1. Impostare OCI Observability and Management per i database AWS RDS
  2. Configurare la soluzione

Configurare la soluzione

La configurazione di questa soluzione è un processo in due fasi che configura l'infrastruttura di rete e quindi installa Management Gateway e Management Agent. Le seguenti procedure ti guideranno attraverso queste fasi.

Configura networking

Per impostare il tunneling IPSec VPN tra AWS e OCI, effettuare le operazioni riportate di seguito per abilitare la comunicazione tra i servizi RDS e O&M. Questa impostazione funzionerà con OCI Site-to-Site VPN versione 2.

Creare un gateway cliente temporaneo per AWS

Utilizza il gateway cliente temporaneo per eseguire inizialmente il provisioning della VPN da sito a sito AWS, esponendo l'endpoint VPN AWS per il tunnel. OCI richiede un IP pubblico del peer VPN remoto prima di poter creare una connessione IPSec. Al termine di questo processo, viene configurato un nuovo gateway cliente che rappresenta l'IP pubblico effettivo dell'endpoint VPN OCI.

  1. Dal portale principale AWS, espandere il menu Servizi nella parte superiore sinistra dello schermo. Passare a VPC in Networking & Content Delivery.
  2. Dal menu a sinistra, scorrere verso il basso e, in Virtual Private Network (VPN), fare clic su Gateway dei clienti.
  3. Fare clic su Crea gateway cliente per creare un gateway cliente.
    Viene visualizzata la pagina Crea gateway cliente.
  4. Immettere i dettagli riportati di seguito.
    • Nome: assegnare a questo gateway cliente un nome ovviamente temporaneo. In questo esempio viene utilizzato il nome TempGateway.
    • Ciclo: selezionare Dinamico.
    • ASN BGP: immettere l'ASN BGP OCI. L'ASN BGP di Oracle per il cloud commerciale è 31898, ad eccezione dell'area centrale della Serbia (Jovanovac), che è 14544.
    • Indirizzo IP: utilizzare qualsiasi indirizzo IPv4 valido per il gateway temporaneo. In questo esempio viene utilizzato 1.1.1.1.
  5. Al termine della configurazione del gateway cliente temporaneo, completare il processo di provisioning facendo clic su Crea gateway cliente.

Crea e collega un gateway privato virtuale per AWS

Un VPG (Virtual Private Gateway) consente alle risorse esterne alla rete di comunicare con le risorse interne alla rete. Per creare e collegare un VPG per AWS, utilizzare questa procedura.

  1. Dal menu a sinistra di AWS, scorri verso il basso e, in Virtual Private Network (VPN), fai clic su Virtual Private Gateways.
  2. Fare clic su Crea gateway privato virtuale per creare un nuovo gateway privato virtuale.
    Viene visualizzata la pagina Crea gateway privato virtuale.
  3. Immettere i dettagli riportati di seguito.
    • Nome: assegnare un nome al gateway privato virtuale (VPG).
    • ASN: selezionare l'ASN predefinito di Amazon.
  4. Al termine della configurazione del gateway privato virtuale, completare il provisioning facendo clic su Crea gateway privato virtuale.
  5. Dopo aver creato il VPG, collegarlo al VPC di scelta:
    1. Sempre nella pagina Gateway privato virtuale, assicurarsi che il VPG sia selezionato, aprire il menu Azioni (Menu Azioni) e selezionare Collega a VPC. Viene visualizzata la pagina Collega a VPC per il gateway privato virtuale selezionato.
    2. Selezionare il VPC dall'elenco, quindi fare clic su Sì, Allega per completare il collegamento del VPG al VPC.

Creare una connessione VPN per AWS

Per connettere OCI ad AWS utilizzando i servizi VPN nativi, utilizzare questa procedura.

  1. Dal menu a sinistra, scorrere verso il basso e fare clic su Connessioni VPN da sito a sito in Rete privata virtuale (VPN).
  2. Fare clic su Crea connessione VPN per creare un nuovo gateway privato virtuale. Viene visualizzata la pagina Crea connessione VPN.
  3. Immettere i dettagli riportati di seguito.
    • Tag nome: assegnare un nome alla connessione VPN.
    • Tipo di gateway di destinazione: selezionare Gateway privato virtuale, quindi selezionare il gateway privato virtuale creato in precedenza dalla lista.
    • Gateway cliente: selezionare Esistente, quindi selezionare il gateway cliente temporaneo dall'elenco.
    • Opzioni di instradamento: selezionare Dinamico (richiede BGP).
    • Tunnel all'interno della versione IP: selezionare IPv4.
    • Local/Remote IPv4 Network Cidr: Leave both of these fields blank, creating an any/any route-based IPSec VPN.

      Procedere al passo successivo. Non fare clic su Crea connessione VPN.

  4. Mentre la pagina Crea connessione VPN è ancora attiva, scorrere fino a Opzioni tunnel.
  5. Scegliere un CIDR /30 dall'intervallo 169.254.0.0/16 locale del collegamento. Immettere il CIDR completo in CIDRIPv4 CIDR interno IPv4 per il tunnel 1.
  6. Assicurarsi che OCI supporti l'indirizzo /30 scelto per gli IP del tunnel interno.
    OCI non consente di utilizzare i seguenti intervalli IP per gli IP tunnel interni:
    • 169,254-169,254
    • 169,254-169,254
    • 169,254-169,254
    Procedere al passo successivo. Non fare clic su Crea connessione VPN.
  7. In Opzioni avanzate per Tunnel 1 selezionare Modifica opzioni tunnel 1.
    Un ulteriore set di opzioni si espande. Se si desidera limitare gli algoritmi di crittografia utilizzati per questo tunnel, configurare qui le opzioni richieste per la fase 1 e la fase 2. Utilizzare IKEv2 per questa connessione. Disabilitare la casella di controllo IKEv1 per impedire che venga utilizzato IKEv1. Vedere "Parametri IPSec supportati", a cui è possibile accedere da "Esplora di più", in altre parti di questo playbook, per una descrizione delle opzioni di fase 1 e fase 2 supportate da OCI.
  8. Al termine della configurazione di tutte le opzioni necessarie, completare il processo di provisioning della connessione VPN facendo clic su Crea connessione VPN.

Scarica la configurazione AWS

Durante il provisioning della connessione VPN, scaricare la configurazione di tutte le informazioni sul tunnel. Questo file di testo è necessario per completare la configurazione del tunnel in OCI Console.

  1. Assicurarsi che la connessione VPN sia selezionata, quindi fare clic su Scarica configurazione.
  2. Selezionare l'impostazione Fornitore e piattaforma "Generico", quindi fare clic su Scarica per salvare una copia di testo della configurazione nel disco rigido locale.
  3. Aprire il file di configurazione scaricato nell'editor di testo desiderato. Guarda sotto IPSec Tunnel #1, section #1 Internet Key Exchange Configuration. Qui trovi la tua chiave precondivisa generata automaticamente per il tuo tunnel. Salvare questo valore.
    AWS potrebbe generare una chiave precondivisa utilizzando il punto o i caratteri di sottolineatura (. o _). OCI non supporta l'utilizzo di tali caratteri in una chiave precondivisa. È necessario modificare una chiave che includa questi valori. Per modificare la chiave precondivisa in AWS per un tunnel:
    1. Selezionare la connessione VPN, aprire il menu Azioni e selezionare Modifica opzioni tunnel VPN.
    2. Mentre è ancora sotto Tunnel 1 nella configurazione scaricata, scorrere fino alla sezione #3 Tunnel Interface Configuration.
    3. Per completare la configurazione VPN da sito a sito in OCI, registrare i seguenti valori:
      • Indirizzo IP esterno del gateway privato virtuale
      • IP interno per gateway cliente
      • IP interno per il gateway privato virtuale
      • ASN BGP del gateway privato virtuale. L'ASN predefinito è 64512.

Crea Customer Premises Equipment con una soluzione OCI

Successivamente, devi configurare il dispositivo on-premise (Customer Premises Equipment o CPE) alla fine della VPN da sito a sito in modo che il traffico possa fluire tra la rete on-premise e la rete cloud virtuale (VCN). Utilizzare la procedura descritta di seguito.

  1. Aprire il menu di navigazione e fare clic su Rete. In Connettività cliente, fare clic su Attrezzature cliente-premise.
  2. Fare clic su Create Customer Premises Equipment.
  3. Immettere i valori riportati di seguito.
    • Crea nel compartimento: selezionare il compartimento per la VCN desiderata.
    • Nome: immettere un nome descrittivo per l'oggetto CPE. Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di fornire informazioni riservate. In questo esempio viene utilizzato il nome TO_AWS.
    • Indirizzo IP: immettere l'indirizzo IP esterno del gateway privato virtuale mostrato nella configurazione scaricata da AWS.
    • Fornitore CPE: selezionare Altro.
  4. Fare clic su Crea CPE.

Crea una connessione IPSec per OCI

Ora è necessario creare i tunnel IPSec e configurare il tipo di instradamento, statico o dinamico BGP. Utilizzare la procedura descritta di seguito.

  1. Aprire il menu di navigazione e fare clic su Rete. In Connettività cliente fare clic su VPN da sito a sito.
  2. Fare clic su Crea connessione IPSec.
    Viene visualizzata una nuova finestra di dialogo di connessione IPSec.
  3. Immettere i valori riportati di seguito.
    • Crea nel compartimento: non modificare (compartimento della VCN).
    • Nome: immettere un nome descrittivo per la connessione IPSec (esempio: OCI-AWS-1). Non deve essere unico e puoi cambiarlo in seguito. Evitare di fornire informazioni riservate.
    • Compartimento Customer-Premises Equipment: lasciare immutato (compartimento della VCN).
    • Customer-Premises Equipment: selezionare l'oggetto CPE creato in precedenza, denominato TO_AWS.
    • Compartimento del gateway di instradamento dinamico: lasciare invariato (il compartimento della VCN).
    • Gateway di instradamento dinamico: selezionare il DRG creato in precedenza.
    • CIDR di instradamento statico: immettere un instradamento predefinito, 0.0.0.0/0.

      Poiché il tunnel attivo utilizza il protocollo BGP, OCI ignora questo instradamento. È necessaria una voce per il secondo tunnel della connessione IPSec, che per impostazione predefinita utilizza il routing statico, ma l'indirizzo non utilizzato in questo scenario. Se si prevede di utilizzare l'instradamento statico per questa connessione, immettere instradamenti statici che rappresentano le reti virtuali AWS. È possibile configurare fino a 10 instradamenti statici per ogni connessione IPSec.

  4. Immettere i seguenti dettagli nella scheda Tunnel 1 (obbligatorio):
    • Nome: immettere un nome descrittivo per il tunnel, ad esempio AWS-TUNNEL-1. Non deve essere unico e puoi cambiarlo in seguito. Evitare di fornire informazioni riservate.
    • Fornire un segreto condiviso personalizzato: immettere la chiave precondivisa utilizzata da IPSec per questo tunnel. Selezionare questa casella e immettere la chiave precondivisa dal file di configurazione di AWS VPN.
    • Versione IKE: selezionare IKEv2.
    • Tipo di instradamento: selezionare l'instradamento dinamico BGP.
    • ASN BGP: immettere l'ASN BGP utilizzato da AWS come trovato nel file di configurazione di AWS VPN. L'ASN AWS BGP predefinito è 64512.
    • IPv4 Inside Tunnel Interface - CPE: immettere il gateway privato virtuale all'interno dell'indirizzo IP dal file di configurazione di AWS VPN. Utilizzare la notazione CIDR completa per questo indirizzo IP.
    • IPv4 Inside Tunnel Interface - Oracle: immettere l'indirizzo IP interno utilizzato da OCI. Nel file di configurazione di AWS VPN, immettere l'indirizzo IP interno per il gateway cliente. Utilizzare la notazione CIDR completa per questo indirizzo IP.
  5. Fare clic su Crea connessione IPSec.
    La connessione IPSec viene creata e visualizzata nella pagina. Lo stato della connessione è Provisioning per un breve periodo.
  6. Dopo aver eseguito il provisioning della connessione IPSec, prendere nota dell'indirizzo IP VPN Oracle del tunnel. Questo indirizzo verrà utilizzato per creare un nuovo gateway cliente nel portale AWS.
    1. Aprire il menu di navigazione e fare clic su Networking. In Connettività cliente, fare clic su VPN da sito a sito.

      Viene visualizzata una lista delle connessioni IPSec nel compartimento che si sta visualizzando. Se la connessione che si sta cercando non è visibile, verificare che si stia visualizzando il compartimento corretto (selezionare dalla lista sul lato sinistro della pagina).

    2. Fare clic sulla connessione IPSec a cui si è interessati (esempio: OCI-AWS-1).
    3. Trova l'indirizzo IP VPN Oracle di AWS-TUNNEL-1.

Creare un nuovo gateway cliente AWS

Ora, crea un nuovo gateway cliente a monte del gateway cliente esistente utilizzando i dettagli acquisiti dalla connessione IPSec OCI.

  1. Nella console AWS, individuare i gateway dei clienti e creare un gateway dei clienti immettendo i seguenti dettagli:
    • Nome: assegnare un nome a questo gateway cliente.
    • Ciclo: selezionare Dinamico.
    • ASN BGP: immettere l'ASN BGP OCI. L'ASN BGP di Oracle per il cloud commerciale è 31898, ad eccezione dell'area centrale della Serbia (Jovanovac), che è 14544.
    • Indirizzo IP: immettere l'indirizzo IP VPN Oracle per il tunnel 1. Utilizzare l'IP salvato nel task precedente.
  2. Per completare il provisioning, fare clic su Crea gateway cliente.

Modificare la connessione VPN con il nuovo gateway cliente AWS

Questo task sostituisce il gateway cliente temporaneo con uno che utilizza l'indirizzo IP VPN OCI.

  1. Sulla console AWS, passare a Connessioni VPN da sito a sito e selezionare la connessione VPN.
  2. Aprire il menu Azioni e selezionare Modifica connessione VPN.
    Viene visualizzata la pagina Modifica connessione VPN.
  3. Immettere i dettagli riportati di seguito.
    • Tipo di destinazione: selezionare Gateway cliente dalla lista.
    • ID gateway cliente di destinazione: selezionare dalla lista il nuovo gateway cliente con l'indirizzo IP VPN OCI.
  4. Al termine fare clic su Salva per salvare la configurazione. After a couple minutes, AWS will finish provisioning the VPN connection and your IPSec VPN between AWS and OCI will come up.
  5. A questo punto è possibile eliminare il gateway cliente temporaneo.

Convalida la connettività

Sfogliare la connessione IPSec in OCI e le connessioni VPN da sito a sito in AWS per verificare lo stato del tunnel.

  • Il tunnel OCI sotto la connessione IPSec visualizza lo stato Su per IPSec per confermare un tunnel operativo.
  • Anche IPv4 Stato BGP visualizza Su, a indicare una sessione BGP stabilita.
  • Lo stato del tunnel nella scheda Dettagli tunnel per la connessione VPN da sito a sito in AWS visualizza Su.

Installazione di Management Gateway e agente

Per informazioni sull'architettura per l'installazione dell'agente e del gateway in un ambiente VPN da sito a sito, fare riferimento al caricamento sicuro dei dati di osservabilità in locale utilizzando Management Gateway.

Installare Management Gateway

In seguito, è necessario installare Management Gateway. Management Gateway deve essere in grado di comunicare con i servizi OCI tramite il tunnel IPSec VPN e non attraverso la subnet pubblica. Poiché questo task non rientra nell'ambito di questo documento, fare riferimento a "Installazione gateway di gestione" per i passi dettagliati. Puoi trovare un link a questa procedura nell'argomento "Esplora di più", altrove in questo playbook.

Installazione del Management Agent

In primo luogo, è necessario installare Management Agent. Poiché questo task non rientra nell'ambito di questo documento, è possibile fare riferimento a "Installazione Management Agent" per i passi dettagliati. Puoi trovare un link a questa procedura nell'argomento "Esplora di più", altrove in questo playbook.

Distribuzione dei plugin del servizio

I Management Agent consentono di distribuire plugin del servizio per diversi servizi Oracle Cloud Infrastructure (OCI). I plugin del servizio possono essere distribuiti ai Management Agent che consentono di eseguire task per tali servizi. Qualsiasi Management Agent specificato può disporre di più plugin di servizio.

Consente di distribuire i seguenti plugin nel Management Agent.

  • Servizio di gestione del database e Operations Insights
  • Logging Analytics
  • Servizio host Operations Insights
  • Monitoraggio dello stack.

Distribuzione di un plugin di servizio sull'agente

Utilizzare questo metodo quando il Management Agent è già installato come descritto in Install Management Agent.

Per distribuire un plugin, procedere come segue.
  1. Nel menu a sinistra fare clic su Agenti per aprire la pagina Agenti.
  2. Dalla lista Agenti, fare clic sull'agente desiderato in cui si desidera distribuire il plugin. Viene visualizzata la pagina Dettagli agente.
  3. Fare clic su Distribuisci plugin. Viene visualizzata la finestra Distribuisci plugin. Selezionare il plugin e fare clic su Aggiorna. Il plugin selezionato verrà distribuito nell'agente desiderato.
  4. Verificare lo stato dell'agente e dei plugin nella home page Agente.