Documentation sur Oracle Cloud Infrastructure

Accès direct distant

Le scénario d'accès direct distant montre comment permettre à votre réseau sur place d'accéder à deux réseaux en nuage virtuels (VCN) ou plus au moyen d'un seul circuit virtuel FastConnect ou d'une connexion IPSec RPV site à site, même si les réseaux en nuage virtuels se trouvent dans des régions ou des locations différentes.

Aperçu

Dans ce scénario, la connectivité est établie entre des VCN et le réseau sur place, mais pas entre VCN. Ce choix de politique d'acheminement est mis en oeuvre en configurant les tables de routage de la passerelle de routage dynamique  (DRG). À part cela, ce scénario ressemble à l'appairage distant.

Ce scénario n'est disponible que pour une passerelle DRG mise à niveau.

Sommaire des composants du service Réseau pour une voie d'accès unique

Au niveau supérieur, les composants du service Réseau requis pour une voie d'accès unique :

  • Deux réseaux en nuage virtuels de régions différentes et dont les blocs CIDR ne se chevauchent pas

    Note

    Les blocs CIDR des réseaux VCN ne doivent pas se chevaucher

    Les blocs CIDR des deux réseaux VCN de la relation d'appairage ne doivent pas se chevaucher. De plus, si un réseau VCN particulier comporte plusieurs relations d'appairage, les blocs CIDR de ces autres VCN ne doivent pas se chevaucher non plus. Par exemple, si VCN-1 est appairé avec VCN-2 et VCN-3, les blocs CIDR de VCN-2 et de VCN-3 ne doivent pas se chevaucher.

    Si vous configurez ce scénario, vous devez satisfaire à cette exigence lors de l'étape de planification. Des problèmes de routage risquent de se produire lorsque des blocs CIDR se chevauchent, mais les opérations de console ou d'API ne vous empêchent pas de créer une configuration qui en cause.

  • Une passerelle de routage dynamique (DRG) associée à chaque VCN de la relation d'appairage. Votre VCN dispose déjà d'une passerelle DRG si vous utilisez RPV site à site ou un circuit virtuel privé Oracle Cloud Infrastructure FastConnect.
  • Deux tables de routage DRG personnalisées : une pour acheminer le trafic vers les réseaux en nuage virtuels et l'autre, vers le réseau sur place. Les tables de routage DRG par défaut (une pour les attachements de VCN locaux et une pour tous les autres attachements) ne sont pas utilisées une fois la configuration terminée.
  • Une connexion d'appairage distant sur chaque passerelle DRG de la relation d'appairage.
  • Une connexion d'appairage distant établie entre ces deux connexions d'appairage distant.
  • Des règles de routage annexes pour permettre au trafic de circuler sur la connexion, uniquement depuis des sous-réseaux sélectionnés dans les réseaux VCN respectifs (le cas échéant) et vers ces sous-réseaux.
  • Des règles de sécurité annexes permettant de contrôler les types de trafic autorisés vers et depuis des instances des sous-réseaux qui doivent communiquer avec l'autre réseau VCN.

Le diagramme suivant présente les composants. VCN-1 est facultatif si votre intention principale est d'accéder à VCN-2. Des tables de routage et des règles de sécurité complémentaires sont nécessaires dans chaque VCN pour permettre le trafic.

Cette image présente la disposition de base de deux réseaux en nuage virtuels appairés à distance, chacun disposant d'une connexion d'appairage distant sur la passerelle DRG.
Note

Un VCN donné ne peut utiliser les RPC connectées que pour atteindre votre réseau sur place ou les VCN connectés à la passerelle DRG. Par exemple, si VCN-1 du diagramme précédent disposait d'une passerelle Internet, les instances de VCN-2 NE POURRAIENT PAS l'utiliser pour envoyer le trafic vers des points d'extrémité sur Internet. Pour plus d'informations, voir Implications importantes relatives à l'appairage.

Implications importantes relatives à l'appairage

Si vous ne l'avez pas encore fait, lisez Implications importantes relatives à l'appairage pour comprendre les conséquences de l'appairage des réseaux VCN sur le contrôle d'accès, la sécurité et la performance.

L'appairage des VCN dans différentes locations comporte des complications d'autorisation qui doivent être résolues dans les deux locations. Voir Politiques IAM pour le routage entre les réseaux en nuage virtuels pour plus de détails sur les autorisations nécessaires.

Concepts importants de l'appairage distant

Les concepts suivants vous aident à comprendre les fonctions de base de l'appairage de réseaux en nuage virtuel et comment établir un appairage distant.

APPAIRAGE
Un appairage consiste en une relation d'appairage unique entre deux réseaux en nuage virtuels. Exemple : si VCN-1 est appairé avec deux autres réseaux VCN, il existe deux appairages. L'adjectif distant du terme appairage distant indique que les réseaux en nuage virtuels sont dans des régions différentes. Pour cette méthode d'appairage distant, les réseaux en nuage virtuels peuvent se trouver dans la même location ou dans des locations différentes.
ADMINISTRATEURS DE RÉSEAU VCN
En général, l'appairage de réseaux VCN ne peut se produire que si leurs deux administrateurs l'autorisent. En pratique, les deux administrateurs doivent :
  • Partager certaines informations de base.
  • Coordonner la configuration des politiques de gestion des identités et des accès Oracle Cloud Infrastructure requises pour activer l'appairage.
  • Configurer leurs réseaux en nuage virtuels pour l'appairage.
Selon la situation, un seul administrateur peut être responsable des deux réseaux en nuage virtuels et des politiques connexes. Les réseaux VCN peuvent se trouver dans la même location ou dans des locations différentes.
Pour plus d'informations sur les politiques requises et la configuration de VCN, voir Politiques IAM pour le routage entre les réseaux en nuage virtuels.
ACCEPTEUR ET DEMANDEUR
Pour mettre en oeuvre les politiques GIA requises pour l'appairage, les deux administrateurs de réseau VCN doivent désigner un demandeur et un accepteur entre eux. Le demandeur doit lancer la demande de connexion des deux connexions d'appairage distant. À son tour, l'accepteur doit créer une politique GIA particulière pour autoriser le demandeur à se connecter aux connexions d'appairage distant dans le compartiment de l'accepteur. Sans cette politique, la demande de connexion du demandeur échoue.
ABONNEMENT À UNE RÉGION
Pour effectuer un appairage avec un réseau VCN d'une autre région, votre location doit d'abord être abonnée à cette région. Pour plus d'informations sur l'abonnement, voir Gestion des régions.
CONNEXION D'APPAIRAGE DISTANT (RPC)
Une connexion d'appairage distant est un composant que vous avez créé sur la passerelle DRG attachée à votre VCN. La tâche de cette connexion est d'agir comme point de connexion pour un VCN appairé à distance. Lors de la configuration des réseaux VCN, chaque administrateur doit créer une passerelle DRG sur son VCN. Une passerelle DRG doit avoir une RPC distincte pour chaque appairage distant qu'elle établit pour le VCN. Pour continuer l'exemple précédent : la passerelle DRG de VCN-1 comporterait deux connexions pour l'appairage avec deux autres réseaux VCN. Dans l'API, l'objet RemotePeeringConnection contient les informations sur l'appairage. Vous ne pouvez pas réutiliser une connexion d'appairage distant pour établir un autre appairage.
CONNEXION ENTRE DEUX CONNEXIONS D'APPAIRAGE DISTANT
Lorsque le demandeur lance la demande d'appairage (dans la console ou l'API), il demande en fait la connexion de deux connexions d'appairage distant. Le demandeur doit disposer d'informations pour identifier chaque RPC (comme sa région et son OCID ).
Chaque administrateur de réseau VCN peut mettre fin à un appairage en supprimant sa connexion d'appairage distant. Dans ce cas, le statut de l'autre connexion passe à RÉVOQUÉ. Chaque administrateur peut également rendre la connexion non fonctionnelle en supprimant les règles de routage permettant le trafic sur la connexion (voir la section suivante).
ROUTAGE VERS LA PASSERELLE DRG
Lors de la configuration des réseaux VCN, chaque administrateur doit mettre à jour leur routage pour permettre le trafic entre eux. Vous mettez à jour la table de routage de tous les sous-réseaux qui doivent communiquer avec le réseau sur place. La règle de routage spécifie le CIDR du trafic de destination et définit votre passerelle DRG comme cible. Votre passerelle DRG dirige le trafic correspondant à cette règle vers l'autre DRG, qui à son tour envoie le trafic vers le saut suivant dans l'autre VCN.
RÈGLES DE SÉCURITÉ
Chaque sous-réseau d'un VCN comporte une ou plusieurs listes de sécurité qui contrôlent le trafic entrant et sortant des cartes vNIC du sous-réseau au niveau du paquet. Vous pouvez utiliser des listes de sécurité pour contrôler le type de trafic autorisé avec l'autre VCN. Dans le cadre de la configuration des réseaux VCN, chaque administrateur doit déterminer quels sous-réseaux de son VCN doivent communiquer avec les cartes vNIC dans l'autre VCN et mettre à jour les listes de sécurité de son sous-réseau en conséquence.
Si vous utilisez des groupes de sécurité de réseau (NSG) pour mettre en oeuvre des règles de sécurité, notez que vous pouvez écrire des règles de sécurité pour un NSG qui identifient un autre NSG comme source ou destination du trafic. Toutefois, ces deux NSG doivent appartenir au même réseau VCN.

Configuration d'une voie d'accès unique

Avant de tenter de mettre en oeuvre ce scénario, assurez-vous que :

  1. VCN-1 est attaché à DRG-1 dans la région 1 en suivant les étapes décrites sous Attachement d'un VCN à une passerelle DRG.
  2. VCN-2 est attaché à DRG-2 dans la région 2 en suivant les étapes décrites sous Attachement d'un VCN à une passerelle DRG.
  3. VCN-2 est appairé à VCN-1 en suivant les étapes décrites dans Appairage de VCN distant au moyen d'une passerelle DRG mise à niveau
  4. Par ailleurs, les deux passerelles de routage dynamique ne sont pas modifiées.
  5. Le circuit virtuel 1 FastConnect se trouve dans la région 1, connecté à DRG-1 selon la méthode appropriée pour la source du circuit virtuel (partenaire Oracle, colocalisation Oracle, fournisseur de tierce partie), comme décrit dans la documentation de FastConnect.

Le diagramme suivant présente l'état initial avant la mise en oeuvre de ce scénario. VCN-1 et VCN-2 sont appairés. Le trafic d'une instance dans Subnet A (10.0.0.15) destiné à une instance dans VCN-2 (192.168.0.15) est dirigé vers DRG-1 suivant la règle de la table de routage de Subnet A. Le trafic est ensuite dirigé vers la passerelle DRG-2 en passant par les connexions d'appairage distant, puis vers sa destination dans le sous-réseau X. Le réseau sur place peut traiter les ressources dans VCN-1, mais pas dans VCN-2.

Cette image présente les tables de routage et le chemin du trafic acheminé depuis une passerelle DRG vers l'autre.

Légende 1 : Table de routage de Subnet A
CIDR de destination Cible de routage
0.0.0.0/0 Passerelle Internet
192.168.0.0/16 DRG-1
172.16.0.0/12 DRG-1

Légende 2 : Table de routage de Subnet X
CIDR de destination Cible de routage
10.0.0.0/16 DRG-2

Le scénario d'accès direct mis en oeuvre décrit dans le diagramme suivant ne permet pas aux réseaux VCN d'acheminer le trafic l'un vers l'autre. VCN-1 et VCN-2 sont appairés. Le trafic d'une ressource sur place de votre réseau (172.16.0.10) destiné à une instance dans VCN-2 (192.168.0.15) est acheminé vers DRG-1 en fonction de la règle de la table de routage d'attachement IPSEC_TUNNEL vers le réseau sur place. Le trafic est ensuite dirigé vers la passerelle DRG-2 en passant par l'attachement de RPC, puis vers sa destination dans Subnet X.

Cette image présente les tables de routage et le chemin du trafic acheminé depuis une passerelle DRG vers l'autre.
Légende 1 : Table de routage de DRG-1 RT-OnPrem
CIDR de destination Cible de routage Type
10.0.0.0/16 Attachement de VCN Dynamique
192.168.0.0/16 Attachement de RPC Dynamique
Légende 2 : Table de routage DRG-1 RT-VCN
CIDR de destination Cible de routage Type
172.16.0.0/12 Attachement de circuit virtuel Dynamique
Légende 3 : Table de routage DRG-1 RT-RPC
CIDR de destination Cible de routage Type
172.16.0.0/12 Attachement de circuit virtuel Dynamique
Légende 4 : Table de routage de Subnet X
CIDR de destination Cible de routage
172.16.0.0/12 DRG-2
Note

Comme mentionné précédemment, un VCN peut utiliser l'attachement RPC de la DRG connectée pour atteindre uniquement les cartes vNIC de votre réseau sur place, et non des destinations sur Internet. Par exemple, dans le diagramme précédent, VCN-2 ne peut pas utiliser la passerelle Internet associée à VCN-1.

Étapes

Ces étapes sont toutes effectuées sur DRG-1 :

Étape 1 : Créer de nouvelles tables de routage DRG

Cette table n'a besoin d'aucune route statique.

  1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur Passerelle de routage dynamique.
  2. Cliquez sur la passerelle DRG qui vous intéresse, DRG-1.
  3. Sous Ressources, cliquez sur Tables de routage DRG.
  4. Cliquez sur Créer une table de routage DRG.

  5. Entrez les informations suivantes :

    • Nom : Entrez "RT-VCN" ou choisissez un autre nom descriptif.

  6. Cliquez sur Créer une table de routage DRG.

Répétez ces étapes pour créer deux autres tables de routage vides nommées "RT-OnPrem" et "RT-RPC" avant de passer à la tâche suivante.

Étape 2 : Créer une répartition de routes d'importation pour "RT-VCN"

Créez une répartition de routes d'importation pour l'attachement de DRG utilisé par VCN-1. La répartition des routes d'importation contient un énoncé qui accepte les routes des attachements de type circuit virtuel.

  1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur Passerelle de routage dynamique.
  2. Cliquez sur la passerelle DRG qui vous intéresse, DRG-1.
  3. Sous Ressources, cliquez sur Répartitions de routes d'importation.
  4. Cliquez sur Créer une répartition de routes d'importation.

  5. Entrez les informations suivantes :

    • Nom : Entrez "Import-VCN" ou choisissez un autre nom descriptif.
    • Priorité : Entrez "10" ou sélectionnez un autre numéro de priorité.
    • Type de correspondance : Sélectionnez Type d'attachement.

      Type d'attachement : Sélectionnez Circuit virtuel.

    Note

    Lorsque vous utilisez l'option Type d'attachement, la répartition de routes d'importation inclut les routes en provenance de tous les attachements à cette passerelle DRG associés au type sélectionné.

  6. Cliquez sur Créer une répartition de routes d'importation lorsque vous avez terminé.

  7. Sous Ressources, cliquez sur Tables de routage DRG.
  8. Cliquez sur le nom de la table de routage à affecter à la nouvelle répartition de routes d'importation, "RT-VCN".
  9. Cliquez sur Modifier.
  10. Cliquez sur Activer la répartition des routes d'importation : Cette option vous permet d'affecter une répartition de routes d'importation à la table de routage afin de lui faire apprendre dynamiquement de nouvelles routes en fonction des annonces BGP.
    • Sélectionnez la répartition de routes d'importation que vous avez créée au cours des étapes précédentes, "Import-VCN".
  11. Cliquez sur Enregistrer les modifications.
Étape 3 : Créer une répartition de routes d'importation pour "RT-OnPrem"

Créez une répartition de routes d'importation pour l'attachement de DRG utilisé par l'attachement de circuit virtuel. La répartition des routes d'importation contiendra deux énoncés : l'un qui accepte les routes des attachements de type VCN et l'autre, les routes des attachements de type RPC.

  1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur Passerelle de routage dynamique.
  2. Cliquez sur la passerelle DRG qui vous intéresse, DRG-1.
  3. Sous Ressources, cliquez sur Répartitions de routes d'importation.
  4. Cliquez sur Créer une répartition de routes d'importation.

  5. Entrez les informations suivantes :

    • Nom : Entrez "Import-OnPrem" ou choisissez un autre nom descriptif.
    • Priorité : Entrez "10" ou sélectionnez un autre numéro de priorité.
    • Type de correspondance : Sélectionnez Type d'attachement.

      Type d'attachement : Sélectionnez Réseau en nuage virtuel.

  6. Cliquez sur + Un autre énoncé pour ajouter un autre énoncé de répartition de routes.
    • Priorité : Entrez "20" ou sélectionnez un autre numéro de priorité.
    • Type de correspondance : Sélectionnez Type d'attachement.

    • Type d'attachement : Sélectionnez Connexion d'appairage distant.

      Note

      Lorsque vous utilisez l'option Type d'attachement, la répartition de routes d'importation inclut les routes en provenance de tous les attachements à cette passerelle DRG associés au type RPC. Toute connexion RPC à des VCN dans d'autres régions sera incluse.

  7. Cliquez sur Créer une répartition de routes d'importation lorsque vous avez terminé.

  8. Sous Ressources, cliquez sur Tables de routage DRG.
  9. Cliquez sur le nom de la table de routage à affecter à la nouvelle répartition de routes d'importation, "RT-OnPrem".
  10. Cliquez sur Modifier.
  11. Cliquez sur Activer la répartition des routes d'importation : Cette option vous permet d'affecter une répartition de routes d'importation à la table de routage afin de lui faire apprendre dynamiquement de nouvelles routes en fonction des annonces BGP.
    • Sélectionnez la répartition de routes d'importation que vous avez créée au cours des étapes précédentes, "Import-OnPrem".
  12. Cliquez sur Enregistrer les modifications.
Étape 4 : Créer une répartition de routes d'importation pour "RT-RPC"

Créez une répartition de routes d'importation pour l'attachement de DRG utilisé par l'attachement de connexion d'appairage. La répartition des routes d'importation contient un énoncé qui accepte les routes des attachements de type circuit virtuel.

  1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur Passerelle de routage dynamique.
  2. Cliquez sur la passerelle DRG qui vous intéresse, DRG-1.
  3. Sous Ressources, cliquez sur Répartitions de routes d'importation.
  4. Cliquez sur Créer une répartition de routes d'importation.

  5. Entrez les informations suivantes :

    • Nom : Entrez "Import-RPC" ou choisissez un autre nom descriptif.
    • Priorité : Entrez "10" ou sélectionnez un autre numéro de priorité.
    • Type de correspondance : Sélectionnez Type d'attachement.

      Type d'attachement : Sélectionnez Circuit virtuel.

    Note

    Si vous voulez que les réseaux en nuage virtuels inter-régions communiquent entre eux, importez l'attachement RPC dans la répartition d'importation utilisée par RT-VCN et l'attachement VCN dans celle utilisée par RT-RPC.

  6. Cliquez sur Créer une répartition de routes d'importation lorsque vous avez terminé.

  7. Sous Ressources, cliquez sur Tables de routage DRG.
  8. Cliquez sur le nom de la table de routage à affecter à la nouvelle répartition de routes d'importation, "RT-RPC".
  9. Cliquez sur Modifier.
  10. Cliquez sur Activer la répartition des routes d'importation : Cette option vous permet d'affecter une répartition de routes d'importation à la table de routage afin de lui faire apprendre dynamiquement de nouvelles routes en fonction des annonces BGP.
    • Sélectionnez la répartition de routes d'importation que vous avez créée au cours des étapes précédentes, "Import-RPC".
  11. Cliquez sur Enregistrer les modifications.
Étape 5 : Réaffecter les tables de routage d'attachement
  1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur Passerelle de routage dynamique.
  2. Cliquez sur le nom de la passerelle DRG qui vous intéresse, DRG-1.
  3. Sous Ressources, cliquez sur Attachements de réseau en nuage virtuel.
  4. Cliquez sur le nom de l'attachement de passerelle DRG utilisé par VCN-1.
  5. Cliquez sur Modifier.
  6. Cliquez sur Afficher les options avancées.
  7. Remplacez la table de routage DRG générée automatiquement pour les attachements de VCN par "RT-VCN".
  8. Cliquez sur Enregistrer les modifications.
  9. Dans le chemin de navigation en haut de l'écran, cliquez sur le nom de la passerelle DRG qui vous intéresse, DRG-1.
  10. Sous Ressources, cliquez sur Attachements de circuit virtuel.
  11. Cliquez sur le nom de l'attachement de DRG utilisé par le circuit virtuel 1.
  12. Cliquez sur Modifier.
  13. Cliquez sur Afficher les options avancées.
  14. Remplacez la table de routage DRG générée automatiquement pour les attachements de RPC, VIRTUAL_CIRCUIT and IPSEC_TUNNEL, par "RT-OnPrem".
  15. Cliquez sur Enregistrer les modifications.
  16. Dans le chemin de navigation en haut de l'écran, cliquez sur le nom de la passerelle DRG qui vous intéresse, DRG-1.
  17. Sous Ressources, cliquez sur Attachements de connexion d'appairage distant.
  18. Cliquez sur le nom de l'attachement de passerelle DRG utilisé par RPC-1.
  19. Cliquez sur Modifier.
  20. Cliquez sur Afficher les options avancées.
  21. Remplacez la table de routage DRG générée automatiquement pour les attachements de RPC, VIRTUAL_CIRCUIT and IPSEC_TUNNEL, par "RT-RPC".

Ceci termine la configuration d'une voie d'accès unique. À ce stade, tous les paquets transmis d'un VCN local ou distant à votre réseau sur place sont envoyés à la passerelle DRG attachée entre eux, puis à votre réseau sur place.