注意：

• 本教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure 免费套餐。
• 它使用 Oracle Cloud Infrastructure 身份证明、租户和区间的示例值。完成实验室时，请将这些值替换为特定于云环境的值。

在两个租户及其动态路由网关之间设置 RPC 连接

简介

在多租户 Oracle Cloud Infrastructure (OCI) 环境中，在不同租户之间实现安全高效的通信对于混合和分布式网络架构至关重要。要实现此目的，一种方法是在两个租户及其相应的动态路由网关 (Dynamic Routing Gateways，DRG) 之间设置远程对等连接 (Remote Peering Connection，RPC)。

目标

• 在单独的 OCI 租户中配置两个 DRG 之间的 RPC，确保跨网络无缝连接。最后，您将拥有一个有效的 RPC 设置，允许租户之间安全地通信流，从而帮助您在 OCI 中构建强大的多租户架构。

Prerequisites

• 访问两个 OCI 租户：您需要两个 OCI 租户中的管理员或相应权限来配置网络组件。

• 两个租户中的 DRG：每个租户必须已创建 DRG 并将其连接到虚拟云网络 (VCN)。

• 区域兼容性： DRG 必须位于支持 RPC 的相同或不同的 OCI 商业区域。支持跨区域 RPC，但必须同时访问这两个区域。请求者需要订阅“接受者”区域。

• 公共或专用连接：决定是否允许通过专用 IP 进行通信，并确保计划正确的子网 CIDR 块以避免冲突。

• VCN 和路由配置：两个租户中的 VCN 应正确配置路由表和安全列表，以允许通过 RPC 进行通信。

• 跨租户对等互联策略：确保实施 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 策略，以允许跨不同 OCI 租户进行 DRG 对等互联。您可能需要为两个租户定义策略以建立信任。

任务 1：确定请求者和接受者租户

在 Oracle Cloud Infrastructure (OCI) 中，在设置跨云通信或资源共享时，就 OCI IAM 策略而言，定义哪个租户是请求方，哪个租户是接受方至关重要。这些角色由 OCI IAM 策略监管，这些策略定义用户、组和区间的权限。

通过在 OCI IAM 策略中明确定义请求者和接受者角色，您可以确保正确设置权限，以允许跨 OCI 租户和区间安全、受控地访问资源。这两个租户都需要协同工作，以确保授予适当的权限，并确保 OCI IAM 策略的设置遵循安全优秀实践。

• 请求方租户：请求方是 OCI 租户（或租户中的特定区间），它启动请求从其他 OCI 租户或区间访问资源。请求者的 OCI IAM 策略必须授予访问接受者资源的必要权限。例如，请求者可能需要创建允许其用户访问 Acceptor 租户中的资源的策略。

  请求者还必须确保为发出请求的用户或组分配正确的 OCI IAM 角色。

• 接受方租户：接受方是接收访问请求并向请求方授予必要权限的 OCI 租户（或区间）。Acceptor 的 OCI IAM 策略必须定义请求者可以执行哪些操作以及可以访问哪些资源。接受者的策略还应指定允许接受此类请求的用户或组，以确保访问得到安全管理。

  除了授予访问权限外，接受者还应配置 OCI IAM 策略来指定请求者有权执行的操作，以确保遵循适当的范围和最小权限原则。

下图显示了与 RPC 相互连接的两个租户的示例，其中其中一个租户被定义为请求者 (REQ)，另一个租户是接受者 (ACC)。

任务 2：将接受者区域订阅到请求者区域

在两个 OCI 租户之间设置 RPC 时，请求者需要订阅“接受者租户”区域，而接受者不需要订阅“请求者”区域。这是为什么：

为什么请求者需要订阅接受者租户：

• 启动通信：请求者租户是通过向接受者租户发送请求来启动 RPC 的实体。为了允许这种通信，请求者需要订阅接受者，这使得它能够识别并连接到接受者的网络和服务。

• 建立信任和连接：通过订阅接受方租户，请求方租户将建立必要的信任和连接，以便与接受方的环境进行交互。订阅可确保请求者可以通过对等连接将流量和请求正确路由到接受者的服务。

为什么接受方不需要订阅请求方租户：

• 接受者的被动角色：接受者租户仅接收来自请求者租户的请求；它不启动任何通信。由于接受方仅响应请求方发出的请求，因此不需要订阅请求方。它只是需要被访问和配置来处理传入的请求。

• 单向通信： RPC 通常使用单向通信流进行设置，请求者是发起者。接受者不需要订阅请求者租户，因为它不需要启动或管理传出连接。

总之，请求者必须订阅接受者以启动 RPC 并建立连接，而接受者只需要配置为响应请求，并且不需要订阅请求者租户。

在下图中，您将看到请求者 OCI 控制台的示例。请注意，申请人已订阅“接受者”区域。

在下图中，您将看到 Acceptors OCI 控制台的示例。请注意，“接受者”未订阅“请求者”区域。

任务 3：收集所需的参数

收集为请求方和接受方创建 OCI IAM 策略所需的参数。下表显示了在 OCI 中设置远程过程调用访问时，接受者和请求者租户的 OCI IAM 策略中所需的字段：

需要信息	请求者租户	承租人
租户 OCID	X	X
组名	X
组 OCID	X
区间名称	X	X

在创建 OCI IAM 策略之前，请确保从双方收集此信息。

任务 4：在请求者和接受者端创建和配置 OCI IAM 策略

官方 OCI IAM 策略文档可用于 RPC 工作，请参阅使用升级的 DRG 进行远程对等连接。

查看策略时，您会发现，在请求者的 OCI IAM 策略中，需要接受者提供某些信息；对于接受者 OCI IAM 策略，需要请求者提供一些信息。这使得创建策略有时会令人困惑，如果策略不正确，RPC 将不会出现，故障排除将非常困难。

为了解决此问题，我们创建了 RPC IAM 策略工具。有更多的 RPC 网络架构可用，但只有当您尝试在两个不同的 OCI 租户之间创建 RPC（每个租户都有自己的 DRG）时，才能使用 RPC IAM 策略工具。

在下图中，您将看到 RPC IAM 策略工具将为您提供插入所有必需详细信息的格式。该表单将要求您提供实际所需的更多信息，但最好在接受者和请求者端开始配置 RPC 和 OCI IAM 策略之前将所有信息集中在一个位置。

请求者信息和参数标有红色，接受者信息和参数标有蓝色。

下图显示了所有已填写信息的示例。输入所有必填字段，然后单击提交。

该工具将生成以下信息：

• 包含用于将事物放入透视图的参数的图表。
• 包含您使用的所有参数的表（因此您可以截屏此参数，或将此参数复制粘贴到附注中以供以后参考）。
• 请求者的 OCI IAM 策略。
• 接受者的 OCI IAM 策略。

任务 4.1：在请求方端创建和配置 OCI IAM 策略

1. 登录 OCI 控制台，导航到身份和安全，然后单击策略。

2. 确保选择根区间并单击创建策略。

   

3. 输入以下信息，然后单击 Create 。

   • 输入策略的名称和说明。
   • 选择 Show manual editor（显示手动编辑器）。
   • 将请求方的策略语句复制/粘贴到策略中。

   

   创建策略时，您将看到配置的策略语句。

   

   返回到策略概览页时，您将看到配置的策略。

   

任务 4.2：在接受方创建和配置 OCI IAM 策略

1. 登录 OCI 控制台，导航到身份和安全，然后单击策略。

2. 确保选择根区间并单击创建策略。

   

3. 输入以下信息，然后单击 Create 。

   • 输入策略的名称和说明。
   • 选择 Show manual editor（显示手动编辑器）。
   • 将“接受者”端的策略语句复制/粘贴到策略中。

   

   创建策略时，您将看到配置的策略语句。

   

   返回到策略概览时，您将看到已配置的策略。

   

任务 5：在请求者和接受者端的 DRG 上配置 DRG 附加

我们需要在请求方和接受方创建 RPC。

任务 5.1：在请求方端创建 RPC

1. 转到 OCI 控制台，导航到网络，然后单击动态路由网关。

2. 单击远程对等连接连接附加和创建远程对等连接。

   

3. 输入 name 并单击 Create remote peering connection（创建远程对等连接）。

   

任务 5.2：在接受方创建 RPC

1. 转到 OCI 控制台，导航到网络，然后单击动态路由网关。

2. 单击远程对等互联连接附件和创建远程对等互联连接。

   

3. 输入 name 并单击 Create remote peering connection（创建远程对等连接）。

   

4. 从 Acceptor 端收集 RPC OCID，因为我们需要使用此 OCID 从 Requestor 端建立 RPC 连接。

   

任务 6：从请求方端建立连接

1. 从请求方端转至 OCI 控制台，导航到网络、动态路由网关，然后单击远程对等连接连接附件。

2. 单击在任务 5 中创建的远程对等连接（为 Acceptor 端配置）。

3. 单击建立连接。

   

4. 输入以下信息，然后单击 Establish connection 。

   • 选择接受者的区域。
   • 粘贴在任务 5 中收集的 RPC OCID 。

   

   如果请求者订阅了“接受者”区域，并且配置了正确的 OCI IAM 策略，并且正确的 RPC OCI，则对等连接状态应在请求者端更改为“已引导”。

   

   您可以单击 RPC 查看对等连接的其他信息。

   • 请注意，对等状态为“已引导”。
   • 请注意，对等区域为 Jeddah 。
   • 请注意，这是跨租户对等连接。

   

5. 我们还可以在 Acceptor 端验证对等连接状态。

   1. 从 Acceptor 端转至 OCI 控制台，导航到网络、动态路由网关，然后单击远程对等连接连接附件。

   2. 单击为请求方端配置的远程对等连接。

   3. 请注意，在 Acceptor 端，对等连接状态也设置为 Peered 。

   

   您可以单击 RPC 查看对等连接的其他信息。

   • 请注意，对等状态为已对等。
   • 请注意，对等区域为 Riyadh 。
   • 请注意，这是跨租户对等连接。

   

任务 7：设计具有三个或更多租户的 RPC 体系结构

也可以在两个以上的站点或租户之间创建 RPC 连接。

• 在下图中，您可以看到我们使用了三个不同的租户：

  • OCI 利雅得（请求者）
  • OCI Jeddah（接受方）
  • OCI 迪拜（接受方）

  在这个例子中，利雅得将是某种中心站点，它将作为两个接受者的请求者。

  

• 在下图中，您可以看到我们使用了三个不同的租户：

  • OCI 利雅得（请求者）
  • OCI Jeddah（请求者 + 接受者）
  • OCI 迪拜（接受方）

  在这个例子中，利雅得将担任吉达请求者，吉达将担任迪拜请求者。

  

• 在下图中，您可以看到我们使用了三个不同的租户：

  • OCI 利雅得（请求者 + 接受者）
  • OCI Jeddah（接受方）
  • OCI 迪拜（请求者）

  在这个例子中，利雅得将担任吉达请求者和迪拜接受者。

  

小结

在两个 OCI 租户之间设置 RPC 需要仔细规划、精确配置和正确的 OCI IAM 策略。通过遵循此分步教程，您已成功在不同租户中的两个 DRG 之间建立安全且功能的 RPC。此连接支持跨网络无缝通信，这是构建可扩展和多租户 OCI 架构的关键组件。

为了简化流程并消除潜在的策略错误， RPC IAM 策略工具提供了一种简单的方法来为请求者和接受者租户生成所需的 OCI IAM 策略。确保您的策略、DRG 附加和区域订阅配置正确，这将确保平稳的对等连接设置。

除了基本的 RPC 配置外，通过设计具有三个或更多租户的多租户架构，为您的 OCI 网络增加了更高的灵活性和可扩展性。了解每个租户（无论是作为请求者还是接受者，还是两者）的角色，都可以帮助您构建强大的互联环境，从而高效地支持混合和分布式工作负载。

通过利用 OCI 的网络功能，您可以创建安全、可扩展、高性能的跨租户架构，并与企业网络优秀实践保持一致。如果您遇到问题，重新访问 OCI IAM 策略和 DRG 配置是故障排除的第一步。

凭借这些知识，您现在已具备在 Oracle Cloud Infrastructure 中建立和扩展 RPC 连接的能力，可满足组织的网络需求。

确认

• 作者 -Iwan Hoogendoorn（OCI 网络专家）

更多学习资源

通过 docs.oracle.com/learn 浏览其他实验室，或者通过 Oracle Learning YouTube 频道访问更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Set up RPC Connection between Two Tenants and their Dynamic Routing Gateways

G30594-03

Copyright ©2025,2026,

Oracle 和/或其关联公司。