Wie verwende ich ein dynamisches BGP, um einen VPN-Tunnel zwischen AWS und Oracle Cloud Infrastructure zu erstellen?

Lösung

Gehen Sie folgendermaßen vor, um einen AWS-Site-to-Site-VPN-Tunnel zwischen AWS und OCI zu konfigurieren:

• Konfigurieren Sie auf der OCI-Seite das virtuelle Cloud-Netzwerk (VCN), die Subnetze sowie die Sicherheitsliste und -regeln.
• Konfigurieren Sie auf der AWS-Seite die Amazon Virtual Private Cloud (Amazon VPC), die Subnetze und das Routing.

AWS-Konfiguration

1. Öffnen Sie die Amazon-VPC-Konsole und erstellen Sie dann ein Kunden-Gateway. Da Sie die IP-Adresse des OCI-VPN-Gateways noch nicht kennen, können Sie beliebige Details hinzufügen. Später können Sie die richtige Kunden-Gateway-IP-Adresse und die autonome Systemnummer (ASN) angeben. 
   Hinweis: Sie müssen AWS verwenden, um das Kunden-Gateway zu erstellen. Die Amazon-VPC-Konsole ermöglicht es Ihnen, Änderungen an Ihrem Kunden-Gateway vorzunehmen, nachdem Sie es konfiguriert haben, OCI hingegen jedoch nicht.
2. Öffnen Sie die Amazon-VPC-Konsole, erstellen Sie ein virtuelles privates Gateway und fügen Sie es dann an Ihre Amazon-VPC an.
3. Erstellen Sie eine VPN-Verbindung. Wählen Sie für Virtual Private Gateway den Namen des Virtual Private Gateways aus, das Sie erstellt haben. Wählen Sie als Kunden-Gateway-ID die ID des Kunden-Gateways aus, das Sie erstellt haben. Wählen Sie für Routing-Optionen Dynamisch (erfordert BGP) aus. (Optional) Aktivieren Sie unter Erweiterte Optionen für Tunnel 1 die erweiterten Verschlüsselungsalgorithmen.
   Wichtig: Stellen Sie sicher, dass der P****re-Shared-Schlüssel nur Buchstaben und Zahlen enthält. OCI unterstützt bestimmte Zeichen nicht und AWS unterstützt die Verwendung von Leerzeichen in einem Pre-Shared-Schlüssel nicht. Sie können auch Ihren eigenen Pre-Shared-Schlüssel eingeben, um sicherzustellen, dass er nur Buchstaben und Zahlen enthält.
4. Laden Sie die generische Site-to-Site-VPN-Konfigurationsdatei herunter. Verwenden Sie die Informationen aus dieser Datei, um VPN-Tunnel in der OCI-Konsole einzurichten.

OCI-Konfiguration

1. Öffnen Sie die Oracle Cloud-Konsole.
2. Verwenden Sie die Anweisungen auf der Oracle-Website, um die Geräte am Kundenstandort zu erstellen. Wählen Sie im Navigationsbereich Netzwerk und dann Geräte am Kundenstandort aus.
3. Geben Sie als öffentliche IP-Adresse die externe IP-Adresse von Tunnel A aus der Konfigurationsdatei ein, die Sie heruntergeladen haben.
4. Wählen Sie Dynamisches Routing-Gateway und erstellen Sie dann ein dynamisches Routing-Gateway. Verbinden Sie das dynamische Routing-Gateway mit einem VCN. Sie können entweder ein VCN in der Oracle-Cloud-Konsole erstellen oder es an ein vorhandenes VCN anhängen. Um Ihre VCNs zu finden, wählen Sie im Navigationsbereich die Option Netzwerk aus. Wählen Sie dann Virtuelle Cloud-Netzwerke aus.
5. Erstellen Sie eine Site-to-Site-VPN-Verbindung in der Oracle-Cloud-Konsole. Geben Sie die Details der Geräte am Kundenstandort und des dynamischen Routing-Gateways ein, das Sie erstellt haben.
   Wichtig: Bevor Sie IPSec-Verbindung erstellen wählen, müssen Sie die Einstellungen für Tunnel1 und Tunnel2 konfigurieren. Wählen Sie Erweiterte Optionen anzeigen aus und geben Sie den Pre-Shared-Schlüssel und die BGP-Daten aus der heruntergeladenen Konfigurationsdatei ein. Geben Sie für Tunnel2 beliebige Informationen an, da Sie mit OCI keinen zweiten Tunnel konfigurieren können. Stellen Sie den Routing-Typ auf BGP ein.
6. Nachdem Sie das Site-to-Site-VPN auf der OCI-Seite erstellt haben, können Sie die öffentliche IP-Adresse für AWS-Tunnel1 anzeigen. Notieren Sie sich die in den folgenden Schritten zu verwendende IP-Adresse.

VPN-Gateway in der Amazon-VPC-Konsole konfigurieren

1. Öffnen Sie die Amazon-VPC-Konsole und erstellen Sie dann ein Kunden-Gateway. Geben Sie als IP-Adresse die IP-Adresse für AWS-Tunnel1 ein. Geben Sie für BGP ASN 31898 ein. Dies ist die Standard-BGP-ASN für das dynamische Routing-Gateway.
2. Navigieren Sie zu Ihrer Site-to-Site-VPN-Verbindung. Wählen Sie Aktionen und dann VPN-Verbindung ändern aus. Aktualisieren Sie den Zieltyp für das Kunden-Gateway und wählen Sie dann das Kunden-Gateway aus.

Hinweis: Es dauert einige Minuten, bis AWS die Site-to-Site-VPN-Verbindung geändert und aktualisiert hat.

Sicherstellen, dass der Tunnelstatus UP ist, und Testen Verbindung

1. Nachdem AWS die Änderung der Site-to-Site-VPN-Verbindung abgeschlossen hat, vergewissern Sie sich, dass sich der Tunnel und das BGP im Status UP befinden. Sie müssen dies sowohl auf der AWS-Seite als auch auf der OCI-Seite bestätigen. Vergewissern Sie sich außerdem, dass Sie über das richtige Routing verfügen. Wenn der Tunnel aktiv ist, lassen beide Clouds standardmäßig keinen Datenverkehr zu.
2. Konfigurieren Sie in der Oracle-Cloud-Konsole die Sicherheitsliste und die Netzwerksicherheitsgruppe, damit der Datenverkehr zwischen OCI und AWS fließen kann.
3. Konfigurieren Sie in der Amazon-VPC-Konsole die Netzwerk-ACLs und Sicherheitsgruppen, die Ihrer Verbindung zugeordnet sind, damit der Datenverkehr zwischen AWS und OCI fließen kann.
4. Führen Sie einen bidirektionalen Konnektivitätstest durch, um die Tunnelverbindung zwischen OCI und AWS zu überprüfen. Stellen Sie sicher, dass Sie einen Ping-Test von AWS zu OCI und von OCI zu AWS durchführen.

Die redundante VPN-Verbindung zwischen AWS und OCI konfigurieren

Sie können nur eine On-Premises-IP-Adresse (Kunden-Gateway-IP-Adresse) verwenden, um sowohl die Site-to-Site-VPN-Dienste von AWS als auch von OCI zu konfigurieren. Sie müssen alle vorherigen Schritte wiederholen, um eine zweite Site-to-Site-VPN-Verbindung herzustellen. Verwenden Sie einen aktiven Tunnel und einen doppelten Tunnel, sodass das BGP-Routing automatisch durch den zweiten Tunnel geleitet wird, wenn ein Tunnel ausfällt.