Appairage distant de VCN au moyen d'une passerelle DRG mise à niveau
Cette rubrique décrit l'appairage distant de réseaux en nuage virtuels.
Dans ce cas, distant signifie que chacun des réseaux en nuage virtuels est attaché à une passerelle de routage dynamique (DRG) différente qui réside dans une autre région. Si les réseaux en nuage virtuels que vous voulez connecter se trouvent dans la même région, voir Appairage local de VCN au moyen d'une passerelle DRG mise à niveau.
Ce scénario est disponible pour une passerelle DRG mise à niveau ou existante, bien que les passerelles DRG existantes ne prennent pas en charge la connexion de passerelles DRG dans des locations différentes. Voir Versions de passerelle DRG pour une description des versions possibles de DRG.
Avant de tenter de mettre en oeuvre ce scénario, assurez-vous que :
- Le VCN A est attaché à la passerelle DRG A dans la région 1
- Le VCN B est attaché à la DRG B dans la région 2
- La configuration de routage dans les deux passerelles de routage dynamique n'a pas été modifiée
- Les autorisations GIA appropriées s'appliquent aux réseaux en nuage virtuels qui se trouvent dans la même location ou dans des locations différentes.
Aperçu de l'appairage distant de réseaux en nuage virtuels
L'appairage distant de réseaux en nuage virtuels est le processus qui consiste à connecter deux réseaux VCN de régions différentes. L'appairage permet aux ressources de réseaux VCN de communiquer à l'aide d'adresses IP privées sans que le trafic passe par Internet ni par votre réseau sur place. Les réseaux en nuage virtuels peuvent se trouver sur la même location Oracle Cloud Infrastructure ou sur des locations différentes. Sans appairage, un réseau en nuage virtuel aurait besoin d'une passerelle Internet et d'adresses IP publiques pour les instances qui doivent communiquer avec un autre réseau VCN d'une région différente.
Sommaire des composants du service Réseau pour l'appairage distant
Au niveau supérieur, les composants requis du service Réseau pour un appairage distant sont les suivants :
-
Deux réseaux en nuage virtuels de régions différentes et dont les blocs CIDR ne se chevauchent pas
Note
Les blocs CIDR des réseaux VCN ne doivent pas se chevaucher
Les blocs CIDR des deux réseaux VCN de la relation d'appairage ne doivent pas se chevaucher. De plus, si un réseau VCN particulier comporte plusieurs relations d'appairage, les blocs CIDR de ces autres VCN ne doivent pas se chevaucher non plus. Par exemple, si VCN-1 est appairé avec VCN-2 et VCN-3, les blocs CIDR de VCN-2 et de VCN-3 ne doivent pas se chevaucher.
Si vous configurez ce scénario, vous devez satisfaire à cette exigence lors de l'étape de planification. Des problèmes de routage risquent de se produire lorsque des blocs CIDR se chevauchent, mais les opérations de console ou d'API ne vous empêchent pas de créer une configuration qui en cause.
- Une passerelle de routage dynamique (DRG) associée à chaque VCN de la relation d'appairage. Votre VCN dispose déjà d'une passerelle DRG si vous utilisez un tunnel IPSec RPV site à site ou un circuit virtuel privé Oracle Cloud Infrastructure FastConnect.
- Une connexion d'appairage distant sur chaque passerelle DRG de la relation d'appairage.
- Une connexion entre ces deux connexions d'appairage distant.
- Des règles de routage annexes pour permettre au trafic de circuler sur la connexion, uniquement depuis des sous-réseaux sélectionnés dans les réseaux VCN respectifs (le cas échéant) et vers ces sous-réseaux.
- Des règles de sécurité annexes permettant de contrôler les types de trafic autorisés vers et depuis des instances des sous-réseaux qui doivent communiquer avec l'autre réseau VCN.
Le diagramme suivant présente les composants.
Un VCN donné peut utiliser les connexions d'appairage distant actives pour joindre uniquement les cartes vNIC de l'autre VCN, ou votre réseau sur place si la passerelle DRG est connectée à un CPE sur place. Par exemple, si VCN-1 du diagramme précédent disposait d'une passerelle Internet, les instances de VCN-2 NE POURRAIENT PAS l'utiliser pour envoyer le trafic vers des points d'extrémité sur Internet. Pour plus d'informations, voir Implications importantes relatives à l'appairage.
Implications importantes relatives à l'appairage
Si vous ne l'avez pas encore fait, lisez Implications importantes relatives à l'appairage pour comprendre les conséquences de l'appairage des réseaux VCN sur le contrôle d'accès, la sécurité et la performance.
L'appairage des VCN dans différentes locations comporte des complications d'autorisation qui doivent être résolues dans les deux locations. Voir Politiques IAM pour le routage entre les réseaux en nuage virtuels pour plus de détails sur les autorisations nécessaires.
Satellite à satellite : Appairage distant avec routage de transit (passerelles DRG existantes uniquement)
Le scénario mentionné dans cette section est toujours pris en charge, mais Oracle vous recommande d'utiliser la méthode de routage de transit DRG décrite sous Routage du trafic à travers un boîtier virtuel de réseau central.
Imaginez que vous avez dans chaque région plusieurs VCN dans une disposition en étoile, comme illustré dans le diagramme suivant. Ce type de disposition au sein d'une région est décrit dans Routage de transit dans un VCN central. Les VCN satellites d'une région donnée sont appairés localement avec le VCN central de la même région, à l'aide des passerelles d'appairage local .
Vous pouvez configurer un appairage distant entre les deux réseaux VCN centraux. Vous pouvez ensuite configurer le routage de transit pour la passerelle DRG et les passerelles LPG du VCN central, tel qu'il est décrit dans Routage de transit dans un VCN central. Cette configuration permet à un VCN satellite dans une région de communiquer avec un ou plusieurs VCN satellites dans l'autre région sans recourir à une connexion d'appairage distant directement entre ces VCN.
Par exemple, vous pouvez configurer l'acheminement de sorte que les ressources de VCN-1-A peuvent communiquer avec les ressources de VCN-2-A et de VCN-2-B au moyen du VCN hub. Ainsi, VCN 1-A n'est pas requis pour disposer d'un appairage distant distinct avec chaque VCN satellite dans l'autre région. Vous pouvez également configurer le routage de façon à ce que VCN-1-B puisse communiquer avec les VCN satellites de la région 2, sans leur être appairé à distance.
Satellite à satellite : Appairage distant avec routage de transit (passerelles DRG mises à niveau)
Le scénario de cette section utilise la méthode de routage du transit DRG décrite sous Routage du trafic à travers un dispositif virtuel de réseau central.
Imaginez que vous avez dans chaque région plusieurs VCN dans une disposition en étoile, comme illustré dans le diagramme suivant. Ce type de disposition au sein d'une région est décrit dans Routage de transit dans un VCN central. Les VCN satellites d'une région donnée sont appairés localement à la paire DRG/VCN centrale de la même région par connexion mutuelle à la passerelle DRG.
Vous pouvez configurer un appairage distant entre les deux réseaux VCN centraux. Vous pouvez ensuite également configurer le routage de transit pour la passerelle DRG du VCN central, comme indiqué sous Routage du trafic à travers un dispositif virtuel de réseau central. Cette configuration permet à un VCN satellite dans une région de communiquer avec un ou plusieurs VCN satellites dans l'autre région sans recourir à une connexion d'appairage distant directement entre ces VCN.
Par exemple, vous pouvez configurer l'acheminement de sorte que les ressources de VCN-1-A peuvent communiquer avec les ressources de VCN-2-A et de VCN-2-B au moyen du VCN hub. Ainsi, VCN 1-A n'est pas requis pour disposer d'un appairage distant distinct avec chaque VCN satellite dans l'autre région. Vous pouvez également configurer le routage de façon à ce que VCN-1-B puisse communiquer avec les VCN satellites de la région 2, sans leur être appairé à distance.
Concepts importants de l'appairage distant
Les concepts suivants vous aident à comprendre les fonctions de base de l'appairage de réseaux en nuage virtuel et comment établir un appairage distant.
- APPAIRAGE
- Un appairage consiste en une relation d'appairage unique entre deux réseaux en nuage virtuels. Exemple : si VCN-1 est appairé avec deux autres réseaux VCN, il existe deux appairages. L'adjectif distant du terme appairage distant indique que les réseaux en nuage virtuels sont dans des régions différentes. Pour cette méthode d'appairage distant, les réseaux en nuage virtuels peuvent se trouver dans la même location ou dans des locations différentes.
- ADMINISTRATEURS DE RÉSEAU VCN
- En général, l'appairage de réseaux VCN ne peut se produire que si leurs deux administrateurs l'autorisent. En pratique, les deux administrateurs doivent :
- ACCEPTEUR ET DEMANDEUR
- Pour mettre en oeuvre les politiques GIA requises pour l'appairage, les deux administrateurs de réseau VCN doivent désigner un demandeur et un accepteur entre eux. Le demandeur doit lancer la demande de connexion des deux connexions d'appairage distant. À son tour, l'accepteur doit créer une politique GIA particulière pour autoriser le demandeur à se connecter aux connexions d'appairage distant dans le compartiment de l'accepteur. Sans cette politique, la demande de connexion du demandeur échoue.
- ABONNEMENT À UNE RÉGION
- Pour effectuer un appairage avec un réseau VCN d'une autre région, votre location doit d'abord être abonnée à cette région. Pour plus d'informations sur l'abonnement, voir Gestion des régions.
- CONNEXION D'APPAIRAGE DISTANT (RPC)
- Une connexion d'appairage distant est un composant que vous avez créé sur la passerelle DRG attachée à votre VCN. La tâche de cette connexion est d'agir comme point de connexion pour un VCN appairé à distance. Lors de la configuration des réseaux VCN, chaque administrateur doit créer une passerelle DRG sur son VCN. Une passerelle DRG doit avoir une RPC distincte pour chaque appairage distant qu'elle établit pour le VCN. Pour continuer l'exemple précédent : la passerelle DRG de VCN-1 comporterait deux connexions pour l'appairage avec deux autres réseaux VCN. Dans l'API, l'objet RemotePeeringConnection contient les informations sur l'appairage. Vous ne pouvez pas réutiliser une connexion d'appairage distant pour établir un autre appairage.
- CONNEXION ENTRE DEUX CONNEXIONS D'APPAIRAGE DISTANT
- Lorsque le demandeur lance la demande d'appairage (dans la console ou l'API), il demande en fait la connexion de deux connexions d'appairage distant. Le demandeur doit disposer d'informations pour identifier chaque RPC (comme sa région et son OCID ).
- ROUTAGE VERS LA PASSERELLE DRG
- Lors de la configuration des réseaux VCN, chaque administrateur doit mettre à jour leur routage pour permettre le trafic entre eux. Vous mettez à jour la table de routage de tous les sous-réseaux qui doivent communiquer avec l'autre VCN. La règle de routage spécifie le CIDR du trafic de destination et définit votre passerelle DRG comme cible. Votre passerelle DRG dirige le trafic correspondant à cette règle vers l'autre DRG, qui à son tour envoie le trafic vers le saut suivant dans l'autre VCN.
-
Légende 1 : Table de routage de Subnet A CIDR de destination Cible de routage 0.0.0.0/0 Passerelle Internet 192.168.0.0/16 DRG-1 Légende 2 : Table de routage de Subnet X CIDR de destination Cible de routage 10.0.0.0/16 DRG-2 - RÈGLES DE SÉCURITÉ
- Chaque sous-réseau d'un VCN comporte une ou plusieurs listes de sécurité qui contrôlent le trafic entrant et sortant des cartes vNIC du sous-réseau au niveau du paquet. Vous pouvez utiliser des listes de sécurité pour contrôler le type de trafic autorisé avec l'autre VCN. Dans le cadre de la configuration des réseaux VCN, chaque administrateur doit déterminer quels sous-réseaux de son VCN doivent communiquer avec les cartes vNIC dans l'autre VCN et mettre à jour les listes de sécurité de son sous-réseau en conséquence.
Implications importantes relatives à l'appairage
Si vous ne l'avez pas encore fait, lisez Implications importantes relatives à l'appairage pour comprendre les conséquences de l'appairage des réseaux VCN sur le contrôle d'accès, la sécurité et la performance.
Configuration d'un appairage distant
Cette section décrit le processus général de configuration d'un appairage entre deux réseaux en nuage virtuels dans des régions différentes.
La procédure suivante suppose que :
- Votre location est abonnée à la région de l'autre VCN. Si ce n'est pas le cas, voir Gestion des régions.
- Votre passerelle DRG est déjà associée à un VCN. Si ce n'est pas le cas, voir Passerelles de routage dynamique.
- Vous avez déjà configuré les politiques GIA requises pour la connexion. Les politiques GIA pour l'appairage distant dans la même location et entre locations sont différentes. Voir Politiques IAM pour le routage entre les réseaux en nuage virtuels
Aperçu des étapes requises :
- Créer les connexions d'appairage distant : chaque administrateur crée une connexion d'appairage distant pour la passerelle DRG de son propre réseau VCN.
- Partager les informations : Les administrateurs partagent les informations de base requises.
- Établir la connexion : le demandeur relie les deux connexions d'appairage distant (voir Concepts importants de l'appairage distant pour la définition du demandeur et de l'accepteur).
- Mettre à jour les tables de routage : Chaque administrateur met à jour les tables de routage de son VCN pour permettre le trafic entre les réseaux appairés, comme prévu.
- Mettre à jour les règles de sécurité : Chaque administrateur met à jour les règles de sécurité de son VCN pour permettre le trafic entre les réseaux appairés, comme prévu.
Si vous le souhaitez, les administrateurs peuvent effectuer les tâches 4 et 5 avant d'établir la connexion. Chaque administrateur doit connaître le bloc CIDR ou des sous-réseaux spécifiques du VCN de son pair et partager ces informations dans la tâche 2.
Chaque administrateur crée une connexion d'appairage distant pour la passerelle DRG de son propre réseau VCN. "Vous" dans la procédure suivante signifie un administrateur (accepteur ou demandeur).
Politique GIA requise pour créer des connexions d'appairage distant
Si les administrateurs disposent déjà d'autorisations d'administration de réseau larges (voir Permettre aux administrateurs de réseau de gérer un réseau en nuage), ils sont autorisés à créer, mettre à jour et supprimer des connexions d'appairage distant. Sinon, voici un exemple de politique fournissant les autorisations nécessaires à un groupe appelé RPCAdmins. Le deuxième énoncé est obligatoire, car la création d'une connexion d'appairage distant a une incidence sur la passerelle DRG à laquelle elle appartient, l'administrateur doit donc avoir l'autorisation de gérer les DRG.
Allow group RPCAdmins to manage remote-peering-connections in tenancy
Allow group RPCAdmins to manage drgs in tenancy
- Dans la console, confirmez que vous consultez le compartiment contenant la DRG à laquelle vous voulez ajouter la connexion d'appairage distant. Pour plus d'informations sur les compartiments et le contrôle d'accès, voir Contrôle de l'accès.
- Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur Passerelle de routage dynamique.
- Cliquez sur la passerelle DRG qui vous intéresse.
- Sous Ressources, cliquez sur Attachements de connexion d'appairage distant.
- Cliquez sur Créer une connexion d'appairage distant.
-
Entrez les informations suivantes :
- Nom : Nom convivial pour la connexion d'appairage distant. Il n'est pas nécessaire que ce nom soit unique. Il ne pourra pas être modifié plus tard dans la console (mais pourra l'être avec l'API). Évitez d'entrer des informations confidentielles.
- Créer dans le compartiment : compartiment dans lequel vous souhaitez créer la connexion d'appairage distant, s'il est différent de votre compartiment de travail actuel.
-
Cliquez sur Créer une connexion d'appairage distant.
La connexion d'appairage distant est créée et affichée dans la page Connexions d'appairage distant dans le compartiment que vous avez sélectionné.
- Si vous êtes l'accepteur, enregistrez la région de la connexion d'appairage distant et l'OCID pour les donner ultérieurement au demandeur.
- Si les deux réseaux en nuage virtuels se trouvent dans des locations différentes, enregistrez l'OCID de votre location (figurant au bas de la page de la console). Donnez l'OCID à l'autre administrateur plus tard.
Cette tâche est propre à une connexion interlocation. Si votre connexion se trouve dans la même location, vous pouvez passer à la tâche suivante.
-
Si vous êtes l'accepteur, fournissez les informations suivantes au demandeur (par courriel ou autre méthode hors bande) :
- La région dans laquelle se trouve votre VCN (la location du demandeur doit être abonnée à cette région).
- L'OCID de votre connexion d'appairage distant.
- Les blocs CIDR des sous-réseaux de votre VCN que vous voulez mettre à la disposition de l'autre VCN. Le demandeur a besoin de ces informations lors de la configuration du routage de son VCN.
- Si les réseaux en nuage virtuels se trouvent dans des locations différentes : l'OCID de votre location.
-
Si vous êtes le demandeur, fournissez les informations suivantes à l'accepteur :
- La région dans laquelle se trouve votre VCN (la location du demandeur doit être abonnée à cette région).
- Si les réseaux VCN se trouvent dans la même location : Nom du groupe GIA qui sera autorisé à créer une connexion dans le compartiment de l'accepteur (dans l'exemple de la tâche suivante, il s'agit du groupe RequestorGrp).
- Si les réseaux en nuage virtuels se trouvent dans des locations différentes : l'OCID de votre location.
- Les blocs CIDR des sous-réseaux de votre VCN que vous voulez mettre à la disposition de l'autre VCN. L'accepteur a besoin de ces informations lors de la configuration du routage pour son VCN.
Le demandeur doit effectuer cette tâche.
Préalable : Le demandeur doit connaître :
- La région dans laquelle se trouve le VCN de l'accepteur (la location du demandeur doit être abonnée à cette région).
- L'OCID de la connexion d'appairage distant de l'accepteur.
- L'OCID de la location de l'accepteur (seulement si le VCN de celui-ci se trouve dans une location différente).
- Dans la console, confirmez que vous consultez le compartiment contenant la DRG à laquelle vous voulez ajouter la connexion d'appairage distant. Pour plus d'informations sur les compartiments et le contrôle d'accès, voir Contrôle de l'accès.
- Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur Passerelle de routage dynamique.
- Cliquez sur la passerelle DRG qui vous intéresse.
- Sous Ressources, cliquez sur Connexions d'appairage distant.
- Consultez les détails de la connexion d'appairage distant du demandeur que vous voulez connecter à celle de l'accepteur. Pour ce faire, cliquez sur le nom de la connexion d'appairage distant dans la colonne Connexion d'appairage distant correspondant à l'attachement de connexion d'appairage distant que vous avez créé dans la tâche A.Note
S'il s'agit d'une connexion d'appairage distant dans la même location, le fait que la connexion soit établie à partir du demandeur ou de l'accepteur n'a pas d'importance. - Cliquez sur Établir la connexion.
-
Entrez les informations suivantes :
- Région : région qui contient le VCN de l'accepteur. La liste n'inclut que les régions qui prennent en charge l'appairage distant des réseaux VCN et auxquelles votre location est abonnée.
- OCID de la connexion d'appairage distant : OCID de la connexion d'appairage distant de l'accepteur.
-
Cliquez sur Établir la connexion.
La connexion est établie et le statut de la connexion d'appairage distant devient APPAIRÉ.
Comme mentionné ci-dessus, chaque administrateur peut effectuer cette tâche avant ou après l'établissement de la connexion.
Préalable : Chaque administrateur doit connaître le bloc CIDR ou les sous-réseaux spécifiques de l'autre VCN.
Pour votre propre réseau VCN :
- Déterminez quels sous-réseaux de votre VCN doivent communiquer avec l'autre VCN.
-
Mettez à jour la table de routage pour chacun de ces sous-réseaux afin d'inclure une nouvelle règle qui dirige le trafic destiné à l'autre VCN vers votre passerelle DRG :
- Ouvrez le menu de navigation, cliquez sur Réseau, puis sur Réseaux en nuage virtuels.
- Cliquez sur le réseau VCN qui vous intéresse.
- Sous Ressources, cliquez sur Tables de routage.
- Cliquez sur la table de routage qui vous intéresse.
-
Cliquez sur Ajouter une règle de routage et entrez les données suivantes :
- Type de cible : Passerelle de routage dynamique. La passerelle DRG attachée au réseau VCN est automatiquement sélectionnée en tant que cible et vous n'avez pas besoin de définir cette dernière.
- Bloc CIDR de destination : Le bloc CIDR de l'autre VCN. Si vous le souhaitez, vous pouvez spécifier un sous-réseau ou un sous-ensemble particulier du bloc CIDR du VCN appairé.
- Description : Description facultative de la règle.
- Cliquez sur Ajouter une règle de routage.
Tout le trafic de sous-réseau dont la destination correspond à la règle est acheminé vers votre passerelle DRG. Pour plus d'informations sur la configuration des règles de routage, voir Tables de routage de VCN.
Sans le routage requis, le trafic ne circule pas entre les passerelles DRG appairées. Si vous avez besoin d'arrêter temporairement l'appairage, il vous suffit de supprimer les règles de routage qui régulent le trafic. Il n'est pas nécessaire de supprimer les connexions d'appairage distant.
Comme mentionné ci-dessus, chaque administrateur peut effectuer cette tâche avant ou après l'établissement de la connexion.
Préalable : Chaque administrateur doit connaître le bloc CIDR ou les sous-réseaux spécifiques de l'autre VCN. En général, reprenez le bloc CIDR que vous avez utilisé pour la règle de table de routage dans Tâche E : Configurer les tables de routage.
Quelles règles pouvez-vous ajouter?
- Des règles de trafic entrant pour les types de trafic que vous voulez autoriser depuis l'autre VCN, depuis le CIDR ou des sous-réseaux spécifiques de celui-ci.
- Une règle de trafic sortant autorisant le trafic sortant de votre VCN vers l'autre. Si le sous-réseau a déjà une règle de trafic sortant large pour tous les types de protocole vers toutes les destinations (0.0.0.0/0), vous n'avez pas besoin d'ajouter de règle spéciale pour l'autre VCN.
La procédure suivante utilise des listes de sécurité, mais vous pouvez également mettre en oeuvre des règles de sécurité dans un groupe de sécurité de réseau, puis créer les ressources du sous-réseau dans ce groupe NSG.
Pour votre propre réseau VCN :
- Déterminez quels sous-réseaux de votre VCN doivent communiquer avec l'autre VCN.
-
Mettez à jour la liste de sécurité de chacun des sous-réseaux afin d'inclure les règles autorisant le trafic sortant ou entrant voulu spécifiquement avec le bloc CIDR ou un sous-réseau de l'autre VCN :
- Dans la console, lorsque vous consultez le réseau VCN qui vous intéresse, cliquez sur Listes de sécurité.
- Cliquez sur la liste de sécurité qui vous intéresse.
- Sous Ressources, cliquez sur Règles de trafic entrant ou sur Règles de trafic sortant selon le type de règle avec lequel vous voulez travailler.
-
Pour ajouter une règle, cliquez sur Ajouter une règle de trafic entrant (ou sur Ajouter une règle de trafic sortant).
- Pour supprimer une règle, cliquez sur le menu Actions (
), puis sur Supprimer. - Pour modifier une règle, cliquez sur le menu Actions (), puis sur Modifier.
Pour plus d'informations sur les règles de sécurité, voir Règles de sécurité.