Documentation sur Oracle Cloud Infrastructure

Connexion de réseaux en nuage virtuels au moyen d'une passerelle d'appairage local (LPG)

Sur Compute Cloud@Customer, vous pouvez configurer des passerelles d'appairage local. VCN peering is the process of connecting multiple virtual cloud networks (VCNs) so that resources can communicate using private IP addresses.

Vous pouvez utiliser l'appairage de réseau VCN pour diviser votre réseau en plusieurs réseaux en nuage virtuels, par exemple, en fonction de services ou de secteurs d'activité, chaque réseau VCN ayant un accès privé direct aux autres. Vous pouvez également placer des ressources partagées dans un VCN auquel tous les autres VCN peuvent accéder en privé. Deux réseaux en nuage virtuels appairés peuvent se trouver dans la même location ou dans d'autres.

politiques

L'appairage entre deux réseaux en nuage virtuels nécessite un accord explicite de la part des deux parties sous la forme de politiques IAM que chaque partie met en oeuvre pour son propre compartiment ou location VCN. Si les réseaux en nuage virtuels se trouvent dans des locations différentes, chaque administrateur doit fournir son OCID et définir des énoncés de politique coordonnés spéciaux pour permettre l'appairage.

Pour mettre en oeuvre les politiques IAM requises pour l'appairage, les deux administrateurs de VCN doivent désigner un administrateur en tant que demandeur et l'autre en tant qu'accepteur. Le demandeur doit lancer la demande de connexion des deux passerelles LPG. À son tour, l'accepteur doit créer une politique IAM particulière qui donne au demandeur l'autorisation de se connecter aux passerelles LPG du compartiment de l'accepteur. Sans cette politique, la demande de connexion du demandeur échoue. L'administrateur du réseau VCN peut supprimer une connexion d'appairage en supprimant sa passerelle LPG.

Routage et contrôle du trafic

Lors de la configuration des réseaux VCN, chaque administrateur doit mettre à jour leur routage pour permettre le trafic entre eux. En pratique, il s'agit du routage configuré pour n'importe quelle passerelle, telle qu'une passerelle Internet ou une passerelle de routage dynamique. Vous mettez à jour la table de routage de chaque sous-réseau qui doit communiquer avec l'autre VCN. La règle de routage spécifie le CIDR du trafic de destination et définit votre passerelle LPG comme cible. Votre passerelle LPG dirige le trafic vers l'autre LPG, qui à son tour envoie le trafic vers le saut suivant dans l'autre VCN.

Vous pouvez contrôler le flux de paquets sur la connexion d'appairage avec les tables de routage de votre VCN. Vous pouvez, par exemple, restreindre le trafic à certains sous-réseaux de l'autre VCN. Sans supprimer l'appairage, vous pouvez arrêter le flux de trafic vers l'autre VCN en supprimant les règles de routage qui dirigent le trafic de votre VCN vers l'autre VCN. Vous pouvez également arrêter le trafic en supprimant toutes les règles de sécurité qui permettent le trafic entrant ou sortant avec l'autre VCN. Cela n'arrête pas le flux du trafic sur la connexion d'appairage, mais l'arrête au niveau de la carte VNIC.

Règles de sécurité

Chaque administrateur de VCN doit s'assurer que tout le trafic entrant et sortant avec l'autre VCN est attendu et correctement défini. En pratique, cela signifie que la mise en oeuvre des listes de règles de sécurité qui indiquent explicitement les types de trafic que votre VCN peut envoyer à un autre, et accepter d'un autre. Si vos sous-réseaux utilisent la liste de sécurité par défaut, il existe deux règles autorisant le trafic entrant SSH et ICMP de n'importe où, ainsi que l'autre VCN. Évaluez ces règles et décidez de les conserver ou de les mettre à jour.

En plus des listes de sécurité et des pare-feu, évaluez d'autres configurations en fonction du système d'exploitation sur les instances de votre réseau VCN. Il peut y avoir des configurations par défaut qui ne s'appliquent pas à votre propre bloc CIDR de VCN, mais qui s'appliquent par inadvertance à l'autre bloc CIDR de VCN.

Connexion de réseaux en nuage virtuels au moyen d'une passerelle d'appairage local

Sur Compute Cloud@Customer, une passerelle d'appairage local (LPG) permet de connecter des réseaux en nuage virtuels afin que les éléments de chaque VCN puissent communiquer, même à l'aide d'une adresse IP privée.

Les composants suivants sont requis pour configurer une connexion d'appairage :

  • Deux réseaux en nuage virtuels avec blocs CIDR qui ne se chevauchent pas

  • Une passerelle d'appairage local (LPG) sur chaque réseau VCN dans la relation d'appairage

  • Une connexion entre les deux passerelles LPG

  • Règles de routage pour permettre le trafic sur la connexion d'appairage vers et depuis les sous-réseaux souhaités dans les réseaux en nuage virtuels respectifs

  • Règles de sécurité pour contrôler les types de trafic autorisés depuis et vers les instances des sous-réseaux en question

    1. Dans le menu de navigation de la console Compute Cloud@Customer, sous Réseau, sélectionnez Réseaux en nuage virtuels.

      Une liste des réseaux en nuage virtuels configurés précédemment dans les compartiments s'affiche. Si le compartiment dans lequel vous créez la passerelle d'appairage local n'est pas affiché, utilisez le menu déroulant pour sélectionner le compartiment approprié.

    2. Sélectionnez le nom du réseau VCN.

    3. Dans le menu Ressources, sélectionnez Passerelles d'appairage local.

    4. Sélectionnez Créer une passerelle d'appairage local.

    5. Entrez les informations requises :

      • Nom : Entrez un nom. Évitez d'entrer des informations confidentielles.

      • Créer dans le compartiment : Sélectionnez le compartiment dans lequel créer la passerelle d'appairage local.

      • Association de table de routage (facultatif) Facultativement, vous pouvez associer une table de routage à la passerelle d'appairage local. Une liste des tables de routage configurées pour le compartiment sélectionné figure dans un menu déroulant. Vous pouvez modifier le compartiment en sélectionnant (modifier) à côté du nom du compartiment.

      • Marquage : (Facultatif) Ajoutez un ou plusieurs marqueurs à cette ressource. Les marqueurs peuvent également être appliqués ultérieurement. Pour plus d'informations sur le marquage des ressources, voir Ajout de marqueurs à la création de ressources (IAM dans OCI).

    6. Sélectionnez Créer une passerelle d'appairage local.

      La passerelle d'appairage local est maintenant prête pour la connexion des réseaux en nuage virtuels avec l'établissement de la connexion d'appairage, et prête pour l'ajout de règles de routage ou de paramètres de sécurité.

  • Utilisez la commande oci network local-peering-gateway create et les paramètres requis pour créer une nouvelle passerelle d'appairage local (LPG) pour le VCN spécifié.

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    Pour la liste complète des commandes, indicateurs et options de l'interface de ligne de commande, voir Informations de référence sur la ligne de commande.

  • Utilisez l'opération CreateLocalPeeringGateway pour créer une nouvelle passerelle d'appairage local pour le VCN spécifié.

    Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.