Documentation sur Oracle Cloud Infrastructure

Tables de routage de VCN

Cette rubrique décrit comment gérer les tables de routage dans un réseau en nuage virtuel (VCN). Pour plus d'informations sur les tables de routage dans une passerelle de routage dynamique (DRG), voir Passerelles de routage dynamique.

Aperçu du routage pour un VCN

Un VCN utilise des tables de routage pour envoyer le trafic sortant de VCN (par exemple, vers Internet, vers un réseau sur place ou vers un VCN pair). Ces tables de routage ont des règles qui ressemblent aux règles de routage de réseau classiques que vous connaissez peut-être déjà. Chaque règle définit un bloc CIDR de destination et la cible (le saut suivant) de tout trafic correspondant à ce bloc CIDR.

Voici quelques informations de base concernant le routage dans un VCN :

  • Le scénario de routage principal est destiné à envoyer le trafic d'un sous-réseau vers des destinations en dehors du VCN. Une table de routage unique est associée à un sous-réseau que vous sélectionnez, sauf si une carte VNIC a une table de routage directement associée à elle-même ou à ses adresses IP. Pour plus de détails, voir la section Routage par ressource. Toutes les cartes vNIC de ce sous-réseau sont sujettes aux règles de la table de routage. Les règles régissent le routage du trafic qui quitte le sous-réseau.
  • Le acheminement local du VCN traite automatiquement le trafic entre les sous-réseaux du VCN et à l'intérieur de ceux-ci. Le routage local n'exige pas la définition de règles de routage explicites pour activer le trafic. Les règles de routage locales sont implicites et ne sont pas affichées dans la table de routage. Le routage entre les sous-réseaux d'un VCN peut être modifié en ajoutant des routes statiques (voir Routage intra-VCN).
  • Vous pouvez utiliser le acheminement intra-VCN pour spécifier une adresse IP privée, une passerelle LPG ou une passerelle DRG de saut suivant dans un VCN pour le trafic destiné à un autre sous-réseau du VCN. Le routage intra-VCN vous permet de créer des cas d'utilisation de sécurité et de virtualisation de réseau plus complexes. OCI prend également en charge le routage intra-VCN pour le trafic entrant dans un VCN au moyen d'une passerelle en plus du trafic entre sous-réseaux.
  • Vous pouvez utiliser le routage par ressource pour associer une table de routage de VCN personnalisée à une carte VNIC ou à une adresse IP sur une carte VNIC, ce qui vous permet d'acheminer le trafic différemment pour les charges de travail du même sous-réseau.
  • Si des règles se chevauchent, Oracle utilise la règle la plus spécifique de la table pour acheminer le trafic (la règle avec la correspondance de préfixe la plus longue). Deux CIDR se chevauchent lorsqu'un CIDR est contenu dans l'autre. Les tables de routage de VCN contiennent des entrées pour les routes de VCN locales. Si vous créez une route statique pour le bloc CIDR du VCN (avec la même longueur de préfixe que la route locale du VCN), la route statique est prioritaire.
  • Si aucune règle de routage ne correspond au trafic du réseau que vous avez l'intention d'acheminer hors du VCN, le trafic est abandonné (disparaît).
  • L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.

Pour obtenir des informations importantes sur le routage entre un réseau VCN et sur place, consultez Détails de routage des connexions au réseau sur place.

Utilisation des tables de routage et des règles de routage

Chaque VCN est accompagné d'une table de routage par défaut qui comporte des règles implicites incluant les routes pour ses blocs CIDR. Sauf modification de votre part, chaque sous-réseau utilise la table de routage par défaut du VCN. Lorsque vous ajoutez des règles de routage à un VCN, vous pouvez les ajouter à la table par défaut. Toutefois, vous pouvez créer des tables de routage personnalisées pour chaque sous-réseau, si nécessaire. Par exemple, lorsque vous avez un sous-réseau public et un sous-réseau privé dans un VCN (voir Scénario C : Sous-réseaux publics et privés avec un RPV), vous devez utiliser différentes tables de routage pour les sous-réseaux, car les règles de routage pour ceux-ci doivent être différentes.

Chaque sous-réseau d'un VCN utilise une seule table de routage. Lorsque vous créez le sous-réseau, vous indiquez la table à utiliser. Vous pouvez à tout moment changer la table de routage que le sous-réseau utilise. Vous pouvez également modifier les règles d'une table de routage ou les supprimer toutes.

Vous pouvez affecter un nom descriptif à une table de routage personnalisée lors de la création. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Oracle affecte automatiquement à la table de routage un identificateur Oracle Cloud (OCID) unique. Pour plus d'informations, voir Identificateurs de ressource.

Une règle de routage spécifie un bloc CIDR de destination et la cible (le saut suivant) pour tout trafic correspondant à ce bloc CIDR. Voici les types de cible autorisés pour une règle de routage :

Note

Vous ne pouvez pas supprimer une ressource si elle est la cible pour une règle de routage. Par exemple, vous ne pouvez pas supprimer une passerelle Internet si le trafic y est dirigé. Supprimez toutes les règles (dans toutes les tables de routage) contenant cette passerelle Internet comme cible avant de tenter de supprimer celle-ci ou une autre ressource.

Lors de l'ajout d'une règle de routage à une table de routage, vous indiquez le bloc CIDR de destination et la cible (plus le compartiment où réside la cible). Exception : Si la cible est une passerelle de service , au lieu d'un bloc CIDR de destination, vous spécifiez une chaîne fournie par Oracle qui représente les points d'extrémité publics du service concerné. Ainsi, vous n'avez pas à connaître tous les blocs CIDR du service, qui peuvent changer au fil du temps.

Si vous reconfigurez incorrectement une règle (par exemple, entrez un bloc CIDR de destination erroné), le trafic réseau que vous souhaitez acheminer peut être abandonné (disparaître) ou envoyé à une cible non intentionnelle.

Vous pouvez déplacer les tables de routage d'un compartiment à un autre. Le déplacement d'une table de routage n'a pas d'incidence sur son association aux VCN ou à des sous-réseaux. Lorsque vous déplacez une table de routage vers un nouveau compartiment, les politiques inhérentes s'appliquent immédiatement et ont une incidence sur l'accès à la table de routage. Pour plus d'informations, voir Contrôle de l'accès.

Vous ne pouvez pas supprimer la table de routage par défaut d'un VCN. Pour qu'une table de routage personnalisée puisse être supprimée, elle ne doit pas être associée à un sous-réseau ou à une passerelle, telle que DRG, LPG, IGW, NGW ou SGW.

Voir Limites de service pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite.

Routage interne au VCN

Le routage intra VCN vous permet de remplacer les décisions de routage par défaut appliquées au trafic destiné aux adresses IP contenues dans le bloc CIDR du VCN. Le routage interne au VCN offre les fonctionnalités suivantes :

  • Routes locales : Chaque VCN achemine automatiquement le trafic au sein du VCN et entre les sous-réseaux du VCN, sauf si vous ajoutez des règles de routage indiquant le contraire. Le trafic local utilise la table de routage associée au sous-réseau, y compris le routage local dans le bloc CIDR du VCN.
  • Routes intra-VCN personnalisées : Il s'agit des règles de routage que vous créez dans le VCN ou la table de routage de sous-réseau pour le trafic intra-VCN, qui peuvent remplacer les routes locales normales. Toutes les routes intra-VCN personnalisées ont une cible (DRG, LPG ou adresse IP privée dans le VCN) et un type de route statique.
  • Meilleure sélection d'itinéraire : La plus longue correspondance de préfixe (ou route la plus spécifique) est sélectionnée. Lorsque plusieurs itinéraires pour le même préfixe sont possibles, le meilleur itinéraire est sélectionné en fonction de la priorité de type de routage suivante :
    1. Routes statiques ( définies par l'utilisateur)
    2. Les routes locales secondaires (créées automatiquement par OCI) ne sont pas visibles dans la table de routage
  • IPv6 : OCI prend en charge le routage Intra VCN pour les préfixes VCN IPv6.
Note

Le routage intra-sous-réseau n'est pas pris en charge. Le trafic avec une adresse IP de destination dans le même sous-réseau que la carte vNIC d'origine est transmis (non acheminé) directement à la destination appropriée.

Utilisation du routage interne au VCN

Dans l'exemple suivant, tout le trafic circulant entre Internet et les cartes vNIC d'un VCN est acheminé par un boîtier de sécurité dans Subnet-A. En outre, le trafic entre les sous-réseaux passe par le même pare-feu. Pour mettre en oeuvre cet exemple, vous devez :
  1. Créer des règles de routage statique dans la table de routage IGW qui spécifient le saut suivant de 10.0.1.4 (un pare-feu) pour le trafic entrant.
  2. Créer des tables de routage pour Subnet A, Subnet B et Subnet C. Le trafic entre Internet et Subnet B et Subnet C doit passer par le boîtier de pare-feu à l'adresse 10.0.1.4 dans Subnet A. Le trafic entre Subnet B et Subnet C doit passer par le même pare-feu.

L'illustration suivante présente un exemple de routage interne :

Diagramme d'exemple de routage interne
Légende 1 : Table de routage IGW
Destination Cible Type de route
10.0.0.0/16 10.0.1.4 Statique
Légende 2 : Table de routage de Subnet A
Destination Cible Type de route
0.0.0.0/0 IGW Statique
Légende 3 : Table de routage de Subnet B
Destination Cible Type de route
10.0.0.0/16 10.0.1.4 Statique
0.0.0.0/0 10.0.1.4 Statique
Légende 4 : Table de routage de Subnet C
Destination Cible Type de route
10.0.0.0/16 10.0.1.4 Statique
0.0.0.0/0 10.0.1.4 Statique

Acheminement par ressource

Vous pouvez utiliser le routage par ressource pour affecter une table de routage de VCN personnalisée à une ou plusieurs cartes VNIC ou à des adresses IP particulières sur une carte VNIC. Une adresse IP avec une table de routage affectée peut être une adresse IP principale ou secondaire de la carte VNIC. Avec le routage par ressource, une préférence hiérarchique s'applique en ce qui concerne la table de routage à utiliser pour la consultation du routage : la table de routage sur l'adresse IP est préférée sur la table de routage sur la carte VNIC, et la table de routage sur une carte VNIC est préférée sur la table de routage sur le sous-réseau. Voici le traitement de sélection des tables de routage :

  1. Si une table de routage est associée à l'adresse IP de la carte VNIC, cette table de routage est utilisée pour acheminer le trafic à partir de l'adresse IP.
  2. Si une adresse IP de carte VNIC n'a pas sa propre table de routage, la table de routage au niveau de la carte VNIC est utilisée pour acheminer le trafic à partir de l'adresse IP.
  3. Si une route peut être associée à une carte VNIC, toutes les adresses IP de la carte VNIC qui n'ont pas de table de routage associée utilisent la table de routage de la carte VNIC.
  4. Si aucune table de routage n'est associée à une carte VNIC, toutes les adresses IP de la carte VNIC qui n'ont pas de table de routage associée utilisent la table de routage du sous-réseau.
Note

Une seule table de routage est utilisée pour déterminer le routage du trafic d'une carte VNIC ou d'une adresse IP. Si le routage par ressource est utilisé sur une carte VNIC ou une adresse IP, les autres tables de routage de la chaîne hiérarchique sont ignorées. Par exemple, si une adresse IP de carte VNIC est associée à une table de routage, cette table de routage est utilisée pour acheminer le trafic à partir de l'adresse IP, et les tables de routage de la carte VNIC et du sous-réseau sont ignorées.

L'image suivante présente un exemple d'utilisation du routage par ressource :

Exemple de diagramme de routage par ressource
Légende A : Table de routage personnalisée A vers l'environnement sur place
Destination Cible Type de route
0.0.0.0/0 DRG Statique
Légende B : Table de routage personnalisée B vers Internet
Destination Cible Type de route
0.0.0.0/0 IGW Statique

Dans cet exemple, une instance de calcul OCI avec deux cartes vNIC dans le même sous-réseau comporte une application qui s'exécute et qui doit accéder à Internet ainsi qu'aux bases de données ou autres ressources du centre de données sur place. L'application utilise la carte VNIC A pour tout le trafic lié à un réseau sur place et la carte VNIC B pour tout le trafic lié à Internet. L'administrateur du réseau en nuage peut associer une table de routage personnalisée à la carte VNIC A, où la passerelle DRG par défaut est la cible, et achemine tout le trafic de la carte VNIC A vers la passerelle DRG. Une deuxième table de routage personnalisée est associée à la carte VNIC B, où la route par défaut a la passerelle Internet comme cible, et achemine tout le trafic de la carte VNIC B vers la passerelle Internet.

Un avantage ici est que, comme il s'agit de règles statiques, elles sont isolées des modifications apportées aux blocs CIDR utilisés dans le centre de données sur place. Toutes les modifications apportées à l'environnement sur place sont partagées avec la passerelle DRG à l'aide de l'annonce BGP, et les tables de routage de VCN peuvent être simples et stables.

Routage entrant de la passerelle

Le trafic qui quitte un sous-réseau est acheminé à l'aide de la table de routage du sous-réseau. Le trafic entrant dans un sous-réseau est acheminé à l'aide d'une table de routage de passerelle (table de routage associée à cette passerelle). Les règles de routage pour le routage entrant de la passerelle sont prises en charge dans les tables de routage associées aux ressources suivantes :
  • Passerelle d'appairage local (LPG)
  • Passerelles de routage dynamique
  • Passerelles Internet
  • Passerelles NAT
  • Passerelles de service
Note

Si vous associez une table de routage à l'une de ces passerelles, celle-ci devra toujours être associée à une autre. Les règles de la table de routage associée peuvent être modifiées ou supprimées. Pour une passerelle Internet, la cible doit se trouver dans un sous-réseau public.

Une table de routage associée à une passerelle LPG ne peut pas utiliser le routage intra- VCN (une destination dans l'un des sous-réseaux du VCN).

Politique GIA requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel l'accès de sécurité est accordé dans une politique par un administrateur de location. Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur de la location quel type d'accès vous avez et dans quel compartiment votre accès fonctionne.

Pour les administrateurs : Voir Politiques GIA pour le service de réseau.

Limites de table de routage de réseau en nuage virtuel (VCN)

Cette section est propre aux limites des tables de routage de VCN. Les limites de table de routage DRG sont fournies dans la section Limites de table de routage DRG.

Ressource

Étendue

Crédit universel d'Oracle

Pay As You Go ou Trial
Tables de routage de VCN VCN 300 300
Règles de routage Table de routage de VCN 200 200

Utilisation d'une adresse IP privée comme cible d'acheminement

Si vous ne connaissez pas la définition d'une adresse IP privée, consultez Adresses IP privées. En bref : Une adresse IP privée est un objet qui contient une adresse IP privée et les propriétés connexes, et son propre OCID.

Cas d'utilisation générale

OCI utilise la table de routage d'un sous-réseau pour acheminer le trafic vers une adresse IP de destination en dehors du sous-réseau. Si la destination est en dehors du VCN, en général vous configurez une règle de routage pour acheminer le trafic vers une passerelle sur le VCN (par exemple, une passerelle DRG connectée à un réseau sur place ou à un autre VCN, ou une passerelle Internet connectée à Internet). Si la destination se trouve dans un autre sous-réseau du même VCN, le trafic est acheminé par défaut au moyen de la route locale pour le bloc CIDR du VCN. Toutefois, vous pouvez d'abord acheminer ce trafic au moyen d'une instance dans le VCN. Dans ce cas, vous pouvez utiliser une adresse IP privée dans le VCN comme cible au lieu d'une passerelle sur ce réseau. Voici quelques raisons possibles :

  • Pour mettre en oeuvre un boîtier de réseau virtuel (NVA) tel qu'un de pare-feu ou une détection d'intrusion qui filtre le trafic sortant des instances.
  • Pour gérer un réseau superposé sur le VCN, qui vous permet d'exécuter les charges de travail d'orchestration de conteneur.
  • Pour mettre en oeuvre la traduction d'adresses de réseau (NAT) dans le VCN. À la place, notez qu'Oracle recommande d'utiliser une passerelle NAT avec le VCN. En général, NAT crée un accès Internet sortant pour les instances qui n'ont pas de connectivité Internet directe.

La mise en oeuvre de ces cas d'utilisation nécessite plus que l'acheminement du trafic vers l'instance. La configuration est également requise sur l'instance elle-même.

Conseil

Vous pouvez activer la haute disponibilité de la cible d'acheminement de l'adresse IP privée à l'aide d'une adresse IP privée secondaire. En cas de panne, vous pouvez déplacer l'adresse IP privée secondaire d'une carte vNIC existante vers une autre carte vNIC du même sous-réseau. Voir Déplacement d'une adresse IP privée secondaire vers une autre carte VNIC (instructions de la console) et UpdatePrivateIp (instructions d'API).

Exigences relatives à l'utilisation d'une adresse IP privée comme cible

  • L'adresse IP privée doit se trouver dans le même VCN que la table de routage.
  • La carte vNIC de l'adresse IP privée doit être configurée pour ignorer la vérification de la source/destination afin que la carte vNIC puisse transmettre le trafic. Par défaut, les cartes vNIC sont configurées pour effectuer la vérification. Pour plus d'informations, voir Aperçu des cartes vNIC et des cartes d'interface réseau physiques.
  • Vous devez configurer l'instance pour le transfert des paquets.

  • La règle de routage doit spécifier l'OCID de l'adresse IP privée comme cible et non l'adresse IP elle-même. Exception : Si vous utilisez la console, vous pouvez spécifier l'adresse IP privée elle-même comme cible, et la console utilise l'OCID correspondant à l'adresse IP privée dans la règle.

    Important

    Une règle de routage avec une adresse IP privée comme cible peut mener à une disparition dans ces cas :
    • L'instance à laquelle l'adresse IP privée est affectée est arrêtée ou interrompue
    • La carte vNIC à laquelle l'adresse IP privée est affectée est mise à jour pour activer la vérification de la source ou de la destination, ou supprimée
    • L'affectation de l'adresse IP privée à la carte vNIC est supprimée

    Lorsqu'une adresse IP privée cible est interrompue, dans la console, la règle de routage affiche une note indiquant que l'OCID cible n'existe plus.

    Par exemple, si une instance cible est arrêtée avant que vous puissiez déplacer l'adresse IP privée secondaire vers une base de données de secours, vous devez mettre à jour la règle de routage pour utiliser l'OCID de la nouvelle adresse IP privée cible sur la base de données de secours. La règle utilise l'OCID de la cible et non l'adresse IP privée elle-même.

Processus de configuration général

  1. Décidez quelle instance vous souhaitez recevoir et transmettre le trafic.
  2. Sélectionnez une adresse IP privée sur l'instance (peut être sur la carte VNIC principale ou secondaire de l'instance). Pour mettre en oeuvre le basculement, configurez une adresse IP privée secondaire sur l'une des cartes vNIC de l'instance.
  3. Désactivez la vérification de la source/destination sur la carte vNIC de l'adresse IP privée. Voir Aperçu des cartes vNIC et des cartes d'interface réseau physiques.
  4. Obtenez l'OCID de l'adresse IP privée. Si vous utilisez la console, vous pouvez obtenir l'OCID ou l'adresse IP privée elle-même, ainsi que le nom du compartiment de cette dernière.
  5. Pour le sous-réseau qui requiert le routage du trafic vers l'adresse IP privée, consultez la table de routage du sous-réseau. Si la table a déjà une règle avec la même CIDR de destination, mais une cible différente, supprimez cette règle.

  6. Ajoutez une règle de routage avec les éléments suivants :

    • Target Type (Type de cible) : Voir la liste des types de cible dans Aperçu du routage pour un VCN. Si le type de cible est une passerelle DRG, la passerelle DRG attachée au VCN est automatiquement sélectionnée comme cible. Vous n'avez pas à définir la cible vous-même. Si la cible est un objet d'adresse IP privée, avant de la spécifier, désactivez la vérification de la source ou de la destination sur la carte VNIC qui utilise cet objet. Pour plus d'informations, voir Utilisation d'une adresse IP privée comme cible d'acheminement.
    • Bloc CIDR de destination : Disponible uniquement si la cible n'est pas une passerelle de service. La valeur est le bloc CIDR de destination pour le trafic. Vous pouvez fournir un bloc CIDR de destination spécifique ou utiliser 0.0.0.0/0 si tout le trafic quittant le sous-réseau doit être acheminé vers la cible spécifiée dans cette règle.
    • Service de destination : Disponible uniquement si la cible est une passerelle de service. La valeur est l'étiquette CIDR du service qui vous intéresse.
    • Compartiment : compartiment contenant la cible.
    • Cible : Cible. Si la cible est un objet d'adresse IP privée, entrez son OCID. Vous pouvez également entrer l'adresse IP privée elle-même, auquel cas la console trouve l'OCID correspondant et l'utilise comme cible de la règle de routage.
    • Description : Description facultative de la règle.

Comme mentionné ci-dessus, vous devez configurer l'instance pour le transfert des paquets.