注意:

使用網路虛擬設備保護 Oracle Cloud Infrastructure 與 Microsoft Azure 之間的流量

簡介

為了建立整合式多雲端體驗,Microsoft 和 Oracle 透過 Microsoft Azure ExpressRouteOCI FastConnect ,提供 Microsoft Azure 和 Oracle Cloud Infrastructure (OCI) 之間的直接互連。Microsoft Azure ExpressRoute 和 OCI FastConnect 相互連線,提供兩個雲端之間的低延遲、高傳輸量和私密直接連線。

您可以使用本逐步指南提供的指示,設定 Microsoft Azure 和 Oracle Cloud Infrastructure 之間的相互連線。連結啟用之後,您需要將虛擬網路連線至 ExpressRoute。

本教學課程概述如何使用 VNET Gateway 擴充互連連線,以及部署 Microsoft Azure FirewallOCI Network Firewall 以保護流量。您將要針對您的使用案例,在 Hub 和 Spoke 架構中部署防火牆,且此使用案例應適用於個別 CSP 上所有支援的網路虛擬設備合作夥伴。

您可以按照本文件深入瞭解網路虛擬設備架構建議。

目標

透過 OCI-Microsoft Azure Interconnect 網路連線,使用 Oracle Cloud Infrastructure 與 Microsoft Azure 環境之間的網路防火牆設備保護您的流量。我們已涵蓋在 OCI 的 Microsoft Azure 和 OCI Network Firewall 中部署 Microsoft Azure 防火牆環境。最後一步是驗證 OCI/Microsoft Azure 區域之間的網路連線,並且根據透過 OCI/Microsoft Azure Interconnect 的防火牆路由功能,確保透過防火牆驗證流量。

必要條件

對象

本教學課程的對象是 Cloud Service 提供者專業人員與多雲端管理員。

架構

以下是解決方案的高階架構。

OCI Microsoft Azure 與原生防火牆架構的相互連線

如果您想要設定相互連線的區域,並使用 Hub 與 Spoke 架構中的網路虛擬設備保護流量,請參閱此架構。

作業 1:在 Microsoft Azure 上建立虛擬網路和子網路

  1. 登入 Microsoft Azure 入口網站

  2. 在畫面的左上角,選取建立資源網路虛擬網路,或在搜尋方塊中搜尋虛擬網路

  3. 建立虛擬網路基本頁籤中,輸入或選取此資訊:

    專案明細

    • 訂閱:選取您的 Azure 訂閱。

    • 資源群組:選取新建,輸入 resource-group-name ,然後選取「確定」,或根據參數選取現有的 resource-group-name

    執行處理詳細資訊

    • 名稱:輸入 virtual-network-name

    • 區域:選取 region-name

  4. 選取 [ IP 位址 ] 標籤或選取頁面結尾的 [ 下一步:IP 位址 ] 按鈕。

  5. 在 [ IP 位址 ] 標籤中,輸入下列資訊:

    • IPv4 位址空間:輸入 ipv4-address-range ;範例:Hub VNET:10.40.0.0/16 代表美國東部地區,Spoke VNET:10.30.0.0/16 代表美國東部地區。

  6. 子網路名稱下,選取 default 這個字。

  7. 編輯子網路中,輸入下列資訊:

    • 子網路名稱:輸入 subnet-name

    • 子網路位址範圍:輸入 subnet-address-range 範例:運算子網路:10.40.3.0/24 for Hub VNET,運算子網路:10.30.1.0/24 for Spoke VNET。

  8. 選取儲存

  9. 選取複查 + 建立標籤,或選取複查 + 建立按鈕。

  10. 選取建立

對 Hub 和 Spoke VNets 重複步驟 1-9 ,然後繼續下一個區段建立 Microsoft Azure 防火牆子網路。

作業 2:建立 Microsoft Azure 防火牆子網路

請依照逐步指南,使用下列最低參數建立防火牆子網路。

繼續前往下一個區段以建立閘道子網路和虛擬網路閘道。

作業 3:在 Microsoft Azure 上建立閘道子網路和虛擬網路閘道

您可以按照逐步指南,使用下表中描述的最小參數建立閘道子網路和虛擬網路閘道。

閘道子網路參數

參數
閘道子網路名稱 GatwaySubnet 名稱會自動填入。
子網路 - 位址 - 範圍 輸入閘道子網路位址範圍;範例:Hub VNET 中的 10.40.0.0/24

VNET Gateway 參數

設定
專案明細  
訂閱 選取您的 Microsoft Azure 訂閱
資源群組 這會在您的 VNET 選擇區自動選擇 。
閘道詳細資訊  
名稱 輸入 gateway-name
區域 選取 (美國) 美國東部或您已建立 VNET 的區域
閘道類型 選取 ExpressRoute
SKU 從下拉式清單中選取閘道 SKU
虛擬網路 選取先前在您區域內建立的 VNET。
公用 IP 位址  
公用 IP 位址 選取「新建」。
公用 IP 位址名稱 輸入公用 IP 位址的名稱。

在 Microsoft Azure 區域中建立必要資源之後,請繼續下一節部署 Microsoft Azure 防火牆。

作業 4:在 Microsoft Azure 上部署 Hub 虛擬網路中的 Microsoft Azure 防火牆

您可以依照逐步指南,使用下表中描述的最小參數,在您的 Hub VNET 中部署 Microsoft Azure 防火牆。

參數
訂閱 選取您的訂閱。
資源群組 選取 your-resource-group 。選取您必須在先決條件步驟期間建立的資源群組。
名稱 輸入 firewall-name
防火牆 SKU 從提供的選項選取防火牆 SKU
防火牆政策 按一下「新增並建立新的防火牆策略」。
選擇 - 虛擬網路 選取先前建立的虛擬網路
   
公共 -ip-address 選取或建立新的公用 IP

繼續前往下一個區段,將您的 ExpressRoute 迴路連線至虛擬網路閘道。

作業 5:透過 Microsoft Azure 上的連線,將您的 ExpressRoute 迴路連線至虛擬網路閘道

您可以依照逐步指南,使用下表中描述的最小參數建立 ExpressRoute 連線。

參數
訂閱 選取您的訂閱。
資源群組 選取 your-resource-group 。選取您必須在先決條件步驟期間建立的資源群組。
連線類型 選取 ExpressRoute
名稱 輸入 connection-name
區域 選取 (美國) 美國東部或您已建立 VNET 閘道的區域。
虛擬網路閘道 選取先前建立的 VNET 閘道。
快程電路 選取在先決條件步驟中建立的 ExpressRoute 迴路。

在 Microsoft Azure 區域中建立必要的連線之後,請繼續下一節,為 VNets 中的子網路建立使用者定義的路由表。

作業 6:在 Microsoft Azure 上建立使用者定義的路由

您可以按照逐步指南,使用下表描述的最小參數,為每個子網路的相關表格建立使用者定義路由。

設定閘道子網路的路由表項目

參數
路由名稱 輸入路由名稱
位址前綴目的 輸入「目的地字首」。範例:Hub 運算子網路:10.40.3.0/24,支點運算子網路:10.30.1.0/24
次躍型 選取虛擬設備。
下躍址 輸入下一個躍點位址作為防火牆的專用 IP 範例:10.40.1.4

確定您具有必要項目,並將該路由表關聯至 Hub VNet 的閘道子網路。

設定 Hub VNet 路由表項目中的運算子網路

參數
路由名稱 輸入路由名稱
位址前綴目的 輸入目的地前置碼;範例:OCI Hub 運算子網路:10.10.0.0/24,OCI 支點運算子網路:10.20.0.0/24,Microsoft Azure 支點子網路:10.30.1.0/24,Microsoft Azure Hub VNET:10.40.0.0/16
次躍型 選取虛擬設備。
下躍址 輸入下一個躍點位址作為防火牆的專用 IP 範例:10.40.1.4

確定您具有必要項目,並將此路由表與 Hub VNet 的運算子網路建立關聯。

在 Spoke VNet 路由表項目中設定運算子網路

參數
路由名稱 輸入路由名稱
位址前綴目的 輸入目的地前置碼;範例:OCI Hub 運算子網路:10.10.0.0/24,OCI 軸輻運算子網路:10.20.0.0/24,Microsoft Azure Hub 運算子網路:10.40.3.0/24
次躍型 選取虛擬設備。
下躍址 輸入下一個躍點位址作為防火牆的專用 IP 範例:10.40.1.4

確定您有必要的項目,並且將此路由表與 Spoke VNet 的運算子網路關聯。

建立必要的路由之後,請前往下一個區段建立虛擬機器,驗證 Microsoft Azure 和 OCI 之間的流量。

作業 7:在 Microsoft Azure 上建立使用者定義的路由

在此區段中,您將建立虛擬機器來驗證從 Microsoft Azure 到 Oracle Cloud Infrastructure 的連線。

  1. 在 Microsoft Azure 入口網站的畫面左上方,選取建立資源運算虛擬機器

  2. 建立虛擬機器 - 基本中,輸入或選取此資訊。

    設定
    專案詳細資料  
    訂閱 選取您的訂閱。
    資源群組 選取 your-resource-group 。選取您必須在先決條件步驟期間建立的資源群組。
    執行處理詳細資訊  
    虛擬機器名稱 輸入 vm-name
    區域 選取您要部署的 (US) East US 或 Region
    時程狀態選項 將預設不需要基礎架構備援保留。
    影像 選取 Ubuntu Server 18.04 LTS - Gen1
    大小 選取 Standard_B2s
    管理員帳戶  
    認證類型 選取密碼。您也可以選擇使用 SSH 認證,然後視需要更新必要的值。
    使用者名稱 輸入您選擇的使用者名稱。
    密碼 輸入您選擇的密碼。密碼長度必須至少為 12 個字元,並且符合定義的複雜性需求
    確認密碼 重新輸入密碼。
    內送連接埠規則  
    公用內送連接埠 選取

  3. 選取下一步:磁碟

  4. 建立虛擬機器 - 磁碟中,保留預設值並選取下一步:網路

  5. 建立虛擬機器 - 網路中,選取此資訊。

    設定
    虛擬網路 選取 virtual-network
    子網路 選取 compute-subnet ,例如:Hub VNet 中的 10.40.3.0/24、Spoke VNet 中的 10.30.1/24
    公用 IP 維持預設值 (新) my-vm-ip
    公用內送連接埠 選取允許選取的連接埠
    選取內送連接埠 選取 SSH

  6. 選取複查並建立 (Review + create) 。您會前往 Microsoft Azure 驗證組態的複查 + 建立頁面。

  7. 當您看到「驗證」傳遞的訊息時,請選取建立

為 Spoke 和 Hub VNet VM 重複步驟 1-7 ,然後繼續下一個區段在 Oracle Cloud Infrastructure 上建立所需的資源。

作業 8:在 Oracle Cloud Infrastructure 上建立資源

在此區段中,您將建立支援相互連線區域內 OCI 主控台驗證的必要資源。在 OCI 主控台中,在每個區域中建立下列資源。

作業 9:驗證 OCI/Microsoft Azure Interconnect 中的流量

在此區段中,您將連線到兩個雲端提供者的 Linux VM,並進行偵測測試以檢查連線。

  1. 使用您的終端機連線至兩個雲端提供者上的 Linux VM。

  2. 從 Microsoft Azure VM 起始 ICMP RTT 至 OCI VM,反之亦然。

Microsoft Azure 和 OCI 之間的 ICMP RTT 反映了 OCI 和 Microsoft Azure 區域之間建立的連線,使用相互連線和流量通過原生防火牆服務的網路拓樸。

注意:上表反映 ICMP RTT 為參考點,此參考點可能因區域和使用案例架構而異。建議您建立 POC。

您可以在下列位置找到有關 Microsoft Azure 區域延遲的詳細資訊:Microsoft Learn:Microsoft Azure 網路往返延遲統計資料

如需如何測試虛擬機器延遲的詳細資訊,請參閱:Microsoft Learn:在 Microsoft Azure 虛擬網路中測試 Microsoft Azure 虛擬機器網路延遲

工作 10:清除資源

當您使用資源完成時,請刪除資源群組與相關聯的資源。

  1. 如果您尚未完成,請刪除互連連結。如需詳細資訊,請參閱逐步指南。

  2. 在入口網站頂端的「搜尋」方塊中輸入 your-resource-group-name ,然後從搜尋結果中選取 your-resource-group-name

  3. 選取刪除資源群組

  4. 輸入 RESOURCE GROUP NAMEyour-resource-group-name ,然後選取刪除

  5. 同樣地,刪除部署在 Oracle Cloud Infrastructure 中的資源。

確認

其他學習資源

探索 docs.oracle.com/learn 的其他實驗室,或者存取更多 Oracle Learning YouTube 頻道上的免費學習內容。此外,請瀏覽 education.oracle.com/learning-explorer 以成為 Oracle Learning 檔案總管。

如需產品文件,請造訪 Oracle Help Center