Nota

Set up an Oracle Cloud Infrastructure Site-to-Site VPN with Static Routing Between two OCI Regions

Introduzione

Quando le applicazioni, i database o i servizi vengono distribuiti in aree o tenant Oracle Cloud Infrastructure (OCI) diverse, il metodo preferito per abilitare la comunicazione di rete tra di loro è il peering RPC (Remote Peering Connection). Se il peering RPC non è fattibile, un'alternativa consiste nel stabilire una connessione VPN da sito a sito OCI IPSec. Sebbene OCI non supporti direttamente la creazione di una VPN da sito a sito OCI IPSec utilizzando il gateway di instradamento dinamico (DRG), è possibile configurare un endpoint VPN personalizzato (come Libreswan) da un lato e utilizzare il gateway DRG dall'altro per ottenere questa connessione.

immagine

immagine

Puoi anche utilizzare questo metodo se hai bisogno di impostare una VPN da sito a sito OCI tra on-premise e OCI e non desideri utilizzare il DRG come endpoint VPN (Virtual Private Network), ma il tuo endpoint VPN personalizzato.

Obiettivi

Prerequisiti

Task 1: Esaminare l'area OCI di destinazione (collegamenti e istanze VCN, subnet, DRG, VCN)

In questo compito, controlleremo ciò che abbiamo in atto per iniziare.

La seguente immagine illustra ciò che abbiamo creato finora.

immagine

Task 2: Esaminare l'area OCI di origine (VCN, subnet pubblica, gateway Internet e istanze)

La seguente immagine illustra ciò che abbiamo creato finora.

immagine

Task 3: Raccogliere l'indirizzo IP pubblico dell'istanza CPE dall'area OCI di origine

Task 4: Creare un nuovo CPE nell'area OCI di destinazione

Task 5: configurare la VPN da sito a sito OCI nell'area OCI di destinazione

Task 6: Raccogliere l'indirizzo IP pubblico dei tunnel IPSec nell'area OCI di destinazione e scaricare la configurazione CPE

Task 7: configurare l'istanza CPE nell'area OCI di origine e installare e configurare Libreswan

Task 8: aprire il firewall nell'istanza CPE nell'area OCI di origine e configurare le liste di sicurezza della VCN e della subnet

Configurare le liste di sicurezza della VCN e della subnet per consentire le porte di entrata necessarie per la connessione IPSec. Per consentire che i tunnel siano stabiliti correttamente, è necessario assicurarsi che la sicurezza della rete su entrambi i lati consenta le porte necessarie.

Disabilitare il firewall Linux nel CPE

In alcuni casi (a scopo di test) potrebbe essere meglio disabilitare completamente il firewall Linux dell'istanza CPE su cui è in esecuzione Libreswan. Questa operazione può essere eseguita con il comando seguente:

[root@cpe ipsec.d]# systemctl disable --now firewalld

Eseguire il comando seguente per assicurarsi che il servizio firewall per Libreswan NON sia in esecuzione.

[root@cpe ipsec.d]# systemctl status firewalld

Task 9: Attivare e verificare se il tunnel IPSec è attivo su entrambi i lati

Task 10: Configurazione dell'instradamento statico

Task 11: Avvia ping finale da istanze di origine e destinazione

Task 12: verifica dello stato VPN da sito a sito OCI

Task 13: Abilita instradamento ECMP (Equal Cost Multi-Path)

Conferme

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.

Per la documentazione del prodotto, visitare Oracle Help Center.