Connexion RPV à Azure
Le service de RPV site à site pour Oracle Cloud Infrastructure (OCI) offre une connexion IPSec sécurisée entre un réseau sur place et un réseau en nuage virtuel (VCN). Vous pouvez également utiliser un RPV site à site pour connecter des ressources OCI à d'autres fournisseurs de services en nuage.
Cette rubrique présente les meilleures pratiques de configuration pour un tunnel RPV IPSec entre OCI et Microsoft Azure à l'aide du service RPV site à site pour OCI et du service RPV IPSec pour Azure.
Ce document suppose que vous avez déjà provisionné un réseau en nuage virtuel (VCN) et une passerelle de routage dynamique (DRG) et que vous avez également configuré toutes les tables de routage de VCN et les listes de sécurité requises pour ce scénario et toutes les équivalences dans Azure.
Considérations propres à Microsoft Azure
Version du IKE : Une connexion RPV IPSec entre OCI et Microsoft Azure doit utiliser IKE version 2 pour l'interopérabilité.
Type d'acheminement : Ce scénario utilise le protocole BGP pour échanger des routes entre Azure et OCI. BGP est privilégié pour le RPV site à site lorsque c'est possible. Le routage statique peut également être utilisé entre Azure et OCI.
Perfect Forward Secrecy (Confidentialité avant) : Avec la confidentialité avant parfaite (PFS), de nouvelles clés Diffie-Hellman sont générées lors de la phase 2, et la phase 2 renouvelle au lieu d'utiliser la même clé générée lors de la phase 1. Les deux pairs RPV doivent correspondre au paramètre de groupe PFS sélectionné pour la phase 2. Par défaut, Azure (les groupes 1, 2, 14 et 24 pour IKEv2 uniquement) et OCI (le groupe 5) présentent une non-concordance de PFS. Le groupe PFS côté OCI peut être modifié pour correspondre à l'équipement local d'abonné.
Vérifier la version de RPV site à site pour OCI
Vous pouvez vérifier la version du RPV site à site utilisée par la connexion IPSec dans l'onglet Informations de connexion IPSec de la page de connexion IPSec.
Paramètres IPSec pris en charge
Pour la liste des paramètres IPSec pris en charge indépendamment du fournisseur pour toutes les régions OCI, voir Paramètres IPSec pris en charge.
Processus de configuration
- Dans le portail Azure principal, recherchez Virtual Network Gateway (Passerelle de réseau virtuel). Sélectionnez-la dans les résultats de recherche.
- Dans la page suivante, sélectionnez le bouton Create (Créer) pour créer une passerelle de réseau virtuel.
- Vous êtes dirigé vers la page Create Virtual Network Gateway (Créer une passerelle de réseau virtuel).
- Name (Nom) : Donnez un nom à la passerelle.
- Région : Sélectionnez une région Azure. La région doit être identique à celle du réseau virtuel.
- Gateway Type (Type de passerelle) : Sélectionnez VPN (RPV).
- VPN type (Type de RPV) : Sélectionnez Route-based.
- UGS et Generation (Génération) : Sélectionnez une UGS de passerelle qui prend en charge IKEv2 et répond aux exigences en matière de débit. Pour plus d'informations sur les unités de gestion de stock de passerelle, voir la documentation sur Azure relative aux passerelles VPN Gateways.
- Réseau virtuel : Sélectionnez le réseau virtuel de la passerelle. Ce réseau virtuel a également besoin d'un sous-réseau de passerelle.
- Intervalle d'adresses de sous-réseau de passerelle : Si le réseau virtuel comporte déjà une adresse GatewaySubnet, sélectionnez-la. Sinon, sélectionnez un intervalle d'adresses inutilisé.
- Adresse IP publique : La passerelle de réseau virtuel a besoin d'une adresse IP publique. Si une adresse a déjà été créée, sélectionnez-la. Sinon, sélectionnez Créer et donnez un nom à l'adresse IP publique.
- Activer le mode actif-actif : Laissez cette option désactivée.
- Configurer BGP : Sélectionnez Enabled (Activé). Laissez cette option désactivée pour utiliser le routage statique.
- Autonomous System Number (ASN) (Numéro de système autonome (ASN)) : Par défaut, Azure utilise le numéro ASN BGP 65515. Sélectionnez la valeur par défaut.
-
Adresse IP BGP Azure APIPA personnalisée : Sélectionnez un sous-réseau /30 dans 169.254.21.0/24 ou 169.254.22.0/24. Ces adresses sont les adresses IP BGP pour Azure et OCI. Entrez l'une des deux adresses IP disponibles pour le sous-réseau /30 sélectionné. Ce scénario utilise 169.254.21.1 pour OCI et 169.254.21.2 pour Azure.
Lorsque vous avez terminé de configurer la passerelle de réseau virtuel, sélectionnez le bouton Vérifier + créer, puis le bouton Créer dans la page suivante.
- Accédez à la passerelle de réseau virtuel nouvellement créée et enregistrez l'adresse IP publique. L'adresse IP est utilisée pour créer la connexion IPSec dans OCI.
- Ouvrez le menu de navigation et sélectionnez Service de réseau. Sous Connectivité client, sélectionnez Équipement local d'abonné.
- Sélectionnez Créer un équipement local d'abonné.
-
Entrez les valeurs suivantes :
- Créer dans le compartiment : Sélectionnez un compartiment pour le VCN souhaité.
- Nom : nom descriptif de l'objet CPE. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
Cet exemple utilise le nom "TO_Azure".
- Adresse IP : Entrez l'adresse IP publique de la passerelle de réseau virtuel Azure. Vous pouvez trouver cette adresse IP publique dans la console Azure en naviguant jusqu'à la page d'aperçu de la passerelle réseau virtuelle créée dans la tâche précédente.
- Fournisseur d'équipement local d'achat : Sélectionnez Autre.
- Sélectionnez Créer un équipement local d'abonné.
- Ouvrez le menu de navigation et sélectionnez Service de réseau. Sous Connectivité client, sélectionnez RPV site-à-site.
- Sélectionnez Créer une connexion IPSec.
-
Entrez les valeurs suivantes :
- Créer dans le compartiment : Laissez tel quel (le compartiment du réseau VCN).
- Nom : entrez un nom descriptif pour la connexion IPSec. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
- Compartiment de l'équipement local d'abonné : Laissez tel quel (le compartiment du VCN).
- Équipement local d'abonné : Sélectionnez l'objet CPE que vous avez créé précédemment, nommé TO_Azure.
- Compartiment de la passerelle de routage dynamique : Laissez tel quel (le compartiment du VCN).
- Passerelle de routage dynamique : Sélectionnez la passerelle DRG que vous avez créée précédemment.
- CIDR de route statique : Entrez une route par défaut, 0.0.0.0/0. Comme BGP est utilisé pour le tunnel actif, OCI ignore cette route. Cette entrée est requise pour le second tunnel de la connexion IPSec qui se sert par défaut du routage statique et n'est pas utilisé dans ce scénario. Si vous envisagez d'utiliser un routage statique pour cette connexion, entrez des routes statiques représentant ces réseaux virtuels Azure. Jusqu'à 10 routes statiques peuvent être configurées pour chaque connexion IPSec.
-
Entrez les détails suivants dans l'onglet Tunnel 1 (obligatoire) :
- Nom : Entrez un nom descriptif pour le TUNNEL (Exemple : Azure-TUNNEL-1). Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
- Indiquer une clé secrète partagée personnalisée : La clé prédéfinie utilisée par IPSec pour ce tunnel. Cochez cette case si vous souhaitez utiliser une clé personnalisée. Si rien n'est sélectionné, un est généré pour vous.
- Version du protocole IKE : Sélectionnez IKEv2.
- Type d'acheminement : Sélectionnez Racheminement dynamique BGP. Sélectionnez Routage statique si vous souhaitez en utiliser un.
- ASN BGP : Entrez le ASN BGP utilisé par Azure. L'ASN BGP Azure est configuré lors de l'étape 3 de la section Azure - Créer une passerelle RPV. Ce scénario utilise l'ASN BGP Azure par défaut, 65515.
- IPv4 Interface de tunnel interne - CPE : Adresse IP BGP utilisée par Azure. Utilisez la notation CIDR complète pour cette adresse IP. L'adresse IP BGP d'Azure est configurée lors de l'étape 3 de la section Azure - Créer une passerelle RPV.
- IPv4 Interface de tunnel interne - Oracle : Adresse IP BGP utilisée par OCI. Utilisez la notation CIDR complète pour cette adresse IP. Cette adresse IP est celle qui reste dans le /30 sélectionné.
- Sélectionnez Afficher les options avancées et développez Configuration de la deuxième phase (IPSec). Sélectionnez un groupe Diffie-Hellman de confidentialité persistante. Sélectionnez GROUP2, GROUP14 ou GROUP24.
-
Sélectionnez Créer une connexion IPSec.
La connexion IPSec est créée et affichée dans la page. La connexion est à l'état Provisionnement pour une courte période.
Par défaut, le RPV site à site pour OCI utilise le groupe PFS 5 pour tous les tunnels RPV IPSec. Pour IKEv2, Azure envoie des propositions avec les groupes PFS 1, 2, 14 et 24.
Vous pouvez utiliser la console OCI pour définir la politique IPSec de phase 2 d'un tunnel afin d'utiliser une valeur de groupe PFS personnalisée de 2, 14 ou 24. OCI ne prend pas en charge le groupe PFS 1.
-
Dans le portail Azure principal, recherchez Local Network Gateway. Sélectionnez-la dans les résultats de recherche.
-
Dans la page suivante, sélectionnez le bouton Create (Créer) pour créer une passerelle de réseau local.
-
Vous êtes dirigé vers la page Create Local Network Gateway (Créer une passerelle de réseau local). Entrez les détails suivants :
- Région : Sélectionnez une région Azure. La région doit être identique à celle du réseau virtuel et de la passerelle de réseau virtuel.
- Nom : Donnez un nom à la passerelle de réseau local.
- IP Address (adresse IP) : Entrez l'adresse IP du RPV OCI pour le tunnel 1.
- Espace d'adresses : Laissez ce champ vide si vous utilisez un routage statique pour entrer les blocs CIDR des réseaux en nuage virtuels OCI.
- Configurer les paramètres BGP : Cochez cette case. Si vous utilisez le routage statique, ne sélectionnez pas cette option.
- Autonomous System Number (ASN) (Numéro de système autonome (ASN) : Entrez le numéro ASN BGP pour OCI. Le numéro ASN BGP d'Oracle pour le nuage commercial est 31898, à l'exception de la région Serbie - Centre (Jovanovac) qui est 14544.
- BGP peer IP address (Adresse IP du pair BGP) : Adresse IP du BGP pour OCI. La même adresse IP que celle utilisée pour IPV4 Interface de tunnel interne - Oracle à l'étape 4 d'OCI - Créer une connexion IPSec.
-
Accédez à la passerelle de réseau virtuel créée précédemment. Dans le menu de gauche, sélectionnez Connexions, puis le bouton Ajouter pour ajouter une connexion.
-
Vous accédez à la page Add Connection (Ajouter une connexion). Entrez les détails suivants :
- Nom : Donnez un nom à la connexion.
- Type de connexion : Sélectionnez Site-to-site (IPsec)
- Lande de réseau local : Sélectionnez la passerelle de réseau local créée précédemment.
- Shared Key (PSK) (clé partagée (PSK)) - Entrez la clé secrète partagée du tunnel OCI. Voir OCI - Enregistrer l'adresse IP du RPV site à site et la clé secrète partagée si vous devez identifier l'emplacement de la clé partagée dans la console OCI.
- Activer BGP : Cochez cette case. Ne pas sélectionner si vous utilisez un routage statique.
-
IKE Protocol : Sélectionnez IKEv2.
Laissez toutes les autres options par défaut. Lorsque vous avez terminé de configurer la connexion RPV, sélectionnez le bouton OK au bas de la page.
Après quelques minutes, Azure termine le provisionnement de la nouvelle connexion RPV et le RPV IPSec entre Azure et OCI apparaît.
Accédez à une connexion IPSec dans OCI et à la connexion à la passerelle de réseau virtuel dans Azure pour vérifier le statut du tunnel.
Le tunnel OCI sous la connexion IPSec affiche le statut IPSec Actif pour confirmer un tunnel opérationnel.
Le statut BGP IPV4 affiche également Actif indiquant une session BGP établie.
Le statut de connexion sous la passerelle de réseau virtuel pour ce tunnel affiche Connected (Connected) pour confirmer un tunnel opérationnel.
Un service Surveillance est également disponible dans OCI pour surveiller activement et passivement les ressources en nuage. Pour plus d'informations sur la surveillance du RPV site à site pour OCI, voir Mesures du RPV site à site.
En cas de problèmes, voir Dépannage du RPV site à site.