그림: https://docs.oracle.com/en-us/iaas/Content/Network/Tasks/scenario_e.htm

지역추가

VPN 생성

각 테넌시의 특정 구획에 vpn을 생성합니다.
저는 각각 OKE를 만들면서 VPN을 함께 만들었습니다.

VPN 연결

vpn을 연결하는 방식은 여러 가지가 있지만 여기서는
(서로 지역이 같거나? 다른) 두 테넌시의 VPN을 피어링 방식으로 연결합니다.

Cross Tenancy Remote Peering

정책 설정

이 부분이 핵심입니다!

Policy R (implemented by the requestor)

요청자 테넌시 루트에 정책을 추가합니다.

Define tenancy Acceptor as ocid1.tenancy.oc1..aaaaaaaauwgc27uhvaq2rspjjqfxig3n6tgp3qweqtckqwlvvbemuopq4k6a
Allow group Administrators to manage remote-peering-from in tenancy
Endorse group Administrators to manage remote-peering-to in tenancy Acceptor

Policy A (implemented by the acceptor)

수신자 테넌시 루트에 정책을 추가합니다.

Define tenancy Requestor as ocid1.tenancy.oc1..aaaaaaaai736rmeaz4ibi7tp2v2fejzptstka6gyxo4mpjut2ynrlp6lyvoa
Define group Administrators as ocid1.group.oc1..aaaaaaaan2spyu6gouvikxwimsudi556ggaeaab6kkvk7zltzdeyupi6xalq
Admit group Administrators of tenancy Requestor to manage remote-peering-to in tenancy

DRG 생성

# 서울 테넌트
oci network drg create --compartment-id ocid1.compartment.oc1..aaaaaaaaozdjju5blzbbfkyrk2qshlnxnkp5hvsxehrxkp3rz73jj7gvtdjq --display-name "mgmt-drg" --profile SE
# ocid1.drg.oc1.ap-seoul-1.aaaaaaaaotldudjvmt6cqzri74o3ni7iubsz6qkr564q75rttujiir3v5eca

# 춘천 테넌트
oci network drg create --compartment-id ocid1.compartment.oc1..aaaaaaaahqy43pj2eizxfbayxxqsps57cr4g4y64fgzkvagmibd5shkoaipq --display-name "workload-drg" --profile CH
# ocid1.drg.oc1.ap-chuncheon-1.aaaaaaaaf7qkz7qfqexvgnqnjeqnght3m7tmkduyvoyy3dxuhce65nr4zueq

DRG - Attach VCN

양쪽 테넌시 모두 OCI 콘솔에 로그인하여 DRG 생성을 확인하고
[VCN 연결(Attach)] 을 클릭하여 앞서 생성한 VCN을 연결합니다.

DRG - 원격피어링 접속 연결(RPC)

양쪽 테넌시 모두
원격피어링 접속 연결(RPC) - 원격 피어링 접속 생성 - 원격 피어링 접속 생성
생성된 원격 피어링 접속 정보를 확인합니다.

RPC 접속 설정

수신자 테넌시의 [rpc] 링크를 클릭 후 rpc ocid를 복사합니다.

요청자 테넌시의 [rpc] 링크를 클릭 후 [접속 설정] 버튼을 클릭합니다.

수신자 테넌시의 지역과 rpc ocid를 붙여넣고 [접속 설정]을 누릅니다.

피어링 확인

양쪽 테넌시의 피어 상태(보류중 -> 피어링됨)가 변경된 것을 확인합니다.
교차 테넌시(아이오 -> 예)도 변경되었습니다.

(라우팅) 경로 테이블에 규칙 추가

양쪽에 서로의 VCN CIDR를 경로 규칙에 추가합니다.

규칙 추가
대상유형: 동적 경로지정 게이트웨이
대상: 자기 drg
대상: 상대방의 VCN CIDR

보안규칙 추가

수신규칙
소스: 상대방 VCN CIDR
• TCP 80, 443: HTTP 및 HTTPS 트래픽 허용(필요한 경우)
• TCP 6443: Kubernetes API 서버에 대한 접근(OKE 클러스터 관리용)
• Custom TCP, UDP 포트: 필요한 경우, OKE 노드 및 서비스의 통신을 위해 특정 포트를 허용합니다.

송신규칙
대상: 상대방 VCN CIDR
모든 프로토콜 허용

통신 확인

각각 테넌시에 배스천을 생성하여 프라이빗 서브넷의 워커 노드에 접속합니다.
서로의 프라이빗 IP로 ping을 해봅니다.

참고

오라클 공식문서

• https://docs.public.oneportal.content.oci.oraclecloud.com/en-us/iaas/Content/Network/Tasks/scenario_e.htm
• https://docs.public.oneportal.content.oci.oraclecloud.com/en-us/iaas/Content/Network/Tasks/drg-iam.htm#scenario_m__IAM_cross-tenancy (정책문 수정 필수)
• https://docs.oracle.com/solutions/as

유튜브

https://youtu.be/jffGAuayFbQ?feature=shared (정책문 참고)