Aperçu des réseaux en nuage virtuels et des sous-réseaux
Découvrez les réseaux en nuage virtuels et les sous-réseaux dans OCI.
Cette rubrique décrit les réseaux en nuage virtuels (VCN) et les sous-réseaux qu'ils contiennent. Cette rubrique utilise les termes réseau en nuage virtuel, VCN et réseau en nuage de manière interchangeable. La console utilise le terme réseau en nuage virtuel alors que l'API l'abrège en (réseau) VCN.
Un réseau en nuage virtuel (VCN) est un réseau défini par logiciel que vous avez configuré dans les centres de données Oracle Cloud Infrastructure d'une région particulière. Un sous-réseau est une subdivision d'un VCN. Pour obtenir un aperçu des VCN, de la taille autorisée, des composants VCN par défaut et des scénarios pour leur utilisation, voir Aperçu du service de réseau.
Un VCN peut comporter plusieurs blocs CIDR IPv4 qui ne se chevauchent pas et que vous pouvez modifier après avoir créé le VCN. Quel que soit le nombre de blocs CIDR, le nombre maximal d'adresses IP privées que vous pouvez créer dans le VCN est de 64 000. Un VCN peut éventuellement être activé pour IPv6 et Oracle affectera un préfixe /56. Vous pouvez également importer un préfixe IPv6 BYOIP et l'affecter à un VCN existant ou créer un nouveau VCN avec un préfixe IPv6 BYOIP ou ULA.
Vous pouvez connecter en privé un VCN à un autre de façon à ce que le trafic ne passe pas par Internet. Les CIDR des deux réseaux en nuage virtuels ne doivent pas se chevaucher. Pour plus d'informations, voir Accès à d'autres réseaux en nuage virtuels : appairage. Pour un exemple de scénario de routage avancé qui implique l'appairage de plusieurs réseaux en nuage virtuels, voir Routage de transit dans un VCN central.
Chaque sous-réseau d'un VCN est composé d'un intervalle contigu d'adresses IPv4, et le cas échéant, d'adresses IPv6, qui ne chevauchent pas celles d'autres sous-réseaux du VCN. Exemple : 172.16.1.0/24. Avec les adresses IPv4 et IPv6, les deux premières et la dernière du CIDR du sous-réseau sont réservées par le service Réseau. Vous pouvez modifier la taille du sous-réseau après sa création. Les sous-réseaux activés pour IPv6 seront toujours /64.
Les sous-réseaux agissent comme une unité de configuration : toutes les instances d'un sous-réseau donné utilisent les mêmes tables de routage, listes de sécurité et options DHCP. Pour plus d'informations, voir Composants par défaut fournis avec votre réseau VCN.
Les sous-réseaux peuvent être publics ou privés (voir Sous-réseaux publics et sous-réseaux privés). Le choix de public ou privé se produit lors de la création du sous-réseau et vous ne pouvez plus le modifier.
Vous pouvez considérer chaque instance de calcul comme résidant dans un sous-réseau. Toutefois, chaque instance est associée à une carte d'interface réseau virtuelle (vNIC), qui réside dans le sous-réseau et permet la connexion réseau de cette instance.
L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.
À propos des sous-réseaux régionaux
Les sous-réseaux ont été initialement conçus pour couvrir un seul domaine de disponibilité dans une région. Ils étaient tous propres à un domaine de disponibilité et leurs ressources devaient donc résider dans un domaine de disponibilité particulier. Maintenant, les sous-réseaux peuvent être propres à un domaine de disponibilité ou régionaux. Vous choisissez le type lorsque vous créez le sous-réseau. Les deux types de sous-réseau peuvent coexister sur le même réseau VCN. Dans le diagramme suivant, les sous-réseaux 1 à 3 sont propres à un domaine de disponibilité et le sous-réseau 4 est régional.
En dehors de l'absence de contrainte de domaine de disponibilité, les sous-réseaux régionaux se comportent de la même manière que les sous-réseaux propres à un domaine de disponibilité. Oracle recommande d'utiliser des sous-réseaux régionaux, car ils sont plus flexibles. Ils facilitent la division de votre réseau VCN en sous-réseaux et également d'anticiper une défaillance éventuelle du domaine de disponibilité.
Lorsque vous créez une ressource telle qu'une instance de calcul, vous choisissez le domaine de disponibilité où elle se trouvera. Du point de vue d'un réseau virtuel, vous devez également choisir dans quels réseau VCN et sous-réseau figurera l'instance. Vous pouvez choisir un sous-réseau régional ou un sous-réseau propre à un domaine de disponibilité correspondant à celui que vous avez choisi pour l'instance.
Si une personne de votre organisation met en oeuvre un sous-réseau régional, gardez à l'esprit que vous devrez peut-être mettre à jour le code client qui fonctionne avec les sous-réseaux et les adresses IP privées du service Réseau. Il est possible qu'il y ait des changements cassants de l'API. Pour plus d'informations, voir la note sur la version des sous-réseaux régionaux.
| Ressource | Étendue | Crédits universels d'Oracle | Facturation à l'usage ou essai |
|---|---|---|---|
| VCN | Région | 50 | 10 |
| Sous-réseaux | VCN | 300 | 300 |
| Blocs CIDR IPv4 | VCN | 5 | 5 |
| Préfixes IPv6 | VCN | 5 | 5 |
| Blocs CIDR IPv4 | Sous-réseau | 1 | 1 |
| Préfixes IPv6 | Sous-réseau | 3* | 3* |
| Préfixe IPv6 affecté par Oracle | Sous-réseau | 1 | 1 |
| * La limite pour cette ressource peut être augmentée jusqu'à cinq au maximum. | |||
Utilisation des réseaux en nuage virtuels et des sous-réseaux
L'une des premières actions à réaliser lorsque vous utilisez des ressources Oracle Cloud Infrastructure consiste à créer un VCN comptant un ou plusieurs sous-réseaux. Vous pouvez facilement commencer à utiliser la console en créant un simple VCN et certaines ressources connexes qui vous permettent de lancer une instance et de vous y connecter. Voir Tutoriel - Lancement de votre première instance de Linux ou Tutoriel - Lancement de votre première instance Windows.
Aux fins de contrôle d'accès, lorsque vous créez un sous-réseau ou VCN, vous devez indiquer le compartiment dans lequel stocker la ressource. Consultez un administrateur de votre organisation si vous ne savez pas quel compartiment utiliser.
Vous pouvez éventuellement affecter des noms descriptifs aux VCN et à ses sous-réseaux. Les noms n'ont pas besoin d'être uniques et vous pouvez les modifier ultérieurement. Oracle affecte automatiquement à chaque ressource un identificateur unique appelé ID Oracle Cloud (OCID). Pour plus d'informations, voir Identificateurs de ressource.
Vous pouvez également ajouter une étiquette DNS pour le VCN et chaque sous-réseau. Ces étiquettes sont obligatoires si vous voulez que les instances utilisent la fonction Résolveur Internet et de réseau en nuage virtuel pour DNS dans le VCN. Pour plus d'informations, voir DNS dans le réseau en nuage virtuel.
Lorsque vous créez un sous-réseau, vous pouvez éventuellement spécifier une table de routage qu'il utilisera. Sinon, le sous-réseau utilise la table de routage par défaut du réseau en nuage. Vous pouvez à tout moment changer la table de routage que le sous-réseau utilise.
En outre, vous pouvez spécifier au moins une liste de sécurité pour le sous-réseau (jusqu'à cinq). Si vous n'en indiquez aucune, le sous-réseau utilise la liste de sécurité par défaut du réseau en nuage. Vous pouvez à tout moment changer la liste de sécurité que le sous-réseau utilise. N'oubliez pas que les règles de sécurité sont appliquées au niveau de l'instance, même si la liste est associée au niveau du sous-réseau. Les groupes de sécurité de réseau sont une solution de remplacement des listes de sécurité et vous permettent d'appliquer un jeu de règles de sécurité à un jeu de ressources dont la situation en matière de sécurité est identique, au lieu de toutes les ressources d'un sous-réseau particulier.
Vous pouvez éventuellement spécifier un jeu d'options DHCP que le sous-réseau doit utiliser. Toutes les instances présentes dans le sous-réseau reçoivent la configuration spécifiée dans ce jeu d'options DHCP. Si vous ne spécifiez pas de jeu, le sous-réseau utilise celui par défaut du réseau en nuage. Vous pouvez à tout moment changer le jeu d'options DHCP que le sous-réseau utilise.
Un sous-réseau peut être supprimé s'il ne contient aucune ressource (aucune instance, aucuns équilibreurs de charge, systèmes de base de données OCI et cibles de montage orphelines). Pour plus de détails, voir Suppression de sous-réseau ou de réseau en nuage virtuel.
Pour supprimer un VCN, ses sous-réseaux ne doivent contenir aucune ressource. De plus, aucune passerelle ne doit être attachée au VCN. Dans la console, un processus "Tout supprimer" peut être utilisé après avoir vérifié que les sous-réseaux sont vides. Voir Suppression d'un réseau VCN.
Voir Limites de service pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite.
Politique IAM requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès de sécurité au moyen d'une politique . Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur le type d'accès qui vous a été octroyé et le compartiment à utiliser.
Pour les administrateurs : Voir Politiques GIA pour le service de réseau.
Zones de sécurité
Les zones de sécurité garantissent que vos ressources en nuage sont conformes aux principes de sécurité d'Oracle. Si une opération sur une ressource d'un compartiment de zone de sécurité enfreint une politique pour cette zone de sécurité, l'opération est refusée.
Les politiques de zone de sécurité suivantes affectent votre capacité à gérer les VCN et les sous-réseaux :
- Les sous-réseaux d'une zone de sécurité ne peuvent pas être publics. Tous les sous-réseaux doivent être privés.
- Vous ne pouvez pas déplacer un sous-réseau d'une zone de sécurité à un compartiment standard.