Accès à d'autres réseaux en nuage virtuels : appairage
L'appairage de réseaux en nuage virtuels est le processus de connexion de plusieurs réseaux VCN. Il existe quatre types d'appairage de réseaux VCN :
- Appairage local de réseaux en nuage virtuels (dans une région) à l'aide de passerelles LPG
- Appairage distant de réseaux en nuage virtuels (entre les régions) à l'aide de connexions d'appairage distant
- Appairage local de VCN au moyen d'une passerelle DRG mise à niveau
- Appairage distant de VCN au moyen d'une passerelle DRG mise à niveau
Vous pouvez utiliser l'appairage de réseaux VCN pour diviser votre réseau en plusieurs VCN (par exemple, suivant les services ou les secteurs d'activité), chaque VCN ayant un accès privé direct aux autres. Le trafic ne passe pas par Internet ni par votre réseau sur place au moyen d'un RPV site à site ou de FastConnect. Vous pouvez également placer des ressources partagées dans un VCN auquel tous les autres VCN peuvent accéder en privé.
Chaque VCN peut compter jusqu'à 10 passerelles d'appairage local et ne peut être attaché qu'à une seule passerelle DRG. Une seule passerelle DRG prend en charge jusqu'à 300 attachements de VCN, ce qui permet au trafic entre eux de circuler selon les directives des tables de routage de la passerelle DRG. Nous vous recommandons d'utiliser la passerelle DRG si vous devez effectuer un appairage avec un grand nombre de réseaux en nuage virtuels. If you want extremely high bandwidth and super low-latency traffic between two VCNs in the same region, use the scenario described in Local VCN Peering using Local Peering Gateways. L'appairage du VCN local au moyen d'une passerelle DRG mise à niveau vous offre plus de flexibilité dans votre routage en raison du nombre d'attachements plus élevé.
Comme l'appairage distant des réseaux en nuage virtuels s'effectue sur plusieurs régions, vous pouvez l'utiliser (par exemple) pour mettre en miroir ou sauvegarder vos bases de données d'une région dans une autre.
Aperçu de l'appairage local de réseaux en nuage virtuels
L'appairage de réseaux en nuage virtuels locaux consiste à associer deux réseaux en nuage virtuels de la même région afin que leurs ressources puissent communiquer à l'aide d'adresses IP privées sans acheminer le trafic par Internet ou par votre réseau sur place. Les réseaux en nuage virtuels peuvent se trouver sur la même location Oracle Cloud Infrastructure ou sur des locations différentes. Sans appairage, un réseau en nuage virtuel aurait besoin d'une passerelle Internet et d'adresses IP publiques pour les instances qui doivent communiquer avec un autre réseau de même type.
L'appairage de réseau VCN local au moyen d'une DRG mise à niveau vous offre plus de flexibilité pour votre routage et simplifie votre gestion. Il entraîne toutefois une augmentation de la latence (de quelques microsecondes) en raison du routage du trafic au moyen d'un routeur virtuel, la DRG.
Implications importantes relatives à l'appairage
Cette section résume certaines implications relatives au contrôle d'accès, à la sécurité et à la performance pour les réseaux VCN appairés. En général, vous pouvez contrôler l'accès et le trafic entre deux réseaux VCN au moyen de politiques GIA, de tables de routage et de règles de sécurité dans chaque VCN.
Contrôle de l'établissement des appairages
Avec les politiques GIA, vous pouvez contrôler :
- Qui peut abonner votre location à une autre région (obligatoire pour l'appairage distant de réseaux VCN)
- Qui dans votre organisation a l'autorisation d'établir des appairages de réseaux VCN (par exemple, voir les politiques GIA dans Configuration d'un appairage local et Configuration d'un appairage distant). La suppression de ces politiques GIA n'a aucune incidence sur les appairages existants, uniquement sur la capacité à créer des appairages futurs.
- Qui peut gérer les tables de routage et les listes de sécurité
Contrôle du flux de trafic sur la connexion
Même si une connexion a été établie entre votre réseau VCN et un autre, vous pouvez contrôler le flux du paquet sur la connexion à l'aide de tables de routage dans votre réseau VCN. Vous pouvez, par exemple, restreindre le trafic à certains sous-réseaux de l'autre VCN.
Sans interrompre l'appairage, vous pouvez arrêter le trafic de votre VCN vers l'autre en supprimant simplement les règles de routage qui le dirigent. Vous pouvez également arrêter le trafic en supprimant toutes les règles de sécurité qui permettent le trafic entrant ou sortant avec l'autre VCN. Cela n'arrête pas la circulation du trafic sur la connexion d'appairage, mais l'arrête au niveau de la carte vNIC.
Pour plus d'informations sur les listes de routage et de sécurité, voir les discussions dans les sections suivantes :
Appairage local de réseaux en nuage virtuels à l'aide de groupes d'appairage local :
- Concepts importants de l'appairage local
- Tâche E : Configurer les tables de routage
- Tâche F : Configurer les règles de sécurité
Appairage distant de réseaux VCN à l'aide d'une connexion d'appairage distant :
- Concepts importants de l'appairage distant
- Tâche E : Configurer les tables de routage
- Tâche F : Configurer les règles de sécurité
Appairage local de réseaux en nuage virtuels à l'aide d'une passerelle de routage dynamique (DRG) :
- Concepts importants de l'appairage local
- Tâche D : Configurer les tables de routage dans VCN-A pour envoyer le trafic destiné au CIDR de VCN-B à l'attachement de DRG
- Tâche E : Configurer les tables de routage dans VCN-B pour envoyer le trafic destiné au CIDR de VCN-A à l'attachement de DRG
- Tâche F : Mettre à jour les règles de sécurité
Appairage distant de réseaux en nuage virtuels à l'aide d'une passerelle de routage dynamique (DRG) :
Contrôle des types spécifiques de trafic autorisés
Il est important que les administrateurs de chaque VCN vérifient que tout le trafic sortant et entrant avec l'autre VCN est prévu ou attendu, et correctement défini. En pratique, cela signifie que la mise en oeuvre des listes de règles de sécurité qui indiquent explicitement les types de trafic que votre VCN peut envoyer à un autre, et accepter d'un autre.
Vos instances exécutant des images de plate-forme comportent également des règles de pare-feu de système d'exploitation qui contrôlent l'accès à l'instance. Lors du dépannage de l'accès à une instance, assurez-vous que tous les éléments suivants sont définis correctement :
- Règles des groupes de sécurité de réseau dans lesquels se trouve l'instance
- Règles dans les listes de sécurité associées au sous-réseau de l'instance
- Règles de pare-feu du système d'exploitation de l'instance
Si votre instance exécute Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 ou Oracle Linux Cloud Developer 8, vous devez utiliser firewalld pour interagir avec les règles iptables. À titre de référence, voici les commandes d'ouverture d'un port (1521 dans cet exemple) :
sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
sudo firewall-cmd --reloadPour les instances dotées d'un volume de démarrage iSCSI, la commande --reload précédente peut provoquer des problèmes. Pour plus d'informations et une solution de rechange, voir Le système des instances se bloque après l'exécution de firewall-cmd --reload.
En plus des listes de sécurité et des pare-feux, vous devez tester d'autres configurations en fonction du système d'exploitation sur les instances de votre réseau VCN. Certaines configurations par défaut peuvent ne pas s'appliquer au CIDR de votre réseau VCN, mais par inadvertance s'appliquer au CIDR de l'autre VCN.
Utilisation des règles de liste de sécurité par défaut
Si les sous-réseaux de votre réseau VCN utilisent la liste de sécurité par défaut avec les règles par défaut qui l'accompagnent, vérifiez que deux règles autorisent le trafic entrant de n'importe où (c'est-à-dire, 0.0.0.0/0 et donc de l'autre VCN) :
- Règle de trafic entrant avec état qui autorise le trafic du port TCP 22 (SSH) à partir de 0.0.0.0/0 et de tout port source
- Règle de trafic entrant avec état qui autorise le trafic de type ICMP 3, code 4 à partir de 0.0.0.0/0 et de tout port source
Évaluez ces règles et décidez de les conserver ou de les mettre à jour. Comme indiqué précédemment, assurez-vous que tout le trafic entrant ou sortant que vous avez autorisé est prévu ou attendu, et défini correctement.
Préparation aux incidences sur la performance et aux risques de sécurité
En règle générale, préparez votre réseau VCN aux effets éventuels qu'aurait sur lui l'autre VCN. Par exemple, la charge sur votre réseau VCN ou ses instances peut augmenter. Ou votre réseau VCN peut subir une attaque malveillante directement de l'autre VCN ou par son intermédiaire.
En ce qui concerne la performance : si votre réseau VCN fournit un service à un autre VCN, soyez prêt à augmenter votre service afin de répondre aux exigences de cet autre réseau. Il vous faudra donc lancer des instances supplémentaires si nécessaire. Ou si vous vous inquiétez des niveaux élevés de trafic réseau qui viennent sur votre réseau VCN, envisagez l'utilisation de règles de sécurité sans état pour réduire le niveau de suivi de connexion que votre réseau VCN doit effectuer. Les règles de sécurité sans état peuvent également aider à ralentir l'incidence d'un déni de service (DoS).
En ce qui concerne les risques de sécurité : vous ne pouvez pas nécessairement contrôler si l'autre VCN est connecté à Internet. Si c'est le cas, votre VCN peut être exposé à des attaques par rebond dans lesquelles un hôte malveillant sur Internet peut envoyer le trafic vers votre VCN, mais en donnant l'impression qu'il provient du VCN appairé. Pour prévenir cette situation, comme mentionné précédemment, utilisez vos listes de sécurité pour limiter soigneusement le trafic entrant provenant de l'autre VCN au trafic attendu et bien défini.