Documentation sur Oracle Cloud Infrastructure

Appairage local de réseaux en nuage virtuels à l'aide de passerelles d'appairage local

Cette rubrique décrit l'appairage local de réseaux VCN. Dans le cas présent, local signifie que les réseaux en nuage virtuels se trouvent dans la même région. Si les réseaux en nuage virtuels sont dans des régions différentes, voir Appairage distant de réseaux en nuage virtuels à l'aide d'une passerelle DRG existante.

Les passerelles d'appairage local sont encore prises en charge. Ce scénario suppose que vous utilisez une passerelle DRG existante. Oracle recommande actuellement de faire passer le trafic d'un VCN à un autre au moyen d'une passerelle DRG mise à niveau, comme décrit dans Appairage local de VCN au moyen d'une passerelle DRG mise à niveau.

Aperçu de l'appairage local de réseaux en nuage virtuels

L'appairage de réseaux en nuage virtuels locaux consiste à associer deux réseaux en nuage virtuels de la même région afin que leurs ressources puissent communiquer à l'aide d'adresses IP privées sans acheminer le trafic par Internet ou par votre réseau sur place. Les réseaux en nuage virtuels peuvent se trouver sur la même location Oracle Cloud Infrastructure ou sur des locations différentes. Sans appairage, un réseau en nuage virtuel aurait besoin d'une passerelle Internet et d'adresses IP publiques pour les instances qui doivent communiquer avec un autre réseau de même type.

Pour plus d'informations sur les limites, voir Limites de passerelle et Demande d'une augmentation de limite de service.

Pour plus d'informations, voir Accès à d'autres réseaux en nuage virtuels : appairage.

Sommaire des composants du service Réseau pour l'appairage au moyen d'une passerelle LPG

Au niveau supérieur, les composants du service Réseau requis pour un appairage local sont les suivants :

  • Deux réseaux en nuage virtuels de la même région et dont les blocs CIDR ne se chevauchent pas
  • Une passerelle d'appairage local (LPG) pour chaque réseau en nurage virtuel de la relation d'appairage.
  • Une connexion entre ces deux passerelles LPG.
  • Des règles de routage annexes pour permettre au trafic de circuler sur la connexion, uniquement depuis des sous-réseaux sélectionnés dans les réseaux VCN respectifs (le cas échéant) et vers ces sous-réseaux.
  • Des règles de sécurité annexes permettant de contrôler les types de trafic autorisés depuis et à partir des instances des sous-réseaux qui doivent communiquer avec l'autre réseau VCN.

Le diagramme suivant présente les composants.

Cette image présente la disposition de base de deux réseaux en nuage virtuels appairés localement, chacun disposant d'une passerelle d'appairage local.
Note

Un réseau VCN peut utiliser des passerelles LPG appairées pour accéder à ces ressources :

  • Les cartes vNIC de l'autre réseau VCN
  • Un réseau sur place relié à l'autre réseau VCN, si un scénario de routage avancé appelé routage de transit a été configuré pour les réseaux en nuage virtuels

Un réseau VCN ne peut pas utiliser le réseau VCN qui lui est appairé pour accéder à d'autres destinations en dehors des réseaux en nuage virtuels (comme Internet). Par exemple, si VCN-1 du diagramme précédent disposait d'une passerelle Internet, les instances de VCN-2 ne pourraient pas l'utiliser pour envoyer le trafic vers des points d'extrémité sur Internet. Toutefois, VCN-2 pourrait recevoir du trafic d'Internet au moyen de VCN-1. Pour plus d'informations, voir Implications importantes relatives à l'appairage de réseaux de nuage virtuels.

Entente explicite requise des deux côtés

L'appairage implique deux réseaux en nuage virtuels qui peuvent être détenus par une seule entité ou par deux. Les deux entités peuvent faire partie de votre société mais dans des services différents. Elles peuvent également appartenir à des sociétés distinctes (par exemple, dans un modèle avec fournisseur de service).

L'appairage entre deux réseaux en nuage virtuels nécessite une entente explicite entre les deux entités sous forme de politiques de gestion des identités et des accès Oracle Cloud Infrastructure que chacune met en oeuvre pour le compartiment ou la location de son propre réseau VCN. Si les réseaux en nuage virtuels se trouvent dans des locations différentes, chaque administrateur doit fournir son OCID de location et définir des énoncés particuliers pour permettre l'appairage.

Scénario avancé : Routage de transit

Le scénario de routage avancé nommé Routage de transit permet la communication entre un réseau sur place et plusieurs réseaux en nuage virtuels sur une connexion unique Oracle Cloud Infrastructure FastConnect ou RPV site à site. Les réseaux en nuage virtuels doivent se trouver dans la même région et être appairés localement dans une disposition en étoile. Dans le cadre du scénario, le réseau VCN agissant comme concentrateur dispose d'une table de routage associée à chaque passerelle LPG (généralement les tables de routage sont associées aux sous-réseaux d'un réseau VCN.

Lorsque vous créez une passerelle LPG, vous pouvez lui associer une table de routage. Si une de vos passerelles LPG n'a pas de table de routage, vous pouvez lui en associer une. La table de routage doit appartenir au réseau VCN de la passerelle LPG. Une table de routage associée à une passerelle LPG ne peut contenir que des règles qui utilisent la passerelle DRG liée au réseau VCN comme cible. Il peut également prendre en charge les routes IP privées de saut suivant vers une instance dans le VCN.

Une passerelle LPG peut exister sans être associée à une table de routage. Cependant, une fois que vous avez associé une table de routage à une passerelle LPG, cette dernière devra toujours être associée à une table. Mais il peut s'agir d'une table de routage différente. Vous pouvez également modifier les règles de la table, ou en supprimer une partie ou la totalité.

Concepts importants de l'appairage local

Les concepts suivants vous aident à comprendre les fonctions de base de l'appairage de réseaux en nuage virtuels et comment établir un appairage local.

APPAIRAGE
Un appairage consiste en une relation d'appairage unique entre deux réseaux en nuage virtuels. Exemple : Si VCN-1 est appairé avec trois autres réseaux en nuage virtuels, il existe trois appairages. L'adjectif local d'appairage local indique que les réseaux en nuage virtuels sont dans la même région. Un réseau VCN spécifique peut avoir un maximum de 10 appairages locaux à la fois.
Attention

Les blocs CIDR des deux réseaux VCN de la relation d'appairage ne doivent pas se chevaucher. Cependant, si VCN-1 est appairé avec trois autres réseaux VCN, les blocs CIDR de ces derniers peuvent se chevaucher. Quand vous configurerez les sous-réseaux de VCN-1, leurs règles de routage serviront à diriger le trafic vers le réseau VCN ciblé.
ADMINISTRATEURS DE RÉSEAU VCN
En général, l'appairage de réseaux VCN ne peut se produire que si leurs deux administrateurs l'autorisent. En pratique, cela signifie que les deux administrateurs doivent :
  • Partager certaines informations de base.
  • Coordonner la configuration des politiques de gestion des identités et des accès Oracle Cloud Infrastructure requises pour activer l'appairage.
  • Configurer leurs réseaux en nuage virtuels pour l'appairage.
Selon la situation, un seul administrateur peut être responsable des deux réseaux en nuage virtuels et des politiques connexes.
Pour plus d'informations sur les politiques requises et la configuration de VCN, voir Configuration d'un appairage local.
ACCEPTEUR ET DEMANDEUR
Pour mettre en oeuvre les politiques IAM requises pour l'appairage, les deux administrateurs de VCN doivent affecter un administrateur à titre de demandeur et l'autre à titre d'accepteur. Le demandeur doit lancer la demande de connexion des deux passerelles LPG. À son tour, l'accepteur doit créer une politique GIA particulière pour autoriser le demandeur à se connecter aux passerelles LPG dans le compartiment de l'accepteur. Sans cette politique, la demande de connexion du demandeur échoue.
PASSERELLE D'APPAIRAGE LOCAL (LPG)
Une passerelle d'appairage local (LPG) est un composant d'un réseau VCN servant au routage du trafic vers un VCN appairé localement. Lors de la configuration des réseaux VCN, chaque administrateur doit créer une passerelle LPG pour son VCN. Un réseau VCN spécifique doit disposer d'une passerelle LPG distincte pour chaque appairage local établi (10 passerelles au maximum par VCN). Pour continuer l'exemple précédent : VCN-1 comporterait trois passerelles LPG pour l'appairage avec les trois autres réseaux VCN. Dans l'API, l'objet LocalPeeringGateway contient les informations sur l'appairage. Vous ne pouvez pas réutiliser une passerelle LPG pour établir un autre appairage.
CONNEXION D'APPAIRAGE
Lorsque le demandeur lance la demande d'appairage (dans la console ou l'API), il demande en fait la connexion de deux passerelles LPG. Il doit disposer des données d'identification de chaque passerelle LPG (leur compartiment, leur nom ou leur OCID). Chaque administrateur doit établir les politiques GIA requises pour le compartiment ou la location.
Chaque administrateur de réseau VCN peut mettre fin à un appairage en supprimant sa passerelle LPG. Dans ce cas, le statut de l'autre passerelle LPG passe à RÉVOQUÉ. L'administrateur peut également arrêter le fonctionnement de la connexion en supprimant les règles de routage ou de sécurité permettant le trafic sur la connexion (voir les sections suivantes).
ROUTAGE VERS LA PASSERELLE LPG
Lors de la configuration des réseaux VCN, chaque administrateur doit mettre à jour leur routage pour permettre le trafic entre eux. En pratique, il s'agit du routage configuré pour n'importe quelle passerelle (comme une passerelle Internet ou une passerelle de routage dynamique). Vous mettez à jour la table de routage de tous les sous-réseaux qui doivent communiquer avec l'autre VCN. La règle de routage spécifie le CIDR du trafic de destination et la passerelle LPG est la cible. La passerelle LPG dirige le trafic correspondant à cette règle vers l'autre LPG, qui à son tour dirige le trafic vers le saut suivant dans l'autre VCN.
Dans le diagramme suivant, VCN-1 et VCN-2 sont appairés. Le trafic d'une instance de Subnet A (10.0.0.15) destiné à une instance du réseau VCN-2 (192.168.0.15) est acheminé vers la passerelle LPG-1 en fonction de la règle de la table de routage de sous-réseau A (voir Appel 1 : Table de routage de sous-réseau A). Le trafic est ensuite dirigé vers la passerelle LPG-2, puis vers sa destination dans le sous-réseau X.
Cette image présente le chemin du trafic allant d'une passerelle d'appairage local à l'autre.
Légende 1 : Table de routage de Subnet A
CIDR de destination Cible de routage
0.0.0.0/0 Passerelle Internet
172.16.0.0/12 DRG
192.168.0.0/16 LPG-1
Légende 2 : Table de routage de Subnet X
CIDR de destination Cible de routage
10.0.0.0/16 LPG-2
Note

Comme indiqué précédemment, un réseau VCN spécifique peut utiliser les passerelles LPG appairées pour accéder aux cartes vNIC de l'autre VCN ou du réseau sur place si le acheminement de transit est configuré pour les réseaux en nuage virtuels. Toutefois, un réseau VCN ne peut pas utiliser le VCN appairé pour accéder à d'autres destinations en dehors des réseaux en nuage virtuels (comme Internet). Par exemple, dans le diagramme précédent, VCN-2 ne peut pas utiliser la passerelle Internet associée à VCN-1.

RÈGLES DE SÉCURITÉ
Chaque sous-réseau d'un VCN comporte une ou plusieurs listes de sécurité qui contrôlent le trafic entrant et sortant des cartes vNIC du sous-réseau au niveau du paquet. Vous pouvez utiliser des listes de sécurité pour contrôler le type de trafic autorisé avec l'autre VCN. Dans le cadre de la configuration des réseaux en nuage virtuels, chaque administrateur doit choisir les sous-réseaux de son propre VCN qui doivent communiquer avec les cartes vNIC de l'autre VCN et mettre à jour les listes de sécurité de leur sous-réseau pour qu'elles correspondent.
Si vous utilisez des groupes de sécurité de réseau (NSG) pour mettre en oeuvre des règles de sécurité, notez que vous avez la possibilité d'écrire des règles de sécurité pour un NSG qui identifient un autre NSG comme source ou destination du trafic. Toutefois, ces deux NSG doivent appartenir au même réseau VCN.

Implications importantes relatives à l'appairage de réseaux en nuage virtuels

Si vous ne l'avez pas encore fait, lisez Implications importantes relatives à l'appairage pour comprendre les conséquences de l'appairage des réseaux VCN sur le contrôle d'accès, la sécurité et la performance.

Configuration d'un appairage local

Voici le processus général de configuration d'un appairage entre deux réseaux en nuage virtuels de la même région :

  1. Créer les passerelles d'appairage local : Chaque administrateur crée une passerelle LPG pour son propre réseau VCN.
  2. Partager les informations : Les administrateurs partagent les informations de base requises.
  3. Configurer les politiques GIA requises pour la connexion : Les administrateurs configurent les politiques GIA pour établir la connexion.
  4. Établir la connexion : Le demandeur connecte les deux passerelles LPG.
  5. Mettre à jour les tables de routage : Chaque administrateur met à jour les tables de routage de son VCN pour permettre le trafic entre les réseaux appairés, au besoin.
  6. Mettre à jour les règles de sécurité : Chaque administrateur met à jour les règles de sécurité de son VCN pour permettre le trafic entre les réseaux appairés, au besoin.

Si nécessaire, les administrateurs peuvent effectuer les tâches E et F avant d'établir la connexion. Dans ce cas, chaque administrateur doit connaître le bloc CIDR ou des sous-réseaux spécifiques du VCN de son pair, et partager ces informations dans la tâche B. Une fois la connexion établie, vous pouvez également obtenir le bloc CIDR de l'autre VCN en consultant les détails de votre passerelle LPG dans la console. Recherchez le CIDR annoncé pour l'appairage. Ou si vous utilisez l'API, consultez le paramètre peerAdvertisedCidr.

Vous devrez également préconfigurer certains paramètres GIA, tels que des groupes, avant de suivre la procédure étape par étape.

Tâche B : Partager les informations

Si vous êtes le demandeur, fournissez ces informations à l'accepteur (par courriel ou autre méthode hors bande) :

  • Si les réseaux VCN figurent dans la même location : le nom du groupe GIA qui doit avoir l'autorisation de créer une connexion dans le compartiment de l'accepteur. Dans l'exemple de la tâche suivante, le groupe est RequestorGrp.
  • Si les réseaux en nuage virtuels figurent dans des locations différentes : l'OCID de votre location et celui du groupe GIA qui devrait être autorisé à créer une connexion dans le compartiment de l'accepteur. Dans l'exemple de la tâche suivante, il s'agit de l'OCID de RequestorGrp.
  • Facultatif : Le CIDR de votre VCN ou des sous-réseaux spécifiques pour l'appairage avec l'autre VCN.

Si vous êtes l'accepteur, fournissez ces informations au demandeur :

  • Si les réseaux VCN se trouvent dans la même location : l'OCID de votre passerelle LPG. Éventuellement, le nom de votre VCN et de votre passerelle LPG, et celui du compartiment dans lequel ils se trouvent.
  • Si les réseaux VCN se trouvent dans des locations différentes : l'OCID de votre passerelle LPG et celui de votre location.
  • Facultatif : Le CIDR de votre VCN ou des sous-réseaux spécifiques pour l'appairage avec l'autre VCN.
Tâche C : Configurer les politiques GIA

Si les deux réseaux en nuage virtuels se trouvent dans la même location, utilisez la politique de l'appairage local à l'aide d'une passerelle LPG (réseaux en nuage virtuels dans la même location).

Si les réseaux en nuage virtuels se trouvent dans des locations différentes, utilisez la politique dans Appairage local à l'aide d'une passerelle LPG (réseaux en nuage virtuels dans des locations différentes).

Tâche E : Configurer les tables de routage

Configurez les tables de routage pour utiliser les informations pour l'autre VCN qui vous ont été données dans Tâche B : Partager les informations, en suivant les instructions sous Configuration des tables de routage de VCN pour utiliser une passerelle LPG.

Tâche F : Configurer les règles de sécurité

Configurez les règles de sécurité pour utiliser les informations pour l'autre VCN qui vous ont été données dans Tâche B : Partager les informations, en suivant les instructions sous Configuration des règles de sécurité pour utiliser une passerelle LPG.