Documentation sur Oracle Cloud Infrastructure

Connexion de réseaux en nuage virtuels au moyen d'une passerelle d'appairage local (LPG)

Sur Compute Cloud@Customer, vous pouvez configurer des passerelles d'appairage local. L'appairage de VCN est le processus de connexion de plusieurs réseaux en nuage virtuels afin que les ressources puissent communiquer à l'aide d'adresses IP privées.

Vous pouvez utiliser l'appairage de VCN pour diviser votre réseau en plusieurs réseaux en nuage virtuels, par exemple, en fonction des services ou des secteurs d'activité, chaque VCN ayant un accès privé direct aux autres. Vous pouvez également placer des ressources partagées dans un seul VCN auquel tous les autres réseaux en nuage virtuels peuvent accéder en privé. Deux réseaux en nuage virtuels appairés peuvent se trouver dans la même location ou dans des locations différentes.

Politiques

L'appairage entre deux réseaux en nuage virtuels nécessite l'accord explicite des deux parties sous la forme de politiques IAM que chaque partie met en oeuvre pour son propre compartiment ou sa propre location de VCN. Si les réseaux en nuage virtuels se trouvent dans des locations différentes, chaque administrateur doit fournir son OCID de location et mettre en place des énoncés de politique coordonnés spéciaux pour permettre l'appairage.

Pour mettre en oeuvre les politiques IAM requises pour l'appairage, les deux administrateurs de VCN doivent désigner un administrateur comme demandeur et l'autre comme accepteur. Le demandeur doit lancer la demande de connexion des deux passerelles LPG. À son tour, l'accepteur doit créer une politique IAM particulière qui donne au demandeur l'autorisation de se connecter à des passerelles LPG dans le compartiment de l'accepteur. Sans cette politique, la demande de connexion du demandeur échoue. Chaque administrateur de réseau VCN peut supprimer une connexion d'appairage en supprimant sa passerelle LPG.

Routage et contrôle du trafic

Lors de la configuration des réseaux VCN, chaque administrateur doit mettre à jour leur routage pour permettre le trafic entre eux. En pratique, il s'agit du routage configuré pour n'importe quelle passerelle, telle qu'une passerelle Internet ou une passerelle de routage dynamique. Vous mettez à jour la table de routage de chaque sous-réseau qui doit communiquer avec l'autre VCN. La règle de routage spécifie le CIDR du trafic de destination et votre passerelle LPG en tant que cible. Votre passerelle LPG dirige le trafic correspondant à cette règle vers l'autre LPG, qui à son tour dirige le trafic vers le saut suivant dans l'autre VCN.

Vous pouvez contrôler le flux du paquet sur la connexion d'appairage à l'aide de tables de routage dans votre réseau VCN. Vous pouvez, par exemple, restreindre le trafic à certains sous-réseaux de l'autre VCN. Sans supprimer l'appairage, vous pouvez arrêter le flux de trafic vers l'autre VCN en supprimant les règles de routage qui dirigent le trafic de votre VCN vers l'autre VCN. Vous pouvez également arrêter le trafic en supprimant toutes les règles de sécurité qui permettent le trafic entrant ou sortant avec l'autre VCN. Cela n'arrête pas la circulation du trafic sur la connexion d'appairage, mais l'arrête au niveau de la carte VNIC.

Règles de sécurité

Chaque administrateur de VCN doit s'assurer que tout le trafic sortant et entrant avec l'autre VCN est prévu, attendu et correctement défini. En pratique, cela signifie que la mise en oeuvre des listes de règles de sécurité qui indiquent explicitement les types de trafic que votre VCN peut envoyer à un autre et accepter d'un autre. Si vos sous-réseaux utilisent la liste de sécurité par défaut, deux règles autorisent le trafic entrant SSH et ICMP de n'importe où, ainsi que l'autre VCN. Évaluer ces règles et décider de les conserver ou de les mettre à jour.

En plus des listes de sécurité et des pare-feux, évaluez d'autres configurations en fonction du système d'exploitation sur les instances de votre réseau VCN. Certaines configurations par défaut peuvent ne pas s'appliquer à votre propre CIDR de VCN, mais par inadvertance à l'autre CIDR de VCN.

Connexion de réseaux en nuage virtuels au moyen d'une passerelle d'appairage local

Sur Compute Cloud@Customer, une passerelle d'appairage local (LPG) est un moyen de connecter les réseaux en nuage virtuels afin que les éléments de chaque réseau VCN puissent communiquer, même à l'aide d'une adresse IP privée.

Les composants suivants sont requis pour configurer une connexion d'appairage :

  • Deux réseaux en nuage virtuels avec des blocs CIDR qui ne se chevauchent pas

  • Une passerelle d'appairage local (LPG) sur chaque VCN de la relation d'appairage

  • Connexion entre les deux passerelles LPG

  • Règles de routage pour activer le trafic sur la connexion d'appairage vers et depuis les sous-réseaux souhaités dans les réseaux en nuage virtuels respectifs

  • Règles de sécurité pour contrôler les types de trafic autorisés depuis et vers les instances des sous-réseaux en question

    1. Dans le menu de navigation de la console Compute Cloud@Customer, sous Réseau, sélectionnez Réseaux en nuage virtuels.

      Une liste des réseaux en nuage virtuels configurés précédemment dans les compartiments s'affiche. Si le compartiment dans lequel vous créez la passerelle d'appairage local n'est pas affiché, utilisez le menu déroulant pour sélectionner le compartiment approprié.

    2. Sélectionnez le nom du réseau VCN.

    3. Dans le menu Ressources, sélectionnez Passerelles d'appairage local.

    4. Sélectionnez Créer une passerelle d'appairage local.

    5. Entrez les informations requises :

      • Nom : Entrez un nom. Évitez d'entrer des informations confidentielles.

      • Créer dans le compartiment : Sélectionnez le compartiment dans lequel créer la passerelle d'appairage local.

      • Marquage : (Facultatif) Ajoutez un ou plusieurs marqueurs à cette ressource. Les marqueurs peuvent également être appliqués ultérieurement. Pour plus d'informations sur le marquage des ressources, voir Marqueurs de ressource.

    6. Sélectionnez Créer une passerelle d'appairage local.

      La passerelle d'appairage local est maintenant prête pour connecter les réseaux en nuage virtuels à l'établissement d'une connexion d'appairage et prête pour l'ajout de règles de routage ou de paramètres de sécurité.

  • Utilisez la commande oci network local-peering-gateway create et les paramètres requis pour créer une passerelle d'appairage local (LPG) pour le VCN spécifié.

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    Pour la liste complète des commandes, indicateurs et options de l'interface de ligne de commande, voir Informations de référence sur la ligne de commande.

  • Utilisez l'opération CreateLocalPeeringGateway pour créer une passerelle d'appairage local (LPG) pour le VCN spécifié.

    Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.