Documentazione dell'infrastruttura Oracle Cloud

Connessione VPN ad AWS

Il servizio VPN da sito a sito Oracle Cloud Infrastructure (OCI) offre una connessione IPSec sicura tra una rete on premise e una rete cloud virtuale (VCN). Puoi anche utilizzare la VPN da sito a sito per connettere le risorse Oracle Cloud Infrastructure ad altri provider di servizi cloud.

Questo argomento fornisce una configurazione delle procedure ottimali per un tunnel IPSec VPN tra OCI e AWS utilizzando il servizio VPN da sito a sito OCI e il servizio VPN da sito a sito AWS.

Nota

Questo documento si basa sul presupposto che sia già stato eseguito il provisioning di una rete cloud virtuale (VCN) e di un gateway di instradamento dinamico (DRG) e che siano state configurate tutte le tabelle di instradamento VCN e gli elenchi di sicurezza necessari per questo scenario e tutti gli equivalenti in AWS.

Considerazioni specifiche di AWS

Chiave precondivisa: se si utilizza AWS per generare automaticamente una chiave precondivisa per un tunnel, la chiave generata potrebbe contenere caratteri di punto o di sottolineatura (. o _). OCI non supporta questi caratteri in una chiave precondivisa. Se la password generata automaticamente da AWS contiene questi caratteri, modificare la chiave precondivisa per il tunnel pertinente prima di completare la configurazione VPN.

Tipo di instradamento: questo scenario utilizza il protocollo BGP (Border Gateway Protocol) per scambiare gli instradamenti tra AWS e OCI. Utilizzare il protocollo BGP per i tunnel IPSec quando possibile. Facoltativamente, è possibile utilizzare l'instradamento statico anche tra AWS e OCI.

Verifica la versione VPN da sito a sito OCI

È possibile verificare la versione VPN da sito a sito utilizzata dalla connessione IPSec nella scheda IPSec Informazioni di connessione di una pagina di connessione IPSec.

Parametri IPSec supportati

Per una lista neutrale rispetto al fornitore dei parametri IPSec supportati per tutte le region OCI, vedere Parametri IPSec supportati.

Processo di configurazione

AWS - Crea gateway cliente temporaneo

Il primo passo del processo di configurazione è creare un gateway cliente temporaneo. Questo gateway temporaneo del cliente viene utilizzato per eseguire inizialmente il provisioning della VPN da sito a sito AWS, esponendo l'endpoint VPN AWS per il tunnel. OCI richiede l'IP pubblico del peer VPN remoto prima di creare una connessione IPSec. Una volta completato questo processo, viene configurato un nuovo gateway cliente che rappresenta l'IP pubblico effettivo dell'endpoint VPN OCI.

  1. Dal portale AWS principale, espandere il menu Servizi nella parte superiore sinistra dello schermo. Passare a VPC in Networking & Content Delivery.
  2. Dal menu a sinistra, scorrere verso il basso e selezionare Gateway cliente in Rete privata virtuale (VPN).
  3. Selezionare Crea gateway cliente per creare un gateway cliente.

  4. Si è passati alla pagina Crea gateway cliente. Immettere i dettagli riportati di seguito.

    • Nome: fornire a questo gateway cliente un nome temporaneo. In questo esempio viene utilizzato il nome TempGateway.
    • Ciclo: selezionare Dinamico.
    • ASN BGP: immettere l'ASN BGP OCI. L'ASN BGP di Oracle per il cloud commerciale è 31898, ad eccezione dell'area centrale della Serbia (Jovanovac), che è 14544.

    • Indirizzo IP: utilizzare qualsiasi indirizzo IPv4 valido per il gateway temporaneo. In questo esempio viene utilizzato 1.1.1.1.

      Al termine della configurazione del gateway cliente temporaneo, selezionare Crea gateway cliente per completare il provisioning.

AWS - Crea e collega gateway privato virtuale
  1. Dal menu a sinistra di AWS, scorri verso il basso e seleziona Virtual Private Gateways in Virtual Private Network (VPN).

  2. Selezionare il pulsante Crea gateway privato virtuale per creare un nuovo gateway privato virtuale.

  3. Viene visualizzata la pagina Crea gateway privato virtuale. Immettere i dettagli riportati di seguito.

    • Nome: assegnare un nome al gateway privato virtuale (VPG).

    • ASN: selezionare ASN predefinito Amazon.

      Al termine della configurazione del gateway privato virtuale, selezionare il pulsante Crea gateway privato virtuale per completare il provisioning.

  4. Dopo che il VPG è stato creato, è necessario collegarlo al VPC di scelta.

    Mentre si trova ancora nella pagina Gateway privato virtuale, assicurarsi che il VPG sia selezionato, selezionare il menu Azioni (tre punti), quindi Allega a VPC.

  5. Si è passati alla pagina Collega a VPC per il gateway privato virtuale selezionato.

    Selezionare il VPC dall'elenco, quindi selezionare il pulsante Sì, Allega per completare il collegamento del VPG al VPC.

AWS - Crea connessione VPN
  1. Dal menu a sinistra, scorrere verso il basso e selezionare Connessioni VPN da sito a sito in rete privata virtuale (VPN, Virtual Private Network).
  2. Selezionare Crea connessione VPN per creare un nuovo gateway privato virtuale.
  3. Viene visualizzata la pagina Crea connessione VPN. Immettere i dettagli riportati di seguito.
    • Tag nome: assegnare un nome alla connessione VPN.
    • Tipo di gateway di destinazione: selezionare Gateway privato virtuale, quindi selezionare il gateway privato virtuale creato in precedenza dalla lista.
    • Gateway cliente: selezionare Esistente, quindi selezionare il gateway cliente temporaneo dall'elenco.
    • Opzioni di instradamento: selezionare Dinamico (richiede BGP).
    • Tunnel all'interno della versione IP: selezionare IPv4.

    • Cidr di rete locale/remota IPv4: lasciare vuoti entrambi i campi, creando una IPSec VPN basata su qualsiasi instradamento.

      Procedere al passo successivo. Non selezionare il pulsante Crea connessione VPN.

  4. Nella pagina Crea connessione VPN, scorrere fino a Opzioni tunnel.

    Selezionare un CIDR /30 dall'intervallo 169.254.0.0/16 locale del collegamento. Immettere il CIDR completo nel campo Inside IPv4 CIDR for Tunnel 1.

    Assicurarsi che OCI supporti l'indirizzo /30 scelto per gli IP tunnel interni. OCI non consente di utilizzare i seguenti intervalli IP per gli IP tunnel interni:

    • 169.254.10.0-169.254.19.255
    • 169.254.100.0-169.254.109.255
    • 169.254.192.0-169.254.201.255

    Procedere al passo successivo. Non selezionare il pulsante Crea connessione VPN.

  5. In Opzioni avanzate per tunnel 1, selezionare il pulsante di opzione per Modifica opzioni tunnel 1. Un ulteriore insieme di opzioni si espande.

    Se desideri essere restrittivo con gli algoritmi di crittografia utilizzati per questo tunnel, configura qui le opzioni di Fase 1 e Fase 2 desiderate. Si consiglia di utilizzare IKEv2 per questa connessione. Disabilitare la casella di controllo IKEv1 per impedire l'utilizzo di IKEv1. Per informazioni sulle opzioni di fase 1 e fase 2 supportate da OCI, vedere Parametri IPSec supportati.

    Dopo aver completato la configurazione di tutte le opzioni desiderate, selezionare il pulsante Crea connessione VPN nella parte inferiore per completare il provisioning della connessione VPN.

AWS - Scarica configurazione

Durante il provisioning della connessione VPN, scaricare la configurazione di tutte le informazioni del tunnel. Questo file di testo è necessario per completare la configurazione del tunnel in OCI Console.

  1. Assicurarsi che la connessione VPN sia selezionata, quindi selezionare il pulsante Scarica configurazione.
  2. Selezionare l'impostazione Fornitore e Piattaforma "Generico", quindi selezionare il pulsante Scarica per salvare una copia di testo della configurazione su un disco rigido locale.
  3. Aprire il file di configurazione scaricato in qualsiasi editor di testo.

    Consultare IPSec Tunnel n. 1, sezione Configurazione di Internet Key Exchange n. 1. Qui si trova una chiave precondivisa generata automaticamente per il tunnel. Salvare il valore.

    AWS potrebbe generare una chiave precondivisa utilizzando il punto o i caratteri di sottolineatura (. o _). OCI non supporta l'uso di tali caratteri in una chiave precondivisa. È necessario modificare una chiave che includa questi valori. Per modificare la chiave precondivisa in AWS per un tunnel, selezionare la connessione VPN, selezionare il menu Azioni (tre punti), quindi Modifica opzioni tunnel VPN.

  4. Se è ancora presente Tunnel 1 nella configurazione scaricata, scorrere fino alla sezione #3 Tunnel Interface Configuration.

    Prendere nota dei seguenti valori per completare la configurazione VPN da sito a sito in OCI:

    • Indirizzo IP esterno del gateway privato virtuale
    • IP interno per gateway cliente
    • IP interno per il gateway privato virtuale
    • ASN BGP del gateway privato virtuale. L'ASN predefinito è 64512.
OCI - Crea oggetto CPE
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare Attrezzatura cliente-premise.
  2. Selezionare Crea Customer-Premises Equipment.

  3. Immettere i valori seguenti:

    • Crea nel compartimento: selezionare il compartimento per la VCN desiderata.
    • Nome: un nome descrittivo per l'oggetto CPE. Non deve essere univoco e non può essere modificato in un secondo momento nella console (ma puoi modificarlo con l'API). Evitare di fornire informazioni riservate.

      In questo esempio viene utilizzato il nome "TO_AWS".

    • Indirizzo IP: immettere l'indirizzo IP esterno del gateway privato virtuale mostrato nella configurazione scaricata da AWS.
    • Fornitore CPE: selezionare Altro.
  4. Selezionare Crea CPE.
OCI - Crea connessione IPSec
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.
  2. Selezionare Crea connessione IPSec.

  3. Immettere i valori seguenti:

    • Crea nel compartimento: non modificare (compartimento della VCN).
    • Nome: immettere un nome descrittivo per la connessione IPSec (esempio: OCI-AWS-1). Non deve essere unico e puoi cambiarlo in seguito. Evitare di inserire informazioni riservate.
    • Comparto Customer-Premises Equipment: lasciare così com'è (compartimento della VCN).
    • Customer-Premises Equipment: selezionare l'oggetto CPE creato in precedenza, denominato TO_AWS.
    • Compartimento del gateway di instradamento dinamico: lasciare invariato (il compartimento della VCN).
    • Gateway di instradamento dinamico: selezionare il DRG creato in precedenza.
    • CIDR instradamento statico: immettere un instradamento predefinito, 0.0.0.0/0. Poiché il tunnel attivo utilizza BGP, OCI ignora questo instradamento. È richiesta una voce per il secondo tunnel della connessione IPSec, che per impostazione predefinita utilizza l'instradamento statico, ma l'indirizzo non utilizzato in questo scenario. Se si prevede di utilizzare l'instradamento statico per questa connessione, immettere instradamenti statici che rappresentano le reti virtuali AWS. È possibile configurare fino a 10 instradamenti statici per ogni connessione IPSec.

  4. Immettere i seguenti dettagli nella scheda Tunnel 1 (obbligatorio):

    • Nome: immettere un nome descrittivo per il TUNNEL, ad esempio AWS-TUNNEL-1. Non deve essere unico e puoi cambiarlo in seguito. Evitare di inserire informazioni riservate.
    • Fornire un segreto condiviso personalizzato: immettere la chiave precondivisa utilizzata da IPSec per questo tunnel. Selezionare questa casella di controllo e inserire la chiave precondivisa nel file di configurazione di AWS VPN.
    • Versione IKE: selezionare IKEv2.
    • Tipo di instradamento: selezionare Instradamento dinamico BGP.
    • ASN BGP: immettere l'ASN BGP utilizzato da AWS come trovato nel file di configurazione di AWS VPN. L'ASN AWS BGP predefinito è 64512.
    • IPv4 Interfaccia tunnel interna - CPE: immettere il gateway privato virtuale all'interno dell'indirizzo IP dal file di configurazione di AWS VPN. Utilizzare la notazione CIDR completa per questo indirizzo IP.
    • IPv4 Interno all'interfaccia tunnel - Oracle: immettere l'indirizzo IP interno utilizzato da OCI. Facendo riferimento al file di configurazione di AWS VPN, immettere l'indirizzo IP interno per il gateway cliente. Utilizzare la notazione CIDR completa per questo indirizzo IP.

  5. Selezionare Crea connessione IPSec.

    La connessione IPSec viene creata e visualizzata nella pagina. La connessione si trova nello stato Provisioning per un breve periodo.

  6. Dopo aver eseguito il provisioning della connessione IPSec, prendere nota dell'indirizzo IP VPN Oracle del tunnel. Questo indirizzo viene utilizzato per creare un nuovo gateway cliente nel portale AWS.
    1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.

      Viene visualizzata la lista delle connessioni IPSec nel compartimento che si sta visualizzando. Se il criterio che si sta cercando non viene visualizzato, verificare che si stia visualizzando il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare tale compartimento dalla lista.

    2. Selezionare la connessione IPSec a cui si è interessati (ad esempio, OCI-AWS-1).
    3. Trova l'indirizzo IP VPN Oracle di AWS-TUNNEL-1.
AWS - Crea nuovo gateway cliente

Nella console AWS, passare ai gateway cliente e creare un gateway cliente utilizzando i seguenti dettagli:

  • Nome: assegnare un nome a questo gateway cliente.
  • Ciclo: selezionare Dinamico.
  • ASN BGP: immettere l'ASN BGP OCI. L'ASN BGP di Oracle per il cloud commerciale è 31898, ad eccezione dell'area centrale della Serbia (Jovanovac), che è 14544.

  • Indirizzo IP: immettere l'indirizzo IP VPN Oracle per il tunnel 1. Utilizzare l'IP salvato nel task precedente.

    Selezionare Crea gateway cliente per completare il provisioning.

AWS - Modifica connessione VPN per nuovo gateway cliente

Questo task sostituisce il gateway cliente temporaneo con uno che utilizza l'indirizzo IP VPN OCI.

  1. Cercare Connessioni VPN da sito a sito nella console AWS e selezionare la connessione VPN.

  2. Selezionare il menu Azioni (tre punti), quindi Modifica connessione VPN.

  3. Si è passati alla pagina Modifica connessione VPN. Immettere i dettagli riportati di seguito.

    • Tipo di destinazione: selezionare Gateway cliente dalla lista.

    • ID gateway cliente di destinazione: selezionare il nuovo gateway cliente con l'indirizzo IP VPN OCI dalla lista.

      Al termine, selezionare il pulsante Salva per salvare la configurazione.

      Dopo un paio di minuti, AWS completa il provisioning della connessione VPN e viene visualizzata la IPSec VPN tra AWS e OCI.

  4. A questo punto è possibile eliminare il gateway cliente temporaneo.
Verifica

Cercare la connessione IPSec in OCI e le connessioni VPN da sito a sito in AWS per verificare lo stato del tunnel.

  • Il tunnel OCI sotto la connessione IPSec visualizza lo stato Su per IPSec per confermare un tunnel operativo.
  • Lo stato BGP IPv4 visualizza anche Su per indicare una sessione BGP stabilita.
  • Lo stato del tunnel nella scheda Dettagli tunnel per la connessione VPN da sito a sito in AWS visualizza Su.

Un servizio di monitoraggio è disponibile anche da OCI per monitorare attivamente e passivamente le risorse cloud. Per informazioni sul monitoraggio della VPN da sito a sito OCI, vedere Metriche VPN da sito a sito.

In caso di problemi, vedere Risoluzione dei problemi delle VPN da sito a sito.