Documentation sur Oracle Cloud Infrastructure

Aperçu du service de réseau

Lorsque vous utilisez Oracle Cloud Infrastructure, l'une des premières opérations consiste à configurer un réseau en nuage virtuel (VCN) pour vos ressources en nuage. Cette rubrique présente un aperçu des composants de réseau pour Oracle Cloud Infrastructure et des scénarios types pour l'utilisation d'un réseau VCN.

Conseil

Regardez une vidéo de présentation du service.

Composants du service de réseau

Le service Réseau utilise des versions virtuelles de composants de réseau traditionnels que vous connaissez peut-être déjà :

RÉSEAU EN NUAGE VIRTUEL (VCN)
Réseau virtuel privé que vous avez configuré dans les centres de données Oracle. Il est très proche du réseau classique avec des règles de pare-feu et des types spécifiques de passerelles de communication que vous pouvez sélectionner. Un VCN réside dans une seule région Oracle Cloud Infrastructure et couvre un ou plusieurs blocs CIDR (IPv4 et IPv6, si activé). Voir Taille et intervalles d'adresses de réseau VCN autorisés. Les termes réseau en nuage virtuel, réseau VCN et réseau en nuage sont utilisés de manière interchangeable dans cette documentation. Pour plus d'informations, voir VCN et sous-réseaux.
SOUS-RÉSEAUX

Sous-divisions que vous définissez dans un réseau VCN (par exemple, 10.0.0.0/24, 10.0.1.0/24 ou 2001:DB8::/64). Les sous-réseaux contiennent des cartes d'interface réseau virtuelles (vNIC), qui sont attachées à des instances. Chaque sous-réseau est composé d'un intervalle contigu d'adresses IP (pour IPv4 et IPv6, si activé) qui ne chevauchent pas celles d'autres sous-réseaux du VCN. Vous pouvez indiquer qu'un sous-réseau existe dans un domaine de disponibilité unique ou dans l'ensemble d'une région (les sous-réseaux régionaux sont recommandés). Les sous-réseaux servent d'unité de configuration au sein du réseau VCN : toutes les cartes vNIC d'un sous-réseau donné utilisent les mêmes table de routage, listes de sécurité et options DHCP (voir les définitions qui suivent). Vous pouvez définir un sous-réseau public ou privé lorsque vous le créez. Privé signifie que les cartes vNIC du sous-réseau ne peuvent pas avoir d'adresses IPv4 publiques et que la communication Internet avec les points d'extrémité IPv6 sera interdite. Public signifie que les cartes vNIC du sous-réseau peuvent avoir des adresses IPv4 publiques et que la communication Internet est autorisée avec les points d'extrémité IPv6. Voir Accès à Internet.

CARTE VNIC
Carte d'interface réseau virtuelle (vNIC), qui est associée à une instance et réside dans un sous-réseau pour permettre une connexion au réseau VCN du sous-réseau. La carte vNIC détermine comment l'instance se connecte à des points d'extrémité à l'intérieur et à l'extérieur du réseau VCN. Chaque instance a une carte vNIC principale créée lors du lancement de l'instance et qui ne peut pas être retirée. Vous pouvez ajouter des cartes vNIC secondaires à une instance (dans le même domaine de disponibilité que la carte vNIC principale) et les retirer à votre guise. Chaque carte vNIC secondaire peut figurer dans un sous-réseau du même réseau VCN que la carte vNIC principale ou dans un sous-réseau différent du même ou d'un autre réseau VCN. Toutefois, toutes les cartes vNIC doivent figurer dans le même domaine de disponibilité que l'instance. Pour plus d'informations, voir Cartes d'interface réseau virtuelles (vNIC). Une carte vNIC attachée à une instance de calcul et résidant dans un sous-réseau activé pour IPv6 peut éventuellement recevoir une adresse IPv6.
ADRESSE IP PRIVÉE
Adresse IPv4 privée et informations connexes d'adressage d'une instance (par exemple, un nom d'hôte pour le DNS). Chaque carte vNIC a une adresse IP privée principale, et vous pouvez ajouter et supprimer des adresses IP privées secondaires. L'adresse IP privée principale d'une instance ne change pas pendant la durée de vie de cette dernière et ne peut pas en être supprimée. Pour plus d'informations, voir Adresses IP privées.
ADRESSE IP PUBLIQUE
Adresse IPv4 publique et informations connexes. Vous pouvez éventuellement affecter une adresse IP publique à vos instances ou à d'autres ressources dotées d'une adresse IP privée. Les adresses IP publiques peuvent être éphémères ou réservées. Pour plus d'informations, voir Adresses IP publiques.
IPV6
Adresse IPv6 et informations connexes. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.
PASSERELLE DE ROUTAGE DYNAMIQUE (DRG)
Routeur virtuel facultatif que vous pouvez ajouter à votre réseau en nuage virtuel. Il fournit au trafic réseau privé un chemin entre votre réseau VCN et votre réseau sur place. Vous pouvez l'utiliser avec d'autres composants de réseau et un routeur de votre réseau sur place afin d'établir une connexion au moyen de RPV site à site ou d'Oracle Cloud Infrastructure FastConnect. Il peut également fournir au trafic réseau privé un chemin entre votre réseau VCN et un autre figurant dans une autre région. Pour plus d'informations, voir Accès à votre réseau sur place, Passerelles de routage dynamique et Appairage distant de réseaux VCN à l'aide d'une passerelle DRG existante.
PASSERELLE INTERNET
Autre routeur virtuel facultatif que vous pouvez ajouter à votre réseau VCN pour un accès Internet direct. Pour plus d'informations, voir Accès à Internet et également Scénario A : Sous-réseau public.
PASSERELLE DE TRADUCTION D'ADRESSES DE RÉSEAU (NAT)
Autre routeur virtuel facultatif que vous pouvez ajouter à votre réseau VCN. Elle donne, à vos ressources en nuage sans adresses IP publiques, accès à Internet sans les exposer aux connexions Internet entrantes. Pour plus d'informations, voir Sous-réseaux publics et sous-réseaux privés et aussi Passerelle NAT.
PASSERELLE DE SERVICE
Autre routeur virtuel facultatif que vous pouvez ajouter à votre réseau VCN. Il fournit au trafic réseau privé un chemin entre votre réseau VCN et les services pris en charge dans Oracle Services Network (exemples : Oracle Cloud Infrastructure Stockage d'objets et Autonomous Database ). Par exemple, les systèmes de base de données d'un sous-réseau privé de votre réseau VCN peuvent sauvegarder des données dans le service de stockage d'objets sans avoir besoin d'adresses IP publiques ou d'accéder à Internet. Pour plus d'informations, voir Accès aux services Oracle : Passerelle de service.
PASSERELLE D'APPAIRAGE LOCAL (LPG)
Autre routeur virtuel facultatif que vous pouvez ajouter à votre réseau VCN. Il vous permet d'appairer deux réseaux VCN de la même région. L'appairage signifie que les réseaux VCN communiquent à l'aide d'adresses IP privées, sans que le trafic passe par Internet ni par votre réseau sur place. Un réseau VCN donné doit avoir une passerelle d'appairage local distincte pour chaque appairage établi. Pour plus d'informations, voir Appairage local de réseaux en nuage virtuels à l'aide de passerelles d'appairage local.
CONNEXION D'APPAIRAGE DISTANT (RPC)
Composant que vous pouvez ajouter à une passerelle DRG. Il vous permet d'appairer un réseau VCN avec un autre d'une région différente. Pour plus d'informations, voir Appairage distant de réseaux en nuage virtuels à l'aide d'une passerelle DRG existante.
TABLES DE ROUTAGE
Tables de routage virtuelles pour votre réseau VCN. Elles comprennent des règles destinées à acheminer le trafic entre des sous-réseaux et des destinations hors du réseau VCN au moyen de passerelles ou d'instances spéciales configurées. Votre réseau VCN est fourni avec une table de routage par défaut vide et vous pouvez ajouter vous-même des tables de routage personnalisées. Pour plus d'informations, voir Tables de routage de VCN.
RÈGLES DE SÉCURITÉ
Règles de pare-feu virtuel pour votre réseau VCN. Il s'agit de règles de trafic entrant et sortant qui spécifient les types de trafic (protocole et port) permis à destination et en provenance des instances. Vous pouvez choisir si une règle particulière est avec état ou sans état. Par exemple, vous pouvez autoriser le trafic SSH entrant de tout endroit à un jeu d'instances en configurant une règle de trafic entrant avec état avec le CIDR source 0.0.0.0/0 et le port TCP de destination 22. Pour mettre en oeuvre des règles de sécurité, vous pouvez utiliser des groupes de sécurité de réseau ou des listes de sécurité. Un groupe de sécurité de réseau se compose d'un jeu de règles de sécurité s'appliquant seulement aux ressources de ce groupe; contrairement à une liste de sécurité, où les règles s'appliquent à toutes les ressources de tous les sous-réseaux qui utilisent la liste. Votre VCN est accompagné d'une liste de sécurité par défaut contenant des règles de sécurité par défaut. Pour plus d'informations, voir Règles de sécurité.
OPTIONS DHCP
Informations de configuration fournies automatiquement aux instances lors du démarrage. Pour plus d'informations, voir Options DHCP.

Taille et intervalles d'adresses de réseau VCN autorisés

Un réseau VCN couvre un ou plusieurs blocs CIDR IPv4 ou préfixes IPv6 de votre choix. La taille de réseau VCN autorisée est comprise entre /16 et /30. Exemple : 10.0.0.0/16. Le service de réseau réserve les deux premières adresses IP et la dernière adresse du bloc CIDR de chaque sous-réseau. Vous pouvez activer IPv6 pour vos réseaux en nuage virtuels lorsque vous les créez, ou sur des réseaux en nuage virtuels IPv4 uniquement existants. Si vous décidez d'utiliser un préfixe IPv6 affecté par Oracle, vous recevez toujours un /56. Vous pouvez également importer votre propre préfixe IPv6 BYOIP à partir duquel vous pouvez affecter n'importe quel préfixe /64 ou supérieur à un VCN, ou affecter le préfixe ULA /64 ou supérieur. Les intervalles GUA peuvent aller jusqu'à 2000::/3 et les intervalles ULA, jusqu'à fc00::/7. La taille des sous-réseaux IPv6 est toujours de /64.

Pour votre réseau VCN, Oracle recommande d'utiliser les intervalles d'adresses IP privées spécifiés dans le document RFC 1918 (le RFC recommande 10.0/8 ou 172.16/12, mais Oracle ne prend pas en charge ces tailles. Utilisez donc 10.0/16, 172.16/16 et 192.168/16). Toutefois, vous pouvez utiliser un intervalle routable publiquement. Autrement dit, cette documentation utilise le terme adresse IP privée pour faire référence à des adresses IP du bloc CIDR de votre réseau VCN. Les intervalles d'adresses interdits sont décrits dans la section Adresses IP réservées à Oracle. Pour les réseaux en nuage virtuels activés pour IPv6, Oracle peut affecter un préfixe d'adresse monodiffusion globale /56 ou créer un VCN avec un préfixe BYOIPv6.

Les blocs CIDR du réseau VCN ne doivent pas se chevaucher, ni chevaucher des blocs CIDR de votre réseau sur place ou d'un autre réseau VCN d'appairage. Les adresses des sous-réseaux d'un réseau VCN donné ne doivent pas se chevaucher. Pour référence, ici, un calculateur CIDR.

L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.

Domaines de disponibilité et votre réseau VCN

Votre réseau VCN se trouve dans une seule région Oracle Cloud Infrastructure. Une région peut avoir plusieurs domaines de disponibilité pour fournir isolement et redondance. Pour plus d'informations, voir Régions et domaines de disponibilité.

Les sous-réseaux ont été initialement conçus pour couvrir un seul domaine de disponibilité dans une région. Ils étaient tous propres à un domaine de disponibilité et leurs ressources devaient donc résider dans un domaine de disponibilité particulier. Maintenant, les sous-réseaux peuvent être propres à un domaine de disponibilité ou régionaux. Vous choisissez le type lorsque vous créez le sous-réseau. Les deux types de sous-réseau peuvent coexister sur le même réseau VCN. Dans le diagramme suivant, les sous-réseaux 1 à 3 sont propres à un domaine de disponibilité et le sous-réseau 4 est régional.

Cette illustration présente un réseau VCN doté d'un sous-réseau régional et de trois sous-réseaux propres à un domaine de disponibilité.

En dehors de l'absence de contrainte de domaine de disponibilité, les sous-réseaux régionaux se comportent de la même manière que les sous-réseaux propres à un domaine de disponibilité. Oracle recommande d'utiliser des sous-réseaux régionaux, car ils sont plus flexibles. Ils facilitent la division de votre réseau VCN en sous-réseaux et également d'anticiper une défaillance éventuelle du domaine de disponibilité.

Lorsque vous créez une ressource telle qu'une instance de calcul, vous choisissez le domaine de disponibilité où elle se trouvera. Du point de vue d'un réseau virtuel, vous devez également choisir dans quels réseau VCN et sous-réseau figurera l'instance. Vous pouvez choisir un sous-réseau régional ou un sous-réseau propre à un domaine de disponibilité correspondant à celui que vous avez choisi pour l'instance.

Composants par défaut fournis avec votre réseau VCN

Votre réseau VCN est automatiquement fourni avec ces composants par défaut :

Vous ne pouvez pas supprimer ces composants par défaut. Toutefois, vous pouvez modifier leur contenu (par exemple, les règles de la liste de sécurité par défaut). Vous pouvez aussi créer vos propres versions personnalisées de chaque type de composant de votre réseau VCN. Il existe des limites sur le nombre de composants que vous pouvez créer et le nombre maximum de règles. Pour plus d'informations, voir Limites de service.

Chaque sous-réseau est systématiquement associé aux composants suivants :

  • Une table de routage
  • Une ou plusieurs listes de sécurité (pour le nombre maximal, voir Limites de service)
  • Un jeu d'options DHCP

Lors de la création d'un sous-réseau, vous pouvez choisir la table de routage, la liste de sécurité et le jeu d'options DHCP qu'il utilise. Si vous ne spécifiez pas de composant particulier, le sous-réseau utilise automatiquement le composant par défaut du réseau VCN. Vous pouvez modifier les composants utilisés par le sous-réseau à tout moment.

Conseil

Les listes de sécurité sont un moyen de contrôler le trafic entrant et sortant des ressources du réseau VCN. Vous pouvez également utiliser des groupes de sécurité de réseau, qui vous permettent d'appliquer un jeu de règles de sécurité à un ensemble de ressources dont la situation en matière de sécurité est identique.

Options de connectivité

Vous pouvez contrôler si les sous-réseaux sont publics ou privés, et si les instances reçoivent des adresses IP publiques. Vous pouvez configurer votre réseau VCN pour qu'il ait accès à Internet. Vous pouvez également connecter de manière privée votre réseau VCN à des services Oracle Cloud Infrastructure publics, tels que le service Stockage d'objets, à votre réseau sur place ou à un autre réseau VCN.

Sous-réseaux publics et sous-réseaux privés

Lorsque vous créez un sous-réseau, il est considéré comme public par défaut. Ses instances peuvent donc avoir des adresses IPv4 publiques. La communication Internet est autorisée avec les points d'extrémité IPv6. La personne qui lance l'instance choisit de spécifier si elle a une adresse IPv4 publique ou si une adresse IPv6 du préfixe alloué sera affectée. Vous pouvez remplacer ce comportement lors de la création du sous-réseau et demander qu'il soit privé, ce qui interdit l'utilisation d'adresses IPv4 publiques et les communications Internet avec les points d'extrémité IPv6. Les administrateurs de réseau sont ainsi assurés que les instances du sous-réseau n'ont pas d'accès Internet, même si le réseau VCN dispose d'une passerelle Internet valide, et que les règles de sécurité et les règles de pare-feu autorisent le trafic.

Mode d'affectation des adresses IP

Chaque instance a une carte vNIC principale créée lors du lancement de l'instance et qui ne peut pas être retirée. Vous pouvez ajouter des cartes vNIC secondaires à une instance (dans le même domaine de disponibilité que la carte vNIC principale) et les retirer à votre guise.

Chaque carte vNIC a une adresse IP privée provenant du CIDR du sous-réseau associé. Vous pouvez choisir l'adresse IP particulière (lors du lancement de l'instance ou de la création de la carte vNIC secondaire) ou laisser Oracle la sélectionner pour vous. L'adresse IP privée ne change pas pendant la durée de vie de l'instance et ne peut pas être supprimée. Vous pouvez également ajouter des adresses IPv4 privées secondaires ou des adresses secondaires IPv6 à une carte vNIC.

Si la carte vNIC se trouve dans un sous-réseau public, une adresse IPv4 ou IPv6 publique peut être affectée à chaque adresse IP privée sur cette carte si vous le souhaitez. Pour IPv4, Oracle choisit cette adresse IP. Pour IPv6, vous pouvez la spécifier. Il existe deux types d'adresse IP publique : éphémère et réservée. Une adresse IP publique éphémère existe uniquement pour la durée de vie de l'adresse IP privée à laquelle elle est affectée. En revanche, une adresse IP publique réservée dure aussi longtemps que vous le souhaitez. Vous gérez un groupe d'adresses IP publiques réservées que vous affectez à vos instances à votre guise. Vous pouvez les déplacer d'une ressource à l'autre dans une région, selon vos besoins.

Accès à Internet

Vous pouvez ajouter deux passerelles (routeurs virtuels) facultatives à votre réseau VCN selon le type d'accès Internet requis :

  • Passerelle Internet : pour les ressources dotées d'adresses IP publiques qui doivent être joignables à partir d'Internet (par exemple, un serveur Web) ou doivent lancer des connexions à Internet.
  • Passerelle NAT : pour les ressources sans adresses IP publiques qui doivent lancer des connexions à Internet (par exemple, pour des mises à jour logicielles), mais doivent être protégées des connexions entrantes depuis Internet.

Disposer d'une passerelle Internet ne suffit pas pour exposer les instances des sous-réseaux du VCN directement à Internet. Les exigences suivantes doivent également être remplies :

Conseil

Pour permettre l'accès aux services publics, tels que le service de stockage d'objets, depuis votre réseau VCN sans que le trafic passe par Internet, utilisez une passerelle de service.

En outre, sachez que le trafic au moyen d'une passerelle Internet entre un VCN et une adresse IP publique faisant partie d'Oracle Cloud Infrastructure (par exemple Object Storage), est acheminé sans passer par Internet.

Vous pouvez également donner à un sous-réseau un accès indirect à Internet en configurant un mandataire Internet dans votre réseau sur place, puis en connectant ce réseau à votre réseau VCN au moyen d'une passerelle DRG. Pour plus d'informations, voir Accès au réseau sur place.

Accès aux services Oracle Cloud Infrastructure publics

Vous pouvez utiliser une passerelle de service avec votre réseau VCN pour activer l'accès privé aux services Oracle Cloud Infrastructure publics, tels qu'Object Storage. Par exemple, les systèmes de base de données d'un sous-réseau privé de votre réseau VCN peuvent sauvegarder des données dans le service de stockage d'objets sans avoir besoin d'adresses IP publiques ou d'accéder à Internet. Aucune passerelle Internet ou NAT n'est requise. Pour plus d'informations, voir Accès aux services Oracle : Passerelle de service.

Accès au réseau sur place

Il existe deux façons de connecter votre réseau sur place à Oracle Cloud Infrastructure :

  • RPV site à site : Offre plusieurs tunnels IPSec entre la périphérie de votre réseau existant et votre réseau VCN, par l'intermédiaire d'une passerelle DRG que vous créez et attachez à ce dernier.
  • Oracle Cloud Infrastructure FastConnect : offre une connexion privée entre la périphérie de votre réseau existant et Oracle Cloud Infrastructure. Le trafic ne passe pas par Internet. Les appairages privé et public sont pris en charge. Vos hôtes sur place peuvent ainsi accéder à des adresses IPv4 ou IPv6 privées dans votre réseau VCN, ainsi qu'à des adresses IPv4 ou IPv6 publiques régionales dans Oracle Cloud Infrastructure (par exemple, le service Stockage d'objets ou les équilibreurs de charge publics de votre réseau VCN).

Vous pouvez utiliser un ou les deux types de connexions précédentes. Si vous utilisez les deux, vous pouvez le faire simultanément ou dans une configuration redondante. Votre réseau VCN reçoit ces connexions par l'intermédiaire d'une passerelle DRG unique que vous créez et que vous lui associez. Sans cette passerelle DRG associée et une règle de routage correspondante, le trafic ne circule pas entre vos réseaux VCN et sur place. Vous pouvez à tout moment détacher la passerelle DRG de votre réseau VCN, mais conserver tous les autres composants qui forment le reste de la connexion. Vous pouvez par la suite associer à nouveau la passerelle DRG à ce réseau VCN ou à un autre.

Accès à un autre réseau VCN

Vous pouvez connecter votre réseau VCN à un autre au moyen d'une connexion privée qui n'oblige pas le trafic à passer par Internet. En général, ce type de connexion est appelé appairage de réseaux VCN. Chaque réseau VCN doit disposer de composants spécifiques pour permettre l'appairage. Les réseaux VCN doivent également disposer de politiques GIA, de règles de routage et de règles de sécurité spécifiques qui permettent l'établissement de la connexion et au trafic réseau voulu de circuler sur la connexion. Pour plus d'informations, voir Accès à d'autres réseaux en nuage virtuels : appairage.

Connexion à Oracle Cloud Infrastructure version classique

Vous pouvez configurer une connexion entre vos environnements Oracle Cloud Infrastructure et Oracle Cloud Infrastructure version classique. Cette connexion peut faciliter les déploiements hybrides entre les deux environnements ou la migration d'Oracle Cloud Infrastructure version classique vers Oracle Cloud Infrastructure. Pour plus d'informations, voir Accès à Oracle Cloud Infrastructure version classique.

Connexion à Microsoft Azure

Oracle et Microsoft ont créé une connexion internuage entre Oracle Cloud Infrastructure et Microsoft Azure dans certaines régions. Cette connexion vous permet de configurer des charges de travail internuages sans que le trafic entre ces nuages passe par Internet. Pour plus d'informations, voir Accès à Microsoft Azure.

Connexion à d'autres nuages avec Libreswan

Vous pouvez connecter votre réseau VCN à un autre fournisseur de services infonuagiques à l'aide d'un RPV site à site avec une machine virtuelle Libreswan comme équipement local d'abonné (CPE). Pour plus d'informations, voir Accès à d'autres nuages avec Libreswan.

Scénarios d'utilisation du service de réseau

Cette documentation comprend quelques scénarios de base pour vous aider à comprendre le service de réseau et le fonctionnement général des composants. Voir ces rubriques :

Routage de transit

Les scénarios A à C montrent votre réseau sur place connecté à un ou plusieurs réseaux en nuage virtuels au moyen d'une passerelle DRG et de FastConnect, ou de RPV site à site, et accédant seulement aux ressources de ces réseaux.

Les scénarios de routage avancés suivants donnent à votre réseau sur place accès à d'autres ressources en plus de celles du réseau en nuage virtuel connecté. Le trafic circule de votre réseau sur place à la passerelle DRG, et transite par cette dernière jusqu'à sa destination. Voir ces rubriques :

  • Routage de transit dans un VCN utilisé comme concentrateur : Votre réseau sur place a accès à plusieurs réseaux en nuage virtuels de la même région, par un seul circuit virtuel privé FastConnect ou par un RPV site à site. La passerelle DRG et les réseaux en nuage virtuels attachés se présentent dans une disposition en étoile, le réseau sur place étant connecté à la passerelle DRG qui sert de concentrateur. Les réseaux en nuage virtuels satellites sont appairés.
  • Accès privé aux services Oracle : Votre réseau sur place a un accès privé aux services Oracle d'Oracle Services Network au moyen du réseau en nuage virtuel connecté et de sa passerelle de service . Le trafic ne passe pas par Internet.

Régions et domaines de disponibilité

Votre réseau VCN se trouve dans une seule région Oracle Cloud Infrastructure. Chaque sous-réseau réside dans un seul domaine de disponibilité. Les domaines de disponibilité sont conçus pour fournir isolation et redondance dans votre réseau VCN, comme illustré dans les scénarios B et scénario C mentionnés précédemment. Par exemple, vous pouvez configurer votre jeu principal de sous-réseaux dans un seul domaine de disponibilité, puis configurer un jeu de sous-réseaux en double dans un domaine secondaire. Les deux domaines de disponibilité sont isolés l'uns de l'autre dans les centres de données Oracle, de sorte que si l'un d'entre eux tombe en panne, vous pouvez facilement passer à l'autre. Pour plus d'informations, voir Régions et domaines de disponibilité.

Intervalles d'adresses IP publiques

Pour la liste des intervalles d'adresses IP publiques Oracle Cloud Infrastructure, voir Intervalles d'adresses IP.

Adresses IP réservées à Oracle

L'utilisation de certaines adresses IP est réservée à Oracle Cloud Infrastructure. Elles ne peuvent donc pas être utilisées dans votre schéma de numérotation d'adresses.

169.254.0.0/16

Ces adresses sont utilisées pour les connexions iSCSI aux volumes de démarrage et aux volumes par blocs, aux métadonnées d'instance et à d'autres services.

Classe D et classe E

Toutes les adresses comprises entre 224.0.0.0 et 239.255.255.255 (classe D) sont interdites dans un réseau VCN; elles sont réservées aux affectations d'adresses de multidiffusion dans les normes IP. Voir RFC 3171 pour plus de détails.

Toutes les adresses comprises entre 240.0.0.0 et 255.255.255.255 (classe E) sont interdites dans un réseau VCN; elles sont réservées pour une utilisation ultérieure dans les normes IP. Voir RFC 1112, Section 4 pour plus de détails.

Trois adresses IP dans chaque sous-réseau

Ces adresses sont les suivantes :

  • La première adresse IP du CIDR (l'adresse réseau)
  • La dernière adresse IP du CIDR (l'adresse de diffusion)
  • La première adresse d'hôte du CIDR (l'adresse de la passerelle par défaut du sous-réseau)

Par exemple, dans un sous-réseau qui a le CIDR 192.168.0.0/24, les adresses suivantes sont réservées :

  • 192.168.0.0 (l'adresse réseau)
  • 192.168.0.255 (l'adresse de diffusion)
  • 192.168.0.1 (l'adresse de la passerelle par défaut du sous-réseau)

Les adresses restantes du bloc CIDR (192.168.0.2 à 192.168.0.254) sont disponibles.

Automatisation au moyen d'événements

Vous pouvez créer une automatisation en fonction des modifications d'état de vos ressources Oracle Cloud Infrastructure en utilisant des types d'événement, des règles et des actions. Pour plus d'informations, voir Aperçu des événements.

Identificateurs de ressource

La plupart des types de ressource Oracle Cloud Infrastructure ont un identificateur unique affecté par Oracle, appelé identificateur Oracle Cloud (OCID). Pour des informations sur le format des OCID et sur les autres moyens d'identifier vos ressources, voir Identificateurs de ressource.

Méthodes d'accès à Oracle Cloud Infrastructure

Vous pouvez accéder à Oracle Cloud Infrastructure (OCI) à l'aide de la console (interface basée sur un navigateur), de l'API REST, ou de l'interface de ligne de commande OCI. Les instructions relatives à la console, à l'API et à l'interface de ligne de commande sont incluses dans les rubriques de cette documentation. Pour une liste des trousses SDK disponibles, voir Trousses SDK et interface de ligne de commande.

Pour accéder à la console, vous devez utiliser un navigateur pris en charge. Pour aller à la page de connexion de la console, ouvrez le menu de navigation en haut de cette page et cliquez sur Console Oracle Cloud Infrastructure. Vous êtes invité à entrer votre location Oracle Cloud, votre nom d'utilisateur et votre mot de passe.

Pour des informations générales sur l'utilisation de l'API, voir API REST.

Authentification et autorisation

Chaque service d'Oracle Cloud Infrastructure est intégré avec le service de gestion des identités et des accès GIA aux fins d'authentification et d'autorisation, pour toutes les interfaces (console, trousse SDK ou interface de ligne de commande et API REST).

Un administrateur de votre organisation doit configurer les groupes , les compartiments et les politiques qui déterminent les utilisateurs pouvant accéder aux services et aux ressources, ainsi que le type d'accès. Par exemple, les politiques contrôlent qui peut créer des utilisateurs, créer et gérer le réseau en nuage, lancer des instances, créer des seaux, télécharger des objets, etc. Pour plus d'informations, voir Introduction aux politiques. Pour des détails précis sur l'écriture de politiques pour les différents services, voir Informations de référence sur les politiques.

Si vous êtes un simple utilisateur (pas un administrateur) qui doit utiliser les ressources Oracle Cloud Infrastructure de votre société, demandez à l'administrateur de configurer un ID utilisateur pour vous. L'administrateur vous indiquera les compartiments que vous devez utiliser.

Politiques de gestion des identités et des accès pour le réseau

L'approche la plus simple pour l'octroi d'accès au réseau est la politique répertoriée dans Permettre aux administrateurs de réseau de gérer un réseau en nuage. Celle-ci couvre le réseau en nuage et tous les autres composants du réseau (sous-réseaux, listes de sécurité, tables de routage, passerelles, etc.). Pour autoriser également les administrateurs de réseau à lancer des instances (pour tester la connectivité réseau), voir Permettre aux utilisateurs de lancer des instances de calcul.

Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes.

Pour en savoir plus sur l'écriture de politiques réseau plus précises, voir Détails relatifs aux services de base.

Types de ressource individuels

Vous pouvez, si vous le souhaitez, écrire des politiques qui s'appliquent à des types de ressource particuliers (des listes de sécurité uniquement, par exemple) au lieu d'utiliser une catégorie plus large comme virtual-network-family. Le type de ressource instance-family inclut également plusieurs autorisations pour les cartes vNIC, qui résident dans un sous-réseau, mais sont associées à une instance. Pour plus d'informations, voir Informations détaillées sur les combinaisons Verbe + Type de ressource et Cartes d'interface réseau virtuelles (vNIC).

Un type de ressource nommé local-peering-gateways est inclus dans virtual-network-family. Il comporte deux autres types de ressource liés à un appairage de réseaux en nuage virtuels locaux (dans une région) :

  • local-peering-from
  • local-peering-to

Le type de ressource local-peering-gateways regroupe toutes les autorisations liées aux passerelles d'appairage local (LPG). Les types de ressource local-peering-from et local-peering-to permettent d'accorder l'autorisation de se connecterà deux LPG et de définir une relation d'appairage dans une même région. Pour plus d'informations, voir Appairage local à l'aide d'une passerelle LPG (réseaux en nuage virtuels dans la même location) ou Appairage local à l'aide d'une passerelle LPG (réseaux en nuage virtuels dans des locations différentes).

De même, un type de ressource nommé remote-peering-connections est inclus dans virtual-network-family. Il comporte deux autres types de ressource liés à un appairage distant de réseaux en nuage virtuels (entre des régions) :

  • remote-peering-from
  • remote-peering-to

Le type de ressource remote-peering-connections regroupe toutes les autorisations liées aux connexions d'appairage distant (RPC). Les types de ressource remote-peering-from et remote-peering-to permettent d'accorder l'autorisation de connecter deux RPC et de définir une relation d'appairage entre des régions. Pour plus d'informations, voir Appairage distant avec une passerelle DRG existante et Appairage distant avec une passerelle DRG mise à niveau.

Nuances entre différents verbes

Vous pouvez, si vous le souhaitez, écrire des politiques qui limitent le niveau d'accès à l'aide d'un verbe de politique (par exemple manage au lieu de use, etc.). Dans ce cas, il vous faut comprendre les nuances entre les différents verbes de politique concernant le réseau.

Par exemple, le verbe inspect ne retourne pas seulement les informations générales sur les composants du réseau en nuage (par exemple, le nom et l'OCID d'une liste de sécurité ou d'une table de routage). Il inclut également le contenu du composant (par exemple, les règles réelles dans la liste de sécurité, les routes dans la table de routage, etc.).

De plus, les types de fonction suivants sont disponibles uniquement avec le verbe manage et ne le sont pas avec le verbe use :

  • Mettre à jour (activer/désactiver) internet-gateways
  • Mettre à jour security-lists
  • Mettre à jour route-tables
  • Mettre à jour dhcp-options
  • Attacher une passerelle de routage dynamique (DRG) à un réseau en nuage virtuel (VCN)
  • Créer une connexion IPSec entre une passerelle de routage dynamique (DRG) et un équipement local d'abonné (CPE)
  • Appairer des réseaux en nuage virtuels (VCN)
Important

Chaque VCN comprend différents composants qui ont une incidence directe sur le comportement du réseau (tables de routage, listes de sécurité, options DHCP, passerelle Internet, etc.). Lorsque vous créez l'un de ces composants, vous établissez une relation entre celui-ci et le réseau VCN. La politique doit donc vous autoriser à créer le composant et à gérer le réseau VCN. En revanche, la possibilité de mettre à jour ce composant (pour modifier les règles de routage, les règles de liste de sécurité, etc.) ne requiert pas d'autorisation pour gérer le VCN lui-même, même si la modification de ce composant peut avoir une incidence directe sur le comportement du réseau. Vous disposez ainsi de la flexibilité nécessaire pour octroyer un privilège minimal aux utilisateurs sans avoir à accorder d'accès excessif au VCN pour que l'utilisateur puisse gérer d'autres composants du réseau. En accordant à un utilisateur la capacité de mettre à jour un type de composant particulier, vous lui confiez implicitement le contrôle du comportement du réseau.

Pour plus d'informations sur les verbes de politique, voir Principes de base des politiques.

Politiques d'appairage

Pour les politiques utilisées pour connecter une passerelle DRG à des réseaux en nuage virtuels et des passerelles DRG d'autres régions et locations, voir Politiques IAM pour le routage entre les réseaux en nuage virtuels.

Limites des composants du service de réseau

Voir Limites de service pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite.