Documentazione dell'infrastruttura Oracle Cloud

Scenario C: Subnet pubbliche e private con una VPN

Questo argomento spiega come impostare lo scenario C, un semplice esempio di impostazione a più livelli. È costituita da una rete cloud virtuale (VCN) con una subnet pubblica regionale in cui memorizzare server pubblici (ad esempio server Web) e una subnet privata regionale in cui memorizzare server privati (ad esempio server di database). I server si trovano in domini di disponibilità separati per la ridondanza.

La VCN dispone di un gateway di instradamento dinamico (DRG) e una VPN da sito a sito per la connettività alla tua rete on premise. Le istanze nella subnet pubblica hanno accesso diretto a Internet tramite un gateway Internet . Le istanze nella subnet privata possono avviare le connessioni Internet tramite un gateway NAT (ad esempio per ottenere aggiornamenti software), ma non possono ricevere connessioni in entrata da Internet attraverso tale gateway.

Ogni subnet utilizza la lista di sicurezza predefinita, che dispone di regole predefinite progettate per semplificare l'utilizzo di Oracle Cloud Infrastructure. Le regole consentono l'accesso richiesto tipico, ad esempio le connessioni SSH in entrata e qualsiasi tipo di connessione in uscita. Tenere presente che le regole della lista di sicurezza consentono solo il traffico. Qualsiasi traffico non esplicitamente coperto da una regola della lista di sicurezza viene negato.

Suggerimento

Gli elenchi di sicurezza sono un modo per controllare il traffico in entrata e in uscita dalle risorse della VCN. È anche possibile utilizzare gruppi di sicurezza di rete

Questo scenario può utilizzare un DRG precedente o aggiornato.

Ogni subnet dispone anche di una propria lista di sicurezza personalizzata e di una tabella di instradamento personalizzata con regole specifiche per le esigenze delle istanze della subnet. In questo scenario, la tabella di instradamento predefinita della VCN (che è sempre vuota per iniziare) non viene utilizzata.

Vedere la figura seguente.

Questa immagine mostra lo scenario C: una VCN con una subnet pubblica e privata, un gateway Internet, un gateway NAT e una connessione VPN IPSec.
Callout 1: Tabella di instradamento subnet privata regionale
CIDR di destinazione Destinazione instradamento
0.0.0.0/0 Gateway NAT
10.0.0.0/16 DRG
Callout 2: Tabella di instradamento della subnet pubblica regionale
CIDR di destinazione Destinazione instradamento
0.0.0.0/0 Gateway Internet
Suggerimento

Lo scenario utilizza la VPN da sito a sito per la connettività. Tuttavia, potresti invece utilizzare Oracle Cloud Infrastructure FastConnect.

Requisiti indispensabili

Per configurare la VPN in questo scenario, è necessario ottenere le seguenti informazioni da un amministratore di rete:

  • Indirizzo IP pubblico dell'apparecchiatura (CPE) in locale del cliente alla fine della VPN
  • Instradamenti statici per la rete in locale (questo scenario utilizza l'instradamento statico per i tunnel VPN, ma è possibile utilizzare l'instradamento dinamico BGP)

Fornisci queste informazioni a Oracle e ricevi in cambio le informazioni di cui l'amministratore di rete ha bisogno per configurare il router in locale alla fine della VPN.

Criterio IAM necessario

Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere un membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.

Se si è membri del gruppo Administrators, si dispone già dell'accesso necessario per implementare lo scenario C. In caso contrario, è necessario accedere alla rete e disporre della possibilità di avviare le istanze. Vedere Criteri IAM per il networking.

Impostazione dello scenario C

L'impostazione è semplice nella console. In alternativa, puoi utilizzare l'API di Oracle Cloud Infrastructure, che ti consente di implementare autonomamente le singole operazioni.

Importante

La maggior parte di questo processo prevede l'utilizzo della console o dell'API (a seconda di quale scelta) per un breve periodo per impostare i componenti di networking necessari. C'è anche un passo critico che richiede che un amministratore di rete nella tua organizzazione prenda le informazioni che ricevi durante l'impostazione dei componenti e le utilizzi per configurare il router on-premise alla fine della VPN. Pertanto, non è possibile completare questo processo in una breve sessione. Interrompi mentre l'amministratore di rete completa la configurazione e conferma la comunicazione con le tue istanze tramite la VPN.

Utilizzo di Console

Task 1: impostare la VCN e le subnet

  1. Creare la VCN:

    1. Aprire il menu di navigazione , selezionare Networking, quindi selezionare Reti cloud virtuali.
    2. In Ambito lista, selezionare un compartimento per il quale si dispone dell'autorizzazione per utilizzare gli aggiornamenti delle pagine in.The per visualizzare solo le risorse in tale compartimento. Se non si è certi del compartimento da utilizzare, contattare un amministratore. Per ulteriori informazioni, vedere Controllo accesso.
    3. Fare clic su Crea rete cloud virtuale.

    4. Immettere quanto riportato di seguito.

      • Nome: un nome descrittivo per la VCN. Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
      • Crea nel compartimento: non modificare le impostazioni.
      • Blocco CIDR: uno o più blocchi CIDR non sovrapposti per la VCN. Ad esempio: 172.16.0.0/16. È possibile aggiungere o rimuovere i blocchi CIDR in un secondo momento. Vedere Intervalli di dimensioni e indirizzi della VCN consentiti. Per riferimento, ecco un calcolatore CIDR.
      • Abilita assegnazione indirizzo IPv6: l'indirizzamento IPv6 è supportato per tutte le aree commerciali e governative. Per maggiori informazioni, vedere IPv6 Indirizzi.
      • Usa nomi host DNS in questa VCN: questa opzione è necessaria per assegnare i nomi host DNS agli host nella VCN e necessaria se si prevede di utilizzare la funzione DNS predefinita della VCN (denominata resolver Internet e VCN). Se si seleziona questa opzione, è possibile specificare un'etichetta DNS per la VCN oppure lasciare che la console ne generi una automaticamente. Nella finestra di dialogo viene visualizzato automaticamente il nome di dominio DNS corrispondente per la VCN (<VCN_DNS_label>.oraclevcn.com). Per ulteriori informazioni, vedi DNS nella tua rete cloud virtuale.
      • Tag: lasciare così com'è. Se si desidera, è possibile aggiungere le tag in un secondo momento. Per ulteriori informazioni, vedere Tag delle risorse.

    5. Fare clic su Crea rete cloud virtuale.

      La VCN viene quindi creata e visualizzata nella pagina Reti cloud virtuali del compartimento scelto.

  2. Crea un gateway Internet per la tua VCN:

    1. In Risorse fare clic su Gateway Internet.
    2. Fare clic su Crea gateway Internet.

    3. Immettere quanto riportato di seguito.

      • Nome: un nome descrittivo per il gateway Internet. Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
      • Crea nel compartimento: non modificare le impostazioni.
      • Tag: lasciare così com'è. Se si desidera, è possibile aggiungere le tag in un secondo momento. Per ulteriori informazioni, vedere Tag delle risorse.

    4. Fare clic su Crea gateway Internet.

      Il gateway Internet viene quindi creato ed elencato nella pagina.

  3. Creare un gateway NAT per la VCN:

    1. In Risorse, fare clic su Gateway NAT.
    2. Fare clic su Crea gateway NAT.

    3. Immettere quanto riportato di seguito.

      • Nome: un nome descrittivo per il gateway NAT. Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
      • Crea nel compartimento: non modificare le impostazioni.
      • Tag: lasciare così com'è. Se si desidera, è possibile aggiungere le tag in un secondo momento. Per ulteriori informazioni, vedere Tag delle risorse.

    4. Fare clic su Crea gateway NAT.

      Il gateway NAT viene quindi creato ed elencato nella pagina.

  4. Creare la tabella di instradamento personalizzata per la subnet pubblica (creata in seguito):

    1. In Risorse fare clic su Tabelle di instradamento.
    2. Fare clic su Crea tabella di instradamento.

    3. Immettere quanto riportato di seguito.

      • Nome: nome descrittivo per la tabella di instradamento (ad esempio, Tabella di instradamento della subnet pubblica). Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
      • Crea nel compartimento: lasciare il valore predefinito (il compartimento in cui si sta attualmente lavorando).

      • Fare clic su + Regola di instradamento aggiuntiva e immettere quanto segue:

        • Tipo di destinazione: gateway Internet.
        • Blocco CIDR di destinazione: 0.0.0.0/0 (il che significa che tutto il traffico non intra-VCN che non è già coperto da altre regole nella tabella di instradamento va alla destinazione specificata in questa regola).
        • Compartimento: lasciare invariato.
        • Destinazione: il gateway Internet creato.
        • Descrizione: una descrizione facoltativa della regola.
    4. Tag: lasciare invariato. Sarà possibile aggiungere tag in seguito. Per ulteriori informazioni, vedere Tag delle risorse.

    5. Fare clic su Crea tabella di instradamento.

      La tabella di instradamento viene quindi creata ed elencata nella pagina.

  5. Creare la tabella di instradamento personalizzata per la subnet privata (creata in seguito):

    1. Fare clic su Crea tabella di instradamento.

    2. Immettere quanto riportato di seguito.

      • Nome: un nome descrittivo per la tabella di instradamento (ad esempio, Tabella di instradamento della subnet privata). Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
      • Crea nel compartimento: lasciare il valore predefinito (il compartimento in cui si sta attualmente lavorando).

      • Fare clic su + Regola di instradamento aggiuntiva e immettere quanto segue:

        • Tipo di destinazione: gateway NAT.
        • Blocco CIDR di destinazione: 0.0.0.0/0 (il che significa che tutto il traffico non intra-VCN che non è già coperto da altre regole nella tabella di instradamento va alla destinazione specificata in questa regola).
        • Compartimento: lasciare invariato.
        • Destinazione: il gateway NAT creato.
        • Descrizione: una descrizione facoltativa della regola.
    3. Tag: lasciare invariato. Sarà possibile aggiungere tag in seguito. Per ulteriori informazioni, vedere Tag delle risorse.

    4. Fare clic su Crea tabella di instradamento.

      La tabella di instradamento viene quindi creata ed elencata nella pagina. Dopo aver impostato la VPN da sito a sito, si aggiorna la tabella di instradamento della subnet privata in modo che instrada il traffico dalla subnet privata alla rete in locale tramite il gateway DRG.

  6. Aggiornare la lista di sicurezza predefinita in modo da includere le regole per consentire i tipi di connessioni di cui le istanze nella VCN hanno bisogno:

    1. In Risorse fare clic su Elenchi di sicurezza.
    2. Fare clic sulla lista di sicurezza predefinita per visualizzarne i dettagli. Per impostazione predefinita, si accede alla pagina Regole di entrata.
    3. Modificare ciascuna delle regole di entrata con conservazione dello stato esistenti in modo che il CIDR di origine sia il CIDR per la rete in locale (10.0.0.0/16 in questo esempio) e non 0.0.0.0/0. Per modificare una regola esistente, fare clic sul menu Azioni Menu Azioni per la regola, quindi fare clic su Modifica.

    4. Se si prevede di avviare istanze di Windows, aggiungere una regola per abilitare l'accesso RDP:

  7. Creare una lista di sicurezza personalizzata per la subnet pubblica:

    1. Tornare alla pagina Elenchi di sicurezza per la VCN.
    2. Fare clic su Crea lista di sicurezza.

    3. Immettere quanto riportato di seguito.

      • Nome: immettere un nome descrittivo per la lista (ad esempio, Lista di sicurezza della subnet pubblica). Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
      • Crea nel compartimento: lasciare il valore predefinito (il compartimento in cui si sta attualmente lavorando).

    4. Aggiungere le seguenti regole di entrata:

      Esempio: accesso HTTP in entrata
      • Tipo: entrata
      • senza conservazione dello stato: non selezionato (regola con conservazione dello stato)
      • Tipo di origine: CIDR
      • CIDR di origine: 0.0.0.0/0
      • Protocollo IP: TCP
      • Intervallo porte di origine: tutte
      • Intervallo di porte di destinazione: 80
      • Descrizione: una descrizione facoltativa della regola.
      Esempio: accesso HTTPS in entrata
      • Tipo: entrata
      • senza conservazione dello stato: non selezionato (regola con conservazione dello stato)
      • Tipo di origine: CIDR
      • CIDR di origine: 0.0.0.0/0
      • Protocollo IP: TCP
      • Intervallo porte di origine: tutte
      • Intervallo di porte di destinazione: 443
      • Descrizione: una descrizione facoltativa della regola.

    5. Aggiungere la seguente regola di uscita:

    6. Fare clic su Crea lista di sicurezza.

      La lista di sicurezza personalizzata per la subnet pubblica viene quindi creata ed elencata nella pagina.

  8. Creare una lista di sicurezza personalizzata per la subnet privata:

    1. Fare clic su Crea lista di sicurezza.

    2. Immettere quanto riportato di seguito.

      • Nome: immettere un nome descrittivo per la lista (ad esempio, Lista di sicurezza della subnet privata). Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
      • Crea nel compartimento: lasciare il valore predefinito (il compartimento in cui si sta attualmente lavorando).

    3. Aggiungere le seguenti regole di entrata:

      Esempio: accesso SQL*Net in entrata dai client nella subnet pubblica
      • Tipo: entrata
      • senza conservazione dello stato: non selezionato (regola con conservazione dello stato)
      • Tipo di origine: CIDR
      • CIDR di origine: CIDR per la subnet pubblica (172.16.1.0/24 in questo esempio)
      • Protocollo IP: TCP
      • Intervallo porte di origine: tutte
      • Intervallo di porte di destinazione: 1521
      • Descrizione: una descrizione facoltativa della regola.
      Esempio: accesso SQL*Net in entrata dai client nella subnet privata
      • Tipo: entrata
      • senza conservazione dello stato: non selezionato (regola con conservazione dello stato)
      • Tipo di origine: CIDR
      • CIDR di origine: CIDR per la subnet privata (172.16.2.0/24 in questo esempio)
      • Protocollo IP: TCP
      • Intervallo porte di origine: tutte
      • Intervallo di porte di destinazione: 1521
      • Descrizione: una descrizione facoltativa della regola.

    4. Aggiungere le seguenti regole di uscita:

    5. Fare clic su Crea lista di sicurezza.

      La lista di sicurezza personalizzata per la subnet privata viene quindi creata ed elencata nella pagina.

  9. Creare le subnet nella VCN:

    1. In Risorse fare clic su Subnet.
    2. Fare clic su Crea subnet.

    3. Immettere quanto riportato di seguito.

      • Nome: nome descrittivo per la subnet pubblica regionale, ad esempio Subnet privata regionale. Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
      • Regionale o specifico del dominio di disponibilità: selezionare Regionale (consigliato), ovvero la subnet si estende su tutti i domini di disponibilità nell'area. Successivamente, quando avvii un'istanza, puoi crearla in qualsiasi dominio di disponibilità nell'area. Per ulteriori informazioni, vedere Panoramica di VCN e subnet.
      • Blocco CIDR: un singolo blocco CIDR contiguo all'interno del blocco CIDR della VCN. Ad esempio: 172.16.1.0/24. Impossibile modificare questo valore in un secondo momento. Per riferimento, ecco un calcolatore CIDR.
      • Abilita assegnazione indirizzo IPv6: questa opzione è disponibile solo se la VCN è abilitata per IPv6. L'indirizzamento IPv6 è supportato per tutte le aree commerciali e governative. Per maggiori informazioni, vedere IPv6 Indirizzi.
      • Tabella di instradamento: selezionare la tabella di instradamento della subnet privata creata in precedenza.
      • Subnet pubblica oprivata: selezionare Subnet privata, ovvero le VNIC nella subnet non possono avere indirizzi IP pubblici. Per ulteriori informazioni, vedere Accesso a Internet.
      • Usa nomi host DNS in questa subnet: questa opzione è disponibile solo se è stata fornita un'etichetta DNS per la VCN al momento della creazione. L'opzione è necessaria per l'assegnazione dei nomi host DNS agli host nella subnet e anche quando si prevede di utilizzare la funzione DNS predefinita della VCN (denominata resolver Internet e VCN). Se si seleziona la casella di controllo, è possibile specificare un'etichetta DNS per la subnet o lasciare che la console ne generi una automaticamente. Nella finestra di dialogo viene visualizzato automaticamente il nome di dominio DNS corrispondente per la subnet come nome FQDN. Per ulteriori informazioni, vedi DNS nella tua rete cloud virtuale.
      • Opzioni DHCP: selezionare il set predefinito di opzioni DHCP.
      • Elenchi di sicurezza: selezionare due liste di sicurezza: la lista di sicurezza predefinita e la lista di sicurezza della subnet privata creata in precedenza.

    4. Fare clic su Crea subnet.

      La subnet privata viene quindi creata e visualizzata nella pagina Subnet.

    5. Ripetere i passi precedenti a-d per creare la subnet pubblica regionale. In alternativa, utilizzare un nome quale Subnet pubblica regionale, selezionare Subnet pubblica anziché Subnet privata, utilizzare la tabella di instradamento della subnet pubblica e utilizzare sia la lista di sicurezza predefinita che la lista di sicurezza della subnet pubblica creata in precedenza.
Esempio: accesso RDP in entrata richiesto per le istanze di Windows
  • Tipo: entrata
  • senza conservazione dello stato: non selezionato (regola con conservazione dello stato)
  • Tipo di origine: CIDR
  • CIDR di origine: la rete in locale (10.0.0.0/16 in questo esempio)
  • Protocollo IP: TCP
  • Intervallo porte di origine: tutte
  • Intervallo di porte di destinazione: 3389
  • Descrizione: una descrizione facoltativa della regola.
Esempio: accesso SQL*Net in uscita ai database Oracle
  • Tipo: uscita
  • senza conservazione dello stato: non selezionato (regola con conservazione dello stato)
  • Tipo di destinazione: CIDR
  • CIDR di destinazione: CIDR per la subnet privata (172.16.1.0/24 in questo esempio)
  • Protocollo IP: TCP
  • Intervallo porte di origine: tutte
  • Intervallo di porte di destinazione: 1521
  • Descrizione: una descrizione facoltativa della regola.
Esempio: accesso SQL*Net in uscita alle istanze nella subnet privata
  • Tipo: uscita
  • senza conservazione dello stato: non selezionato (regola con conservazione dello stato)
  • Tipo di destinazione: CIDR
  • CIDR di destinazione: CIDR per la subnet privata (172.16.1.0/24 in questo esempio)
  • Protocollo IP: TCP
  • Intervallo porte di origine: tutte
  • Intervallo di porte di destinazione: 1521
  • Descrizione: una descrizione facoltativa della regola.
Task 2: creare istanze in domini di disponibilità separati

Ora puoi creare una o più istanze nella subnet (vedere Avvio di un'istanza). Il diagramma dello scenario mostra le istanze in due domini di disponibilità diversi. Quando crei l'istanza, scegli il dominio di disponibilità, quale VCN e subnet utilizzare e diverse altre caratteristiche.

Per ogni istanza della subnet pubblica, è necessario assegnare all'istanza un indirizzo IP pubblico. In caso contrario, l'istanza non è disponibile nella rete in locale.

Non è ancora possibile raggiungere le istanze nella subnet privata perché non esiste alcun gateway che connette la VCN alla rete on premise. La procedura successiva ti guida nell'impostazione della VPN da sito a sito per abilitare tale comunicazione.

Task 3: aggiungere una VPN da sito a sito alla VCN

  1. Creare un oggetto attrezzatura cliente-premise:

    1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare Attrezzatura cliente-premise.
    2. Fare clic su Crea Customer-Premises Equipment.

    3. Immettere quanto riportato di seguito.

      • Crea nel compartimento: lasciare il valore predefinito (il compartimento in cui si sta attualmente lavorando).
      • Nome: nome riconoscibile dall'utente per l'oggetto attrezzatura cliente-premise. Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
      • Indirizzo IP: l'indirizzo IP del router in locale alla fine della VPN (vedere Prerequisiti).
    4. Fare clic su Crea.

    L'oggetto CPE si trova nello stato "Provisioning" per un breve periodo.

  2. Creare un gateway di instradamento dinamico (DRG):

    1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare Gateway di instradamento dinamico.
    2. Fare clic su Crea gateway di instradamento dinamico.
    3. Per Crea nel compartimento: lasciare il valore predefinito (il compartimento in cui si sta attualmente lavorando).
    4. Immettere un nome descrittivo per il DRG. Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
    5. Fare clic su Crea.

    Il DRG si trova nello stato "Provisioning" per un breve periodo. Attendere il completamento del provisioning prima di continuare.

  3. Collega il gateway DRG alla tua VCN:

    1. Fare clic sul DRG creato.
    2. In Risorse, fare clic su Reti cloud virtuali.
    3. Fare clic su Collega a rete cloud virtuale.
    4. Selezionare la VCN. Ignorare la sezione per le opzioni avanzate, che si riferisce solo a uno scenario di instradamento avanzato denominato instradamento di transito, che non è rilevante qui.
    5. Fare clic su Allega.

    L'allegato si trova nello stato "Allegato" per un breve periodo.

  4. Aggiornare la tabella di instradamento della subnet privata (che dispone già di una regola per il gateway NAT):

    1. Aprire il menu di navigazione , selezionare Networking, quindi selezionare Reti cloud virtuali.
    2. Fare clic sulla VCN.
    3. Fare clic su Tabelle di instradamento, quindi sulla tabella di instradamento della subnet privata creata in precedenza.
    4. Fare clic su Add Route Rule.

    5. Immettere quanto riportato di seguito.

      • Tipo di destinazione: gateway di instradamento dinamico. Il gateway DRG collegato della VCN viene selezionato automaticamente come destinazione e non è necessario specificare manualmente la destinazione.
      • Blocco CIDR di destinazione: 0.0.0.0/0 (il che significa che tutto il traffico non intra-VCN che non è già coperto da altre regole nella tabella di instradamento va alla destinazione specificata in questa regola).
      • Descrizione: una descrizione facoltativa della regola.

    6. Fare clic su Add Route Rule.

      La tabella viene aggiornata per instradare qualsiasi traffico destinato alla rete in locale al gateway DRG. La regola originale per 0.0.0.0/0 instrada tutto il traffico rimanente lasciando la subnet al gateway NAT.

  5. Creare una connessione IPSec:

    1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.
    2. Fare clic su Crea connessione IPSec.

    3. Immettere quanto riportato di seguito.

      • Crea nel compartimento: lasciare il valore predefinito (il compartimento in cui si sta attualmente lavorando).
      • Nome: immettere un nome riconoscibile per la connessione IPSec. Non deve essere unico. Evitare di inserire informazioni riservate.
      • Comparto Customer-Premises Equipment: lasciare così com'è (compartimento della VCN).
      • Customer-Premises Equipment: selezionare l'oggetto CPE creato in precedenza.
      • Compartimento del gateway di instradamento dinamico: lasciare invariato (il compartimento della VCN).
      • Gateway di instradamento dinamico: selezionare il DRG creato in precedenza.
      • CIDR di instradamento statico: immettere almeno un CIDR di instradamento statico (vedere Prerequisiti). Se è necessario aggiungerne un altro, fare clic su Aggiungi instradamento statico. È possibile immettere fino a 10 instradamenti statici ed è possibile modificare gli instradamenti statici in un secondo momento.
    4. Fare clic su Mostra opzioni avanzate e, facoltativamente, fornire i seguenti elementi:

    5. Fare clic su Crea connessione IPSec.

      La connessione IPSec viene creata e visualizzata nella pagina. La connessione si trova nello stato Provisioning per un breve periodo.

      Le informazioni visualizzate sul tunnel includono l'indirizzo IP dell'headend VPN e lo stato IPSec del tunnel (possibili valori sono Up, Down e Down for Maintenance). A questo punto, lo stato è Inattivo. Per visualizzare il segreto condiviso del tunnel, fare clic sul menu Azioni Menu Azioni, quindi su Visualizza segreto condiviso.

    6. Copiare l'indirizzo IP VPN Oracle e il segreto condiviso per ognuno dei tunnel in un'e-mail o in un'altra posizione in modo da poterlo consegnare al tecnico di rete che configura il router in locale.

      Per ulteriori informazioni, vedere Configurazione CPE. È possibile visualizzare queste informazioni sul tunnel qui nella console in qualsiasi momento.

Ora sono stati creati tutti i componenti necessari per la VPN da sito a sito. Successivamente, l'amministratore di rete deve configurare il router in locale prima che il traffico di rete possa fluire tra la rete in locale e la VCN.

Task 4: configurare il router on premise (CPE)

Le istruzioni sono destinate all'amministratore di rete.

  1. Recupera le informazioni di configurazione del tunnel fornite da Oracle durante l'impostazione della VPN. Vedere Task 3: Aggiungere una VPN da sito a sito alla VCN.
  2. Configurare il router in locale in base alle informazioni contenute in Configurazione CPE.

Se le istanze di computazione si trovano già in una delle subnet, è possibile verificare che la connessione IPSec sia attiva e in esecuzione connettendosi alle istanze dalla rete in locale. Per connettersi alle istanze nella subnet pubblica, devi connetterti all'indirizzo IP pubblico dell'istanza.

Uso dell'API

Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.

Utilizzare le operazioni descritte di seguito.

  • CreateVcn: includere sempre un'etichetta DNS se si desidera che la VCN utilizzi il risolutore VCN (vedere DNS nella rete cloud virtuale).
  • CreateInternetGateway
  • CreateNatGateway
  • CreateRouteTable: chiamarlo per creare la tabella di instradamento della subnet pubblica. Per abilitare la comunicazione mediante il gateway Internet, aggiungere una regola di instradamento con destinazione = 0.0.0.0/0 e destinazione di destinazione = il gateway Internet creato in precedenza.
  • CreateRouteTable: richiamarla di nuovo per creare la tabella di instradamento della subnet privata. Per abilitare la comunicazione mediante il gateway NAT, aggiungere una regola di instradamento con destinazione = 0.0.0.0/0 e destinazione di destinazione = gateway NAT creato in precedenza.

  • Prima chiamare GetSecurityList per ottenere la lista di sicurezza predefinita, quindi chiamare UpdateSecurityList:

    • Modificare le regole di entrata con conservazione dello stato esistenti in modo che utilizzino il CIDR della rete in locale come CIDR di origine, anziché 0.0.0.0/0.
    • Se si prevede di avviare le istanze di Windows, aggiungere questa regola di entrata con conservazione dello stato: tipo di origine = CIDR, CIDR di origine = rete in locale su TCP, porta di origine = tutto, porta di destinazione = 3389 (per RDP).

  • CreateSecurityList: chiamarlo per creare la lista di sicurezza della subnet pubblica con le regole riportate di seguito.

    • Ingresso con conservazione dello stato: tipo di origine = CIDR, origine 0.0.0.0/0 su TCP, porta di origine = tutto, porta di destinazione = 80 (HTTP)
    • Ingresso con conservazione dello stato: tipo di origine = CIDR, origine 0.0.0.0/0 su TCP, porta di origine = tutto, porta di destinazione = 443 (HTTPS)
    • Uscita con conservazione dello stato: tipo di destinazione = CIDR, blocchi CIDR di destinazione delle subnet private su TCP, porta di origine = tutto, porta di destinazione = 1521 (per i database Oracle)

  • CreateSecurityList: richiamarla di nuovo per creare la lista di sicurezza della subnet privata con le regole riportate di seguito.

    • Ingresso con conservazione dello stato: tipo di origine = CIDR, blocchi CIDR di origine delle subnet pubbliche su TCP, porta di origine = tutto, porta di destinazione = 1521 (per i database Oracle)
    • Ingresso con conservazione dello stato: tipo di origine = CIDR, blocchi CIDR di origine delle subnet private su TCP, porta di origine = tutto, porta di destinazione = 1521 (per i database Oracle)
    • Uscita con conservazione dello stato: tipo di destinazione = CIDR, blocchi CIDR di destinazione delle subnet private su TCP, porta di origine = tutto, porta di destinazione = 1521 (per i database Oracle)
  • CreateSubnet: chiamalo per creare una subnet pubblica regionale. Includere un'etichetta DNS per la subnet se si desidera che il resolver VCN risolva i nomi host per le VNIC nella subnet. Utilizzare la tabella di instradamento della subnet pubblica creata in precedenza. Utilizzare sia la lista di sicurezza predefinita che la lista di sicurezza della subnet pubblica creata in precedenza. Utilizzare il set predefinito di opzioni DHCP.
  • CreateSubnet: chiamarla di nuovo per creare una subnet privata regionale. Includere un'etichetta DNS per la subnet se si desidera che il resolver VCN risolva i nomi host per le VNIC nella subnet. Utilizzare la tabella di instradamento della subnet privata creata in precedenza. Utilizzare sia la lista di sicurezza predefinita che la lista di sicurezza della subnet privata creata in precedenza. Utilizzare il set predefinito di opzioni DHCP.
  • CreateDrg: crea un gateway di instradamento dinamico (DRG).
  • CreateDrgAttachment: collega il gateway DRG alla VCN.
  • CreateCpe: qui è possibile fornire l'indirizzo IP del router alla fine della VPN (vedere Prerequisiti).
  • CreateIPSecConnection: in questa pagina vengono forniti gli instradamenti statici per la rete in locale (vedere Prerequisiti). In cambio, si ricevono le informazioni di configurazione necessarie all'amministratore di rete per configurare il router. Se queste informazioni saranno necessarie in un secondo momento, è possibile utilizzarle con GetIPSecConnectionDeviceConfig. Per ulteriori informazioni sulla configurazione, vedere Configurazione CPE.
  • Prima chiamata a GetRouteTable per ottenere la tabella di instradamento della subnet privata. Quindi chiamare UpdateRouteTable per aggiungere una regola di instradamento con destinazione = il CIDR di rete in locale (10.0.0.0/16 in questo esempio) e la destinazione di destinazione = il DRG creato in precedenza.
  • LaunchInstance: avvia almeno un'istanza in ogni subnet. Per impostazione predefinita, alle istanze nelle subnet pubbliche vengono assegnati indirizzi IP pubblici. Per ulteriori informazioni, vedere Creazione di un'istanza.

Ora puoi comunicare dalla tua rete on premise con le istanze nella subnet pubblica tramite il gateway Internet.

Importante

Sebbene sia possibile avviare le istanze nelle subnet private, non è possibile comunicare con esse dalla rete in locale fino a quando l'amministratore di rete non configura il router in locale (vedere Configurazione CPE). Successivamente, la connessione IPSec è attiva e in esecuzione. È possibile confermarne lo stato utilizzando GetIPSecConnectionDeviceStatus. Puoi anche confermare che la connessione IPSec è attiva connettendoti alle istanze dalla rete in locale.