Documentation sur Oracle Cloud Infrastructure

Appairage local de VCN au moyen d'une passerelle DRG mise à niveau

Ce scénario décrit l'utilisation d'une connexion mutuelle à une passerelle DRG mise à niveau pour permettre le trafic entre deux ou plusieurs réseaux en nuage virtuels.

Aperçu

Au lieu d'utiliser des connexions d'appairage local, vous pouvez établir des communications de réseau privées entre deux réseaux en nuage virtuels ou plus dans la même région en les associant à une passerelle de routage dynamique (DRG) commune et en apportant les modifications appropriées aux tables de routage de VCN et de DRG.

Ce scénario n'est disponible que pour une passerelle DRG mise à niveau.

Si vous utilisez la passerelle DRG existante, vous pouvez appairer deux réseaux en nuage virtuels dans la même région à l'aide de passerelles d'appairage local (LPG), comme décrit dans le scénario Appairage local de VCN à l'aide de passerelles d'appairage local. L'appairage de deux réseaux en nuage virtuels dans la même région au moyen d'une DRG vous offre plus de flexibilité d'acheminement et simplifie votre gestion. Il entraîne toutefois une augmentation de la latence de quelques microsecondes, car le trafic passe par un routeur virtuel, la DRG.

Cet exemple de scénario appaire deux réseaux en nuage virtuels. Avant de mettre en oeuvre ce scénario, assurez-vous que :

  • VCN-A n'est pas attaché à une passerelle DRG
  • VCN-B n'est pas attaché à une passerelle DRG
  • Les blocs CIDR utilisés par VCN-A et VCN-B ne se chevauchent pas

L'appairage de réseaux en nuage virtuels dans différentes locations nécessite plus de politiques IAM pour l'autorisation interlocation. Voir Politiques IAM pour le routage entre les réseaux en nuage virtuels pour plus de détails sur les autorisations requises. Lorsque vous attachez un VCN d'une autre région à une passerelle DRG, utilisez les étapes sous Attachement d'une passerelle DRG à un VCN d'une autre location. La plupart des étapes de ce scénario supposent que la passerelle DRG et les deux réseaux en nuage virtuels se trouvent dans la même location.

Étapes

Voici le processus général de configuration d'un appairage entre deux réseaux en nuage virtuels de la même région à l'aide d'une passerelle DRG :

  1. Créer la passerelle DRG : Voir Tâche A : Créer une passerelle DRG.
  2. Attacher le VCN A à la passerelle DRG : Voir Tâche B : attacher VCN-A à la passerelle DRG.
  3. Attacher le VCN B à la passerelle DRG : Voir Tâche C : attacher VCN-B à la passerelle DRG.
  4. Configurer les tables de routage dans le VCN A pour envoyer le trafic destiné au CIDR du VCN B au groupe DRG : Voir Tâche D : Configurer les tables de routage dans VCN-A pour envoyer le trafic destiné au CIDR de VCN-B à l'attachement de DRG.
  5. Configurer les tables de routage dans le VCN B pour envoyer le trafic destiné au CIDR du VCN A à la passerelle DRG : Voir Tâche E : Configurer les tables de routage dans VCN-B pour envoyer le trafic destiné au CIDR du VCN-A à l'attachement de DRG.
  6. Mettre à jour les règles de sécurité : Mettez à jour les règles de sécurité de chaque VCN pour permettre le trafic entre les réseaux appairés, au besoin. Voir Tâche F : Mettre à jour les règles de sécurité.

Cette page résume certaines implications relatives au contrôle d'accès, à la sécurité et à la performance pour les réseaux VCN appairés. Vous pouvez contrôler l'accès et le trafic entre deux réseaux en nuage virtuels appairés à l'aide de politiques IAM, de tables de routage dans chaque VCN, de tables de routage dans la passerelle DRG et de listes de sécurité dans chaque VCN.

Sommaire des composants de réseau pour l'appairage au moyen d'une passerelle DRG

Au niveau supérieur, les composants du service Réseau requis pour un appairage local au moyen d'une passerelle DRG sont les suivants :

  • Deux réseaux en nuage virtuels de la même région avec des blocs CIDR qui ne se chevauchent pas
  • Une passerelle de routage dynamique unique associée à chaque VCN appairé
  • Des règles de routage annexes pour permettre au trafic de circuler sur la connexion, uniquement depuis des sous-réseaux sélectionnés dans les réseaux VCN respectifs (le cas échéant) et vers ces sous-réseaux
  • Des règles de sécurité annexes permettant de contrôler les types de trafic autorisés depuis et à partir des instances des sous-réseaux qui doivent communiquer avec l'autre réseau VCN

Le diagramme suivant présente les composants.

Cette image présente la disposition de base de deux réseaux en nuage virtuels appairés localement, chacun disposant d'une passerelle d'appairage local.
Note

Un VCN particulier peut accéder à ces ressources :

  • Les cartes vNIC de l'autre réseau VCN
  • Un réseau sur place relié à l'autre réseau VCN, si un scénario de routage avancé appelé routage de transit a été configuré pour les réseaux en nuage virtuels

Deux réseaux en nuage virtuels interconnectés avec une passerelle DRG ne peuvent pas accéder à d'autres passerelles en nuage (telles qu'une passerelle Internet ou une passerelle NAT) à l'exception du routage de transit par une passerelle LPG. Par exemple, si VCN-1 du diagramme précédent disposait d'une passerelle Internet, les instances de VCN-2 ne pourraient pas l'utiliser pour envoyer le trafic vers des points d'extrémité sur Internet. Toutefois, VCN-2 pourrait recevoir du trafic d'Internet au moyen de VCN-1. Pour plus d'informations, voir Implications importantes relatives à l'appairage de réseaux de nuage virtuels.

Concepts importants de l'appairage local

Les concepts suivants vous aident à comprendre les fonctions de base de l'appairage de VCN au moyen d'une passerelle DRG et comment établir un appairage local.

APPAIRAGE
Un appairage est une relation entre deux réseaux en nuage virtuels qui se connectent tous les deux à la même passerelle DRG et peuvent acheminer le trafic entre eux. L'adjectif local d'appairage local indique que les réseaux en nuage virtuels sont dans la même région. Une passerelle DRG particulière peut avoir un maximum de 300 attachements DRG locaux à la fois.
Attention

Les blocs CIDR des réseaux en nuage virtuels appairés ne peuvent pas se chevaucher.
ADMINISTRATEURS
En général, l'appairage de réseaux en nuage virtuels ne peut avoir lieu que si tous les administrateurs de réseaux VCN et de passerelles DRG concernés en conviennent. Selon la situation, un seul administrateur peut être responsable de tous les VCN et DRG concernés, et des politiques connexes.
Pour plus d'informations sur les politiques requises et la configuration de VCN, voir Politiques IAM de routage entre les réseaux en nuage virtuels.
ROUTAGE VERS LA PASSERELLE DRG
Lors de la configuration des réseaux VCN, chaque administrateur doit mettre à jour leur routage pour permettre le trafic entre eux. En pratique, il s'agit du routage configuré pour n'importe quelle passerelle (comme une passerelle Internet ou une passerelle de routage dynamique). Vous mettez à jour la table de routage de tous les sous-réseaux qui doivent communiquer avec l'autre VCN. La règle de routage spécifie le CIDR du trafic de destination et définit la passerelle DRG comme cible. Le VCN dirige le trafic correspondant à cette règle vers la passerelle DRG, qui à son tour dirige le trafic vers le saut suivant dans l'autre VCN.
Dans le diagramme suivant, VCN-1 et VCN-2 sont appairés. Le trafic d'une instance dans Subnet A (10.0.0.15) destiné à une instance dans VCN-2 (192.168.0.15) est dirigé vers la passerelle DRG suivant la règle de la table de routage de Subnet A. Le trafic est ensuite dirigé vers VCN-2, puis vers sa destination dans Subnet X. La passerelle DRG de ce scénario utilise une table de routage par défaut.
Cette image présente les tables de routage et le chemin du trafic acheminé depuis une passerelle DRG vers l'autre.
Légende 1 : Table de routage de Subnet A
CIDR de destination Cible de routage
172.16.0.0/12 DRG
192.168.0.0/16 DRG
0.0.0.0/0 Passerelle Internet
Légende 2 : Table de routage de Subnet X
CIDR de destination Cible de routage
172.16.0.0/12 DRG
10.0.0.0/16 DRG
RÈGLES DE SÉCURITÉ
Chaque sous-réseau d'un VCN comporte une ou plusieurs listes de sécurité qui contrôlent le trafic entrant et sortant des cartes vNIC du sous-réseau au niveau du paquet. Vous pouvez utiliser des listes de sécurité pour contrôler le type de trafic autorisé avec l'autre VCN. Dans le cadre de la configuration des réseaux en nuage virtuels, chaque administrateur doit décider quels sous-réseaux de son propre VCN doivent communiquer avec les cartes vNIC de l'autre VCN et mettre à jour les listes de sécurité de leur sous-réseau pour qu'elles correspondent.
Si vous utilisez des groupes de sécurité de réseau (NSG) pour mettre en oeuvre des règles de sécurité, notez que vous pouvez écrire des règles de sécurité pour un NSG qui spécifient un autre NSG comme source ou destination du trafic. Toutefois, ces deux NSG doivent appartenir au même réseau VCN.

Configuration de ce scénario dans la console

Tâche A : Créer une passerelle DRG

Une passerelle DRG créée avant mai 2021 ne peut pas effectuer de routage entre des réseaux sur place et plusieurs réseaux en nuage virtuels, ni fournir un appairage local entre des réseaux en nuage virtuels. Si vous avez besoin de cette fonctionnalité, cliquez sur le bouton Mettre à niveau la passerelle de routage dynamique s'il s'affiche.

Note

La sélection du bouton Mettre à niveau la passerelle DRG réinitialise également toutes les sessions BGP existantes et interrompt temporairement le trafic du réseau sur place lors des mises à niveau de la passerelle DRG. N'oubliez pas que vous ne pouvez pas annuler la mise à niveau.

Si vous créez une passerelle DRG dans la même région que les réseaux en nuage virtuels que vous voulez appairer, à l'aide des étapes décrites dans Création d'une passerelle DRG.

Tâche B : Attacher VCN-A à la passerelle DRG
Note

Une passerelle DRG mise à niveau peut être attachée à de nombreux réseaux en nuage virtuels, mais un réseau VCN ne peut être attaché qu'à une seule passerelle DRG à la fois. L'attachement est automatiquement créé dans le compartiment qui contient le réseau VCN. Il n'est pas nécessaire qu'un VCN se trouve dans le même compartiment ou dans la même location que la passerelle DRG mise à niveau.

Vous pouvez éliminer les connexions d'appairage local de la conception de réseau globale si vous connectez plusieurs RPV de la même région à la même passerelle DRG et que vous configurez les tables de routage DRG de manière appropriée.

L'appairage de réseaux en nuage virtuels dans différentes locations nécessite plus de politiques IAM pour l'autorisation interlocation. Voir Politiques IAM pour le routage entre les réseaux en nuage virtuels pour plus de détails sur les autorisations requises. Lorsque vous attachez un VCN d'une autre région à une passerelle DRG, utilisez les étapes sous Attachement d'une passerelle DRG à un VCN d'une autre location.

Attachez VCN-A à la passerelle DRG que vous avez créée dans la tâche A. Vous pouvez attacher une passerelle DRG à un VCN ou attacher un VCN à une passerelle DRG.

Tâche C : Attacher VCN-B à la passerelle DRG
Note

Une passerelle DRG peut être attachée à de nombreux réseaux en nuage virtuels, mais un réseau VCN ne peut être attaché qu'à une seule passerelle DRG à la fois. L'attachement est automatiquement créé dans le compartiment qui contient le réseau VCN. Il n'est pas nécessaire qu'un VCN se trouve dans le même compartiment que la passerelle DRG.

Vous pouvez éliminer les connexions d'appairage local de la conception de réseau globale si vous connectez plusieurs RPV de la même région à la même passerelle DRG et que vous configurez les tables de routage DRG de manière appropriée.

L'appairage de réseaux en nuage virtuels dans différentes locations nécessite plus de politiques IAM pour l'autorisation interlocation. Voir Politiques IAM pour le routage entre les réseaux en nuage virtuels pour plus de détails sur les autorisations requises. Lorsque vous attachez un VCN d'une autre région à une passerelle DRG, utilisez les étapes sous Attachement d'une passerelle DRG à un VCN d'une autre location.

Attachez VCN-B à la passerelle DRG que vous avez créée à la tâche A. Vous pouvez attacher une passerelle DRG à un VCN ou attacher un VCN à une passerelle DRG.

Tâche D : Configurer les tables de routage dans VCN-A pour envoyer le trafic destiné au CIDR de VCN-B à l'attachement de DRG

Comme mentionné ci-dessus, chaque administrateur peut effectuer cette tâche avant ou après l'attachement du VCN à la passerelle DRG.

Prérequis : Chaque administrateur doit comporter le bloc CIDR de l'autre VCN ou des sous-réseaux spécifiques de ce VCN.

Pour VCN-A, déterminez les sous-réseaux dans VCN-A qui doivent communiquer avec VCN-B et mettez à jour la table de routage pour chacun de ces sous-réseaux afin d'inclure une nouvelle règle qui dirige le trafic destiné au CIDR de l'autre VCN vers la passerelle DRG. Utilisez les paramètres suivants :

  • Type de cible : Passerelle de routage dynamique.
  • Bloc CIDR de destination : Bloc CIDR de VCN-B. Si vous le souhaitez, vous pouvez spécifier un sous-réseau ou un sous-ensemble particulier du bloc CIDR de VCN-B.
  • Compartiment cible : Compartiment avec l'autre VCN, sinon le compartiment courant.
  • Cible : passerelle DRG créée à la tâche A.
  • Description : Description facultative de la règle.

Tout trafic de sous-réseau avec une destination correspondant à la règle est dirigé vers la passerelle DRG. Pour plus d'informations sur la configuration des règles de routage, voir Tables de routage de VCN.

Si, à l'avenir, vous n'avez plus besoin de l'appairage et souhaitez mettre fin à cette relation, supprimez d'abord toutes les règles de routage du VCN qui spécifient l'autre VCN.

Conseil

Sans le routage requis, le trafic ne circule pas entre les VCN appairés. Si vous avez besoin d'arrêter temporairement l'appairage, supprimez les règles de routage qui régulent le trafic.
Tâche E : Configurer les tables de routage dans VCN-B pour envoyer le trafic destiné au CIDR de VCN-A à l'attachement de DRG

Comme mentionné ci-dessus, chaque administrateur peut effectuer cette tâche avant ou après l'attachement du VCN à la passerelle DRG.

Préalable : Chaque administrateur doit connaître le bloc CIDR ou les sous-réseaux spécifiques de l'autre VCN.

Pour VCN-B, déterminez les sous-réseaux dans VCN-B qui doivent communiquer avec VCN-A et mettez à jour la table de routage pour chacun de ces sous-réseaux afin d'inclure une nouvelle règle qui dirige le trafic destiné au CIDR de l'autre VCN vers la passerelle DRG. Utilisez les paramètres suivants :

  • Type de cible : Passerelle de routage dynamique.
  • Bloc CIDR de destination : Bloc CIDR de VCN-A. Si vous le souhaitez, vous pouvez spécifier un sous-réseau ou un sous-ensemble particulier du bloc CIDR de VCN-A.
  • Compartiment cible : Compartiment avec l'autre VCN, sinon le compartiment courant.
  • Cible : passerelle DRG créée à la tâche A.
  • Description : Description facultative de la règle.

Tout trafic de sous-réseau avec une destination correspondant à la règle est dirigé vers la passerelle DRG. Pour plus d'informations sur la configuration des règles de routage, voir Tables de routage de VCN.

Si, plus tard, vous n'avez plus besoin de l'appairage et souhaitez mettre fin à cette relation, supprimez toutes les règles de routage du VCN qui spécifient l'autre VCN comme cible.

Conseil

Sans le routage requis, le trafic ne circule pas entre les VCN appairés. Si vous avez besoin d'arrêter temporairement l'appairage, vous pouvez supprimer les règles de routage qui activent le trafic.
Tâche F : Mettre à jour les règles de sécurité

Comme mentionné ci-dessus, chaque administrateur peut effectuer cette tâche avant ou après l'établissement de la connexion.

Préalable : Chaque administrateur doit connaître le bloc CIDR ou les sous-réseaux spécifiques de l'autre VCN. En général, reprenez le bloc CIDR que vous avez utilisé pour la règle de table de routage dans Tâche E : Configurer les tables de routage.

Ajoutez les règles suivantes :

  • Règles de trafic entrant pour les types de trafic que vous voulez autoriser à partir du CIDR de l'autre VCN ou de sous-réseaux spécifiques.
  • Règle de trafic sortant pour autoriser le trafic sortant du VCN local vers l'autre VCN. Si le sous-réseau a déjà une règle de trafic sortant large pour tous les types de protocole vers toutes les destinations (0.0.0.0/0), vous n'avez pas besoin d'ajouter de règle spéciale pour l'autre VCN.
Note

La procédure suivante utilise des listes de sécurité, mais vous pouvez également mettre en oeuvre des règles de sécurité dans un groupe de sécurité de réseau, puis créer les ressources du sous-réseau dans ce groupe NSG.

Pour chaque VCN, déterminez les sous-réseaux du VCN local qui doivent communiquer avec l'autre VCN et mettez à jour la liste de sécurité de chacun de ces sous-réseaux afin d'inclure les règles qui autorisent le trafic sortant ou entrant voulu avec le bloc CIDR ou un sous-réseau de l'autre VCN

Exemple

Pour ajouter une règle avec état qui autorise le trafic HTTPS entrant (port 443) à partir du CIDR de l'autre VCN, utilisez les paramètres suivants pour mettre en oeuvre cette règle :

  • Laissez la case sans état désélectionnée.
  • Type de source : Laissez CIDR.
  • CIDR source : Entrez le bloc CIDR utilisé par les règles de routage (voir Tâche D ou Tâche E).
  • Protocole IP : Laissez TCP.
  • Intervalle de ports sources : Laissez Tous.
  • Intervalle de ports de destination : Entrez 443.
  • Description : Description facultative de la règle.

Pour plus d'informations sur les règles de sécurité, voir Règles de sécurité.