注：

此教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure Free Tier 。
它使用 Oracle Cloud Infrastructure 身份证明、租户和区间示例值。完成实验室时，请将这些值替换为特定于云环境的那些值。

使用网络虚拟机保护 Oracle Cloud Infrastructure 与 Microsoft Azure 之间的通信

简介

为了创建集成的多云体验，Microsoft 和 Oracle 在 Microsoft Azure 与 Oracle Cloud Infrastructure (OCI) 之间通过 Microsoft Azure ExpressRoute 和 OCI FastConnect 提供直接的互连。Microsoft Azure ExpressRoute 和 OCI FastConnect 互连在两个云之间提供低延迟、高吞吐量和专用直接连接。

您可以使用本分步指南中提供的说明，在 Microsoft Azure 与 Oracle Cloud Infrastructure 之间设置互连连接。互连启动后，您需要将虚拟网络连接到 ExpressRoute。

本教程概述了如何使用 VNET Gateway 扩展互连连接并部署 Microsoft Azure Firewall 和 OCI 网络防火墙以保护您的通信。您将在 Hub 和 Spoke 体系结构中为您的用例部署防火墙，此用例应适用于各个 CSP 上所有受支持的网络虚拟设备合作伙伴。

您可以按照本文档详细了解网络虚拟设备体系结构建议。

目标

通过 OCI-Microsoft Azure 互连网络连接，使用 Oracle Cloud Infrastructure 与 Microsoft Azure 环境之间的网络防火墙设备保护您的流量。我们在 OCI 中的 Microsoft Azure 和 OCI 网络防火墙中部署了 Microsoft Azure 防火墙环境。最后一步是验证 OCI/Microsoft Azure 区域之间的网络连接，并确保根据通过 OCI/Microsoft Azure 互连的防火墙路由功能通过防火墙验证流量。

先决条件

活动的 Microsoft Azure 订阅和活动的 OCI 租户。
靠近 OCI FastConnect 或位于同一对等连接位置的 Microsoft Azure ExpressRoute 对等连接位置。请参阅区域可用性。
已成功完成 Microsoft Azure 和 OCI 互连区域之间的直接连接。请参阅配置 ExpressRoute 和 FastConnect 之间的直接连接。
假定您熟悉网络和云服务，包括 OCI FastConnect 、 OCI 网络防火墙、Microsoft Azure Firewall 和 Microsoft Azure ExpressRoute 。
需要了解 OCI Microsoft Azure Interconnect 。

听众

本教程面向 Cloud Service 提供商专业人士和多云管理员。

体系结构

下面是解决方案的高级架构。

具有本机防火墙体系结构的 OCI Microsoft Azure 互连

如果您希望设置互连区域并使用 Hub 和 Spoke 体系结构中的网络虚拟设备保护流量，可以参考此体系结构。

任务 1：在 Microsoft Azure 上创建虚拟网络和子网

登录 Microsoft Azure Portal 。
在屏幕左上方，选择创建资源、网络、虚拟网络或在搜索框中搜索虚拟网络。
在创建虚拟网络中，在基本选项卡中输入或选择此信息：

项目详细资料
- 订阅：选择您的 Azure 订阅。
- 资源组：选择新建，输入 resource-group-name ，然后选择“确定”，或根据参数选择现有 resource-group-name 。
实例详细信息
- 名称：输入 virtual-network-name 。
- 区域：选择 region-name 。
选择 IP Addresses 选项卡或选择页面末尾的 Next：IP Addresses 按钮。
在 IP 地址选项卡中，输入以下信息：
- IPv4 地址空间：输入 ipv4-address-range ；示例：Hub VNET：10.40.0.0/16 表示美国东部区域，Spoke VNET：10.30.0.0/16 表示美国东部区域。
在子网名称下，选择单词 default 。
在编辑子网中，输入以下信息：
- 子网名称：输入 subnet-name 。
- 子网地址范围：输入 subnet-address-range 示例：对于 Hub VNET，计算子网：10.40.3.0/24；对于 Spoke VNET，计算子网：10.30.1.0/24。
选择保存。
选择审核 + 创建选项卡，或选择审核 + 创建按钮。
选择创建。

对 Hub 和 Spoke VNets 重复 Steps 1-9 ，然后转至下一部分以创建 Microsoft Azure 防火墙子网。

任务 2：创建 Microsoft Azure 防火墙子网

按照分步指南，使用以下最小参数创建防火墙子网。

firewall-subnet-name ：必须填写 AzureFirewallSubnet 名称。
subnet-address-range ：输入防火墙子网地址范围；示例：Hub VNET 中的 10.40.1.0/24。

转至下一部分以创建网关子网和虚拟网络网关。

任务 3：在 Microsoft Azure 上创建网关子网和虚拟网络网关

您可以按照分步指南使用下表中介绍的最小参数创建网关子网和虚拟网络网关。

网关子网参数

参数	值
网关 - 子网名称	自动填充 GatwaySubnet 名称。
子网地址范围	输入网关子网地址范围；示例：Hub VNET 中的 10.40.0.0/24

VNET 网关参数：

设置	值
项目详细资料
订阅	选择您的 Microsoft Azure 订阅
资源组	这将在您的 VNET 选择中自动选择。
网关详细信息
名称	输入 gateway-name
区域	选择已创建 VNET 的美国东部或区域
网关类型	选择 ExpressRoute
SKU	从下拉列表中选择网关 SKU
虚拟网络	选择先前在您的区域内创建的 VNET。
公共 IP 地址
公共 IP 地址	选择“Create new（新建）”。
公共 IP 地址名称	输入公共 IP 地址的名称。

在 Microsoft Azure 区域中创建所需资源后，转到下一部分以部署 Microsoft Azure 防火墙。

任务 4：在 Microsoft Azure 上的 Hub 虚拟网络中部署 Microsoft Azure 防火墙

您可以按照分步指南在 Hub VNET 中使用下表中描述的最小参数部署 Microsoft Azure 防火墙。

参数	值
订阅	选择您的订阅。
资源组	选择 your-resource-group 。选择在预申请步骤期间必须创建的资源组。
固有名词	输入 firewall-name
防火墙 - 斯库	从提供的选项中选择防火墙 SKU
防火墙策略	单击“新建”并创建新的防火墙策略。
select-a-virtual-network	选择之前创建的虚拟网络

public-ip-address	选择或创建新公共 IP

继续下一部分，将您的 ExpressRoute 线路连接到虚拟网络网关。

任务 5：通过 Microsoft Azure 上的连接将 ExpressRoute 线路连接到虚拟网络网关

您可以按照分步指南使用下表中介绍的最小参数创建 ExpressRoute 连接。

参数	值
订阅	选择您的订阅。
资源组	选择 your-resource-group 。选择在预申请步骤期间必须创建的资源组。
连接类型	选择 ExpressRoute
名称	输入 connection-name
区域	选择已创建 VNET Gateway 的美国东部或区域。
虚拟网络网关	选择之前创建的 VNET 网关。
高速线路	选择在先决条件步骤中创建的 ExpressRoute 线路。

在两个 Microsoft Azure 区域中创建必需的连接后，转到下一部分为 VNets 中的子网创建用户定义的路由表。

任务 6：在 Microsoft Azure 上创建用户定义的路由

您可以按照分步指南，使用下表中介绍的最小参数创建到每个子网关联表的用户定义路由。

配置网关子网的路由表条目

参数	值
路由名称	输入路由名称
地址前缀目标	输入目标前缀。示例：Hub 计算子网：10.40.3.0/24，Spoke 计算子网：10.30.1.0/24
子类型	选择 "Virtual Appliance"（虚拟设备）。
下一个跃点地址	输入下一个跃点地址作为防火墙的专用 IP 示例：10.40.1.4

确保您具有所需的条目并将该路由表关联到 Hub VNet 的网关子网。

在 Hub VNet 路由表条目中配置计算子网

参数	值
路由名称	输入路由名称
地址前缀目标	输入目标前缀；示例：OCI Hub 计算子网：10.10.0.0/24，OCI Spoke 计算子网：10.20.0.0/24，Microsoft Azure Spoke 子网：10.30.1.0/24，Microsoft Azure Hub VNET：10.40.0.0/16
子类型	选择 "Virtual Appliance"（虚拟设备）。
下一个跃点地址	输入下一个跃点地址作为防火墙的专用 IP 示例：10.40.1.4

确保您具有必需的条目并将此路由表关联到 Hub VNet 的计算子网。

在 Spoke VNet 路由表条目中配置计算子网

参数	值
路由名称	输入路由名称
地址前缀目标	输入目标前缀；示例：OCI Hub 计算子网：10.10.0.0/24，OCI Spoke 计算子网：10.20.0.0/24，Microsoft Azure Hub 计算子网：10.40.3.0/24
子类型	选择 "Virtual Appliance"（虚拟设备）。
下一个跃点地址	输入下一个跃点地址作为防火墙的专用 IP 示例：10.40.1.4

确保您具有必需的条目并将此路由表关联到 Spoke VNet 的计算子网。

创建所需的路由后，转到下一部分以创建虚拟机来验证 Microsoft Azure 与 OCI 之间的流量。

任务 7：在 Microsoft Azure 上创建用户定义的路由

在此部分中，您将创建虚拟机来验证从 Microsoft Azure 到 Oracle Cloud Infrastructure 的连接。

在 Microsoft Azure 门户中屏幕左上方，选择创建资源、计算、虚拟机。

在创建虚拟机 - 基本信息中，输入或选择此信息。

设置	值
项目详细信息
订阅	选择您的订阅。
资源组	选择 your-resource-group 。选择在先决条件步骤期间必须创建的资源组。
实例详细信息
虚拟机名称	输入 vm-name 。
区域	选择要部署的 (US) East US 或 Region 。
可用性选项	保留默认设置无需基础设施冗余。
图像	选择 Ubuntu Server 18.04 LTS - Gen1。
大小	选择 Standard_B2s 。
管理员帐户
验证类型	选择口令。您还可以选择基于 SSH 的验证并根据需要更新所需值。
用户名	输入您选择的用户名。
密码	输入所选的口令。密码长度必须至少为 12 个字符，并且符合定义的复杂性要求。
确认密码	重新输入口令。
入站端口规则
公共入站端口	选择无。

选择 Next：Disks 。
在 Create a virtual machine - Disks 中，保留默认值并选择 Next：Networking 。

在 Create a virtual machine - Networking 中，选择此信息。

设置	值
虚拟网络	选择 virtual-network 。
子网	选择 compute-subnet ，例如：Hub VNet 中的 10.40.3.0/24，Spoke VNet 中的 10.30.1/24
公共 IP	保留缺省值（新值） my-vm-ip 。
公共入站端口	选择允许所选端口。
选择传入端口	选择 SSH 。

选择复查 + 创建。您将转到 Review + create 页，Microsoft Azure 将在其中验证您的配置。
当您看到验证传递的消息时，选择创建。

对 Spoke 和 Hub VNet VM 重复步骤 1-7 ，然后转到下一部分在 Oracle Cloud Infrastructure 上创建所需资源。

任务 8：在 Oracle Cloud Infrastructure 上创建资源

在此部分中，您将创建所需资源来支持从互连区域中的 OCI 控制台进行验证。在 OCI 控制台中，在每个区域中创建以下资源。

创建具有计算子网的 Hub 虚拟云网络。
在 Hub VCN 中创建所需的管理和流量子网。
在 Hub VCN 中部署 OCI 网络防火墙。
创建具有计算子网的 Spoke 虚拟云网络。
为在具有 OCI/Microsoft Azure 互连虚拟线路的先决条件中创建的 DRG 创建中心 VCN 连接。
创建到创建的 DRG 的 Spoke VCN 附件，并将入站路由扩展到 OCI 网络防火墙。
在 Hub 和 Spoke VCN 的计算子网中创建虚拟机，并更新所需的路由/安全列表以连接到 Microsoft Azure VNET。
通过 DRG 扩展到 Microsoft Azure VNET 的虚拟云网络连接。您可以按照此分步指南进行操作。
参加此分步研讨会，在 Hub 与 Spoke 架构中在 OCI 上部署 OCI 网络防火墙。
按照分步指南创建 VM 并完成所需的虚拟云网络/子网工作。
按照分步指南，通过 DRG 在 OCI 区域之间建立区域对等连接。

任务 9：验证 OCI/Microsoft Azure 互连中的流量

在本部分中，您将同时连接到云提供商的 Linux VM 并执行试通测试来检查连接。

使用您的终端连接到两个云提供商的 Linux VM。
从 Microsoft Azure VM 启动 ICMP RTT 到 OCI VM，反之亦然。

这将确保网络连接。
下表显示了基于共享网络拓扑执行的连接测试，反映了您可以从 Hub 和 Spoke 的 Microsoft Azure 环境访问 Hub 和 Spoke 的 OCI。

您还可以监视虚拟设备中可用的防火墙日志中的流量。

流量验证	SRIOV/加速网络	ICMP RTT （毫秒）
OCI Hub VM 到 Microsoft Azure Hub VM；10.10.1.168 > 10.40.3.4	是的	3.9
OCI Hub VM 到 Microsoft Azure Spoke VM；10.10.1.168 > 10.30.1.4	是的	4.5
OCI Hub VM 到 OCI Spoke VM；10.10.1.168 > 10.20.0.190	是的	0.75
OCI Spoke VM 到 Microsoft Azure Hub VM；10.20.0.190 > 10.40.3.4	是的	4.52
OCI Spoke VM 到 Microsoft Azure Spoke VM；10.20.0.190 > 10.30.1.4	是的	5.33
OCI 将 VM 激活到 OCI Hub VM；10.20.0.190 > 10.10.0.168	是的	0.64
Microsoft Azure Hub VM 到 Microsoft Azure Spoke VM；10.40.3.4 > 10.30.1.4	是的	4.35
Microsoft Azure Hub VM 到 OCI Hub VM；10.40.3.4 > 10.10.0.168	是的	4.46
Microsoft Azure Hub VM 到 OCI Spoke VM；10.40.3.4 > 10.20.0.190	是的	4.68
Microsoft Azure Spoke VM 到 Microsoft Azure Hub VM；10.30.1.4 > 10.40.3.4	是的	4.72
Microsoft Azure 将 VM Spoke 到 OCI Hub VM；10.30.1.4 > 10.10.0.168	是的	4.24
Microsoft Azure 将 VM 转换为 OCI Spoke VM；10.30.1.4 > 10.20.0.190	是的	4.43

Microsoft Azure 与 OCI 之间的 ICMP RTT 反映了 OCI 和 Microsoft Azure 区域之间建立的连接，这些区域使用互连和流量通过本机防火墙服务，并符合我们的网络拓扑。

注：上表将 ICMP RTT 反映为参考点，该参考点可能会因区域和用例体系结构而异。建议执行 POC。

您可以在以下位置找到有关区域之间 Microsoft Azure 延迟的更多信息：Microsoft Learn：Microsoft Azure 网络往返延迟统计信息

有关如何测试虚拟机延迟的详细信息，请参阅：Microsoft Learn：Test Microsoft Azure 虚拟网络中的 Microsoft Azure 虚拟机网络延迟

任务 10：清除资源

使用资源完成后，请删除资源组和关联的资源。

如果尚未完成，请删除互连链接。有关详细信息，请参见分步指南。
在门户顶部的“搜索”框中输入 your-resource-group-name ，然后从搜索结果中选择 your-resource-group-name 。
选择删除资源组。
为 TYPE THE RESOURCE GROUP NAME 输入 your-resource-group-name ，然后选择删除。
同样地删除 Oracle Cloud Infrastructure 中部署的资源。

确认

作者 - 解决方案架构师资深 Arun Poonia
贡献者 - 首席解决方案专家 Daniel Mauser 全球黑带 - Microsoft Azure Networking