1. Configurar o OCI Observability and Management para bancos de dados AWS RDS
  2. Configurar a Solução

Configurar a Solução

A configuração desta solução é um processo de dois estágios, configurando a infraestrutura de rede e, em seguida, instalando o Management Gateway e o Management Agent. Os procedimentos a seguir conduzirão você por esses estágios.

Configurar Rede

Use as etapas a seguir para configurar o tunelamento da IPSec VPN entre o AWS e o OCI para permitir a comunicação entre os serviços RDS e O&M. Essa configuração funcionará com a VPN Site a Site do OCI Versão 2.

Criar um gateway de cliente temporário para a AWS

Use o gateway de cliente temporário para provisionar inicialmente a VPN entre sites do AWS, expondo o ponto final da VPN do AWS para o túnel. O OCI exige um IP público do pareamento remoto de VPN para que você possa criar uma conexão IPSec. Após a conclusão desse processo, um novo gateway de cliente que representa o IP público real de ponto final da OCI VPN é configurado.

  1. No portal principal do AWS, expanda o menu Serviços na parte superior esquerda da tela. Navegue até VPC em Rede e Entrega de Conteúdo.
  2. No menu à esquerda, role para baixo e, em Rede Virtual Privada (VPN), clique em Gateways de Cliente.
  3. Clique em Criar Gateway de Cliente para criá-lo.
    Será exibida a página Criar Gateway de Cliente.
  4. Insira os seguintes detalhes:
    • Nome: Dê um nome temporário a esse gateway de cliente. Neste exemplo, o nome TempGateway é usado.
    • Encaminhamento: selecione Dinâmico.
    • ASN do BGP: Digite o ASN do BGP do OCI. O ASN do BGP da Oracle para a nuvem comercial é 31898, exceto a região Central da Sérvia (Jovanovac), que é 14544.
    • IP Address: Use qualquer endereço IPv4 válido para o gateway temporário. Este exemplo usa 1.1.1.1.
  5. Quando terminar de configurar seu gateway de cliente temporário, conclua o processo de provisionamento clicando em Criar Gateway de Cliente.

Criar e anexar um gateway privado virtual para AWS

Um gateway privado virtual (VPG) permite que recursos que estão fora da sua rede se comuniquem com recursos que estão dentro da sua rede. Para criar e anexar um VPG para AWS, use este procedimento.

  1. No menu à esquerda do AWS, role para baixo e, em Virtual Private Network (VPN), clique em Gateways Virtuais Privados.
  2. Clique em Create Virtual Private Gateway para criar um novo gateway virtual privado.
    A página Criar Gateway Virtual Privado é exibida.
  3. Insira os seguintes detalhes:
    • Nome: Dê um nome ao seu Gateway Virtual Privado.
    • ASN: Selecione o ASN padrão Amazon.
  4. Quando terminar de configurar seu gateway virtual privado, conclua o provisionamento clicando em Criar Gateway Virtual Privado.
  5. Depois que o VPG tiver sido criado, anexe-o ao seu VPC escolhido:
    1. Enquanto ainda estiver na página Gateway Privado Virtual, certifique-se de que o seu VPG esteja selecionado, abra o menu Ações (Menu Ações) e selecione Anexar ao VPC. A página Anexar ao VPC do seu Gateway Virtual Privado selecionado é exibida.
    2. Selecione o VPC na lista e, em seguida, para concluir a anexação do VPG ao VPC, clique em Sim, Anexar.

Criar uma conexão VPN para AWS

Para conectar o OCI ao AWS usando os serviços de VPN nativos, use este procedimento.

  1. No menu à esquerda, role para baixo e clique em conexões VPN Site a Site em Rede Virtual Privada (VPN).
  2. Clique em Criar Conexão VPN para criar um novo gateway virtual privado. Você será levado para a página Criar Conexão VPN.
  3. Insira os seguintes detalhes:
    • Tag de nome: Dê um nome à sua conexão VPN.
    • Tipo de Gateway de Destino: Selecione Gateway Virtual Privado e, em seguida, selecione na lista o Gateway Virtual Privado criado anteriormente.
    • Gateway de Cliente: Selecione Existente e, em seguida, selecione o Gateway de Cliente temporário na lista.
    • Opções de Roteamento: Selecione Dinâmico (exige BGP).
    • Túnel dentro da Versão do Ip: Selecione IPv4.
    • Cidr de Rede IPv4 Local/Remoto: Deixe os dois campos em branco, criando um IPSec VPN baseado em rota.

      Continue na próxima etapa. Não clique em Criar Conexão VPN ainda.

  4. Embora ainda esteja na página Criar Conexão VPN, role para baixo até Opções de Túnel.
  5. Escolha um CIDR /30 na faixa local 169.254.0.0/16 do link. Informe o CIDR completo em Dentro do IPv4 CIDR para o Túnel 1.
  6. Certifique-se de que o OCI suporte o endereço /30 escolhido para os IPs internos do túnel.
    O OCI não permite que você use as seguintes faixas de IPs dentro do túnel:
    • 169.254-169.254
    • 169.254-169.254
    • 169.254-169.254
    Continue na próxima etapa. Não clique em Criar Conexão VPN ainda.
  7. Em Opções avançadas para túnel 1, selecione Editar opções do túnel 1.
    Um conjunto extra de opções é expandido. Se você quiser restringir os algoritmos de criptografia usados para esse túnel, configure as opções de Fase 1 e Fase 2 desejadas aqui. Você deve usar IKEv2 para esta conexão. Desative a caixa de seleção IKEv1 para impedir que IKEv1 seja usado. Consulte "Parâmetros IPSec Suportados" para obter uma descrição de quais opções de Fase 1 e Fase 2 o OCI suporta (consulte "Explorar Mais")..
  8. Depois de concluir a configuração de todas as opções necessárias, conclua o processo de provisionamento da conexão VPN clicando em Criar Conexão VPN.

Faça o download da configuração da AWS

Durante o provisionamento da conexão VPN, faça download da configuração de todas as informações do túnel. Esse arquivo de texto é obrigatório para concluir a configuração do túnel na Console do OCI.

  1. Certifique-se de que sua conexão VPN esteja selecionada e clique em Fazer Download da Configuração.
  2. Selecione a definição "Genérico" de Fabricante e Plataforma e clique em Download para salvar uma cópia de texto da configuração no disco rígido local.
  3. Abra no editor de texto de sua escolha o arquivo de configuração baixado. Procure em IPSec Tunnel #1, section #1 Internet Key Exchange Configuration. Aqui você encontra sua chave pré-compartilhada gerada automaticamente para o túnel. Salve esse valor.
    O AWS pode gerar uma chave pré- compartilhada usando os caracteres de ponto ou sublinhado (. ou _). O OCI não suporta o uso desses caracteres em uma chave pré-compartilhada. Uma chave que inclua esses valores deve ser alterada. Para alterar sua chave pré-compartilhada na AWS para um túnel:
    1. Selecione sua conexão VPN, abra o menu Ações e selecione Modificar Opções de Túnel de VPN.
    2. Enquanto ainda estiver no Túnel 1 da configuração baixada, vá para a seção #3 Tunnel Interface Configuration.
    3. Para concluir a configuração da VPN Site a Site no OCI, registre os seguintes valores:
      • Endereço IP externo do Gateway Virtual Privado
      • IP Interno do Gateway de Cliente
      • IP interno do Gateway Virtual Privado
      • ASN do BGP do Gateway Virtual Privado. O ASN padrão é 64512.

Criar Customer Premises Equipment para OCI

Em seguida, você precisa configurar o dispositivo local (Customer Premises Equipment, ou CPE) na sua extremidade da VPN Site a Site para que o tráfego possa fluir entre a sua rede local e a rede virtual na nuvem (VCN). Use este procedimento.

  1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em Equipamento cliente-local.
  2. Click Create Customer Premises Equipment.
  3. Informe os seguintes valores:
    • Criar no Compartimento: selecione o compartimento da VCN desejada.
    • Nome: Informe um nome descritivo para o objeto CPE. Ele não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite digitar informações confidenciais. Este exemplo usa TO_AWS como nome.
    • Endereço IP: Digite o endereço IP externo do Gateway Virtual Privado mostrado na configuração baixada do AWS.
    • Fornecedor do CPE: Selecione Outro.
  4. Clique em Criar CPE.

Criar uma Conexão IPSec para o OCI

Agora, você precisa criar os túneis IPSec e configurar o tipo de roteamento, seja estático ou roteamento Dinâmico BGP. Use este procedimento.

  1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em VPN Site a Site.
  2. Clique em Criar Conexão IPSec.
    Uma nova caixa de diálogo de conexão IPSec é exibida.
  3. Informe os seguintes valores:
    • Criar no Compartimento: deixe como está (o compartimento da VCN).
    • Nome: Digite um nome descritivo para a conexão IPSec (Exemplo: OCI-AWS-1). O nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite digitar informações confidenciais.
    • Compartimento do Customer-Premises Equipment: Deixe como está (o compartimento da VCN).
    • Customer-Premises Equipment: Selecione o objeto CPE criado anteriormente, chamado TO_AWS.
    • Compartimento do Gateway de roteamento dinâmico: deixe como está (o compartimento da VCN).
    • Dynamic Routing Gateway: Selecione o DRG criado anteriormente.
    • CIDR de Rota Estática: Informe uma rota padrão, 0.0.0.0/0.

      Como o túnel ativo usa BGP, o OCI ignora essa rota. Uma entrada é obrigatória para o segundo túnel da conexão IPSec, que por padrão usa roteamento estático, mas o endereço não é usado nesse cenário. Se você planeja usar o roteamento estático para essa conexão, insira rotas estáticas que representem suas redes virtuais do AWS. Você pode configurar até 10 rotas estáticas para cada conexão IPSec.

  4. Informe os seguintes detalhes na guia Túnel 1 (obrigatório):
    • Nome: Digite um nome descritivo para o túnel (Exemplo: AWS-TUNNEL-1). O nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite digitar informações confidenciais.
    • Especificar segredo compartilhado personalizado: Informe a chave pré-compartilhada usada por IPSec para esse túnel. Marque essa caixa e informe a chave pré-compartilhada do arquivo de configuração da VPN.
    • Versão doIKE: Selecione IKEv2.
    • Tipo de Roteamento: Selecione Roteamento Dinâmico BGP.
    • ASN do BGP: Informe o ASN do BGP usado pelo AWS conforme encontrado no arquivo de configuração da VPN do AWS. O ASN padrão do BGP do AWS é 64512.
    • IPv4 Dentro da Interface de Túnel - CPE: Informe o Gateway Virtual Privado dentro do endereço IP do arquivo de configuração da VPN do AWS. Use total notação CIDR para esse endereço IP.
    • IPv4 Dentro da Interface de Túnel - Oracle: Informe o endereço IP interno usado pelo OCI. No arquivo de configuração da VPN do AWS, digite o endereço IP interno do Gateway de Cliente. Use total notação CIDR para esse endereço IP.
  5. Clique em Criar Conexão IPSec.
    A conexão IPSec é criada e exibida na página. A conexão fica no estado Provisionando por pouco tempo.
  6. Após o provisionamento da sua conexão IPSec, anote o Endereço IP da VPN da Oracle do seu túnel. Esse endereço será usado para criar um novo gateway de cliente no portal do AWS.
    1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em VPN Site a Site.

      É exibida uma lista das conexões IPSec no compartimento que você está acessando. Se você não vir a conexão que está procurando, verifique se o compartimento correto está sendo exibido ( selecione na lista à esquerda da página).

    2. Clique na conexão IPSec do seu interesse (Exemplo: OCI-AWS-1).
    3. Encontre o Endereço IP da VPN da Oracle do AWS-TUNNEL-1.

Criar um novo gateway de cliente da AWS

Agora, crie um novo gateway de cliente no topo do gateway de cliente existente usando os detalhes capturados da conexão IPSec do OCI.

  1. Na console do AWS, navegue até Gateways de Cliente e crie um Gateway de Cliente informando os seguintes detalhes:
    • Nome: Dê um nome a esse gateway de cliente.
    • Encaminhamento: selecione Dinâmico.
    • ASN do BGP: Digite o ASN do BGP do OCI. O ASN do BGP da Oracle para a nuvem comercial é 31898, exceto a região Central da Sérvia (Jovanovac), que é 14544.
    • Endereço IP: Digite o endereço IP da VPN da Oracle para o túnel 1. Use o IP salvo na tarefa anterior.
  2. Para concluir o provisionamento, clique em Criar Gateway de Cliente.

Modificar a Conexão VPN com o Novo AWS Customer Gateway

Essa tarefa substitui o Gateway de Cliente temporário por um que usa o endereço IP da VPN do OCI.

  1. Na console do AWS, navegue até Conexões VPN Site a Site e selecione sua conexão VPN.
  2. Abra o menu Ações e selecione Modificar Conexão VPN.
    A página Modificar Conexão VPN é exibida.
  3. Insira os seguintes detalhes:
    • Tipo de Destino: Selecione Gateway de Cliente na lista.
    • Target Customer Gateway ID: Selecione na lista o novo Gateway de Cliente com o endereço IP da VPN do OCI.
  4. Quando terminar, clique em Salvar para salvar a configuração. Após alguns minutos, a AWS concluirá o provisionamento da conexão VPN e sua IPSec VPN entre a AWS e a OCI será ativada.
  5. Nesse ponto, você pode excluir o gateway de cliente temporário.

Validar a Conectividade

Navegue até sua conexão IPSec no OCI e as conexões VPN Site a Site no AWS para verificar o status do túnel.

  • O túnel do OCI na conexão IPSec exibe o status Ativo para IPSec para confirmar um túnel operacional.
  • O IPv4 Status do BGP também exibe Ativo, indicando uma sessão BGP estabelecida.
  • O status do túnel na guia Detalhes do Túnel para sua conexão VPN Site a Site no AWS exibe Ativo.

Instalar o Management Gateway e o Agent

Consulte "Upload seguro de dados de observabilidade on-premises usando o Management Gateway" para saber mais sobre a arquitetura para instalar o Agente e o gateway em um ambiente VPN Site a Site (consulte "Explore mais").

Instale o Management Gateway

Em seguida, você precisa instalar o Management Gateway. O Management Gateway deve ser capaz de se comunicar com os Serviços do OCI por meio do túnel IPSec VPN, não por meio da sub-rede pública. Como esta tarefa está além do escopo deste documento, consulte "Instalação do Management Gateway" para obter etapas detalhadas (consulte "Explorar Mais").

Instale o Management Agent

Primeiro, você precisa instalar o Management Agent. Como esta tarefa está além do escopo deste documento, você pode consultar "Instalação do Agente de Gerenciamento" para obter etapas detalhadas (consulte "Explorar Mais").

Implantar Plug-ins de Serviço

Os Management Agents permitem implantar plug-ins de serviço para diferentes serviços do OCI. Os plug-ins de serviço podem ser implantados em agentes de gerenciamento que permitem executar tarefas para esses serviços. Qualquer agente de gerenciamento pode ter vários plug-ins de serviço.

Implemente os seguintes plug-ins no agente de gerenciamento.

  • Gerenciamento de Banco de Dados e Insights de Operações
  • Serviço Logging Analytics
  • Serviço Host do Ops Insights
  • Stack Monitoring

Implantar um Plug-in de Serviço no Agente

Use esse método quando o Management Agent já estiver instalado, conforme descrito em Instalar Management Agents.

Para implantar um plug-in, faça o seguinte:
  1. No menu esquerdo, clique em Agentes para abrir a página Agentes.
  2. Na lista Agentes, clique no agente desejado no qual deseja implantar o plug-in. A página Detalhes do agente é exibida.
  3. Clique em Implantar Plug-ins. A janela Implantar Plug-ins é exibida. Selecione o plug-in e clique em Atualizar. O plug-in selecionado será implantado no agente desejado.
  4. Verifique o status do agente e dos plug-ins na home page do Agente.