配置解决方案

配置此解决方案分为两个阶段:配置网络基础结构,然后安装管理网关和管理代理。以下过程将引导您完成这些阶段。

配置网络

使用以下步骤设置 AWS 与 OCI 之间的 IPSec VPN 隧道,以实现 RDS 和 O&M 服务之间的通信。此设置将适用于 OCI 站点到站点 VPN 版本 2。

为 AWS 创建临时客户网关

使用临时客户网关最初预配 AWS 站点到站点 VPN,从而公开隧道的 AWS VPN 端点。OCI 需要远程 VPN 对等端的公共 IP 才能创建 IPSec 连接。完成此过程后,将配置表示实际 OCI VPN 端点公共 IP 的新客户网关。

  1. 从 AWS 主门户中,展开屏幕左上方的服务菜单。浏览到 Networking & Content Delivery 下的 VPC
  2. 从左侧菜单中向下滚动,然后在虚拟专用网络 (Virtual Private Network,VPN) 下单击客户网关
  3. 单击创建客户网关以创建客户网关。
    此时将显示“创建客户网关”页面。
  4. 请输入以下详细信息:
    • 名称:为此客户网关指定一个临时名称。在此示例中,使用名称 TempGateway。
    • 路由:选择“动态”。
    • BGP ASN :输入 OCI BGP ASN。适用于商业云的 Oracle BGP ASN 为 31898,但塞尔维亚中部 (Jovanovac) 区域为 14544。
    • IP 地址:对临时网关使用任何有效的 IPv4 地址。此示例使用 1.1.1.1。
  5. 配置完临时客户网关后,请单击创建客户网关来完成预配过程。

为 AWS 创建和附加虚拟专用网关

虚拟专用网关 (virtual private gateway,VPG) 允许网络外部的资源与网络内部的资源进行通信。要为 AWS 创建和附加 VPG,请使用此过程。

  1. 从 AWS 左侧菜单向下滚动,然后在虚拟专用网络 (VPN) 下单击虚拟专用网关
  2. 单击创建虚拟专用网关可创建新的虚拟专用网关。
    此时将显示 Create Virtual Private Gateway(创建虚拟专用网关)页面。
  3. 请输入以下详细信息:
    • 名称:为虚拟专用网关 (VPG) 指定名称。
    • ASN :选择 Amazon 默认 ASN。
  4. 配置完虚拟专用网关后,请单击创建虚拟专用网关来完成预配。
  5. 创建 VPG 后,将其附加到您选择的 VPC:
    1. 仍在虚拟专用网关页上时,请确保已选择 VPG,打开“操作”菜单(“操作”菜单),然后选择附加到 VPC 。此时将显示所选虚拟专用网关的附加到 VPC 页。
    2. 从列表中选择 VPC,然后,要将 VPG 附加到 VPC,请单击是,附加

为 AWS 创建 VPN 连接

要使用本机 VPN 服务将 OCI 连接到 AWS,请使用此过程。

  1. 在左侧菜单中,向下滚动并单击虚拟专用网络 (VPN) 下的站点到站点 VPN 连接
  2. 单击创建 VPN 连接以创建新的虚拟专用网关。您将转到“创建 VPN 连接”页。
  3. 请输入以下详细信息:
    • 名称标记:为 VPN 连接指定一个名称。
    • 目标网关类型:选择虚拟专用网关,然后从列表中选择以前创建的虚拟专用网关。
    • 客户网关:选择“现有”,然后从列表中选择临时客户网关。
    • 路由选项:选择动态(需要 BGP)
    • IP 版本内的隧道:选择 IPv4
    • 本地/远程 IPv4 网络 Cidr :将这些字段留空,以创建任何/任何基于路由的 IPSec VPN。

      继续下一步。请勿单击创建 VPN 连接

  4. 创建 VPN 连接页上,向下滚动到隧道选项
  5. 从链接本地 169.254.0.0/16 范围内选择 /30 CIDR。在 Inside IPv4 CIDR for Tunnel 1 中输入完整的 CIDR。
  6. 确保 OCI 支持为内部隧道 IP 选择的 /30 地址。
    OCI 不允许您将以下 IP 范围用于隧道内部 IP:
    • 169.254.10.0-169.254.19.255
    • 169.254.100.0-169.254.109.255
    • 169.254.192.0-169.254.201.255
    继续下一步。请勿单击创建 VPN 连接
  7. 隧道 1 的高级选项下,选择编辑隧道 1 选项
    增加一组选项。如果要限制用于此隧道的加密算法,请在此处配置所需的阶段 1 和阶段 2 选项。您应该为此连接使用 IKEv2。禁用 IKEv1 复选框以防止使用 IKEv1。有关 OCI 支持的阶段 1 和阶段 2 选项的说明,请参见“支持的 IPSec 参数”(请参阅“了解详细信息”)。
  8. 配置完所有必需选项后,单击创建 VPN 连接来完成 VPN 连接预配过程。

下载 AWS 配置

正在预配 VPN 连接时,请下载所有隧道信息的配置。要在 OCI 控制台中完成隧道配置,需要此文本文件。

  1. 确保已选择 VPN 连接,然后单击下载配置
  2. 选择供应商和平台设置“通用”,然后单击下载以将配置的文本副本保存到本地硬盘驱动器。
  3. 在您选择的文本编辑器中打开下载的配置文件。在 IPSec Tunnel #1, section #1 Internet Key Exchange Configuration 下查看。在这里,您可以找到为隧道自动生成的预共享密钥。保存此值。
    AWS 可能使用句点或下划线字符(。或 _)生成预共享密钥。OCI 不支持在预共享密钥中使用这些字符。必须更改包含这些值的键。要更改 AWS 中用于隧道的预共享密钥,请执行以下操作:
    1. 选择 VPN 连接,打开操作菜单并选择修改 VPN 隧道选项
    2. 在下载的配置中仍位于隧道 1 下,向下滚动到 #3 Tunnel Interface Configuration 部分。
    3. 要在 OCI 中完成站点到站点 VPN 配置,请记录以下值:
      • 虚拟专用网关的 IP 地址外部
      • 客户网关的内部 IP
      • 虚拟专用网关的内部 IP
      • 虚拟专用网关 BGP ASN。默认 ASN 为 64512。

为 OCI 创建客户终端设备

接下来,您需要将内部部署设备(客户终端设备,即 CPE)配置在您端到端 VPN,以便流量可以在内部部署网络和虚拟云网络 (VCN) 之间流动。请执行下列步骤:

  1. 打开导航菜单并单击网络。在客户连接下,单击客户终端设备
  2. 单击创建客户终端设备
  3. 输入下列值:
    • 在区间中创建:为所需的 VCN 选择区间。
    • 名称:为 CPE 对象输入描述性名称。它不必唯一,并且以后无法在控制台中更改(但您可以使用 API 更改)。请避免输入机密信息。此示例使用 TO_AWS 作为名称。
    • IP 地址:输入从 AWS 下载的配置中显示的虚拟专用网关的外部 IP 地址。
    • CPE 供应商:选择其他
  4. 单击创建 CPE

为 OCI 创建 IPSec 连接

现在,您需要创建 IPSec 隧道并配置路由类型(静态路由或 BGP 动态路由)。请执行下列步骤:

  1. 打开导航菜单并单击网络。在客户连接下,单击站点到站点 VPN
  2. 单击创建 IPSec 连接
    此时将显示新的 IPSec 连接对话框。
  3. 输入下列值:
    • 在区间中创建:保持原样(VCN 的区间)。
    • 名称:输入 IPSec 连接的说明性名称(示例:OCI-AWS-1)。它不必唯一,您可以稍后进行更改。请避免输入机密信息。
    • 客户终端设备区间:保持原样(VCN 的区间)。
    • 客户终端设备:选择之前创建的名为 TO_AWS 的 CPE 对象。
    • 动态路由网关区间:保持原样(VCN 的区间)。
    • 动态路由网关:选择先前创建的 DRG。
    • 静态路由 CIDR :输入默认路由 0.0.0.0/0。

      由于活动隧道使用 BGP,OCI 会忽略此路由。IPSec 连接的第二个隧道需要条目,该隧道默认使用静态路由,但在此方案中未使用的地址。如果您计划为此连接使用静态路由,请输入表示您的 AWS 虚拟网络的静态路由。您最多可以为每个 IPSec 连接配置 10 个静态路由。

  4. 在“Tunnel 1(隧道 1)”选项卡上输入以下详细信息(必需):
    • 名称:输入隧道的说明性名称(示例:AWS-TUNNEL-1)。它不必唯一,您可以稍后进行更改。请避免输入机密信息。
    • 提供定制共享密钥:输入 IPSec 为此隧道使用的预共享密钥。勾选此框并输入来自 AWS VPN 配置文件的预共享密钥。
    • IKE 版本:选择 IKEv2。
    • 路由类型:选择 BGP 动态路由。
    • BGP ASN :输入 AWS 使用的 BGP ASN,如 AWS VPN 配置文件中所述。默认 AWS BGP ASN 为 64512。
    • IPv4 隧道内部接口 - CPE :从 AWS VPN 配置文件输入 IP 地址内的虚拟专用网关。对此 IP 地址使用完整的 CIDR 表示法。
    • IPv4 隧道内部接口 - Oracle :输入 OCI 使用的内部 IP 地址。从 AWS VPN 配置文件中,输入客户网关的内部 IP 地址。对此 IP 地址使用完整的 CIDR 表示法。
  5. 单击创建 IPSec 连接
    IPSec 连接创建并显示在页面上。连接在短时间内处于预配状态。
  6. 预配 IPSec 连接后,记下隧道的 Oracle VPN IP 地址。此地址将用于在 AWS 门户中创建新的客户网关。
    1. 打开导航菜单并单击网络。在 Customer connectivity(客户连接)下,单击 Site-to-Site VPN

      此时将显示您正在查看的区间中 IPSec 连接的列表。如果您看不到要查找的连接,请验证您查看的区间是否正确(从页面左侧的列表中选择)。

    2. 单击您感兴趣的 IPSec 连接(例如:OCI-AWS-1)。
    3. 查找 AWS-TUNNEL-1 的 Oracle VPN IP 地址。

创建新的 AWS 客户网关

现在,使用从 OCI IPSec 连接捕获的详细信息,在现有客户网关上创建新的客户网关。

  1. 在 AWS 控制台中,通过输入以下详细信息,浏览到客户网关并创建客户网关:
    • 名称:为此客户网关指定名称。
    • 路由:选择“动态”。
    • BGP ASN :输入 OCI BGP ASN。适用于商业云的 Oracle BGP ASN 为 31898,但塞尔维亚中部 (Jovanovac) 区域为 14544。
    • IP 地址:输入隧道 1 的 Oracle VPN IP 地址。使用上一个任务中保存的 IP。
  2. 要完成预配,请单击创建客户网关

修改与新 AWS 客户网关的 VPN 连接

此任务将临时客户网关替换为使用 OCI VPN IP 地址的临时客户网关。

  1. 在 AWS 控制台上,浏览到站点到站点 VPN 连接并选择您的 VPN 连接。
  2. 打开操作菜单并选择修改 VPN 连接
    此时将显示修改 VPN 连接页。
  3. 请输入以下详细信息:
    • 目标类型:从列表中选择客户网关
    • 目标客户网关 ID:从列表中选择具有 OCI VPN IP 地址的新客户网关。
  4. 完成后,单击保存以保存配置。几分钟后,AWS 将完成预配 VPN 连接,并在 AWS 和 OCI 之间建立 IPSec VPN。
  5. 此时,您可以删除临时客户网关。

验证连接

浏览到 OCI 中的 IPSec 连接和 AWS 中的站点到站点 VPN 连接以验证隧道状态。

  • IPSec 连接下的 OCI 隧道显示 IPSec 状态的向上,以确认运行隧道。
  • IPv4 BGP 状态还显示启动,指示已建立的 BGP 会话。
  • AWS 中站点到站点 VPN 连接的隧道详细信息选项卡上的隧道状态显示启动

安装管理网关和代理

请参阅“使用管理网关保护内部部署观测数据上载”以了解在站点到站点 VPN 环境中安装代理和网关的体系结构(请参阅“了解详细信息”)。

安装管理网关

接下来,您需要安装管理网关。管理网关应能够通过 IPSec VPN 隧道(而非公共子网)与 OCI 服务通信。由于此任务超出了本文档的范围,有关详细步骤,请参阅“管理网关安装”(请参阅“了解更多”)。

安装管理代理

首先,您需要安装管理代理。由于此任务超出了本文档的范围,有关详细步骤,请参阅“管理代理安装”(请参阅“了解详细信息”)。

部署服务插件

管理代理允许您为不同的 OCI 服务部署服务插件。服务插件可以部署到管理代理,以便为这些服务执行任务。任何给定的管理代理都可以具有多个服务插件。

在管理代理上部署以下插件。

  • 数据库管理和运维洞察分析
  • 日志分析
  • 操作洞察分析主机服务
  • 堆栈监视

在代理上部署服务插件

如 Install Management Agents 中所述,管理代理已安装时使用此方法。

要部署插件,请执行以下操作:
  1. 从左侧菜单中,单击代理以打开“代理”页。
  2. 代理列表中,单击要部署插件的所需代理。此时将显示 Agent Detail(代理详细信息)页面。
  3. 单击部署插件。此时将出现部署插件窗口。选择该插件,然后单击更新。所选插件将部署在所需的代理上。
  4. 检查代理主页上的代理和插件的状态。