設定解決方案

設定此解決方案是一個兩階段的處理作業，設定網路基礎架構，然後安裝「管理閘道」和「管理代理程式」。下列程序將逐步引導您完成這些階段。

設定網路

使用下列步驟設定 AWS 與 OCI 之間的 IPSec VPN 通道，以啟用 RDS 與 O&M 服務之間的通訊。此設定將與 OCI 站對站 VPN 版本 2 搭配使用。

建立 AWS 的暫時客戶閘道

使用暫時客戶閘道最初佈建 AWS 站對站 VPN，為您的通道顯示 AWS VPN 端點。OCI 需要遠端 VPN 對等體的公用 IP，才能建立 IPSec 連線。完成此程序之後，系統會設定代表實際 OCI VPN 端點公用 IP 的新客戶閘道。

1. 從主要 AWS 入口網站，展開畫面左上方的服務功能表。瀏覽至 Networking & Content Delivery 底下的 VPC 。
2. 從左側功能表向下捲動，然後在虛擬專用網路 (VPN) 下，按一下客戶閘道。
3. 按一下建立客戶閘道以建立客戶閘道。
   「建立客戶閘道」頁面便會顯示。
4. 請輸入下列詳細資訊：
   • 名稱：為此客戶閘道提供暫時名稱。在此範例中，使用名稱 TempGateway。
   • 路由：選取「動態」。
   • BGP ASN ：輸入 OCI BGP ASN。Oracle 的商業雲端 BGP ASN 為 31898，但塞爾維亞中部 (約瓦諾瓦) 區域為 14544。
   • IP 位址：對暫時閘道使用任何有效的 IPv4 位址。此範例使用 1.1.1.1。
5. 當您完成設定暫時客戶閘道時，請按一下建立客戶閘道來完成佈建程序。

建立並連附 AWS 的虛擬專用閘道

虛擬專用閘道 (VPG) 可讓網路以外的資源與您網路內的資源通訊。若要建立並附加 AWS 的 VPG，請使用此程序。

1. 從 AWS 左側功能表向下捲動，然後在虛擬專用網路 (VPN) 下按一下虛擬專用閘道。
2. 按一下建立虛擬專用閘道即可建立新的虛擬專用閘道。
   建立虛擬專用閘道頁面便會顯示。
3. 請輸入下列詳細資訊：
   • 名稱：提供您的虛擬專用閘道 (VPG) 名稱。
   • ASN ：選取 Amazon 預設 ASN。
4. 完成設定虛擬專用閘道後，請按一下建立虛擬專用閘道來完成佈建。
5. 建立 VPG 之後，請將它附加到您選擇的 VPC：
   1. 仍在虛擬專用閘道頁面時，請確定已選取您的 VPG，開啟「動作」功能表 ( 動作功能表 )，然後選取連附至 VPC 。就會顯示所選「虛擬專用閘道」的連附至 VPC 頁面。
   2. 從清單中選取您的 VPC，然後完成將 VPG 連附至 VPC 的作業，請按一下是，連附。

建立 AWS 的 VPN 連線

若要使用原生 VPN 服務將 OCI 連線至 AWS，請使用此程序。

1. 從左側功能表向下捲動，然後按一下「虛擬專用網路 (VPN)」底下的網站至網站 VPN 連線。
2. 按一下建立 VPN 連線即可建立新的虛擬專用閘道。您會前往「建立 VPN 連線」頁面。
3. 請輸入下列詳細資訊：
   • 名稱標記：提供您的 VPN 連線名稱。
   • 目標閘道類型：選取虛擬專用閘道，然後從清單中選取先前建立的虛擬專用閘道。
   • 客戶閘道：選取「現有」，然後從清單中選取暫時「客戶閘道」。
   • 路由選項：選取動態 (需要 BGP) 。
   • IP 版本內的通道：選取 IPv4 。
   • 本機 / 遠端 IPv4 網路 Cidr ：將這兩個欄位留白，建立任何 / 任何以路由為基礎的 IPSec VPN。

     繼續下一步。請勿按一下建立 VPN 連線。

4. 仍在建立 VPN 連線頁面時，向下捲動至通道選項。
5. 從連結本機 169.254.0.0/16 範圍中選擇 /30 CIDR。在通道 1 的內部 IPv4 CIDR 中輸入完整的 CIDR.
6. 確定 OCI 支援內部通道 IP 選擇的 /30 位址。
   OCI 不允許您在內部通道 IP 使用下列 IP 範圍：

   • 169.254.10.0-169.254.19.255
   • 169.254.100.0-169.254.109.255
   • 169.254.192.0-169.254.201.255

   繼續下一步。請勿按一下建立 VPN 連線。
7. 在通道 1 的進階選項下，選取編輯通道 1 選項。
   額外的選項集將會展開。若要限制用於此通道的加密演算法，請在此處設定想要的「階段 1」和「階段 2」選項。此連線應使用 IKEv2。停用 IKEv1 核取方塊以防止使用 IKEv1。請參閱「支援的 IPSec 參數」，瞭解 OCI 支援的第 1 階段和第 2 階段選項 (請參閱「探索其他」)。
8. 完成設定所有必要選項之後，請按一下建立 VPN 連線來完成 VPN 連線佈建處理作業。

下載 AWS 組態

在佈建 VPN 連線時，請下載所有通道資訊的組態。必須要有此文字檔，才能在 OCI 主控台中完成設定通道。

1. 確定已選取您的 VPN 連線，然後按一下下載組態。
2. 選取廠商與平台設定「一般」，然後按一下下載，將組態的文字複本儲存至您的本機硬碟。
3. 在您選擇的文字編輯器中開啟下載的組態檔。請查看 IPSec Tunnel #1, section #1 Internet Key Exchange Configuration。您可以在此處找到自動產生的通道預先共用金鑰。儲存此值。
   AWS 可能會使用句號或底線字元 (. 或 _) 產生預先共用金鑰。OCI 不支援在預先共用金鑰中使用這些字元。必須變更包含這些值的金鑰。若要在 AWS 中變更通道的預先共用金鑰：

   1. 選取您的 VPN 連線，開啟動作功能表，然後選取修改 VPN 通道選項。
   2. 在下載的組態中仍在通道 1 之下，向下捲動至區段 #3 Tunnel Interface Configuration。
   3. 若要在 OCI 中完成網站至網站 VPN 組態，請記錄下列值：
      • 虛擬專用閘道的外部 IP 位址
      • 客戶閘道的內部 IP
      • 虛擬專用閘道的內部 IP
      • 虛擬專用閘道 BGP ASN。預設 ASN 為 64512。

建立 OCI 的客戶端設備

接著，您需要在網站至網站 VPN 端配置內部部署裝置 (客戶端設備，或稱 CPE)，以便在內部部署網路與虛擬雲端網路 (VCN) 之間流動流量。請使用下列程序。

1. 開啟導覽功能表，按一下網路。在客戶連線底下，按一下客戶端設備。
2. 按一下建立客戶端設備。
3. 輸入下列值：
   • 在區間中建立：選取所要 VCN 的區間。
   • 名稱：輸入 CPE 物件的描述性名稱。它不必是唯一的，之後就無法在主控台中變更 (但您可以使用 API 來變更)。請避免輸入機密資訊。此範例使用 TO_AWS 作為名稱。
   • IP 位址：輸入從 AWS 下載之組態中所顯示之「虛擬專用閘道」的外部 IP 位址。
   • CPE 廠商：選取其他。
4. 按一下建立 CPE 。

建立 OCI 的 IPSec 連線

現在，您需要建立 IPSec 通道並設定路由類型 (靜態或 BGP 動態路由)。請使用下列程序。

1. 開啟導覽功能表，按一下網路。在客戶連線底下，按一下網站至網站 VPN 。
2. 按一下建立 IPSec 連線。
   新的 IPSec 連線對話方塊便會顯示。
3. 輸入下列值：
   • 建立於隔離專區：保持原狀 (VCN 的隔離專區)。
   • 名稱：輸入 IPSec 連線的描述性名稱 (範例：OCI-AWS-1)。它不必是唯一的，您可以稍後加以變更。請避免輸入機密資訊。
   • 客戶端設備區間：保持原狀 (VCN 區間)。
   • 客戶端設備：選取您先前建立的 CPE 物件，名稱為 TO_AWS。
   • Dynamic Routing Gateway Compartment ：依原樣保留 (VCN 的區間)。
   • 動態路由閘道：選取先前建立的 DRG。
   • 靜態路由 CIDR ：輸入預設路由 0.0.0.0/0。

     作用中通道使用 BGP，因此 OCI 會忽略此路由。IPSec 連線的第二個通道需要一個項目，預設會使用靜態路由，但此案例中未使用位址。如果您計畫對此連線使用靜態路由，請輸入代表您 AWS 虛擬網路的靜態路由。每個 IPSec 連線最多可設定 10 個靜態路由。

4. 在「通道 1」頁籤中輸入下列詳細資訊 (必要)：
   • 名稱：輸入通道的描述性名稱 (範例：AWS-TUNNEL-1)。它不必是唯一的，您可以稍後加以變更。請避免輸入機密資訊。
   • 提供自訂共用加密密碼：輸入 IPSec 為此通道使用的預先共用金鑰。勾選此方塊後，從 AWS VPN 組態檔輸入預先共用金鑰。
   • IKE 版本：選取 IKEv2。
   • 路由類型：選取 BGP 動態路由。
   • BGP ASN ：輸入 AWS 所使用的 BGP ASN，如 AWS VPN 組態檔所示。預設的 AWS BGP ASN 為 64512。
   • IPv4 內部通道介面 - CPE ：從 AWS VPN 組態檔輸入 IP 位址內的虛擬專用閘道。對此 IP 位址使用完整的 CIDR 表示法。
   • IPv4 內部通道介面 - Oracle ：輸入 OCI 所使用的內部 IP 位址。從 AWS VPN 組態檔，輸入客戶閘道的內部 IP 位址。對此 IP 位址使用完整的 CIDR 表示法。
5. 按一下建立 IPSec 連線。
   IPSec 連線會在頁面上建立並顯示。連線在短時間內處於「佈建」狀態。
6. 在佈建 IPSec 連線之後，記下通道的 Oracle VPN IP 位址。此地址將用於在 AWS 入口網站中建立新的客戶閘道。
   1. 開啟導覽功能表，按一下 [ 網路 ]。在客戶連線底下，按一下網站至網站 VPN 。

      就會顯示您正在檢視之區間中的 IPSec 連線清單。如果您未見到所要尋找的連線，請確認您檢視的是正確的區間 (從頁面左邊的清單中選取)。

   2. 按一下您感興趣的 IPSec 連線 (範例：OCI-AWS-1)。
   3. 尋找 AWS-TUNNEL-1 的 Oracle VPN IP 位址。

建立新的 AWS 客戶閘道

現在，使用從 OCI IPSec 連線擷取的詳細資訊，在現有客戶閘道上方建立新的客戶閘道。

1. 在 AWS 主控台中，瀏覽至客戶閘道，然後輸入下列詳細資訊來建立客戶閘道：
   • 名稱：提供此客戶閘道的名稱。
   • 路由：選取「動態」。
   • BGP ASN ：輸入 OCI BGP ASN。Oracle 的商業雲端 BGP ASN 為 31898，但塞爾維亞中部 (約瓦諾瓦) 區域為 14544。
   • IP 位址：輸入通道 1 的 Oracle VPN IP 位址。使用前一個作業中儲存的 IP。
2. 若要完成佈建，請按一下建立客戶閘道。

使用新的 AWS 客戶閘道修改 VPN 連線

此作業會以使用 OCI VPN IP 位址的暫時客戶閘道取代。

1. 在 AWS 主控台上，瀏覽至網站至網站 VPN 連線並選取您的 VPN 連線。
2. 開啟動作功能表，然後選取修改 VPN 連線。
   修改 VPN 連線頁面便會顯示。
3. 請輸入下列詳細資訊：
   • 目標類型：從清單中選取客戶閘道。
   • 目標客戶閘道 ID：從清單中選取內含 OCI VPN IP 位址的新客戶閘道。
4. 完成時，按一下儲存以儲存組態。數分鐘後，AWS 將完成佈建 VPN 連線，並在 AWS 與 OCI 之間佈建 IPSec VPN。
5. 此時，您可以刪除暫時的客戶閘道。

驗證連線

瀏覽至 OCI 中的 IPSec 連線和 AWS 中的網站至網站 VPN 連線，以驗證通道狀態。

• 您在 IPSec 連線下的 OCI 通道會顯示使用中 (IPSec 狀態)，以確認作業通道。
• IPv4 BGP 狀態也會顯示向上，表示已建立的 BGP 階段作業。
• AWS 中「網站至網站 VPN」連線之通道詳細資訊頁籤上的通道狀態會顯示上移。

安裝管理閘道和代理程式

請參閱「使用管理閘道保護內部部署可觀察性資料上傳」，瞭解在網站至網站 VPN 環境中安裝代理程式和閘道的架構 (請參閱「探索其他項目」)。

安裝管理閘道

接下來，您需要安裝 Management Gateway。管理閘道應該能夠透過 IPSec VPN 通道與 OCI 服務進行通訊，而不是透過公用子網路進行通訊。由於此作業超出本文件的範圍，請參考「管理閘道安裝」以取得詳細步驟 (請參閱「探索更多」)。

安裝管理代理程式

首先，您需要安裝「管理代理程式」。由於此作業超出本文件的範圍，因此您可以參考「管理代理程式安裝」以取得詳細步驟 (請參閱「探索更多」)。

部署服務 Plugin

「管理代理程式」可讓您為不同的 OCI 服務部署服務 Plug-in。您可以將服務 Plug-in 建置到管理代理程式，以執行這些服務的作業。任何指定的管理代理程式都可以有多個服務 Plug-in。

將下列 Plug-in 建置在管理代理程式上。

• 資料庫管理和作業洞察分析
• 日誌記錄分析
• 作業洞察分析主機服務
• 堆疊監控

在代理程式上部署服務外掛程式

安裝「安裝管理代理程式」中所述的「管理代理程式」時，請使用此方法。

若要建置 Plug-in，請執行下列動作：

1. 從左側功能表中，按一下代理程式以開啟「代理程式」頁面。
2. 從代理程式清單中，按一下想要建置 Plug-in 的代理程式。將會顯示代理程式詳細資訊頁面。
3. 按一下部署 Plug-in 。建置 Plug-in 視窗就會顯示。請選取 Plug-in，然後按一下更新。選取的 Plug-in 將部署在想要的代理程式上。
4. 檢查代理程式首頁上代理程式和 Plug-in 的狀態。