Aperçu des réseaux en nuage virtuels et des sous-réseaux
Découvrez les réseaux en nuage virtuels et les sous-réseaux dans OCI.
Cette rubrique décrit les réseaux en nuage virtuels (VCN) et les sous-réseaux qu'ils contiennent. Cette rubrique utilise les termes réseau en nuage virtuel, VCN et réseau en nuage de manière interchangeable. La console utilise le terme réseau en nuage virtuel alors que l'API l'VCN.
Un VCN est un réseau défini par logiciel que vous avez configuré dans les centres de données Oracle Cloud Infrastructure d'une région particulière. Un sous-réseau est une subdivision d'un VCN. Pour obtenir un aperçu des VCN, de la taille autorisée, des composants VCN par défaut et des scénarios pour leur utilisation, voir Aperçu du service de réseau.
Un VCN peut disposer de plusieurs blocs IPv4 CIDR sans chevauchement que vous pouvez modifier après avoir créé le VCN. Quel que soit le nombre de blocs CIDR, le nombre maximal d'adresses IP privées que vous pouvez créer dans le VCN est de 64 000. Un VCN peut éventuellement être activé pour IPv6 et Oracle affecte un préfixe /56. Vous pouvez également importer un préfixe IPv6 BYOIP et l'affecter à un VCN existant ou créer un nouveau VCN avec un préfixe IPv6 BYOIP ou ULA.
Vous pouvez connecter en privé un VCN à un autre VCN afin que le trafic ne passe pas par Internet. Les CIDR des deux réseaux en nuage virtuels ne doivent pas se chevaucher. Pour plus d'informations, voir Accès à d'autres réseaux en nuage virtuels : appairage. Pour un exemple de scénario de routage avancé qui implique l'appairage de plusieurs réseaux en nuage virtuels, voir Routage de transit dans un VCN central.
Chaque sous-réseau d'un VCN est composé d'un intervalle consécutif d'adresses IPv4, et éventuellement d'adresses IPv6, qui ne chevauchent pas celles d'autres sous-réseaux du VCN. Exemple : 172.16.1.0/24. Avec les adresses IPv4 et IPv6, les deux premières et la dernière du CIDR du sous-réseau sont réservées par le service de réseau. Vous pouvez modifier la taille du sous-réseau après sa création. Les sous-réseaux activés pour IPv6 sont toujours /64.
Unité de configuration : Toutes les instances d'un sous-réseau particulier utilisent les mêmes table de routage, listes de sécurité et options DHCP. Pour plus d'informations, voir Composants par défaut fournis avec un réseau VCN.
Les sous-réseaux peuvent être publics ou privés (voir Sous-réseaux publics et sous-réseaux privés). Le choix de public ou privé se produit lors de la création du sous-réseau et vous ne pouvez plus le modifier.
Vous pouvez considérer chaque instance de calcul comme résidant dans un sous-réseau. Toutefois, chaque instance est associée à une carte d'interface réseau virtuelle (vNIC), qui réside dans le sous-réseau et permet la connexion réseau de cette instance.
L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.
À propos des sous-réseaux régionaux
Les sous-réseaux ont été initialement conçus pour couvrir un seul domaine de disponibilité dans une région. Ils étaient tous propres à un domaine de disponibilité, ce qui signifie que les ressources du sous-réseau devaient résider dans un domaine de disponibilité particulier. Maintenant, les sous-réseaux peuvent être propres à un domaine de disponibilité ou régionaux. Vous sélectionnez le type lorsque vous créez le sous-réseau. Les deux types de sous-réseau peuvent exister sur le même réseau VCN. Dans le diagramme suivant, les sous-réseau 1 à 3 sont propres au domaine de disponibilité et le sous-réseau 4 est régional.
En dehors de l'absence de contrainte de domaine de disponibilité, les sous-réseaux régionaux se comportent de la même manière que les sous-réseaux propres à un domaine de disponibilité. Nous recommandons d'utiliser des sous-réseaux régionaux, car ils sont plus flexibles. Ils permettent de diviser plus facilement un VCN en sous-réseaux, tout en prévoyant une défaillance du domaine de disponibilité.
Lorsque vous créez une ressource telle qu'une instance de calcul, vous décidez du domaine de disponibilité où elle se trouve. Du point de vue d'un réseau virtuel, vous devez également décider dans quels réseau VCN et sous-réseau se trouve l'instance. Vous pouvez sélectionner un sous-réseau régional ou un sous-réseau propre à un domaine de domaine correspondant à celui que vous avez sélectionné pour l'instance.
Si une personne de votre organisation met en oeuvre un sous-réseau régional, sachez que vous devrez peut-être mettre à jour le code client qui fonctionne avec les sous-réseaux et les adresses IP privées du service de réseau. Les sous-réseaux régionaux impliquent des modifications d'API possibles. Pour plus d'informations, voir la note de version sur les sous-réseaux régionaux.
Limites de VCN et de sous-réseau
|
Ressource |
Étendue |
Crédit universel d'Oracle |
Pay As You Go ou Trial |
|---|---|---|---|
| VCN | Région | 50 | 10 |
| Sous-réseaux | VCN | 300 | 300 |
| Blocs CIDR IPv4 | VCN | 5 | 5 |
| Préfixes IPv6 | VCN | 5 | 5 |
| Blocs CIDR IPv4 | Sous-réseau | 1 | 1 |
| Préfixes IPv6 | Sous-réseau | 3* | 3* |
| Préfixe IPv6 affecté par Oracle | Sous-réseau | 1 | 1 |
| * La limite pour cette ressource peut être augmentée jusqu'à cinq au maximum. | |||
Utilisation des réseaux en nuage virtuels et des sous-réseaux
L'une des premières choses à faire lorsque vous utilisez des ressources Oracle Cloud Infrastructure est de créer un VCN avec un ou plusieurs sous-réseaux. Vous pouvez facilement démarrer dans la console avec un simple VCN et certaines ressources connexes qui vous permettent de créer une instance et de vous y connecter. Voir Tutoriel - Lancement de votre première instance de Linux ou Tutoriel - Lancement de votre première instance Windows.
Aux fins de contrôle d'accès, lorsque vous créez un sous-réseau ou VCN, vous devez indiquer le compartiment dans lequel stocker la ressource. Consultez l'administrateur de la location si vous ne savez pas quel compartiment à utiliser.
Vous pouvez éventuellement affecter des noms descriptifs au VCN et à ses sous-réseaux. Les noms n'ont pas besoin d'être uniques et vous pouvez les modifier ultérieurement. Oracle affecte automatiquement à chaque ressource un identificateur unique appelé ID Oracle Cloud (OCID). Pour plus d'informations, voir Identificateurs de ressource.
Vous pouvez également ajouter une étiquette DNS pour le VCN et chaque sous-réseau. Ces étiquettes sont obligatoires si vous voulez que les instances utilisent la fonction Résolveur Internet et de réseau en nuage virtuel pour DNS dans le VCN. Pour plus d'informations, voir DNS dans un réseau en nuage virtuel.
Lorsque vous créez un sous-réseau, vous pouvez éventuellement spécifier une table de routage qu'il utilisera. Sinon, le sous-réseau utilise la table de routage par défaut du réseau en nuage. Vous pouvez à tout moment changer la table de routage que le sous-réseau utilise.
En outre, vous pouvez spécifier au moins des listes de sécurité pour le sous-réseau (jusqu'à cinq). Si vous n'en indiquez aucune, le sous-réseau utilise la liste de sécurité par défaut du réseau en nuage. Vous pouvez à tout moment changer la liste de sécurité que le sous-réseau utilise. N'oubliez pas que les règles de sécurité sont appliquées au niveau de l'instance, même si la liste est associée au niveau du sous-réseau. Les groupes de sécurité de réseau sont une solution de remplacement des listes de sécurité et vous permettent d'appliquer un jeu de règles de sécurité à un jeu de ressources dont la situation en matière de sécurité est identique, au lieu de toutes les ressources d'un sous-réseau particulier.
Vous pouvez éventuellement spécifier un jeu d'options DHCP que le sous-réseau doit utiliser. Toutes les instances présentes dans le sous-réseau reçoivent la configuration spécifiée dans ce jeu d'options DHCP. Si vous ne spécifiez pas de jeu, le sous-réseau utilise celui par défaut du réseau en nuage. Vous pouvez à tout moment changer le jeu d'options DHCP que le sous-réseau utilise.
Un sous-réseau peut être supprimé s'il ne contient aucune ressource (aucune instance, aucun équilibreur de charge, système de base de données OCI ni cible de montage orpheline). Pour plus de détails, voir Suppression de sous-réseau ou de réseau en nuage virtuel.
Pour supprimer un VCN, ses sous-réseaux ne doivent contenir aucune ressource. De plus, aucune passerelle ne doit être attachée au VCN. Si vous utilisez la console, le processus "Tout supprimer" peut être utilisé après avoir vérifié que les sous-réseaux sont vides. Voir Suppression d'un réseau VCN.
Voir Limites de service pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite.
Politique GIA requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel l'accès de sécurité est accordé dans une politique par un administrateur de location. Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur de la location quel type d'accès vous avez et dans quel compartiment votre accès fonctionne.
Pour les administrateurs : Voir Politiques GIA pour le service de réseau.
Zones de sécurité
Les zone de sécurité garantissent que les ressources en nuage sont conformes aux principes de sécurité d'Oracle. Si une opération sur une ressource d'un compartiment de zone de sécurité enfreint une politique pour cette zone de sécurité, l'opération est refusée.
Les politiques de zone de sécurité suivantes ont une incidence sur la capacité de gérer les réseaux en nuage virtuels et les sous-réseaux :
- Les sous-réseaux d'une zone de sécurité ne peuvent pas être publics. Tous les sous-réseaux doivent être privés.
- Vous ne pouvez pas déplacer un sous-réseau d'une zone de sécurité à un compartiment standard.