Comment utiliser un BGP dynamique pour créer un tunnel VPN entre AWS et Oracle Cloud Infrastructure ?

Résolution

Pour configurer un tunnel AWS Site-to-Site VPN entre AWS et OCI, procédez comme suit :

• Du côté de l'OCI, configurez le réseau cloud virtuel (VCN), les sous-réseaux, ainsi que la liste et les règles de sécurité.
• Du côté d'AWS, configurez l'Amazon Virtual Private Cloud (Amazon VPC), les sous-réseaux et le routage.

Configuration AWS

1. Ouvrez la console Amazon VPC, puis créez une passerelle client. Comme vous ne connaissez pas encore l'adresse IP de la passerelle VPN OCI, vous pouvez ajouter tous les détails que vous souhaitez. Vous pourrez ensuite spécifier l'adresse IP de la passerelle client et le numéro de système autonome (ASN) corrects.
   Remarque : Vous devez utiliser AWS pour créer la passerelle client. La console Amazon VPC vous permet d'apporter des modifications à votre passerelle client après l'avoir configurée, mais OCI ne le fait pas.
2. Ouvrez la console Amazon VPC, créez une passerelle privée virtuelle, puis attachez-la à votre Amazon VPC.
3. Créez une connexion VPN. Pour la Passerelle privée virtuelle, choisissez le nom de la passerelle privée virtuelle que vous avez créée. Pour l'ID de la passerelle client,choisissez l'ID de la passerelle client que vous avez créée. Pour les options de routage, choisissez Dynamique (nécessite BGP). (Facultatif) Sous Options avancées pour le tunnel 1, activez les algorithmes de chiffrement avancés.
   Important : Vérifiez que la clé P****re-shared ne contient que des lettres et des chiffres. OCI ne prend pas en charge certains caractères et AWS ne prend pas en charge l'utilisation d'espaces dans une clé pré-partagée. Vous pouvez également saisir votre propre clé pré-partagée pour vous assurer qu'elle ne contient que des lettres et des chiffres.
4. Téléchargez le fichier de configuration générique du Site-to-Site VPN. Utilisez les informations de ce fichier pour configurer des tunnels VPN dans la console OCI.

Configuration de l'OCI

1. Ouvrez la console Oracle Cloud.
2. Suivez les instructions du site Web d'Oracle pour créer l'équipement local du client. Dans le volet de navigation, choisissez Mise en réseau, puis choisissez Équipement local du client.
3. Pour l’Adresse IP publique, entrez l'adresse IP extérieure du tunnel A à partir du fichier de configuration que vous avez téléchargé.
4. Choisissez Passerelle de routage dynamique, puis créez une passerelle de routage dynamique. Associez la passerelle de routage dynamique à un VCN. Vous pouvez soit créer un VCN dans la console Oracle Cloud, ou l'associer à un VCN existant. Pour trouver vos VCN, choisissez Mise en réseau dans le volet de navigation. Choisissez ensuite Réseaux cloud virtuels.
5. Créez une connexion VPN de site à site dans la console Oracle Cloud. Entrez les détails de l'équipement sur site du client et de la passerelle de routage dynamique que vous avez créés.
   Important : Avant de choisir Créer une connexion IPsec, vous devez configurer les paramètres Tunnel1 et Tunnel2. Choisissez Afficher les options avancées, puis entrez la clé pré-partagée et les détails BGP à partir du fichier de configuration que vous avez téléchargé. Pour Tunnel2, fournissez des informations car vous ne pouvez pas configurer un second tunnel avec OCI. Définissez letype de routage sur BGP.
6. Après avoir créé le VPN de site à site sur l'OCI, vous pouvez consulter l'adresse IP publique de AWS-Tunnel1. Notez l'adresse IP à utiliser dans les étapes suivantes.

Configurez la passerelle VPN sur la console Amazon VPC

1. Ouvrez la console Amazon VPC, puis créez une passerelle client. Pour Adresse IP, saisissez l'adresse IP d'AWS-Tunnel1. Pour BGP ASN, saisissez 31898. Il s'agit de l'ASN BGP par défaut pour la passerelle de routage dynamique.
2. Accédez à votre connexion VPN de site à site. Choisissez Actions, puis choisissez Modifier la connexion VPN. Mettez à jour le type de cible pour la passerelle client, puis choisissez la passerelle client.

Remarque : AWS met quelques minutes à modifier et à mettre à jour la connexion VPN de site à site.

Vérifiez que l'état du tunnel est ACTIVÉ et testez la connexion

1. Une fois qu'AWS a fini de modifier la connexion VPN de site à site, vérifiez que le tunnel et le BGP sont à l'état ACTIVÉ. Vous devez le confirmer à la fois du côté AWS et du côté OCI. Vérifiez également que vous avez le bon routage. Lorsque le tunnel est activé, les deux clouds n'autorisent pas la circulation du trafic par défaut.
2. Sur la console Oracle Cloud, configurez la liste de sécurité et le groupe de sécurité du réseau pour autoriser la circulation du trafic entre OCI et AWS.
3. Sur la console Amazon VPC, configurez les réseaux ACL et les groupes de sécurité associés à votre connexion pour permettre au trafic de circuler entre AWS et OCI.
4. Effectuez un test de connexion bidirectionnel pour vérifier la connexion par tunnel entre OCI et AWS. Assurez-vous d'effectuer un test de ping d'AWS vers OCI et d'OCI vers AWS.

Configurer la connexion VPN redondante entre AWS et OCI

Vous ne pouvez utiliser qu'une seule adresse IP sur site (adresse IP de la passerelle client) pour configurer les services de Site-to-Site VPN AWS et OCI. Vous devez répéter toutes les étapes précédentes pour créer une deuxième connexion Site-to-Site VPN. Utilisez un tunnel actif et un tunnel dupliqué de sorte que si l'un des tunnels tombe en panne, le routage BGP passe automatiquement par le second tunnel.