Aperçu du service de réseau

Le service Réseau utilise des versions virtuelles de composants de réseau traditionnels que vous connaissez peut-être déjà :

Réseau en nuage virtuel (VCN)

Réseau virtuel privé que vous avez configuré dans les centres de données Oracle. Il est très proche du réseau classique avec des règles de pare-feu et des types spécifiques de passerelle de communication que vous pouvez décider d'utiliser. Un VCN réside dans une seule région Oracle Cloud Infrastructure et couvre un ou plusieurs blocs CIDR (IPv4 et IPv6, si activé). Voir Taille et intervalles d'adresses de réseau VCN autorisés. Les termes réseau en nuage virtuel, réseau VCN et réseau en nuage sont utilisés de manière interchangeable dans cette documentation. Pour plus d'informations, voir VCN et sous-réseaux.

SOUS-RÉSEAUX

Sous-divisions que vous définissez dans un réseau VCN (par exemple, 10.0.0.0/24, 10.0.1.0/24 ou 2001:DB8::/64). Les sous-réseaux contiennent des cartes d'interface réseau virtuelles (vNIC), qui sont attachées à des instances. Chaque sous-réseau est composé d'un intervalle consécutif d'adresses IP (pour IPv4 et IPv6, si activé) qui ne chevauchent pas celles d'autres sous-réseaux du VCN. Vous pouvez définir un sous-réseau pour qu'il existe dans un domaine de disponibilité unique ou dans l'ensemble d'une région (les sous-réseaux régionaux sont recommandés. Les sous-réseaux servent d'unité de configuration au sein du réseau VCN : toutes les cartes vNIC d'un sous-réseau particulier utilisent les mêmes table de routage, listes de sécurité et options DHCP (voir les définitions qui suivent). Vous pouvez définir un sous-réseau public ou privé lors de sa création. Privé signifie que les cartes vNIC du sous-réseau ne peuvent pas avoir d'adresses IPv4 publiques et que la communication Internet avec les points d'extrémité IPv6 est interdite. Public signifie que les cartes vNIC du sous-réseau peuvent avoir des adresses IPv4 publiques et que la communication Internet est autorisée avec les points d'extrémité IPv6. Voir Accès à Internet.

CARTE VNIC

Carte d'interface réseau virtuelle (vNIC), qui est associée à une instance et réside dans un sous-réseau pour permettre une connexion au réseau VCN du sous-réseau. Une carte VNIC est le composant que l'instance utilise pour se connecter à des points d'extrémité à l'intérieur et à l'extérieur du VCN. Chaque instance a une carte VNIC principale qui est créée lors de la création de l'instance et ne peut pas être supprimée. Vous pouvez ajouter des cartes d'interface réseau virtuelle secondaires à une instance (dans le même domaine de disponibilité que la carte d'interface réseau virtuelle principale) et les retirer au besoin. Chaque carte VNIC secondaire peut figurer dans un sous-réseau du même réseau VCN que la carte VNIC principale ou dans un sous-réseau différent du même ou d'un autre réseau VCN. Toutefois, toutes les cartes vNIC doivent figurer dans le même domaine de disponibilité que l'instance. Pour plus d'informations, voir Cartes d'interface réseau virtuelles (vNIC). Une carte VNIC attachée à une instance de calcul et résidant dans un sous-réseau activé pour IPv6 peut éventuellement recevoir une adresse IPv6.

ADRESSE IP PRIVÉE

Adresse IPv4 privée et informations connexes d'adressage d'une instance (par exemple, un nom d'hôte pour le DNS). Chaque carte vNIC a une adresse IP privée principale, et vous pouvez ajouter et supprimer des adresses IP privées secondaires. L'adresse IP privée principale d'une instance ne change pas pendant la durée de vie de celle-ci et ne peut pas en être supprimée. Pour plus d'informations, voir Adresses IP privées.

ADRESSE IP PUBLIQUE

Adresse IPv4 publique et informations connexes. Vous pouvez éventuellement affecter une adresse IP publique à des instances ou à d'autres ressources dotées d'une adresse IP privée. Les adresses IP publiques peuvent être éphémères ou réservées. Pour plus d'informations, voir Adresses IP publiques.

IPV6

Adresse IPv6 et informations connexes. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.

Passerelle de routage dynamique (DRG)

Routeur virtuel facultatif que vous pouvez ajouter à un réseau VCN. Il fournit au trafic réseau privé un chemin entre un réseau VCN et un réseau sur place. Vous pouvez l'utiliser avec d'autres composants de réseau et un routeur d'un réseau sur place afin d'établir une connexion au moyen du RPV site à site ou d'Oracle Cloud Infrastructure FastConnect. Il peut également fournir un chemin pour le trafic réseau privé entre un VCN et un autre VCN dans une autre région. Pour plus d'informations, voir Accès à votre réseau sur place, Passerelles de routage dynamique et Appairage distant de réseaux VCN à l'aide d'une passerelle DRG existante.

PASSERELLE INTERNET

Autre routeur virtuel facultatif que vous pouvez ajouter à un réseau VCN pour un accès Internet direct. Pour plus d'informations, voir Accès à Internet et également Scénario A : Sous-réseau public.

PASSERELLE DE TRADUCTION D'ADRESSES DE RÉSEAU (NAT)

Autre routeur virtuel facultatif que vous pouvez ajouter à un réseau VCN. Elle donne, à vos ressources en nuage sans adresses IP publiques, accès à Internet sans les exposer aux connexions Internet entrantes. Pour plus d'informations, voir Sous-réseaux publics et sous-réseaux privés et aussi Passerelle NAT.

PASSERELLE DE SERVICE

Autre routeur virtuel facultatif que vous pouvez ajouter à un réseau VCN. Il fournit au trafic réseau privé un chemin entre un réseau VCN et les services pris en charge dans Oracle Services Network (exemples : Oracle Cloud Infrastructure Object Storage et Autonomous Database). Par exemple, les systèmes de base de données d'un sous-réseau privé d'un réseau VCN peuvent sauvegarder des données dans le stockage d'objets sans avoir besoin d'adresses IP publiques ou accéder à Internet. Pour plus d'informations, voir Accès aux services Oracle : Passerelle de service.

PASSERELLE D'APPAIRAGE LOCAL (LPG)

Autre routeur virtuel facultatif que vous pouvez ajouter à un réseau VCN. Il vous permet d'appairer deux réseaux VCN de la même région. Appairage signifie que les réseaux en nuage virtuels communiquent à l'aide d'adresses IP privées, sans que le trafic passe par Internet ou passe par un réseau sur place. Un réseau VCN doit avoir une passerelle d'appairage local distincte pour chaque appairage établi. Pour plus d'informations, voir Appairage local de réseaux en nuage virtuels à l'aide de passerelles d'appairage local.

CONNEXION D'APPAIRAGE DISTANT (RPC)

Composant que vous pouvez ajouter à une passerelle DRG. Il vous permet d'appairer un réseau VCN avec un autre d'une région différente. Pour plus d'informations, voir Appairage distant de réseaux en nuage virtuels à l'aide d'une passerelle DRG existante.

TABLES DE ROUTAGE

Tables de routage virtuelles pour un VCN. Elles comprennent des règles destinées à acheminer le trafic entre des sous-réseaux et des destinations hors du réseau VCN au moyen de passerelles ou d'instances spéciales configurées. Un réseau VCN est fourni avec une table de routage par défaut vide et vous pouvez ajouter des tables de routage personnalisées. Pour plus d'informations, voir Tables de routage de VCN.

RÈGLES DE SÉCURITÉ

Règles de pare-feu virtuel pour un réseau VCN. Les règles entrantes et sortantes spécifient les types de trafic (protocole et port) permis d'entrée et de sortie des instances. Vous pouvez décider si une règle particulière est avec ou sans état. Par exemple, vous pouvez autoriser le trafic SSH entrant de tout endroit à un jeu d'instances en configurant une règle de trafic entrant avec état avec le CIDR source 0.0.0.0/0 et le port TCP de destination 22. Pour mettre en oeuvre des règles de sécurité, vous pouvez utiliser des groupes de sécurité de réseau ou des listes de sécurité. Un groupe de sécurité de réseau se compose d'un jeu de règles de sécurité s'appliquant seulement aux ressources de ce groupe; contrairement à une liste de sécurité, où les règles s'appliquent à toutes les ressources de tous les sous-réseaux qui utilisent la liste. Un VCN est accompagné d'une liste de sécurité par défaut contenant des règles de sécurité par défaut. Pour plus d'informations, voir Règles de sécurité.

OPTIONS DHCP

Informations de configuration fournies automatiquement aux instances lors du démarrage. Pour plus d'informations, voir Options DHCP.

NOTATION CIDR

L'invention concerne un procédé compact permettant de spécifier des adresses IP ou des plages d'adresses et des masques de réseau. Par exemple, à l'aide de IPv4, un intervalle d'adresses IP privées de 10.0.0.0/24 représente toutes les adresses entre 10.0.0.0 et 10.0.0.255. Le /24 représente un masque de sous-réseau de 255.255.255.0 car les 24 premiers bits sont masqués. IPv6 utilise une notation similaire à celle des blocs d'adresse. Pour plus de renseignements, consultez la page RFC1817 et RFC1519.

Un réseau VCN couvre un ou plusieurs blocs CIDR IPv4 CIDR ou préfixes IPv6. La taille de réseau VCN autorisée est comprise entre /16 et /30. Exemple : 10.0.0.0/16. Le service de réseau réserve les deux première et dernière adresses IP du bloc CIDR de chaque sous-réseau. Vous pouvez activer IPv6 pour les réseaux en nuage virtuels lorsque vous les créez, ou vous pouvez activer IPv6 sur les réseaux en nuage virtuels existants propres à IPv4. Si vous décidez d'utiliser un préfixe IPv6 affecté par Oracle, vous recevez toujours un /56. Vous pouvez également importer votre propre préfixe IPv6 BYOIP à partir duquel vous pouvez affecter n'importe quel préfixe /64 ou supérieur à un VCN, ou affecter le préfixe ULA /64 ou supérieur. Les intervalles GUA peuvent aller jusqu'à 2000::/3 et les intervalles ULA, jusqu'à fc00::/7. La taille des sous-réseaux IPv6 est toujours de /64.

Pour un réseau VCN, nous recommandons d'utiliser les intervalles d'adresses IP privées spécifiés dans le document RFC 1918 (le document RFC recommande 10.0/8 ou 172.16/12, mais Oracle ne prend pas en charge ces tailles, utilisez donc 10.0/16, 172.16/16 et 192.168/16). Toutefois, vous pouvez utiliser un intervalle routable publiquement. Autrement dit, cette documentation utilise le terme adresse IP privée pour faire référence à des adresses IP du bloc CIDR d'un réseau VCN. Les intervalles d'adresses interdits sont décrits dans la section Adresses IP réservées à Oracle. Pour les réseaux en nuage virtuels activés pour IPv6, Oracle peut affecter un préfixe d'adresse monodiffusion globale /56 ou créer un VCN avec un préfixe BYOIPv6.

Les blocs CIDR du réseau VCN ne doivent pas se chevaucher, chevaucher des CIDR d'un réseau sur place connecté ou d'un autre réseau VCN d'appairage. Les sous-réseaux d'un réseau VCN particulier ne doivent pas se superposer. Pour référence, ici, un calculateur CIDR.

L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.

Un réseau VCN se trouve dans une seule région Oracle Cloud Infrastructure. Une région peut avoir plusieurs domaines de disponibilité pour fournir isolation et redondance. Pour plus d'informations, voir Régions et domaines de disponibilité.

Les sous-réseaux ont été initialement conçus pour couvrir un seul domaine de disponibilité dans une région. Ils étaient tous propres à un domaine de disponibilité, ce qui signifie que les ressources du sous-réseau devaient résider dans un domaine de disponibilité particulier. Maintenant, les sous-réseaux peuvent être propres à un domaine de disponibilité ou régionaux. Vous sélectionnez le type lorsque vous créez le sous-réseau. Les deux types de sous-réseau peuvent exister sur le même réseau VCN. Dans le diagramme suivant, les sous-réseau 1 à 3 sont propres au domaine de disponibilité et le sous-réseau 4 est régional.

En dehors de l'absence de contrainte de domaine de disponibilité, les sous-réseaux régionaux se comportent de la même manière que les sous-réseaux propres à un domaine de disponibilité. Nous recommandons d'utiliser des sous-réseaux régionaux, car ils sont plus flexibles. Ils permettent de diviser plus facilement un VCN en sous-réseaux, tout en prévoyant une défaillance du domaine de disponibilité.

Lorsque vous créez une ressource telle qu'une instance de calcul, vous décidez du domaine de disponibilité où elle se trouve. Du point de vue d'un réseau virtuel, vous devez également décider dans quels réseau VCN et sous-réseau se trouve l'instance. Vous pouvez sélectionner un sous-réseau régional ou un sous-réseau propre à un domaine de domaine correspondant à celui que vous avez sélectionné pour l'instance.

Chaque sous-réseau est systématiquement associé aux composants suivants :

• Une table de routage
• Une ou plusieurs listes de sécurité (pour le nombre maximal, voir Limites de service)
• Un jeu d'options DHCP

Lors de la création d'un sous-réseau, vous pouvez décider de la table de routage, de la liste de sécurité et du jeu d'options DHCP qu'il utilise. Si vous ne spécifiez pas de composant particulier, le sous-réseau utilise automatiquement le composant par défaut du réseau VCN. Vous pouvez modifier les composants utilisés par le sous-réseau à tout moment.

Vous pouvez contrôler si les sous-réseaux sont publics ou privés, et si les instances reçoivent des adresses IP publiques. Vous pouvez configurer un réseau VCN pour qu'il ait accès à Internet. Vous pouvez également connecter de manière privée un réseau VCN à des services Oracle Cloud Infrastructure publics, tels que le stockage d'objets, à un réseau sur place ou à un autre réseau VCN.

Cette documentation comprend quelques scénarios de base pour vous aider à comprendre le service de réseau et le fonctionnement général des composants. Voir ces rubriques :

• Scénario A : Sous-réseau public
• Scénario B : Sous-réseau privé avec un RPV
• Scénario C : Sous-réseaux publics et privés avec un RPV

Un réseau VCN se trouve dans une seule région Oracle Cloud Infrastructure. Chaque sous-réseau réside dans un seul domaine de disponibilité. Les domaines de disponibilité sont conçus pour fournir isolation et redondance dans le VCN, comme illustré dans les scénarios B et scénario C mentionnés précédemment. Par exemple, vous pouvez configurer un jeu principal de sous-réseaux dans un seul domaine de disponibilité, puis configurer un jeu de sous-réseaux en double dans un domaine secondaire. Les deux domaines de disponibilité sont isolés l'uns de l'autre dans les centres de données Oracle, de sorte que si l'un d'entre eux tombe en panne, vous pouvez facilement passer à l'autre. Pour plus d'informations, voir région et domaine de disponibilité.

Pour la liste des intervalles d'adresses IP publiques Oracle Cloud Infrastructure, voir Intervalles d'adresses IP.

Vous pouvez créer l'automatisation en fonction des modifications d'état des ressources Oracle Cloud Infrastructure en utilisant des types d'événement, des règles et des actions. Pour plus d'informations, voir Aperçu des événements.

La plupart des types de ressource Oracle Cloud Infrastructure ont un identifiant unique affecté par Oracle, appelé OCID (identificateur Oracle Cloud). Pour des informations sur le format des OCID et sur les autres moyens d'identifier vos ressources, voir Identificateurs de ressource.

Pour des informations générales sur l'utilisation de l'API, voir API REST.

L'approche la plus simple pour l'octroi d'accès au service de réseau est la politique répertoriée dans Permettre aux administrateurs de réseau de gérer un réseau en nuage. Elle couvre le réseau en nuage et tous les autres composants du réseau (sous-réseaux, listes de sécurité, tables de routage, portes, etc.). Pour autoriser également les administrateurs de réseau à créer des instances (pour tester la connectivité réseau), voir Permettre aux utilisateurs de lancer des instances de calcul.

Pour en savoir plus sur les politiques, voir Gestion des domaines d'identité et Politiques communes.

Pour en savoir plus sur l'écriture de politiques réseau plus détaillées, voir Détails relatifs aux services de base.

Voir Limites de service pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite.