注意：

• 本教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure 免费套餐。
• 它对 Oracle Cloud Infrastructure 身份证明、租户和区间使用示例值。完成实验室后，请使用特定于云环境的那些值替换这些值。

在两个租户及其动态路由网关之间设置 RPC 连接

简介

在多租户 Oracle Cloud Infrastructure (OCI) 环境中，实现不同租户之间安全高效的通信对于混合和分布式网络架构至关重要。实现这一点的一种方法是，在两个租户及其相应的动态路由网关 (Dynamic Routing Gateways，DRG) 之间设置远程对等连接 (Remote Peering Connection，RPC)。

目标

• 在单独的 OCI 租户中的两个 DRG 之间配置 RPC，确保网络之间的无缝连接。最后，您将设置一个有效的 RPC 设置来确保租户之间的安全流量，从而在 OCI 中构建强大的多租户架构。

先决条件

• 访问两个 OCI 租户：需要两个 OCI 租户中的管理员或相应权限才能配置网络组件。

• 两个租户中的 DRG：每个租户必须已经创建了一个 DRG 并将其连接到虚拟云网络 (Virtual Cloud Network，VCN)。

• 区域兼容性： DRG 必须位于支持 RPC 的相同或不同的 OCI 商业区域。支持跨区域 RPC，但两个区域都必须可访问。请求者需要订阅“接受者”区域。

• 公共或专用连接：决定是否允许通过专用 IP 进行通信，并确保规划正确的子网 CIDR 块以避免冲突。

• VCN 和路由配置：两个租户中的 VCN 均应正确配置路由表和安全列表，以允许通过 RPC 进行流量传输。

• 跨租户对等连接策略：确保实施 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 策略，允许跨不同 OCI 租户进行 DRG 对等连接。您可能需要为两个租户定义策略来建立信任。

任务 1：确定请求者和接受者租户

在 Oracle Cloud Infrastructure (OCI) 中，在设置跨云通信或资源共享时，必须根据 OCI IAM 策略定义哪个租户是请求者，哪个租户是接受者。这些角色受 OCI IAM 策略监管，这些策略为用户、组和区间定义权限。

通过在 OCI IAM 策略中明确定义请求者和接受者角色，您可以确保正确设置权限，以允许跨 OCI 租户和区间安全、受控地访问资源。这两个租户需要协同工作，以确保授予适当的权限，并确保以遵循安全优秀实践的方式设置 OCI IAM 策略。

• 请求者租户：请求者是 OCI 租户（或租户中的特定区间），它启动从其他 OCI 租户或区间访问资源的请求。请求者的 OCI IAM 策略必须授予访问 Acceptor 资源所需的权限。例如，请求者可能需要创建允许其用户访问接受器租户中资源的策略。

  请求者还必须确保将正确的 OCI IAM 角色分配给发出请求的用户或组。

• 接受者租户：接受者是接收访问请求的 OCI 租户（或区间），并向请求者授予必要的权限。Acceptor 的 OCI IAM 策略必须定义请求者可以执行哪些操作以及他们可以访问哪些资源。接受器的策略还应指定允许接受此类请求的用户或组，以确保访问得到安全管理。

  除了授予访问权限外，接受者还应配置 OCI IAM 策略来指定请求者有权执行的操作，确保遵循适当的范围和最小权限原则。

下图显示了两个与 RPC 相连的租户的示例，其中其中一个被定义为请求者 (Requestor，REQ)，另一个被定义为接受者 (Acceptor，ACC)。

任务 2：将接受者区域订阅请求者区域

在两个 OCI 租户之间设置 RPC 的背景下，请求者需要订阅“接受者”租户区域，而“接受者”不需要订阅“请求者”区域。以下是原因：

为什么需要将请求者订阅到接受者租户：

• 启动通信：请求者租户是通过向接受者租户发送请求来启动 RPC 的实体。为了允许这种通信，请求者需要订阅接受者，这使得它能够识别并连接到接受者的网络和服务。

• 建立信任和连接：通过订阅接受者租户，请求者租户可以建立必要的信任和连接来与接受者的环境进行交互。订阅可确保请求者可以通过对等连接将流量和请求正确路由到接受者的服务。

为什么不需要将接受者订阅到请求者租户：

• 接受者的被动角色：接受者租户仅接收来自请求者租户的请求；它不会启动任何通信。由于接受者仅响应请求者提出的请求，因此无需订阅请求者。它只需可访问和配置即可处理传入请求。

• 单向通信： RPC 通常使用单向通信流进行设置，其中请求者是启动器。Acceptor 不需要订阅请求者租户，因为它不需要启动或管理传出连接。

总之，请求者必须订阅接受者以启动 RPC 并建立连接，而接受者只需配置为响应请求，并且不需要订阅请求者租户。

在下图中，您将看到请求者 OCI 控制台的示例。请注意，请求者已订阅“接受者”区域。

在下图中，您将看到 Acceptors OCI 控制台的示例。请注意，接受者未订阅“请求者”区域。

任务 3：收集所需的参数

收集为请求者和接受方创建 OCI IAM 策略所需的参数。下表显示了在 OCI 中设置远程过程调用访问权限时 Acceptor 和请求者租户在 OCI IAM 策略中所需的字段：

需要信息	申请人租户	接受者租户
租户 OCID	X	X
组名	X
组 OCID	X
区间名称	X	X

在创建 OCI IAM 策略之前，请确保从双方收集此信息。

任务 4：在请求者和接受者端创建和配置 OCI IAM 策略

有关使 RPC 发挥作用的 OCI IAM 官方策略文档，请访问： Remote Peering with an Upgraded DRG 。

当您查看策略时，您会发现，在请求者的 OCI IAM 策略中，需要接受者提供某些信息；对于接受者 OCI IAM 策略，需要请求者提供一些信息。这使得创建策略有时会感到困惑，如果策略不正确，RPC 将不会出现，并且很难进行故障排除。

为了解决此问题，我们创建了 RPC IAM 策略工具。有更多的 RPC 网络体系结构可用，但仅当您尝试在每个租户都有自己的 DRG 的两个不同的 OCI 租户之间创建 RPC 时，才能使用 RPC IAM 策略工具。

在下图中，您将看到 RPC IAM Policy Tool 将提供用于插入所有必需详细信息的表单。该表单将要求提供实际需要的更多信息，但在接受者和请求者端开始配置 RPC 和 OCI IAM 策略之前，最好将所有信息集中在一个位置。

请求者信息和参数用红色标记，接受者信息和参数用蓝色标记。

下图显示了填充的所有信息的示例。输入所有必填字段，然后单击提交。

该工具将生成以下信息：

• 包含用于透视内容的参数的图表。
• 一个包含您使用的所有参数的表（因此您可以截图此内容，或者将此内容复制粘贴到附注中以供日后参考）。
• 请求者的 OCI IAM 策略。
• Acceptor 的 OCI IAM 策略。

任务 4.1：在请求方端创建和配置 OCI IAM 策略

1. 登录到 OCI 控制台，导航到身份与安全，然后单击策略。

2. 确保选择根区间，然后单击创建策略。

   

3. 输入以下信息，然后单击创建。

   • 输入策略的名称和说明。
   • 选择显示手动编辑器。
   • 将请求者端的策略语句复制/粘贴到策略中。

   

   创建策略时，您将看到已配置的策略语句。

   

   返回到策略概览页时，您将看到已配置的策略。

   

任务 4.2：在接受方端创建和配置 OCI IAM 策略

1. 登录到 OCI 控制台，导航到身份与安全，然后单击策略。

2. 确保选择根区间，然后单击创建策略。

   

3. 输入以下信息，然后单击创建。

   • 输入策略的名称和说明。
   • 选择显示手动编辑器。
   • 将请求者端的策略语句复制/粘贴到策略中。

   

   创建策略时，您将看到已配置的策略语句。

   

   返回到策略概览时，您将看到已配置的策略。

   

任务 5：在请求者和接受者端的 DRG 上配置 DRG 附加

我们需要在请求方和接受方方面面创建一个 RPC。

任务 5.1：在请求方端创建 RPC

1. 转到 OCI 控制台，导航到网络，然后单击动态路由网关。

2. 单击 Remote peering connection attachments（远程对等连接附加）和 Create remote peering connection（创建远程对等连接）。

   

3. 输入 name ，然后单击 Create remote peering connection（创建远程对等连接）。

   

任务 5.2：在接受器端创建 RPC

1. 转到 OCI 控制台，导航到网络，然后单击动态路由网关。

2. 单击 Remote peering connection attachments（远程对等连接附加）和 Create remote peering connection（创建远程对等连接）。

   

3. 输入 name ，然后单击 Create remote peering connection（创建远程对等连接）。

   

4. 从接受方端收集 RPC OCID，因为我们需要使用此 OCID 从请求方端建立 RPC 连接。

   

任务 6：从请求方端建立连接

1. 从请求方端转到 OCI 控制台，导航到网络、动态路由网关，然后单击远程对等连接附加。

2. 单击在任务 5 中创建的远程对等连接（为 Acceptor 端配置）。

3. 单击建立连接。

   

4. 输入以下信息，然后单击建立连接。

   • 选择接受器的区域。
   • 粘贴在任务 5 中收集的 RPC OCID 。

   

   如果请求者订阅了接受者区域，并且配置了正确的 OCI IAM 策略，并且配置了正确的 RPC OCI，则对等连接状态应更改为请求者端的对等连接。

   

   您可以单击 RPC 查看有关对等连接的其他信息。

   • 请注意，对等状态为对等。
   • 请注意，对等区域为 Jeddah 。
   • 请注意，这是跨租户对等连接。

   

5. 我们还可以在接受方端验证对等连接状态。

   1. 从 Acceptor 端转到 OCI 控制台，导航到网络、动态路由网关，然后单击远程对等连接附加。

   2. 单击为请求方配置的远程对等连接。

   3. 请注意，在接受方端，对等连接状态也设置为对等连接。

   

   您可以单击 RPC 查看有关对等连接的其他信息。

   • 请注意，对等状态为对等。
   • 请注意，对等区域为 Riyadh 。
   • 请注意，这是跨租户对等连接。

   

任务 7：设计具有三个或更多租户的 RPC 体系结构

还可以在两个以上的站点或租户之间创建 RPC 连接。

• 在下图中，您可以看到我们使用了三个不同的租户：

  • OCI 利雅得（请求者）
  • OCI Jeddah（接受者）
  • OCI Dubai（接受者）

  在此示例中，利雅得将是某种中心站点，它将充当两个接受器的请求者。

  

• 在下图中，您可以看到我们使用了三个不同的租户：

  • OCI 利雅得（请求者）
  • OCI Jeddah（请求者 + 接受者）
  • OCI Dubai（接受者）

  在本例中，利雅得将成为吉达的申请人，吉达将成为迪拜的申请人。

  

• 在下图中，您可以看到我们使用了三个不同的租户：

  • OCI Riyadh（请求者 + 接受者）
  • OCI Jeddah（接受者）
  • OCI Dubai（请求者）

  在此示例中，利雅得将成为吉达的申请者和迪拜的接受者。

  

小结

在两个 OCI 租户之间设置 RPC 需要仔细规划、精确配置和正确的 OCI IAM 策略。按照此分步教程，您已成功在单独的租户中的两个 DRG 之间建立了一个安全且功能强大的 RPC。此连接可实现网络之间的无缝通信，这是构建可扩展和多租户 OCI 架构的关键组件。

为了简化流程并消除潜在的策略错误， RPC IAM 策略工具提供了一种为请求者和接受者租户生成所需 OCI IAM 策略的简单方法。确保正确配置策略、DRG 附加和区域订阅可确保平滑的对等连接设置。

除了基本的 RPC 配置之外，使用三个或更多租户设计多租户架构还为 OCI 网络提供了更高的灵活性和可扩展性。了解每个租户（无论是作为请求者、接受者还是两者）的作用，使您能够构建可靠、互连的环境，从而高效地支持混合和分布式工作负载。

通过利用 OCI 的网络功能，您可以创建安全、可扩展、高性能的跨租户架构，并与企业网络优秀实践保持一致。如果您遇到问题，重新访问 OCI IAM 策略和 DRG 配置是进行故障排除的绝佳第一步。

借助这些知识，您现在可以在 Oracle Cloud Infrastructure 中建立和扩展 RPC 连接，以满足组织的网络需求。

确认

• 作者 — Iwan Hoogendoorn（OCI 网络专家）

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室，或者访问 Oracle Learning YouTube 渠道上的更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Set up RPC Connection between Two Tenants and their Dynamic Routing Gateways

G30594-02

Copyright ©2025, Oracle and/or its affiliates.