Documentation sur Oracle Cloud Infrastructure

Scénario C : Sous-réseaux publics et privés avec un RPV

Cette rubrique décrit comment configurer le scénario C, qui est un exemple simple de configuration sur plusieurs niveaux. Il se compose d'un réseau en nuage virtuel (VCN) avec un sous-réseau public régional pour contenir des serveurs publics (tels que des serveurs Web) et d'un sous-réseau privé régional pour contenir des serveurs privés (comme les serveurs de base de données). Les serveurs existent dans des domaines de disponibilité  distincts pour la redondance.

Le réseau VCN a une passerelle de routage dynamique  (DRG) et RPV site à site pour la connectivité à votre réseau sur place. Les instances du sous-réseau public ont un accès direct à Internet au moyen d'une passerelle Internet . Les instances du sous-réseau privé peuvent lancer des connexions à Internet au moyen d'une passerelle NAT (par exemple, pour obtenir des mises à jour logicielles), mais ne peuvent pas recevoir de connexions entrantes depuis Internet au moyen de cette passerelle.

Chaque sous-réseau utilise la liste de sécurité par défaut, qui comporte des règles par défaut conçues pour faciliter le démarrage avec Oracle Cloud Infrastructure. Les règles permettent l'accès type requis (par exemple, des connexions SSH entrantes et tout type de connexion sortante). N'oubliez pas que les règles de liste de sécurité autorisent uniquement le trafic. Tout trafic non explicitement couvert par une règle de liste de sécurité est refusé.

Conseil

Les listes de sécurité sont un moyen de contrôler le trafic entrant et sortant des ressources du réseau VCN. Vous pouvez également utiliser des groupes de sécurité de réseau, qui vous permettent d'appliquer un jeu de règles de sécurité à un ensemble de ressources dont la situation en matière de sécurité est identique.

Ce scénario peut utiliser une passerelle DRG existante ou mise à niveau.

Chaque sous-réseau comporte également sa propre liste de sécurité personnalisée et sa propre table de routage personnalisée avec des règles spécifiques aux instances du sous-réseau. Dans ce scénario, la table de routage par défaut du VCN (qui est toujours vide au départ) n'est pas utilisée.

Voir la figure suivante.

Cette image présente le scénario C : une connexion VCN avec un sous-réseau public et un sous-réseau privé, une passerelle Internet, une passerelle NAT et une connexion RPV IPSec.
Légende 1 : Table de routage de sous-réseau privé régional
CIDR de destination Cible de routage
0.0.0.0/0 Passerelle NAT
10.0.0.0/16 DRG
Légende 2 : Table de routage de sous-réseau public régional
CIDR de destination Cible de routage
0.0.0.0/0 Passerelle Internet
Conseil

Le scénario utilise RPV site à site pour la connectivité. Toutefois, vous pourriez aussi utiliser Oracle Cloud Infrastructure FastConnect.

Préalables

Pour configurer le RPV dans ce scénario, vous devez vous procurer les informations suivantes auprès d'un administrateur de réseau :

  • L'adresse IP publique de l'équipement local d'abonné (CPE) à votre extrémité du RPV
  • Les routes statiques pour votre réseau sur place (ce scénario utilise un routage statique pour les tunnels RPV, mais vous pourriez aussi utiliser un routage dynamique BGP)

Vous fournissez ces informations à Oracle et recevez en retour celles requises par l'administrateur de réseau pour configurer le routeur sur place à votre extrémité du RPV.

Politique IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès de sécurité au moyen d'une politique . Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur le type d'accès qui vous a été octroyé et le compartiment  à utiliser.

Si vous êtes membre du groupe Administrateurs, vous disposez déjà de l'accès requis pour mettre en oeuvre le scénario C. Sinon, il vous faut l'accès au service Réseau et l'autorisation de lancer des instances. Voir Politiques de gestion des identités et des accès pour le service de réseau.

Configuration du scénario C

Le processus de configuration est simple dans la console. Vous pouvez également utiliser l'API d'Oracle Cloud Infrastructure, qui vous permet de mettre en oeuvre vous-même les opérations individuelles.

Important

La plus grande partie de ce processus implique l'utilisation pour une courte période de la console ou de l'API (selon votre choix) pour configurer les composants du service Réseau requis. Toutefois, lors d'une étape critique, un administrateur du réseau de votre organisation devra prendre les informations que vous recevez pendant la configuration des composants et les utiliser pour paramétrer le routeur sur place à votre extrémité du RPV. Par conséquent, le processus ne peut pas être exécuté lors d'une courte session. Faites une pause pendant que l'administrateur de réseau termine la configuration, puis confirmez la communication avec vos instances sur le RPV.

Utilisation de la console

Tâche 1 : Configurer le VCN et les sous-réseaux

  1. Créez le VCN :

    1. Ouvrez le menu de navigation, cliquez sur Réseau, puis sur Réseaux en nuage virtuels.
    2. Sous Portée de la liste, sélectionnez un compartiment que vous êtes autorisé à utiliser. La page est mise à jour pour afficher uniquement les ressources de ce compartiment. Si vous ne savez pas quel compartiment utiliser, communiquez avec un administrateur. Pour plus d'informations, voir Contrôle de l'accès.
    3. Cliquez sur Créer un réseau en nuage virtuel.

    4. Entrez les informations suivantes :

      • Nom : Nom convivial du VCN. Il n'est pas nécessaire que ce nom soit unique. Il ne pourra pas être modifié plus tard dans la console (mais pourra l'être avec l'API). Évitez d'entrer des informations confidentielles.
      • Créer dans le compartiment : Laissez tel quel.
      • Bloc CIDR : Un ou plusieurs blocs CIDR qui ne se chevauchent pas pour le VCN. Par exemple : 172.16.0.0/16. Vous pouvez ajouter ou supprimer des blocs CIDR ultérieurement. Voir Taille et intervalles d'adresses de réseau VCN autorisés. Pour référence, ici, un calculateur CIDR.
      • Permettre l'affectation d'adresse IPv6 : L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.
      • Utiliser les noms d'hôte DNS dans ce VCN : Cette option est requise pour affecter des noms d'hôte DNS aux hôtes du VCN et requise si vous prévoyez d'utiliser la fonction DNS par défaut du VCN (appelée résolveur Internet et de VCN). Si vous sélectionnez cette option, vous pouvez spécifier une étiquette DNS pour le VCN ou vous pouvez autoriser la console à en générer une pour vous. The dialog box automatically displays the corresponding DNS Domain Name for the VCN (<VCN_DNS_label>.oraclevcn.com). Pour plus d'informations, voir DNS dans le réseau en nuage virtuel.
      • Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.

    5. Cliquez sur Créer un réseau en nuage virtuel.

      Le VCN est ensuite créé et affiché dans la page Réseaux en nuage virtuels du compartiment sélectionné.

  2. Créez une passerelle Internet pour votre VCN :

    1. Sous Ressources, cliquez sur Passerelles Internet.
    2. Cliquez sur Créer une passerelle Internet.

    3. Entrez les informations suivantes :

      • Nom : Nom convivial de la passerelle Internet. Il n'est pas nécessaire que ce nom soit unique. Il ne pourra pas être modifié plus tard dans la console (mais pourra l'être avec l'API). Évitez d'entrer des informations confidentielles.
      • Créer dans le compartiment : Laissez tel quel.
      • Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.

    4. Cliquez sur Créer une passerelle Internet.

      La passerelle Internet est alors créée et indiquée dans la page.

  3. Créez une passerelle NAT pour votre VCN :

    1. Sous Ressources, cliquez sur Passerelles NAT.
    2. Cliquez sur Créer une passerelle NAT.

    3. Entrez les informations suivantes :

      • Nom : Nom convivial de la passerelle NAT. Il n'est pas nécessaire que ce nom soit unique. Il ne pourra pas être modifié plus tard dans la console (mais pourra l'être avec l'API). Évitez d'entrer des informations confidentielles.
      • Créer dans le compartiment : Laissez tel quel.
      • Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.

    4. Cliquez sur Créer une passerelle NAT.

      La passerelle NAT est ensuite créée et indiquée sur la page.

  4. Créez la table de routage personnalisée pour le sous-réseau public (que vous créerez ultérieurement) :

    1. Sous Ressources, cliquez sur Tables de routage.
    2. Cliquez sur Créer une table de routage.

    3. Entrez les informations suivantes :

      • Nom : Nom convivial de la table de routage (par exemple, Table de routage de sous-réseau public). Il n'est pas nécessaire que ce nom soit unique. Il ne pourra pas être modifié plus tard dans la console (mais pourra l'être avec l'API). Évitez d'entrer des informations confidentielles.
      • Créer dans le compartiment : Laissez tel quel (le compartiment dans lequel vous travaillez actuellement).

      • Cliquez sur + Règle de routage supplémentaire et entrez les données suivantes :

        • Type de cible : Passerelle Internet.
        • Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que tout le trafic non intra-VCN qui n'est pas encore couvert par d'autres règles de la table de routage est dirigé vers la cible spécifiée dans cette règle).
        • Compartiment : Laissez tel quel.
        • Cible : Passerelle Internet que vous avez créée.
        • Description : Description facultative de la règle.
    4. Marqueurs : Laissez tel quel. Vous pouvez ajouter des marqueurs ultérieurement. Pour plus d'informations, voir Marqueurs de ressource.

    5. Cliquez sur Créer une table de routage.

      La table de routage est ensuite créée et répertoriée sur la page.

  5. Créez la table de routage personnalisée pour le sous-réseau privé (que vous créerez ultérieurement) :

    1. Cliquez sur Créer une table de routage.

    2. Entrez les informations suivantes :

      • Nom : Nom convivial de la table de routage (par exemple, Table de routage de sous-réseau privé). Il n'est pas nécessaire que ce nom soit unique. Il ne pourra pas être modifié plus tard dans la console (mais pourra l'être avec l'API). Évitez d'entrer des informations confidentielles.
      • Créer dans le compartiment : Laissez tel quel (le compartiment dans lequel vous travaillez actuellement).

      • Cliquez sur + Règle de routage supplémentaire et entrez les données suivantes :

        • Type de cible : passerelle NAT.
        • Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que tout le trafic non intra-VCN qui n'est pas encore couvert par d'autres règles de la table de routage est dirigé vers la cible spécifiée dans cette règle).
        • Compartiment : Laissez tel quel.
        • Cible : La passerelle NAT que vous avez créée.
        • Description : Description facultative de la règle.
    3. Marqueurs : Laissez tel quel. Vous pouvez ajouter des marqueurs ultérieurement. Pour plus d'informations, voir Marqueurs de ressource.

    4. Cliquez sur Créer une table de routage.

      La table de routage est ensuite créée et répertoriée sur la page. Après avoir configuré RPV site à site, vous mettez à jour la table de routage du sous-réseau privé afin qu'elle dirige le trafic du sous-réseau privé vers le réseau sur place au moyen de la passerelle DRG.

  6. Mettez à jour la liste de sécurité par défaut pour inclure des règles qui autorisent les types de connexion dont vos instances dans le VCN ont besoin :

    1. Sous Ressources, cliquez sur Listes de sécurité.
    2. Cliquez sur la liste de sécurité par défaut pour en voir les détails. Par défaut, vous accédez à la page Règles de trafic entrant.
    3. Modifiez chacune des règles de trafic entrant avec état existantes de sorte que le CIDR source soit le CIDR de votre réseau sur place (10.0.0.0/16 dans cet exemple) et non 0.0.0.0/0. Pour modifier une règle existante, cliquez sur le menu Actions (Menu Actions) pour la règle, puis sur Modifier.

    4. Si vous prévoyez de lancer des instances Windows, ajoutez une règle pour activer l'accès RDP :

  7. Créez une liste de sécurité personnalisée pour le sous-réseau public :

    1. Retournez à la page Listes de sécurité pour le VCN.
    2. Cliquez sur Créer une liste de sécurité.

    3. Entrez les informations suivantes :

      • Nom : Entrez un nom convivial pour la liste (par exemple, Liste de sécurité du sous-réseau public). Il n'est pas nécessaire que ce nom soit unique. Il ne pourra pas être modifié plus tard dans la console (mais pourra l'être avec l'API). Évitez d'entrer des informations confidentielles.
      • Créer dans le compartiment : Laissez tel quel (le compartiment dans lequel vous travaillez actuellement).

    4. Ajoutez les règles de trafic entrant suivantes :

      Exemple : Accès HTTP entrant
      • Type : Entrant
      • Sans état : Non sélectionné (il s'agit d'une règle avec état)
      • Type de source : CIDR
      • CIDR source : 0.0.0.0/0
      • Protocole IP : TCP
      • Intervalle de ports sources : Tous
      • Intervalle de ports de destination : 80
      • Description : Description facultative de la règle.
      Exemple : Accès HTTPS entrant
      • Type : Entrant
      • Sans état : Non sélectionné (il s'agit d'une règle avec état)
      • Type de source : CIDR
      • CIDR source : 0.0.0.0/0
      • Protocole IP : TCP
      • Intervalle de ports sources : Tous
      • Intervalle de ports de destination : 443
      • Description : Description facultative de la règle.

    5. Ajoutez la règle de trafic sortant suivante :

    6. Cliquez sur Créer une liste de sécurité.

      La liste de sécurité personnalisée du sous-réseau public est alors créée et répertoriée sur la page.

  8. Créez une liste de sécurité personnalisée pour le sous-réseau privé :

    1. Cliquez sur Créer une liste de sécurité.

    2. Entrez les informations suivantes :

      • Nom : Entrez un nom convivial pour la liste (par exemple, Liste de sécurité du sous-réseau privé). Il n'est pas nécessaire que ce nom soit unique. Il ne pourra pas être modifié plus tard dans la console (mais pourra l'être avec l'API). Évitez d'entrer des informations confidentielles.
      • Créer dans le compartiment : Laissez tel quel (le compartiment dans lequel vous travaillez actuellement).

    3. Ajoutez les règles de trafic entrant suivantes :

      Exemple : Accès SQL*Net entrant depuis des clients dans le sous-réseau public
      • Type : Entrant
      • Sans état : Non sélectionné (il s'agit d'une règle avec état)
      • Type de source : CIDR
      • CIDR source : CIDR du sous-réseau public (172.16.1.0/24 dans cet exemple)
      • Protocole IP : TCP
      • Intervalle de ports sources : Tous
      • Intervalle de ports de destination : 1521
      • Description : Description facultative de la règle.
      Exemple : Accès SQL*Net entrant depuis des clients dans le sous-réseau privé
      • Type : Entrant
      • Sans état : Non sélectionné (il s'agit d'une règle avec état)
      • Type de source : CIDR
      • CIDR source : CIDR du sous-réseau privé (172.16.2.0/24 dans cet exemple)
      • Protocole IP : TCP
      • Intervalle de ports sources : Tous
      • Intervalle de ports de destination : 1521
      • Description : Description facultative de la règle.

    4. Ajoutez les règles de trafic sortant suivantes :

    5. Cliquez sur Créer une liste de sécurité.

      La liste de sécurité personnalisée du sous-réseau privé est alors créée et répertoriée sur la page.

  9. Créez des sous-réseaux dans le VCN :

    1. Sous Ressources, cliquez sur Sous-réseaux.
    2. Cliquez sur Créer un sous-réseau.

    3. Entrez les informations suivantes :

      • Nom : Nom convivial du sous-réseau régional (par exemple, Sous-réseau public régional). Il n'est pas nécessaire que ce nom soit unique. Il ne pourra pas être modifié plus tard dans la console (mais pourra l'être avec l'API). Évitez d'entrer des informations confidentielles.
      • Régional ou Spécifique du domaine de disponibilité : Sélectionnez Régional (recommandé); ce qui signifie que le sous-réseau couvre tous les domaines de disponibilité de la région. Ensuite, lorsque vous lancez une instance, vous pouvez la créer dans n'importe quel domaine de disponibilité de la région. Pour plus d'informations, voir Aperçu des réseaux en nuage virtuels et des sous-réseaux.
      • Bloc CIDR : Bloc CIDR contigu unique au sein du bloc CIDR du VCN. Par exemple : 172.16.1.0/24. Vous ne pourrez pas modifier cette valeur ultérieurement. Pour référence, ici, un calculateur CIDR.
      • Activer l'affectation d'adresse IPv6 : Cette option est disponible uniquement si le VCN est activé pour IPv6. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.
      • Table de routage : Sélectionnez la table de routage du sous-réseau privé que vous avez créée précédemment.
      • Sous-réseau privé ou public : Sélectionnez Sous-réseau privé, ce qui signifie que les cartes vNIC du sous-réseau ne sont pas autorisées à avoir des adresses IP publiques. Pour plus d'informations, voir Accès à Internet.
      • Utiliser les noms d'hôte DNS dans ce sous-réseau : Cette option est disponible uniquement si une étiquette DNS a été fournie pour le VCN lors de sa création. L'option est obligatoire pour l'affectation des noms DNS aux hôtes du sous-réseau et également si vous prévoyez d'utiliser la fonction DNS par défaut du VCN (appelée Résolveur Internet et de réseau en nuage virtuel). Si vous cochez la case, vous pouvez spécifier une étiquette DNS pour le sous-réseau ou laisser la console en générer une pour vous. La boîte de dialogue affiche automatiquement le nom de domaine DNS correspondant pour le sous-réseau en tant que nom de domaine complet. Pour plus d'informations, voir DNS dans le réseau en nuage virtuel.
      • Options DHCP : Sélectionnez le jeu d'options DHCP par défaut.
      • Listes de sécurité : Sélectionnez deux listes de sécurité : la liste de sécurité par défaut et la liste de sécurité du sous-réseau privé que vous avez créées précédemment.

    4. Cliquez sur Créer un sous-réseau.

      Le sous-réseau privé est ensuite créé et affiché dans la page Sous-réseaux.

    5. Répétez les étapes précédentes a à d pour créer le sous-réseau public régional. Utilisez plutôt un nom comme sous-réseau public régional, sélectionnez Sous-réseau public au lieu de Sous-réseau privé, utilisez la table de routage de sous-réseau public, et la liste de sécurité par défaut et la liste de sécurité de sous-réseau public que vous avez créées précédemment.
Exemple : Accès RDP entrant requis pour les instances Windows
  • Type : Entrant
  • Sans état : Non sélectionné (il s'agit d'une règle avec état)
  • Type de source : CIDR
  • CIDR source : Votre réseau sur place (10.0.0.0/16 dans cet exemple)
  • Protocole IP : TCP
  • Intervalle de ports sources : Tous
  • Intervalle de ports de destination : 3389
  • Description : Description facultative de la règle.
Exemple : Accès SQL*Net sortant aux bases de données Oracle
  • Type : Sortant
  • Sans état : Non sélectionné (il s'agit d'une règle avec état)
  • Type de destination : CIDR
  • CIDR de destination : CIDR du sous-réseau privé (172.16.1.0/24 dans cet exemple)
  • Protocole IP : TCP
  • Intervalle de ports sources : Tous
  • Intervalle de ports de destination : 1521
  • Description : Description facultative de la règle.
Exemple : Accès SQL*Net sortant vers des instances du sous-réseau privé
  • Type : Sortant
  • Sans état : Non sélectionné (il s'agit d'une règle avec état)
  • Type de destination : CIDR
  • CIDR de destination : CIDR du sous-réseau privé (172.16.1.0/24 dans cet exemple)
  • Protocole IP : TCP
  • Intervalle de ports sources : Tous
  • Intervalle de ports de destination : 1521
  • Description : Description facultative de la règle.
Tâche 2 : Créer des instances dans des domaines de disponibilité distincts

Vous pouvez maintenant créer une ou plusieurs instances dans le sous-réseau (voir Lancement d'une instance ). Le diagramme du scénario présente des instances dans deux domaines de disponibilité différents. Lorsque vous créez l'instance, vous choisissez le domaine de disponibilité, le réseau VCN et le sous-réseau à utiliser, ainsi que plusieurs autres caractéristiques.

Pour chaque instance du sous-réseau public, vous devez affecter une adresse IP publique à l'instance. Sinon, l'instance n'est pas disponible à partir de votre réseau sur place.

Vous ne pouvez pas encore joindre les instances du sous-réseau privé car aucune passerelle ne connecte le VCN à votre réseau sur place. La procédure suivante vous guide tout au long de la configuration de RPV site à site pour activer cette communication.

Tâche 3 : Ajouter RPV site à site à votre réseau VCN

  1. Créez un objet d'équipement local d'abonné :

    1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur équipement sur place.

    2. Cliquez sur Créer un équipement local d'abonné.

    3. Entrez les informations suivantes :

      • Créer dans le compartiment : Laissez tel quel (le compartiment dans lequel vous travaillez actuellement).
      • Nom : Nom convivial pour l'objet d'équipement local d'abonné. Il n'est pas nécessaire que ce nom soit unique. Il ne pourra pas être modifié plus tard dans la console (mais pourra l'être avec l'API). Évitez d'entrer des informations confidentielles.
      • Adresse IP : Adresse IP publique du routeur sur place à votre extrémité du RPV (voir Préalables).
    4. Cliquez sur Créer.

    L'objet de CPE est à l'état "Provisionnement" pour une courte période.

  2. Créez une passerelle de routage dynamique (DRG) :

    1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur Passerelle de routage dynamique.

    2. Cliquez sur Créer une passerelle de routage dynamique.
    3. Pour Créer dans le compartiment : Laissez la valeur par défaut (le compartiment dans lequel vous travaillez actuellement).
    4. Entrez un nom convivial pour la passerelle DRG. Il n'est pas nécessaire que ce nom soit unique. Il ne pourra pas être modifié plus tard dans la console (mais pourra l'être avec l'API). Évitez d'entrer des informations confidentielles.
    5. Cliquez sur Créer.

    La passerelle DRG sera à l'état "Provisionnement" pour une courte période. Attendez qu'elle soit entièrement provisionnée avant de continuer.

  3. Attachez la passerelle DRG à votre réseau VCN :

    1. Cliquez sur la passerelle DRG que vous avez créée.
    2. Sous Ressources, cliquez sur Réseaux en nuage virtuels.
    3. Cliquez sur Attacher au réseau en nuage virtuel.
    4. Sélectionnez le réseau VCN. Ignorez la section pdes options avancées, qui ne concerne qu'un scénario de routage avancé appelé Routage de transit, qui n'est pas pertinent ici.
    5. Cliquez sur Attacher.

    L'attachement est à l'état "Attachement" pendant une courte période.

  4. Mettez à jour la table de routage du sous-réseau privé (qui comporte déjà une règle pour la passerelle NAT) :

    1. Ouvrez le menu de navigation, cliquez sur Réseau, puis sur Réseaux en nuage virtuels.
    2. Cliquez sur votre VCN.
    3. Cliquez sur Tables de routage, puis sur la table de routage du sous-réseau privé que vous avez créée précédemment.
    4. Cliquez sur Ajouter une règle de routage.

    5. Entrez les informations suivantes :

      • Type de cible : Passerelle de routage dynamique. La passerelle DRG attachée au réseau VCN est automatiquement sélectionnée en tant que cible et vous n'avez pas besoin de définir cette dernière.
      • Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que tout le trafic non intra-VCN qui n'est pas encore couvert par d'autres règles de la table de routage est dirigé vers la cible spécifiée dans cette règle).
      • Description : Description facultative de la règle.

    6. Cliquez sur Ajouter une règle de routage.

      La table est mise à jour pour acheminer tout le trafic destiné à votre réseau sur place vers la passerelle DRG. La règle initiale pour 0.0.0.0/0 achemine le trafic restant quittant le sous-réseau vers la passerelle NAT.

  5. Créez une connexion IPSec :

    1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connexion client, cliquez sur RPV site-à-site.

    2. Cliquez sur Créer une connexion IPSec.

    3. Entrez les informations suivantes :

      • Créer dans le compartiment : Laissez tel quel (le compartiment dans lequel vous travaillez actuellement).
      • Nom : Entrez un nom convivial pour la connexion à IPSec. Il ne doit pas nécessairement être unique. Évitez d'entrer des informations confidentielles.
      • Compartiment de l'équipement local d'abonné : Laissez tel quel (le compartiment du VCN).
      • Équipement local d'abonné : Sélectionnez l'objet CPE créé précédemment.
      • Compartiment de la passerelle de routage dynamique : Laissez tel quel (le compartiment du VCN).
      • Passerelle de routage dynamique : Sélectionnez la passerelle DRG que vous avez créée précédemment.
      • CIDR de route statique : Entrez au moins un bloc CIDR de route statique (voir Préalables). Si vous devez en ajouter une autre, cliquez sur Ajouter un routage statique. Vous pouvez entrer jusqu'à 10 routes statiques et modifier les routes statiques ultérieurement.
    4. Cliquez sur Afficher les options avancées et, facultativement, fournissez les éléments suivants :

    5. Cliquez sur Créer une connexion IPSec.

      La connexion IPSec est créée et affichée dans la page. La connexion est à l'état Provisionnement pour une courte période.

      Les informations sur le tunnel affichées comprennent l'adresse IP de la tête de réseau RPV, ainsi que le statut IPSec du tunnel (valeurs possibles : Actif, Inactif et Arrêté pour maintenance). À ce stade, le statut est Inactif. Pour voir la clé secrète partagée du tunnel, cliquez sur Menu Actions (Menu Actions), Voir la clé secrète partagée.

    6. Copiez l'adresse IP du RPV Oracle et la clé secrète partagée de chacun des tunnels dans un courriel ou à un autre emplacement afin de le transmettre à l'ingénieur réseau qui configure le routeur sur place.

      Pour plus d'informations, voir Configuration de l'équipement local d'abonné. Vous pouvez voir les informations du tunnel ici dans la console, à tout moment.

Vous avez maintenant créé tous les composants requis pour le RPV site à site. Ensuite, l'administrateur de réseau doit encore configurer le routeur sur place pour que le trafic réseau puisse circuler entre votre réseau sur place et votre VCN.

Tâche 4 : Configurer votre routeur sur place (CPE)

Ces instructions sont destinées à l'administrateur de réseau.

  1. Procurez-vous les informations de configuration de tunnel qu'Oracle a fournies lors de la configuration du RPV. Voir Tâche 3 : Ajouter RPV site à site à votre réseau VCN.
  2. Configurez votre routeur sur place en suivant les informations de Configuration de l'équipement local d'abonné.

S'il existe déjà des instances de calcul dans l'un des sous-réseaux, vous pouvez confirmer que la connexion IPSec est active en vous connectant aux instances de votre réseau sur place. Pour vous connecter à des instances du sous-réseau public, vous devez vous connecter à l'adresse IP publique de l'instance.

Utilisation de l'API

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Utilisez les opérations suivantes :

  • CreateVcn : Veillez à inclure une étiquette DNS si vous souhaitez que le VCN utilise le résolveur VCN (voir DNS dans le réseau en nuage virtuel).
  • CreateInternetGateway
  • CreateNatGateway
  • CreateRouteTable : Appelez cette opération pour créer la table de routage du sous-réseau public. Pour permettre la communication par l'intermédiaire de la passerelle Internet, ajoutez une règle de routage avec la destination = 0.0.0.0/0 et la cible = la passerelle Internet que vous avez créée précédemment.
  • CreateRouteTable : Appelez cette opération à nouveau pour créer la table de routage du sous-réseau privé. Pour permettre la communication par l'intermédiaire de la passerelle NAT, ajoutez une règle de routage avec la destination = 0.0.0.0/0 et la cible = la passerelle NAT que vous avez créée précédemment.

  • Appelez tout d'abord GetSecurityList pour obtenir la liste de sécurité par défaut, puis appelez UpdateSecurityList :

    • Modifiez les règles de trafic entrant avec état existantes pour utiliser le CIDR de votre réseau sur place comme CIDR source, au lieu de 0.0.0.0/0.
    • Si vous prévoyez de lancer des instances Windows, ajoutez cette règle de trafic entrant avec état : type de source = CIDR, source CIDR = votre réseau sur place sur TCP, port source = tous, port de destination = 3389 (pour RDP).

  • CreateSecurityList : Appelez cette opération pour créer la liste de sécurité du sous-réseau public avec ces règles :

    • Trafic entrant avec état : type de source = CIDR, CIDR source 0.0.0.0/0 sur TCP, port source = tous, port de destination = 80 (pour HTTP).
    • Trafic entrant avec état : type de source = CIDR, CIDR source 0.0.0.0/0 sur TCP, port source = tous, port de destination = 443 (pour HTTPS).
    • Trafic sortant avec état : type de destination = CIDR, blocs CIDR de destination des sous-réseaux privés sur TCP, port source = tous, port de destination = 1521 (pour les bases de données Oracle)

  • CreateSecurityList : Appelez cette opération de nouveau pour créer la liste de sécurité du sous-réseau privé avec ces règles :

    • Trafic entrant avec état : type de destination = CIDR, blocs CIDR sources des sous-réseaux publics sur TCP, port source = tous, port de destination = 1521 (pour les bases de données Oracle)
    • Trafic entrant avec état : type de destination = CIDR, blocs CIDR sources des sous-réseaux privés sur TCP, port source = tous, port de destination = 1521 (pour les bases de données Oracle)
    • Trafic sortant avec état : type de destination = CIDR, blocs CIDR de destination des sous-réseaux privés sur TCP, port source = tous, port de destination = 1521 (pour les bases de données Oracle)
  • CreateSubnet : Appelez cette opération pour créer un sous-réseau public régional. Incluez une étiquette DNS pour le sous-réseau si vous souhaitez que les noms d'hôte des cartes vNIC soient résolus par le résolveur VCN. Utilisez la table de routage du sous-réseau public que vous avez créée précédemment. Utilisez à la fois la liste de sécurité par défaut et la liste de sécurité du sous-réseau public que vous avez créées précédemment. Utilisez l'ensemble des options DHCP par défaut.
  • CreateSubnet : Appelez de nouveau cette opération pour créer un sous-réseau public régional. Incluez une étiquette DNS pour le sous-réseau si vous souhaitez que les noms d'hôte des cartes vNIC soient résolus par le résolveur VCN. Utilisez la table de routage du sous-réseau privé que vous avez créée précédemment. Utilisez à la fois la liste de sécurité par défaut et la liste de sécurité du sous-réseau privé que vous avez créées précédemment. Utilisez l'ensemble des options DHCP par défaut.
  • CreateDrg : Crée une passerelle de routage dynamique (DRG).
  • CreateDrgAttachment : Permet d'attacher la passerelle DRG au réseau VCN.
  • CreateCpe : Ici, vous fournissez l'adresse IP du routeur à votre extrémité du RPV (voir Préalables).
  • CreateIPSecConnection : Ici, vous fournissez les routes statiques de votre réseau sur place (voir Préalables). En retour, vous recevez les informations de configuration dont l'administrateur de réseau a besoin pour paramétrer votre routeur. Si vous avez besoin de ces informations ultérieurement, vous pourrez les obtenir avec GetIPSecConnectionDeviceConfig. Pour plus d'informations sur la configuration, voir Configuration de l'équipement local d'abonné.
  • Appelez tout d'abord GetRouteTable pour obtenir la table de routage du sous-réseau privé. Appelez ensuite UpdateRouteTable pour ajouter une règle de routage avec comme destination le CIDR du réseau sur place (10.0.0.0/16 dans cet exemple) et comme cible la passerelle DRG que vous avez créée précédemment.
  • LaunchInstance : Lancez au moins une instance dans chaque sous-réseau. Par défaut, des adresses IP publiques sont affectées aux instances des sous-réseaux publics. Pour plus d'informations, voir Création d'une instance.

Vous pouvez maintenant communiquer depuis votre réseau sur place avec les instances du sous-réseau public par l'intermédiaire de la passerelle Internet.

Important

Même si vous pouvez lancer des instances dans les sous-réseaux privés, vous ne pouvez pas communiquer avec elles depuis votre réseau sur place tant que l'administrateur de réseau n'aura pas configuré votre routeur sur place (voir Configuration de l'équipement local d'abonné). Après cela, votre connexion IPSec est active. Vous pouvez confirmer son statut à l'aide de GetIPSecConnectionDeviceStatus. Vous pouvez également confirmer que la connexion IPSec est active en vous connectant aux instances de votre réseau sur place.