Documentation sur Oracle Cloud Infrastructure

Connexion au moyen du RPV site à site

Cette rubrique décrit une façon de configurer une connexion entre un réseau IP Oracle Cloud Infrastructure version classique et un réseau en nuage virtuel (VCN) Oracle Cloud Infrastructure. La connexion s'exécute au moyen de RPV site à site.

Vous pouvez également configurer une connexion sur le réseau Oracle. Pour plus d'informations, voir Connexion sur le réseau Oracle.

Points saillants

  • Vous pouvez exécuter une charge de travail hybride entre vos environnements Oracle Cloud Infrastructure version classique et Oracle Cloud Infrastructure.
  • Vous configurez un RPV site à site entre la passerelle RPV-service (VPNaaS) du réseau IP et la passerelle de routage dynamique (DRG) associée au réseau VCN. La connexion s'exécute sur Internet. Vous configurez des règles de routage et de sécurité dans les environnements pour permettre le trafic.
  • Les blocs CIDR des deux environnements ne doivent pas se chevaucher. Les ressources en nuage ne peuvent communiquer par la connexion qu'avec des adresses IP privées.
  • Les deux environnements n'ont pas à se trouver dans la même zone géographique ou région.
  • La connexion est gratuite.

Aperçu

Vous pouvez connecter votre environnement Oracle Cloud Infrastructure et votre environnement Oracle Cloud Infrastructure version classique avec un RPV site à site. La connexion facilite un déploiement hybride avec des composants d'application configurés dans les deux environnements. Vous pouvez également utiliser la connexion pour migrer des charges de travail d'Oracle Cloud Infrastructure version classique vers Oracle Cloud Infrastructure. Contrairement à ce qui se produit avec le réseau Oracle pour la connexion, vous pouvez configurer le RPV site à site vous-même en quelques minutes. Contrairement à ce qui se produit avec FastConnect, vous n'encourez pas les coûts supplémentaires ou les frais d'exploitation liés au recours à un partenaire FastConnect.

Le diagramme suivant présente un exemple de déploiement hybride. Oracle Analytics Cloud s'exécute sur un réseau IP Oracle Cloud Infrastructure version classique et accède au service de base de données dans Oracle Cloud Infrastructure au moyen de la connexion.

Ce diagramme présente la connexion entre un réseau IP et un réseau VCN.

Voici d'autres informations importantes :

  • La connexion est prise en charge dans les régions Oracle Cloud Infrastructure et Oracle Cloud Infrastructure version classique. Les deux environnements n'ont pas à se trouver dans la même zone géographique.
  • La connexion permet la communication à l'aide d'adresses IP privées uniquement.
  • Les blocs CIDR du réseau IP et des sous-réseaux VCN qui communiquent ne doivent pas se chevaucher.
  • Cette connexion permet uniquement la communication entre les ressources du réseau IP Oracle Cloud Infrastructure version classique et le réseau VCN Oracle Cloud Infrastructure. Elle ne permet pas le trafic entre votre réseau sur place et le VCN en passant par le réseau IP, ou depuis votre réseau sur place vers le réseau IP en passant par le VCN.
  • La connexion ne permet pas non plus le trafic du réseau IP, en passant par le VCN connecté, vers un VCN appairé dans la même région Oracle Cloud Infrastructure ou dans une autre.

Le tableau suivant répertorie les composants de réseau comparables requis de chaque côté de la connexion.

Composant Oracle Cloud Infrastructure version classique Oracle Cloud Infrastructure
Réseau en nuage réseau IP VCN
Passerelle passerelle VPNaaS passerelle de routage dynamique (DRG)
Règles de sécurité règles de sécurité groupes de sécurité de réseau, listes de sécurité

Configuration du RPV site à site entre votre réseau IP et le VCN

L'organigramme suivant présente le processus global de connexion de votre réseau IP et le réseau VCN avec un RPV site à site.

Cet organigramme présente les étapes pour la connexion de votre réseau IP et du VCN avec Connexion RPV

Préalables :

Vous devez déjà disposer des éléments suivants :

Tâche 1 : Configurer une passerelle VPNaaS pour votre réseau IP

  1. Utilisez ces valeurs lors de la configuration de la passerelle VPNaaS :

    • Réseau IP : Le réseau IP Oracle Cloud Infrastructure version classique auquel vous voulez connecter votre réseau VCN. Vous ne pouvez indiquer qu'un seul réseau IP.
    • Passerelle du client : Valeur de paramètre fictif telle que 129.213.240.51. L'utilisation de cette valeur de paramètre fictif vous permet d'avancer dans le processus. Vous la remplacerez ultérieurement par l'adresse IP du routeur du réseau privé virtuel Oracle Cloud Infrastructure.
    • Routes accessibles par les clients : Le bloc CIDR pour le réseau VCN. Vous ne pouvez indiquer qu'un seul VCN.
    • Préciser la proposition pour la phase 2 d'ESP : Case à cocher sélectionnée.
    • Chiffrement ESP : AES 256
    • Hachage ESP : SHA1
    • Durée de vie IPSec : 1800
    • Exiger la sécurité persistante : Case à cocher sélectionnée.
  2. Enregistrez l'adresse IP publique résultante de la passerelle VPNaaS.
Tâche 2 : Configurer les composants du VCN et le tunnel IPSec
Tâche 2a : Configurer une passerelle de routage dynamique (DRG) pour votre VCN

Si vous n'avez pas encore de passerelle DRG associée à votre réseau VCN, créez-en une et associez-la à ce dernier :

Tâche 2b : Configurer le routage vers la passerelle DRG

Ajoutez une règle de routage qui dirige le trafic des sous-réseaux du VCN vers la passerelle DRG. Utilisez le bloc CIDR du réseau IP en tant que destination de la règle.

  1. Déterminez quels sous-réseaux de votre VCN doivent communiquer avec le réseau IP.

  2. Mettez à jour la table de routage pour chaque sous-réseau afin d'inclure une nouvelle règle qui dirige le trafic destiné au CIDR du réseau IP vers votre passerelle DRG :

    1. Ouvrez le menu de navigation, cliquez sur Réseau, puis sur Réseaux en nuage virtuels.
    2. Cliquez sur le réseau VCN qui vous intéresse.
    3. Sous Ressources, cliquez sur Tables de routage.
    4. Cliquez sur la table de routage qui vous intéresse.

    5. Cliquez sur Ajouter une règle de routage et entrez les données suivantes :

      • Bloc CIDR de destination : Bloc CIDR du réseau IP.
      • Type de cible : Passerelle de routage dynamique. La passerelle DRG attachée au réseau VCN est automatiquement sélectionnée en tant que cible et vous n'avez pas besoin de définir cette dernière.
      • Description : Description facultative de la règle.
    6. Cliquez sur Ajouter une règle de routage.

Tout le trafic de sous-réseau dont la destination correspond à la règle est acheminé vers votre passerelle DRG. Pour plus d'informations sur la configuration des règles de routage, voir Tables de routage de VCN.

Lorsque vous n'aurez plus besoin de la connexion et voudrez supprimer votre passerelle DRG, vous devrez d'abord supprimer toutes les règles de routage du réseau VCN qui l'indiquent comme cible.

Tâche 2c : Configurer les règles de sécurité

Pour garantir le trafic entre les réseaux IP et VCN, les règles de sécurité de chacun des réseaux doivent être définies pour autoriser le flux approprié.

Voici les types de règle à ajouter :

  • Règles de trafic entrant pour les types de trafic que vous voulez autoriser dans un nuage à partir d'un autre, plus précisément du bloc CIDR de l'autre nuage.
  • Règle autorisant le trafic sortant d'un nuage vers un autre. Si le sous-réseau du VCN comporte déjà une règle de trafic sortant large pour tous les types de protocole vers toutes les destinations (0.0.0.0/0), vous n'avez pas besoin d'en ajouter une particulière pour le réseau IP.
Pour le réseau IP

Configurez les règles de sécurité du réseau IP afin d'autoriser le trafic souhaité.

Pour le VCN
Note

La procédure suivante utilise des listes de sécurité, mais vous pouvez également mettre en oeuvre les règles de sécurité dans un ou plusieurs groupes de sécurité de réseau, puis placer les ressources du réseau VCN dans les groupes de sécurité de réseau.
  1. Déterminez quels sous-réseaux de votre VCN doivent communiquer avec le réseau IP.

  2. Mettez à jour la liste de sécurité de chacun des sous-réseaux afin d'inclure des règles permettant le trafic sortant ou entrant voulu spécifiquement avec le bloc CIDR du réseau IP :

    1. Dans la console, lorsque vous consultez le réseau VCN qui vous intéresse, cliquez sur Listes de sécurité.

    2. Cliquez sur la liste de sécurité qui vous intéresse.

      Sous Ressources, vous pouvez cliquer sur Règles de trafic entrant ou sur Règles de trafic sortant pour passer d'un type de règle à l'autre.

    3. Ajoutez une règle pour chaque type de trafic à autoriser.

    Pour plus d'informations sur la configuration des règles de liste de sécurité, voir Listes de sécurité.

    Important

    La liste de sécurité par défaut du réseau VCN n'autorise pas la réponse d'écho ICMP et la demande d'écho (ping). Ajoutez des règles pour autoriser ce trafic. Voir Règles d'activation de la commande ping
Exemple

Supposons que vous vouliez ajouter une règle avec état qui autorise le trafic HTTPS (port 443) entrant à partir du CIDR du réseau IP. Voici les étapes de base nécessaires à l'ajout d'une règle :

  1. Dans la page Règles de trafic entrant, cliquez sur Ajouter une règle de trafic entrant.
  2. Laissez la case sans état désélectionnée.
  3. CIDR source : Entrez le même bloc CIDR que les règles de routage utilisent (voir Tâche 2b : Configurer le routage vers la passerelle DRG).
  4. Protocole IP : Laissez TCP.
  5. Intervalle de ports sources : Laissez Tous.
  6. Intervalle de ports de destination : Entrez 443.
  7. Cliquez sur Ajouter une règle de trafic entrant.
  8. Description : Facultativement, entrez une description de la règle.
Tâche 2d : Créer un objet CPE

Créez un objet CPE. Une adresse IP est requise. Utilisez l'adresse IP publique de la passerelle VPNaaS.

Tâche 2e : Créer la connexion IPSec

À partir de votre passerelle DRG, créez une connexion IPSec vers l'objet CPE. Vous devez fournir une ou plusieurs routes statiques. Les valeurs doivent correspondre aux sous-réseaux ou à l'agrégat du réseau IP.

La connexion IPSec résultante se compose de deux tunnels. Enregistrez l'adresse IP et la clé secrète partagée pour un de ces tunnels. Dans la prochaine tâche, vous fournirez ces valeurs.

Tâche 3 : Mettre à jour la connexion VPNaaS à l'aide des informations sur le tunnel

Mettez à jour la connexion VPNaaS. Utilisez les valeurs suivantes :

  • Passerelle du client : Adresse IP du tunnel provenant de la tâche précédente.
  • Clé prépartagée : Clé secrète partagée du tunnel provenant de la tâche précédente.

Après la mise à jour et le provisionnement de la connexion IPsec, l'état du tunnel IPSec doit passer à Disponible. Le provisionnement peut prendre quelques minutes.

Tâche 4 : Tester la connexion

Une fois l'état du tunnel réglé sur Disponible, testez la connexion. Selon la façon dont vous avez configuré les règles de sécurité de votre réseau IP et du réseau VCN, vous devriez être en mesure de lancer une instance dans votre VCN et d'y accéder à partir d'une instance du réseau IP. Vous devriez également pouvoir vous connecter d'une instance du VCN à une instance du réseau IP. Dans ce cas, votre connexion est prête à l'emploi.

Interruption de la connexion

Si vous souhaitez mettre fin à la connexion, supprimez la connexion IPSec :

  1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur RPV site-à-site.

    Une liste des connexions IPSec dans le compartiment que vous consultez est affichée. Si vous ne voyez pas celui qui vous intéresse, assurez-vous que vous consultez le compartiment approprié (sélectionnez-le dans la liste située dans la partie gauche de la page).

  2. Cliquez sur la connexion IPSec qui vous intéresse.
  3. Cliquez sur Mettre fin.
  4. Confirmez la suppression à l'invite.

Pendant une courte période durant sa suppression, la connexion IPSec sera à l'état Fin en cours.