Nota:

Traffico sicuro tra Oracle Cloud Infrastructure e Microsoft Azure utilizzando Network Virtual Appliance

Introduzione

Per creare un'esperienza multicloud integrata, Microsoft e Oracle offrono un'interconnessione diretta tra Microsoft Azure e Oracle Cloud Infrastructure (OCI) tramite Microsoft Azure ExpressRoute e OCI FastConnect. L'interconnessione ExpressRoute e OCI FastConnect di Microsoft Azure fornisce bassa latenza, throughput elevato e connettività privata diretta tra i due cloud.

È possibile impostare la connettività di interconnessione tra Microsoft Azure e Oracle Cloud Infrastructure utilizzando le istruzioni fornite in questa guida passo per passo. Una volta che l'interconnessione è attiva, è necessario connettere le reti virtuali a ExpressRoute.

Questa esercitazione descrive come estendere la connettività di interconnessione mediante VNET Gateway e distribuire Microsoft Azure Firewall e OCI Network Firewall per proteggere il traffico. I firewall verranno distribuiti in un'architettura hub e spoke per il tuo caso d'uso. Questo caso d'uso dovrebbe essere applicabile a tutti i partner di virtual appliance di rete supportati nei rispettivi CSP.

È possibile seguire questo documento per ulteriori informazioni sulle architettura di virtual appliance di rete consigliate.

Obiettivo

Proteggi il tuo traffico utilizzando l'appliance del firewall di rete tra l'ambiente Oracle Cloud Infrastructure e Microsoft Azure attraverso la connettività OCI-Microsoft Azure Interconnect Network. È prevista la distribuzione dell'ambiente con Microsoft Azure Firewall in Microsoft Azure e OCI Network Firewall in OCI. L'ultimo passo è convalidare la connettività di rete tra le aree OCI/Microsoft Azure e garantire che il traffico venga convalidato tramite firewall in base alle funzionalità di instradamento tramite firewall su OCI/Microsoft Azure Interconnect.

Prerequisiti

Destinatari

Questa esercitazione è destinata ai professionisti dei provider di Cloud Service e agli amministratori multicloud.

Architettura

Di seguito è riportata l'architettura di alto livello della soluzione.

Interconnessione OCI Microsoft Azure con architettura dei firewall nativi

Puoi fare riferimento a questa architettura quando desideri impostare un'area interconnessa e proteggere il traffico utilizzando Network Virtual Appliance in un'architettura Hub e Spoke.

Task 1: Creare una rete virtuale e una subnet su Microsoft Azure

  1. Accedere al portale Microsoft Azure.

  2. Nella parte superiore sinistra della schermata selezionare Crea una risorsa, Networking, Rete virtuale o cercare la rete virtuale nella casella di ricerca.

  3. In Crea rete virtuale immettere o selezionare queste informazioni nella scheda Informazioni di base:

    Dettagli progetto

    • Sottoscrizione: selezionare la propria sottoscrizione Azure.

    • Gruppo di risorse: selezionare Crea nuovo, immettere resource-group-name, quindi selezionare OK oppure selezionare un resource-group-name esistente in base ai parametri.

    Dettagli istanza

    • Nome: immettere nome-rete-virtuale.

    • Area: selezionare nome-regione.

  4. Selezionare la scheda Indirizzi IP o selezionare il pulsante Avanti: Indirizzi IP alla fine della pagina.

  5. Nella scheda Indirizzi IP immettere le seguenti informazioni:

    • IPv4 spazio dell'indirizzo: immettere ipv4-address-range; Esempio: Hub VNET: 10.40.0.0/16 per US East Region, Spoke VNET: 10.30.0.0/16 per US East Region.

  6. In Nome subnet selezionare la parola default.

  7. In Modifica subnet immettere le informazioni riportate di seguito.

    • Nome subnet: immettere nome_sottorete.

    • Intervallo di indirizzi della subnet: immettere subnet-address-range Esempio: subnet di computazione: 10.40.3.0/24 per Hub VNET, subnet di computazione: 10.30.1.0/24 per Spoke VNET.

  8. Selezionare Salva.

  9. Selezionare la scheda Esamina + crea o il pulsante Rivedi + crea.

  10. Selezionare Crea.

Ripetere i passi 1-9 per Hub e Spoke VNets, quindi passare alla sezione successiva per creare la subnet del firewall Microsoft Azure.

Task 2: Creare una subnet firewall Microsoft Azure

Seguire la guida step-by-step per creare una subnet del firewall utilizzando i seguenti parametri minimi.

Passare alla sezione successiva per creare la subnet del gateway e il gateway della rete virtuale.

Task 3: creare una subnet gateway e un gateway di rete virtuale su Microsoft Azure

Puoi seguire la guida relativa ai passi-passo per creare una subnet del gateway e un gateway di rete virtuale utilizzando i parametri minimi descritti nelle tabelle seguenti.

Parametri subnet gateway

Parametro Valore
nome-sottorete-gateway Nome GatwaySubnet compilato automaticamente.
intervallo-indirizzo-sottorete Immettere l'intervallo di indirizzi della subnet del gateway; esempio: 10.40.0.0/24 in Hub VNET

Parametri di VNET Gateway:

Impostazione Valore
Dettagli progetto  
Sottoscrizione Seleziona la tua sottoscrizione a Microsoft Azure
Gruppo di risorse Questa opzione verrà selezionata automaticamente nella selezione VNET.
Dettagli gateway  
Nome Immettere gateway-name
Area Selezionare (US) East US o Region dove è stato creato VNET
Tipo di gateway Selezionare ExpressRoute
SKU Selezionare la SKU gateway dall'elenco a discesa
Rete virtuale Selezionare VNET creato in precedenza all'interno dell'area.
Indirizzo IP pubblico  
Indirizzo IP pubblico Selezionare Crea nuovo.
Nome indirizzo IP pubblico Immettere un nome per l'indirizzo IP pubblico.

Dopo aver creato le risorse necessarie nell'area Microsoft Azure, passare alla sezione successiva per distribuire Microsoft Azure Firewall.

Task 4: distribuire Microsoft Azure Firewall in Hub Virtual Network in Microsoft Azure

È possibile seguire la guida step-by-step per distribuire un firewall Microsoft Azure in Hub VNET utilizzando i parametri minimi descritti nella tabella seguente.

Parametro Valore
Sottoscrizione Selezionare la sottoscrizione.
Gruppo di risorse Selezionare your-resource-group. Selezionare il gruppo di risorse da creare durante i passi delle richieste preliminari.
nome Immettere nome firewall
firewall-sku Seleziona SKU firewall dall'opzione specificata
criteri firewall Fare clic su Aggiungi nuovo e creare un nuovo criterio firewall.
scegli-a-virtual-network Selezionare la rete virtuale creata in precedenza
   
indirizzo-ip-pubblico Selezionare o creare un nuovo IP pubblico

Passare alla sezione successiva per connettere il circuito ExpressRoute al gateway di rete virtuale.

Task 5: connettere il circuito ExpressRoute al gateway di rete virtuale tramite una connessione su Microsoft Azure

È possibile seguire la guida step-by-step per creare una connessione ExpressRoute utilizzando i parametri minimi descritti nella tabella riportata di seguito.

Parametro Valore
Sottoscrizione Selezionare la sottoscrizione.
Gruppo di risorse Selezionare your-resource-group. Selezionare il gruppo di risorse da creare durante i passi delle richieste preliminari.
tipo di connessione Selezionare ExpressRoute
Nome Immettere connection-name
Area Selezionare (US) East US o Region dove è stato creato VNET Gateway.
virtual-network-gateway Selezionare il gateway VNET creato in precedenza.
circuito espresso Selezionare ExpressRoute Circuito creato nei passi dei prerequisiti.

Dopo aver creato le connessioni necessarie in entrambe le aree di Microsoft Azure, passare alla sezione successiva per creare tabelle di instradamento definite dall'utente per le subnet in VNets.

Task 6: creazione di instradamenti definiti dall'utente su Microsoft Azure

È possibile seguire la guida step-by-step per creare gli instradamenti definiti dall'utente per la tabella associata di ogni subnet utilizzando i parametri minimi descritti nelle tabelle seguenti.

Configurare le voci della tabella di instradamento della subnet del gateway

Parametro Valore
nome instradamento Immettere il nome del percorso
destinazione prefisso-indirizzo Immettere i prefissi di destinazione. Esempio: subnet di computazione hub: 10.40.3.0/24, subnet di computazione spoke: 10.30.1.0/24
tipo-hop successivo Selezionare Virtual Appliance.
indirizzo-hop successivo Immettere l'indirizzo dell'hop successivo come esempio di IP privato del firewall: 10.40.1.4

Assicurarsi di disporre delle voci necessarie e associare la tabella di instradamento alla subnet gateway dell'hub VNet.

Configurare le subnet di computazione nelle voci della tabella di instradamento VNet dell'hub

Parametro Valore
nome instradamento Immettere il nome del percorso
destinazione prefisso-indirizzo Immettere i prefissi di destinazione. Esempio: subnet di computazione hub OCI: 10.10.0.0/24, subnet di computazione spoke OCI: 10.20.0.0/24, subnet di spoke Microsoft Azure: 10.30.1.0/24, Microsoft Azure Hub VNET: 10.40.0.0/16
tipo-hop successivo Selezionare Virtual Appliance.
indirizzo-hop successivo Immettere l'indirizzo dell'hop successivo come esempio di IP privato del firewall: 10.40.1.4

Assicurarsi di disporre delle voci necessarie e associare questa tabella di instradamento alla subnet di computazione dell'hub VNet.

Configurare la subnet di computazione in voci della tabella di instradamento Spoke VNet

Parametro Valore
nome instradamento Immettere il nome del percorso
destinazione prefisso-indirizzo Immettere i prefissi di destinazione. Esempio: subnet di computazione hub OCI: 10.10.0.0/24, subnet di computazione spoke OCI: 10.20.0.0/24, subnet di computazione hub Microsoft Azure: 10.40.3.0/24
tipo-hop successivo Selezionare Virtual Appliance.
indirizzo-hop successivo Immettere l'indirizzo dell'hop successivo come esempio di IP privato del firewall: 10.40.1.4

Assicurarsi di disporre delle voci necessarie e associare questa tabella di instradamento alla subnet di computazione dello spoke VNet.

Dopo aver creato gli instradamenti richiesti, passare alla sezione successiva per creare Virtual Machine per convalidare il traffico tra Microsoft Azure e OCI.

Task 7: creazione di instradamenti definiti dall'utente su Microsoft Azure

In questa sezione verranno create virtual machine per convalidare la connettività da Microsoft Azure a Oracle Cloud Infrastructure.

  1. Nella parte superiore sinistra della schermata del portale Microsoft Azure selezionare Crea una risorsa, Computazione, Virtual Machine.

  2. In Creazione di una virtual machine - Informazioni di base immettere o selezionare queste informazioni.

    Impostazione Valore
    Dettagli progetto  
    Sottoscrizione Selezionare la sottoscrizione.
    Gruppo di risorse Selezionare your-resource-group. Selezionare il gruppo di risorse da creare durante i passi dei prerequisiti.
    Dettagli istanza  
    Nome Virtual Machine Immettere vm-name.
    Area Selezionare (US) East US o Region dove si sta eseguendo la distribuzione.
    Opzioni disponibilità Non lasciare richiesta la ridondanza dell'infrastruttura predefinita.
    Immagine Selezionare Ubuntu Server 18.04 LTS - Gen1.
    Dimensione Selezionare Standard_B2s.
    Account amministratore  
    Tipo di autenticazione Selezionare Password. È anche possibile scegliere l'autenticazione basata su SSH e aggiornare il valore richiesto in base alle esigenze.
    Nome utente Immettere il nome utente desiderato.
    Password Immettere la password desiderata. La password deve avere una lunghezza minima di 12 caratteri e soddisfare i requisiti di complessità definiti.
    Conferma password Immettere nuovamente la password.
    Regole porta in entrata  
    Porte di entrata pubbliche Selezionare Nessuno.

  3. Selezionare Next: Disks.

  4. In Crea una virtual machine - Dischi, lasciare i valori predefiniti e selezionare Avanti: Networking.

  5. Selezionare queste informazioni in Crea una virtual machine - Networking.

    Impostazione Valore
    Rete virtuale Selezionare virtual-network.
    subnet Selezionare subnet-computazione, ad esempio: 10.40.3.0/24 in Hub VNet, 10.30.1/24 in Spoke VNet
    IP pubblico Lasciare il valore predefinito (nuovo) my-vm-ip.
    Porte di entrata pubbliche Selezionare Consenti porte selezionate.
    Selezionare le porte in entrata Selezionare SSH.

  6. Selezionare Revisione + creazione. Si passa alla pagina Rivedi + crea, in cui Microsoft Azure convalida la configurazione.

  7. Quando viene visualizzato il messaggio di convalida passata, selezionare Crea.

Ripetere i passaggi da 1 a 7 per le VM Spoke e Hub VNet e passare alla sezione successiva per creare le risorse necessarie su Oracle Cloud Infrastructure.

Task 8: Creare risorse su Oracle Cloud Infrastructure

In questa sezione potrai creare le risorse necessarie per supportare la convalida dalla console OCI all'interno delle aree interconnesse. Nella console OCI, creare le risorse seguenti in ogni area.

Task 9: convalida del traffico in OCI/Microsoft Azure Interconnect

In questa sezione si connetterà alle VM Linux di entrambi i provider cloud ed eseguire un test ping per controllare la connettività.

  1. Connettiti alle VM Linux su entrambi i provider cloud utilizzando il terminale.

  2. Avviare un ICMP RTT dalle VM Microsoft Azure alle VM OCI e viceversa.

ICMP RTT tra Microsoft Azure e OCI riflette la connettività stabilita tra le aree OCI e Microsoft Azure utilizzando l'interconnessione e il traffico che passa attraverso i servizi firewall nativi come stabilito dalla topologia di rete.

Nota: la tabella sopra riportata riflette ICMP RTT come punto di riferimento che può variare a seconda delle aree e dell'architettura del caso d'uso. Si consiglia di eseguire un POC.

Per ulteriori informazioni sulla latenza di Microsoft Azure tra le aree, vedere: Microsoft Learn: statistiche sulla latenza di andata e ritorno della rete Microsoft Azure

Per ulteriori informazioni su come eseguire il test della latenza delle virtual machine, consultare: Microsoft Learn: Test della latenza di rete delle virtual machine Microsoft Azure in una rete virtuale Microsoft Azure

Task 10: cleanup delle risorse

Dopo aver utilizzato le risorse, eliminare il gruppo di risorse e le risorse associate.

  1. Eliminare il collegamento di interconnessione se non è già stato fatto. Per i dettagli, fare riferimento alla guida dettagliata.

  2. Immettere your-resource-group-name nella casella di ricerca nella parte superiore del portale e selezionare your-resource-group-name dai risultati della ricerca.

  3. Selezionare Elimina gruppo di risorse.

  4. Immettere nome-gruppo-risorsa per TYPE NOME GRUPPO DI RISORSE e selezionare Elimina.

  5. Analogamente, eliminare le risorse distribuite in Oracle Cloud Infrastructure.

Approvazioni

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Explorer di Oracle Learning.

Per la documentazione sul prodotto, visitare il sito Oracle Help Center.