Oracle Cloud Infrastructure - Dokumentation

Szenario B: Privates Subnetz mit einem VPN

In diesem Thema wird erläutert, wie Sie Szenario B einrichten, das aus einem virtuellen Cloud-Netzwerk (VCN) mit einem regionalen privaten Subnetz  besteht. Zu Redundanzzwecken befinden sich andere Server in separaten Availability-Domains . Das VCN verfügt über ein dynamisches Routinggateway  (DRG) und ein Site-to-Site-VPN für die Konnektivität mit Ihrem On-Premise-Netzwerk. Das VCN besitzt keine direkte Internetverbindung. Jede Verbindung zum Internet muss indirekt über das On-Premise-Netzwerk erfolgen.

Das Subnetz verwendet die Standardsicherheitsliste, die Standardregeln enthält, mit denen die ersten Schritte mit Oracle Cloud Infrastructure vereinfacht werden können. Die Regeln ermöglichen den typischerweise erforderlichen Zugriff (z.B. eingehende SSH-Verbindungen und beliebige ausgehende Verbindungen). Beachten Sie, dass Sicherheitslistenregeln Traffic nur zulassen. Jeder nicht ausdrücklich von einer Sicherheitslistenregel abgedeckte Traffic wird abgelehnt.

In diesem Szenario kann ein Legacy- oder upgegradetes DRG verwendet werden.

In diesem Szenario fügen Sie der Standardsicherheitsliste Regeln hinzu. Sie können stattdessen auch eine benutzerdefinierte Sicherheitsliste für diese Regeln erstellen. In dem Fall richten Sie anschließend das Subnetz so ein, dass sowohl die Standardsicherheitsliste als auch die benutzerdefinierte Sicherheitsliste verwendet werden.

Tipp

Sicherheitslisten sind eine Möglichkeit, den Traffic in die und aus den Ressourcen des VCN zu steuern. Sie können auch Netzwerksicherheitsgruppen verwenden, mit denen Sie ein Set von Sicherheitsregeln auf ein Set von Ressourcen anwenden können, die alle denselben Sicherheitsstatus aufweisen.

Das Subnetz verwendet die Standardroutentabelle, die beim Erstellen des VCN anfangs noch keine Regeln aufweist. In diesem Szenario enthält die Tabelle nur eine einzelne Regel für das DRG. Es ist keine Routingregel erforderlich, um den Traffic innerhalb des VCN selbst weiterzuleiten. Das Subnetz verwendet die Standardsicherheitsliste. Siehe folgende Abbildung.

In dieser Abbildung wird Szenario B dargestellt - ein VCN mit einem regionalen privaten Subnetz und einer VPN-IPSec-Verbindung.
Callout 1: Routentabelle für regionales privates Subnetz
Ziel-CIDR Routenziel
0.0.0.0/0 DRG
Tipp

Das Szenario verwendet ein Site-to-Site-VPN für Konnektivität. Sie können stattdessen auch Oracle Cloud Infrastructure FastConnect verwenden.

Voraussetzungen

Um das VPN in diesem Szenario einzurichten, benötigen Sie die folgenden Informationen von einem Netzwerkadministrator:

  • Öffentliche IP-Adresse des Customer Premises Equipment  (CPE) an Ihrem Ende des VPN
  • Statische Routen für Ihr On-Premise-Netzwerk (in diesem Szenario wird statisches Routing für die VPN-Tunnel verwendet, Sie können aber stattdessen auch dynamisches BGP-Routing verwenden)

Sie stellen Oracle diese Informationen bereit und erhalten dafür im Gegenzug die Informationen, die der Netzwerkadministrator benötigt, um das CPE an Ihrem Ende des VPN zu konfigurieren.

Erforderliche IAM-Policy

Um Oracle Cloud Infrastructure zu verwenden, muss Ihnen ein Administrator in einer Policy  Sicherheitszugriff erteilen. Dieser Zugriff ist erforderlich, unabhängig davon, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Nachricht erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Administrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment  Sie arbeiten sollen.

Wenn Sie Mitglied der Administratorengruppe sind, besitzen Sie bereits die erforderliche Zugriffsberechtigung zur Implementierung von Szenario B. Andernfalls müssen Sie auf Networking zugreifen und Instanzen starten können. Siehe IAM-Policys für Networking.

Szenario B einrichten

Die Einrichtung ist in der Konsole ganz einfach. Alternativ können Sie die Oracle Cloud Infrastructure-API verwenden, mit der Sie die einzelnen Vorgänge selbst ausführen können.

Wichtig

Im Rahmen dieses Prozesses müssen Sie hauptsächlich kurzzeitig mit der Konsole bzw. der API (je nach Wahl) arbeiten, um die erforderlichen Networking-Komponenten einzurichten. Bei einem entscheidenden Schritt muss jedoch ein Netzwerkadministrator in Ihrer Organisation anhand von Informationen, die Sie beim Einrichten der Komponenten erhalten, das CPE an Ihrem Ende des VPN konfigurieren. Deshalb können Sie diesen Prozess nicht in einer kurzen Session abschließen. Planen Sie eine Unterbrechung, während der Netzwerkadministrator die Konfiguration abschließt, und kehren Sie danach zurück, um die Kommunikation mit Ihren Instanzen über das VPN zu bestätigen.

Konsole verwenden

Aufgabe 1: VCN und Subnetz einrichten

  1. Erstellen Sie das VCN:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
    2. Wählen Sie unter Listengeltungsbereich ein Compartment aus, für das Sie berechtigt sind. Auf der Seite werden nur die Ressourcen in diesem Compartment angezeigt. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, wenden Sie sich an einen Administrator. Weitere Informationen finden Sie unter Zugriffskontrolle.
    3. Klicken Sie auf Virtuelles Cloud-Netzwerk erstellen.

    4. Geben Sie Folgendes ein:

      • Name: Ein aussagekräftiger Name für das VCN. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
      • In Compartment erstellen: Übernehmen Sie die Vorgabe.
      • CIDR-Block: Mindestens ein nicht sich nicht überschneidender CIDR-Block für das VCN. Beispiel: 172.16.0.0/16. Sie können CIDR-Blöcke später hinzufügen oder entfernen. Siehe Zulässige VCN-Größe und Adressbereiche. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.
      • IPv6-Adresszuweisung aktivieren: Die IPv6-Adressierung wird für alle kommerziellen Regionen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen.
      • DNS-Hostnamen in diesem VCN verwenden: Diese Option ist erforderlich, um Hosts im VCN DNS-Hostnamen zuzuweisen. Sie ist auch erforderlich, wenn Sie die Standard-DNS-Funktion des VCN verwenden möchten (als Internet- und VCN-Server bezeichnet). Wenn Sie diese Option auswählen, können Sie ein DNS-Label für das VCN angeben, oder Sie können die Konsole die Generierung eines Labels für Sie zulassen. Im Dialogfeld werden automatisch die entsprechenden DNS-Domainnamen für das VCN (<VCN_DNS_label>.oraclevcn.com) angezeigt. Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.
      • Tags: Übernehmen Sie die Vorgabe. Sie können Tags später bei Bedarf hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.

    5. Klicken Sie auf Virtuelles Cloud-Netzwerk erstellen.

      Das VCN wird dann erstellt und auf der Seite Virtuelle Cloud-Netzwerke im von Ihnen gewählten Compartment angezeigt.

  2. Erstellen Sie das regionale private Subnetz:

    1. Klicken Sie in der VCN-Anzeige auf Subnetz erstellen.

    2. Geben Sie Folgendes ein:

      • Name: Ein benutzerfreundlicher Name für das Subnetz (Beispiel: Regionales privates Subnetz). Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
      • Regional oder Availability-Domain-spezifisch: Wählen Sie Regional aus (empfohlen). Dies bedeutet, dass das Subnetz alle Availability-Domains in der Region umfasst. Wenn Sie später eine Instanz starten, können Sie sie in jeder Availability-Domain in der Region erstellen. Weitere Informationen finden Sie unter VCNs und Subnetze - Überblick.
      • CIDR-Block: Ein einzelner, zusammenhängender CIDR-Block im VCN-CIDR-Block. Beispiel: 172.16.0.0/24. Sie können diesen Wert später nicht ändern. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.
      • IPv6-Adresszuweisung aktivieren: Diese Option ist nur verfügbar, wenn sich das VCN in der US Government Cloud befindet. Weitere Informationen finden Sie unter IPv6-Adressen.
      • Routentabelle: Wählen Sie die Standardroutentabelle.
      • Privates oder öffentliches Subnetz: Wählen Sie Privates Subnetz aus. Das heißt, dass Instanzen im Subnetz keine öffentlichen IP-Adressen haben können. Weitere Informationen finden Sie unter Zugriff auf das Internet.
      • Use DNS Hostnames in this Subnet: This option is available only if a DNS label was provided for the VCN when it was created. Die Option ist für die Zuweisung von DNS-Hostnamen zu Hosts im Subnetz erforderlich und auch, wenn Sie das DNS-Standardfeature des VCN verwenden möchten (als Internet- und VCN-Resolver bezeichnet). Wenn Sie das Kontrollkästchen aktivieren, können Sie ein DNS-Label für das Subnetz angeben oder die Konsole ein Label für Sie generieren lassen. Im Dialogfeld wird automatisch der entsprechende DNS-Domainname für das Subnetz als FQDN angezeigt. Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.
      • DHCP-Optionen: Wählen Sie das Standardset von DHCP-Optionen.
      • Sicherheitslisten: Wählen Sie die Standardsicherheitsliste aus.
      • Tags: Übernehmen Sie die Vorgabe. Sie können Tags später bei Bedarf hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.

    3. Klicken Sie auf Subnetz erstellen.

      Das Subnetz wird dann erstellt und auf der Seite Subnetze angezeigt.

  3. Fügen Sie der Standardsicherheitsliste Regeln hinzu, die die von Ihren Instanzen im VCN benötigten Verbindungstypen zulassen:

    1. Klicken Sie auf der Seite, auf der Ihre VCN-Subnetze angezeigt werden, auf Sicherheitslisten und anschließend auf die Standardsicherheitsliste.
    2. Klicken Sie unter Ressourcen auf Ingress-Regeln oder Egress-Regeln, je nachdem, mit welchem Regeltyp Sie arbeiten möchten. Sie können jeweils eine Regel hinzufügen, indem Sie auf Ingress-Regel hinzufügen oder Egress-Regel hinzufügen klicken.

    3. Fügen Sie die gewünschten Regeln hinzu. Im Folgenden sind Regeln aufgeführt, die Sie den Standardregeln der Standardsicherheitsliste hinzufügen können:

      Beispiel: Ingress HTTP-Zugriff
      • Typ: Ingress
      • Zustandslos: Auswahl aufgehoben (dies ist eine Regel für zustandsbehafteten Traffic)
      • Quelltyp: CIDR
      • Quell-CIDR: 0.0.0.0/0
      • IP-Protokoll: TCP
      • Quellportbereich: Alle
      • Zielportbereich: 80
      • Beschreibung: Eine optionale Beschreibung der Regel.
      Beispiel: Ingress HTTPS-Zugriff
      • Typ: Ingress
      • Zustandslos: Auswahl aufgehoben (dies ist eine Regel für zustandsbehafteten Traffic)
      • Quelltyp: CIDR
      • Quell-CIDR: 0.0.0.0/0
      • IP-Protokoll: TCP
      • Quellportbereich: Alle
      • Zielportbereich: 443
      • Beschreibung: Eine optionale Beschreibung der Regel.
      Beispiel: Ingress-SQL*Net-Zugriff für Oracle-Datenbanken
      • Typ: Ingress
      • Zustandslos: Auswahl aufgehoben (dies ist eine Regel für zustandsbehafteten Traffic)
      • Quelltyp: CIDR
      • Quell-CIDR: 0.0.0.0/0
      • IP-Protokoll: TCP
      • Quellportbereich: Alle
      • Zielportbereich: 1521
      • Beschreibung: Eine optionale Beschreibung der Regel.
      Beispiel: Für Windows-Instanzen erforderlicher Ingress-RDP-Zugriff
      • Typ: Ingress
      • Zustandslos: Auswahl aufgehoben (dies ist eine Regel für zustandsbehafteten Traffic)
      • Quelltyp: CIDR
      • Quell-CIDR: 0.0.0.0/0
      • IP-Protokoll: TCP
      • Quellportbereich: Alle
      • Zielportbereich: 3389
      • Beschreibung: Eine optionale Beschreibung der Regel.
Tipp

Um zusätzliche Sicherheit zu gewährleisten, können Sie alle Regeln für zustandsbehafteten Ingress so ändern, dass nur Traffic vom VCN und On-Premise-Netzwerk zugelassen wird. Erstellen Sie jeweils separate Regeln - eine mit dem VCN-CIDR als Quelle und eine mit dem CIDR des On-Premise-Netzwerks als Quelle.

Bei einem Produktions-VCN richten Sie in der Regel eine oder mehrere benutzerdefinierte Sicherheitslisten für jedes Subnetz ein. Sie können das Subnetz gegebenenfalls bearbeiten, um andere Sicherheitslisten zu verwenden. Wenn Sie sich dafür entscheiden, die Standardsicherheitsliste nicht zu verwenden, müssen Sie sich sorgfältig überlegen, welche ihrer Standardregeln in Ihrer benutzerdefinierten Sicherheitsliste dupliziert werden sollen. Beispiel: Die ICMP-Standardregeln in der Standardsicherheitsliste sind für den Empfang von Konnektivitätsmeldungen wichtig.

Aufgabe 2: Instanzen in separaten Availability-Domains erstellen

Sie können jetzt eine oder mehrere Instanzen im Subnetz erstellen (siehe Instanz starten). Das Szenariodiagramm zeigt Instanzen in zwei verschiedenen Availability-Domains. Beim Erstellen der Instanz wählen Sie die vom VCN und Subnetz zu verwendende AD und verschiedene andere Merkmale aus.

Sie können jedoch noch nicht mit den Instanzen kommunizieren, weil kein Gateway das VCN mit Ihrem On-Premise-Netzwerk verbindet. Als Nächstes werden Sie durch die einzelnen Schritte zum Einrichten eines Site-to-Site-VPN geführt, um diese Kommunikation zu aktivieren.

Aufgabe 3: Site-to-Site-VPN zum VCN hinzufügen

  1. Erstellen Sie ein Customer Premises Equipment-(CPE-)Objekt:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Kunden-Premise-Geräte.

    2. Klicken Sie auf Customer Premises Equipment erstellen.
    3. Geben Sie Folgendes ein:
      • Erstellen in Compartment: Übernehmen Sie den Standardwert (das Compartment, in dem Sie derzeit arbeiten).
      • Name: Ein benutzerfreundlicher Name für das CPE-Objekt. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
      • IP-Adresse: Die öffentliche IP-Adresse des CPE an Ihrem Ende des VPN (siehe Voraussetzungen).
    4. Klicken Sie auf Erstellen.

    Das CPE-Objekt weist kurzfristig den Status "Provisioning wird ausgeführt" auf.

  2. Erstellen Sie ein dynamisches Routinggateway (DRG):

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

    2. Klicken Sie auf Dynamisches Routinggateway erstellen.
    3. Übernehmen Sie für Erstellen in Compartment den Standardwert (das Compartment, in dem Sie derzeit arbeiten).
    4. Geben Sie einen benutzerfreundlichen Namen für das DRG ein. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    5. Klicken Sie auf Erstellen.

    Das DRG weist kurzfristig den Status "Provisioning wird ausgeführt" auf. Warten Sie, bis das DRG vollständig bereitgestellt ist, bevor Sie fortfahren.

  3. Hängen Sie das DRG an Ihr VCN an:

    1. Klicken Sie auf das erstellte DRG.
    2. Klicken Sie unter Ressourcen auf Virtuelle Cloud-Netzwerke.
    3. Klicken Sie auf An virtuelles Cloud-Netzwerk anhängen.
    4. Wählen Sie das VCN aus. Ignorieren Sie den Abschnitt für erweiterte Optionen, der nur für ein erweitertes Routingszenario (als Transitrouting bezeichnet) gilt. Dieser Abschnitt ist hier nicht relevant.
    5. Klicken Sie auf Anhängen.

    Der Anhang weist kurzfristig den Status "Wird angehängt" auf. Warten Sie, bis dieser Prozess abgeschlossen ist.

  4. Aktualisieren Sie die Standardroutentabelle (die noch keine Regeln aufweist):

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
    2. Klicken Sie auf Ihr VCN.
    3. Klicken Sie unter Ressourcen auf Routentabellen, und klicken Sie anschließend auf die Standardroutentabelle.
    4. Klicken Sie auf Routingregel hinzufügen.

    5. Geben Sie Folgendes ein:

      • Zieltyp: Dynamisches Routinggateway. Das angehängte DRG des VCN wird automatisch als Ziel ausgewählt, sodass Sie es nicht selbst angeben müssen.
      • Ziel-CIDR-Block: 0.0.0.0/0 (d.h. der gesamte Nicht-Intra-VCN-Traffic, der noch nicht von anderen Regeln in der Routentabelle abgedeckt wird, wird zu dem in dieser Regel angegebenen Ziel geleitet).
      • Beschreibung: Eine optionale Beschreibung der Regel.

    6. Klicken Sie auf Routingregel hinzufügen.

      Die Standardroutentabelle des VCN leitet ausgehenden Traffic jetzt an das DRG und schließlich an Ihr On-Premise-Netzwerk weiter.

  5. Erstellen Sie eine IPSec-Verbindung:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

    2. Klicken Sie auf IPSec-Verbindung erstellen.

    3. Geben Sie Folgendes ein:

      • Erstellen in Compartment: Übernehmen Sie den Standardwert (das Compartment, in dem Sie derzeit arbeiten).
      • Name: Geben Sie einen benutzerfreundlichen Namen für die IPSec-Verbindung ein. Er muss nicht eindeutig sein. Geben Sie keine vertraulichen Informationen ein.
      • Compartment Customer Premises Equipment: Übernehmen Sie die Vorgabe (das Compartment des VCN).
      • Customer Premises Equipment: Wählen Sie das zuvor erstellte CPE-Objekt aus.
      • Compartment dynamisches Routinggateway: Übernehmen Sie die Vorgabe (das VCN-Compartment).
      • Dynamisches Routinggateway: Wählen Sie das zuvor erstellte DRG aus.
      • CIDR mit statischer Route: Geben Sie mindestens ein CIDR mit einer statischen Route ein (siehe Voraussetzungen). Wenn Sie weitere hinzufügen müssen, klicken Sie auf Statische Route hinzufügen. Sie können bis zu 10 statische Routen eingeben und die statischen Routen später ändern.
    4. Klicken Sie auf Erweiterte Optionen anzeigen, und geben Sie optional die folgenden Elemente an:

    5. Klicken Sie auf IPSec-Verbindung erstellen.

      Die IPSec-Verbindung wird erstellt und auf der Seite angezeigt. Die Verbindung weist kurzfristig den Status "Provisioning wird ausgeführt" auf.

      Die angezeigten Tunnelinformationen umfassen die IP-Adresse des VPN-Headend und den IPSec-Status des Tunnels (mögliche Werte sind "Hochgefahren", "Heruntergefahren" und "Wegen Wartung heruntergefahren"). An dieser Stelle lautet der Status "Heruntergefahren". Um das Shared Secret des Tunnel anzuzeigen, klicken Sie auf das Menü Aktionen (Menü Aktionen) und dann auf Shared Secret anzeigen.

    6. Kopieren Sie die Oracle-VPN-IP-Adresse und das Shared Secret für jeden der Tunnel, und geben Sie diese an den Netzwerktechniker weiter, der den On-Premise-Router konfiguriert.

      Weitere Informationen finden Sie unter CPE-Konfiguration. Sie können diese Tunnelinformationen jederzeit hier in der Konsole anzeigen.

Sie haben jetzt alle Komponenten erstellt, die für das Site-to-Site-VPN erforderlich sind. Als Nächstes muss der Netzwerktechniker das CPE-Gerät konfigurieren, bevor der Netzwerktraffic zwischen Ihrem On-Premise-Netzwerk und dem VCN fließen kann.

Aufgabe 4: CPE konfigurieren

Diese Anweisungen sind für den Netzwerkadministrator bestimmt.

  1. Stellen Sie sicher, dass Sie die Tunnelkonfigurationsinformationen, die Oracle beim Setup von VPN Connect zur Verfügung gestellt hat, griffbereit haben. Siehe Aufgabe 3: Site-to-Site-VPN zum VCN hinzufügen.
  2. Konfigurieren Sie Ihr CPE entsprechend den Informationen unter CPE-Konfiguration.

Wenn sich bereits Instanzen im Subnetz befinden, können Sie überprüfen, ob die IPsec-Verbindung hochgefahren und gestartet ist, indem Sie eine Verbindung zu den Instanzen über Ihr On-Premise-Netzwerk herstellen.

API verwenden

Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

Verwenden Sie die folgenden Vorgänge:

  1. CreateVcn: Nehmen Sie immer ein DNS-Label für das VCN auf, wenn die Instanzen Hostnamen erhalten sollen (siehe DNS in Ihrem virtuellen Cloud-Netzwerk).
  2. CreateSubnet: Erstellen Sie ein regionales privates Subnetz. Nehmen Sie ein DNS-Label für das Subnetz auf, wenn die Instanzen Hostnamen erhalten sollen. Verwenden Sie die Standardroutentabelle, die Standardsicherheitsliste und das Standardset von DHCP-Optionen.
  3. CreateDrg: Erstellt ein dynamisches Routinggateway (DRG).
  4. CreateDrgAttachment: Hängt das DRG an das VCN an.
  5. CreateCpe: Geben Sie die öffentliche IP-Adresse des CPE an Ihrem Ende des VPN an (siehe Voraussetzungen).
  6. CreateIPSecConnection: Geben Sie die statischen Routen für Ihr On-Premise-Netzwerk an (siehe Voraussetzungen). Der Befehl gibt die Konfigurationsinformationen zurück, die der Netzwerkadministrator zur Konfiguration des CPE benötigt. Wenn Sie diese Informationen später benötigen, können Sie sie mit GetIPSecConnectionDeviceConfig abrufen. Weitere Informationen zur Konfiguration finden Sie unter CPE-Konfiguration.
  7. UpdateRouteTable: Um die Kommunikation über das VPN zu ermöglichen, fügen Sie der Standardroutentabelle die folgende Route hinzu: eine Routingregel mit Destination = 0.0.0.0/0 und Ziel = das zuvor erstellte DRG.

  8. Rufen Sie zuerst GetSecurityList auf, um die Standardsicherheitsliste abzurufen, und rufen Sie anschließend UpdateSecurityList auf, um Regeln für die Verbindungstypen hinzuzufügen, die Ihre Instanzen im VCN benötigen. Beachten Sie, dass mit UpdateSecurityList das gesamte Regelset überschrieben wird. Im Folgenden werden Ihnen Regeln vorgeschlagen, die Sie hinzufügen können:

    • Zustandsbehafteter Ingress: Quelltyp=CIDR, Quell-CIDR=0.0.0.0/0, Protokoll=TCP, Quellport = all, Zielport=80 (für HTTP).
    • Zustandsbehafteter Ingress: Quelltyp=CIDR, Quell-CIDR=0.0.0.0/0, Protokoll=TCP, Quellport = all, Zielport=443 (für HTTPS).
    • Zustandsbehafteter Ingress: Quelltyp=CIDR, Quell-CIDR=0.0.0.0/0, Protokoll=TCP, Quellport = all, Zielport=1521 (für SQL*Net-Zugriff auf Oracle-Datenbanken).
    • Zustandsbehafteter Ingress: Quelltyp=CIDR, Quell-CIDR=0.0.0.0/0, Protokoll=TCP, Quellport = all, Zielport=3389 (für RDP; nur bei Verwendung von Windows-Instanzen erforderlich).
  9. LaunchInstance: Erstellen Sie eine oder mehrere Instanzen in dem Subnetz. Das Szenariodiagramm zeigt Instanzen in zwei verschiedenen Availability-Domains. Beim Erstellen der Instanz wählen Sie die vom VCN und Subnetz zu verwendende AD und verschiedene andere Merkmale aus. Weitere Informationen finden Sie unter Instanzen erstellen.
Tipp

Um zusätzliche Sicherheit zu gewährleisten, können Sie alle Regeln für zustandsbehafteten Ingress so ändern, dass nur Traffic vom VCN und On-Premise-Netzwerk zugelassen wird. Erstellen Sie jeweils separate Regeln - eine mit dem VCN-CIDR als Quelle und eine mit dem CIDR des On-Premise-Netzwerks als Quelle.
Wichtig

Sie können zwar Instanzen im Subnetz erstellen, aber erst mit diesen Instanzen aus Ihrem On-Premise-Netzwerk kommunizieren, wenn der Netzwerkadministrator Ihr CPE konfiguriert hat (siehe CPE-Konfiguration). Danach sollte das Site-to-Site-VPN hochgefahren und gestartet sein. Sie können ihren Status mit GetIPSecConnectionDeviceStatus überprüfen. Sie können auch überprüfen, ob das Site-to-Site-VPN hochgefahren ist, indem Sie eine Verbindung zu den Instanzen über Ihr On-Premise-Netzwerk herstellen.