Oracle Cloud Infrastructure - Dokumentation

Szenario C: Öffentliche und private Subnetze mit einem VPN

In diesem Thema wird erläutert, wie Sie Szenario C einrichten. Hierbei handelt es sich um ein einfaches Beispiel für ein Multi-Tier-Setup. Es besteht aus einem virtuellen Cloud-Netzwerk (VCN) mit einem regionalen öffentlichen Subnetz , das öffentliche Server (wie Webserver) enthält, und einem regionalen privaten Subnetz , das private Server (wie Datenbankserver) enthält. Zu Redundanzzwecken befinden sich Server in separaten Availability-Domains .

Das VCN verfügt über ein dynamisches Routinggateway  (DRG) und ein Site-to-Site-VPN für die Konnektivität mit Ihrem On-Premise-Netzwerk. Instanzen im öffentlichen Subnetz haben direkten Zugriff auf das Internet über ein Internetgateway . Instanzen im privaten Subnetz können Internetverbindungen über ein NAT-Gateway  initiieren (z.B. zum Abrufen von Softwareupdates), aber keine eingehenden Verbindungen vom Internet über dieses Gateway empfangen.

Jedes Subnetz verwendet die Standardsicherheitsliste, die Standardregeln enthält, mit denen die ersten Schritte mit Oracle Cloud Infrastructure vereinfacht werden können. Die Regeln ermöglichen den typischerweise erforderlichen Zugriff (z.B. eingehende SSH-Verbindungen und beliebige ausgehende Verbindungen). Beachten Sie, dass Sicherheitslistenregeln Traffic nur zulassen. Jeder nicht ausdrücklich von einer Sicherheitslistenregel abgedeckte Traffic wird abgelehnt.

Tipp

Sicherheitslisten sind eine Möglichkeit, den Traffic in die und aus den Ressourcen des VCN zu steuern. Sie können auch Netzwerksicherheitsgruppen verwenden, mit denen Sie ein Set von Sicherheitsregeln auf ein Set von Ressourcen anwenden können, die alle denselben Sicherheitsstatus aufweisen.

In diesem Szenario kann ein Legacy- oder upgegradetes DRG verwendet werden.

Jedes Subnetz verfügt zudem über eine eigene benutzerdefinierte Sicherheitsliste und eine benutzerdefinierte Routentabelle mit Regeln, die für die Anforderungen der Subnetzinstanzen spezifisch sind. In diesem Szenario wird die Standardroutentabelle des VCN (die anfangs immer leer ist) nicht verwendet.

Siehe folgende Abbildung.

In dieser Abbildung wird Szenario C dargestellt - ein VCN mit einem öffentlichen und privaten Subnetz, einem Internetgateway, einem NAT-Gateway und einer VPN-IPSec-Verbindung.
Callout 1: Routentabelle für regionales privates Subnetz
Ziel-CIDR Routenziel
0.0.0.0/0 NAT-Gateway
10.0.0.0/16 DRG
Callout 2: Routentabelle für regionales öffentliches Subnetz
Ziel-CIDR Routenziel
0.0.0.0/0 Internetgateway
Tipp

Das Szenario verwendet ein Site-to-Site-VPN für Konnektivität. Sie können stattdessen auch Oracle Cloud Infrastructure FastConnect verwenden.

Voraussetzungen

Um das VPN in diesem Szenario einzurichten, benötigen Sie die folgenden Informationen von einem Netzwerkadministrator:

  • Öffentliche IP-Adresse des Customer Premises Equipment  (CPE) an Ihrem Ende des VPN
  • Statische Routen für Ihr On-Premise-Netzwerk (in diesem Szenario wird statisches Routing für die VPN-Tunnel verwendet, Sie können aber stattdessen auch dynamisches BGP-Routing verwenden)

Sie stellen Oracle diese Informationen bereit und erhalten dafür im Gegenzug die Informationen, die der Netzwerkadministrator benötigt, um den On-Premise-Router an Ihrem Ende des VPN zu konfigurieren.

Erforderliche IAM-Policy

Um Oracle Cloud Infrastructure zu verwenden, muss Ihnen ein Administrator in einer Policy  Sicherheitszugriff erteilen. Dieser Zugriff ist erforderlich, unabhängig davon, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Nachricht erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Administrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment  Sie arbeiten sollen.

Wenn Sie Mitglied der Administratorengruppe sind, besitzen Sie bereits die erforderliche Zugriffsberechtigung zur Implementierung von Szenario C. Andernfalls müssen Sie auf Networking zugreifen und Instanzen starten können. Siehe IAM-Policys für Networking.

Szenario C einrichten

Die Einrichtung ist in der Konsole ganz einfach. Alternativ können Sie die Oracle Cloud Infrastructure-API verwenden, mit der Sie die einzelnen Vorgänge selbst ausführen können.

Wichtig

Im Rahmen dieses Prozesses müssen Sie hauptsächlich kurzzeitig mit der Konsole bzw. der API (je nach Wahl) arbeiten, um die erforderlichen Networking-Komponenten einzurichten. Bei einem entscheidenden Schritt muss außerdem ein Netzwerkadministrator in Ihrer Organisation anhand von Informationen, die Sie beim Einrichten der Komponenten erhalten, den On-Premise-Router an Ihrem Ende des VPN konfigurieren. Deshalb können Sie diesen Prozess nicht in einer kurzen Session abschließen. Machen Sie eine Pause, während der Netzwerkadministrator die Konfiguration abschließt, und bestätigen Sie dann die Kommunikation mit Ihren Instanzen über das VPN.

Konsole verwenden

Aufgabe 1: VCN und Subnetze einrichten

  1. Erstellen Sie das VCN:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
    2. Wählen Sie unter Listengeltungsbereich ein Compartment aus, für das Sie berechtigt sind. Auf der Seite werden nur die Ressourcen in diesem Compartment angezeigt. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, wenden Sie sich an einen Administrator. Weitere Informationen finden Sie unter Zugriffskontrolle.
    3. Klicken Sie auf Virtuelles Cloud-Netzwerk erstellen.

    4. Geben Sie Folgendes ein:

      • Name: Ein benutzerfreundlicher Name für das VCN. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
      • In Compartment erstellen: Übernehmen Sie die Vorgabe.
      • CIDR-Block: Mindestens ein nicht sich nicht überschneidender CIDR-Block für das VCN. Beispiel: 172.16.0.0/16. Sie können CIDR-Blöcke später hinzufügen oder entfernen. Siehe Zulässige VCN-Größe und Adressbereiche. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.
      • IPv6-Adresszuweisung aktivieren: Die IPv6-Adressierung wird für alle kommerziellen Regionen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen.
      • DNS-Hostnamen in diesem VCN verwenden: Diese Option ist erforderlich, um Hosts im VCN DNS-Hostnamen zuzuweisen. Sie ist auch erforderlich, wenn Sie die Standard-DNS-Funktion des VCN verwenden möchten (als Internet- und VCN-Server bezeichnet). Wenn Sie diese Option auswählen, können Sie ein DNS-Label für das VCN angeben, oder Sie können die Konsole die Generierung eines Labels für Sie zulassen. Im Dialogfeld werden automatisch die entsprechenden DNS-Domainnamen für das VCN (<VCN_DNS_label>.oraclevcn.com) angezeigt. Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.
      • Tags: Übernehmen Sie die Vorgabe. Sie können Tags später bei Bedarf hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.

    5. Klicken Sie auf Virtuelles Cloud-Netzwerk erstellen.

      Das VCN wird dann erstellt und auf der Seite Virtuelle Cloud-Netzwerke im von Ihnen gewählten Compartment angezeigt.

  2. Erstellen Sie ein Internetgateway für Ihr VCN:

    1. Klicken Sie unter Ressourcen auf Internetgateways.
    2. Klicken Sie auf Internetgateway erstellen.

    3. Geben Sie Folgendes ein:

      • Name: Ein benutzerfreundlicher Name für das Internetgateway. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
      • In Compartment erstellen: Übernehmen Sie die Vorgabe.
      • Tags: Übernehmen Sie die Vorgabe. Sie können Tags später bei Bedarf hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.

    4. Klicken Sie auf Internetgateway erstellen.

      Das Internetgateway wird erstellt und auf der Seite aufgelistet.

  3. Erstellen Sie ein NAT-Gateway für Ihr VCN:

    1. Klicken Sie unter Ressourcen auf NAT-Gateways.
    2. Klicken Sie auf NAT-Gateway erstellen.

    3. Geben Sie Folgendes ein:

      • Name: Ein benutzerfreundlicher Name für das NAT-Gateway. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
      • In Compartment erstellen: Übernehmen Sie die Vorgabe.
      • Tags: Übernehmen Sie die Vorgabe. Sie können Tags später bei Bedarf hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.

    4. Klicken Sie auf NAT-Gateway erstellen.

      Das NAT-Gateway wird erstellt und auf der Seite aufgelistet.

  4. Erstellen Sie die benutzerdefinierte Routentabelle für das öffentliche Subnetz (das Sie später erstellen):

    1. Klicken Sie unter Ressourcen auf Routentabellen.
    2. Klicken Sie auf Routentabelle erstellen.

    3. Geben Sie Folgendes ein:

      • Name: Ein benutzerfreundlicher Name für die Routentabelle (Beispiel: Routentabelle für öffentliches Subnetz). Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
      • Erstellen in Compartment: Übernehmen Sie den Standardwert (das Compartment, in dem Sie derzeit arbeiten).

      • Klicken Sie auf + Weitere Routingregel, und geben Sie Folgendes ein:

        • Zieltyp: Internetgateway.
        • Ziel-CIDR-Block: 0.0.0.0/0 (d.h. der gesamte Nicht-Intra-VCN-Traffic, der noch nicht von anderen Regeln in der Routentabelle abgedeckt wird, wird zu dem in dieser Regel angegebenen Ziel geleitet).
        • Compartment: Übernehmen Sie die Vorgabe.
        • Ziel: Das von Ihnen erstellte Internetgateway.
        • Beschreibung: Eine optionale Beschreibung der Regel.
    4. Tags: Übernehmen Sie die Vorgabe. Sie können Tags später hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.

    5. Klicken Sie auf Routentabelle erstellen.

      Die Routentabelle wird erstellt und auf der Seite aufgelistet.

  5. Erstellen Sie die benutzerdefinierte Routentabelle für das private Subnetz (das Sie später erstellen):

    1. Klicken Sie auf Routentabelle erstellen.

    2. Geben Sie Folgendes ein:

      • Name: Ein benutzerfreundlicher Name für die Routentabelle (Beispiel: Routentabelle für privates Subnetz). Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
      • Erstellen in Compartment: Übernehmen Sie den Standardwert (das Compartment, in dem Sie derzeit arbeiten).

      • Klicken Sie auf + Weitere Routingregel, und geben Sie Folgendes ein:

        • Zieltyp: NAT-Gateway.
        • Ziel-CIDR-Block: 0.0.0.0/0 (d.h. der gesamte Nicht-Intra-VCN-Traffic, der noch nicht von anderen Regeln in der Routentabelle abgedeckt wird, wird zu dem in dieser Regel angegebenen Ziel geleitet).
        • Compartment: Übernehmen Sie die Vorgabe.
        • Ziel: Das erstellte NAT-Gateway.
        • Beschreibung: Eine optionale Beschreibung der Regel.
    3. Tags: Übernehmen Sie die Vorgabe. Sie können Tags später hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.

    4. Klicken Sie auf Routentabelle erstellen.

      Die Routentabelle wird erstellt und auf der Seite aufgelistet. Nachdem Sie das Site-to-Site-VPN eingerichtet haben, aktualisieren Sie die Routentabelle für das private Subnetz, sodass Traffic vom privaten Subnetz über das DRG zum On-Premise-Netzwerk weitergeleitet wird.

  6. Fügen Sie der Standardsicherheitsliste Regeln hinzu, die die von Ihren Instanzen im VCN benötigten Verbindungstypen zulassen:

    1. Klicken Sie unter Ressourcen auf Sicherheitslisten.
    2. Klicken Sie auf die Standardsicherheitsliste, um die zugehörigen Details anzuzeigen. Standardmäßig gelangen Sie auf die Seite Ingress-Regeln.
    3. Bearbeiten Sie alle vorhandenen Regeln für zustandsbehafteten Ingress so, dass das CIDR für Ihr On-Premise-Netzwerk (in diesem Beispiel 10.0.0.0/16) das Quell-CIDR und nicht 0.0.0.0/0 ist. To edit an existing rule, click the Actions menu (Menü Aktionen) for the rule, and then click Edit.

    4. Wenn Sie Windows-Instanzen starten möchten, fügen Sie eine Regel zum Aktivieren des RPD-Zugriffs hinzu:

  7. Erstellen Sie eine benutzerdefinierte Sicherheitsliste für das öffentliche Subnetz:

    1. Kehren Sie zu der Seite Sicherheitslisten für das VCN zurück.
    2. Klicken Sie auf Sicherheitsliste erstellen.

    3. Geben Sie Folgendes ein:

      • Name: Geben Sie einen benutzerfreundlichen Namen für die Liste ein (Beispiel: Sicherheitsliste für öffentliches Subnetz). Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
      • Erstellen in Compartment: Übernehmen Sie den Standardwert (das Compartment, in dem Sie derzeit arbeiten).

    4. Fügen Sie die folgenden Ingress-Regeln hinzu:

      Beispiel: Ingress HTTP-Zugriff
      • Typ: Ingress
      • Zustandslos: Auswahl aufgehoben (dies ist eine Regel für zustandsbehafteten Traffic)
      • Quelltyp: CIDR
      • Quell-CIDR: 0.0.0.0/0
      • IP-Protokoll: TCP
      • Quellportbereich: Alle
      • Zielportbereich: 80
      • Beschreibung: Eine optionale Beschreibung der Regel.
      Beispiel: Ingress HTTPS-Zugriff
      • Typ: Ingress
      • Zustandslos: Auswahl aufgehoben (dies ist eine Regel für zustandsbehafteten Traffic)
      • Quelltyp: CIDR
      • Quell-CIDR: 0.0.0.0/0
      • IP-Protokoll: TCP
      • Quellportbereich: Alle
      • Zielportbereich: 443
      • Beschreibung: Eine optionale Beschreibung der Regel.

    5. Fügen Sie die folgende Egress-Regel hinzu:

    6. Klicken Sie auf Sicherheitsliste erstellen.

      Die benutzerdefinierte Sicherheitsliste für das öffentliche Subnetz wird dann erstellt und auf der Seite aufgeführt.

  8. Erstellen Sie eine benutzerdefinierte Sicherheitsliste für das private Subnetz:

    1. Klicken Sie auf Sicherheitsliste erstellen.

    2. Geben Sie Folgendes ein:

      • Name: Geben Sie einen benutzerfreundlichen Namen für die Liste ein (Beispiel: Sicherheitsliste für privates Subnetz). Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
      • Erstellen in Compartment: Übernehmen Sie den Standardwert (das Compartment, in dem Sie derzeit arbeiten).

    3. Fügen Sie die folgenden Ingress-Regeln hinzu:

      Beispiel: Ingress SQL*Net-Zugriff von Clients im öffentlichen Subnetz
      • Typ: Ingress
      • Zustandslos: Auswahl aufgehoben (dies ist eine Regel für zustandsbehafteten Traffic)
      • Quelltyp: CIDR
      • Quell-CIDR: CIDR für das öffentliche Subnetz (in diesem Beispiel 172.16.1.0/24)
      • IP-Protokoll: TCP
      • Quellportbereich: Alle
      • Zielportbereich: 1521
      • Beschreibung: Eine optionale Beschreibung der Regel.
      Beispiel: Ingress SQL*Net-Zugriff von Clients im privaten Subnetz
      • Typ: Ingress
      • Zustandslos: Auswahl aufgehoben (dies ist eine Regel für zustandsbehafteten Traffic)
      • Quelltyp: CIDR
      • Quell-CIDR: CIDR für das private Subnetz (in diesem Beispiel 172.16.2.0/24)
      • IP-Protokoll: TCP
      • Quellportbereich: Alle
      • Zielportbereich: 1521
      • Beschreibung: Eine optionale Beschreibung der Regel.

    4. Fügen Sie die folgenden Egress-Regeln hinzu:

    5. Klicken Sie auf Sicherheitsliste erstellen.

      Die benutzerdefinierte Sicherheitsliste für das private Subnetz wird dann erstellt und auf der Seite aufgeführt.

  9. Erstellen Sie die Subnetze im VCN:

    1. Klicken Sie unter Ressourcen auf Subnetze.
    2. Klicken Sie auf Subnetz erstellen.

    3. Geben Sie Folgendes ein:

      • Name: Ein benutzerfreundlicher Name für das regionale öffentliche Subnetz (Beispiel: Regionales privates Subnetz). Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
      • Regional oder Availability-Domain-spezifisch: Wählen Sie Regional aus (empfohlen). Dies bedeutet, dass das Subnetz alle Availability-Domains in der Region umfasst. Wenn Sie später eine Instanz starten, können Sie sie in jeder Availability-Domain in der Region erstellen. Weitere Informationen finden Sie unter VCNs und Subnetze - Überblick.
      • CIDR-Block: Ein einzelner, zusammenhängender CIDR-Block im VCN-CIDR-Block. Beispiel: 172.16.1.0/24. Sie können diesen Wert später nicht ändern. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.
      • IPv6-Adresszuweisung aktivieren: Diese Option ist nur verfügbar, wenn das VCN für IPv6 aktiviert ist. Die IPv6-Adressierung wird für alle kommerziellen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen.
      • Routentabelle: Wählen Sie die zuvor erstellte Routentabelle für das private Subnetz aus.
      • Privates oder öffentliches Subnetz: Wählen Sie Privates Subnetz aus. Das bedeutet, dass VNICs im Subnetz keine öffentlichen IP-Adressen haben dürfen. Weitere Informationen finden Sie unter Zugriff auf das Internet.
      • Use DNS Hostnames in this Subnet: This option is available only if a DNS label was provided for the VCN when it was created. Die Option ist für die Zuweisung von DNS-Hostnamen zu Hosts im Subnetz erforderlich und auch, wenn Sie das DNS-Standardfeature des VCN verwenden möchten (als Internet- und VCN-Resolver bezeichnet). Wenn Sie das Kontrollkästchen aktivieren, können Sie ein DNS-Label für das Subnetz angeben oder die Konsole ein Label für Sie generieren lassen. Im Dialogfeld wird automatisch der entsprechende DNS-Domainname für das Subnetz als FQDN angezeigt. Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.
      • DHCP-Optionen: Wählen Sie das Standardset von DHCP-Optionen.
      • Sicherheitslisten: Wählen Sie zwei Sicherheitslisten aus: die Standardsicherheitsliste und die zuvor erstellte Sicherheitsliste für das private Subnetz.

    4. Klicken Sie auf Subnetz erstellen.

      Das private Subnetz wird erstellt und auf der Seite Subnetze angezeigt.

    5. Wiederholen Sie die vorherigen Schritte a bis d, um das regionale öffentliche Subnetz zu erstellen. Verwenden Sie stattdessen einen Namen wie Regionales öffentliches Subnetz, wählen Sie Öffentliches Subnetz anstelle von Privates Subnetz aus, verwenden Sie die Routentabelle für das öffentliche Subnetz, und verwenden Sie sowohl die Standardsicherheitsliste als auch die zuvor erstellte Sicherheitsliste für das öffentliche Subnetz.
Beispiel: Für Windows-Instanzen erforderlicher Ingress-RDP-Zugriff
  • Typ: Ingress
  • Zustandslos: Auswahl aufgehoben (dies ist eine Regel für zustandsbehafteten Traffic)
  • Quelltyp: CIDR
  • Quell-CIDR: Ihr On-Premise-Netzwerk (in diesem Beispiel 10.0.0.0/16)
  • IP-Protokoll: TCP
  • Quellportbereich: Alle
  • Zielportbereich: 3389
  • Beschreibung: Eine optionale Beschreibung der Regel.
Beispiel: Egress-SQL*Net-Zugriff auf Oracle-Datenbanken
  • Typ: Egress
  • Zustandslos: Auswahl aufgehoben (dies ist eine Regel für zustandsbehafteten Traffic)
  • Zieltyp: CIDR
  • Ziel-CIDR: CIDR für das private Subnetz (in diesem Beispiel 172.16.1.0/24)
  • IP-Protokoll: TCP
  • Quellportbereich: Alle
  • Zielportbereich: 1521
  • Beschreibung: Eine optionale Beschreibung der Regel.
Beispiel: Egress SQL*Net-Zugriff auf Instanzen im privaten Subnetz
  • Typ: Egress
  • Zustandslos: Auswahl aufgehoben (dies ist eine Regel für zustandsbehafteten Traffic)
  • Zieltyp: CIDR
  • Ziel-CIDR: CIDR für das private Subnetz (in diesem Beispiel 172.16.1.0/24)
  • IP-Protokoll: TCP
  • Quellportbereich: Alle
  • Zielportbereich: 1521
  • Beschreibung: Eine optionale Beschreibung der Regel.
Aufgabe 2: Instanzen in separaten Availability-Domains erstellen

Sie können jetzt eine oder mehrere Instanzen im Subnetz erstellen (siehe Instanz starten). Das Szenariodiagramm zeigt Instanzen in zwei verschiedenen Availability-Domains. Beim Erstellen der Instanz wählen Sie die vom VCN und Subnetz zu verwendende AD und verschiedene andere Merkmale aus.

Für jede Instanz im öffentlichen Subnetz müssen Sie eine öffentliche IP-Adresse zuweisen. Andernfalls ist die Instanz nicht für Ihr On-Premise-Netzwerk verfügbar.

Sie können die Instanzen im privaten Subnetz noch nicht erreichen, weil kein Gateway das VCN mit Ihrem On-Premise-Netzwerk verbindet. Als Nächstes werden Sie durch die einzelnen Schritte zum Einrichten eines Site-to-Site-VPN geführt, um diese Kommunikation zu aktivieren.

Aufgabe 3: Site-to-Site-VPN zum VCN hinzufügen

  1. Erstellen Sie ein CPE-Objekt (Customer Premises Equipment):

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Kunden-Premise-Geräte.

    2. Klicken Sie auf Customer Premises Equipment erstellen.

    3. Geben Sie Folgendes ein:

      • Erstellen in Compartment: Übernehmen Sie den Standardwert (das Compartment, in dem Sie derzeit arbeiten).
      • Name: Ein benutzerfreundlicher Name für das CPE-Objekt. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
      • IP-Adresse: Die IP-Adresse des On-Premise-Routers an Ihrem Ende des VPN (siehe Voraussetzungen).
    4. Klicken Sie auf Erstellen.

    Das CPE-Objekt weist kurzfristig den Status "Provisioning wird ausgeführt" auf.

  2. Erstellen Sie ein dynamisches Routinggateway (DRG):

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

    2. Klicken Sie auf Dynamisches Routinggateway erstellen.
    3. Übernehmen Sie für Erstellen in Compartment den Standardwert (das Compartment, in dem Sie derzeit arbeiten).
    4. Geben Sie einen benutzerfreundlichen Namen für das DRG ein. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    5. Klicken Sie auf Erstellen.

    Das DRG weist kurzfristig den Status "Provisioning wird ausgeführt" auf. Warten Sie, bis das Provisioning vollständig abgeschlossen ist, bevor Sie fortfahren.

  3. Hängen Sie das DRG an Ihr VCN an:

    1. Klicken Sie auf das erstellte DRG.
    2. Klicken Sie unter Ressourcen auf Virtuelle Cloud-Netzwerke.
    3. Klicken Sie auf An virtuelles Cloud-Netzwerk anhängen.
    4. Wählen Sie das VCN aus. Ignorieren Sie den Abschnitt für erweiterte Optionen, der nur für ein erweitertes Routingszenario (als Transitrouting bezeichnet) gilt. Dieser Abschnitt ist hier nicht relevant.
    5. Klicken Sie auf Anhängen.

    Der Anhang weist kurzfristig den Status "Wird angehängt" auf.

  4. Aktualisieren Sie die Routentabelle des privaten Subnetzes (die bereits eine Regel für das NAT-Gateway enthält):

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
    2. Klicken Sie auf Ihr VCN.
    3. Klicken Sie auf Routentabellen und danach auf die zuvor erstellte Routentabelle für das private Subnetz.
    4. Klicken Sie auf Routingregel hinzufügen.

    5. Geben Sie Folgendes ein:

      • Zieltyp: Dynamisches Routinggateway. Das angehängte DRG des VCN wird automatisch als Ziel ausgewählt, sodass Sie es nicht selbst angeben müssen.
      • Ziel-CIDR-Block: 0.0.0.0/0 (d.h. der gesamte Nicht-Intra-VCN-Traffic, der noch nicht von anderen Regeln in der Routentabelle abgedeckt wird, wird zu dem in dieser Regel angegebenen Ziel geleitet).
      • Beschreibung: Eine optionale Beschreibung der Regel.

    6. Klicken Sie auf Routingregel hinzufügen.

      Die Tabelle wird aktualisiert, sodass Traffic, der für Ihr On-Premise-Netzwerk bestimmt ist, an das DRG weitergeleitet wird. Die ursprüngliche Regel für 0.0.0.0/0 leitet allen verbleibenden Traffic, der das Subnetz verlässt, an das NAT-Gateway weiter.

  5. Erstellen Sie eine IPSec-Verbindung:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

    2. Klicken Sie auf IPSec-Verbindung erstellen.

    3. Geben Sie Folgendes ein:

      • Erstellen in Compartment: Übernehmen Sie den Standardwert (das Compartment, in dem Sie derzeit arbeiten).
      • Name: Geben Sie einen benutzerfreundlichen Namen für die IPSec-Verbindung ein. Er muss nicht eindeutig sein. Geben Sie keine vertraulichen Informationen ein.
      • Compartment Customer Premises Equipment: Übernehmen Sie die Vorgabe (das Compartment des VCN).
      • Customer Premises Equipment: Wählen Sie das zuvor erstellte CPE-Objekt aus.
      • Compartment dynamisches Routinggateway: Übernehmen Sie die Vorgabe (das VCN-Compartment).
      • Dynamisches Routinggateway: Wählen Sie das zuvor erstellte DRG aus.
      • CIDR mit statischer Route: Geben Sie mindestens ein CIDR mit einer statischen Route ein (siehe Voraussetzungen). Wenn Sie weitere hinzufügen müssen, klicken Sie auf Statische Route hinzufügen. Sie können bis zu 10 statische Routen eingeben und die statischen Routen später ändern.
    4. Klicken Sie auf Erweiterte Optionen anzeigen, und geben Sie optional die folgenden Elemente an:

    5. Klicken Sie auf IPSec-Verbindung erstellen.

      Die IPSec-Verbindung wird erstellt und auf der Seite angezeigt. Die Verbindung weist kurzfristig den Status "Provisioning wird ausgeführt" auf.

      Die angezeigten Tunnelinformationen umfassen die IP-Adresse des VPN-Headend und den IPSec-Status des Tunnels (mögliche Werte sind "Hochgefahren", "Heruntergefahren" und "Wegen Wartung heruntergefahren"). An dieser Stelle lautet der Status "Heruntergefahren". Um das Shared Secret des Tunnel anzuzeigen, klicken Sie auf das Menü Aktionen (Menü Aktionen) und dann auf Shared Secret anzeigen.

    6. Kopieren Sie die Oracle-VPN-IP-Adresse und das Shared Secret für jeden der Tunnel in eine E-Mail oder einen anderen Speicherort, um diese an den Netzwerktechniker übermitteln zu können, der den On-Premise-Router konfiguriert.

      Weitere Informationen finden Sie unter CPE-Konfiguration. Sie können diese Tunnelinformationen jederzeit hier in der Konsole anzeigen.

Sie haben jetzt alle Komponenten erstellt, die für das Site-to-Site-VPN erforderlich sind. Als Nächstes muss der Netzwerkadministrator den On-Premise-Router konfigurieren, bevor der Netzwerktraffic zwischen Ihrem On-Premise-Netzwerk und dem VCN fließen kann.

Aufgabe 4: On-Premise-Router (CPE) konfigurieren

Diese Anweisungen sind für den Netzwerkadministrator bestimmt.

  1. Rufen Sie die Tunnelkonfigurationsinformationen ab, die Oracle beim Setup des VPN zur Verfügung gestellt hat. Siehe Aufgabe 3: Site-to-Site-VPN zum VCN hinzufügen.
  2. Konfigurieren Sie Ihren On-Premise-Router entsprechend den Informationen unter CPE-Konfiguration.

Wenn sich bereits Compute-Instanzen in einem der Subnetze befinden, können Sie überprüfen, ob die IPsec-Verbindung hochgefahren und gestartet ist, indem Sie eine Verbindung zu den Instanzen über Ihr On-Premise-Netzwerk herstellen. Um eine Verbindung zu Instanzen im öffentlichen Subnetz herzustellen, müssen Sie eine Verbindung zur öffentlichen IP-Adresse der Instanz herstellen.

API verwenden

Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

Verwenden Sie die folgenden Vorgänge:

  • CreateVcn: Nehmen Sie immer ein DNS-Label auf, wenn das VCN den VCN-Resolver verwenden soll (siehe DNS in Ihrem virtuellen Cloud-Netzwerk).
  • CreateInternetGateway
  • CreateNatGateway
  • CreateRouteTable: Rufen Sie diesen Befehl auf, um die Routentabelle für das öffentliche Subnetz zu erstellen. Um die Kommunikation über das Internetgateway zu aktivieren, fügen Sie eine Routingregel mit Destination = 0.0.0.0/0 und Ziel = das zuvor erstellte Internetgateway hinzu.
  • CreateRouteTable: Rufen Sie diesen Befehl erneut auf, um die Routentabelle für das private Subnetz zu erstellen. Um die Kommunikation über das NAT-Gateway zu aktivieren, fügen Sie eine Routingregel mit Destination = 0.0.0.0/0 und Ziel = das zuvor erstellte NAT-Gateway hinzu.

  • Rufen Sie zuerst GetSecurityList auf, um die Standardsicherheitsliste abzurufen, und rufen Sie anschließend UpdateSecurityList auf:

    • Ändern Sie die vorhandenen Regeln für zustandsbehafteten Ingress, sodass das CIDR des On-Premise-Netzwerks als Quell-CIDR verwendet wird, und nicht 0.0.0.0/0.
    • Wenn Sie Windows-Instanzen starten möchten, fügen Sie die folgende Regel für zustandsbehafteten Ingress hinzu: Quelltyp = CIDR, Quell-CIDR = Ihr On-Premise-Netzwerk auf TCP, Quellport = all, Zielport = 3389 (für RDP).

  • CreateSecurityList: Rufen Sie diesen Befehl auf, um die Sicherheitsliste für das öffentliche Subnetz mit den folgenden Regeln zu erstellen:

    • Zustandsbehafteter Ingress: Quelltyp = CIDR, Quelle 0.0.0.0/0 auf TCP, Quellport = all, Zielport = 80 (HTTP)
    • Zustandsbehafteter Ingress: Quelltyp = CIDR, Quelle 0.0.0.0/0 auf TCP, Quellport = all, Zielport = 443 (HTTPS)
    • Zustandsbehafteter Egress: Zieltyp = CIDR, Ziel-CIDR-Blöcke von privaten Subnetzen auf TCP, Quellport = all, Zielport = 1521 (für Oracle-Datenbanken)

  • CreateSecurityList: Rufen Sie diesen Befehl erneut auf, um die Sicherheitsliste für das private Subnetz mit den folgenden Regeln zu erstellen:

    • Zustandsbehafteter Ingress: Quelltyp = CIDR, Quell-CIDR-Blöcke von öffentlichen Subnetzen auf TCP, Quellport = all, Zielport = 1521 (für Oracle-Datenbanken)
    • Zustandsbehafteter Ingress: Quelltyp = CIDR, Quell-CIDR-Blöcke von privaten Subnetzen auf TCP, Quellport = all, Zielport = 1521 (für Oracle-Datenbanken)
    • Zustandsbehafteter Egress: Zieltyp = CIDR, Ziel-CIDR-Blöcke von privaten Subnetzen auf TCP, Quellport = all, Zielport = 1521 (für Oracle-Datenbanken)
  • CreateSubnet: Rufen Sie diesen Befehl auf, um ein regionales öffentliches Subnetz zu erstellen. Nehmen Sie ein DNS-Label für das Subnetz auf, wenn der VCN-Resolver Hostnamen für VNICs im Subnetz auflösen soll. Verwenden Sie die zuvor erstellte Routentabelle für das öffentliche Subnetz. Verwenden Sie sowohl die Standardsicherheitsliste als auch die zuvor erstellte Sicherheitsliste für das öffentliche Subnetz. Verwenden Sie das Standardset von DHCP-Optionen.
  • CreateSubnet: Rufen Sie diesen Befehl erneut auf, um ein regionales privates Subnetz zu erstellen. Nehmen Sie ein DNS-Label für das Subnetz auf, wenn der VCN-Resolver Hostnamen für VNICs im Subnetz auflösen soll. Verwenden Sie die zuvor erstellte Routentabelle für das private Subnetz. Verwenden Sie sowohl die Standardsicherheitsliste als auch die zuvor erstellte Sicherheitsliste für das private Subnetz. Verwenden Sie das Standardset von DHCP-Optionen.
  • CreateDrg: Erstellt ein dynamisches Routinggateway (DRG).
  • CreateDrgAttachment: Hängt das DRG an das VCN an.
  • CreateCpe: Hier geben Sie die IP-Adresse des Routers an Ihrem Ende des VPN an (siehe Voraussetzungen).
  • CreateIPSecConnection: Hier geben Sie die statischen Routen für Ihr On-Premise-Netzwerk an (siehe Voraussetzungen). Im Gegenzug erhalten Sie die Konfigurationsinformationen, die der Netzwerkadministrator benötigt, um Ihren Router zu konfigurieren. Wenn Sie diese Informationen später benötigen, können Sie sie mit GetIPSecConnectionDeviceConfig abrufen. Weitere Informationen zur Konfiguration finden Sie unter CPE-Konfiguration.
  • Rufen Sie zuerst GetRouteTable auf, um die Routentabelle für das private Subnetz abzurufen. Rufen Sie dann UpdateRouteTable auf, um eine Routingregel mit Destination = On-Premise-Netzwerk-CIDR (in diesem Beispiel 10.0.0.0/16) und Ziel = das zuvor erstellte DRG hinzuzufügen.
  • LaunchInstance: Starten Sie mindestens eine Instanz in jedem Subnetz. Standardmäßig werden den Instanzen in den öffentlichen Subnetzen öffentliche IP-Adressen zugewiesen. Weitere Informationen finden Sie unter Instanzen erstellen.

Sie können jetzt über das Internetgateway von Ihrem On-Premise-Netzwerk mit den Instanzen im öffentlichen Subnetz kommunizieren.

Wichtig

Sie können zwar Instanzen in den privaten Subnetze starten, doch können Sie mit diesen erst aus Ihrem On-Premise-Netzwerk kommunizieren, wenn der Netzwerkadministrator Ihren On-Premise-Router konfiguriert hat (siehe CPE-Konfiguration). Danach ist die IPsec-Verbindung hochgefahren und gestartet. Sie können ihren Status mit GetIPSecConnectionDeviceStatus überprüfen. Sie können auch überprüfen, ob die IPSec-Verbindung hochgefahren ist, indem Sie eine Verbindung zu den Instanzen über Ihr On-Premise-Netzwerk herstellen.