附註:
- 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶,請參閱 Oracle Cloud Infrastructure Free Tier 入門。
- 它使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時,請將這些值取代為您雲端環境特定的值。
設定兩個用戶與其動態路由閘道之間的 RPC 連線
簡介
在多租用戶的 Oracle Cloud Infrastructure (OCI) 環境中,啟用不同租用戶之間的安全且有效率的通訊,對於混合和分散式網路架構至關重要。要達到此目的之一,就是在兩個租用戶與其對應的動態路由閘道 (DRG) 之間設定遠端對等互連連線 (RPC)。
目標
- 在個別 OCI 租用戶的兩個 DRG 之間設定 RPC,確保跨網路的無縫連線。到目前為止,您將有工作中的 RPC 設定,允許用戶之間安全流量,協助您在 OCI 中建置強大的多租用戶架構。
必要條件
-
存取兩個 OCI 租用戶:您需要 OCI 租用戶的管理員或適當權限,才能設定網路元件。
-
兩個租用戶的 DRG:每個租用戶都必須已經建立 DRG 並將其連附至虛擬雲端網路 (VCN)。
-
區域相容性: DRG 必須位於支援 RPC 的相同或不同 OCI 商業區域中。支援跨區域 RPC,但兩個區域都必須可供存取。「請求者」必須訂閱 「接受者」區域。
-
公用或專用連線:決定是否允許透過專用 IP 進行通訊,並確保計畫正確的子網路 CIDR 區塊以避免衝突。
-
VCN 和路由組態:兩個用戶中的 VCN 應該已正確設定路由表和安全清單,以允許通過 RPC 的流量。
-
跨用戶對等互連原則:確保已制定 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 原則,以允許跨不同 OCI 租用戶進行 DRG 對等互連。您可能需要定義兩個用戶的原則,才能建立信任。
作業 1:決定請求者與接受者用戶
在 Oracle Cloud Infrastructure (OCI) 中,設定跨雲端通訊或資源共用時,請務必定義哪些用戶是要求者,而哪些用戶是 OCI IAM 原則的接受者。這些角色由定義使用者、群組和區間權限的 OCI IAM 原則管理。
透過在 OCI IAM 原則中明確定義「要求者」和「接受者」角色,您可以確保正確設定權限,以允許跨 OCI 租用戶和區間的安全控制資源存取。這兩個租用戶都必須共同作業,以確保授予適當的權限,並且以遵循安全最佳做法的方式設定 OCI IAM 原則。
-
要求者租用戶:要求者是 OCI 租用戶 (或租用戶內的特定區間),可起始要求從其他 OCI 租用戶或區間存取資源。要求者的 OCI IAM 原則必須授予必要的權限,才能存取接受者的資源。例如,「要求者」可能需要建立允許其使用者存取「接受者」用戶中資源的原則。
要求者還必須確保將正確的 OCI IAM 角色指派給提出要求的使用者或群組。
-
接受者租用戶:接受者是 OCI 租用戶 (或區間),可接收存取要求並將必要的權限授予要求者。接受者的 OCI IAM 原則必須定義要求者可執行的動作,以及可存取的資源。接受者的原則也應指定允許接受這類要求的使用者或群組,以確保安全地管理存取權。
除了授予存取權之外,接受者應設定 OCI IAM 原則以指定要求者獲得授權的做法,確保遵循正確的範圍和最低權限原則。
下圖顯示兩個與 RPC 互相連接的用戶範例,其中其中一個定義為「要求者 (REQ)」,另一個則為「接受者 (ACC)」。
作業 2:訂閱請求者區域的 「接受者區域」
在兩個 OCI 租用戶之間設定 RPC 的相關資訊環境中,要求者必須訂閱「接受者租用戶」區域,而接受者則不需要訂閱「要求者」區域。原因如下:
要求者為何需要訂閱接受者租用戶:
-
起始通訊:「要求者」用戶是傳送要求給「接受者」用戶來起始 RPC 的個體。若要允許此通訊,「要求者」必須訂閱「接受者」,讓它能夠辨識並連線至「接受者」的網路和服務。
-
建立信任與連線:訂閱接受者用戶後,要求者用戶會建立與接受者環境互動的必要信任與連線。訂閱可確保要求者可以透過對等互連連線,將流量和要求正確遞送至接受者的服務。
為什麼「接受者」不需要訂閱「要求者」用戶:
-
接受者的被動角色:接受者租用戶只會接收來自要求者租用戶的要求,不會起始任何通訊。因為「接受者」只回應「要求者」提出的要求,所以不需要訂閱「要求者」。它只需要存取和設定即可處理內送要求。
-
單向通訊: RPC 通常使用「要求者」為啟動器的單向通訊流程進行設定。接受者不需要訂閱要求者租用戶,因為它不需要起始或管理外送連線。
總而言之,「要求者」必須訂閱「接受者」才能起始 RPC 並建立連線,而「接受者」則只需要設定回應要求,而且不需要訂閱「要求者」用戶。
在下列影像中,您將看到 Requestors OCI 主控台的範例。請注意,「請求者」已訂閱「接受者」區域。
在下列影像中,您將看到 Acceptors OCI 主控台的範例。請注意,「接受者」未訂閱「請求者」區域。
任務 3:收集必要參數
收集必要的參數,以建立「要求者」和「接受者」端的 OCI IAM 原則。下表顯示設定 OCI 中「遠端程序呼叫」存取權時,「接受者」和「要求者」用戶在 OCI IAM 原則中所需的欄位:
必要的資訊 | 要求者租用戶 | 接受者租用戶 |
---|---|---|
租用戶 OCID | X | X |
群組名稱 | X | |
群組 OCID | X | |
區間名稱 | X | X |
建立 OCI IAM 原則之前,請先確定雙方都收集此資訊。
作業 4:在要求端和接受端建立並設定 OCI IAM 原則
您可以在這裡找到 RPC 工作的官方 OCI IAM 原則文件:使用已升級的 DRG 進行遠端對等互連。
當您查看原則時,會在要求者的 OCI IAM 原則中看到,接受者需要一些資訊,而接受者 OCI IAM 原則則需要要求者提供一些資訊。這使得建立原則有時會令人困惑,如果原則不正確,RPC 就不會出現,疑難排解也很難。
為了克服這個問題,我們建立了 RPC IAM 政策工具。目前還有更多可用的 RPC 網路架構,但只有在嘗試在兩個不同的 OCI 租用戶之間建立 RPC 時,才能使用 RPC IAM 原則工具,其中每個租用戶都有自己的 DRG。
在下列影像中,您將看到 RPC IAM Policy Tool 提供您插入所有必要詳細資訊的表單。此表單會要求實際需要更多資訊,但在您開始在接受者與要求者端設定 RPC 和 OCI IAM 原則之前,請將所有資訊集中在一個地方。
「要求者」資訊和參數會以紅色標示,而「接受者」資訊和參數則以藍色標示。
下圖顯示所有填入資訊的範例。輸入所有必要的欄位,然後按一下送出。
此工具將產生下列資訊:
- 包含用於透視內容的參數的圖表。
- 含有您所使用之所有參數的表格 (可讓您擷取快照,或將此貼至您的記事中供日後參考)。
- 要求者的 OCI IAM 原則。
- 接受者的 OCI IAM 原則。
作業 4.1:在要求端建立並設定 OCI IAM 原則
-
登入 OCI 主控台,瀏覽至識別與安全,然後按一下原則。
-
請確定選取根區間,然後按一下建立原則。
-
輸入下列資訊,然後按一下建立。
- 輸入原則的名稱和描述。
- 選取顯示手動編輯器。
- 將「要求者」端的原則敘述句複製 / 貼到原則中。
建立原則時,您會看到設定的原則敘述句。
當您返回原則總覽頁面時,將會看到設定的原則。
作業 4.2:在接受者端建立並設定 OCI IAM 原則
-
登入 OCI 主控台,瀏覽至識別與安全,然後按一下原則。
-
請確定選取根區間,然後按一下建立原則。
-
輸入下列資訊,然後按一下建立。
- 輸入原則的名稱和描述。
- 選取顯示手動編輯器。
- 將「要求者」端的原則敘述句複製 / 貼到原則中。
建立原則時,您會看到設定的原則敘述句。
當您返回原則總覽時,將會看到設定的原則。
作業 5:在要求者與接受者端的 DRG 設定 DRG 連附項
我們需要在「要求者」和「接受者」端建立 RPC。
作業 5.1:在請求者端建立 RPC
-
移至 OCI 主控台,瀏覽至網路並按一下動態路由閘道。
-
按一下遠端對等互連連線附件和建立遠端對等互連連線。
-
輸入名稱,然後按一下建立遠端對等互連連線。
作業 5.2:在接受者端建立 RPC
-
移至 OCI 主控台,瀏覽至網路並按一下動態路由閘道。
-
按一下遠端對等互連連線附件和建立遠端對等互連連線。
-
輸入名稱,然後按一下建立遠端對等互連連線。
-
請從「接受者」端收集 RPC OCID,因為必須使用此 OCID 從「要求者」端建立 RPC 連線。
工作 6:從要求端建立連線
-
從「要求者」端前往「OCI 主控台」,瀏覽至網路、動態路由閘道,然後按一下遠端對等互連連線連附項。
-
按一下在任務 5 中建立的遠端對等互連連線 (針對「接受者」端進行設定)。
-
按一下建立連線。
-
輸入下列資訊,然後按一下建立連線。
- 選取「接受者」的區域。
- 貼上作業 5 中收集的 RPC OCID 。
如果要求者已訂閱接受者區域,且已設定正確的 OCI IAM 原則,且正確的 RPC OCI,則對等互連狀態應在要求者端變更為對等互連。
您可以按一下 RPC 以查看對等互連的其他資訊。
- 請注意,對等狀態為對等。
- 請注意,對等區域為 Jeddah 。
- 請注意,這是跨租用戶對等互連。
-
我們也可以驗證「接受者」端的對等互連狀態。
-
從 Acceptor 端前往 OCI 主控台,瀏覽至網路、動態路由閘道,然後按一下遠端對等互連連線連附項。
-
按一下為「要求者」端設定的遠端對等互連連線。
-
請注意,對等互連狀態也會在「接受者」端設為對等互連。
您可以按一下 RPC 以查看對等互連的其他資訊。
- 請注意,對等狀態為對等。
- 請注意,對等區域為 Riyadh 。
- 請注意,這是跨租用戶對等互連。
-
作業 7:設計具有三個或更多用戶的 RPC 架構
您也可以在兩個以上的網站或用戶之間建立 RPC 連線。
-
在下列影像中,您可以看到我們使用三個不同的租用戶:
- OCI 利雅德 (要求者)
- OCI Jeddah (接受者)
- OCI Dubai (接受者)
在此範例中,Riyadh 將會是一些作為兩個「接受者」之「要求者」的 Hub 網站。
-
在下列影像中,您可以看到我們使用三個不同的租用戶:
- OCI 利雅德 (要求者)
- OCI Jeddah (要求者 + 接受者)
- OCI Dubai (接受者)
在此範例中,Riyadh 將會是 Jeddah 的 Requestor,而 Jeddah 將會是 Dubai 的 Requestor。
-
在下列影像中,您可以看到我們使用三個不同的租用戶:
- OCI Riyadh (要求者 + 接受者)
- OCI Jeddah (接受者)
- OCI 杜拜 (要求者)
在此範例中,Riyadh 將是 Jeddah 的 Requestor 和 Dubai 的 Acceptor。
結論
在兩個 OCI 租用戶之間設定 RPC 需要仔細規劃、精確的組態,以及正確的 OCI IAM 原則。藉由遵循此逐步教學課程,您已成功在個別租用戶的兩個 DRG 之間建立安全且功能強大的 RPC。此連線可讓您跨網路進行無縫通訊,這是建立可擴展和多租用戶 OCI 架構的重要元件。
為了簡化流程並排除可能的原則錯誤, RPC IAM 原則工具提供了為要求者和接受者租用戶產生必要 OCI IAM 原則的簡便方式。確保正確設定原則、DRG 連附項及區域訂閱,可確保順暢的對等互連設定。
除了基本的 RPC 組態之外,使用三個或更多租用戶設計多租用戶架構,您的 OCI 網路更具有彈性和擴展性。瞭解每個租用戶的角色 (無論是作為要求者、接受者或兩者) 可讓您建立健全的互連環境,以有效率地支援混合和分散式工作負載。
透過利用 OCI 的網路功能,您可以建立符合企業網路最佳實務的安全、可擴展且高效能的跨租用戶架構。如果您遇到問題,修訂 OCI IAM 原則和 DRG 組態是疑難排解的首要步驟。
有了這項知識,您現在已經具備充分的功能,能夠在 Oracle Cloud Infrastructure 中建立及擴充 RPC 連線,以符合組織的網路需求。
認可
- 作者 - Iwan Hoogendoorn (OCI 網路專家)
其他學習資源
探索 docs.oracle.com/learn 上的其他實驗室,或存取 Oracle Learning YouTube 頻道上的更多免費學習內容。此外,請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。
如需產品文件,請造訪 Oracle Help Center 。
Set up RPC Connection between Two Tenants and their Dynamic Routing Gateways
G30595-02
Copyright ©2025, Oracle and/or its affiliates.