Accès privé aux services Oracle
Le routage de transit fait référence à une topologie de réseau dans laquelle votre réseau sur place utilise un intermédiaire pour atteindre les ressources, services ou réseaux en nuage virtuels Oracle. L'intermédiaire peut être un VCN ou une passerelle de routage dynamique (DRG) à laquelle votre réseau sur place est déjà attaché. Vous connectez le réseau sur place à une passerelle DRG avec FastConnect ou un RPV site à site, puis configurez le routage afin que le trafic passe par l'intermédiaire jusqu'à sa destination.
Les trois principaux scénarios de routage de transit sont les suivants :
- Accès privé aux services Oracle : le scénario décrit dans cette rubrique. Ce scénario donne à votre réseau sur place un accès privé aux services Oracle afin que vos hôtes sur place puissent utiliser leurs adresses IP privées et que le trafic ne passe pas par Internet. Au lieu de cela, le trafic circule par un circuit virtuel privé FastConnect ou RPV site à site, transite par un réseau en nuage virtuel (VCN), puis par une passerelle de service vers le service Oracle qui vous intéresse. Ce scénario est disponible pour une mise en oeuvre à l'aide d'une passerelle DRG existante ou mise à niveau.
- Accès entre plusieurs réseaux au moyen d'une seule passerelle DRG avec un pare-feu entre les réseaux : Ce scénario relie plusieurs réseaux VCN à une seule passerelle DRG, tout le routage étant configuré pour envoyer des paquets par l'intermédiaire d'un pare-feu à un VCN central, avant de les transférer à un autre réseau. Voir Routage du trafic au moyen d'un boîtier virtuel de réseau central. Ce scénario n'est disponible que pour une mise en oeuvre à l'aide d'une passerelle DRG mise à niveau.
- Accès à plusieurs réseaux en nuage virtuels dans la même région : Ce scénario permet la communication entre un réseau sur place et plusieurs réseaux en nuage virtuels dans la même région, par un seul circuit virtuel privé FastConnect ou RPV site à site, et utilise un VCN comme concentrateur. Voir Routage de transit dans un VCN central. Ce scénario est disponible pour une mise en oeuvre à l'aide d'une passerelle DRG existante.
Points saillants
- Vous pouvez configurer un réseau VCN de sorte que votre réseau sur place ait un accès privé aux services Oracle dans Oracle Services Network par ce moyen. Les hôtes de votre réseau sur place communiquent avec leurs adresses IP privées.
- VCN utilise une passerelle de routage dynamique (DRG) pour communiquer avec le réseau sur place. L'accès aux services Oracle s'effectue par une passerelle de service sur le VCN. Le trafic entre le réseau VCN et le service Oracle circule sur la matrice réseau Oracle et ne passe jamais par le réseau Internet public.
- La passerelle de service est régionale et permet uniquement l'accès aux services Oracle pris en charge dans la même région que le réseau VCN.
- Les services Oracle pris en charge sont Oracle Cloud Infrastructure - Stockage d'objets et d'autres dans Oracle Services Network. Pour une liste, voir Service Gateway : Services en nuage pris en charge sur Oracle Services Network.
- La passerelle de service utilise le concept d'étiquette CIDR de service, qui est une chaîne représentant tous les intervalles d'adresses IP publiques régionales pour le service ou le groupe de services concerné (par exemple, Stockage d'objets OCI PHX est la chaîne de Stockage d'objets dans l'Ouest des États-Unis (Phoenix)). Vous utilisez l'étiquette CIDR de service lorsque vous configurez la passerelle de service et les règles de routage ou de sécurité associées pour contrôler le trafic vers le service. Vous pouvez l'utiliser lors de la configuration de règles de sécurité. Si les adresses IP publiques du service changent plus tard, vous n'avez pas besoin d'adapter ces règles.
- Pour activer le trafic prévu du réseau sur place par le réseau VCN vers les services Oracle, vous mettez en oeuvre les règles de routage pour l'attachement DRG et la passerelle de service du VCN.
- Si vous le voulez, vous pouvez configurer un routage de transit par une adresse IP privée dans le VCN. Par exemple, vous pouvez filtrer ou inspecter le trafic entre le réseau sur place et le service Oracle. Dans ce cas, vous acheminez le trafic vers une adresse IP privée sur une instance du VCN pour être inspecté. Le trafic qui en résulte continue jusqu'à sa destination. Cette rubrique présente les deux situations : routage de transit direct entre les passerelles sur VCN et routage de transit par une adresse IP privée.
Aperçu d'Oracle Services Network
Oracle Services Network est un réseau conceptuel dans Oracle Cloud Infrastructure qui est réservé aux services Oracle. Ces services ont des adresses IP publiques que vous atteignez généralement par Internet public. Toutefois, vous pouvez accéder à Oracle Services Network sans que le trafic passe par l'Internet public. Il existe différentes façons, en fonction des hôtes qui ont besoin de l'accès :
-
Hôtes dans votre réseau sur place :
- Accès privé par un VCN avec appairage privé FastConnect ou RPV site à site. C'est ce scénario qui est décrit dans cette rubrique. Les hôtes sur place utilisent des adresses IP privées et atteignent Oracle Services Network au moyen du réseau VCN et de sa passerelle de service.
- Accès public avec un appairage public FastConnect : les hôtes sur place utilisent des adresses IP publiques.
- Hôtes dans votre réseau VCN :
- Accès privé par une passerelle de service : les hôtes du VCN utilisent des adresses IP privées.
Aperçu de l'accès privé du réseau sur place aux services Oracle
Le diagramme suivant illustre la disposition de base permettant de donner à votre réseau sur place un accès privé aux services Oracle.
Votre réseau sur place se connecte au réseau VCN au moyen d'un circuit virtuel privé FastConnect ou de RPV site à site. Chacun de ces types de connexion se termine par une passerelle de routage dynamique (DRG) associée au VCN. Le VCN dispose également d'une passerelle de service qui lui donne accès à Oracle Services Network. Le trafic de votre réseau sur place transite par le VCN, par la passerelle de service et vers le service Oracle qui vous intéresse. Les réponses sont retournées à votre réseau sur place par l'intermédiaire de la passerelle de service et du VCN.
Lorsque vous configurez une passerelle de service, vous activez une étiquette CIDR de service, qui est une chaîne qui représente tous les intervalles d'adresses IP publiques régionales pour le service ou le groupe de services auxquels vous voulez accéder au moyen de la passerelle de service. Par exemple, Tous les services PHX dans Oracle Services Network est l'étiquette CIDR de service pour les services Oracle disponibles dans l'Ouest des États-Unis (Phoenix) par l'intermédiaire d'une passerelle de service. Oracle utilise le protocole BGP (Border Gateway Protocol) sur la passerelle DRG pour annoncer ces intervalles d'adresses IP publiques régionales à l'appareil en périphérie de réseau (également appelé équipement local d'abonné ou CPE) sur votre réseau sur place. Pour obtenir la liste de ces intervalles disponibles par l'intermédiaire de la passerelle de service, voir Adresses IP publiques pour les réseaux en nuage virtuels et Oracle Services Network.
Chemins de connexion multiples aux services Oracle
Vous pouvez configurer votre réseau sur place avec plusieurs chemins de connexion vers Oracle Cloud Infrastructure et les services Oracle aux fins de redondance ou autres. Par exemple, vous pouvez utiliser l'appairage public FastConnect et l'appairage privé FastConnect. Si vous avez plusieurs chemins, votre appareil en périphérie de réseau reçoit l'annonce de routes des intervalles d'adresses IP publiques des services Oracle sur plusieurs chemins. Pour obtenir des informations importantes sur la configuration correcte de votre appareil en périphérie de réseau, voir Détails de routage pour les connexions à votre réseau sur place.
Plusieurs réseaux en nuage virtuels avec accès privé à Oracle Services
Votre organisation peut choisir d'utiliser plusieurs réseaux en nuage virtuels, chacun possédant une passerelle de service pour donner aux ressources du réseau VCN accès aux services Oracle. Par exemple, vous pourriez avoir un VCN différent pour chaque service de votre organisation.
Si vous voulez également configurer votre réseau sur place avec accès privé aux services Oracle au moyen d'un VCN avec une passerelle de service, cette section décrit deux dispositions de réseau différentes que vous pourriez utiliser.
Dans la première disposition, vous configurez une seule passerelle DRG, avec les réseaux en nuage virtuels disposés en étoile, comme illustré dans le diagramme suivant. Le réseau VCN qui sert de concentrateur fournit au réseau sur place un accès privé aux services Oracle. Les autres réseaux VCN sont appairés localement au VCN central. Vous configurez uniquement le VCN central en suivant les instructions sous Configuration d'un accès privé aux services Oracle. Cette disposition en étoile est recommandée et décrite davantage dans Routage de transit dans un VCN central.
La deuxième disposition présente une passerelle DRG distincte pour chaque VCN, avec un circuit virtuel privé FastConnect distinct ou RPV site à site de votre réseau sur place à chaque passerelle DRG. Vous réservez une passerelle DRG et un VCN pour fournir à votre réseau sur place un accès privé aux services Oracle. Dans le diagramme suivant, il s'agit du VCN placé au centre. Pour configurer ce VCN, suivez les instructions sous Configuration de l'accès privé aux services Oracle.
Remarquez que dans ces deux dispositions, le réseau sur place ne peut joindre les services Oracle que par une seule passerelle de service du VCN (celle qui est dédiée à cette fin) et non au moyen des passerelles de service des autres réseaux en nuage virtuels. Pour ces autres réseaux en nuage virtuels, seules les ressources à l'intérieur de ces réseaux en nuage virtuels peuvent atteindre les services Oracle au moyen de leur passerelle de service .
Indépendamment de la disposition choisie, vous pouvez écrire une politique GIA pour limiter l'accès à un saut de stockage d'objets afin que seules les demandes passant par une passerelle de service de VCN spécifique soient autorisées pour ce saut. Avec l'une ou l'autre de ces dispositions, vous devriez peut-être écrire la politique de sorte qu'elle autorise les demandes de plusieurs réseaux en nuage virtuels. Pour restreindre l'accès à des réseaux en nuage virtuels spécifiques, créez une source de réseau pour spécifier le VCN autorisé, puis écrivez la politique limitant l'accès à la source de réseau uniquement. Une source de réseau peut spécifier plusieurs réseaux en nuage virtuels ou vous pouvez créer une source de réseau pour chaque VCN. Pour plus d'informations sur la création de sources de réseau, voir Gestion des sources de réseau.
L'exemple de politique suivant suppose que vous configurez une source de réseau pour chacun de vos réseaux en nuage virtuels. La politique permet aux ressources du groupe ObjectBackup de l'exemple d'écrire des objets dans un seau appelé db-backup qui réside dans un compartiment nommé ABC. Lors de l'écriture d'une politique telle que celle-ci, vous pouvez spécifier une ou plusieurs sources de réseau. Cet exemple en présente trois.
Allow group ObjectBackup to read buckets in compartment ABC
Allow group ObjectBackup to manage objects in compartment ABC where
all {target.bucket.name='db-backup',
any {request.networkSource.name='<hub_VCN_network_source>', request.networkSource.name='<spoke_1_VCN_network_source>', request.networkSource.name='<spoke_2_VCN_network_source>'},
any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
Pour plus d'informations, voir Configuration d'une passerelle de service dans la console dans la procédure de configuration d'une passerelle de service.
Demandes de services Oracle à vos clients
La passerelle de service n'autorise pas les demandes de connexion entrantes au VCN ou à votre réseau sur place. Toutes les demandes de connexion d'un service Oracle à votre réseau sur place doivent passe par un chemin public tel qu'Internet ou un appairage public FastConnect.
Si vous utilisez Oracle Analytics Cloud pour lancer des demandes de connexion aux clients et que vous voulez également configurer un accès privé aux services Oracle pour votre réseau sur place, voir ce problème connu.
Options de routage de transit pour l'accès privé aux services Oracle
Il existe deux options pour le routage par le VCN pour un accès privé aux services Oracle :
- Routage de transit direct par des passerelles : Vous acheminez le trafic directement par le VCN, d'une passerelle à l'autre.
- Routage de transit par une adresse IP privée : Vous configurez une instance dans le VCN pour filtrer ou inspecter le trafic entre le réseau sur place et Oracle Services Network, et acheminer le trafic par l'intermédiaire d'une adresse IP privée sur l'instance.
Les exemples présentés dans les sections suivantes supposent que le VCN ne contient aucune charge de travail nécessitant l'accès au réseau sur place ou à Oracle Services Network. Le VCN ne sert qu'au routage de transit du trafic par le VCN.
Dans cet exemple, vous effectuez le routage directement par les deux passerelles sur le VCN : la passerelle de routage dynamique (DRG) et la passerelle de service . Voir le diagramme suivant.
Les légendes du diagramme montrent deux tables de routage, chacune associée à une ressource différente :
-
Passerelle DRG associée :
- La table de routage de VCN est associée à l'attachement de passerelle DRG. Pourquoi l'attachement et non la passerelle DRG elle-même? Parce que la passerelle DRG est une ressource autonome que vous pouvez attacher à tout VCN dans la même région et la même location que la passerelle DRG. L'attachement lui-même identifie quel VCN.
- La table de routage de VCN achemine le trafic entrant provenant du réseau sur place et destiné à un service Oracle pris en charge. Vous configurez la règle pour envoyer ce trafic à la passerelle de service.
Légende 1 : Table de routage de VCN pour l'attachement de DRG CIDR de destination Cible de routage Tous les services OSN de la région Passerelle de service -
Passerelle de service :
- Cette table de routage de VCN est associée à la passerelle de service.
- La table de routage de VCN achemine le trafic de réponse provenant d'un service Oracle pris en charge et destiné au réseau sur place. Vous configurez la règle pour envoyer ce trafic à la passerelle DRG.
Légende 2 : Table de routage de VCN pour la passerelle de service Cible de routage Cible de routage 172.16.0.0/12 DRG
Dans cet exemple, vous configurez une instance dans le VCN servant de pare-feu ou de système de détection d'intrusion pour filtrer ou inspecter le trafic entre le réseau sur place et Oracle Services Network. Voir le diagramme suivant.
CIDR de destination | Cible de routage |
---|---|
172.16.0.0/12 | DRG |
CIDR de destination | Cible de routage |
---|---|
Tous les services OSN de la région | Passerelle de service |
CIDR de destination | Cible de routage |
---|---|
Tous les services OSN de la région | 10.0.4.3 |
CIDR de destination | Cible de routage |
---|---|
172.16.0.0/12 | 10.0.8.3 |
L'instance a deux cartes d'interface réseau virtuelle, chacune avec une adresse IP privée. Une des cartes vNIC est dans un sous-réseau qui fait face au réseau sur place (appelé ici sous-réseau frontal). L'autre carte vNIC se trouve dans un sous-réseau qui fait face à Oracle Services Network (appelé ici sous-réseau dorsal). La carte vNIC frontale dispose d'une adresse IP privée 10.0.4.3 et la carte vNIC dorsale d'une adresse IP privée 10.0.8.3.
Le diagramme montre quatre tables de routage, chacune associée à une ressource différente :
-
Passerelle DRG associée :
- Cette table de routage de VCN est associée à l'attachement de passerelle DRG. Pourquoi l'attachement et non la passerelle DRG elle-même? Parce que la passerelle DRG est une ressource autonome que vous pouvez attacher à tout VCN dans la même région et la même location que la passerelle DRG. L'attachement lui-même identifie quel VCN.
- La table de routage de VCN achemine le trafic entrant provenant du réseau sur place et destiné à un service Oracle pris en charge. Vous configurez la règle pour envoyer le trafic à l'adresse IP privée dans le sous-réseau frontal.
-
Passerelle de service :
- Cette table de routage de VCN est associée à la passerelle de service.
- La table de routage de VCN achemine le trafic de réponse provenant d'un service Oracle pris en charge et destiné au réseau sur place. Vous configurez la règle pour envoyer ce trafic à l'adresse IP privée dans le sous-réseau dorsal.
-
Subnet-frontend :
- Cette table de routage de VCN est associée à Subnet-frontend.
- Elle inclut une règle pour activer le trafic avec le réseau sur place.
-
Subnet-backend :
- Cette table de routage de VCN est associée à Subnet-backend.
- Elle inclut une règle pour activer le trafic avec Oracle Services Network de la région.
Restrictions de routage de transit importantes à assimiler
Cette section contient des détails supplémentaires importants sur le routage :
-
Table de routage pour l'attachement de la passerelle DRG :
- Une table de routage de VCN associée à un attachement de DRG ne peut comporter que des règles qui ciblent une passerelle de service, une adresse IP privée ou une passerelle d'appairage local.
- Un attachement de passerelle DRG est toujours associé à une table de routage, mais vous pouvez associer une table de routage différente, modifier les règles de la table ou supprimer une partie ou la totalité des règles.
- Table de routage pour une passerelle de service :
- Une table de routage de VCN associée à une passerelle de service ne peut comporter que des règles qui ciblent une passerelle DRG ou une adresse IP privée.
- Une passerelle de service peut exister sans être associée à une table de routage. Cependant, après que vous associez une table de routage à une passerelle de service, celle-ci devra toujours être associée à une table. Mais il peut s'agir d'une table différente. Vous pouvez également modifier les règles de la table, en supprimer certaines ou les supprimer toutes.
- Trafic transitant par le VCN : Les tables de routage présentées ici sont uniquement destinées au transfert du trafic par le VCN entre les emplacements du réseau sur place et Oracle Services Network. Si vous utilisez une adresse IP privée dans le VCN, vous configurez les tables de routage afin que l'adresse IP privée soit placée dans ce chemin de trafic qui passe par le VCN.
- Trafic entrant vers le VCN : même si l'énoncé précédent est vrai (sur le trafic qui passe par le VCN), le trafic entrant vers les sous-réseaux du VCN est toujours autorisé. Vous n'avez pas besoin de configurer des règles explicites pour ce trafic entrant dans la table de routage de l'attachement DRG ou de la passerelle de service. Lorsque le trafic entrant de ce type atteint la passerelle DRG ou de service, il est automatiquement acheminé vers sa destination dans le VCN par le routage local du VCN. En raison de celui-ci, pour toute table de routage appartenant à un VCN donné, vous ne pouvez pas créer de règle indiquant comme destination le CIDR (ou une sous-section) de ce VCN.
- Trafic du VCN lors du routage de transit par une adresse IP privée : La déclaration précédente sur le routage local du VCN signifie que vous ne devriez utiliser le VCN central que pour le transit entre le réseau sur place et les VCN satellites. Ne configurez pas les charges de travail dans le VCN même. Plus précisément, si vous configurez le routage de transit par une adresse IP privée dans le VCN, vous ne pouvez plus utiliser cette adresse pour acheminer le trafic du VCN. Dans le diagramme précédent, si vous deviez modifier la règle de routage dans la table de la passerelle de service de sorte que le CIDR de destination soit 0.0.0.0/0 au lieu de 172.16.0.0/12, seul le trafic provenant d'Oracle Services Network et destiné à des adresses en dehors du bloc CIDR du VCN serait acheminé par l'adresse IP privée. À cause du routage local du VCN, tout trafic destiné à des adresses au sein du VCN est automatiquement acheminé directement vers l'adresse IP de destination. Le routage local de VCN a priorité sur la table de routage de la passerelle de service (en général, sur toute table de routage du VCN).
Politique GIA requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès de sécurité au moyen d'une politique . Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur le type d'accès qui vous a été octroyé et le compartiment à utiliser.
Si vous êtes membre du groupe Administrateurs, vous disposez déjà de l'accès requis pour configurer un routage de transit. Sinon, il vous faut l'accès au service Réseau et l'autorisation de lancer des instances. Voir Politiques de gestion des identités et des accès pour le service de réseau.
Configuration de l'accès privé aux services Oracle
Cette section explique comment utiliser la console pour configurer un routage de transit avec un VCN afin de permettre à votre réseau sur place d'accéder aux services Oracle.
De nombreux composants et connexions du service Réseau nécessaires à ce scénario avancé sont peut-être déjà configurés. Vous pouvez donc ignorer certaines des tâches suivantes. Si, dans votre configuration réseau, vous avez déjà un VCN connecté à votre réseau sur place, et une passerelle de service pour ce VCN, la tâche 4 est la plus importante. Elle permet l'acheminement du trafic entre votre réseau sur place et Oracle Services Network.
Dans cette tâche, vous configurez le VCN. Dans cet exemple, aucun sous-réseau n'est requis.
Pour plus d'informations et des instructions :
Dans cette tâche, vous ajoutez une passerelle de service au VCN et activez la passerelle pour Oracle Services Network de la région.
Notez que vous ne créez pas encore la table de routage qui sera associée à la passerelle de service. Cette tâche intervient à un stade ultérieur.
- Dans la console, affichez les détails du VCN.
- Sous Ressources, cliquez sur Passerelles de service.
- Cliquez sur Créer une passerelle de service.
-
Entrez les valeurs suivantes :
- Nom : nom descriptif de la passerelle de service. Il ne doit pas nécessairement être unique. Évitez d'entrer des informations confidentielles.
- Créer dans le compartiment : compartiment dans lequel vous souhaitez créer la passerelle de service, s'il est différent de votre compartiment de travail actuel.
- Services : All <region> Services dans Oracle Services Network.
-
Cliquez sur Créer une passerelle de service.
La passerelle de service est alors créée et affichée sur la page Passerelles de service du compartiment choisi.
Si vous utilisez RPV site à site avec routage statique et que le réseau VCN est paramétré pour donner à votre réseau sur place un accès privé aux services Oracle, vous devez configurer, sur votre appareil en périphérie de réseau, les routes définies pour les intervalles d'adresses IP publiques d'Oracle Services Network annoncées par la passerelle DRG sur le chemin privé (au moyen de la passerelle de service). Pour obtenir la liste de ces intervalles, voir Adresses IP publiques pour les réseaux en nuage virtuels et Oracle Services Network.
CIDR de destination | Cible de routage |
---|---|
Tous les services OSN de la région | Passerelle de service |
CIDR de destination | Cible de routage |
---|---|
172.16.0.0/12 | DRG |
Dans cette tâche, vous configurez les tables de routage pour l'attachement DRG et la passerelle de service.
Préalables :
- Une passerelle DRG est déjà associée au VCN.
- Vous avez déjà une passerelle de service.
-
Créez une table de routage pour l'attachement DRG :
- Dans la console, affichez les détails du VCN.
- Sous Ressources, cliquez sur Tables de routage pour voir les tables de routage du VCN.
- Cliquez sur Créer une table de routage.
-
Entrez les informations suivantes :
- Nom : nom descriptif de la table de routage. Exemple : Table de routage entrant de VCN. Évitez d'entrer des informations confidentielles.
- Créer dans le compartiment : Laissez tel quel.
-
Cliquez sur + Règle de routage supplémentaire et entrez ces informations pour la règle de routage :
- Type de cible : passerelle de service.
- Service de destination : All <region> Services dans Oracle Services Network.
- Compartiment : compartiment où se trouve la passerelle de service.
- Cible : passerelle de service.
- Description : Description facultative de la règle.
-
Cliquez sur Créer une table de routage.
La table de routage est créée et apparaît dans la liste.
-
Associez la table de routage (nommée Table de routage entrant de VCN dans cet exemple) à l'attachement de DRG du VCN :
- Les détails du VCN toujours affichés, cliquez sur Passerelles de routage dynamique pour voir la passerelle DRG associée.
- Cliquez sur le , puis sur Association à une table de routage.
-
Entrez les informations suivantes :
- Compartiment de la table de routage : sélectionnez le compartiment de la table de routage pour l'attachement DRG.
- Table de routage : sélectionnez la table de routage pour l'attachement DRG.
-
Cliquez sur Associer.
La table de routage est associée à l'attachement de passerelle DRG.
-
Créez une table de routage pour la passerelle de service :
- Les détails du VCN toujours affichés, cliquez sur Tables de routage.
- Cliquez sur Créer une table de routage.
-
Entrez les informations suivantes :
- Créer dans le compartiment : Laissez tel quel.
- Nom : nom descriptif de la table de routage. Exemple : Table de routage de la passerelle de service. Évitez d'entrer des informations confidentielles.
-
Cliquez sur + Règle de routage supplémentaire et entrez ces informations pour la règle de routage :
- Type de cible : Passerelle de routage dynamique. La passerelle DRG attachée au réseau VCN est automatiquement sélectionnée en tant que cible et vous n'avez pas besoin de définir cette dernière.
- Bloc CIDR de destination : CIDR du réseau sur place (172.16.0.0/12 dans l'exemple précédent).
- Description : Description facultative de la règle.
-
Cliquez sur Créer une table de routage.
La table de routage est créée et apparaît dans la liste.
-
Associez la table de routage (nommée Table de routage de la passerelle de service dans cet exemple) à la passerelle de service :
- Les détails du VCN toujours affichés, cliquez sur Passrelles de service.
- Pour la passerelle de service, cliquez sur le menu Actions (), puis sur Association à une table de routage.
-
Entrez les informations suivantes :
- Compartiment de la table de routage : Sélectionnez le compartiment de la table de routage pour la passerelle de service.
- Table de routage : sélectionnez la table de routage pour la passerelle de service.
-
Cliquez sur Associer.
La table de routage est associée à la passerelle de service.
De nombreux composants et connexions du service Réseau nécessaires à ce scénario avancé sont peut-être déjà configurés. Vous pouvez donc ignorer certaines des tâches suivantes. Si, dans votre configuration réseau, vous avez déjà un VCN connecté à votre réseau sur place, et une passerelle de service pour ce VCN, les tâches 4 et 5 sont les plus importantes. Elles permettent l'acheminement du trafic entre votre réseau sur place et le VCN satellite.
Dans cette tâche, vous configurez le VCN. Cet exemple comporte également deux sous-réseaux : un pour la carte vNIC frontale de l'instance et un pour sa carte vNIC dorsale. Oracle recommande l'utilisation de sous-réseau privé régional.
Pour plus d'informations et des instructions :
Dans cette tâche, vous ajoutez une passerelle de service au VCN et activez la passerelle pour Oracle Services Network de la région.
Notez que vous ne créez pas encore la table de routage qui sera associée à la passerelle de service. Cette tâche intervient à un stade ultérieur.
- Dans la console, affichez les détails du VCN.
- Sous Ressources, cliquez sur Passerelles de service.
- Cliquez sur Créer une passerelle de service.
-
Entrez les valeurs suivantes :
- Nom : nom descriptif de la passerelle de service. Il ne doit pas nécessairement être unique. Évitez d'entrer des informations confidentielles.
- Créer dans le compartiment : compartiment dans lequel vous souhaitez créer la passerelle de service, s'il est différent de votre compartiment de travail actuel.
- Services : All <region> Services dans Oracle Services Network.
-
Cliquez sur Créer une passerelle de service.
La passerelle de service est alors créée et affichée sur la page Passerelles de service du compartiment choisi.
Si vous utilisez RPV site à site avec routage statique et que le réseau VCN est paramétré pour donner à votre réseau sur place un accès privé aux services Oracle, vous devez configurer, sur votre appareil en périphérie de réseau, les routes définies pour les intervalles d'adresses IP publiques d'Oracle Services Network annoncées par la passerelle DRG sur le chemin privé (au moyen de la passerelle de service). Pour obtenir la liste de ces intervalles, voir Adresses IP publiques pour les réseaux en nuage virtuels et Oracle Services Network.
- Vous avez déjà un VCN avec deux sous-réseaux.
- Vérifiez ces informations : Utilisation d'une adresse IP privée comme cible d'acheminement.
- Si vous ne l'avez pas encore fait, créez l'instance dans le VCN. Voir Création d'une instance. La carte vNIC principale est créée dans le sous-réseau que vous spécifiez.
- Créez une carte vNIC secondaire pour l'autre sous-réseau et configurez le système d'exploitation pour l'utiliser. Voir Utilisation de la console.
- Désactivez la vérification de la source/destination sur chaque carte vNIC. Voir Aperçu des cartes vNIC et des cartes d'interface réseau physiques.
- Pour chaque carte vNIC, déterminez l'adresse IP privée à utiliser comme cible d'acheminement. Si vous voulez utiliser une adresse IP privée secondaire au lieu de l'adresse principale de la carte vNIC, affectez cette adresse secondaire et configurez le système d'exploitation pour l'utiliser. Voir Affectation d'une nouvelle adresse IP privée secondaire à une carte VNIC.
- Notez toutes les adresses IP privées que vous créez (par exemple : 10.0.4.3).
- Configurez l'instance en fonction de la tâche qu'elle effectue (par exemple, configurez le pare-feu ou le système de détection d'intrusion sur l'instance).
CIDR de destination | Cible de routage |
---|---|
172.16.0.0/12 | DRG |
CIDR de destination | Cible de routage |
---|---|
Tous les services OSN de la région | Passerelle de service |
CIDR de destination | Cible de routage |
---|---|
Tous les services OSN de la région | 10.0.4.3 |
CIDR de destination | Cible de routage |
---|---|
172.16.0.0/12 | 10.0.8.3 |
Dans cette tâche, vous configurez les tables de routage pour l'attachement DRG et la passerelle de service.
Préalables :
- Une passerelle DRG est déjà associée au VCN.
- Vous avez déjà une passerelle de service.
- Vous avez déjà les deux adresses IP privées à utiliser comme cibles d'acheminement (voir la tâche précédente).
-
Créez une table de routage pour l'attachement DRG :
- Dans la console, affichez les détails du VCN.
- Sous Ressources, cliquez sur Tables de routage pour voir les tables de routage du VCN.
- Cliquez sur Créer une table de routage.
-
Entrez les informations suivantes :
- Nom : nom descriptif de la table de routage. Exemple : Table de routage entrant de VCN. Évitez d'entrer des informations confidentielles.
- Créer dans le compartiment : Laissez tel quel.
-
Cliquez sur + Règle de routage supplémentaire et entrez ces informations pour la règle de routage :
- Type de cible : adresse IP privée.
- Destination : service.
- Service de destination : All <region> Services dans Oracle Services Network
- Compartiment : compartiment où se trouve l'adresse IP privée du sous-réseau frontal.
- Cible : adresse IP privée du sous-réseau frontal, que vous avez notée lors de la tâche précédente (10.0.4.3 dans l'exemple).
- Description : Description facultative de la règle.
-
Cliquez sur Créer une table de routage.
La table de routage est créée et apparaît dans la liste.
-
Associez la table de routage (nommée Table de routage entrant de VCN dans cet exemple) à l'attachement de DRG du VCN :
- Les détails du VCN toujours affichés, cliquez sur Passerelles de routage dynamique pour voir la passerelle DRG associée.
- Cliquez sur le menu , puis sur Association d'une table de routage.
- Sélectionnez la table de routage.
-
Cliquez sur Associer une table de routage.
La table de routage est associée à l'attachement de passerelle DRG.
-
Créez une table de routage pour la passerelle de service :
- Les détails du VCN toujours affichés, cliquez sur Tables de routage.
- Cliquez sur Créer une table de routage.
-
Entrez les informations suivantes :
- Créer dans le compartiment : Laissez tel quel.
- Nom : nom descriptif de la table de routage. Exemple : Table de routage de la passerelle de service. Évitez d'entrer des informations confidentielles.
-
Cliquez sur + Règle de routage supplémentaire et entrez ces informations pour la règle de routage :
- Type de cible : adresse IP privée.
- Destination : bloc CIDR.
- Bloc CIDR de destination : CIDR du réseau sur place (172.16.0.0/12 dans l'exemple précédent).
- Compartiment : compartiment où se trouve l'adresse IP privée.
- Cible : adresse IP privée du sous-réseau dorsal, que vous avez notée lors de la tâche précédente (10.0.8.3 dans l'exemple).
- Description : Description facultative de la règle.
-
Cliquez sur Créer une table de routage.
La table de routage est créée et apparaît dans la liste.
-
Associez la table de routage (nommée Table de routage de la passerelle de service dans cet exemple) à la passerelle de service :
- Les détails du VCN toujours affichés, cliquez sur Passrelles de service.
- Pour la passerelle de service, cliquez sur le menu Actions (), puis sur Association à une table de routage.
-
Entrez les informations suivantes :
- Compartiment de la table de routage : Sélectionnez le compartiment de la table de routage pour la passerelle de service.
- Table de routage : sélectionnez la table de routage pour la passerelle de service.
-
Cliquez sur Associer.
La table de routage est associée à la passerelle de service.
Désactivation du routage de transit
Pour désactiver le routage de transit, supprimez les règles de :
- La table de routage associée à l'attachement DRG.
- La table de routage associée à la passerelle de service.
Une table de routage peut être associée à une ressource, sans comporter de règle. Sans au moins une règle, la table de routage n'est pas fonctionnelle.
Un attachement DRG ou une passerelle de service peut exister sans être associé à une table de routage. Cependant, après que vous associez une table de routage à un attachement DRG ou à une passerelle de service, celui-ci devra toujours être associé à une table. Mais il peut s'agir d'une table de routage différente. Vous pouvez également modifier les règles de la table, ou en supprimer une partie ou la totalité.