Como uso um BGP dinâmico para criar um túnel VPN entre a AWS e a Oracle Cloud Infrastructure?

5 minuto de leitura

Quero usar um Protocolo de Gateway de Borda (BGP) dinâmico para configurar um túnel de rede privada virtual (VPN) entre a AWS e a Oracle Cloud Infrastructure (OCI).

Resolução

Para configurar um túnel AWS Site-to-Site VPN entre a AWS e a OCI, siga estas etapas:

No lado da OCI, configure a rede de nuvem virtual (VCN), as sub-redes e a lista e as regras de segurança.
No lado da AWS, configure a Amazon Virtual Private Cloud (Amazon VPC), as sub-redes e o roteamento.

Configuração da AWS

Abra o console da Amazon VPC e, em seguida, crie um gateway do cliente. Como você ainda não sabe o endereço IP do gateway VPN da OCI, pode adicionar os detalhes que quiser. Posteriormente, você pode especificar o endereço IP correto do gateway do cliente e o Número de Sistema Autônomo (ASN).
Observação: você deve usar a AWS para criar o gateway do cliente. O console da Amazon VPC permite que você faça alterações no gateway do cliente depois de configurá-lo, e a OCI não.
Abra o console da Amazon VPC, crie um gateway privado virtual e, em seguida, conecte-o à sua Amazon VPC.
Crie uma conexão de VPN. Em Gateway privado virtual, escolha o nome do gateway privado virtual que você criou. Em ID do gateway do cliente, escolha o ID do gateway do cliente que você criou. Em Opções de roteamento, escolha Dinâmico (requer BGP). (Opcional) Em Opções avançadas para o túnel 1, ative os algoritmos de criptografia avançados.
Importante: Verifique se a chave p****ré-compartilhada contém somente letras e números. A OCI não suporta determinados caracteres, e a AWS não suporta o uso de espaços em uma chave pré-compartilhada. Você também pode inserir sua própria chave pré-compartilhada para garantir que ela contenha somente letras e números.
Faça o download do arquivo genérico de configuração da Site-to-Site VPN. Use as informações desse arquivo para configurar túneis de VPN no console OCI.

Configuração da OCI

Abra o Oracle Cloud Console.
Use as instruções no site da Oracle para criar o equipamento nas instalações do cliente. No painel de navegação, escolha Rede e, em seguida, escolha Equipamento nas instalações do cliente.
Em Endereço IP público, insira o endereço IP externo do túnel A do arquivo de configuração que você baixou.
Escolha Gateway de roteamento dinâmico e, em seguida, crie um gateway de roteamento dinâmico. Conecte o gateway de roteamento dinâmico a uma VCN. Você pode criar uma VCN no Oracle Cloud Console ou anexá-la a uma VCN existente. Para encontrar suas VCNs, escolha Rede no painel de navegação. Em seguida, escolha Redes de nuvem virtual.
Crie uma conexão Site-to-Site VPN no Oracle Cloud Console. Insira os detalhes do equipamento nas instalações do cliente e do gateway de roteamento dinâmico que você criou.
Importante: Antes de escolher Criar conexão IPsec, você deve definir as configurações de Tunnel1 e Tunnel2. Escolha Mostrar opções avançadas e insira a chave pré-compartilhada e os detalhes do BGP do arquivo de configuração que você baixou. Para o Tunnel2, forneça qualquer informação, porque você não pode configurar um segundo túnel com a OCI. Defina o Tipo de roteamento como BGP.
Depois de criar a Site-to-Site VPN no lado da OCI, você pode visualizar o endereço IP público do AWS-Tunnel1. Anote o endereço IP a ser usado nas etapas a seguir.

Configurar o Gateway de VPN no console da Amazon VPC

Abra o console da Amazon VPC e, em seguida, crie um gateway do cliente. Em Endereço IP, insira o endereço IP para AWS-Tunnel1. Para BGP ASN, insira 31898. Esse é o ASN BGP padrão para o gateway de roteamento dinâmico.
Navegue até sua conexão de Site-to-Site VPN. Escolha Ações e, em seguida, escolha Modificar conexão VPN. Atualize o tipo de destino para o gateway do cliente e, em seguida, escolha o gateway do cliente.

Observação: a AWS leva alguns minutos para modificar e atualizar a conexão da Site-to-Site VPN.

Confirme se o status do túnel está ATIVO e teste a conexão

Depois que a AWS terminar de modificar a conexão da Site-to-Site VPN, confirme se o túnel e o BGP estão no status UP. Você deve confirmar isso tanto no lado da AWS quanto no lado da OCI. Além disso, confirme se você tem o roteamento correto. Quando o túnel está ativo, ambas as nuvens não permitem que o tráfego flua por padrão.
No Oracle Cloud Console, configure a lista de segurança e o grupo de segurança de rede para permitir que o tráfego flua entre a OCI e a AWS.
No console da Amazon VPC, configure as ACLs de rede e os grupos de segurança associados à sua conexão para permitir que o tráfego flua entre a AWS e a OCI.
Execute um teste de conectividade bidirecional para verificar a conexão do túnel entre a OCI e a AWS. Certifique-se de fazer um teste de ping da AWS para a OCI e da OCI para a AWS.

Configurar a conexão de VPN redundante entre a AWS e a OCI

Você pode usar somente um endereço IP local (endereço IP do gateway do cliente) para configurar os serviços de Site-to-Site VPN da AWS e da OCI. Você deve repetir todas as etapas anteriores para criar uma segunda conexão de Site-to-Site VPN. Use um túnel ativo e um túnel duplicado para que, se um túnel cair, o roteamento BGP passe automaticamente pelo segundo túnel.

Tópicos

Rede e entrega de conteúdo

Conteúdo relevante

Como configuro minha conexão do Site-to-Site VPN para preferir o túnel A em vez do túnel B?
AWS OFICIALAtualizada há 2 anos
Como posso criar uma VPN baseada em roteamento dinâmico usando um firewall Palo Alto e uma AWS VPN?
AWS OFICIALAtualizada há um ano
Como soluciono problemas de conexão entre um endpoint VPN da AWS e uma VPN baseada em políticas?
AWS OFICIALAtualizada há um ano
Como posso configurar uma VPN baseada em rota estática gerenciada entre a AWS e o IBM Cloud?
AWS OFICIALAtualizada há 10 meses