Documentação do Oracle Cloud Infrastructure

Conexão pela VPN Site a Site

Este tópico descreve uma forma de configurar uma conexão entre uma rede IP do Oracle Cloud Infrastructure Classic e uma VCN (rede virtual na nuvem) do Oracle Cloud Infrastructure. A conexão é executada por meio da VPN Site a Site.

Outra opção é fazer com que a Oracle configure uma conexão na rede da Oracle. Para obter mais informações, consulte Conexão na Rede da Oracle.

Destaques

  • Você pode executar uma carga de trabalho híbrida entre os seus ambientes do Oracle Cloud Infrastructure Classic e do Oracle Cloud Infrastructure.
  • Você configura a VPN Site a Site entre o gateway VPNaaS (VPN as a Service) da rede IP e o gateway de roteamento dinâmico (DRG) anexado da VCN. A conexão é estabelecida na internet. Você configura regras de roteamento e segurança nos ambientes para permitir o tráfego.
  • Os dois ambientes não devem ter CIDRs que se sobreponham. Por meio da conexão, os recursos de nuvem só podem se comunicar com endereços IP privados.
  • Os dois ambientes não precisam estar na mesma região ou área geográfica.
  • A conexão está disponível sem custo.

Visão Geral

Você pode conectar o seu ambiente do Oracle Cloud Infrastructure e do Oracle Cloud Infrastructure Classic à VPN Site a Site. A conexão facilita uma implantação híbrida com componentes do aplicativo que são configurados nos dois ambientes. Você também pode usar a conexão para migrar cargas de trabalho do Oracle Cloud Infrastructure Classic para o Oracle Cloud Infrastructure. Comparação com o uso da rede Oracle para a conexão: você mesmo pode configurar a VPN Site a Site em alguns minutos. Em comparação com o FastConnect: você não incorre no custo adicional e na sobrecarga operacional de trabalhar com um parceiro FastConnect.

O diagrama a seguir mostra um exemplo de uma implantação híbrida. O Oracle Analytics Cloud está sendo executado em uma rede IP do Oracle Cloud Infrastructure Classic e está acessando o serviço Database do Oracle Cloud Infrastructure por meio dessa conexão.

Esse diagrama mostra a conexão entre uma rede IP e uma VCN.

Outros detalhes importantes a saber:

  • A conexão é suportada nas regiões do Oracle Cloud Infrastructure e do Oracle Cloud Infrastructure Classic. Os dois ambientes não precisam estar na mesma área geográfica.
  • A conexão permite uma comunicação que usa somente endereços IP privados.
  • Os blocos CIDR da rede IP e das sub-redes VCN que precisarem se comunicar não deverão se sobrepor.
  • Essa conexão permite apenas a comunicação entre recursos da rede IP do Oracle Cloud Infrastructure Classic e da VCN do Oracle Cloud Infrastructure. Ela não permite o tráfego entre a sua rede local e a VCN por meio da rede IP nem o tráfego entre a sua rede local e a rede IP por meio da VCN.
  • A conexão também não permite que o tráfego flua da rede IP (por meio da VCN conectada) para uma VCN pareada na mesma região do Oracle Cloud Infrastructure ou em outra região.

A tabela a seguir resume os componentes de rede comparáveis necessários em cada lado da conexão.

Componente Oracle Cloud Infrastructure Classic Oracle Cloud Infrastructure
Rede na nuvem Rede IP VCN
Gateway Gateway VPNaaS gateway de roteamento dinâmico (DRG)
Regras de segurança regras de segurança grupos de segurança de rede, listas de segurança

Configurando a VPN Site a Site entre a Rede IP e a VCN

O fluxograma a seguir mostra o processo geral de conexão da rede IP e da VCN com uma VPN Site a Site.

Este fluxograma mostra as etapas de conexão da rede IP e da VCN com a VPN Connect

Pré-requisitos:

Você deverá ter:

Tarefa 1: Configurar um gateway VPNaaS para a sua rede IP

  1. Use estes valores ao configurar o gateway VPNaaS:

    • Rede IP: a rede IP do Oracle Cloud Infrastructure Classic que você deseja conectar com a sua VCN. Você só pode especificar uma única rede IP.
    • Gateway do Cliente: um valor placeholder como 129.213.240.51. O uso desse valor placeholder permite avançar no processo. Você atualizará o valor posteriormente com o endereço IP do roteador da VPN do Oracle Cloud Infrastructure.
    • Rotas Acessíveis pelo Cliente: o bloco CIDR da VCN. Você só pode especificar uma única VCN.
    • Especificar Proposta ESP Fase 2: caixa de seleção selecionada.
    • Criptografia ESP: AES 256
    • Hash ESP: SHA1
    • Tempo de Vida do IPSec: 1800
    • Require Perfect Forward Secrecy: Caixa de seleção marcada.
  2. Anote o endereço IP público resultante do gateway VPNaaS.
Tarefa 2: Configurar os componentes da VCN e o túnel IPSec
Tarefa 2a: Configurar um gateway de roteamento dinâmico (DRG) para a sua VCN

Se você ainda não tiver um DRG anexado à sua VCN, crie um DRG e anexe-o:

Tarefa 2b: Configurar o roteamento para o DRG

Adicione uma regra de roteamento que direcione o tráfego das sub-redes da VCN para o DRG. Use o bloco CIDR da rede IP como o alvo da regra.

  1. Determine quais sub-redes da sua VCN precisam se comunicar com a rede IP.

  2. Atualize a tabela de roteamento em relação a cada uma dessas sub-redes para incluir uma nova regra que direcione o tráfego destinado ao CIDR da rede IP para o seu DRG:

    1. Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
    2. Clique na VCN em que você está interessado.
    3. Em Recursos, clique em Tabelas de Roteamento.
    4. Clique na tabela de roteamento na qual você está interessado.

    5. Clique em Adicionar Regra de Roteamento e informe o seguinte:

      • Bloco CIDR de Destino: o bloco CIDR da rede IP.
      • Tipo de Destino: Gateway de Roteamento Dinâmico. O DRG anexado à VCN é selecionado automaticamente como alvo e você não precisa especificar o alvo.
      • Descrição: Uma descrição opcional da regra.
    6. Clique em Adicionar Regra de Roteamento.

Qualquer tráfego de sub-rede com um destino que corresponda à regra será roteado para o seu DRG. Para obter mais informações sobre a configuração de regras de roteamento, consulte Tabelas de Roteamento da VCN.

Posteriormente, se você não precisar mais da conexão e quiser excluir o seu DRG, primeiro exclua da sua VCN todas as regras de roteamento que especificam o DRG como alvo.

Tarefa 2c: Configurar as regras de segurança

Para garantir que o tráfego flua entre a rede IP e a VCN, defina as regras de segurança da rede IP e as regras de segurança da VCN para permitir o tráfego desejado.

Estes são os tipos de regras que podem ser adicionados:

  • Regras de entrada para os tipos de tráfego que você deseja permitir de uma nuvem para a outra, especificamente o tráfego do bloco CIDR da outra nuvem.
  • Uma regra de saída para permitir o tráfego de saída de uma nuvem para a outra. Se a sub-rede da VCN já tiver uma regra de saída ampla para todos os tipos de protocolos em todos os destinos (0.0.0.0/0), não será necessário adicionar uma regra especial para a rede IP.
Para a rede IP

Configure as regras de segurança de rede da rede IP para permitir o tráfego desejado.

Para a VCN
Observação

O procedimento a seguir usa listas de segurança, mas você pode, em vez disso, implementar as regras de segurança em um ou mais grupos de segurança de rede e, em seguida, colocar os recursos da VCN em NSGs.
  1. Determine quais sub-redes da sua VCN precisam se comunicar com a rede IP.

  2. Atualize a lista de segurança de cada uma dessas sub-redes para incluir regras que permitam o tráfego desejado de saída ou de entrada especificamente com o bloco CIDR da rede IP:

    1. Na Console, ao verificar a VCN na qual você está interessado, clique em Listas de Segurança.

    2. Clique na lista de segurança na qual você está interessado.

      Em Recursos, você pode clicar em Regras de Entrada ou Regras de Saída para alternar entre os diferentes tipos de regras.

    3. Adicione uma ou mais regras, cada uma para o tipo específico de tráfego que você deseja permitir.

    Para obter mais informações sobre como configurar regras de lista de segurança, consulte Listas de Segurança.

    Importante

    A lista de segurança padrão da VCN não permite resposta de eco ICMP nem solicitação de eco (ping). Adicione regras para permitir esse tráfego. Consulte Regras para Permitir Solicitações de Ping
Exemplo

Digamos que você deseja adicionar uma regra com monitoramento de estado que permita o tráfego HTTPS de entrada (porta 443) proveniente do CIDR da rede IP. Estas são as etapas básicas que você executa ao adicionar uma regra:

  1. Na página Regras de Entrada, clique em Adicionar Regra de Entrada.
  2. Deixe a caixa de seleção Sem Estado desmarcada.
  3. CIDR de Origem: insira o mesmo bloco CIDR que as regras de roteamento utilizam (consulte a Tarefa 2b: Configurar roteamento para o DRG).
  4. Protocolo IP: deixe como TCP.
  5. Intervalo de Portas de Origem: deixe como Todos.
  6. Intervalo de Portas de Destino: insira 443.
  7. Clique em Adicionar Regra de Entrada.
  8. Descrição: Opcionalmente, insira uma descrição da regra.
Tarefa 2d: Criar um objeto CPE

Cria um objeto CPE. É obrigatório um endereço IP. Use o endereço IP público do gateway VPNaaS.

Tarefa 2e: Criar a conexão IPSec

No DRG, crie uma conexão IPSec com o objeto CPE. Forneça uma ou mais rotas estáticas. Os valores devem corresponder às sub-redes ou a um agregado da rede IP.

A conexão IPSec resultante consiste em dois túneis. Anote o endereço IP e o segredo compartilhado para um desses túneis. Na próxima tarefa, você fornecerá esses valores.

Tarefa 3: Atualizar a conexão VPNaaS com as informações do túnel

Atualize a conexão VPNaaS. Use estes valores:

  • Gateway do Cliente: o endereço IP do túnel da tarefa anterior.
  • Chave pré-compartilhada: O segredo compartilhado do túnel da tarefa anterior.

Depois que a conexão IPsec é atualizada e provisionada, o estado do túnel IPSec deve mudar para Disponível. O provisionamento pode levar alguns minutos.

Tarefa 4: Testar a conexão

Após o estado do túnel passar para Disponível, teste a conexão. Dependendo de como tiver configurado as regras de segurança da sua rede IP e as regras de segurança da VCN, você poderá iniciar uma instância na sua VCN e acessá-la por meio de uma instância na rede IP. Ou você poderá estabelecer conexão com uma instância na rede IP por meio da instância da VCN. Se você puder, a sua conexão estará pronta para uso.

Encerrando a Conexão

Se você quiser encerrar a conexão, exclua a conexão IPSec:

  1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em VPN Site a Site.

    É exibida uma lista das conexões IPSec no compartimento que você está acessando. Se você não vir o que está procurando, verifique se o compartimento correto está sendo exibido (selecione na lista à esquerda da página).

  2. Clique na conexão IPSec em que está interessado.
  3. Clique em Encerrar.
  4. Confirme a exclusão quando solicitado.

A conexão IPSec permanecerá no estado Encerrando por um curto período enquanto estiver sendo excluída.