使用 VPN 连接您的内部部署网络

Oracle Cloud Infrastructure 虚拟云网络(VCN)是传统网络的虚拟化层 3 版本，可用于控制专用 IP 地址、子网、路由器和防火墙。单个租户可以有多个 Vcn，分隔或组合使用。

使用虚拟专用网络(virtual private network, VPN)连接，可以为内部部署网络创建 VCN 扩展。为此，Oracle Cloud Infrastructure 提供的 VPN 连接是 IPSec VPN。

使用 VPN 扩展内部部署网络具有以下优点：

此引用体系结构显示了如何设置 VPC 连接以连接内部部署网络和 VCN。

下图说明了此体系结构。

此体系结构具有以下组件：

内部部署网络
您的组织使用的本地网络。
VCN
您在 Oracle 数据中心设置的虚拟专用网络。
子网
您在 VCN 中定义的细分。子网具有与 VCN 中的其他子网不重叠的连续 IP 地址范围。
安全列表
用于指定子网中允许的源、目标和流量类型的安全规则。
路由表
为 VCN 中的流量提供映射的路由规则。
动态路由网关(DRG)
可以添加到 VCN 中的虚拟路由器，为 VCN 与内部部署网络之间的专用网络流量提供路径（传输路由）。
VPN 连接
该函数用于管理与租户的 IPSec VPN 连接。
客户收集设备(CPE)
表示在内部部署网络中存在并建立 VPN 连接的网络资产的对象。大多数边框防火墙充当 CPE，但是独立的设备（例如设备或服务器）可以是 CPE。
IPv4 和 IPv6
网络使用的地址方案。仅在美国政府云中支持 IPv6。
Internet 协议安全(IPSec)
一种协议套件，用于在将数据包从源传输到目标之前加密 IP 通信。
隧道
CPE 与 Oracle Cloud Infrastructure 之间的每个连接。
边框网关协议(BGP)路由
允许动态获悉路由。DRG 从内部部署网络动态地学习路线。在 Oracle 一端，DRG 将告知 VCN 的子网。
静态路由
创建 VPN 连接时，您会在每一端通知现有网络。不会动态学习更改。

您的要求可能不同于此处所述的体系结构。使用以下建议作为起点。

VCN
创建 VCN 时，确定每个子网中的云资源需要多少 IP 地址。使用无类域间路由(Classless Inter-Domain Routing, CIDR)表示法指定子网掩码和足够大的网络地址范围来表示所需的 IP 地址。使用位于标准专用 IP 地址块内的地址空间。

选择与内部部署网络不重叠的地址范围，以防您稍后需要在 VCN 与内部部署网络之间建立连接。

创建 VCN 后，无法更改地址范围。

设计子网时，请考虑功能和安全要求。同一层或角色内的所有计算实例都应放入同一子网中 , 这可以是安全边界。
安全列表
使用安全列表可定义应用到整个子网的入站和出站规则。

在 CPE 中，定义正确的访问权限集。权限在 CPE 中可能具有不同的名称，如访问列表。
CPE
某些 CPE 对某些功能的特定要求，例如基于策略的路由（在 CheckPoint 和 Cisco ASA 防火墙上）。确保 CPE 的软件版本满足这些要求。

成本
Vcn、子网、drg、安全列表和路由表没有额外成本。部署中的测试虚拟机(VM)被设置为使用空闲层配置。如果使用空闲层实例，请将测试 VM 设置为常规配置实例。
安全性
默认安全列表将 SSH 端口打开为 0.0.0.0/0。调整安全列表以仅匹配应具有基础结构 SSH 访问权限的主机和网络。

此部署将所有组件放在同一区间中。

部署的子网是公共的，可以在 VPN 工作之前从 Internet 访问测试实例。如果 Vm 未提供任何公共服务，请考虑删除资源或整个公共子网。
可扩展性
每个租户都有五个 Drag 限制。

每个区域可以有四个 VPN 连接。
性能
每个连接可以访问 250 Mbps。

DRG 最大吞吐量为 10 Gbps。

由于 VPN 连接使用公共互联网行，因此外部交易方代表可能会影响这些行上的性能。
可用性和冗余
Drg 是冗余的，因此将自动进行故障转移。

每个连接可以具有多个隧道。

考虑在生产环境中使用不同提供方的多个互联网链接。
可用性
此部署将为您提供图表中显示的所有组件。您必须通知 CPE 的公共 IP 地址。

包括的 VM 演示并测试基本连接。