附註:

設定 Oracle Cloud Infrastructure Site-to-Site VPN,並在兩個 OCI 區域之間設定靜態路由

簡介

當您的應用系統、資料庫或服務分散到不同的 Oracle Cloud Infrastructure (OCI) 區域或租用戶時,偏好的啟用網路通訊方式為遠端對等互連連線 (RPC) 對等互連。如果 RPC 對等互連不適用,則替代方式是建立 OCI 網站至網站 VPN IPSec 連線。雖然 OCI 不支援使用動態路由閘道 (DRG) 建立 OCI 網站至網站 VPN IPSec,但您可以在單邊設定自訂 VPN 端點 (例如 Libreswan),並在另一邊使用 DRG 來達到此連線。

圖像

圖像

如果您需要在內部部署和 OCI 之間設定 OCI 網站至網站 VPN,但不想使用 DRG 作為虛擬專用網路 (VPN) 端點,而是自己的自訂 VPN 端點,也可以使用此方法。

目標

必要條件

工作 1:複查目的地 OCI 區域 (VCN、子網路、DRG、VCN 連附項及執行處理)

在此任務中,我們將檢查已準備好的開始。

下圖說明我們到目前為止所建立的內容。

圖像

作業 2:複查來源 OCI 區域 (VCN、公用子網路、網際網路閘道以及執行處理)

下圖說明我們到目前為止所建立的內容。

圖像

作業 3:從來源 OCI 區域收集 CPE 執行處理的公用 IP 位址

作業 4:在目的地 OCI 區域建立新的 CPE

工作 5:在目的地 OCI 區域中設定 OCI 網站至網站 VPN

工作 6:收集目的地 OCI 區域中 IPSec 通道的公用 IP 位址並下載 CPE 組態

作業 7:在來源 OCI 區域中設定 CPE 執行處理,然後安裝並設定 Libreswan

工作 8:在來源 OCI 區域的 CPE 執行處理上開啟防火牆並設定 VCN 和子網路安全清單

設定 VCN 和子網路安全清單,以允許 IPSec 連線所需的輸入連接埠。若要正確建立通道,您必須確定兩邊的網路安全是允許必要的連接埠。

停用 CPE 上的 Linux 防火牆

在某些情況下 (為了測試目的),最好是完全停用執行 Libreswan 之 CPE 執行處理的 Linux 防火牆。這可以透過下列命令來完成:

[root@cpe ipsec.d]# systemctl disable --now firewalld

執行下列指令,確定 Libreswan 的防火牆服務未執行。

[root@cpe ipsec.d]# systemctl status firewalld

工作 9:啟用並驗證兩側的 IPSec 通道是否已啟動

作業 10:設定靜態路由

作業 11:從來源與目的地執行環境啟動最終偵測

工作 12:確認 OCI 網站至網站 VPN 狀態

作業 13:啟用相等成本多重路徑 (ECMP) 製程

確認

其他學習資源

docs.oracle.com/learn 上探索其他實驗室,或在 Oracle Learning YouTube 頻道上存取更多免費學習內容。此外,請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件,請造訪 Oracle Help Center