Documentação do Oracle Cloud Infrastructure

Conexão VPN com o Google

O serviço de VPN Site a Site do Oracle Cloud Infrastructure (OCI) oferece uma conexão IPSec segura entre uma rede on-premises e uma Rede Virtual na Nuvem (VCN). Você também pode usar a VPN Site a Site para conectar recursos do OCI a outros provedores de serviços de nuvem.

Este tópico fornece uma configuração de melhores práticas para um túnel IPSec VPN entre o OCI e o Google Cloud Platform (GCP) usando o serviço OCI Site-to-Site VPN e o serviço Google Cloud VPN.

Observação

Este documento supõe que você já provisionou uma VCN e um DRG (Dynamic Routing Gateway) e também configurou todas as Tabelas de Roteamento da VCN e Listas de Segurança necessárias para esse cenário e todos os equivalentes no Google Cloud.

Considerações específicas do GCP

Tipo de Roteamento: Esse cenário usa o BGP (Border Gateway Protocol) para trocar rotas entre o GCP e o OCI. O BGP é preferencial para a VPN Site a Site sempre que possível. Opcionalmente, o roteamento estático também pode ser usado entre o GCP e o OCI.

Verificar a Versão da VPN Site a Site do OCI

Você pode verificar a versão da VPN Site a Site usada pela conexão IPSec na guia IPSec Informações sobre a Conexão em uma página da conexão IPSec.

Parâmetros IPSec Suportados

Para obter uma lista não dependente de fornecedor com parâmetros IPSec suportados para todas as regiões do OCI, consulte Parâmetros IPSec Suportados.

Processo de Configuração

GCP - Iniciar Configuração da VPN
  1. No portal principal do Google Cloud:
    1. Expanda o menu principal no canto superior esquerdo
    2. Role para baixo até Conectividade Híbrida
    3. Selecione VPN

  2. Na próxima página, selecione o link Criar Conexão VPN para iniciar o workflow e criar uma conexão IPSec VPN.

  3. Para Opções de VPN, selecione VPN de Alta disponibilidade (HA) e, em seguida, selecione o botão Continuar na parte inferior.

  4. Crie um gateway de VPN de alta disponibilidade na nuvem. Informe os seguintes detalhes:

    • Nome: Dê um nome ao gateway de VPN.
    • Rede: Selecione a VPC à qual a IPSec VPN se conecta.

    • Região: Selecione a região do gateway de VPN

      Quando terminar de configurar o gateway de VPN, selecione o botão Criar e Continuar para continuar.

  5. A próxima página expõe o IP público do ponto final da VPN do GCP.

    Salve o IP público de uma das interfaces. Em seguida, abra a Console do OCI em uma janela separada e continue o processo de configuração. Você retorna posteriormente para concluir a configuração do GCP após a conexão do OCI IPSec ter sido provisionada.

OCI - Criar Objeto CPE
  1. Abra o menu de navegação e selecione Rede. Em Conectividade do cliente, selecione Equipamento local do cliente.
  2. Select Create Customer-Premises Equipment.

  3. Informe os seguintes valores:

    • Criar no Compartimento: selecione o compartimento da VCN desejada.
    • Nome: um nome descritivo para o objeto CPE. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.

      Este exemplo usa "TO_GCP" como nome.

    • IP Address: Informe o endereço IP público do gateway de VPN do GCP.
    • Fornecedor do CPE: Selecione Outro.
  4. Selecione Criar CPE.
OCI - Criar Conexão IPSec
  1. Abra o menu de navegação e selecione Rede. Em Conectividade do cliente, selecione VPN Site a Site.
  2. Selecione Criar Conexão IPSec.

  3. Informe os seguintes valores:

    • Criar no Compartimento: deixe como está (o compartimento da VCN).
    • Nome: informe um nome descritivo para a conexão IPSec. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
    • Compartimento do CPE (Customer Premises Equipment): deixe como está (o compartimento da VCN).
    • Customer-Premises Equipment: Selecione o objeto CPE que você criou anteriormente, chamado TO_GCP.
    • Compartimento do Gateway de Roteamento Dinâmico: deixe como está (o compartimento da VCN).
    • Gateway de Roteamento Dinâmico: selecione o DRG criado anteriormente.
    • CIDR de Rota Estática: Informe uma rota padrão, 0.0.0.0/0. Como BGP é usado para o túnel ativo, o OCI ignora essa rota. Essa entrada é obrigatória para o segundo túnel da conexão IPSec que, por padrão, usa roteamento estático e não é usado nesse cenário. Se você planeja usar o roteamento estático para essa conexão, insira rotas estáticas que representem as redes virtuais GCP. Até 10 rotas estáticas podem ser configuradas para cada conexão IPSec.

    • Certifique-se de que o OCI suporte o endereço /30 escolhido para os IPs de túnel internos. A OCI não permite que você use as seguintes faixas de IPs para IPs dentro de um túnel:

      • 169.254.10.0-169.254.19.255
      • 169.254.100.0-169.254.109.255
      • 169.254.192.0-169.254.201.255

  4. Informe os seguintes detalhes na guia Túnel 1 (necessário):

    • Nome: Digite um nome descritivo para o túnel (Exemplo: GCP-TUNNEL-1). Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
    • Forneça um segredo compartilhado personalizado: A chave pré-compartilhada usada por IPSec para este túnel. Marque esta caixa de seleção se quiser usar uma chave personalizada. Se nenhuma seleção for fornecida, uma será gerada para você.
    • Versão doIKE: Selecione IKEv2.
    • Tipo de Roteamento: Selecione Roteamento Dinâmico BGP. Selecione Encaminhamento Estático se quiser usar o roteamento estático.
    • ASN do BGP: Informe o ASN do BGP usado pelo GCP. O ASN do BGP do GCP é configurado nas etapas futuras. Este cenário usa um ASN de BGP 65000 para o GCP.
    • IPv4 Dentro da Interface de Túnel - CPE: Informe o endereço IP do BGP usado pelo GCP. Use a notação CIDR completa para esse endereço IP. Deve ser um endereço local de link. Este cenário usa o CIDR 169.254.20.0/30 para os endereços IP do BGP.
    • IPv4 Dentro da Interface de Túnel - Oracle: Informe o endereço IP do BGP usado pelo OCI. Inclua esse endereço IP na notação CIDR. Deve ser um endereço local de link. Este cenário usa o CIDR 169.254.20.0/30 para os endereços IP do BGP.
  5. Selecione Mostrar opções avançadas para o túnel e altere as vidas das Fases 1 e 2 para corresponder ao lado do GCP, conforme listado aqui https://cloud.google.com/network-connectivity/docs/vpn/concepts/supported-ike-ciphers.

    As existências das fases 1 e 2 têm valores diferentes no lado do GCP, dependendo se você estiver usando IKEv1 ou IKEv2. Estas são:

    • Vida útil da chave de sessão IKE da Fase 1 em segundos = 36.000 segundos
    • Vida útil da chave de sessão IPSec da Fase 2 em segundos = 10.800 segundos

    Deixe todas as outras definições como padrão.

  6. Selecione Criar Conexão IPSec.

    A conexão IPSec é criada e exibida na página. A conexão fica no estado Provisionando por pouco tempo.

OCI - Salvar o Endereço IP da VPN da Oracle e o Segredo Compartilhado

Após o provisionamento da conexão IPSec, salve o endereço IP da VPN Site a Site para usar como o IP do CPE no portal do GCP e o segredo compartilhado do túnel.

  1. Navegue até a conexão IPSec na Console do OCI.

    Decida qual túnel usar como principal. Salve o endereço IP da VPN Site a Local desse túnel. Em seguida, selecione o nome do túnel a ser levado para a view do túnel.

  2. No túnel, selecione o link para exibir o segredo compartilhado. Salve-o. O segredo compartilhado é usado para concluir a configuração da VPN IPSec no GCP.
GCP - Criar um Gateway de Pareamento de VPN

  1. Retorne à janela de configuração da VPN do GCP.
  2. Em Gateway de VPN de Pareamento, selecione Local ou Não Google Cloud.
  3. Expanda a lista Nome do gateway de VPN de pareamento e selecione Criar novo gateway de pareamento de VPN.
  4. Você foi levado à página Adicionar um gateway da VPN de mesmo nível. Informe os seguintes detalhes:
  5. Selecione o botão Criar na parte inferior para continuar. Você foi conduzido ao fluxo de trabalho Criar uma VPN.
GCP - Criar um Roteador da Nuvem

  1. Expanda a lista Roteador da Nuvem e selecione Criar novo roteador.

  2. Você foi levado para a página Criar um roteador. Informe os seguintes detalhes:

    • Nome: Dê um nome ao roteador da nuvem.

    • ASN do Google: Informe o ASN do BGP do Google, também usado ao configurar a conexão IPSec no OCI.

      Deixe todas as outras opções como padrão.

  3. Quando terminar de configurar o roteador da nuvem, selecione o botão Criar para continuar.

    Você foi conduzido ao fluxo de trabalho Criar uma VPN.

GCP - Conclua a configuração do Túnel de VPN

Conclua a configuração do túnel VPN. Informe os seguintes detalhes:

  • Roteador da Nuvem: Selecione o roteador de nuvem que foi configurado na etapa anterior.
  • IP do gateway de VPN da Nuvem Associado: Corresponda o endereço IP do objeto CPE configurado no OCI.
  • Interface do Gateway de VPN de pareamento associado: Corresponda o endereço IP de VPN da Oracle do túnel da VPN do OCI. Consulte OCI - Salvar Endereço IP e Segredo Compartilhado da Oracle VPN.
  • Nome: Dê um nome ao túnel de VPN.
  • Versão de IKE: Selecione IKEv2 (recomendado). Se estiver usando IKEv1, garanta que IKEv1 também esteja configurado para o túnel da VPN na conexão IPSec no OCI.

  • Chave pré-compartilhada IKA: Associe o segredo compartilhado do túnel da VPN na conexão IPSec no OCI. Consulte OCI - Salvar Endereço IP e Segredo Compartilhado da Oracle VPN. Deixe todas as outras opções como padrão.

    Quando terminar de configurar o túnel de VPN, selecione Criar e Continuar.

GCP - Configurar Sessões BGP

Esta etapa envolve a configuração da sessão BGP para um túnel IPSec. As definições de BGP precisam corresponder ao lado da OCI da configuração configurada na OCI - Criar Conexão IPSec.

  1. Selecione o botão Configurar em Sessão BGP para o túnel de VPN.
  2. Na página Criar Sessão BGP do túnel, informe os seguintes detalhes:
    • Nome: Dê um nome à sessão BGP.
    • ASN de Par: digite o ASN do BGP. O ASN BGP da Oracle para a nuvem comercial é 31898, exceto a região Central da Sérvia (Jovanovac), que é 14544.
    • IP BGP de Roteador de Nuvem: Corresponda o endereço IP configurado para IPV4 Dentro da Interface do Túnel - CPE do túnel 1 no OCI - Criar Conexão IPSec. Não use notação CIDR neste campo.
    • IP do par BGP: Corresponde ao endereço IP configurado para IPV4 Dentro da Interface do Túnel - Oracle do túnel 1 no OCI - Criar Conexão IPSec. Não use notação CIDR neste campo.

    • Pareamento do BGP: Selecione Ativado.

      Deixe todas as outras opções como padrão.

  3. Quando terminar de configurar a sessão BGP, selecione Salvar e Continuar para voltar à página Configurar sessões BGP.

  4. Selecione o botão Salvar configuração de BGP para continuar.

  5. Você foi levado para a página Resumo e lembrete.

    O Status do túnel de VPN e o Status do BGP são exibidos como "definidos".

  6. Selecione OK na parte inferior para concluir a configuração.
Verificação

Navegue até a conexão IPSec no OCI e as conexões de VPN Site a Site no GCP para verificar a situação do túnel.

O túnel do OCI sob a conexão IPSec exibe o status Ativo para IPSec para confirmar um túnel operacional.

O Status do BGP IPV4 também exibe Ativo indicando uma sessão BGP estabelecida.

Navegue até os túneis da VPN da nuvem na Console do GCP. O status de túnel de VPN e o status de sessão BGP devem indicar Estabelecido.

Um serviço Monitoring também está disponível no OCI para monitorar ativa e passivamente os recursos da nuvem. Para obter informações sobre monitoramento da VPN entre Sites do OCI, consulte Métricas da VPN entre Sites.

Se você tiver problemas, consulte Diagnóstico e Solução de Problemas da VPN Site a Site.