Appairage distant de VCN à l'aide d'une passerelle DRG existante

L'appairage distant de réseaux en nuage virtuels est le processus de connexion de deux réseaux VCN de régions différentes (mais de la même location ). L'appairage permet aux ressources des réseaux en nuage virtuels de communiquer à l'aide d'adresses IP privées sans acheminer le trafic sur Internet ou au moyen d'un réseau sur place. Sans appairage, un VCN aurait besoin d'une passerelle Internet et d'adresses IP publiques pour les instances qui doivent communiquer avec un autre VCN d'une autre région.

Sommaire des composants du service Réseau pour l'appairage distant

Au niveau supérieur, les composants requis du service Réseau pour un appairage distant sont les suivants :

• Deux réseaux en nuage virtuels avec blocs CIDR qui ne se chevauchent pas, dans différentes régions qui prennent en charge l'appairage distant.

  Note
  
  

  Les blocs CIDR des réseaux VCN ne doivent pas se chevaucher

  Les blocs CIDR des deux réseaux VCN de la relation d'appairage ne doivent pas se chevaucher. De plus, si un réseau VCN particulier a plusieurs relations d'appairage, ces autres réseaux en nuage virtuels ne doivent pas avoir des blocs CIDR qui se chevauchent. Par exemple, si VCN-1 est appairé avec VCN-2 et VCN-3, les blocs CIDR de VCN-2 et de VCN-3 ne doivent pas se chevaucher.

• Une passerelle de routage dynamique (DRG) associée à chaque VCN de la relation d'appairage. Un VCN dispose déjà d'une passerelle DRG si vous utilisez un tunnel RPV site à site IPSec ou un circuit virtuel privé Oracle Cloud Infrastructure FastConnect.
• Une connexion d'appairage distant sur chaque passerelle DRG de la relation d'appairage.
• Une connexion entre ces deux connexions d'appairage distant.
• Prise en charge des règles de routage pour permettre le trafic de circuler sur la connexion, et uniquement vers et depuis des sous-réseaux sélectionnés dans les réseaux en nuage virtuels respectifs (si nécessaire).
• Des règles de sécurité annexes permettant de contrôler les types de trafic autorisés vers et depuis des instances des sous-réseaux qui doivent communiquer avec l'autre réseau VCN.

Le diagramme suivant présente les composants.

Note

Un VCN ne peut utiliser les connexions d'appairage distant connectées que pour accéder aux cartes vNIC de l'autre VCN ou d'un réseau sur place, et non à des destinations en dehors des réseaux en nuage virtuels tels qu'Internet. Par exemple, si VCN-1 du diagramme précédent disposait d'une passerelle Internet, les instances de VCN-2 ne pourraient pas l'utiliser pour envoyer le trafic vers des points d'extrémité sur Internet. Pour plus d'informations, voir Implications importantes relatives à l'appairage.

Satellite à satellite : Appairage distant avec routage de transit

Note

Le scénario mentionné dans cette section est toujours pris en charge, mais obsolète. Nous vous recommandons d'utiliser la méthode de routage DRG Transit décrite sous Routage du trafic au moyen d'un boîtier virtuel de réseau central.

Imaginez que dans chaque région vous ayez plusieurs réseaux en nuage virtuels dans une disposition en étoile, comme illustré dans le diagramme suivant. Ce type de disposition au sein d'une région est décrit dans Routage de transit dans un VCN central. Les réseaux en nuage virtuels en étoile d'une région particulière sont appairés localement au VCN central dans la même région, à l'aide de passerelles d'appairage local.

Vous pouvez configurer un appairage distant entre les deux réseaux VCN centraux. Vous pouvez ensuite configurer le routage de transit pour la passerelle DRG et les passerelles LPG du VCN central, tel qu'il est décrit dans Routage de transit dans un VCN central. Cette configuration permet à un VCN spoke dans une région de communiquer avec un ou plusieurs réseaux en nuage virtuels satellites dans l'autre région sans avoir besoin d'une connexion d'appairage distant directement entre ces réseaux en nuage virtuels.

Par exemple, vous pouvez configurer l'acheminement de sorte que les ressources de VCN-1-A peuvent communiquer avec les ressources de VCN-2-A et de VCN-2-B au moyen du VCN hub. De cette façon, le VCN 1-A n'a pas besoin d'avoir un appairage distant séparé avec chacun des réseaux en nuage virtuels satellites de l'autre région. Vous pouvez également configurer le routage de façon à ce que VCN-1-B puisse communiquer avec les VCN satellites de la région 2, sans leur être appairé à distance.

Les concepts suivants vous aident à comprendre les bases de l'appairage et comment établir un appairage distant.

APPAIRAGE

Un appairage consiste en une relation d'appairage unique entre deux réseaux en nuage virtuels. Exemple : si VCN-1 est homologue avec deux autres réseaux en nuage virtuels, il existe deux homologues. L'adjectif distant d'appairage distant indique que les réseaux en nuage virtuels sont dans des régions différentes.

ADMINISTRATEURS DE RÉSEAU VCN

En général, l'appairage de réseaux VCN ne peut se produire que si leurs deux administrateurs l'autorisent. En pratique, cela signifie que les deux administrateurs doivent :

• Partager certaines informations de base.
• Coordonnez la configuration des politiques Oracle Cloud Infrastructure Identity and Access Management requises pour activer l'appairage.
• Configurer leurs réseaux en nuage virtuels pour l'appairage.

Selon la situation, un seul administrateur peut être responsable des deux réseaux en nuage virtuels et des politiques connexes.

Pour plus d'informations sur les politiques requises et la configuration de VCN, voir Configuration d'un appairage distant.

ACCEPTEUR ET DEMANDEUR

Pour mettre en oeuvre les politiques IAM requises pour l'appairage, les deux administrateurs de réseau VCN doivent sélectionner un administrateur en tant que demandeur et l'autre en tant qu'accepteur. Le demandeur doit lancer la demande de connexion des deux connexions d'appairage distant. À son tour, l'accepteur doit créer une politique IAM particulière qui donne au demandeur l'autorisation de se connecter aux connexions d'appairage distant dans le compartiment de l'accepteur. Sans cette politique, la demande de connexion du demandeur échoue.

ABONNEMENT À UNE RÉGION

Pour effectuer un appairage avec un réseau VCN d'une autre région, une location doit d'abord être abonnée à cette région. Pour plus d'informations sur l'abonnement, voir Gestion des régions.

CONNEXION D'APPAIRAGE DISTANT (RPC)

Une connexion d'appairage distant est un composant que vous avez créé sur la passerelle DRG attachée à un VCN. La tâche de cette connexion est d'agir comme point de connexion pour un VCN appairé à distance. Lors de la configuration des réseaux VCN, chaque administrateur doit créer une passerelle DRG sur son VCN. Une passerelle DRG spécifique doit disposer d'une RPC distincte pour chaque appairage distant qu'elle établit pour le VCN. Pour continuer l'exemple précédent : la passerelle DRG de VCN-1 comporterait deux connexions pour l'appairage avec deux autres réseaux VCN. Dans l'API, l'objet RemotePeeringConnection contient les informations sur l'appairage. Vous ne pouvez pas réutiliser une connexion d'appairage distant pour établir un autre appairage.

CONNEXION ENTRE DEUX CONNEXIONS D'APPAIRAGE DISTANT

Lorsque le demandeur démarre la demande d'appairage (dans la console ou l'API), il demande en fait la connexion de deux RPV. Il doit comporter des informations pour identifier chaque connexion (comme sa région et son OCID ).

Chaque administrateur de réseau VCN peut mettre fin à un appairage en supprimant sa connexion d'extension de connexion d'interface réseau. Dans ce cas, le statut de l'autre connexion passe à RÉVOQUÉ. L'administrateur peut également désactiver la connexion en retirant les règles de routage permettant le trafic sur la connexion (voir la section suivante).

ROUTAGE VERS LA PASSERELLE DRG

Lors de la configuration des réseaux VCN, chaque administrateur doit mettre à jour leur routage pour permettre le trafic entre eux. Mettez à jour la table de routage de chaque sous-réseau qui doit communiquer avec l'autre VCN. La règle de routage spécifie le CIDR du trafic de destination et définit la passerelle DRG comme cible. La passerelle DRG dirige le trafic vers l'autre DRG, qui à son tour dirige le trafic vers le saut suivant dans l'autre VCN.

Dans le diagramme suivant, VCN-1 et VCN-2 sont appairés. Le trafic d'une instance dans Subnet A (10.0.0.15) destiné à une instance dans VCN-2 (192.168.0.15) est dirigé vers DRG-1 suivant la règle de la table de routage de Subnet A. Le trafic est ensuite dirigé vers la passerelle DRG-2 en passant par les connexions d'appairage distant, puis vers sa destination dans le sous-réseau X.

Légende 3 : Table de routage de Subnet A

CIDR de destination	Cible de routage
0.0.0.0/0	Passerelle Internet
192.168.0.0/16	DRG-1

Légende 4 : Table de routage de Subnet X

CIDR de destination	Cible de routage
10.0.0.0/16	DRG-2

Note

Comme mentionné précédemment, un VCN ne peut utiliser les connexions d'appairage distant connectées que pour accéder aux cartes vNIC de l'autre VCN, et non aux destinations en dehors des réseaux en nuage virtuels (comme Internet ou un réseau sur place). For example, in the preceding diagram, VCN-2 can't use the internet gateway attached to VCN-1.

RÈGLES DE SÉCURITÉ

Chaque sous-réseau d'un VCN comporte une ou plusieurs listes de sécurité qui contrôlent le trafic entrant et sortant des cartes vNIC du sous-réseau au niveau du paquet. Vous pouvez utiliser des listes de sécurité pour contrôler le type de trafic autorisé avec l'autre VCN. Dans le cadre de la configuration des réseaux en nuage virtuels, chaque administrateur doit décider quels sous-réseaux de son propre VCN doivent communiquer avec les cartes vNIC de l'autre VCN et mettre à jour les listes de sécurité de leur sous-réseau pour autoriser le trafic.

Si vous utilisez des groupes de sécurité de réseau (NSG) pour mettre en oeuvre des règles de sécurité, notez que vous avez la possibilité d'écrire des règles de sécurité pour un NSG qui identifient un autre NSG comme source ou destination du trafic. Toutefois, ces deux NSG doivent appartenir au même réseau VCN.

Si vous ne l'avez pas encore fait, lisez Implications importantes relatives à l'appairage pour comprendre les conséquences de l'appairage des réseaux VCN sur le contrôle d'accès, la sécurité et la performance.

Cette section décrit le processus général de configuration d'un appairage entre deux réseaux en nuage virtuels dans des régions différentes.

1. Créer les connexions d'appairage distant : chaque administrateur crée une connexion d'appairage distant pour la passerelle DRG de son propre réseau VCN.
2. Partager les informations : Les administrateurs partagent les informations de base requises.
3. Configurer les politiques IAM requises pour la connexion : Les administrateurs configurent des politiques IAM pour permettre l'établissement de la connexion.
4. Établir la connexion : le demandeur relie les deux connexions d'appairage distant (voir Concepts importants de l'appairage distant pour la définition du demandeur et de l'accepteur).
5. Mettre à jour les tables de routage : Chaque administrateur met à jour les tables de routage de son VCN pour permettre le trafic entre les réseaux appairés ou les sous-réseaux.
6. Mettre à jour les règles de sécurité : Chaque administrateur met à jour les règles de sécurité de son VCN pour permettre le trafic entre les réseaux appairés ou les sous-réseaux.

Les administrateurs peuvent effectuer les tâches E et F avant d'établir la connexion. Chaque administrateur doit connaître le bloc CIDR ou des sous-réseaux spécifiques de l'autre VCN et partager ces informations dans la tâche B.