Appairage distant de VCN au moyen d'une passerelle DRG mise à niveau
Cette rubrique décrit l'appairage distant de réseaux en nuage virtuels.
Dans ce cas, distant signifie que chacun des réseaux en nuage virtuels est attaché à une passerelle de routage dynamique (DRG) différente et que la passerelle DRG peut résider dans une autre région ou peut-être dans la même région. Si les réseaux en nuage virtuels que vous voulez connecter se trouvent dans la même région et sont connectés à la même passerelle DRG, voir Appairage local de VCN au moyen d'une passerelle DRG mise à niveau.
Ce scénario est disponible pour une passerelle DRG mise à niveau ou existante, à l'exception que les passerelles DRG existantes ne prennent pas en charge la connexion de passerelles DRG dans des locations différentes ou l'attachement de plusieurs réseaux en nuage virtuels. Voir Versions de passerelle DRG pour plus de détails sur les versions de la passerelle DRG.
Avant de mettre en oeuvre ce scénario, assurez-vous que :
- Le VCN A est attaché à la passerelle DRGA
- Le VCN B est attaché à la DRG B
- La configuration du routage dans les deux passerelles de routage dynamique utilise les tables de routage par défaut
- Les autorisations GIA appropriées s'appliquent aux réseaux en nuage virtuels qui se trouvent dans la même location ou dans des locations différentes.
Aperçu de l'appairage distant de réseaux en nuage virtuels
L'appairage distant de réseaux VCN est le processus de connexion de deux réseaux virtuels de régions différentes. L'appairage permet aux ressources des réseaux en nuage virtuels de communiquer à l'aide d'adresses IP privées sans acheminer le trafic sur Internet ou au moyen d'un réseau sur place. Les réseaux en nuage virtuels peuvent se trouver sur la même location Oracle Cloud Infrastructure ou sur des locations différentes. Sans appairage, un VCN aurait besoin d'une passerelle Internet et d'adresses IP publiques pour les instances qui doivent communiquer avec un autre VCN d'une autre région.
Sommaire des composants du service Réseau pour l'appairage distant
Au niveau supérieur, les composants requis du service Réseau pour un appairage distant sont les suivants :
-
Deux réseaux en nuage virtuels avec des blocs CIDR qui ne se chevauchent pas, dans différentes régions.
Note
Les blocs CIDR des réseaux VCN ne doivent pas se chevaucher
Les deux réseaux en nuage virtuels de la relation d'appairage ne peuvent pas avoir des CIDR qui se chevauchent. De plus, si un réseau VCN particulier a plusieurs relations d'appairage, ces autres réseaux en nuage virtuels ne peuvent pas avoir de blocs CIDR qui se chevauchent. Par exemple, si VCN-1 est appairé avec VCN-2 et VCN-3, les blocs CIDR de VCN-2 et de VCN-3 ne doivent pas se chevaucher.
Si vous configurez ce scénario, vous devez satisfaire à cette exigence à l'étape de planification. Des problèmes de routage risquent de se produire lorsque des blocs CIDR se chevauchent, mais les opérations de console ou d'API ne vous empêchent pas de créer une configuration qui en cause.
- Une passerelle de routage dynamique (DRG) associée à chaque VCN de la relation d'appairage. Un VCN dispose déjà d'une passerelle DRG si vous utilisez un tunnel RPV site à site IPSec ou un circuit virtuel privé Oracle Cloud Infrastructure FastConnect.
- Une connexion d'appairage distant sur chaque passerelle DRG de la relation d'appairage.
- Une connexion entre ces deux connexions d'appairage distant.
- Des règles de routage annexes pour permettre au trafic de circuler sur la connexion, uniquement depuis des sous-réseaux sélectionnés dans les réseaux VCN respectifs (le cas échéant) et vers ces sous-réseaux.
- Des règles de sécurité annexes permettant de contrôler les types de trafic autorisés vers et depuis des instances des sous-réseaux qui doivent communiquer avec l'autre réseau VCN.
Le diagramme suivant présente les composants.
Un VCN ne peut utiliser les connexions d'appairage distant que pour accéder aux cartes vNIC de l'autre VCN, ou un réseau sur place si la passerelle DRG est connectée à un réseau sur place. Par exemple, si VCN-1 du diagramme précédent avait une passerelle Internet, les instances de VCN-2 ne pourraient pas l'utiliser pour envoyer le trafic vers des points d'extrémité sur Internet. Pour plus d'informations, voir Implications importantes relatives à l'appairage.
Implications importantes relatives à l'appairage
Si vous ne l'avez pas encore fait, lisez Implications importantes relatives à l'appairage pour comprendre les conséquences de l'appairage des réseaux VCN sur le contrôle d'accès, la sécurité et la performance.
L'appairage des VCN dans différentes locations comporte des complications d'autorisation qui doivent être résolues dans les deux locations. Voir Politiques IAM pour le routage entre les réseaux en nuage virtuels pour plus de détails sur les autorisations requises.
Satellite à satellite : Appairage distant avec routage de transit (passerelles DRG existantes uniquement)
Le scénario mentionné dans cette section est toujours pris en charge, mais nous vous recommandons d'utiliser la méthode de routage de transit DRG décrite dans Routage du trafic au moyen d'un boîtier virtuel de réseau central.
Imaginez que dans chaque région vous ayez plusieurs réseaux en nuage virtuels dans une disposition en étoile, comme illustré dans le diagramme suivant. Ce type de disposition au sein d'une région est décrit dans Routage de transit dans un VCN central. Les réseaux en nuage virtuels satellites d'une région sont appairés localement au VCN central dans la même région, à l'aide de passerelles d'appairage local.
Vous pouvez configurer un appairage distant entre les deux réseaux VCN centraux. Vous pouvez ensuite configurer le routage de transit pour la passerelle DRG et les passerelles LPG du VCN central, tel qu'il est décrit dans Routage de transit dans un VCN central. Cette configuration permet à un VCN spoke dans une région de communiquer avec un ou plusieurs réseaux en nuage virtuels satellites dans l'autre région sans avoir besoin d'une connexion d'appairage distant directement entre ces réseaux en nuage virtuels.
Par exemple, vous pouvez configurer l'acheminement de sorte que les ressources de VCN-1-A peuvent communiquer avec les ressources de VCN-2-A et de VCN-2-B au moyen du VCN hub. De cette façon, le VCN 1-A n'a pas besoin d'avoir un appairage distant séparé avec chacun des réseaux en nuage virtuels satellites de l'autre région. Vous pouvez également configurer le routage de façon à ce que VCN-1-B puisse communiquer avec les VCN satellites de la région 2, sans leur être appairé à distance.
Satellite à satellite : Appairage distant avec routage de transit (passerelles DRG mises à niveau)
Le scénario de cette section utilise la méthode de routage du transit DRG décrite sous Routage du trafic à travers un dispositif virtuel de réseau central.
Imaginez que dans chaque région vous ayez plusieurs réseaux en nuage virtuels dans une disposition en étoile, comme illustré dans le diagramme suivant. Ce type de disposition au sein d'une région est décrit dans Routage de transit dans un VCN central. Les réseaux en nuage virtuels satellites de la région sont appairés localement à la paire DRG/VCN hub dans la même région par connexion mutuelle à la passerelle DRG.
Vous pouvez configurer un appairage distant entre deux réseaux en nuage virtuels de concentrateur. Vous pouvez ensuite également configurer le routage de transit pour la passerelle DRG du VCN central, comme indiqué sous Routage du trafic au moyen d'un boîtier virtuel de réseau central. Cette configuration permet à un VCN spoke dans une région de communiquer avec un ou plusieurs réseaux en nuage virtuels satellites dans l'autre région sans avoir besoin d'une connexion d'appairage distant directement entre ces réseaux en nuage virtuels.
Par exemple, vous pouvez configurer l'acheminement de sorte que les ressources de VCN-1-A peuvent communiquer avec les ressources de VCN-2-A et de VCN-2-B au moyen du VCN hub. De cette façon, le VCN 1-A n'a pas besoin d'avoir un appairage distant séparé avec chacun des réseaux en nuage virtuels satellites de l'autre région. Vous pouvez également configurer le routage de façon à ce que VCN-1-B puisse communiquer avec les VCN satellites de la région 2, sans leur être appairé à distance.
Concepts importants de l'appairage distant
Les concepts suivants vous aident à comprendre les fonctions de base de l'appairage de réseaux en nuage virtuel et comment établir un appairage distant.
- APPAIRAGE
- Un appairage consiste en une relation d'appairage unique entre deux réseaux en nuage virtuels. Exemple : si VCN-1 est appairé avec deux autres réseaux VCN, il existe deux appairages. L'adjectif distant d'appairage distant indique que les réseaux en nuage virtuels sont dans des régions différentes. Pour cette méthode d'appairage distant, les réseaux en nuage virtuels peuvent se trouver dans la même location ou dans des locations différentes.
- ADMINISTRATEURS DE RÉSEAU VCN
- En général, l'appairage de réseaux VCN ne peut se produire que si leurs deux administrateurs l'autorisent. En pratique, les deux administrateurs doivent :
- ACCEPTEUR ET DEMANDEUR
- Pour mettre en oeuvre les politiques IAM requises pour l'appairage, les deux administrateurs de réseau VCN doivent sélectionner un administrateur pour être le demandeur et l'autre pour être l'accepteur. Le demandeur doit lancer la demande de connexion des deux connexions d'appairage distant. À son tour, l'accepteur doit créer une politique IAM particulière qui donne au demandeur l'autorisation de se connecter aux connexions d'appairage distant dans le compartiment de l'accepteur. Sans cette politique, la demande de connexion du demandeur échoue.
- ABONNEMENT À UNE RÉGION
- Pour effectuer un appairage avec un réseau VCN d'une autre région, une location doit d'abord être abonnée à cette région. Pour plus d'informations sur l'abonnement, voir Gestion des régions.
- CONNEXION D'APPAIRAGE DISTANT (RPC)
- Une connexion d'appairage distant est un composant que vous avez créé sur la passerelle DRG attachée au VCN. La tâche de cette connexion est d'agir comme point de connexion pour un VCN appairé à distance. Lors de la configuration des réseaux VCN, chaque administrateur doit créer une passerelle DRG sur son VCN. Une passerelle DRG doit disposer d'une RPC distincte pour chaque appairage distant qu'elle établit pour le VCN. Pour continuer l'exemple précédent : la passerelle DRG de VCN-1 comporterait deux connexions pour l'appairage avec deux autres réseaux VCN. Dans l'API, l'objet RemotePeeringConnection contient les informations sur l'appairage. Vous ne pouvez pas réutiliser une connexion d'appairage distant pour établir un autre appairage.
- CONNEXION ENTRE DEUX CONNEXIONS D'APPAIRAGE DISTANT
- Lorsque le demandeur démarre la demande d'appairage (dans la console ou l'API), il demande en fait la connexion de deux RPV. Le demandeur doit disposer d'informations pour identifier chaque RPC (comme sa région et son OCID ).
- ROUTAGE VERS LA PASSERELLE DRG
- Lors de la configuration des réseaux VCN, chaque administrateur doit mettre à jour leur routage pour permettre le trafic entre eux. Vous mettez à jour la table de routage de tous les sous-réseaux qui doivent communiquer avec l'autre VCN. La règle de routage spécifie le CIDR du trafic de destination et définit la passerelle DRG comme cible. La passerelle DRG dirige le trafic vers l'autre DRG, qui à son tour dirige le trafic vers le saut suivant dans l'autre VCN.
-
Légende 1 : Table de routage de Subnet A CIDR de destination Cible de routage 0.0.0.0/0 Passerelle Internet 192.168.0.0/16 DRG-1 Légende 2 : Table de routage de Subnet X CIDR de destination Cible de routage 10.0.0.0/16 DRG-2 - RÈGLES DE SÉCURITÉ
- Chaque sous-réseau d'un VCN comporte une ou plusieurs listes de sécurité qui contrôlent le trafic entrant et sortant des cartes vNIC du sous-réseau au niveau du paquet. Vous pouvez utiliser des listes de sécurité pour contrôler le type de trafic autorisé avec l'autre VCN. Dans le cadre de la configuration des réseaux en nuage virtuels, chaque administrateur doit décider quels sous-réseaux de son propre VCN doivent communiquer avec les cartes vNIC de l'autre VCN et mettre à jour les listes de sécurité de leur sous-réseau de manière appropriée.
Implications importantes relatives à l'appairage
Si vous ne l'avez pas encore fait, lisez Implications importantes relatives à l'appairage pour comprendre les conséquences de l'appairage des réseaux VCN sur le contrôle d'accès, la sécurité et la performance.
Configuration de l'appairage distant
Cette section décrit le processus général de configuration de l'appairage entre deux réseaux en nuage virtuels dans des régions différentes.
La procédure suivante suppose que :
- La location est abonnée à la région de l'autre VCN. Si ce n'est pas le cas, voir Gestion des régions.
- Vous avez déjà un VCN attaché à la passerelle DRG. Si ce n'est pas le cas, voir Routage dynamique des passerelles.
- Vous avez déjà configuré les politiques IAM requises pour la connexion. Les politiques GIA pour l'appairage distant dans la même location et entre locations sont différentes. Voir Politiques IAM pour le routage entre les réseaux en nuage virtuels
Aperçu des étapes requises :
- Créer les connexions d'appairage distant : chaque administrateur crée une connexion d'appairage distant pour la passerelle DRG de son propre réseau VCN.
- Partager les informations : Les administrateurs partagent les informations de base requises.
- Établir la connexion : le demandeur relie les deux connexions d'appairage distant (voir Concepts importants de l'appairage distant pour la définition du demandeur et de l'accepteur).
- Modifier les tables de routage : Chaque administrateur met à jour les tables de routage de son VCN pour permettre le trafic entre les réseaux appairés, comme prévu.
- Mettre à jour les règles de sécurité : Chaque administrateur met à jour les règles de sécurité de son VCN pour permettre le trafic entre les réseaux appairés.
Si vous le souhaitez, les administrateurs peuvent effectuer les tâches 4 et 5 avant d'établir la connexion. Chaque administrateur doit connaître le bloc CIDR ou des sous-réseaux spécifiques du VCN de son pair et partager ces informations dans la tâche 2.
Chaque administrateur crée une connexion d'appairage distant pour la passerelle DRG de son propre réseau VCN. "Vous" dans la procédure suivante signifie un administrateur (accepteur ou demandeur).
Politique GIA requise pour créer des connexions d'appairage distant
Si les administrateurs disposent déjà d'autorisations d'administration de réseau larges (voir Permettre aux administrateurs de réseau de gérer un réseau en nuage), ils sont autorisés à créer, mettre à jour et supprimer des connexions d'appairage distant. Sinon, voici un exemple de politique fournissant les autorisations nécessaires à un groupe appelé RPCAdmins. Le deuxième énoncé est obligatoire, car la création d'une connexion d'appairage distant a une incidence sur la passerelle DRG à laquelle elle appartient, l'administrateur doit donc avoir l'autorisation de gérer les DRG.
Allow group RPCAdmins to manage remote-peering-connections in tenancy
Allow group RPCAdmins to manage drgs in tenancy
- Dans la console, confirmez que vous consultez le compartiment contenant la DRG à laquelle vous voulez ajouter la connexion d'appairage distant. Pour plus d'informations sur les compartiments et le contrôle d'accès, voir Contrôle de l'accès.
- Ouvrez le menu de navigation et sélectionnez Service de réseau. Sous Connectivité client, sélectionnez Passerelle de routage dynamique.
- Sélectionnez la passerelle DRG qui vous intéresse.
- Sous Ressources, sélectionnez Attachements de connexion d'appairage distant.
- Sélectionnez Créer une connexion d'appairage distant.
-
Entrez les informations suivantes :
- Nom : Nom convivial pour la connexion d'appairage distant. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
- Créer dans le compartiment : Compartiment dans lequel vous voulez créer la connexion d'application, si elle est différente de votre compartiment de travail.
-
Sélectionnez Créer une connexion d'appairage distant.
La connexion d'appairage distant est créée et affichée dans la page Connexions d'appairage distant dans le compartiment que vous avez sélectionné.
- Si vous êtes l'accepteur, enregistrez la région de la connexion d'appairage distant et l'OCID pour les donner ultérieurement au demandeur.
- Si les deux réseaux en nuage virtuels se trouvent dans des locations différentes, enregistrez leur OCID (figurant au bas de la page de la console). Donnez l'OCID à l'autre administrateur plus tard.
Cette tâche est propre à une connexion interlocation. Si la connexion se trouve dans la même location, vous pouvez passer à la tâche suivante.
-
Si vous êtes l'accepteur, fournissez les informations suivantes au demandeur (par courriel ou autre méthode hors bande) :
- La région dans laquelle se trouve le VCN (la location du demandeur doit être abonnée à cette région).
- OCID de la connexion d'appairage distant.
- Les blocs CIDR des sous-réseaux du VCN que vous voulez mettre à la disposition de l'autre VCN. Le demandeur a besoin de ces informations lors de la configuration du routage de son VCN.
- Si les réseaux en nuage virtuels se trouvent dans des locations différentes : l'OCID de la location de l'accepteur.
-
Si vous êtes le demandeur, fournissez les informations suivantes à l'accepteur :
- La région dans laquelle se trouve le VCN (la location de l'accepteur doit être abonnée à cette région).
- Si les réseaux en nuage virtuels se trouvent dans la même location : Le nom du groupe IAM a obtenu l'autorisation de créer une connexion dans le compartiment de l'accepteur.
- Si les réseaux en nuage virtuels se trouvent dans des locations différentes : l'OCID de la location du demandeur.
- Les blocs CIDR des sous-réseaux du VCN que vous voulez mettre à la disposition de l'autre VCN. L'accepteur a besoin de ces informations lors de la configuration du routage pour son VCN.
Le demandeur doit effectuer cette tâche.
Préalable : Le demandeur doit connaître :
- La région dans laquelle se trouve le VCN de l'accepteur (la location du demandeur doit être abonnée à cette région).
- L'OCID de la connexion d'appairage distant de l'accepteur.
- L'OCID de la location de l'accepteur (seulement si le VCN de celui-ci se trouve dans une location différente).
Voir les instructions sous Connexion de deux connexions d'appairage distant. D'autres tâches impliquant des connexions d'appairage distant sont expliquées dans Gestion de l'appairage distant.
Comme mentionné ci-dessus, chaque administrateur peut effectuer cette tâche avant ou après l'établissement de la connexion.
Conditions requises : Chaque administrateur doit connaître le bloc CIDR ou les sous-réseaux spécifiques de l'autre VCN.
Pour chaque VCN, déterminez les sous-réseaux du VCN local qui doivent communiquer avec l'autre VCN. Ensuite, mettez à jour la table de routage pour chaque sous-réseau afin d'inclure une nouvelle règle qui dirige le trafic destiné à l'autre VCN vers la passerelle DRG locale. Voir Mise à jour des règles d'une table de routage de VCN et ajouter une règle de routage qui utilise les paramètres suivants :
- Type de cible : Passerelle de routage dynamique. La passerelle DRG attachée au réseau VCN est automatiquement sélectionnée en tant que cible et vous n'avez pas besoin de définir cette dernière.
- Bloc CIDR de destination : Le bloc CIDR de l'autre VCN. L'exemple utilise des réseaux en nuage virtuels avec 10.0.0.0/16 et 192.68.0.0/16. Si vous le souhaitez, vous pouvez spécifier un sous-réseau ou un sous-ensemble particulier du bloc CIDR du VCN appairé.
- Description : Description facultative de la règle.
Tout trafic de sous-réseau avec une destination correspondant à la règle est dirigé vers la passerelle DRG locale. Pour plus d'informations sur la configuration des règles de routage, voir Tables de routage de VCN.
Sans le routage requis, le trafic ne circule pas entre les passerelles DRG appairées. Si vous avez besoin d'arrêter temporairement l'appairage, vous pouvez supprimer les règles de routage qui favorisent le trafic. Il n'est pas nécessaire de supprimer les connexions d'appairage distant.
Comme mentionné ci-dessus, chaque administrateur peut effectuer cette tâche avant ou après l'établissement de la connexion.
Préalable : Chaque administrateur doit connaître le bloc CIDR ou les sous-réseaux spécifiques de l'autre VCN. En général, utilisez le bloc CIDR que vous avez utilisé pour la règle de table de routage dans Tâche D : Configurer les tables de routage.
Nous vous recommandons d'ajouter les règles suivantes :
- Règles de trafic entrant pour les types de trafic que vous voulez autoriser à partir du CIDR de l'autre VCN ou de sous-réseaux spécifiques. L'exemple utilise des réseaux en nuage virtuels avec 10.0.0.0/16 et 192.68.0.0/16.
- Règle de trafic sortant pour autoriser le trafic sortant du VCN local vers l'autre VCN. Si le sous-réseau a déjà une règle de trafic sortant large pour tous les types de protocole vers toutes les destinations (0.0.0.0/0), vous n'avez pas besoin d'ajouter de règle spéciale pour l'autre VCN.
La procédure suivante utilise des listes de sécurité, mais vous pouvez également mettre en oeuvre des règles de sécurité dans un groupe de sécurité de réseau, puis créer les ressources du sous-réseau dans ce groupe NSG.
Pour chaque VCN, déterminez les sous-réseaux du VCN local qui doivent communiquer avec l'autre VCN. Ensuite, mettez à jour la liste de sécurité de chaque sous-réseau pour inclure des règles autorisant le trafic sortant ou entrant voulu avec le bloc CIDR ou un sous-réseau de l'autre VCN. Voir Mise à jour des règles dans une liste de sécurité et Création d'une liste de sécurité (pour plus de détails sur les options disponibles pour les règles de sécurité).
Pour des informations générales sur les règles de sécurité, voir Règles de sécurité.