如何使用动态 BGP 在 AWS 和 Oracle 云基础设施之间创建 VPN 隧道？

解决方法

要在 AWS 和 OCI 之间配置 AWS Site-to-Site VPN 隧道，请执行以下步骤：

• 在 OCI 端，配置虚拟云网络 (VCN)、子网以及安全列表和规则。
• 在 AWS 端，配置 Amazon Virtual Private Cloud (Amazon VPC)、子网和路由。

AWS 配置

1. 打开 Amazon VPC 控制台，然后创建客户网关。由于您尚不知道 OCI VPN 网关的 IP 地址，因此您可以添加任何您偏好的详细信息。稍后，您可以指定正确的客户网关 IP 地址和自治系统号 (ASN)。 
   **注意：**您必须使用 AWS 创建客户网关。Amazon VPC 控制台允许您在配置客户网关后对其进行更改，而 OCI 不能。
2. 打开Amazon VPC 控制台，创建一个虚拟专用网关，然后将其附加到您的 Amazon VPC。
3. 创建 VPN 连接。对于虚拟专用网关，选择您创建的虚拟专用网关的名称。对于客户网关 ID，选择您创建的客户网关的 ID。对于路由选项，选择动态（需要 BGP）。（可选）在 Tunnel 1 高级选项下，启用高级加密算法。
   **重要信息：**检查 P****re-shared 密钥是否仅包含字母和数字。OCI 不支持某些字符，AWS 不支持在预共享密钥中使用空格。您也可以输入自己的预共享密钥，以确保其仅包含字母和数字。
4. 下载通用 Site-to-Site VPN 配置文件。使用此文件中的信息在 OCI 控制台中设置 VPN 隧道。

OCI 配置

1. 打开 Oracle 云控制台。
2. 按照 Oracle 网站上的说明创建客户驻地设备。在导航窗格中，选择网络，然后选择客户驻地设备。
3. 在公用 IP 地址中，输入您下载的配置文件中的隧道 A 外部 IP 地址。
4. 选择动态路由网关，然后创建动态路由网关。将动态路由网关附加到 VCN。您可以在 Oracle 云控制台中创建 VCN，也可以将其附加到现有 VCN。要查找您的 VCN，请从导航窗格中选择联网。然后，选择虚拟云网络。
5. 在 Oracle 云控制台中创建 Site-to-Site VPN 连接。输入您创建的客户驻地设备和动态路由网关的详细信息。
   重要信息：在选择创建 IPSec 连接前，必须配置 Tunnel1 和 Tunnel2 设置。选择显示高级选项，然后输入您下载的配置文件中的预共享密钥和 BGP 详细信息。对于 Tunnel2，其中信息可随意填写，因为您无法与 OCI 创建第二条隧道。将路由类型设置为 BGP。
6. 在 OCI 端创建 Site-to-Site VPN 后，您可以查看 AWS-Tunnel1 的公共 IP 地址。记下该 IP 地址，在以下步骤中会用到。

在 Amazon VPC 控制台上配置 VPN 网关

1. 打开 Amazon VPC 控制台，然后创建客户网关。在 IP 地址中，输入 AWS-Tunnel1 的 IP 地址。在 BGP ASN 中，输入 31898。这是动态路由网关的默认 BGP ASN。
2. 导航到您的 Site-to-Site VPN 连接。选择操作，然后选择修改 VPN 连接。更新客户网关的目标类型，然后选择客户网关。

**注意：**AWS 修改和更新 Site-to-Site VPN 连接需要几分钟时间。

确认隧道状态为 UP，然后测试连接

1. 在 AWS 完成 Site-to-Site VPN 连接的修改后，确认隧道和 BGP 处于 UP 状态。在 AWS 端和 OCI 端必须均确认这一点。另外，请确认您的路由正确。隧道在运行时，默认情况下，两个云都不允许流量流动。
2. 在 Oracle 云控制台上，配置安全列表和网络安全组，以允许流量在 OCI 和 AWS 之间流动。
3. 在 Amazon VPC 控制台上，配置与您的连接关联的网络 ACL 和安全组，以允许流量在 AWS 和 OCI 之间流动。
4. 执行双向连接测试以检查 OCI 与 AWS 之间的隧道连接。务必进行从 AWS 到 OCI 以及从 OCI 到 AWS 的 ping 测试。

在 AWS 和 OCI 之间配置冗余 VPN 连接

只能使用一个本地 IP 地址（客户网关 IP 地址）来配置 AWS 和 OCI Site-to-Site VPN 服务。必须重复之前的所有步骤才能创建第二个 Site-to-Site VPN 连接。使用一条活动隧道和一条重复隧道，这样，如果一条隧道出现故障，BGP 路由会自动经第二条隧道路由。