Documentation sur Oracle Cloud Infrastructure

Scénario A : Sous-réseau public

Le scénario A se compose d'un réseau en nuage virtuel (VCN) avec un sous-réseau public régional, requis pour la connectivité réseau aux instances de calcul d'une location. Les serveurs publics sont créés dans des domaines de disponibilité (AD) distincts à des fins de redondance, et le VCN utilise des sous-réseaux régionaux, car ils sont plus flexibles et plus faciles à diviser efficacement un VCN en sous-réseaux tout en tenant compte des défaillances potentielles. Le réseau VCN est directement connecté à Internet au moyen d'une passerelle Internet . La passerelle sert également à la connectivité à un réseau sur place. Toute ressource d'un réseau sur place qui doit communiquer avec les ressources de ce réseau VCN doit disposer d'une adresse IP publique et d'un accès à Internet.

Le démarrage avec Oracle Cloud Infrastructure est simple, car le sous-réseau utilise une liste de sécurité par défaut initiale. Cette liste contient des règles de sécurité qui autorisent l'accès standard requis (par exemple, les connexions SSH entrantes et tout type de connexion sortante). N'oubliez pas que les règles de liste de sécurité autorisent uniquement le trafic et que le trafic non explicitement autorisé par une règle de liste de sécurité est implicitement refusé. Il en va de même pour les règles de routage, qui exigent également que le trafic sortant soit explicitement autorisé et que le trafic vers des destinations spécifiques soit envoyé à la passerelle nécessaire. Les destinations de routage en dehors du VCN doivent être accessibles au moyen d'une passerelle que vous créez et spécifiez explicitement dans une table de routage associée au sous-réseau utilisé par une ressource.

Dans ce scénario, vous ajoutez une nouvelle règle à la liste de sécurité par défaut. Cette règle est requise pour donner aux instances de calcul l'accès à Internet. Vous pouvez plutôt créer une liste de sécurité personnalisée pour cette règle et configurer le sous-réseau afin qu'il utilise à la fois la liste de sécurité par défaut et la liste de sécurité personnalisée, mais cela ne fait pas partie de la portée de ce scénario.

Conseil

Les listes de sécurité sont un moyen de contrôler le trafic entrant et sortant des ressources du réseau VCN. Vous pouvez également utiliser des groupes de sécurité de réseau

Dans ce scénario, le sous-réseau utilise également la table de routage par défaut, qui ne comporte aucune règle au départ lors de la création du réseau VCN. La table n'a besoin que d'une seule règle pour la passerelle Internet.

Ce scénario n'utilise pas de passerelle de routage dynamique (DRG).

La figure suivante présente les ressources avec des adresses IP publiques dans un sous-réseau public régional, avec des ressources redondantes dans le même sous-réseau, mais dans un domaine de disponibilité différent. La table de routage du sous-réseau public permet à tout le trafic entrant d'entrer dans le sous-réseau public et de le quitter au moyen de la passerelle Internet, utilise la liste de sécurité par défaut et le routage local créé dans le VCN. Les hôtes sur place doivent avoir des adresses IP publiques pour communiquer avec les ressources du VCN sur Internet.

Cette image présente le scénario A : un réseau VCN avec un sous-réseau public régional et une passerelle Internet.
Légende 1 : Table de routage de sous-réseau public régional
CIDR de destination Cible de routage
0.0.0.0/0 Passerelle Internet

Politique GIA requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel l'accès de sécurité est accordé dans une politique par un administrateur de location. Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur de la location quel type d'accès vous avez et dans quel compartiment votre accès fonctionne.

Si vous êtes membre du groupe d'administrateurs, vous avez probablement déjà l'accès requis pour mettre en oeuvre le scénario A. Sinon, il vous faut l'accès au service de réseau et l'autorisation de créer des instances. Voir Politiques de gestion des identités et des accès pour le service de réseau.

Configuration du scénario A dans la console

La configuration est très simple dans la console.

Note

Si vous n'avez pas créé de réseau VCN auparavant, le flux de travail décrit sous Créer un réseau VCN avec connectivité Internet est un moyen facile de créer un réseau VCN avec des sous-réseaux publics et privés, des passerelles, ainsi que les règles de routage et les règles de sécurité nécessaires pour fournir un accès Internet aux instances et autres ressources du VCN. Si vous utilisez le flux de travail pour effectuer cette tâche, celui-ci peut remplacer les tâches 1 à 5 dans ce scénario.
Tâche 1 : Créer le réseau VCN
  1. Ouvrez le menu de navigation , sélectionnez Service de réseau, puis Réseaux en nuage virtuels.
  2. Sous Portée de la liste, sélectionnez un compartiment que vous êtes autorisé à utiliser pour les mises à jour de page in.The afin d'afficher uniquement les ressources de ce compartiment. Si vous ne savez pas quel compartiment utiliser, communiquez avec un administrateur. Pour plus d'informations, voir Contrôle de l'accès.
    Note

    Pour créer une ressource, la limite de service pour celle-ci ne doit pas encore avoir été atteinte. Une fois la limite de service atteinte pour un type de ressource, vous pouvez supprimer les ressources non utilisées de ce type ou demander une augmentation de limite de service.
  3. Sélectionnez Créer un VCN.
  4. Entrez les informations suivantes :
    • Nom : Nom descriptif du VCN. Il n'a pas besoin d'être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
    • Créer dans le compartiment : Laissez tel quel.
    • Blocs CIDRIPv4 CIDR IPv4 : Entrez au moins un bloc CIDRIPv4 CIDR IPv4 et au maximum cinq pour le réseau VCN. Les blocs CIDR ne peuvent pas se chevaucher. Par exemple : 172.16.0.0/16. Vous pouvez ajouter ou supprimer des blocs CIDR ultérieurement. Voir Taille et intervalles d'adresses de réseau VCN autorisés. Pour référence, ici, un calculateur CIDR.
    • Utiliser les noms d'hôte DNS dans ce VCN : Cette option est requise pour affecter des noms d'hôte DNS aux hôtes du VCN, et requise si vous prévoyez d'utiliser la fonction DNS par défaut du VCN (appelée Résolveur Internet et de VCN). Si vous sélectionnez cette option, vous pouvez spécifier une étiquette DNS pour le VCN ou laisser la console en générer une pour vous. La boîte de dialogue affiche automatiquement le nom de domaine DNS correspondant pour le VCN (<VCN_DNS_label>.oraclevcn.com). Pour plus d'informations, voir DNS dans un réseau en nuage virtuel.
    • Préfixes IPv6 : Vous pouvez demander qu'un seul préfixe IPv6 /56 affecté par Oracle le soit à ce VCN. Vous pouvez également affecter un préfixe BYOIPv6 ou ULA au VCN. Cette option est disponible pour toutes les régions commerciales et gouvernementales. Pour plus d'informations sur IPv6, voir Adresses IPv6.
    • Marqueurs : Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.

  5. Sélectionnez Créer un réseau en nuage virtuel.

    Le VCN est ensuite créé et affiché dans la page Réseaux en nuage virtuels du compartiment sélectionné.

Tâche 2 : Créer le sous-réseau public régional
  1. Lorsque le VCN est toujours affiché, sélectionnez Créer un sous-réseau.

  2. Entrez les informations suivantes :

    • Nom : Nom convivial pour le sous-réseau (par exemple, Sous-réseau public régional). Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
    • Régional ou propre au domaine de disponibilité : Sélectionnez Régional (requis), ce qui signifie que le sous-réseau couvre tous les domaines de disponibilité de la région. Ensuite, lorsque vous créez une instance, vous pouvez la créer dans n'importe quel domaine de disponibilité de la région. Pour plus d'informations, voir Domaines de disponibilité et réseaux en nuage virtuels.
    • Bloc CIDRIPv4 CIDR IPv4 : Bloc CIDR contigu unique au sein du bloc CIDR du VCN. Par exemple : 172.16.0.0/24. Vous ne pouvez pas modifier cette valeur ultérieurement. Pour référence, ici, un calculateur CIDR.
    • Préfixes IPv6 : Vous pouvez demander un préfixe IPv6 /64 affecté par Oracle ou entrer des préfixes BYOIPv6 ou ULA. Vous pouvez disposer d'un maximum de trois préfixes IPv6 dans un sous-réseau. Après avoir affecté un préfixe IPv6 à un VCN, au moins un préfixe IPv6 doit toujours être affecté à ce dernier. Cette option est disponible pour les réseaux en nuage virtuels dans toutes les régions commerciales et gouvernementales, si le réseau VCN est déjà activé pour IPv6. Pour plus d'informations, voir Adresses IPv6.
    • Table de routage : Sélectionnez la table de routage par défaut.
    • Sous-réseau privé ou public : Sélectionnez sous-réseau public; les instances du sous-réseau peuvent éventuellement avoir des adresses IP publiques. Pour plus d'informations, voir Accès à Internet.
    • Utiliser les noms d'hôte DNS dans ce sous-réseau : Cette option est disponible uniquement si une étiquette DNS a été fournie pour le VCN lors de sa création. L'option est requise pour l'affectation de noms d'hôte DNS aux hôtes du sous-réseau, ainsi que lorsque vous prévoyez d'utiliser la fonction DNS par défaut du VCN (appelée Résolveur Internet et de VCN). Si vous cochez la case, vous pouvez spécifier une étiquette DNS pour le sous-réseau ou laisser la console en générer une pour vous. La boîte de dialogue affiche automatiquement le nom de domaine DNS correspondant pour le sous-réseau en tant que nom de domaine complet. Pour plus d'informations, voir DNS dans un réseau en nuage virtuel.
    • Options DHCP : Sélectionnez le jeu d'options DHCP à associer au sous-réseau. Si vous avez déjà activé la sélection de compartiment, spécifiez d'abord le compartiment qui contient le jeu d'options DHCP.
    • Listes de sécurité : Assurez-vous que la liste de sécurité par défaut est sélectionnée.
    • Afficher les options de marquage : Sélectionnez ce lien pour afficher les options d'ajout de marqueurs au sous-réseau. Si vous avez l'autorisation de créer une ressource, vous avez également l'autorisation d'appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.

  3. Sélectionnez Créer un sous-réseau.

    Le sous-réseau est ensuite créé et affiché dans la page Sous-réseaux.

Tâche 3 : Créer la passerelle Internet
  1. Tout en consultant le VCN, sous Ressources, sélectionnez Passerelles Internet.
  2. Sélectionnez Créer une passerelle Internet.

  3. Entrez les informations suivantes :

    • Nom : Nom convivial de la passerelle Internet. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
    • Créer dans le compartiment : Laissez tel quel.
    • Vous pouvez sélectionner Afficher les options avancées pour définir les options suivantes :
      • Association de table de routage : (option avancée) Laissez tel quel. Vous pouvez associer une table de routage de VCN spécifique à cette passerelle. Après l'association d'une table de routage, la passerelle doit toujours être associée à une table. Vous pouvez modifier les règles figurant dans la table de routage courante ou remplacer par une autre.
      • Marqueurs : (option avancée) Laissez tel quel. Si vous avez l'autorisation de créer une ressource, vous avez également l'autorisation d'appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.

  4. Sélectionnez Créer une passerelle Internet.

    La passerelle Internet est créée et affichée dans la page Passerelles Internet. Elle est déjà activée, mais vous devez ajouter une règle de routage qui autorise le trafic à y accéder.

Tâche 4 : Mettre à jour la table de routage par défaut pour qu'elle utilise la passerelle Internet

La table de routage par défaut ne comporte pas de règles au départ. Ici, vous ajoutez une règle qui achemine vers la passerelle Internet tout le trafic destiné à des adresses en dehors du VCN. L'existence de cette règle permet également aux connexions entrantes provenant d'Internet d'arriver au sous-réseau au moyen de la passerelle Internet. Vous utilisez des règles de sécurité pour contrôler les types de trafic autorisés à entrer dans les instances du sous-réseau et à en sortir (voir la tâche suivante).

Aucune règle de routage n'est requise pour diriger le trafic au sein du VCN même.

  1. Sous Ressources, sélectionnez Tables de routage.
  2. Sélectionnez la table de routage par défaut pour en voir les détails.
  3. Sélectionnez Ajouter une règle de routage.

  4. Entrez les informations suivantes :

    • Type de cible : Passerelle Internet
    • Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que tout le trafic du VCN vers une destination en dehors du VCN qui n'est pas déjà couvert par d'autres règles de la table de routage va à la cible spécifiée dans cette règle).
    • Compartiment : Compartiment contenant la passerelle Internet.
    • Cible : Passerelle Internet que vous avez créée.
    • Description : Description facultative de la règle.
  5. Sélectionnez Ajouter des règles de routage.

La table de routage par défaut comporte maintenant une règle pour la passerelle Internet. Étant donné que le sous-réseau a été configuré pour utiliser la table de routage par défaut, ses ressources peuvent maintenant se servir de la passerelle Internet. L'étape suivante consiste à indiquer les types de trafic que vous voulez autoriser à entrer dans les instances que vous créez ultérieurement dans le réseau, et à en sortir.

Tâche 5 : Mettre à jour la liste de sécurité par défaut

Vous avez configuré auparavant le sous-réseau pour qu'il utilise la liste de sécurité par défaut du réseau VCN. Vous ajoutez maintenant des règles de liste de sécurité qui autorisent les types de connexion dont les instances du réseau VCN auront besoin.

Par exemple : Pour un sous-réseau public avec une passerelle Internet, les instances (serveur Web) que vous créez peuvent avoir besoin de recevoir des connexions HTTPS entrantes à partir d'Internet. Voici comment ajouter une autre règle à la liste de sécurité par défaut pour permettre ce trafic :

  1. Sous Ressources, sélectionnez Listes de sécurité.
  2. Sélectionnez la liste de sécurité par défaut pour en voir les détails. Par défaut, vous arrivez à la page Règles de trafic entrant.
  3. Sélectionnez Ajouter des règles de trafic entrant.

  4. Pour activer les connexions entrantes pour HTTPS (port TCP 443), entrez les informations suivantes :

    • Sans état : Non sélectionné (il s'agit d'une règle avec état)
    • Type de source : CIDR
    • CIDR source : 0.0.0.0/0
    • Protocole IP : TCP
    • Intervalle de ports sources : Tous
    • Intervalle de ports de destination : 443
    • Description : Description facultative de la règle.
  5. Sélectionnez Ajouter une règle entrante.
Important

Règle de liste de sécurité pour les instances Windows

Si vous créez des instances Windows, il est nécessaire d'ajouter une règle de sécurité pour activer l'accès RDP. Pour activer le protocole RDP, vous avez besoin d'une règle de trafic entrant avec état pour le trafic TCP sur le port de destination 3389 à partir de la source 0.0.0.0/0 et de tout port source. Pour plus d'informations, voir Listes de sécurité.

Pour un réseau VCN de production, vous configurez généralement une ou plusieurs listes de sécurité personnalisées pour chaque sous-réseau. Facultativement, vous pouvez modifier le sous-réseau pour utiliser des listes de sécurité différentes. Si vous décidez de ne pas utiliser la liste de sécurité par défaut, vérifiez avec soin les règles que vous voulez dupliquer dans une liste de sécurité personnalisée. Par exemple, les règles ICMP par défaut de la liste de sécurité par défaut sont importantes pour la réception de messages de connectivité.

Tâche 6 : Créer des instances dans des domaines de disponibilité distincts

L'étape suivante consiste à créer une ou plusieurs instances dans le sous-réseau. Le diagramme du scénario présente des instances dans deux domaines de disponibilité différents. Lorsque vous créez l'instance, vous sélectionnez le domaine de disponibilité, le réseau VCN et le sous-réseau à utiliser, ainsi que plusieurs autres caractéristiques.

Chaque instance reçoit automatiquement une adresse IP privée. Lorsque vous créez une instance dans un sous-réseau public, vous décidez si elle reçoit une adresse IP publique. Avec la configuration réseau du scénario A, vous devez donner à chaque instance une adresse IP publique, sinon vous ne pourrez pas y accéder au moyen de la passerelle Internet. Par défaut (pour un sous-réseau public), l'instance reçoit une adresse IP publique.

Après avoir créé une instance dans ce scénario, vous pouvez vous y connecter au moyen d'Internet avec SSH ou RDP à partir d'un réseau sur place ou d'un autre emplacement sur Internet. Pour plus d'informations et d'instructions, voir Création d'une instance.

Configuration du scénario A avec l'API

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Utilisez les opérations suivantes :

  1. CreateVcn : Incluez toujours une étiquette DNS pour le VCN si vous souhaitez que les instances aient des noms d'hôte (voir DNS dans un réseau en nuage virtuel).
  2. CreateSubnet : Créez un sous-réseau public régional. Incluez une étiquette DNS pour le sous-réseau si vous souhaitez que les instances aient des noms d'hôte. Utilisez la table de routage par défaut, la liste de sécurité par défaut et le jeu d'options DHCP par défaut.
  3. CreateInternetGateway
  4. UpdateRouteTable : Pour activer la communication avec la passerelle Internet, mettez à jour la table de routage par défaut afin d'inclure une règle de routage avec la destination = 0.0.0.0/0 et la cible de destination = passerelle Internet. Cette règle achemine vers la passerelle Internet tout le trafic destiné à des adresses en dehors du VCN. Aucune règle de routage n'est requise pour diriger le trafic au sein du VCN même.
  5. UpdateSecurityList : Pour autoriser des types particuliers de connexion vers et depuis les instances du sous-réseau.
Important

Règle de liste de sécurité pour les instances Windows

Si vous créez des instances Windows, vous devez ajouter une règle de sécurité pour activer l'accès RDP. Pour activer le protocole RDP, vous avez besoin d'une règle de trafic entrant avec état pour le trafic TCP sur le port de destination 3389 à partir de la source 0.0.0.0/0 et de tout port source. Pour plus d'informations, voir Listes de sécurité.

L'étape suivante consiste à créer une ou plusieurs instances dans le sous-réseau. Le diagramme du scénario présente des instances dans deux domaines de disponibilité différents. Lorsque vous créez l'instance, vous sélectionnez le domaine de disponibilité, le réseau VCN et le sous-réseau à utiliser, ainsi que plusieurs autres caractéristiques.

Chaque instance reçoit automatiquement une adresse IP privée. Lorsque vous créez une instance dans un sous-réseau public, vous décidez si elle reçoit une adresse IP publique. Avec la configuration réseau du scénario A, vous devez donner à chaque instance une adresse IP publique, sinon vous ne pourrez pas y accéder au moyen de la passerelle Internet. Par défaut (pour un sous-réseau public), l'instance reçoit une adresse IP publique.

Après avoir créé une instance dans ce scénario, vous pouvez vous y connecter au moyen d'Internet avec SSH ou RDP à partir d'un réseau sur place ou d'un autre emplacement sur Internet. Pour plus d'informations et d'instructions, voir Création d'une instance.