Documentation sur Oracle Cloud Infrastructure

Scénario A : Sous-réseau public

Cette rubrique explique comment configurer le scénario A, qui consiste en un réseau en nuage virtuel (VCN) et un sous-réseau public  régional. Des serveurs publics existent dans des domaines de disponibilité distincts pour la redondance. Le réseau VCN est directement connecté à Internet au moyen d'une passerelle Internet . La passerelle sert également à la connectivité à votre réseau sur place. Toute ressource du réseau sur place qui doit communiquer avec les ressources du réseau VCN doit disposer d'une adresse IP publique et d'un accès à Internet.

Le sous-réseau utilise la liste de sécurité par défaut, qui comporte des règles par défaut conçues pour faciliter le démarrage avec Oracle Cloud Infrastructure. Les règles permettent l'accès type requis (par exemple, des connexions SSH entrantes et tout type de connexion sortante). N'oubliez pas que les règles de liste de sécurité autorisent uniquement le trafic. Tout trafic non explicitement couvert par une règle de liste de sécurité est refusé implicitement.

Ce scénario n'utilise pas de passerelle DRG.

Dans ce scénario, vous ajoutez des règles supplémentaires à la liste de sécurité par défaut. Vous pourriez aussi créer une liste de sécurité personnalisée pour ces règles. Vous configureriez alors le sous-réseau pour qu'il utilise les listes de sécurité par défaut et personnalisée.

Conseil

Les listes de sécurité sont un moyen de contrôler le trafic entrant et sortant des ressources du réseau VCN. Vous pouvez également utiliser des groupes de sécurité de réseau, qui vous permettent d'appliquer un jeu de règles de sécurité à un ensemble de ressources dont la situation en matière de sécurité est identique.

Le sous-réseau utilise la table de routage par défaut, qui ne comporte aucune règle au départ lors de la création du réseau VCN. Dans ce scénario, la table ne comporte qu'une seule règle pour la passerelle Internet.

La figure suivante présente les ressources avec des adresses IP publiques dans un sous-réseau public régional, avec des ressources redondantes dans le même sous-réseau, mais dans un domaine de disponibilité différent. La table de routage du sous-réseau public permet à tout le trafic entrant d'arriver dans le sous-réseau public et de le quitter au moyen de la passerelle Internet, utilise la liste de sécurité par défaut et le routage local qui est intégré au VCN. Vos hôtes sur place doivent avoir des adresses IP publiques pour communiquer avec les ressources du VCN sur Internet.

Cette image présente le scénario A : un réseau VCN avec un sous-réseau public régional et une passerelle Internet.
Légende 1 : Table de routage de sous-réseau public régional
CIDR de destination Cible de routage
0.0.0.0/0 Passerelle Internet

Politique IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès de sécurité au moyen d'une politique . Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur le type d'accès qui vous a été octroyé et le compartiment  à utiliser.

Si vous êtes membre du groupe Administrateurs, vous disposez déjà de l'accès requis pour mettre en oeuvre le scénario A. Sinon, il vous faut l'accès au service Réseau et l'autorisation de lancer des instances. Voir Politiques de gestion des identités et des accès pour le service de réseau.

Configuration du scénario A dans la console

Le processus de configuration est simple dans la console.

Tâche 1 : Créer le réseau VCN
  1. Ouvrez le menu de navigation, cliquez sur Réseau, puis sur Réseaux en nuage virtuels.
  2. Sous Portée de la liste, sélectionnez un compartiment que vous êtes autorisé à utiliser. La page est mise à jour pour afficher uniquement les ressources de ce compartiment. Si vous ne savez pas quel compartiment utiliser, communiquez avec un administrateur. Pour plus d'informations, voir Contrôle de l'accès.
    Note

    Pour créer une ressource, la limite de service pour celle-ci ne doit pas encore avoir été atteinte. Une fois la limite de service atteinte pour un type de ressource, vous pouvez supprimer les ressources non utilisées de ce type ou demander une augmentation de limite de service.
  3. Cliquez sur Créer un réseau en nuage virtuel.
  4. Entrez les informations suivantes :
    • Nom : Nom descriptif du VCN. Il n'est pas nécessaire que ce nom soit unique. Il ne pourra pas être modifié plus tard dans la console (mais pourra l'être avec l'API). Évitez d'entrer des informations confidentielles.
    • Créer dans le compartiment : Laissez tel quel.
    • Blocs CIDR IPv4 : Jusqu'à cinq blocs, mais au moins un bloc CIDR IPv4 sans chevauchement pour le VCN. Par exemple : 172.16.0.0/16. Vous pouvez ajouter ou supprimer des blocs CIDR ultérieurement. Voir Taille et intervalles d'adresses de réseau VCN autorisés. Pour référence, ici, un calculateur CIDR.
    • Utiliser les noms d'hôte DNS dans ce VCN : Cette option est requise pour affecter des noms d'hôte DNS aux hôtes du VCN et requise si vous prévoyez d'utiliser la fonction DNS par défaut du VCN (appelée résolveur Internet et de VCN). Si vous sélectionnez cette option, vous pouvez spécifier une étiquette DNS pour le VCN ou vous pouvez autoriser la console à en générer une pour vous. The dialog box automatically displays the corresponding DNS Domain Name for the VCN (<VCN_DNS_label>.oraclevcn.com). Pour plus d'informations, voir DNS dans le réseau en nuage virtuel.
    • Préfixes IPv6 : Vous pouvez demander qu'un seul préfixe IPv6 /56 affecté par Oracle le soit à ce VCN. Vous pouvez également affecter un préfixe BYOIPv6 ou ULA au VCN. Cette option est disponible pour toutes les régions commerciales et gouvernementales. Pour plus d'informations sur IPv6, voir Adresses IPv6.
    • Marqueurs : Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous n'êtes pas sûr d'appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.

  5. Cliquez sur Créer un réseau en nuage virtuel.

    Le VCN est ensuite créé et affiché dans la page Réseaux en nuage virtuels du compartiment sélectionné.

Tâche 2 : Créer le sous-réseau public régional
  1. Toujours dans la page du VCN, cliquez sur Créer un sous-réseau.

  2. Entrez les informations suivantes :

    • Nom : Nom convivial pour le sous-réseau (par exemple, Sous-réseau public régional). Il n'est pas nécessaire que ce nom soit unique. Il ne pourra pas être modifié plus tard dans la console (mais pourra l'être avec l'API). Évitez d'entrer des informations confidentielles.
    • Régional ou Spécifique du domaine de disponibilité : Sélectionnez Régional (recommandé); ce qui signifie que le sous-réseau couvre tous les domaines de disponibilité de la région. Ensuite, lorsque vous lancez une instance, vous pouvez la créer dans n'importe quel domaine de disponibilité de la région. Pour plus d'informations, voir Aperçu des réseaux en nuage virtuels et des sous-réseaux.
    • Bloc CIDR : Bloc CIDR contigu unique au sein du bloc CIDR du VCN. Par exemple : 172.16.0.0/24. Vous ne pourrez pas modifier cette valeur ultérieurement. Pour référence, ici, un calculateur CIDR.
    • Activer l'affectation d'adresse IPv6 : Cette option est disponible uniquement si le VCN est activé pour IPv6. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.
    • Table de routage : Sélectionnez la table de routage par défaut.
    • Sous réseau privé ou public : Sélectionnez Sous-réseau public; les instances du sous-réseau peuvent éventuellement avoir des adresses IP publiques. Pour plus d'informations, voir Accès à Internet.
    • Utiliser les noms d'hôte DNS dans ce sous-réseau : Cette option est disponible uniquement si une étiquette DNS a été fournie pour le VCN lors de sa création. L'option est obligatoire pour l'affectation des noms DNS aux hôtes du sous-réseau et également si vous prévoyez d'utiliser la fonction DNS par défaut du VCN (appelée Résolveur Internet et de réseau en nuage virtuel). Si vous cochez la case, vous pouvez spécifier une étiquette DNS pour le sous-réseau ou laisser la console en générer une pour vous. La boîte de dialogue affiche automatiquement le nom de domaine DNS correspondant pour le sous-réseau en tant que nom de domaine complet. Pour plus d'informations, voir DNS dans le réseau en nuage virtuel.
    • Options DHCP : Sélectionnez le jeu d'options DHCP par défaut.
    • Listes de sécurité : Assurez-vous que la liste de sécurité par défaut est sélectionnée.
    • Marqueurs : Laissez tel quel. Vous pouvez ajouter des marqueurs ultérieurement. Pour plus d'informations, voir Marqueurs de ressource.

  3. Cliquez sur Créer un sous-réseau.

    Le sous-réseau est ensuite créé et affiché dans la page Sous-réseaux.

Tâche 3 : Créer la passerelle Internet
  1. Sous Ressources, cliquez sur Passerelles Internet.
  2. Cliquez sur Créer une passerelle Internet.

  3. Entrez les informations suivantes :

    • Nom : Nom convivial de la passerelle Internet. Il n'est pas nécessaire que ce nom soit unique. Il ne pourra pas être modifié plus tard dans la console (mais pourra l'être avec l'API). Évitez d'entrer des informations confidentielles.
    • Créer dans le compartiment : Laissez tel quel.
    • Marqueurs : Laissez tel quel. Vous pouvez ajouter des marqueurs ultérieurement. Pour plus d'informations, voir Marqueurs de ressource.

  4. Cliquez sur Créer une passerelle Internet.

    Votre passerelle Internet est créée et affichée dans la page Passerelles Internet. Elle est déjà activée, mais vous devez ajouter une règle de routage qui autorise le trafic à y accéder.

Tâche 4 : Mettre à jour la table de routage par défaut pour qu'elle utilise la passerelle Internet

La table de routage par défaut ne comporte pas de règles au départ. Ici, vous ajoutez une règle qui achemine vers la passerelle Internet tout le trafic destiné à des adresses en dehors du VCN. L'existence de cette règle permet également aux connexions entrantes provenant d'Internet d'arriver au sous-réseau en passant par la passerelle Internet. Vous utilisez des règles de sécurité pour contrôler les types de trafic autorisés à entrer dans les instances du sous-réseau et à en sortir (voir la tâche suivante).

Aucune règle de routage n'est requise pour diriger le trafic au sein du VCN même.

  1. Sous Ressources, cliquez sur Tables de routage.
  2. Cliquez sur la table de routage par défaut pour en voir les détails.
  3. Cliquez sur Ajouter une règle de routage.

  4. Entrez les informations suivantes :

    • Type de cible : Passerelle Internet
    • Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que tout le trafic IPv4 non intra-VCN qui n'est pas encore couvert par d'autres règles de la table de routage est dirigé vers la cible spécifiée dans cette règle).
    • Compartiment : Compartiment où se trouve la passerelle Internet.
    • Cible : Passerelle Internet que vous avez créée.
    • Description : Description facultative de la règle.
  5. Cliquez sur Ajouter une règle de routage.

La table de routage par défaut comporte maintenant une règle pour la passerelle Internet. Étant donné que le sous-réseau a été configuré pour utiliser la table de routage par défaut, ses ressources peuvent maintenant se servir de la passerelle Internet. L'étape suivante consiste à indiquer les types de trafic que vous voulez autoriser à entrer dans les instances que vous créez ultérieurement dans le réseau, et à en sortir.

Tâche 5 : Mettre à jour la liste de sécurité par défaut

Vous avez configuré auparavant le sous-réseau pour qu'il utilise la liste de sécurité par défaut du réseau VCN. Vous ajoutez maintenant des règles de liste de sécurité qui autorisent les types de connexion dont les instances du réseau VCN auront besoin.

Par exemple : Pour un sous-réseau public avec une passerelle Internet, les instances (serveur Web) que vous lancez peuvent avoir besoin de recevoir des connexions HTTPS entrantes depuis Internet. Voici comment ajouter une autre règle à la liste de sécurité par défaut pour permettre ce trafic :

  1. Sous Ressources, cliquez sur Listes de sécurité.
  2. Cliquez sur la liste de sécurité par défaut pour en voir les détails. Par défaut, vous arrivez à la page Règles de trafic entrant.
  3. Cliquez sur Ajouter une règle de trafic entrant.

  4. Pour activer les connexions entrantes pour HTTPS (port TCP 443), entrez les informations suivantes :

    • Sans état : Non sélectionné (il s'agit d'une règle avec état)
    • Type de source : CIDR
    • CIDR source : 0.0.0.0/0
    • Protocole IP : TCP
    • Intervalle de ports sources : Tous
    • Intervalle de ports de destination : 443
    • Description : Description facultative de la règle.
  5. Cliquez sur Ajouter une règle de trafic entrant.
Important

Règle de liste de sécurité pour les instances Windows

Si vous lancez des instances Windows, il vous faudra ajouter une règle de sécurité pour activer l'accès RDP (Remote Desktop Protocol). Plus précisément, vous avez besoin d'une règle de trafic entrant avec état pour le trafic TCP sur le port de destination 3389 à partir de la source 0.0.0.0/0 et de tout port source. Pour plus d'informations, voir Listes de sécurité.

Pour un réseau VCN de production, vous configurez généralement une ou plusieurs listes de sécurité personnalisées pour chaque sous-réseau. Si vous le souhaitez, vous pouvez modifier le sous-réseau de façon à utiliser des listes de sécurité différentes. Si vous décidez de ne pas utiliser la liste de sécurité par défaut, étudiez d'abord avec soin les règles que vous voulez dupliquer dans la liste de sécurité personnalisée. Par exemple, les règles ICMP par défaut de la liste de sécurité par défaut sont importantes pour la réception de messages de connectivité.

Tâche 6 : Créer des instances dans des domaines de disponibilité distincts

L'étape suivante consiste à créer une ou plusieurs instances dans le sous-réseau. Le diagramme du scénario présente des instances dans deux domaines de disponibilité différents. Lorsque vous créez l'instance, vous choisissez le domaine de disponibilité, le réseau VCN et le sous-réseau à utiliser, ainsi que plusieurs autres caractéristiques.

Chaque instance reçoit automatiquement une adresse IP privée. Lorsque vous créez une instance dans un sous-réseau public, vous décidez si elle reçoit une adresse IP publique. Avec la configuration réseau du scénario A, vous devez donner à chaque instance une adresse IP publique, sinon vous ne pourrez pas y accéder au moyen de la passerelle Internet. Par défaut (pour un sous-réseau public), l'instance reçoit une adresse IP publique.

Après avoir créé une instance dans ce scénario, vous pouvez vous y connecter au moyen d'Internet avec SSH ou RDP depuis votre réseau sur place ou tout autre emplacement sur Internet. Pour plus d'informations et d'instructions, voir Lancement d'une instance.

Configuration du scénario A avec l'API

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Utilisez les opérations suivantes :

  1. CreateVcn : Incluez toujours une étiquette DNS pour le VCN si vous souhaitez que les instances aient des noms d'hôte (voir DNS dans le réseau en nuage virtuel).
  2. CreateSubnet : Créez un sous-réseau public régional. Incluez une étiquette DNS pour le sous-réseau si vous souhaitez que les instances aient des noms d'hôte. Utilisez la table de routage par défaut, la liste de sécurité par défaut et le jeu d'options DHCP par défaut.
  3. CreateInternetGateway
  4. UpdateRouteTable : Pour activer la communication avec la passerelle Internet, mettez à jour la table de routage par défaut afin d'inclure une règle de routage avec la destination = 0.0.0.0/0 et la cible de destination = passerelle Internet. Cette règle achemine vers la passerelle Internet tout le trafic destiné à des adresses en dehors du VCN. Aucune règle de routage n'est requise pour diriger le trafic au sein du VCN même.
  5. UpdateSecurityList : Pour autoriser des types particuliers de connexion vers et depuis les instances du sous-réseau.
Important

Règle de liste de sécurité pour les instances Windows

Si vous lancez des instances Windows, il vous faudra ajouter une règle de sécurité pour activer l'accès RDP (Remote Desktop Protocol). Plus précisément, vous avez besoin d'une règle de trafic entrant avec état pour le trafic TCP sur le port de destination 3389 à partir de la source 0.0.0.0/0 et de tout port source. Pour plus d'informations, voir Listes de sécurité.

L'étape suivante consiste à créer une ou plusieurs instances dans le sous-réseau. Le diagramme du scénario présente des instances dans deux domaines de disponibilité différents. Lorsque vous créez l'instance, vous choisissez le domaine de disponibilité, le réseau VCN et le sous-réseau à utiliser, ainsi que plusieurs autres caractéristiques.

Chaque instance reçoit automatiquement une adresse IP privée. Lorsque vous créez une instance dans un sous-réseau public, vous décidez si elle reçoit une adresse IP publique. Avec la configuration réseau du scénario A, vous devez donner à chaque instance une adresse IP publique, sinon vous ne pourrez pas y accéder au moyen de la passerelle Internet. Par défaut (pour un sous-réseau public), l'instance reçoit une adresse IP publique.

Après avoir créé une instance dans ce scénario, vous pouvez vous y connecter au moyen d'Internet avec SSH ou RDP depuis votre réseau sur place ou tout autre emplacement sur Internet. Pour plus d'informations et d'instructions, voir Lancement d'une instance.