Accès à d'autres réseaux en nuage virtuels : appairage

VCN peering is the process of connecting many virtual cloud networks (VCNs). Quatre types d'appairage de réseau VCN sont disponibles :

Vous pouvez utiliser l'appairage de réseau VCN pour diviser un réseau volumineux en plusieurs réseaux en nuage virtuels (par exemple, en fonction de services ou de secteurs d'activité), chaque réseau VCN ayant un accès direct et privé aux autres. Le trafic n'a pas besoin de passer par Internet ou par un réseau sur place au moyen d'un RPV site à site ou de FastConnect. Vous pouvez également placer des ressources partagées dans un VCN auquel tous les autres VCN peuvent accéder en privé.

Chaque VCN peut comporter jusqu'à 10 passerelles d'appairage local et ne peut être attaché qu'à une seule passerelle DRG. Une seule passerelle DRG prend en charge jusqu'à 300 attachements de VCN, ce qui permet au trafic entre eux de circuler selon les directives des tables de routage de la passerelle DRG. Nous vous recommandons d'utiliser la passerelle DRG si vous devez effectuer un appairage avec de nombreux réseaux en nuage virtuels. Pour obtenir la bande passante la plus élevée possible et le trafic à très faible latence entre deux réseaux en nuage virtuels de la même région, utilisez le scénario décrit dans Appairage local de VCN à l'aide de passerelles d'appairage local. L'appairage local de VCN au moyen d'une passerelle DRG mise à niveau vous offre plus de flexibilité pour le routage en raison du plus grand nombre d'attachements.

Comme l'appairage distant de réseaux VCN traverse des régions, vous pouvez l'utiliser (par exemple) pour mettre en miroir ou sauvegarder des bases de données d'une région vers une autre.

Aperçu de l'appairage local de réseaux en nuage virtuels

L'appairage de VCN local est le processus de connexion de deux réseaux en nuage virtuels de la même région afin que leurs ressources puissent communiquer à l'aide d'adresses IP privées sans acheminer le trafic par Internet ou par un réseau sur place. Les réseaux en nuage virtuels peuvent se trouver sur la même location Oracle Cloud Infrastructure ou sur des locations différentes. Sans appairage, un VCN particulier aurait besoin d'une passerelle Internet et d'adresses IP publiques pour les instances qui doivent communiquer avec un autre VCN.

L'appairage de VCN local au moyen d'une passerelle DRG mise à niveau vous offre plus de flexibilité pour le routage et simplifie la gestion. Il entraîne toutefois une augmentation de la latence (de microsecondes) du routage du trafic au moyen d'un routeur virtuel, la passerelle DRG.

Implications importantes relatives à l'appairage

Cette section résume certaines implications relatives au contrôle d'accès, à la sécurité et à la performance pour les réseaux VCN appairés. En général, vous pouvez contrôler l'accès et le trafic entre deux réseaux en nuage virtuels appairés à l'aide de politiques IAM, de tables de routage dans chaque VCN et de listes de sécurité dans chaque VCN.

Contrôle de l'établissement des appairages

Avec les politiques IAM, vous pouvez contrôler :

Contrôle du flux de trafic sur la connexion

Même si une connexion d'appairage a été établie entre un réseau VCN et un autre, vous pouvez contrôler le flux du paquet sur la connexion à l'aide de tables de routage dans le réseau VCN. Vous pouvez, par exemple, restreindre le trafic à certains sous-réseaux de l'autre VCN.

Sans mettre fin à l'appairage, vous pouvez arrêter le flux de trafic vers l'autre VCN en supprimant les règles de routage qui dirigent le trafic d'un VCN vers l'autre VCN. Vous pouvez également arrêter le trafic en supprimant toutes les règles de sécurité qui permettent le trafic entrant ou sortant avec l'autre VCN. Cela n'arrête pas la circulation du trafic sur la connexion d'appairage, mais l'arrête au niveau de la carte vNIC.

Pour plus d'informations sur les listes de routage et de sécurité, voir les discussions dans les sections suivantes :

Appairage local de réseaux en nuage virtuels à l'aide de groupes d'appairage local :

Appairage distant de réseaux VCN à l'aide d'une connexion d'appairage distant :

Appairage local de VCN à l'aide d'une passerelle de routage dynamique :

Appairage distant de réseaux en nuage virtuels à l'aide d'une passerelle de routage dynamique (DRG) :

Contrôle des types spécifiques de trafic autorisés

Chaque administrateur de VCN s'assure que tout le trafic sortant et entrant avec l'autre VCN est prévu ou attendu et défini. En pratique, cela signifie que la mise en oeuvre des règles de liste de sécurité qui indiquent explicitement les types de trafic qu'un VCN peut envoyer à un autre, et accepter d'un autre.

Important

Les instances de calcul exécutant des images de plate-forme comportent également des règles de pare-feu de système d'exploitation qui contrôlent l'accès à l'instance. Lors du diagnostic de l'accès à une instance, assurez-vous que tous les éléments suivants sont définis correctement :

  • Règles des groupes de sécurité de réseau dans lesquels se trouve l'instance
  • Règles dans les listes de sécurité associées au sous-réseau de l'instance
  • Règles de pare-feu du système d'exploitation de l'instance

Si une instance exécute Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 ou Oracle Linux Cloud Developer 8, vous devez utiliser firewalld pour interagir avec les règles iptables. À titre de référence, voici les commandes d'ouverture d'un port (1521 dans cet exemple) :

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

Pour les instances dotées d'un volume de démarrage iSCSI, la commande --reload précédente peut provoquer des problèmes. Pour plus d'informations et une solution de rechange, voir Le système des instances se bloque après l'exécution de firewall-cmd --reload.

En plus des listes de sécurité et des pare-feu, évaluez d'autres configurations basées sur le système d'exploitation sur les instances du VCN local. Certaines configurations par défaut peuvent ne pas s'appliquer au CIDR du VCN, mais à celui de l'autre VCN.

Utilisation des règles de liste de sécurité par défaut

Si les sous-réseaux du VCN local utilisent la liste de sécurité par défaut avec les règles par défaut qui l'accompagnent, tenez compte de deux règles qui autorisent le trafic entrant de n'importe où (0.0.0.0/0 et donc de l'autre VCN) :

  • Règle de trafic entrant avec état qui autorise le trafic du port TCP 22 (SSH) à partir de 0.0.0.0/0 et de tout port source
  • Règle de trafic entrant avec état qui autorise le trafic de type ICMP 3, code 4 à partir de 0.0.0.0/0 et de tout port source

Évaluez ces règles et décidez de les conserver ou de les mettre à jour. Comme indiqué précédemment, assurez-vous que tout le trafic entrant ou sortant que vous avez autorisé est prévu ou attendu, et défini.

Préparation aux incidences sur la performance et aux risques de sécurité

En règle générale, préparez le VCN local aux effets que pourrait avoir sur lui l'autre VCN. Par exemple, la charge sur le réseau VCN local ou ses instances peut augmenter. Ou le VCN local peut subir une attaque malveillante directement de l'autre VCN ou par son intermédiaire.

Regarding performance: If the local VCN is providing a service to another, be prepared to scale up service to accommodate the demands of the other VCN. Cela peut signifier être prêt à créer plus d'instances de calcul, si nécessaire. Ou si vous êtes préoccupé par les niveaux élevés de trafic réseau vers le VCN local, envisagez d'utiliser des règles de liste de sécurité sans état pour limiter le niveau de suivi de connexion que le VCN local doit effectuer. Les règles de sécurité sans état peuvent également aider à ralentir l'incidence d'un déni de service (DoS).

En ce qui concerne les risques de sécurité : Vous ne pouvez pas nécessairement contrôler si l'autre VCN est connecté à Internet, ce qui pourrait exposer le VCN local à des attaques par rebond lors desquelles un hôte malveillant sur Internet envoie le trafic au VCN local qui semble provenir du VCN auquel vous êtes appairé. Pour prévenir cette situation, comme mentionné précédemment, utilisez des listes de sécurité pour limiter soigneusement le trafic entrant provenant de l'autre VCN au trafic attendu et défini.