Wie verwende ich ein dynamisches BGP, um einen VPN-Tunnel zwischen AWS und Oracle Cloud Infrastructure zu erstellen?
Ich möchte ein dynamisches Border Gateway Protocol (BGP) verwenden, um einen Virtual Private Network (VPN)-Tunnel zwischen AWS und Oracle Cloud Infrastructure (OCI) zu konfigurieren.
Lösung
Gehen Sie folgendermaßen vor, um einen AWS-Site-to-Site-VPN-Tunnel zwischen AWS und OCI zu konfigurieren:
- Konfigurieren Sie auf der OCI-Seite das virtuelle Cloud-Netzwerk (VCN), die Subnetze sowie die Sicherheitsliste und -regeln.
- Konfigurieren Sie auf der AWS-Seite die Amazon Virtual Private Cloud (Amazon VPC), die Subnetze und das Routing.
AWS-Konfiguration
- Öffnen Sie die Amazon-VPC-Konsole und erstellen Sie dann ein Kunden-Gateway. Da Sie die IP-Adresse des OCI-VPN-Gateways noch nicht kennen, können Sie beliebige Details hinzufügen. Später können Sie die richtige Kunden-Gateway-IP-Adresse und die autonome Systemnummer (ASN) angeben.
Hinweis: Sie müssen AWS verwenden, um das Kunden-Gateway zu erstellen. Die Amazon-VPC-Konsole ermöglicht es Ihnen, Änderungen an Ihrem Kunden-Gateway vorzunehmen, nachdem Sie es konfiguriert haben, OCI hingegen jedoch nicht. - Öffnen Sie die Amazon-VPC-Konsole, erstellen Sie ein virtuelles privates Gateway und fügen Sie es dann an Ihre Amazon-VPC an.
- Erstellen Sie eine VPN-Verbindung. Wählen Sie für Virtual Private Gateway den Namen des Virtual Private Gateways aus, das Sie erstellt haben. Wählen Sie als Kunden-Gateway-ID die ID des Kunden-Gateways aus, das Sie erstellt haben. Wählen Sie für Routing-Optionen Dynamisch (erfordert BGP) aus. (Optional) Aktivieren Sie unter Erweiterte Optionen für Tunnel 1 die erweiterten Verschlüsselungsalgorithmen.
Wichtig: Stellen Sie sicher, dass der P****re-Shared-Schlüssel nur Buchstaben und Zahlen enthält. OCI unterstützt bestimmte Zeichen nicht und AWS unterstützt die Verwendung von Leerzeichen in einem Pre-Shared-Schlüssel nicht. Sie können auch Ihren eigenen Pre-Shared-Schlüssel eingeben, um sicherzustellen, dass er nur Buchstaben und Zahlen enthält. - Laden Sie die generische Site-to-Site-VPN-Konfigurationsdatei herunter. Verwenden Sie die Informationen aus dieser Datei, um VPN-Tunnel in der OCI-Konsole einzurichten.
OCI-Konfiguration
- Öffnen Sie die Oracle Cloud-Konsole.
- Verwenden Sie die Anweisungen auf der Oracle-Website, um die Geräte am Kundenstandort zu erstellen. Wählen Sie im Navigationsbereich Netzwerk und dann Geräte am Kundenstandort aus.
- Geben Sie als öffentliche IP-Adresse die externe IP-Adresse von Tunnel A aus der Konfigurationsdatei ein, die Sie heruntergeladen haben.
- Wählen Sie Dynamisches Routing-Gateway und erstellen Sie dann ein dynamisches Routing-Gateway. Verbinden Sie das dynamische Routing-Gateway mit einem VCN. Sie können entweder ein VCN in der Oracle-Cloud-Konsole erstellen oder es an ein vorhandenes VCN anhängen. Um Ihre VCNs zu finden, wählen Sie im Navigationsbereich die Option Netzwerk aus. Wählen Sie dann Virtuelle Cloud-Netzwerke aus.
- Erstellen Sie eine Site-to-Site-VPN-Verbindung in der Oracle-Cloud-Konsole. Geben Sie die Details der Geräte am Kundenstandort und des dynamischen Routing-Gateways ein, das Sie erstellt haben.
Wichtig: Bevor Sie IPSec-Verbindung erstellen wählen, müssen Sie die Einstellungen für Tunnel1 und Tunnel2 konfigurieren. Wählen Sie Erweiterte Optionen anzeigen aus und geben Sie den Pre-Shared-Schlüssel und die BGP-Daten aus der heruntergeladenen Konfigurationsdatei ein. Geben Sie für Tunnel2 beliebige Informationen an, da Sie mit OCI keinen zweiten Tunnel konfigurieren können. Stellen Sie den Routing-Typ auf BGP ein. - Nachdem Sie das Site-to-Site-VPN auf der OCI-Seite erstellt haben, können Sie die öffentliche IP-Adresse für AWS-Tunnel1 anzeigen. Notieren Sie sich die in den folgenden Schritten zu verwendende IP-Adresse.
VPN-Gateway in der Amazon-VPC-Konsole konfigurieren
- Öffnen Sie die Amazon-VPC-Konsole und erstellen Sie dann ein Kunden-Gateway. Geben Sie als IP-Adresse die IP-Adresse für AWS-Tunnel1 ein. Geben Sie für BGP ASN 31898 ein. Dies ist die Standard-BGP-ASN für das dynamische Routing-Gateway.
- Navigieren Sie zu Ihrer Site-to-Site-VPN-Verbindung. Wählen Sie Aktionen und dann VPN-Verbindung ändern aus. Aktualisieren Sie den Zieltyp für das Kunden-Gateway und wählen Sie dann das Kunden-Gateway aus.
Hinweis: Es dauert einige Minuten, bis AWS die Site-to-Site-VPN-Verbindung geändert und aktualisiert hat.
Sicherstellen, dass der Tunnelstatus UP ist, und Testen Verbindung
- Nachdem AWS die Änderung der Site-to-Site-VPN-Verbindung abgeschlossen hat, vergewissern Sie sich, dass sich der Tunnel und das BGP im Status UP befinden. Sie müssen dies sowohl auf der AWS-Seite als auch auf der OCI-Seite bestätigen. Vergewissern Sie sich außerdem, dass Sie über das richtige Routing verfügen. Wenn der Tunnel aktiv ist, lassen beide Clouds standardmäßig keinen Datenverkehr zu.
- Konfigurieren Sie in der Oracle-Cloud-Konsole die Sicherheitsliste und die Netzwerksicherheitsgruppe, damit der Datenverkehr zwischen OCI und AWS fließen kann.
- Konfigurieren Sie in der Amazon-VPC-Konsole die Netzwerk-ACLs und Sicherheitsgruppen, die Ihrer Verbindung zugeordnet sind, damit der Datenverkehr zwischen AWS und OCI fließen kann.
- Führen Sie einen bidirektionalen Konnektivitätstest durch, um die Tunnelverbindung zwischen OCI und AWS zu überprüfen. Stellen Sie sicher, dass Sie einen Ping-Test von AWS zu OCI und von OCI zu AWS durchführen.
Die redundante VPN-Verbindung zwischen AWS und OCI konfigurieren
Sie können nur eine On-Premises-IP-Adresse (Kunden-Gateway-IP-Adresse) verwenden, um sowohl die Site-to-Site-VPN-Dienste von AWS als auch von OCI zu konfigurieren. Sie müssen alle vorherigen Schritte wiederholen, um eine zweite Site-to-Site-VPN-Verbindung herzustellen. Verwenden Sie einen aktiven Tunnel und einen doppelten Tunnel, sodass das BGP-Routing automatisch durch den zweiten Tunnel geleitet wird, wenn ein Tunnel ausfällt.
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 9 Monaten