Documentation sur Oracle Cloud Infrastructure

Scénario B : Sous-réseau privé avec un RPV

Cette rubrique explique comment configurer le scénario B, qui consiste en un réseau en nuage virtuel (VCN) avec un sous-réseau privé régional. D'autres serveurs existent dans des domaines de disponibilité  distincts pour la redondance. Le réseau VCN a une passerelle de routage dynamique  (DRG) et RPV site à site pour la connectivité à votre réseau sur place. Le réseau VCN n'a aucune connexion directe à Internet. Toute connexion à Internet devra avoir lieu de manière indirecte par l'intermédiaire du réseau sur place.

Le sous-réseau utilise la liste de sécurité par défaut, qui comporte des règles par défaut conçues pour faciliter le démarrage avec Oracle Cloud Infrastructure. Les règles permettent l'accès type requis (par exemple, des connexions SSH entrantes et tout type de connexion sortante). N'oubliez pas que les règles de liste de sécurité autorisent uniquement le trafic. Tout trafic non explicitement couvert par une règle de liste de sécurité est refusé.

Ce scénario peut utiliser une passerelle DRG existante ou mise à niveau.

Dans ce scénario, vous ajoutez des règles à la liste de sécurité par défaut. Vous pourriez aussi créer une liste de sécurité personnalisée pour ces règles. Vous configureriez alors le sous-réseau pour qu'il utilise les listes de sécurité par défaut et personnalisée.

Conseil

Les listes de sécurité sont un moyen de contrôler le trafic entrant et sortant des ressources du réseau VCN. Vous pouvez également utiliser des groupes de sécurité de réseau, qui vous permettent d'appliquer un jeu de règles de sécurité à un ensemble de ressources dont la situation en matière de sécurité est identique.

Le sous-réseau utilise la table de routage par défaut, qui ne comporte aucune règle au départ lors de la création du réseau VCN. Dans ce scénario, la table ne comporte qu'une seule règle pour la passerelle DRG. Aucune règle de routage n'est requise pour diriger le trafic au sein du VCN même. Le sous-réseau utilise la liste de sécurité par défaut. Voir la figure suivante.

Cette image présente le scénario B : un réseau VCN avec un sous-réseau privé régional et une connexion RPV IPSec.
Légende 1 : Table de routage de sous-réseau privé régional
CIDR de destination Cible de routage
0.0.0.0/0 DRG
Conseil

Le scénario utilise RPV site à site pour la connectivité. Toutefois, vous pourriez aussi utiliser Oracle Cloud Infrastructure FastConnect.

Préalables

Pour configurer le RPV dans ce scénario, vous devez vous procurer les informations suivantes auprès d'un administrateur de réseau :

  • L'adresse IP publique de l'équipement local d'abonné (CPE) à votre extrémité du RPV
  • Les routes statiques pour votre réseau sur place (ce scénario utilise un routage statique pour les tunnels RPV, mais vous pourriez aussi utiliser un routage dynamique BGP)

Vous fournissez ces informations à Oracle et recevez en retour celles dont votre administrateur de réseau doit disposer pour configurer le CPE à votre extrémité du RPV.

Politique GIA requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès de sécurité au moyen d'une politique . Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur le type d'accès qui vous a été octroyé et le compartiment  à utiliser.

Si vous êtes membre du groupe Administrateurs, vous disposez déjà de l'accès requis pour mettre en oeuvre le scénario B. Sinon, il vous faut l'accès au service Réseau et l'autorisation de lancer des instances. Voir Politiques de gestion des identités et des accès pour le service de réseau.

Configuration du scénario B

Le processus de configuration est simple dans la console. Vous pouvez également utiliser l'API d'Oracle Cloud Infrastructure, qui vous permet d'effectuer vous-même les opérations individuelles.

Important

La plus grande partie de ce processus implique l'utilisation pour une courte période de la console ou de l'API (selon votre choix) pour configurer les composants du service Réseau souhaités. Toutefois, lors d'une étape critique, un administrateur du réseau de votre organisation devra prendre les informations que vous recevez pendant la configuration des composants et les utiliser pour paramétrer le CPE à votre extrémité du RPV. Par conséquent, le processus ne peut pas être exécuté lors d'une courte session. Prévoyez une pause pendant que l'administrateur de réseau termine la configuration, et revenez ensuite pour confirmer la communication avec vos instances sur le RPV.

Utilisation de la console

Tâche 1 : Configurer le réseau VCN et le sous-réseau

  1. Créez le VCN :

    1. Ouvrez le menu de navigation, cliquez sur Réseau, puis sur Réseaux en nuage virtuels.
    2. Sous Portée de la liste, sélectionnez un compartiment que vous êtes autorisé à utiliser pour les mises à jour de page in.The afin d'afficher uniquement les ressources de ce compartiment. Si vous ne savez pas quel compartiment utiliser, communiquez avec un administrateur. Pour plus d'informations, voir Contrôle de l'accès.
    3. Cliquez sur Créer un réseau en nuage virtuel.

    4. Entrez les informations suivantes :

      • Nom : Nom descriptif du VCN. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
      • Créer dans le compartiment : Laissez tel quel.
      • Bloc CIDR : Un ou plusieurs blocs CIDR qui ne se chevauchent pas pour le VCN. Par exemple : 172.16.0.0/16. Vous pouvez ajouter ou supprimer des blocs CIDR ultérieurement. Voir Taille et intervalles d'adresses de réseau VCN autorisés. Pour référence, ici, un calculateur CIDR.
      • Permettre l'affectation d'adresse IPv6 : L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.
      • Utiliser les noms d'hôte DNS dans ce VCN : Cette option est requise pour affecter des noms d'hôte DNS aux hôtes du VCN et requise si vous prévoyez d'utiliser la fonction DNS par défaut du VCN (appelée résolveur Internet et de VCN). Si vous sélectionnez cette option, vous pouvez spécifier une étiquette DNS pour le VCN ou vous pouvez autoriser la console à en générer une pour vous. The dialog box automatically displays the corresponding DNS Domain Name for the VCN (<VCN_DNS_label>.oraclevcn.com). Pour plus d'informations, voir DNS dans le réseau en nuage virtuel.
      • Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.

    5. Cliquez sur Créer un réseau en nuage virtuel.

      Le VCN est ensuite créé et affiché dans la page Réseaux en nuage virtuels du compartiment sélectionné.

  2. Créez le sous-réseau privé régional :

    1. Toujours dans la page du VCN, cliquez sur Créer un sous-réseau.

    2. Entrez les informations suivantes :

      • Nom : Nom convivial pour le sous-réseau (par exemple, Sous-réseau public régional). Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
      • Régional ou Spécifique du domaine de disponibilité : Sélectionnez Régional (requis), ce qui signifie que le sous-réseau couvre tous les domaines de disponibilité de la région. Ensuite, lorsque vous lancez une instance, vous pouvez la créer dans n'importe quel domaine de disponibilité de la région. Pour plus d'informations, voir Aperçu des réseaux en nuage virtuels et des sous-réseaux.
      • Bloc CIDR : Bloc CIDR contigu unique au sein du bloc CIDR du VCN. Par exemple : 172.16.0.0/24. Vous ne pourrez pas modifier cette valeur ultérieurement. Pour référence, ici, un calculateur CIDR.
      • Permettre l'affectation d'adresse IPv6 : Cette option est disponible uniquement si le VCN est dans le nuage gouvernemental pour les États-Unis. Pour plus d'informations, voir Adresses IPv6.
      • Table de routage : Sélectionnez la table de routage par défaut.
      • Sous réseau privé ou public : Sélectionnez Sous-réseau privé; les instances du sous-réseau ne peuvent pas avoir des adresses IP publiques. Pour plus d'informations, voir Accès à Internet.
      • Utiliser les noms d'hôte DNS dans ce sous-réseau : Cette option est disponible uniquement si une étiquette DNS a été fournie pour le VCN lors de sa création. L'option est obligatoire pour l'affectation des noms DNS aux hôtes du sous-réseau et également si vous prévoyez d'utiliser la fonction DNS par défaut du VCN (appelée Résolveur Internet et de réseau en nuage virtuel). Si vous cochez la case, vous pouvez spécifier une étiquette DNS pour le sous-réseau ou laisser la console en générer une pour vous. La boîte de dialogue affiche automatiquement le nom de domaine DNS correspondant pour le sous-réseau en tant que nom de domaine complet. Pour plus d'informations, voir DNS dans le réseau en nuage virtuel.
      • Options DHCP : Sélectionnez le jeu d'options DHCP par défaut.
      • Listes de sécurité : Sélectionnez la liste de sécurité par défaut.
      • Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.

    3. Cliquez sur Créer un sous-réseau.

      Le sous-réseau est ensuite créé et affiché dans la page Sous-réseaux.

  3. Mettez à jour la liste de sécurité par défaut pour inclure des règles qui autorisent les types de connexion dont vos instances dans le VCN ont besoin :

    1. Toujours dans la page affichant les sous-réseaux de votre VCN, cliquez sur Listes de sécurité, puis sur la liste de sécurité par défaut.
    2. Sous Ressources, cliquez sur Règles de trafic entrant ou sur Règles de trafic sortant selon le type de règle avec lequel vous voulez travailler. Vous pouvez ajouter une règle à la fois en cliquant sur Ajouter une règle de trafic entrant ou Ajouter une règle de trafic sortant.

    3. Ajoutez les règles voulues. Voici des suggestions à ajouter aux règles par défaut existant dans la liste de sécurité par défaut :

      Exemple : Accès HTTP entrant
      • Type : Entrant
      • Sans état : Non sélectionné (il s'agit d'une règle avec état)
      • Type de source : CIDR
      • CIDR source : 0.0.0.0/0
      • Protocole IP : TCP
      • Intervalle de ports sources : Tous
      • Intervalle de ports de destination : 80
      • Description : Description facultative de la règle.
      Exemple : Accès HTTPS entrant
      • Type : Entrant
      • Sans état : Non sélectionné (il s'agit d'une règle avec état)
      • Type de source : CIDR
      • CIDR source : 0.0.0.0/0
      • Protocole IP : TCP
      • Intervalle de ports sources : Tous
      • Intervalle de ports de destination : 443
      • Description : Description facultative de la règle.
      Exemple : Accès SQL*Net entrant pour les bases de données Oracle
      • Type : Entrant
      • Sans état : Non sélectionné (il s'agit d'une règle avec état)
      • Type de source : CIDR
      • CIDR source : 0.0.0.0/0
      • Protocole IP : TCP
      • Intervalle de ports sources : Tous
      • Intervalle de ports de destination : 1521
      • Description : Description facultative de la règle.
      Exemple : Accès RDP entrant requis pour les instances Windows
      • Type : Entrant
      • Sans état : Non sélectionné (il s'agit d'une règle avec état)
      • Type de source : CIDR
      • CIDR source : 0.0.0.0/0
      • Protocole IP : TCP
      • Intervalle de ports sources : Tous
      • Intervalle de ports de destination : 3389
      • Description : Description facultative de la règle.
Conseil

Pour plus de sécurité, vous pouvez modifier toutes les règles de trafic entrant avec état afin de permettre le trafic depuis vos réseaux VCN et sur place. Créez des règles distinctes pour chacun, une avec le CIDR du VCN comme source, et une avec le CIDR du réseau sur place.

Pour un réseau VCN de production, vous configurez généralement une ou plusieurs listes de sécurité personnalisées pour chaque sous-réseau. Vous pouvez modifier le sous-réseau pour utiliser des listes de sécurité différentes si vous le souhaitez. Si vous décidez de ne pas utiliser la liste de sécurité par défaut, étudiez d'abord avec soin les règles que vous voulez dupliquer dans la liste de sécurité personnalisée. Par exemple, les règles ICMP par défaut de la liste de sécurité par défaut sont importantes pour la réception de messages de connectivité.

Tâche 2 : Créer des instances dans des domaines de disponibilité distincts

Vous pouvez maintenant créer une ou plusieurs instances dans le sous-réseau (voir Lancement d'une instance ). Le diagramme du scénario présente des instances dans deux domaines de disponibilité différents. Lorsque vous créez l'instance, vous choisissez le domaine de disponibilité, le réseau VCN et le sous-réseau à utiliser, ainsi que plusieurs autres caractéristiques.

Cependant, vous ne pouvez pas encore communiquer avec les instances, car aucune passerelle ne connecte le réseau VCN à votre réseau sur place. La procédure suivante vous guide tout au long de la configuration de RPV site à site pour activer cette communication.

Tâche 3 : Ajouter RPV site à site à votre réseau VCN

  1. Créez un objet d'équipement local d'abonné (CPE) :

    1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur Appareil client.
    2. Cliquez sur Créer un équipement local d'abonné.
    3. Entrez les informations suivantes :
      • Créer dans le compartiment : Laissez tel quel (le compartiment dans lequel vous travaillez actuellement).
      • Nom : Nom convivial pour l'objet d'équipement local d'abonné. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
      • Adresse IP : Adresse IP publique du CPE à votre extrémité du RPV (voir Préalables).
    4. Cliquez sur Créer.

    L'objet de CPE est à l'état "Provisionnement" pour une courte période.

  2. Créez une passerelle de routage dynamique (DRG) :

    1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur Passerelle de routage dynamique.
    2. Cliquez sur Créer une passerelle de routage dynamique.
    3. Pour Créer dans le compartiment : Laissez la valeur par défaut (le compartiment dans lequel vous travaillez actuellement).
    4. Entrez un nom convivial pour la passerelle DRG. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
    5. Cliquez sur Créer.

    La passerelle DRG sera à l'état "Provisionnement" pour une courte période. Attendez que la passerelle DRG soit entièrement provisionnée avant de continuer.

  3. Attachez la passerelle DRG à votre réseau VCN :

    1. Cliquez sur la passerelle DRG que vous avez créée.
    2. Sous Ressources, cliquez sur Réseaux en nuage virtuels.
    3. Cliquez sur Attacher au réseau en nuage virtuel.
    4. Sélectionnez le réseau VCN. Ignorez la section pdes options avancées, qui ne concerne qu'un scénario de routage avancé appelé Routage de transit, qui n'est pas pertinent ici.
    5. Cliquez sur Attacher.

    L'attachement est à l'état "Attachement" pendant une courte période. Attendez la fin du processus.

  4. Mettez à jour la table de routage par défaut (qui ne comporte pas encore de règle) :

    1. Ouvrez le menu de navigation, cliquez sur Réseau, puis sur Réseaux en nuage virtuels.
    2. Cliquez sur votre VCN.
    3. Sous Ressources, cliquez sur Tables de routage, puis sur la table de routage par défaut.
    4. Cliquez sur Ajouter une règle de routage.

    5. Entrez les informations suivantes :

      • Type de cible : Passerelle de routage dynamique. La passerelle DRG attachée au réseau VCN est automatiquement sélectionnée en tant que cible et vous n'avez pas besoin de définir cette dernière.
      • Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que tout le trafic non intra-VCN qui n'est pas encore couvert par d'autres règles de la table de routage est dirigé vers la cible spécifiée dans cette règle).
      • Description : Description facultative de la règle.

    6. Cliquez sur Ajouter une règle de routage.

      La table de routage par défaut du VCN dirige maintenant le trafic sortant vers la passerelle DRG et finalement vers votre réseau sur place.

  5. Créez une connexion IPSec :

    1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur RPV site-à-site.
    2. Cliquez sur Créer une connexion IPSec.

    3. Entrez les informations suivantes :

      • Créer dans le compartiment : Laissez tel quel (le compartiment dans lequel vous travaillez actuellement).
      • Nom : Entrez un nom convivial pour la connexion à IPSec. Il ne doit pas nécessairement être unique. Évitez d'entrer des informations confidentielles.
      • Compartiment de l'équipement local d'abonné : Laissez tel quel (le compartiment du VCN).
      • Équipement local d'abonné : Sélectionnez l'objet CPE créé précédemment.
      • Compartiment de la passerelle de routage dynamique : Laissez tel quel (le compartiment du VCN).
      • Passerelle de routage dynamique : Sélectionnez la passerelle DRG que vous avez créée précédemment.
      • CIDR de route statique : Entrez au moins un bloc CIDR de route statique (voir Préalables). Si vous devez en ajouter une autre, cliquez sur Ajouter un routage statique. Vous pouvez entrer jusqu'à 10 routes statiques et modifier les routes statiques ultérieurement.
    4. Cliquez sur Afficher les options avancées et, facultativement, fournissez les éléments suivants :

    5. Cliquez sur Créer une connexion IPSec.

      La connexion IPSec est créée et affichée dans la page. La connexion est à l'état Provisionnement pour une courte période.

      Les informations sur le tunnel affichées comprennent l'adresse IP de la tête de réseau RPV, ainsi que le statut IPSec du tunnel (valeurs possibles : Actif, Inactif et Arrêté pour maintenance). À ce stade, le statut est Inactif. Pour voir la clé secrète partagée du tunnel, cliquez sur le menu Actions (Menu Actions), puis sur Voir la clé secrète partagée.

    6. Copiez l'adresse IP du RPV Oracle et la clé secrète partagée de chacun des tunnels et partagez-les avec l'ingénieur réseau qui configure le routeur sur place.

      Pour plus d'informations, voir Configuration de l'équipement local d'abonné. Vous pouvez voir les informations du tunnel ici dans la console, à tout moment.

Vous avez maintenant créé tous les composants requis pour le RPV site à site. L'administrateur de réseau doit ensuite configurer l'appareil CPE pour que le trafic réseau puisse circuler entre votre réseau sur place et votre VCN.

Tâche 4 : Configurer votre équipement local d'abonné

Ces instructions sont destinées à l'administrateur de réseau.

  1. Assurez-vous que vous disposez des informations de configuration de tunnel fournies lors de la configuration de Connexion RPV. Voir Tâche 3 : Ajouter RPV site à site à votre réseau VCN.
  2. Configurez votre CPE en suivant les informations de Configuration de l'équipement local d'abonné.

S'il existe déjà des instances dans le sous-réseau, vous pouvez confirmer que la connexion IPSec est active en vous connectant aux instances de votre réseau sur place.

Utilisation de l'API

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Utilisez les opérations suivantes :

  1. CreateVcn : Incluez toujours une étiquette DNS pour le VCN si vous souhaitez que les instances aient des noms d'hôte (voir DNS dans le réseau en nuage virtuel).
  2. CreateSubnet : Permet de créer un sous-réseau public régional. Incluez une étiquette DNS pour le sous-réseau si vous souhaitez que les instances aient des noms d'hôte. Utilisez la table de routage par défaut, la liste de sécurité par défaut et le jeu d'options DHCP par défaut.
  3. CreateDrg : Crée une passerelle de routage dynamique (DRG).
  4. CreateDrgAttachment : Permet d'attacher la passerelle DRG au réseau VCN.
  5. CreateCpe : Fournissez l'adresse IP publique du CPE à votre extrémité du RPV (voir Préalables).
  6. CreateIPSecConnection : Fournissez les routes statiques de votre réseau sur place (voir Préalables). La commande retourne les informations de configuration dont l'administrateur de réseau a besoin pour configurer votre CPE. Si vous avez besoin de ces informations ultérieurement, vous pourrez les obtenir avec GetIPSecConnectionDeviceConfig. Pour plus d'informations sur la configuration, voir Configuration de l'équipement local d'abonné.
  7. UpdateRouteTable : Pour activer la communication au moyen du RPV, mettez à jour la table de routage par défaut afin d'inclure cette route : une règle de routage avec la destination = 0.0.0.0/0, et la cible de destination = la passerelle DRG que vous avez créée précédemment.

  8. Appelez tout d'abord GetSecurityList pour obtenir la liste de sécurité par défaut, puis UpdateSecurityList afin d'ajouter des règles pour les types de connexion dont vos instances dans le VCN ont besoin. Notez que UpdateSecurityList remplace l'ensemble des règles. Voici des suggestions pour l'ajout :

    • Trafic entrant avec état : type de source=CIDR, CIDR source=0.0.0.0/0, protocole=TCP, port source= tous, port de destination=80 (pour HTTP).
    • Trafic entrant avec état : type de source=CIDR, CIDR source=0.0.0.0/0, protocole=TCP, port source=tous, port de destination=443 (pour HTTPS).
    • Trafic entrant avec état : type de source=CIDR, CIDR source=0.0.0.0/0, protocole=TCP, port source= tous, port de destination=1521 (pour l'accès SQL*Net aux bases de données Oracle).
    • Trafic entrant avec état : type de source=CIDR, CIDR source=0.0.0.0/0, protocole=TCP, port source=tous, port de destination=3389 (pour RDP; requis seulement si des instances Windows sont utilisées).
  9. LaunchInstance : Permet de créer une ou plusieurs instances dans le sous-réseau. Le diagramme du scénario présente des instances dans deux domaines de disponibilité différents. Lorsque vous créez l'instance, vous choisissez le domaine de disponibilité, le réseau VCN et le sous-réseau à utiliser, ainsi que plusieurs autres caractéristiques. Pour plus d'informations, voir Création d'une instance.
Conseil

Pour plus de sécurité, vous pouvez modifier toutes les règles de trafic entrant avec état afin de permettre le trafic uniquement depuis vos réseaux VCN et sur place. Créez des règles distinctes pour chacun, une avec le CIDR du VCN comme source, et une avec le CIDR du réseau sur place.
Important

Même si vous pouvez créer des instances dans le sous-réseau, vous ne pourrez pas communiquer avec elles depuis votre réseau sur place tant que l'administrateur de réseau n'aura pas configuré votre CPE (voir Configuration de l'équipement local d'abonné). Par la suite, le RPV site à site devrait être opérationnel. Vous pouvez confirmer son statut à l'aide de GetIPSecConnectionDeviceStatus. Vous pouvez également confirmer que RPV site à site est actif en vous connectant aux instances de votre réseau sur place.