Accès aux services Oracle : Passerelle de service
Cette rubrique décrit comment configurer et gérer une passerelle de service. Une passerelle de service permet aux ressources en nuage sans adresses IP publiques d'accéder aux services Oracle de façon privée.
Accès aux services Oracle
Oracle Services Network est un réseau conceptuel dans Oracle Cloud Infrastructure qui est réservé aux services Oracle. Ces services ont des adresses IP publiques accessibles généralement au moyen d'Internet. Toutefois, vous pouvez accéder à Oracle Services Network sans que le trafic passe par Internet. Il existe différentes façons, en fonction des hôtes qui ont besoin de l'accès :
-
Hôtes dans votre réseau sur place :
- Accès privé au moyen d'un réseau VCN avec un appairage privé FastConnect ou RPV site à site : Les hôtes sur place utilisent des adresses IP privées et accèdent à Oracle Services Network au moyen du réseau VCN et de sa passerelle de service.
- Accès public avec un appairage public FastConnect : Les hôtes sur place utilisent des adresses IP publiques.
- Hôtes dans votre réseau VCN :
- Accès privé au moyen d'une passerelle de service : il s'agit du scénario décrit dans cette rubrique. Les hôtes du réseau VCN utilisent des adresses IP privées.
Points saillants
- Une passerelle de service permet à votre réseau en nuage virtuel (VCN) d'accéder de manière privée à des services Oracle spécifiques sans exposer les données sur l'Internet public. Aucune passerelle Internet ou NAT n'est requise pour accéder à ces services. Les ressources du réseau VCN peuvent se trouver dans un sous-réseau privé et utiliser uniquement des adresses IP privées. Le trafic entre le réseau VCN et le service Oracle circule sur la matrice réseau Oracle et ne passe jamais par Internet.
- La passerelle de service est régionale et permet uniquement l'accès aux services Oracle pris en charge dans la même région que le réseau VCN.
- Une seule passerelle de service est nécessaire pour chaque VCN. Tous les sous-réseaux d'un VCN ont accès à la passerelle de service si les règles de sécurité et les règles de table de routage autorisent cet accès.
-
Elle autorise l'accès aux services Oracle pris en charge au sein de la région afin de protéger vos données de l'Internet. Vos charges de travail peuvent nécessiter l'accès à des points d'extrémité ou à des services publics non pris en charge par la passerelle de service (par exemple, pour télécharger des mises à jour ou des correctifs). Assurez-vous que vous disposez d'une passerelle NAT ou de tout autre accès à Internet, le cas échéant.
- Les services Oracle pris en charge sont Oracle Cloud Infrastructure - Stockage d'objets et d'autres dans Oracle Services Network. Pour une liste, voir Passerelle de service : Services en nuage pris en charge sur Oracle Services Network.
- La passerelle de service utilise le concept d'étiquette CIDR de service, qui est une chaîne représentant tous les intervalles d'adresses IP publiques régionales pour le service ou le groupe de services concerné (par exemple, Stockage d'objets OCI PHX est la chaîne de Stockage d'objets dans l'Ouest des États-Unis (Phoenix)). Vous utilisez l'étiquette CIDR de service lorsque vous configurez la passerelle de service et les règles de routage ou de sécurité associées pour contrôler le trafic vers le service. Vous pouvez l'utiliser lors de la configuration de règles de sécurité. Si les adresses IP publiques du service changent plus tard, vous n'avez pas besoin d'adapter ces règles.
- Vous pouvez configurer un réseau VCN de sorte que votre réseau sur place ait un accès privé aux services Oracle par ce moyen et par sa passerelle de service. Les hôtes de votre réseau sur place communiquent avec leurs adresses IP privées et le trafic ne se circule pas par Internet. Pour plus d'informations, voir Accès privé aux services Oracle.
Aperçu des passerelles de service
Une passerelle de service permet aux ressources de votre réseau VCN d'accéder de manière privée à des services Oracle spécifiques, sans exposer les données à une passerelle Internet ou à une action NAT. Les ressources du réseau VCN peuvent se trouver dans un sous-réseau privé et utiliser uniquement des adresses IP privées. Le trafic entre le réseau VCN et le service concerné circule sur la matrice réseau Oracle et ne passe jamais par Internet.
Le diagramme simple suivant illustre un réseau VCN doté d'un sous-réseau public et d'un sous-réseau privé . Les ressources du sous-réseau privé n'ont que des adresses IP privées.
Le réseau VCN affiché est doté de trois passerelles :
- Passerelle Internet : pour fournir au sous-réseau public un accès direct aux points d'extrémité publics sur Internet. Les connexions peuvent être lancées à partir du sous-réseau ou d'Internet. Les ressources du sous-réseau public doivent avoir des adresses IP publiques. Pour plus d'informations, voir Passerelle Internet.
- Passerelle de service : pour fournir au sous-réseau privé un accès privé aux services Oracle pris en charge dans la région. Les connexions peuvent uniquement être lancées à partir du sous-réseau.
- Passerelle NAT : pour fournir au sous-réseau privé un accès privé aux points d'extrémité publics sur Internet. Les connexions peuvent uniquement être lancées à partir du sous-réseau. Pour plus d'informations, voir Passerelle NAT.
Le contrôle du routage dans votre réseau VCN s'effectue au niveau du sous-réseau. Vous pouvez ainsi spécifier les sous-réseaux de votre VCN qui utilisent chaque passerelle. Dans le diagramme, la table de routage du sous-réseau public (Légende 1) envoie un trafic non local par la passerelle Internet. La table de routage pour le sous-réseau privé (Légende 2) envoie le trafic destiné aux services Oracle par la passerelle de service. Elle envoie tout le trafic restant à la passerelle NAT.
| CIDR de destination | Cible de routage |
|---|---|
| 0.0.0.0/0 | Passerelle Internet |
| CIDR de destination | Cible de routage |
|---|---|
| Services OSN de la région | Passerelle de service |
| 0.0.0.0/0 | Passerelle NAT |
Voir ce problème connu pour plus d'informations sur la configuration des règles de routage en désignant la passerelle de service comme cible de ces tables associées à des sous-réseaux publics.
Une passerelle de service peut être utilisée par les ressources de son propre réseau VCN. Toutefois, si le réseau VCN est appairé à un autre, les ressources de ce dernier ne peuvent accéder à la passerelle de service que si les deux réseaux en comportent une dans leur configuration. Vous pouvez configurer le trafic destiné à Oracle Services Network provenant d'un satellite afin qu'il circule par un appareil virtuel réseau (NVA) du VCN central, puis par la passerelle de service de ce dernier. Pour plus d'informations, voir Utilisation d'une adresse IP privée comme cible d'acheminement et Accès privé aux services Oracle
Les ressources de votre réseau sur place connecté au réseau VCN de la passerelle de service à l'aide de FastConnect ou de RPV site à site peuvent également utiliser la passerelle de service. Pour plus d'informations, voir Accès privé aux services Oracle.
Notez que votre réseau sur place peut également utiliser l'appairage public FastConnect pour un accès privé aux services Oracle publics. Le réseau sur place disposerait ainsi de plusieurs chemins pour accéder aux intervalles d'adresses IP publiques des services Oracle. Si tel est le cas, votre appareil en périphérie de réseau reçoit l'annonce de routes des intervalles d'adresses IP publiques des services Oracle par plusieurs chemins. Pour obtenir des informations importantes sur la configuration correcte de votre appareil en périphérie de réseau, voir Détails de routage des connexions à votre réseau sur place.
Une seule passerelle de service est nécessaire pour chaque VCN. Tous les sous-réseaux d'un VCN ont accès à la passerelle de service si les règles de sécurité et les règles de table de routage autorisent cet accès.
Pour obtenir des instructions sur la configuration d'une passerelle de service, voir Configuration d'une passerelle de service dans la console.
À propos des étiquettes CIDR de service
Chaque service Oracle a un point d'extrémité public régional qui utilise des adresses IP publiques pour l'accès. Lorsque vous configurez une passerelle de service avec accès à un service Oracle, vous paramétrez également des règles de routage du service Réseau et, facultativement, des règles de sécurité qui contrôlent le trafic du service. Cela signifie normalement que vous devez connaître les adresses IP publiques du service pour configurer ces règles. Pour vous faciliter la tâche, le service de réseau utilise des étiquettes CIDR de service en tant qu'alias représentant tous les CIDR publics pour un service Oracle donné ou un groupe de services Oracle. Si les blocs CIDR d'un service changent plus tard, vous n'avez pas besoin d'adapter les règles de routage ou de sécurité.
Exemples :
- Stockage d'objets OCI PHX est une étiquette CIDR de service représentant tous les blocs CIDR de stockage d'objets dans la région Ouest des États-Unis (Phoenix).
- Tous les services PHX dans Oracle Services Network est une étiquette CIDR de service représentant tous les blocs CIDR des services pris en charge dans Oracle Services Network pour la région Ouest des États-Unis (Phoenix). Pour obtenir la liste des services, voir Passerelle de service : Services en nuage pris en charge sur Oracle Services Network.
Comme vous pouvez le constater, une étiquette CIDR de service peut être associée à un service Oracle unique (par exemple : Stockage d'objets) ou à plusieurs services Oracle. Une fois que vous avez affecté une étiquette CIDR de service à une passerelle de service, la console vous permet de passer à l'autre étiquette, mais la passerelle de service doit toujours avoir une étiquette CIDR de service. L'API et l'interface de ligne de commande vous permettront de supprimer complètement l'étiquette CIDR du service.
Le terme service est souvent utilisé dans cette rubrique à la place du terme plus exact : étiquette CIDR de service. Il est important de se rappeler que lorsque vous configurez une passerelle de service (et les règles de routage connexes), que vous spécifiez l'étiquette CIDR de service qui vous intéresse. Dans la console, les étiquettes CIDR du service disponibles vous sont présentées. Si vous utilisez l'API REST, l'opération ListServices retourne les objets Service disponibles. L'attribut cidrBlock de l'objet Service contient l'étiquette CIDR du service (par exemple, all-phx-services-in-oracle-services-network).
Étiquettes CIDR de service disponibles
Voici les étiquettes CIDR de service disponibles :
- OCI <region> Object Storage : pour des informations sur le service, voir Aperçu du stockage d'objets.
- All <region> Services in Oracle Services Network : pour obtenir la liste des services pris en charge, voir Services en nuage pris en charge sur Oracle Services Network.
Voir ce problème connu pour plus d'informations sur l'accès aux services Oracle YUM à l'aide de la passerelle de service.
Activation d'une étiquette CIDR de service pour une passerelle de service
Pour permettre au réseau VCN d'accéder à une étiquette CIDR de service donnée, vous devez activer celle-ci pour la passerelle de service du VCN. Vous pouvez effectuer cette opération lorsque vous créez la passerelle de service ou après. Vous pouvez également désactiver une étiquette CIDR de service pour la passerelle de service à tout moment.
Étant donné que Stockage d'objets est couvert par OCI <region> Object Storage et par All <region> Services dans Oracle Services Network, une passerelle de service ne peut utiliser qu'une des étiquettes CIDR de service. De même, une table de routage peut avoir une seule règle pour l'une des étiquettes CIDR de service. Elle ne peut pas avoir deux règles distinctes, une pour chaque étiquette.
Si la passerelle de service est configurée pour utiliser All <region> Services in Oracle Services Network, la règle de routage peut utiliser l'une ou l'autre étiquette CIDR. Cependant, si la passerelle de service est configurée pour utiliser OCI <region> Object Storage et que la règle de routage utilise All <region> Services in Oracle Services Network, le trafic vers les services d'Oracle Services Network hormis Stockage d'objets disparaîtra. La console vous empêche de configurer la passerelle de service et la table de routage correspondante de cette manière.
Pour changer l'étiquette CIDR de service utilisée par la passerelle, voir Lorsque vous passez à une étiquette CIDR de service différente.
Blocage du trafic au moyen d'une passerelle de service
Vous créez une passerelle de service dans le contexte d'un réseau VCN spécifique. En d'autres termes, la passerelle de service est toujours associée à ce réseau VCN. Toutefois, vous pouvez bloquer ou autoriser le trafic au moyen de la passerelle de service à tout moment. Par défaut, la passerelle autorise le flux de trafic lors de sa création. Le blocage du trafic de la passerelle de service empêche la circulation du trafic, sans égard aux étiquettes CIDR de service activées, ou à toute règle de routage ou de sécurité figurant dans le réseau VCN. Pour savoir comment bloquer le trafic, voir Contrôle du trafic pour une passerelle de service.
Règles de routage et règles de sécurité pour une passerelle de service
Pour acheminer le trafic d'un sous-réseau de votre VCN vers une passerelle de service, vous devez ajouter une règle en conséquence à la table de routage du sous-réseau. La règle doit utiliser la passerelle de service comme cible. Pour la destination, vous devez utiliser l'étiquette CIDR de service qui est activée pour la passerelle de service. Vous n'avez donc pas à connaître les adresses CIDR publiques spécifiques, qui peuvent évoluer au fil du temps.
Le trafic qui quitte le sous-réseau et qui est destiné aux adresses CIDR publiques du service est alors acheminé vers la passerelle de service. Si le trafic de la passerelle de service est bloqué, aucun flux n'y circule, même si une règle de routage correspond au trafic. Pour obtenir des instructions sur la configuration des règles de routage pour une passerelle de service, voir Tâche 2 : Mettre à jour le routage pour le sous-réseau.
Les règles de sécurité du VCN doivent également autoriser le trafic souhaité. Si vous le souhaitez, vous pouvez utiliser une étiquette CIDR de service au lieu d'un CIDR pour la source ou la destination du trafic souhaité. Vous n'avez pas donc à connaître les adresses CIDR publiques spécifiques du service. Ainsi, vous pouvez utiliser une étiquette CIDR de service dans les règles de sécurité, même si votre VCN n'a pas de passerelle de service et que le trafic vers les services circule par une passerelle Internet.
Vous avez le choix entre des règles de sécurité avec ou sans état qui utilisent une étiquette CIDR de service :
- Pour les règles avec état : créez une règle de trafic sortant avec service de destination = étiquette CIDR de service concernée. Comme pour toute règle de sécurité, vous pouvez spécifier d'autres éléments, tels que le protocole IP, et les ports source et de destination.
- Pour les règles sans état : vous devez avoir des règles de trafic sortant et entrant. Créez une règle de trafic sortant avec service de destination = étiquette CIDR de service concernée. Créez également une règle de trafic entrant avec service source = étiquette CIDR de service concernée. Comme pour toute règle de sécurité, vous pouvez spécifier d'autres éléments, tels que le protocole IP, et les ports source et de destination.
Pour des instructions sur la configuration des règles de sécurité qui utilisent une étiquette CIDR de service, voir Tâche 3 : (Facultatif) Mettre à jour les règles de sécurité.
Stockage d'objets : Permission d'accéder aux compartiments à partir d'un VCN ou d'un intervalle CIDR particulier
Si vous utilisez une passerelle de service pour accéder à Stockage d'objets, vous ne pouvez écrire une politique GIA permettant l'accès à un compartiment de stockage d'objets particulier que si ces conditions sont remplies :
- La demande passe par une passerelle de service.
- La demande provient d'un VCN particulier spécifié dans la politique.
Pour obtenir des exemples de ce type particulier de politique GIA et d'autres restrictions importantes à son utilisation, voir Tâche 4 : (Facultatif) Mettre à jour les politiques GIA pour limiter l'accès au seau du service de stockage d'objets.
Vous pouvez également utiliser le filtrage basé sur l'adresse IP de la gestion des identités et des accès pour limiter l'accès à une adresse IP ou à des intervalles d'adresses. Pour plus d'informations, voir Gestion des sources de réseau.
Suppression d'une passerelle de service
Pour supprimer une passerelle de service, il n'est pas nécessaire de bloquer son trafic. En revanche, il ne doit pas y avoir de table de routage où elle est désignée comme cible. Voir Suppression d'une passerelle de service.
Politique GIA requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès de sécurité au moyen d'une politique . Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur le type d'accès qui vous a été octroyé et le compartiment à utiliser.
Pour les administrateurs : Voir Politiques GIA pour le service de réseau.
Configuration d'une passerelle de service dans la console
Consultez les instructions sous Création d'une passerelle de service.
Consultez les instructions sous Création d'une passerelle de service.
Lorsque vous configurez une passerelle de service pour une étiquette CIDR de service particulière, vous devez également créer une règle de routage qui désigne l'étiquette comme destination et la passerelle de service comme cible. Vous effectuez cette opération pour chaque sous-réseau qui doit accéder à la passerelle.
- Déterminez quels sous-réseaux de votre VCN doivent communiquer avec la passerelle de service.
-
Pour chaque sous-réseau, mettez à jour la table de routage pour inclure une nouvelle règle à l'aide des valeurs suivantes :
- Type de cible : passerelle de service.
- Service de destination : étiquette CIDR de service activée pour la passerelle.
- Compartiment : compartiment où se trouve la passerelle de service.
- Cible : passerelle de service.
- Description : Description facultative de la règle.
Le trafic de sous-réseau dont la destination correspond à la règle est acheminé vers la passerelle de service. Pour plus d'informations sur la configuration des règles de routage, voir Tables de routage de VCN.
Lorsque vous n'aurez plus besoin de la passerelle de service et voudrez la supprimer, vous devrez d'abord supprimer toutes les règles de routage du réseau VCN qui l'indiquent comme cible.
Sans le routage requis, le trafic ne circule pas sur la passerelle de service. Si un problème survient et que vous souhaitez arrêter temporairement le flux de trafic sur la passerelle vers un service particulier, vous pouvez simplement supprimer la règle de routage qui autorise le trafic. Vous pouvez également désactiver l'étiquette CIDR de service donnée pour la passerelle. Vous pouvez également bloquer le trafic à travers la passerelle de service entièrement. Vous n'avez pas besoin de supprimer la passerelle.
Lorsque vous configurez une passerelle de service pour accéder à une étiquette CIDR de service, vous devez également vous assurer que les règles de sécurité sont paramétrées pour autoriser le trafic souhaité. Vos règles de sécurité autorisent peut-être déjà \ce trafic. C'est pourquoi cette tâche est facultative. La procédure suivante suppose que vous utilisez des listes de sécurité pour mettre en oeuvre vos règles de sécurité. La procédure décrit comment configurer une règle qui utilise l'étiquette CIDR de service. Vous effectuez cette opération pour chaque sous-réseau qui doit accéder à la passerelle.
Les listes de sécurité sont un moyen de contrôler le trafic entrant et sortant des ressources du réseau VCN. Vous pouvez également utiliser des groupes de sécurité de réseau, qui vous permettent d'appliquer un jeu de règles de sécurité à un ensemble de ressources dont la situation en matière de sécurité est identique.
- Déterminez quels sous-réseaux de votre VCN doivent se connecter aux services qui vous intéressent.
-
Mettez à jour la liste de sécurité de chaque sous-réseau pour inclure les règles permettant le trafic sortant ou entrant voulu avec le service concerné.
Supposons que vous vouliez ajouter une règle avec état qui permet le trafic HTTPS (port TCP 443) sortant du sous-réseau vers le service Stockage d'objets et les référentiels Oracle YUM. Voici les options de base à choisir lors de l'ajout d'une règle :
- Dans la section Autoriser les règles pour le trafic sortant, cliquez sur +Ajouter une règle.
- Laissez la case sans état désélectionnée.
- Type de destination : service.
- Service de destination : étiquette CIDR de service qui vous intéresse. Pour accéder à la fois au service de stockage d'objets et aux référentiels Oracle YUM, sélectionnez All <region> Services in Oracle Services Network.
- Protocole IP : Laissez TCP.
- Intervalle de ports sources : Laissez Tout.
- Intervalle de ports de destination : Entrez 443.
- Description : Description facultative de la règle.
Pour plus d'informations sur la configuration des règles de sécurité, voir Règles de sécurité.
Cette tâche ne s'applique que si vous utilisez une passerelle de service pour accéder au service Stockage d'objets. Vous pouvez éventuellement créer une source de réseau et écrire une politique GIA pour permettre aux ressources d'un VCN spécifique uniquement d'écrire des objets dans un seau particulier.
Si vous utilisez l'une des politiques GIA suivantes pour limiter l'accès à un seau, celui-ci n'est pas accessible depuis la console. Il est accessible uniquement à partir du VCN spécifié.
En outre, les politiques GIA n'autorisent les demandes au service Stockage d'objets que si elles partent du réseau en nuage virtuel spécifié par la passerelle de service. Si elles passent par la passerelle Internet, les demandes sont refusées.
- Créez une source de réseau pour spécifier le VCN autorisé. Pour plus d'informations sur la création de sources de réseau, voir Gestion des sources de réseau.
- Créez la politique. Dans l'exemple suivant, les ressources du groupe ObjectBackup écrivent des objets dans un seau appelé db-backup qui réside dans un compartiment nommé ABC.
Allow group ObjectBackup to read buckets in compartment ABC Allow group ObjectBackup to manage objects in compartment ABC where all {target.bucket.name='db-backup', request.networkSource.name='<VCN_NETWORK_SOURCE', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
Vous pouvez indiquer plusieurs réseaux en nuage virtuels en créant et en spécifiant plusieurs sources de réseau dans la politique. L'exemple suivant présente des sources de réseau pour deux réseaux en nuage virtuels. Vous feriez ceci si vous aviez configuré sur votre réseau sur place un accès privé aux services Oracle à travers un VCN, ainsi qu'un ou plusieurs autres VCN dotés de leur propre passerelle de service. Pour plus d'informations, voir Aperçu de l'accès privé du réseau sur place aux services Oracle.
Allow group ObjectBackup to read buckets in compartment ABC
Allow group ObjectBackup to manage objects in compartment ABC where
all {target.bucket.name='db-backup',
any {request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_1>', request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_2'},
any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}