注意：

• 本教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure 免费套餐。
• 它对 Oracle Cloud Infrastructure 身份证明、租户和区间使用示例值。完成实验室后，请使用特定于云环境的那些值替换这些值。

在 Oracle Cloud Infrastructure 上为跨多个区域的远程访问设置 OpenVPN

简介

随着远程工作和云采用的增加，安全访问公司资源变得越来越重要。远程访问 VPN 允许用户从任何地方连接到其组织的网络，加密所有数据以保护其免受未经授权的访问。无论是在远程办公室、家中还是在旅途中工作，VPN 都能确保连接保持私密和安全。

在本教程系列中，我们将带您逐步完成构建以下映像中概述的体系结构的过程。

目标

• 配置 OpenVPN Access Server 以远程访问 DR 区域中的新 VCN。

• 配置所需的 OCI 路由和安全性，以访问 DR 区域（蒙特利尔）中的目标虚拟机 (VM)，我们将使用远程对等连接 (Remote Peering Connection，RPC) 连接到多伦多。

• 测试对目标 VM 的访问。

教程第二部分的最终体系结构

您将继续执行教程 1 中的最后一个任务：在 Oracle Cloud Infrastructure 上的单个区域中为远程访问设置 OpenVPN 并完成以下环境的构建。

先决条件

• 访问 OCI 租户以及管理所需网络和计算服务的权限。

• 对 VPN 的基本理解。

• 基本了解 OCI 网络路由和安全及其功能：虚拟云网络 (VCN)、路由表、动态路由网关 (DRG) 和安全列表。

• 完整的教程 1：在 Oracle Cloud Infrastructure 上的单个区域中为远程访问设置 OpenVPN ，您应该已在其中构建了以下体系结构。

  

任务 1：创建动态路由网关 (DRG)

• 单击左上角的汉堡菜单（≡）。

  

  1. 单击 Networking 。
  2. 单击动态路由网关。

  

• 单击创建动态路由网关。

  

  1. 输入 DRG 的名称。
  2. 单击创建动态路由网关。

  

• 已成功创建 DRG。

  

• 我们将每个任务结束时预配的每个组件添加到体系结构中。因此，您可以看到到目前为止的环境如何。

  

任务 2：在主区域与 DR 区域之间建立远程对等连接 (Remote Peering Connection，RPC)

远程对等连接 (Remote Peering Connection，RPC) 使不同区域的虚拟云网络 (Virtual Cloud Network，VCN) 可以通过各自的 DRG 进行私密通信。在本任务中，我们将在每个 DRG 中创建一个 RPC 以建立连接，从而允许两个区域中的 VCN 之间建立无缝的专用连接。

• 转到教程 1 中创建的主区域（多伦多）中的 DRG-1 。

  1. 单击 Remote peering connection attachments 。
  2. 单击创建远程对等连接。

  

  1. 输入 RPC 的名称。
  2. 单击创建远程对等连接。

  

• 已成功创建 RPC 附件。

  

• 单击 RPC 名称。

  

  1. 请注意，状态为新建（未对等），在蒙特利尔地区创建其他 RPC 并建立连接后，我们将看到状态为对等。
  2. 将 RPC OCID 复制到文本文件中，我们将在接下来的几个步骤中建立连接时使用它。

  

• 转到在任务 1 中创建的蒙特利尔地区的 DRG-2。

  1. 单击 Remote peering connection attachments 。
  2. 单击创建远程对等连接。

  

  1. 输入 RPC 的名称。
  2. 单击创建远程对等连接。

  

• 已成功创建 RPC 附件。

  

• 单击 RPC 名称，因为我们将与 RPC-1 建立连接。

  

  1. 请注意，状态为新建（未对等）。
  2. 单击建立连接。

  

• 请注意，我们可以从任一区域建立连接。在这里，我们将从 DR 区域（蒙特利尔）执行此操作。

  1. 选择 ca-toronto-1 作为区域。
  2. 在远程对等连接 OCID 中，粘贴上一步中复制的 RPC-1 OCID。
  3. 单击建立连接。

  

• 状态为暂挂。

  

• 已成功建立连接。您可以看到状态现在为已对等连接。

  

• 您将在多伦多区域看到相同的对等状态。

  

• 当前的环境应该是这样的。

  

任务 3：设置 Spoke 虚拟云网络 (VCN)

任务 3.1：创建 VCN

• 单击左上角的汉堡菜单（≡）。

  

  1. 单击 Networking 。
  2. 单击虚拟云网络。

  

• 单击 创建 VCN 。

  

  1. 输入 VCN 的名称。
  2. 输入 10.2.0.0/24 作为 IPv4 CIDR 块。
  3. 单击 创建 VCN 。

  

• 已成功创建 Spoke-VCN-2 VCN。

  

任务 3.2：将 VCN 附加到 DRG

• 转至 VCN 详细信息页面。

  1. 单击 Dynamic Routing Gateways Attachments（动态路由网关附加）。
  2. 单击 Create DRG Attachment 。

  

  1. 输入附件的名称。
  2. 选择当前租户作为 DRG 位置。
  3. 选择在任务 1 中创建的 DRG 。
  4. 单击 Create DRG Attachment 。

  

• VCN 已成功连接到 DRG。

  

任务 3.3：创建专用子网

• 在 VCN 详细信息页中，单击创建子网。

  

  1. 输入子网的名称。
  2. 选择区域作为子网类型。
  3. 输入 10.2.0.0/27 作为 IPv4 CIDR 块。

  

  1. 在路由表中选择默认路由表。
  2. 选择专用子网作为子网访问。

  

  1. 在 Security List（安全列表）中选择 Default Security List（默认安全列表）。
  2. 单击创建子网。

  

• 已成功创建专用子网。

  

任务 3.4：在子网上配置路由和安全

• 转到 VCN 详细信息页面，然后单击专用子网。

  

• 单击指定路由表的路由表。

  

• 确保添加以下规则。

  • 192.168.0.0/24-DRG：将通信路由到 Hub-Public-Subnet ，其中包含 OpenVPN Access Server 到 DRG。

  

• 在完成 Spoke-VCN-2 子网的路由部分后，现在让我们执行安全性操作。转到 Subnet Details（子网详细信息）页面，然后单击分配的安全列表。

  

• 确保允许入站流量。

  • 从 Hub-Public-Subnet （ICMP，类型 8）回显请求（ping 通信）。这是最后的测试。

  

• 确保允许所有出站流量。

  

• 当前的环境应该是这样的。

  

任务 4：预配测试 VM (Target-Instance-2)

• 我们在教程 1 中生成了一个 SSH 密钥对，您可以在创建 Target-Instance-2 时使用相同的公共密钥。

  注：我们不会使用 SSH 访问实例，我们只会对其进行 ping 操作，因此您只需为本教程选择无 SSH 密钥即可。如果需要 SSH 访问，请按照此链接中的步骤生成密钥 Task 3.1：Generate SSH Key Pair with PuTTY Key Generator

• 单击左上角的汉堡菜单（≡）。

  

  1. 单击计算。
  2. 单击实例。

  

• 单击创建实例。

  

• 输入实例名称。

  

• 将 Image and Shape 设置保留为默认设置。

  

• 在主网络中，输入以下信息。

  1. 选择 Spoke-VCN-2 。
  2. 选择专用子网。

  

  1. 选择 Manually assign private IPv4 address 。
  2. 输入实例 10.2.0.30 的专用 IPv4 地址。

  

  1. 粘贴公钥。
  2. 单击创建。

  

• 已成功创建 Target-Instance-2 计算实例。

  

• 当前的环境应该是这样的。

  

任务 5：在 Hub-VCN 上配置路由

• 转到 VCN 详细信息页面，然后单击公共子网。

  

• 单击指定路由表的路由表。

  

• 确保添加以下规则。

  • 10.2.0.0/27-DRG：将流量路由到蒙特利尔区域的 Spoke-Private-Subnet ，蒙特利尔区域具有第二个目标测试实例到 DRG。

  

• 我们已经有一个允许所有流量的默认出站安全规则。

任务 6：在 OpenVPN 上配置对 Spoke-VCN-2 VCN 的远程访问

• 打开浏览器标签页。

  1. 访问以下 URL：https://<publicip>/admin，确保将 <publicip> 替换为您创建的 OpenVPN 实例的公共 IP 地址。
  2. 单击高级。
  3. 单击继续。

  

  1. 输入 openvpn 作为用户名。
  2. 输入口令。
  3. 单击登录。

  

  1. 单击配置。
  2. 单击 VPN 设置。
  3. 在路由下，添加我们计划通过 VPN 访问的 Spoke-VCN-2 (10.2.0.0/27) 的专用子网。
  4. 单击保存设置。

  

• 单击更新正在运行的服务器。

  

任务 7：测试和验证

• 下图显示了我们想要实现的测试场景。

  

• 我们将在教程 1 中使用您在 PC 上安装和配置的 OpenVPN Connect：在 Oracle Cloud Infrastructure 的单个区域中为远程访问设置 OpenVPN 。

• 打开 OpenVPN Connect，然后连接到您已创建的配置文件。

  

  1. 您现在已连接。
  2. 请注意，通过 VPN 连接时，您将断开 Internet 连接。

  

• Ping Target-Instance-2 (10.2.0.30)。正如你所看到的，测试是成功的。

  

• 如果您检查分支子网日志，则可以查看从 OpenVPN (192.168.0.2) 到 Target-Instance-2 (10.2.0.30) 的流量以及发送回的响应。

  

小结

在本教程系列中，您将了解如何部署和配置 OpenVPN 以远程访问 OCI 资源，无论您是在远程办公室、家中还是在旅途中访问。我们介绍了如何设置 OpenVPN 以连接到与 OpenVPN 所在区域或不同区域中的资源。为必要的 OCI 配置提供了详细说明，包括启用从您的 PC 到 OpenVPN 公共服务器的通信，以及从那里到主区域或 DR 区域中的虚拟机的通信，我们还探索了关键 OCI 组件，同时执行此操作（例如 DRG）以及如何在区域之间利用它进行 RPC。

确认

• 作者 — Anas Abdallah（云网络专家）

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室，或者访问 Oracle Learning YouTube 渠道上的更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Set up OpenVPN for Remote Access Across Multiple Regions on Oracle Cloud Infrastructure

G27954-02

Copyright ©2025, Oracle and/or its affiliates.