我想使用动态边界网关协议 (BGP) 在 AWS 和 Oracle 云基础设施 (OCI) 之间配置虚拟专用网络 (VPN) 隧道。
解决方法
要在 AWS 和 OCI 之间配置 AWS Site-to-Site VPN 隧道,请执行以下步骤:
- 在 OCI 端,配置虚拟云网络 (VCN)、子网以及安全列表和规则。
- 在 AWS 端,配置 Amazon Virtual Private Cloud (Amazon VPC)、子网和路由。
AWS 配置
- 打开 Amazon VPC 控制台,然后创建客户网关。由于您尚不知道 OCI VPN 网关的 IP 地址,因此您可以添加任何您偏好的详细信息。稍后,您可以指定正确的客户网关 IP 地址和自治系统号 (ASN)。
**注意:**您必须使用 AWS 创建客户网关。Amazon VPC 控制台允许您在配置客户网关后对其进行更改,而 OCI 不能。
- 打开Amazon VPC 控制台,创建一个虚拟专用网关,然后将其附加到您的 Amazon VPC。
- 创建 VPN 连接。对于虚拟专用网关,选择您创建的虚拟专用网关的名称。对于客户网关 ID,选择您创建的客户网关的 ID。对于路由选项,选择动态(需要 BGP)。(可选)在 Tunnel 1 高级选项下,启用高级加密算法。
**重要信息:**检查 P****re-shared 密钥是否仅包含字母和数字。OCI 不支持某些字符,AWS 不支持在预共享密钥中使用空格。您也可以输入自己的预共享密钥,以确保其仅包含字母和数字。
- 下载通用 Site-to-Site VPN 配置文件。使用此文件中的信息在 OCI 控制台中设置 VPN 隧道。
OCI 配置
- 打开 Oracle 云控制台。
- 按照 Oracle 网站上的说明创建客户驻地设备。在导航窗格中,选择网络,然后选择客户驻地设备。
- 在公用 IP 地址中,输入您下载的配置文件中的隧道 A 外部 IP 地址。
- 选择动态路由网关,然后创建动态路由网关。将动态路由网关附加到 VCN。您可以在 Oracle 云控制台中创建 VCN,也可以将其附加到现有 VCN。要查找您的 VCN,请从导航窗格中选择联网。然后,选择虚拟云网络。
- 在 Oracle 云控制台中创建 Site-to-Site VPN 连接。输入您创建的客户驻地设备和动态路由网关的详细信息。
重要信息:在选择创建 IPSec 连接前,必须配置 Tunnel1 和 Tunnel2 设置。选择显示高级选项,然后输入您下载的配置文件中的预共享密钥和 BGP 详细信息。对于 Tunnel2,其中信息可随意填写,因为您无法与 OCI 创建第二条隧道。将路由类型设置为 BGP。
- 在 OCI 端创建 Site-to-Site VPN 后,您可以查看 AWS-Tunnel1 的公共 IP 地址。记下该 IP 地址,在以下步骤中会用到。
在 Amazon VPC 控制台上配置 VPN 网关
- 打开 Amazon VPC 控制台,然后创建客户网关。在 IP 地址中,输入 AWS-Tunnel1 的 IP 地址。在 BGP ASN 中,输入 31898。这是动态路由网关的默认 BGP ASN。
- 导航到您的 Site-to-Site VPN 连接。选择操作,然后选择修改 VPN 连接。更新客户网关的目标类型,然后选择客户网关。
**注意:**AWS 修改和更新 Site-to-Site VPN 连接需要几分钟时间。
确认隧道状态为 UP,然后测试连接
- 在 AWS 完成 Site-to-Site VPN 连接的修改后,确认隧道和 BGP 处于 UP 状态。在 AWS 端和 OCI 端必须均确认这一点。另外,请确认您的路由正确。隧道在运行时,默认情况下,两个云都不允许流量流动。
- 在 Oracle 云控制台上,配置安全列表和网络安全组,以允许流量在 OCI 和 AWS 之间流动。
- 在 Amazon VPC 控制台上,配置与您的连接关联的网络 ACL 和安全组,以允许流量在 AWS 和 OCI 之间流动。
- 执行双向连接测试以检查 OCI 与 AWS 之间的隧道连接。务必进行从 AWS 到 OCI 以及从 OCI 到 AWS 的 ping 测试。
在 AWS 和 OCI 之间配置冗余 VPN 连接
只能使用一个本地 IP 地址(客户网关 IP 地址)来配置 AWS 和 OCI Site-to-Site VPN 服务。必须重复之前的所有步骤才能创建第二个 Site-to-Site VPN 连接。使用一条活动隧道和一条重复隧道,这样,如果一条隧道出现故障,BGP 路由会自动经第二条隧道路由。