale Cloud privato virtuale (VPC) VCN
Circuito virtuale Collegamento VLAN FastConnect circuito virtuale privato
Gateway Router Google Cloud gateway di instradamento dinamico (DRG)
Instradamento tabelle di instradamento tabelle di instradamento
Regole di sicurezza Perimetro servizio gruppi di sicurezza di rete (NSG) o liste di sicurezza

Prerequisiti: Informazioni BGP necessarie

La connessione tra VPC e VCN utilizza l'instradamento dinamico BGP. Quando imposti il circuito virtuale Oracle, fornisci gli indirizzi IP BGP utilizzati per le due sessioni BGP ridondanti tra Oracle e GCP:

  • Una coppia primaria di indirizzi BGP (un indirizzo IP per il lato Oracle, un indirizzo IP per il lato GCP)
  • Una coppia separata e secondaria di indirizzi BGP (un indirizzo IP per il lato Oracle, un indirizzo IP per il lato GCP)

Per ciascuna coppia, è necessario fornire un blocco separato di indirizzi con una maschera di sottorete da /28 a /31.

Il secondo e il terzo indirizzo in ogni blocco di indirizzi vengono utilizzati per la coppia di indirizzi IP BGP.

  • Il secondo indirizzo nel blocco è per il lato Oracle della sessione BGP
  • Il terzo indirizzo nel blocco è per il lato GCP della sessione BGP

Il primo e l'ultimo indirizzo del blocco vengono utilizzati per altri scopi interni. Ad esempio, se il CIDR è 10.0.0.20/30, gli indirizzi nel blocco sono i seguenti:

  • 10.0.0.20
  • 10.0.0.21: utilizzare questa opzione per il lato Oracle (nella console Oracle, immettere l'indirizzo come 10.0.0.21/30)
  • 10.0.0.22: utilizzare questa opzione per il lato GCP (nella console Oracle, immettere l'indirizzo come 10.0.0.22/30 e notare che questo indirizzo viene indicato come lato "Cliente" nella console)
  • 10.0.0.23

Ricorda che devi anche fornire un secondo blocco con le stesse dimensioni per gli indirizzi BGP secondari. Ad esempio: 10.0.0.24/30. In questo caso, 10.0.0.25 è per il lato Oracle e 10.0.0.26 è per il lato GCP. Nella console Oracle è necessario immettere i valori seguenti: 10.0.0.25/30 e 10.0.0.26/30.

Prerequisiti: criterio IAM necessario

Devi già disporre dell'accesso GCP e dell'accesso IAM Oracle Cloud Infrastructure necessari per creare e utilizzare le risorse di rete GCP e Oracle pertinenti. Se il proprio account utente si trova nel gruppo Amministratori, è probabile che si disponga dell'autorità necessaria, altrimenti un criterio simile a questo copre tutte le risorse di networking:

Allow group NetworkAdmins to manage virtual-network-family in tenancy

Per creare e gestire solo un circuito virtuale, è necessario disporre di un criterio simile al seguente:

Allow group VirtualCircuitAdmins to manage drgs in tenancy

Allow group VirtualCircuitAdmins to manage virtual-circuits in tenancy

Per ulteriori informazioni, vedere Criteri IAM per il networking.

Processo generale

Il diagramma riportato di seguito mostra il processo generale di connessione di un VPC e di una VCN.

Questo diagramma swimlane mostra i passi per la connessione di un VPC GCP e di una VCN OCI
Task 1: configurare la sicurezza di rete

Il primo task consiste nel decidere quale traffico deve fluire tra le subnet pertinenti all'interno del VPC e della VCN, quindi configurare i perimetri del servizio e le regole di sicurezza della VCN necessari. Di seguito sono riportati i tipi generali di regole da aggiungere.

  • Regole di entrata per i tipi di traffico che si desidera consentire dalle altre subnet pertinenti del cloud.
  • Regole di uscita per consentire il traffico in uscita verso l'altro cloud. Se la subnet della VCN dispone già di un'ampia regola di uscita per tutti i tipi di protocolli in tutte le destinazioni (0.0.0.0/0), non è necessario aggiungerne una speciale per il traffico al VPC. La lista di sicurezza predefinita della VCN include una regola di uscita predefinita così ampia.

Di seguito sono riportati i tipi di traffico consigliati da consentire tra VPC e VCN.

  • Ping del traffico in entrambe le direzioni per il test della connessione da ciascun lato
  • SSH (porta TCP 22)
  • Connessioni client a un database Oracle (SQL*NET sulla porta TCP 1521)

Consenti solo il traffico da e verso specifici intervalli di indirizzi di interesse (ad esempio, le altre subnet pertinenti del cloud).

Per il VPC: decidere quali subnet nel VPC devono comunicare con la VCN. Quindi configurare i perimetri del servizio per tali subnet in modo da consentire il traffico.

Per la VCN:

Nota

La procedura riportata di seguito utilizza gli elenchi di sicurezza, ma è possibile implementare le regole di sicurezza in uno o più gruppi di sicurezza di rete, quindi inserire le risorse pertinenti della VCN nei gruppi NSG.
  1. Decidi quali subnet nella VCN devono comunicare con il VPC.

  2. Aggiornare la lista di sicurezza per ciascuna subnet in modo da includere regole per consentire il traffico in uscita o in entrata con il blocco CIDR del VPC o una subnet del VPC:

    1. Nella console, durante la visualizzazione della VCN di interesse, selezionare Elenchi di sicurezza.
    2. Selezionare la lista di sicurezza a cui si è interessati.

    3. Selezionare Modifica tutte le regole e creare una o più regole, ognuna per il tipo specifico di traffico che si desidera consentire. Vedere le regole di esempio riportate di seguito.

    4. Al termine, selezionare Salva regole lista di sicurezza nella parte inferiore della finestra di dialogo.

    Per ulteriori informazioni sull'impostazione delle regole di sicurezza, vedere Regole di sicurezza.

Esempio: ping in uscita dalla VCN alla VPC

La seguente regola di sicurezza di uscita consente a un'istanza di creare una richiesta di ping a un host esterno alla VCN (richiesta ecologica ICMP di tipo 8). Questa è una regola con conservazione dello stato che consente automaticamente la risposta. Non è richiesta alcuna regola di entrata separata per la risposta all'eco ICMP di tipo 0.

  1. Nella sezione Consenti regole per uscita, selezionare +Add Regola.
  2. Immettere i valori riportati di seguito per creare questa regola di sicurezza.
    • Lasciare deselezionata la casella di controllo senza conservazione dello stato.
    • CIDR di destinazione: la subnet pertinente nel VPC (10.0.0.0/16 nel diagramma precedente)
    • Protocollo IP: ICMP
    • Tipo e codice: 8
    • Descrizione: una descrizione facoltativa della regola.
  3. Selezionare Salva regole lista di sicurezza nella parte inferiore della finestra di dialogo.
Esempio: ping in entrata alla VCN da VPC

La regola di sicurezza in entrata riportata di seguito consente a un'istanza di ricevere una richiesta di ping da un host nel VPC (richiesta ecologica ICMP di tipo 8). Questa è una regola con conservazione dello stato che consente automaticamente la risposta. Non è richiesta alcuna regola di uscita separata per ICMP di risposta all'eco di tipo 0.

  1. Nella sezione Consenti regole per uscita, selezionare +Add Regola.
  2. Immettere i valori riportati di seguito per creare questa regola di sicurezza.
    • Lasciare deselezionata la casella di controllo senza conservazione dello stato.
    • CIDR di origine: la subnet pertinente nel VPC (10.0.0.0/16 nel diagramma precedente)
    • Protocollo IP: ICMP
    • Tipo e codice: 8
    • Descrizione: una descrizione facoltativa della regola.
  3. Selezionare Salva regole lista di sicurezza nella parte inferiore della finestra di dialogo.
Esempio: SSH in entrata a VCN

La regola di sicurezza in entrata riportata di seguito consente a un'istanza di ricevere una connessione SSH (sulla porta TCP 22) da un host nella VPC.

  1. Nella sezione Consenti regole per uscita, selezionare +Add Regola.
  2. Immettere i valori riportati di seguito per creare questa regola di sicurezza.
    • Lasciare deselezionata la casella di controllo senza conservazione dello stato.
    • CIDR di origine: la subnet pertinente nel VPC (10.0.0.0/16 nel diagramma precedente)
    • Protocollo IP: TCP
    • Intervallo porte di origine: tutto
    • Intervallo di porte di destinazione: 22
    • Descrizione: una descrizione facoltativa della regola.
  3. Selezionare Salva regole lista di sicurezza nella parte inferiore della finestra di dialogo.
Esempio: connessioni SQL al database

La seguente regola di sicurezza in entrata consente connessioni SQL (sulla porta TCP 1521) dagli host nella VPC.

  1. Nella sezione Consenti regole per uscita, selezionare +Add Regola.
  2. Immettere i valori riportati di seguito per creare questa regola di sicurezza.
    • Lasciare deselezionata la casella di controllo senza conservazione dello stato.
    • CIDR di origine: la subnet pertinente nel VPC (10.0.0.0/16 nel diagramma precedente)
    • Protocollo IP: TCP
    • Intervallo porte di origine: tutto
    • Intervallo di porte di destinazione: 1521
    • Descrizione: una descrizione facoltativa della regola.
  3. Selezionare Salva regole lista di sicurezza nella parte inferiore della finestra di dialogo.
Task 2: creare un collegamento VLAN di interconnessione Google Cloud

Crea una coppia di connessioni di interconnessione partner con Oracle Cloud Infrastructure FastConnect. Durante l'impostazione, impostare i seguenti parametri:

  • Rete: utilizzare l'impostazione predefinita.
  • Area: selezionare un'area in cui è disponibile l'interconnessione. Vedere Disponibilità.
  • Router cloud: selezionare un router cloud che funzioni già con il VPC che si desidera connettere a una VCN OCI.
  • MTU: selezionare 1500. Questa dimensione è la meno probabile che causi problemi. Per ulteriori informazioni sulle dimensioni MTU in OCI, consulta l'articolo Hanging Connection.

Si riceve una o più chiavi di associazione da GCP. Vedere il passo 10 della procedura Crea collegamenti VLAN non cifrati. Registrare o memorizzare la chiave di associazione perché è necessario fornirla a Oracle quando si imposta un circuito virtuale FastConnect nel passo successivo. La chiave di associazione è una chiave univoca che consente a OCI di identificare e connettersi alla rete Google Cloud VPC e al router cloud associato. OCI richiede questa chiave per completare la configurazione del collegamento VLAN.

Nota

Dopo aver creato i collegamenti VLAN, selezionare la casella Abilita per disattivare i collegamenti VLAN. Se si esegue questa operazione ora, è possibile saltare Task 4 (facoltativo): attivare la connessione.
Nota

Si consiglia di creare una coppia ridondante di collegamenti VLAN di interconnessione per aumentare la disponibilità. La creazione della ridondanza comporta 2 chiavi di associazione. Se non è necessaria la ridondanza, è possibile creare un singolo collegamento VLAN (in seguito è sempre possibile renderlo ridondante), il che comporta una singola chiave di associazione.

Nel task successivo, è possibile impostare un circuito virtuale privato FastConnect su Google Cloud Platform. Al termine del provisioning del circuito virtuale, il collegamento VLAN viene aggiornato per mostrare che il peering privato è abilitato.

Task 3: impostare un circuito virtuale FastConnect OCI
  1. Nella Console verificare di aver visualizzato il compartimento in cui si desidera lavorare. In caso di dubbi, utilizzare il compartimento che contiene il DRG per connettersi. Questa scelta di compartimento, insieme a un criterio IAM corrispondente, controlla chi può accedere al circuito virtuale che si sta per creare.

  2. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare FastConnect.

    La pagina FastConnect risultante consente di creare un nuovo circuito virtuale e di tornare a quando è necessario gestire il circuito virtuale.

  3. Selezionare Crea FastConnect.
  4. Selezionare Partner FastConnect e selezionare Google Cloud : Interconnessione OCI dalla lista.

  5. Selezionare Singolo circuito virtuale (impostazione predefinita) o circuiti virtuali ridondanti per configurare i circuiti virtuali che utilizzano dispositivi fisici diversi nella stessa posizione FastConnect. Per ulteriori informazioni sulla ridondanza, vedere FastConnect Best practice per la ridondanza. Se si seleziona Singolo circuito virtuale, è possibile tornare in un secondo momento per aggiungere un circuito virtuale ridondante.

  6. Selezionare Successivo.

  7. Immettere quanto riportato di seguito per il circuito virtuale (circuito virtuale 1 se sono stati selezionati i circuiti virtuali ridondanti):

    • Nome: nome descrittivo per i circuiti virtuali. Il valore non deve essere univoco nei circuiti virtuali ed è possibile modificarlo in un secondo momento. Evitare di fornire informazioni riservate.
    • Crea nel compartimento: lasciare invariato (il compartimento in cui si sta lavorando).
    • Selezionare Partner e selezionare il partner dalla lista.
      Nota

      Se si seleziona Megaport come partner, è possibile eseguire il provisioning del lato partner del circuito utilizzando i passi facoltativi indicati.

  8. Selezionare il tipo di circuito virtuale Privato. I circuiti virtuali ridondanti devono essere entrambi privati o pubblici, pertanto questa impostazione viene abbinata all'altro circuito virtuale. Ora immettere quanto riportato di seguito.

    • Selezionare Tutto il traffico o IPSec solo sul traffico FastConnect. Il circuito virtuale può essere utilizzato per IPSec su FastConnect con una delle due opzioni, ma è possibile scegliere di consentire solo il traffico cifrato sul circuito virtuale. I circuiti virtuali ridondanti devono avere la stessa impostazione, pertanto questa viene abbinata all'altro circuito virtuale.
    • Gateway di instradamento dinamico: selezionare il DRG in cui instradare il traffico FastConnect. IPSec su FastConnect richiede un DRG aggiornato. Questo DRG può essere collegato a diverse VCN o ad altri DRG con VCN collegate.
    • Larghezza di banda con provisioning eseguito: selezionare un valore. Se in seguito è necessario aumentare la larghezza di banda, è possibile aggiornare il circuito virtuale in modo che utilizzi un valore diverso (vedere Per modificare un circuito virtuale).
    • Chiave Partner Service (Facoltativo): immettere la chiave di servizio fornita da Google. È possibile immettere questa chiave ora o modificare il circuito in un secondo momento.

    Se la sessione BGP viene trasferita a Oracle (vedere Diagrammi di rete di base), la finestra di dialogo include altri campi per la sessione BGP:

    • Indirizzo IP BGP del cliente: l'indirizzo IP di peering BGP per l'edge (CPE), con una subnet mask da /28 a /31.
    • Indirizzo IP BGP Oracle: l'indirizzo IP di peering BGP che si desidera utilizzare per l'edge Oracle (il DRG), con una subnet mask da /28 a /31.
    • Abilita assegnazione indirizzo IPv6: l'indirizzamento IPv6 è supportato per tutte le aree commerciali e governative. Vedere FastConnect e IPv6.
    • ASN BGP del cliente: ASN pubblico o privato per Google VCP.
    • Utilizzare una chiave di autenticazione MD5 BGP (facoltativo): selezionare questa casella di controllo e fornire una chiave se è richiesta l'autenticazione MD5. Oracle supporta l'autenticazione MD5 a 128 bit.
    • Abilita rilevamento di inoltro bidirezionale (facoltativo): selezionare questa casella di controllo per abilitare Rilevamento di inoltro bidirezionale.
      Nota

      Quando si utilizza il rilevamento inoltro bidirezionale, il dispositivo associato deve essere configurato in modo da utilizzare un intervallo minimo di 300 ms e un moltiplicatore di 3.
  9. Se si sta creando un circuito virtuale ridondante, immettere le informazioni necessarie per l'altro circuito virtuale (circuito virtuale 2). Se sono stati selezionati i circuiti virtuali ridondanti, tenere presente che le impostazioni del tipo di circuito virtuale (privato o pubblico) e Tutto il traffico o IPSec solo sul traffico FastConnect per il circuito virtuale 2 sono già impostate in modo che corrispondano al circuito virtuale 1 e se si modificano le impostazioni dell'altro circuito, le impostazioni cambiano automaticamente in base alla corrispondenza.
    Nota

    La creazione di un circuito virtuale ridondante è facoltativa se si sono selezionati circuiti virtuali ridondanti e il partner selezionato crea una connessione di livello 3 a OCI, ma se il partner selezionato crea una connessione di livello 2 è necessario un circuito virtuale ridondante. Per ulteriori informazioni sulle connessioni di livello 2 e di livello 3, vedere FastConnect Redundancy Best Practices.

  10. Selezionare Crea.

    Il circuito virtuale viene creato e viene visualizzata una pagina di stato. Selezionare Chiudi per tornare alla lista dei circuiti virtuali.

  11. Selezionare il nome del circuito virtuale creato. Mentre il circuito virtuale si trova nello stato PENDING PARTNER, il relativo OCID e un collegamento al portale del PARTNER vengono visualizzati nella casella di conferma "Connessione creata" nella parte superiore della pagina. L'OCID del circuito virtuale è disponibile anche con gli altri dettagli del circuito virtuale. Copiare e incollare l'OCID in un'altra posizione. Lo si assegna al partner Oracle nell'attività successiva. Copiare anche l'OCID per il circuito ridondante se ne è stato creato uno.

Dopo aver creato il circuito virtuale FastConnect, attendere che OCI configuri le connessioni. Esaminando la pagina dei dettagli del circuito virtuale creato, verificare nella scheda Informazioni sul circuito virtuale che lo stato del ciclo di vita per le informazioni sul circuito virtuale venga modificato in Con provisioning eseguito. Controllare inoltre la scheda Informazioni BGP per verificare che la sessione BGP sia stata stabilita. Attendere alcuni minuti affinché la sessione BGP passi allo stato Stabilito. Vedere anche Per ottenere lo stato di un circuito virtuale FastConnect.

Task 4 (facoltativo): attivare la connessione

Questo passo è necessario solo se i collegamenti VLAN GCP non sono stati preattivati quando sono state fornite le chiavi di associazione nel Task 2: Creare un collegamento VLAN di interconnessione Google Cloud.

Una volta completata la configurazione e il provisioning sul lato OCI, se non sono stati preattivati gli allegati VLAN GCP, si riceve una notifica di posta elettronica da Google Cloud . Dopo aver ricevuto il messaggio di posta elettronica, è necessario abilitare l'allegato VLAN dalla console di Google Cloud. È necessario attivare la connessione e verificarne lo stato di attivazione prima di poter verificare di aver stabilito la connettività con Google Cloud.

Task 5: configurare le tabelle di instradamento

Per il VPC: decidere quali subnet nel VPC devono comunicare con la VCN. Quindi configura la pubblicità BGP per tali subnet in modo da instradare il traffico in base alle esigenze.

Per la VCN:

  1. Decidi quali subnet nella VCN devono comunicare con il VPC.

  2. Aggiornare la tabella di instradamento per ciascuna subnet in modo da includere una nuova regola che indirizza il traffico destinato al CIDR del VPC al DRG:

    1. Nella console, durante la visualizzazione della VCN di interesse, selezionare Tabelle di instradamento.
    2. Selezionare la tabella di instradamento a cui si è interessati.
    3. Selezionare Modifica regole di instradamento.

    4. Selezionare + Altra regola di instradamento e immettere quanto segue:

      • Tipo di destinazione: gateway di instradamento dinamico. Il gateway DRG collegato della VCN viene selezionato automaticamente come destinazione e non è necessario specificare manualmente la destinazione.
      • Blocco CIDR di destinazione: la subnet pertinente nel VPC (10.0.0.0/16 nel diagramma precedente).
      • Descrizione: una descrizione facoltativa della regola.
    5. Selezionare Salva.

Qualsiasi traffico della subnet con una destinazione che corrisponde alla regola viene instradato al DRG. Il gateway DRG sa quindi instradare il traffico al VPC in base alle informazioni sulla sessione BGP del circuito virtuale.

In seguito, se non è più necessaria la connessione e si desidera eliminare il gateway DRG, è necessario eliminare prima tutte le regole di instradamento nella VCN che specificano il gateway DRG come destinazione.

Per ulteriori informazioni sull'impostazione delle regole di instradamento, vedere Tabelle di instradamento VCN.

Task 6: Verifica e verifica della connessione
Importante

Se si decide di interrompere la connessione, è necessario seguire un determinato processo. Vedere Per terminare Oracle Interconnect for Google Cloud.
  1. Verificare che la sessione BGP (Border Gateway Protocol) sia stata stabilita con Google Cloud.
    La sessione BGP può essere verificata dalla console OCI esaminando la scheda Informazioni BGP nella pagina dei dettagli del circuito virtuale creato nel Task 3: impostare un circuito virtuale FastConnect OCI. Non procedere finché non si conferma che la sessione BGP si trova nello stato Stabilito. Vedere anche Per ottenere lo stato di un circuito virtuale FastConnect.
  2. Verificare che i perimetri del servizio VPC e le regole di sicurezza VCN (vedere Task 1: Configure Network Security) siano tutti configurati correttamente.
  3. Creare un'istanza di test in una VCN.
  4. Utilizzare l'istanza di test per accedere a un host nella VPC utilizzando SSH o un host nella VPC per accedere all'istanza di test.
Se il passo 4 è riuscito, la connessione è ora pronta per l'uso.

Se lo stato BGP non è stato stabilito, contattare i team di supporto di OCI o Google Cloud.

Gestione di Oracle Interconnect for Google Cloud

Per ottenere lo stato di un circuito virtuale FastConnect
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare FastConnect.
  2. Selezionare il compartimento in cui risiede la connessione.
  3. Seleziona la connessione che ti interessa. Se l'icona per il circuito virtuale è verde e indica UP, il provisioning del circuito virtuale è stato eseguito e il BGP è stato configurato correttamente. Il circuito virtuale è pronto per l'uso.
Per modificare un circuito virtuale FastConnect

È possibile modificare questi elementi per un circuito virtuale:

  • Nome
  • Quale DRG utilizza
Attenzione

Se lo stato del circuito virtuale è PROVISIONED, la modifica del DRG utilizzato cambia lo stato in PROVISIONING e potrebbe causare l'interruzione della connessione. Dopo che Oracle ha eseguito il provisioning del circuito virtuale, lo stato torna a PROVISIONED. Verificare che la connessione sia attiva e funzionante.
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare FastConnect.
  2. Selezionare il compartimento in cui risiede la connessione, quindi selezionare la connessione.
  3. Selezionare il circuito virtuale.
  4. Selezionare Modifica e apportare le modifiche desiderate. Evitare di fornire informazioni riservate.
  5. Selezionare Salva.
Per terminare Oracle Interconnect for Google Cloud

I passi riportati di seguito mostrano il processo generale di interruzione di Oracle Interconnect for Google Cloud.

  1. Nel portale GCP, visualizzare Cloud Interconnect, quindi i relativi collegamenti VLAN per visualizzare i collegamenti VLAN ancora esistenti per Cloud Interconnect. Per ulteriori dettagli, vedere Visualizza collegamenti VLAN. Se rimangono collegamenti VLAN, vedere Disconnetti reti ed eliminare tutti i collegamenti VLAN.
  2. Nel portale Oracle, eliminare il circuito virtuale FastConnect:
    1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare FastConnect.
    2. Selezionare il compartimento in cui risiede la connessione, quindi selezionare la connessione.
    3. Selezionare il circuito virtuale.
    4. Selezionare Elimina.

    5. Confermare quando richiesto.

      Lo stato del ciclo di vita del circuito virtuale passa a TERMINATING.

Oracle Interconnect for Google Cloud è stato interrotto.