Documentation sur Oracle Cloud Infrastructure

Tables de routage de VCN

Cette rubrique décrit comment gérer les tables de routage dans un réseau en nuage virtuel (VCN). Pour plus d'informations sur les tables de routage dans une passerelle de routage dynamique (DRG), voir Passerelles de routage dynamique.

Aperçu du routage pour votre VCN

Votre VCN utilise des tables de routage pour envoyer le trafic sortant de VCN (par exemple, vers Internet, vers votre réseau sur place ou vers un VCN appairé). Ces tables de routage ont des règles qui ressemblent aux règles de routage de réseau classiques que vous connaissez peut-être déjà. Chaque règle définit un bloc CIDR de destination et la cible (le saut suivant) de tout trafic correspondant à ce bloc CIDR.

Voici quelques informations de base concernant le routage dans votre VCN :

  • Le scénario de routage principal est destiné à envoyer le trafic d'un sous-réseau vers des destinations en dehors du VCN. Un sous-réseau est associé à une table de routage unique de votre choix. Toutes les cartes vNIC de ce sous-réseau sont sujettes aux règles de la table de routage. Les règles régissent le routage du trafic qui quitte le sous-réseau.
  • Le acheminement local du VCN traite automatiquement le trafic entre les sous-réseaux du VCN et à l'intérieur de ceux-ci. Le routage local ne nécessite pas la définition de règles explicites permettant le trafic, les règles de routage locales sont implicites et ne sont pas affichées dans la table de routage. Le routage entre les sous-réseaux d'un VCN peut être modifié en ajoutant des routes statiques (voir Routage intra-VCN).
  • Vous pouvez utiliser le acheminement intra-VCN pour spécifier une adresse IP privée, une passerelle LPG ou une passerelle DRG de saut suivant dans un VCN pour le trafic destiné à un autre sous-réseau du VCN. Le routage intra-VCN permet des cas d'utilisation de sécurité et de virtualisation de réseau plus complexes. OCI prend également en charge le routage intra-VCN pour le trafic entrant dans un VCN au moyen d'une passerelle en plus du trafic entre sous-réseaux.
  • Si des règles se chevauchent dans une table de routage, Oracle utilise la règle la plus spécifique de la table pour acheminer le trafic (c'est-à-dire la règle avec la correspondance de préfixe la plus longue). Deux CIDR se chevauchent lorsqu'un CIDR est contenu dans l'autre. Les tables de routage de VCN contiennent des entrées pour les routes de VCN locales. Si vous créez une route statique pour le bloc CIDR du VCN (avec la même longueur de préfixe que la route locale du VCN), la route statique est prioritaire.
  • Si aucune règle de routage ne correspond au trafic du réseau que vous avez l'intention d'acheminer hors du VCN, le trafic est abandonné (disparaît).
  • L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.

Pour obtenir des informations importantes sur le routage entre vos réseaux VCN et sur place, voir Détails de routage pour les connexions à votre réseau sur place.

Utilisation des tables de routage et des règles de routage

Chaque VCN est accompagné d'une table de routage par défaut qui comporte des règles implicites incluant les routes pour ses blocs CIDR. Sauf modification de votre part, chaque sous-réseau utilise la table de routage par défaut du VCN. Lorsque vous ajoutez des règles de routage à votre VCN, il vous suffit de les ajouter à la table par défaut. Toutefois, vous pouvez créer des tables de routage personnalisées pour chaque sous-réseau, si nécessaire. Par exemple, lorsque vous avez un sous-réseau public et un sous-réseau privé dans votre VCN (voir Scénario C : Sous-réseaux publics et privés avec un RPV), vous devrez utiliser différentes tables de routage pour les sous-réseaux, car les règles de routage pour ceux-ci doivent être différentes.

Chaque sous-réseau d'un VCN utilise une seule table de routage. Lorsque vous créez le sous-réseau, vous indiquez la table à utiliser. Vous pouvez à tout moment changer la table de routage que le sous-réseau utilise. Vous pouvez également modifier les règles d'une table de routage ou les supprimer toutes.

Vous pouvez affecter un nom descriptif à une table de routage personnalisée lors de la création. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Oracle affecte automatiquement à la table de routage un identificateur Oracle Cloud (OCID) unique. Pour plus d'informations, voir Identificateurs de ressource.

Une règle de routage spécifie un bloc CIDR de destination et la cible (le saut suivant) pour tout trafic correspondant à ce bloc CIDR. Voici les types de cible autorisés pour une règle de routage :

Note

Vous ne pouvez pas supprimer une ressource si elle est la cible dans une règle de routage. Par exemple, vous ne pouvez pas supprimer une passerelle Internet si le trafic y est dirigé. Supprimez toutes les règles (dans toutes les tables de routage) contenant cette passerelle Internet comme cible avant de tenter de supprimer celle-ci ou une autre ressource.

Lors de l'ajout d'une règle de routage à une table de routage, vous indiquez le bloc CIDR de destination et la cible (plus le compartiment où réside la cible). Exception : Si la cible est une passerelle de service , au lieu d'un bloc CIDR de destination, vous spécifiez une chaîne fournie par Oracle qui représente les points d'extrémité publics du service concerné. Ainsi, vous n'avez pas à connaître tous les blocs CIDR du service, qui peuvent changer au fil du temps.

Si vous reconfigurez incorrectement une règle (par exemple, entrez un bloc CIDR de destination erroné), le trafic réseau que vous souhaitez acheminer peut être abandonné (disparaître) ou envoyé à une cible non intentionnelle.

Vous pouvez déplacer les tables de routage d'un compartiment à un autre. Le déplacement d'une table de routage n'a pas d'incidence sur son association aux VCN ou à des sous-réseaux. Lorsque vous déplacez une table de routage vers un nouveau compartiment, les politiques inhérentes s'appliquent immédiatement et ont une incidence sur l'accès à la table de routage. Pour plus d'informations, voir Contrôle de l'accès.

Vous ne pouvez pas supprimer la table de routage par défaut d'un VCN. Pour qu'une table de routage personnalisée puisse être supprimée, elle ne doit pas être associée à un sous-réseau ou à une passerelle, telle que DRG, LPG, IGW, NGW ou SGW.

Voir Limites de service pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite.

Routage intra-VCN

Le routage intra-VCN vous permet de remplacer les décisions de routage par défaut appliquées au trafic destiné aux adresses IP contenues dans le bloc CIDR du VCN. Le routage intra-VCN offre les fonctionnalités suivantes :

  • Routes locales : Chaque VCN achemine automatiquement le trafic au sein du VCN et entre les sous-réseaux du VCN, sauf si vous ajoutez des règles de routage indiquant le contraire. Le trafic local utilise la table de routage associée au sous-réseau, y compris le routage local dans le bloc CIDR du VCN.
  • Routes intra-VCN personnalisées : Il s'agit de règles de routage que vous créez dans le VCN ou la table de routage de sous-réseau pour le trafic intra-VCN, qui peut remplacer les routes locales normales. Toutes les routes intra-VCN personnalisées ont une cible (DRG, LPG ou adresse IP privée dans le VCN) et un type de route statique.
  • Meilleure sélection d'itinéraire : La plus longue correspondance de préfixe (ou route la plus spécifique) est sélectionnée. S'il existe plusieurs routes pour le même préfixe, la meilleure route est sélectionnée en fonction de la priorité de type de route suivante :
    1. Routes statiques ( définies par l'utilisateur)
    2. Les routes locales secondaires (créées automatiquement par OCI) ne sont pas visibles dans la table de routage
  • IPv6 : OCI prend en charge le routage intra-VCN pour les préfixes VCN IPv6.
Note

Le routage intra-sous-réseau n'est pas pris en charge. Le trafic avec une adresse IP de destination dans le même sous-réseau que la carte vNIC d'origine est transmis (non acheminé) directement à la destination appropriée.

Routage entrant de la passerelle

Le trafic qui quitte un sous-réseau est acheminé à l'aide de la table de routage du sous-réseau. Le trafic entrant dans un sous-réseau est acheminé à l'aide d'une table de routage de passerelle (table de routage associée à cette passerelle). Les règles de routage pour le routage entrant de la passerelle sont prises en charge dans les tables de routage associées aux ressources suivantes :
  • Passerelle d'appairage local (LPG)
  • Passerelles de routage dynamique
  • Passerelles Internet
  • Passerelles NAT
  • Passerelles de service
Note

Si vous associez une table de routage à l'une de ces passerelles, celle-ci devra toujours être associée à une autre. Les règles de la table de routage associée peuvent être modifiées ou supprimées. Pour une passerelle Internet, la cible doit se trouver dans un sous-réseau public.

Utilisation du routage intra-VCN

Dans l'exemple suivant, tout le trafic circulant entre Internet et les cartes vNIC d'un VCN est acheminé par un boîtier de sécurité dans Subnet-A. De plus, le trafic entre les sous-réseaux passe par le même pare-feu. Pour mettre en oeuvre cet exemple, vous devez :
  1. Créer des règles de routage statique dans la table de routage IGW qui spécifient le saut suivant de 10.0.1.4 (un pare-feu) pour le trafic entrant.
  2. Créer des tables de routage pour Subnet A, Subnet B et Subnet C. Le trafic entre Internet et Subnet B et Subnet C doit passer par le boîtier de pare-feu à l'adresse 10.0.1.4 dans Subnet A. Le trafic entre Subnet B et Subnet C doit passer par le même pare-feu.

L'illustration suivante présente un exemple de routage interne :

Diagramme d'exemple de routage interne
Légende 1 : Table de routage IGW
Destination Cible Type de route
10.0.0.0/16 10.0.1.4 Statique
Légende 2 : Table de routage de Subnet A
Destination Cible Type de route
0.0.0.0/0 IGW Statique
Légende 3 : Table de routage de Subnet B
Destination Cible Type de route
10.0.0.0/16 10.0.1.4 Statique
0.0.0.0/0 10.0.1.4 Statique
Légende 4 : Table de routage de Subnet C
Destination Cible Type de route
10.0.0.0/16 10.0.1.4 Statique
0.0.0.0/0 10.0.1.4 Statique

Politique GIA requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès de sécurité au moyen d'une politique . Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur le type d'accès qui vous a été octroyé et le compartiment  à utiliser.

Pour les administrateurs : Voir Politiques GIA pour le service de réseau.

Limites de table de routage de VCN

Cette section est propre aux limites des tables de routage de VCN. Les limites de table de routage DRG sont fournies dans la section Limites de table de routage DRG.

Ressource

Étendue

Crédit universel d'Oracle

Facturation à l'usage ou essai
Tables de routage de VCN VCN 300 300
Règles de routage Table de routage de VCN 200 200

Utilisation d'une adresse IP privée comme cible d'acheminement

Si vous ne connaissez pas la définition d'une adresse IP privée, consultez Adresses IP privées. En bref : Une adresse IP privée est un objet qui contient une adresse IP privée et les propriétés connexes, et son propre OCID.

Cas d'utilisation générale

OCI utilise la table de routage d'un sous-réseau donné pour acheminer le trafic vers une adresse IP de destination qui est en dehors du sous-réseau. Si la destination est en dehors du VCN, en général vous configurez une règle de routage pour acheminer le trafic vers une passerelle sur le VCN (par exemple, une passerelle DRG connectée à votre réseau sur place ou à un autre VCN, ou une passerelle Internet connectée à Internet). Si la destination se trouve dans un autre sous-réseau du même VCN, le trafic est acheminé par défaut au moyen de la route locale pour le bloc CIDR du VCN. Toutefois, vous pouvez d'abord acheminer ce trafic au moyen d'une instance dans le VCN. Dans ce cas, vous pouvez utiliser une adresse IP privée dans le VCN comme cible au lieu d'une passerelle sur ce réseau. Voici quelques raisons possibles :

  • Pour mettre en oeuvre un boîtier de réseau virtuel (NVA) tel qu'un de pare-feu ou une détection d'intrusion qui filtre le trafic sortant des instances.
  • Pour gérer un réseau superposé sur le VCN, qui vous permet d'exécuter les charges de travail d'orchestration de conteneur.
  • Pour mettre en oeuvre la traduction d'adresses de réseau (NAT) dans le VCN. Notez qu'Oracle recommande plutôt d'utiliser une passerelle NAT avec votre VCN. En général, NAT permet un accès Internet sortant pour les instances qui n'ont pas de connectivité Internet directe.

Pour mettre en oeuvre ces cas d'utilisation, il ne s'agit pas seulement d'acheminer le trafic vers l'instance. L'instance doit elle-même être configurée.

Conseil

Vous pouvez activer la haute disponibilité de la cible d'acheminement de l'adresse IP privée à l'aide d'une adresse IP privée secondaire. En cas de panne, vous pouvez déplacer l'adresse IP privée secondaire d'une carte vNIC existante vers une autre carte vNIC du même sous-réseau. Voir Déplacement d'une adresse IP privée secondaire vers une autre carte VNIC (instructions de console) et UpdatePrivateIp (instructions d'API).

Exigences relatives à l'utilisation d'une adresse IP privée comme cible

  • L'adresse IP privée doit se trouver dans le même VCN que la table de routage.
  • La carte vNIC de l'adresse IP privée doit être configurée pour ignorer la vérification de la source/destination afin que la carte vNIC puisse transmettre le trafic. Par défaut, les cartes vNIC sont configurées pour effectuer la vérification. Pour plus d'informations, voir Aperçu des cartes vNIC et des cartes d'interface réseau physiques.
  • Vous devez configurer l'instance pour le transfert des paquets.

  • La règle de routage doit spécifier l'OCID de l'adresse IP privée comme cible et non l'adresse IP elle-même. Exception : Si vous utilisez la console, vous pouvez spécifier l'adresse IP privée elle-même comme cible, et la console détermine et utilise l'OCID correspondant dans la règle.

    Important

    Une règle de routage avec une adresse IP privée comme cible peut mener à une disparition dans ces cas :
    • L'instance à laquelle l'adresse IP privée est affectée est arrêtée ou interrompue
    • La carte vNIC à laquelle l'adresse IP privée est affectée est mise à jour pour activer la vérification de la source ou de la destination, ou supprimée
    • L'affectation de l'adresse IP privée à la carte vNIC est supprimée

    Lorsqu'une adresse IP privée cible est interrompue, dans la console, la règle de routage affiche une note indiquant que l'OCID cible n'existe plus.

    Pour effectuer une opération de basculement : Si l'instance cible est arrêtée avant que vous puissiez déplacer l'adresse IP privée secondaire vers une base de données de secours, vous devez mettre à jour la règle de routage pour utiliser l'OCID de la nouvelle adresse IP privée cible sur la base de données de secours. La règle utilise l'OCID de la cible et non l'adresse IP privée elle-même.

Processus de configuration général

  1. Déterminez quelle instance va recevoir et transmettre le trafic.
  2. Sélectionnez une adresse IP privée sur l'instance (peut être sur la carte vNIC principale ou une carte vNIC secondaire de l'instance). Si vous voulez mettre en oeuvre le basculement, configurez une adresse IP privée secondaire sur l'une des cartes vNIC de l'instance.
  3. Désactivez la vérification de la source/destination sur la carte vNIC de l'adresse IP privée. Voir Aperçu des cartes vNIC et des cartes d'interface réseau physiques.
  4. Obtenez l'OCID de l'adresse IP privée. Si vous utilisez la console, vous pouvez obtenir l'OCID ou l'adresse IP privée elle-même, ainsi que le nom du compartiment de cette dernière.
  5. Pour le sous-réseau qui requiert le routage du trafic vers l'adresse IP privée, consultez la table de routage du sous-réseau. Si la table a déjà une règle avec la même CIDR de destination, mais une cible différente, supprimez cette règle.

  6. Ajoutez une règle de routage avec les éléments suivants :

    • Type de cible : Voir la liste des types de cible dans Aperçu du routage pour votre VCN. Si le type de cible est une passerelle DRG, la passerelle DRG attachée au VCN est automatiquement sélectionnée comme cible. Vous n'avez pas à définir la cible vous-même. Si la cible est un objet d'adresse IP privée, avant de la spécifier, désactivez la vérification source/destination sur la carte VNIC qui utilise cet objet. Pour plus d'informations, voir Utilisation d'une adresse IP privée comme cible d'acheminement.
    • Bloc CIDR de destination : Disponible uniquement si la cible n'est pas une passerelle de service. La valeur est le bloc CIDR de destination pour le trafic. Vous pouvez fournir un bloc CIDR de destination spécifique ou utiliser 0.0.0.0/0 si tout le trafic quittant le sous-réseau doit être acheminé vers la cible spécifiée dans cette règle.
    • Service de destination : Disponible uniquement si la cible est une passerelle de service. La valeur est l'étiquette CIDR du service qui vous intéresse.
    • Compartiment : Compartiment où se trouve la cible.
    • Cible : Cible. Si la cible est un objet d'adresse IP privée, entrez son OCID. Vous pouvez également entrer l'adresse IP privée elle-même, auquel cas la console détermine l'OCID correspondant et l'utilise comme cible de la règle de routage.
    • Description : Description facultative de la règle.

Comme mentionné ci-dessus, vous devez configurer l'instance pour le transfert des paquets.