注意:

在两个 OCI 区域之间设置静态路由的 Oracle Cloud Infrastructure Site-to-Site VPN

简介

当您的应用、数据库或服务分布在不同的 Oracle Cloud Infrastructure (OCI) 区域或租户中时,在它们之间实现网络通信的首选方法是远程对等连接 (RPC) 对等连接。如果 RPC 对等连接不可行,则另一种方法是建立 OCI Site-to-Site VPN IPSec 连接。虽然 OCI 不支持使用动态路由网关 (DRG) 创建 OCI 站点到站点 VPN IPSec,但您可以一边配置定制 VPN 端点(例如 Libreswan),一边利用 DRG 实现此连接。

图像

图像

如果您需要在内部部署与 OCI 之间设置 OCI 站点到站点 VPN,并且不希望使用 DRG 作为虚拟专用网络 (VPN) 端点,而希望使用您自己的定制 VPN 端点,则还可以使用此方法。

目标

先决条件

任务 1:查看目标 OCI 区域(VCN、子网、DRG、VCN 附加和实例)

在此任务中,我们将检查我们准备了哪些内容以开始。

下图展示了到目前为止我们所创造的。

图像

任务 2:查看源 OCI 区域(VCN、公共子网、Internet 网关和实例)

下图展示了到目前为止我们所创造的。

图像

任务 3:从源 OCI 区域收集 CPE 实例的公共 IP 地址

任务 4:在目标 OCI 区域中创建新的 CPE

任务 5:在目标 OCI 区域中配置 OCI 站点到站点 VPN

任务 6:在目标 OCI 区域中收集 IPSec 隧道的公共 IP 地址并下载 CPE 配置

任务 7:在源 OCI 区域中配置 CPE 实例并安装和配置 Libreswan

任务 8:在源 OCI 区域中的 CPE 实例上打开防火墙并配置 VCN 和子网安全列表

配置 VCN 和子网安全列表以允许 IPSec 连接所需的入站端口。为了正确地建立隧道,您需要确保两端的网络安全性允许所需的端口。

在 CPE 上禁用 Linux 防火墙

在某些情况下(用于测试目的),最好完全禁用运行 Libreswan 的 CPE 实例的 Linux 防火墙。可使用以下命令执行此操作:

[root@cpe ipsec.d]# systemctl disable --now firewalld

运行以下命令以确保 Libreswan 的防火墙服务未运行。

[root@cpe ipsec.d]# systemctl status firewalld

任务 9:激活并验证 IPSec 隧道是否两端均已打开

任务 10:配置静态路由

任务 11:从源实例和目标实例启动最终试通

任务 12:验证 OCI Site-to-Site VPN 状态

任务 13:启用等成本多路径 (ECMP) 工艺路线

确认

更多学习资源

通过 docs.oracle.com/learn 浏览其他实验室,或者通过 Oracle Learning YouTube 频道访问更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。

有关产品文档,请访问 Oracle 帮助中心