Documentazione dell'infrastruttura Oracle Cloud

Connessione VPN ad Azure

Il servizio VPN da sito a sito di Oracle Cloud Infrastructure (OCI) offre una connessione IPSec sicura tra una rete on premise e una rete cloud virtuale (VCN). Puoi anche utilizzare la VPN da sito a sito per connettere le risorse OCI ad altri provider di servizi cloud.

Questo argomento fornisce una configurazione delle best practice per un tunnel IPSec VPN tra OCI e Microsoft Azure utilizzando il servizio VPN Site-to-Site OCI e il servizio Azure IPSec VPN.

Nota

In questo documento si presuppone che sia già stato eseguito il provisioning di una rete cloud virtuale (VCN) e di un gateway di instradamento dinamico (DRG) e che siano state configurate anche tutte le tabelle di instradamento VCN e gli elenchi di sicurezza necessari per questo scenario e tutti gli equivalenti in Azure.

Considerazioni specifiche per Microsoft Azure

Versione IKE: una connessione IPSec VPN tra OCI e Microsoft Azure deve utilizzare IKE versione 2 per l'interoperabilità.

Tipo di instradamento: questo scenario utilizza il protocollo BGP (Border Gateway Protocol) per scambiare gli instradamenti tra Azure e OCI. BGP è preferito per VPN da sito a sito quando possibile. Facoltativamente, è possibile utilizzare l'instradamento statico anche tra Azure e OCI.

Perfect Forward Secrecy: con Perfect Forward Secrecy (PFS) vengono generate nuove chiavi Diffie-Hellman nella fase 2 e le ripetizioni della fase 2 invece di utilizzare la stessa chiave generata durante la fase 1. Entrambi i peer VPN devono corrispondere all'impostazione di gruppo PFS scelta per la fase 2. Per impostazione predefinita, Azure (gruppi 1, 2, 14 e 24 solo per IKEv2) e OCI (gruppo 5) presentano una mancata corrispondenza PFS. È possibile modificare il gruppo PFS lato OCI in modo che corrisponda al CPE.

Verifica la versione VPN da sito a sito OCI

È possibile verificare la versione VPN da sito a sito utilizzata dalla connessione IPSec nella scheda IPSec Informazioni di connessione della pagina di connessione IPSec.

Parametri IPSec supportati

Per una lista neutrale rispetto al fornitore dei parametri IPSec supportati per tutte le region OCI, vedere Parametri IPSec supportati.

Processo di configurazione

Azure - Crea gateway VPN
  1. Dal portale principale di Azure, cercare Gateway di rete virtuale. Selezionarlo dai risultati della ricerca.
  2. Nella pagina successiva, selezionare il pulsante Crea per creare un nuovo gateway di rete virtuale.
  3. Viene visualizzata la pagina Crea gateway di rete virtuale.
    • Nome: assegnare un nome al gateway.
    • Area: selezionare un'area di Azure. L'area deve essere uguale alla rete virtuale.
    • Tipo di gateway: selezionare VPN.
    • Tipo di VPN: seleziona Basato su instradamento.
    • SKU e Generazione: selezionare una SKU gateway che supporti IKEv2 e soddisfi i requisiti di throughput. Per ulteriori informazioni sulle SKU gateway, consultare la documentazione di Azure su VPN Gateways.
    • Rete virtuale: selezionare la rete virtuale per il gateway. Questa rete virtuale richiede anche una subnet gateway.
    • Intervallo di indirizzi della subnet gateway: se la rete virtuale ha già un indirizzo GatewaySubnet, selezionarlo. In caso contrario, selezionare un intervallo di indirizzi non utilizzato.
    • Indirizzo IP pubblico: il gateway della rete virtuale richiede un indirizzo IP pubblico. Se ne è già stato creato uno, selezionarlo. In caso contrario, selezionare Crea nuovo e assegnare un nome all'indirizzo IP pubblico.
    • Abilita modalità attiva-attiva: lasciare disabilitata questa opzione.
    • Configura BGP: selezionare Abilitato. Lasciare questa opzione disabilitata per utilizzare l'instradamento statico.
    • Numero di sistema autonomo (ASN): per impostazione predefinita, Azure utilizza BGP ASN 65515. Selezionare l'impostazione predefinita.

    • Indirizzo IP BGP APIPA di Azure personalizzato: selezionare una subnet /30 da 169.254.21.0/24 o 169.254.22.0/24. Questi sono gli indirizzi IP BGP per Azure e OCI. Immettere uno dei due IP disponibili dal /30 scelto qui. Questo scenario utilizza 169.254.21.1 per OCI e 169.254.21.2 per Azure.

      Al termine della configurazione del gateway di rete virtuale, selezionare il pulsante Rivedi + crea, quindi il pulsante Crea nella pagina seguente.

  4. Individuare il gateway di rete virtuale appena creato e salvare l'indirizzo IP pubblico. L'indirizzo IP viene utilizzato per creare la connessione IPSec in OCI.
OCI - Crea oggetto CPE
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare Attrezzatura cliente-premise.
  2. Selezionare Crea Customer-Premises Equipment.

  3. Immettere i valori seguenti:

    • Crea nel compartimento: selezionare il compartimento per la VCN desiderata.
    • Nome: un nome descrittivo per l'oggetto CPE. Non deve essere univoco e non può essere modificato in un secondo momento nella console (ma puoi modificarlo con l'API). Evitare di fornire informazioni riservate.

      In questo esempio viene utilizzato il nome "TO_Azure".

    • Indirizzo IP: immettere l'IP pubblico del gateway di rete virtuale di Azure. È possibile trovare questo IP pubblico nella console di Azure sfogliando la pagina di panoramica del gateway di rete virtuale creato nell'attività precedente.
    • Fornitore CPE: selezionare Altro.
  4. Selezionare Crea CPE.
OCI - Crea connessione IPSec
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.
  2. Selezionare Crea connessione IPSec.

  3. Immettere i valori seguenti:

    • Crea nel compartimento: non modificare (compartimento della VCN).
    • Nome: immettere un nome descrittivo per la connessione IPSec. Non deve essere unico e puoi cambiarlo in seguito. Evitare di inserire informazioni riservate.
    • Comparto Customer-Premises Equipment: lasciare così com'è (compartimento della VCN).
    • Customer-Premises Equipment: selezionare l'oggetto CPE creato in precedenza, denominato TO_Azure.
    • Compartimento del gateway di instradamento dinamico: lasciare invariato (il compartimento della VCN).
    • Gateway di instradamento dinamico: selezionare il DRG creato in precedenza.
    • CIDR instradamento statico: immettere un instradamento predefinito, 0.0.0.0/0. Poiché BGP viene utilizzato per il tunnel attivo, OCI ignora questo instradamento. Questa voce è necessaria per il secondo tunnel della connessione IPSec che per impostazione predefinita utilizza l'instradamento statico e non è utilizzato in questo scenario. Se si prevede di utilizzare l'instradamento statico per questa connessione, immettere instradamenti statici che rappresentano le reti virtuali di Azure. È possibile configurare fino a 10 instradamenti statici per ogni connessione IPSec.

  4. Immettere i seguenti dettagli nella scheda Tunnel 1 (obbligatorio):

    • Nome: immettere un nome descrittivo per il TUNNEL, ad esempio Azure-TUNNEL-1. Non deve essere unico e puoi cambiarlo in seguito. Evitare di inserire informazioni riservate.
    • Fornire un segreto condiviso personalizzato: la chiave precondivisa utilizzata da IPSec per questo tunnel. Selezionare questa casella di controllo se si desidera utilizzare una chiave personalizzata. Se non viene selezionato nulla, ne viene generato uno per te.
    • Versione IKE: selezionare IKEv2.
    • Tipo di instradamento: selezionare Instradamento dinamico BGP. Selezionare instradamento statico se si desidera utilizzare il routing statico.
    • ASN BGP: immettere l'ASN BGP utilizzato da Azure. L'ASN BGP di Azure viene configurato durante il passo 3 della sezione Azure - Crea gateway VPN. Questo scenario utilizza l'ASN BGP di Azure predefinito 65515.
    • IPv4 Inside Tunnel Interface - CPE: l'indirizzo IP BGP utilizzato da Azure. Utilizzare la notazione CIDR completa per questo indirizzo IP. L'indirizzo IP BGP di Azure viene configurato durante il passo 3 della sezione Azure - Crea gateway VPN.
    • IPv4 Interno all'interfaccia tunnel - Oracle: l'indirizzo IP BGP utilizzato da OCI. Utilizzare la notazione CIDR completa per questo indirizzo IP. Questo indirizzo IP è l'altro IP residuo utilizzabile dal /30 scelto.
  5. Selezionare Mostra opzioni avanzate ed espandere Configurazione fase due (IPSec). Selezionare un gruppo Diffie-Hellman Perfect forward Secrecy. Scegliere tra GROUP2, GROUP14 o GROUP24.

  6. Selezionare Crea connessione IPSec.

    La connessione IPSec viene creata e visualizzata nella pagina. La connessione si trova nello stato Provisioning per un breve periodo.

OCI - Modifica PFS

Per impostazione predefinita, la VPN da sito a sito OCI utilizza il gruppo PFS 5 per tutti i tunnel IPSec VPN. Per IKEv2, Azure invia proposte con i gruppi PFS 1, 2, 14 e 24.

È possibile utilizzare OCI Console per impostare il criterio IPSec di fase 2 di un tunnel per utilizzare un gruppo PFS personalizzato con valore 2, 14 o 24. OCI non supporta il gruppo PFS 1.

OCI - Salva indirizzo IP VPN da sito a sito e segreto condiviso

Dopo aver eseguito il provisioning della connessione IPSec, salvare l'indirizzo IP VPN da sito a sito da utilizzare come IP CPE nel portale di Azure e il segreto condiviso per il tunnel.

  1. Cercare la connessione IPSec in OCI Console.

    Selezionare il tunnel da utilizzare come primario. Salvare l'indirizzo IP VPN Site-to-Site del tunnel. Successivamente, selezionare il nome del tunnel da portare alla vista tunnel.

  2. Sotto il tunnel, selezionare il collegamento per visualizzare il segreto condiviso. Salva. Il segreto condiviso viene utilizzato per completare la configurazione di IPSec VPN in Azure.
Azure - Crea gateway di rete locale

  1. Dal portale principale di Azure, cercare Gateway di rete locale. Selezionarlo dai risultati della ricerca.

  2. Nella pagina successiva, selezionare il pulsante Crea per creare un gateway di rete locale.

  3. Viene visualizzata la pagina Crea gateway di rete locale. Immettere i dettagli riportati di seguito.

    • Area: selezionare un'area di Azure. L'area deve essere uguale alla rete virtuale e al gateway della rete virtuale.
    • Nome: assegnare un nome al gateway di rete locale.
    • Indirizzo IP: immetti l'indirizzo IP VPN OCI salvato per Tunnel 1.
    • Spazio degli indirizzi: lasciare vuoto se si utilizza l'input di instradamento statico per i CIDR delle reti VCN OCI.
    • Configura impostazioni BGP: selezionare questa casella di controllo. Se si utilizza un routing statico, lasciare l'opzione non selezionata.
    • Numero ASN (Autonomous System Number): immettere l'ASN BGP OCI. L'ASN BGP di Oracle per il cloud commerciale è 31898, ad eccezione dell'area centrale della Serbia (Jovanovac), che è 14544.
    • Indirizzo IP peer BGP: l'indirizzo IP BGP OCI. Lo stesso indirizzo IP utilizzato per IPV4 Inside Tunnel Interface - Oracle nel passo 4 della procedura OCI - Crea connessione IPSec.
Azure - Crea una connessione VPN

  1. Cercare il gateway di rete virtuale creato in precedenza. Dal menu a sinistra, selezionare Connessioni, quindi il pulsante Aggiungi per aggiungere una connessione.

  2. Viene visualizzata la pagina Aggiungi connessione. Immettere i dettagli riportati di seguito.

    • Nome: assegnare un nome alla connessione.
    • Tipo di connessione: selezionare Da sito a sito (IPsec)
    • Gateway di rete locale: selezionare il gateway di rete locale creato in precedenza.
    • Chiave condivisa (PSK): immettere il segreto condiviso dal tunnel OCI. Vedere OCI - Salva indirizzo IP VPN da sito a sito e segreto condiviso se è necessario identificare la posizione in cui si trova la chiave condivisa nella console OCI.
    • Abilita BGP: selezionare questa casella di controllo. Lasciare deselezionato se si utilizza il routing statico.

    • Protocollo IKE: selezionare IKEv2

      Lasciare tutte le altre opzioni come predefinite. Al termine della configurazione della connessione VPN, selezionare il pulsante OK nella parte inferiore della pagina.

      Dopo un paio di minuti, Azure completa il provisioning della nuova connessione VPN e viene visualizzata la IPSec VPN tra Azure e OCI.

Verifica

Cercare una connessione IPSec in OCI e la connessione Virtual Network Gateway in Azure per verificare lo stato del tunnel.

Il tunnel OCI sotto la connessione IPSec visualizza lo stato Su per IPSec per confermare un tunnel operativo.

Lo stato BGP IPV4 visualizza anche Su per indicare una sessione BGP stabilita.

Lo stato della connessione sotto il gateway di rete virtuale per questo tunnel visualizza Connesso per confermare un tunnel operativo.

Un servizio di monitoraggio è disponibile anche da OCI per monitorare attivamente e passivamente le risorse cloud. Per informazioni sul monitoraggio della VPN da sito a sito OCI, vedere Metriche VPN da sito a sito.

In caso di problemi, vedere Risoluzione dei problemi delle VPN da sito a sito.