Come faccio a utilizzare un BGP dinamico per creare un tunnel VPN tra AWS e Oracle Cloud Infrastructure?

5 minuti di lettura
0

Desidero utilizzare un Border Gateway Protocol (BGP) dinamico per configurare un tunnel di rete privata virtuale (VPN) tra AWS e Oracle Cloud Infrastructure (OCI).

Risoluzione

Per configurare un tunnel VPN sito-sito AWS tra AWS e OCI, segui questi passaggi:

  • Sul lato OCI, configura la rete cloud virtuale (VCN), le sottoreti, l'elenco e le regole di sicurezza.
  • Sul lato AWS, configura Amazon Virtual Private Cloud (Amazon VPC), le sottoreti e il routing.

Configurazione AWS

  1. Apri la console Amazon VPC e crea un gateway del cliente. Poiché non conosci ancora l'indirizzo IP del gateway OCI VPN, puoi aggiungere tutti i dettagli che desideri. Successivamente, sarà possibile specificare l'indirizzo IP e il numero di sistema autonomo (ASN) corretti del gateway del cliente. 
    Nota: per creare il gateway del cliente, è necessario utilizzare AWS. La console Amazon VPC consente di apportare modifiche al gateway del cliente dopo averlo configurato, contrariamente a OCI.
  2. Apri la console Amazon VPC, crea un gateway virtuale privato e collegalo al tuo Amazon VPC.
  3. Crea una connessione VPN. Per Gateway virtuale privato, scegli il nome del gateway privato virtuale che hai creato. Per ID gateway del cliente, scegli l’ID del gateway del cliente che hai creato. Per Opzioni di routing, scegli Dinamico (richiede BGP). (Facoltativo) In Opzioni avanzate per il tunnel 1, attiva gli algoritmi di crittografia avanzati.
    Importante: verifica che la chiave precondivisa contenga solo lettere e numeri. OCI non supporta alcuni caratteri e AWS non supporta l'uso di spazi in una chiave precondivisa. Puoi anche inserire la tua chiave precondivisa per assicurarti che contenga solo lettere e numeri.
  4. Scarica il file di configurazione VPN generico sito-sito. Usa le informazioni di questo file per configurare i tunnel VPN nella console OCI.

Configurazione OCI

  1. Apri la console Oracle Cloud.
  2. Utilizza le istruzioni sul sito web di Oracle per creare l'apparecchiatura in locale. Dal riquadro di navigazione, scegli Reti, quindi scegli Apparecchiatura cliente in locale.
  3. Per Indirizzo IP pubblico, inserisci l'indirizzo IP esterno del tunnel A dal file di configurazione che hai scaricato.
  4. Scegli Gateway di routing dinamico, quindi crea un gateway di routing dinamico. Collega il gateway di routing dinamico a una VCN. Puoi creare una VCN nella console Oracle Cloud o collegarlo a una VCN esistente. Per trovare le tue VCN, scegli Reti dal pannello di navigazione. Quindi, scegli Reti cloud virtuali.
  5. Crea una connessione VPN sito-sito nella console Oracle Cloud. Inserisci i dettagli dell'apparecchiatura in locale e del gateway di routing dinamico che hai creato.
    Importante: prima di scegliere Crea connessione IPSec, è necessario configurare le impostazioni Tunnel1 e Tunnel2. Scegli Mostra opzioni avanzate e inserisci la chiave precondivisa e i dettagli BGP dal file di configurazione che hai scaricato. Per Tunnel2, inserisci ogni informazione perché non puoi configurare un secondo tunnel con OCI. Imposta il Tipo di routing su BGP.
  6. Dopo aver creato la VPN sito-sito sul lato OCI, potrai visualizzare l'indirizzo IP pubblico per AWS-Tunnel1. Annota l'indirizzo IP per utilizzarlo nei passaggi seguenti.

Configurazione d un gateway VPN sulla console Amazon VPC

  1. Apri la console Amazon VPC e crea un gateway del cliente. Per Indirizzo IP, inserisci l'indirizzo IP di AWS-Tunnel1. Per BGP ASN, inserisci 31898. Questo è l'ASN BGP predefinito del gateway di routing dinamico.
  2. Accedi alla tua connessione VPN sito-sito. Scegli Operazioni, poi Modifica connessione VPN. Aggiorna il tipo di destinazione del gateway del cliente, quindi scegli il gateway del cliente.

Nota: AWS impiega alcuni minuti per modificare e aggiornare la connessione VPN sito-sito.

Verifica dello stato UP del tunnel e controllo della connessione

  1. Dopo che AWS ha completato la modifica della connessione VPN sito-sito, verifica che il tunnel e il BGP siano in stato UP. È necessario confermarlo sia lato AWS che lato OCI. Inoltre, conferma che il routing sia corretto. Per impostazione predefinita, quando il tunnel è attivo entrambi i cloud non consentono il flusso di traffico.
  2. Sulla console Oracle Cloud, configura l'elenco di sicurezza e il gruppo di sicurezza di rete per consentire il flusso del traffico tra OCI e AWS.
  3. Sulla console Amazon VPC, configura gli ACL di rete e i gruppi di sicurezza associati alla tua connessione per consentire il flusso del traffico tra AWS e OCI.
  4. Esegui un test di connettività bidirezionale per verificare la connessione del tunnel tra OCI e AWS. Assicurati di eseguire un test ping da AWS a OCI e da OCI ad AWS.

Configurazione della connessione VPN ridondante tra AWS e OCI

Puoi utilizzare un solo indirizzo IP locale (indirizzo IP del gateway del cliente) per configurare i servizi VPN sito-sito di AWS e OCI. Per creare una seconda connessione VPN sito-sito, è necessario ripetere tutti i passaggi precedenti. Usa un tunnel attivo e un tunnel duplicato in modo che, se uno non dovesse funzionare, il percorso BGP attraversi automaticamente il secondo tunnel.

AWS UFFICIALE
AWS UFFICIALEAggiornata 9 mesi fa