Note :
- Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, voir Démarrer avec le niveau gratuit d'Oracle Cloud Infrastructure.
- Il utilise des exemples de valeurs pour les données d'identification, la location et les compartiments d'Oracle Cloud Infrastructure. À la fin de votre laboratoire, remplacez ces valeurs par celles qui sont propres à votre environnement en nuage.
Configurer une connexion RPC entre deux locataires et leurs passerelles de routage dynamique
Présentation
Dans un environnement Oracle Cloud Infrastructure (OCI) multilocataire, il est essentiel d'assurer une communication sécurisée et efficace entre différents locataires pour les architectures de réseau hybride et réparti. Pour ce faire, vous pouvez configurer une connexion d'appairage distant (RPC) entre deux locataires et leurs passerelles de routage dynamique (DRG) correspondantes.
Objectifs
- Configurez une connexion d'appairage distant entre deux passerelles de routage dynamique dans des locataires OCI distincts, afin de garantir une connectivité transparente entre les réseaux. À la fin, vous aurez une configuration de connexion d'appairage distant fonctionnelle qui permet un flux de trafic sécurisé entre les locataires, ce qui vous aidera à créer des architectures multilocataires robustes dans OCI.
Préalables
-
Accès à deux locataires OCI : Vous avez besoin d'un administrateur ou d'autorisations appropriées dans les deux locataires OCI pour configurer des composants de réseau.
-
Passerelles DRG dans les deux locataires : Chaque locataire doit avoir une passerelle DRG déjà créée et attachée à un réseau en nuage virtuel (VCN).
-
Compatibilité des régions : Les passerelles DRG doivent se trouver dans la même région commerciale OCI ou dans des régions différentes qui prennent en charge la connexion d'appairage distant. La connexion d'appairage distant inter-région est prise en charge, mais les deux régions doivent être accessibles. Le demandeur doit être abonné à la région Acceptor.
-
Connectivité publique ou privée : Déterminez si vous autorisez la communication sur des adresses IP privées et assurez-vous que des blocs CIDR de sous-réseau appropriés sont planifiés pour éviter les conflits.
-
Configuration des réseaux en nuage virtuels et du routage : Les réseaux en nuage virtuels des deux locataires doivent avoir configuré correctement les tables de routage et les listes de sécurité pour autoriser le trafic sur la connexion d'appairage distant.
-
Politiques pour l'appairage entre locataires : Assurez-vous que les politiques d'Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) sont en place pour permettre l'appairage DRG entre différents locataires OCI. Vous devrez peut-être définir des politiques pour les deux locataires afin d'établir la confiance.
Tâche 1 : Déterminer le demandeur et le locataire de l'accepteur
Dans Oracle Cloud Infrastructure (OCI), lors de la configuration de communications internuage ou du partage de ressources, il est essentiel de définir quel locataire est le demandeur et quel est l'accepteur en termes de politiques OCI IAM. Ces rôles sont régis par les politiques de l'OCI IAM, qui définissent les autorisations des utilisateurs, des groupes et des compartiments.
En définissant clairement les rôles de demandeur et d'accepteur dans les politiques OCI IAM, vous assurez que les autorisations sont correctement configurées pour permettre un accès sécurisé et contrôlé aux ressources dans les locataires et les compartiments OCI. Les deux locataires doivent travailler ensemble pour s'assurer que les autorisations appropriées sont accordées et que les politiques du service OCI IAM sont définies de manière conforme aux meilleures pratiques de sécurité.
-
Locataire du demandeur : Le demandeur est le locataire OCI (ou le compartiment spécifique d'un locataire) qui lance une demande d'accès aux ressources d'un autre locataire ou compartiment OCI. Les politiques OCI IAM du demandeur doivent accorder les autorisations nécessaires pour accéder aux ressources de l'accepteur. Par exemple, le demandeur peut avoir besoin de créer une politique qui permet à ses utilisateurs d'accéder à une ressource dans le client Acceptor.
Le demandeur doit également s'assurer que les rôles OCI IAM appropriés sont affectés aux utilisateurs ou aux groupes qui effectuent la demande.
-
Locataire de l'accepteur : L'accepteur est le locataire OCI (ou compartiment) qui reçoit la demande d'accès et accorde les autorisations nécessaires au demandeur. Les politiques OCI IAM de l'accepteur doivent définir les actions que le demandeur peut effectuer et les ressources auxquelles il peut accéder. Les politiques de l'accepteur doivent également spécifier les utilisateurs ou les groupes autorisés à accepter de telles demandes, en s'assurant que l'accès est géré de manière sécurisée.
En plus d'accorder l'accès, l'accepteur doit configurer les politiques OCI IAM pour spécifier ce que le demandeur est autorisé à faire, en s'assurant que la portée appropriée et les principes de moindre privilège sont respectés.
L'image suivante présente un exemple de deux locataires qui sont connectés l'un à l'autre avec RPC, l'un d'eux étant défini en tant que demandeur (REQ) et l'autre en tant qu'accepteur (ACC).
Tâche 2 : Abonner la région Acceptant à la région Demandeur
Dans le cadre de la configuration de la connexion d'appairage distant entre deux locataires OCI, le demandeur doit être abonné à la région des locataires accepteurs, alors que l'accepteur n'a pas besoin d'être abonné à la région du demandeur. Voici pourquoi :
Pourquoi le demandeur doit être abonné au locataire acceptant :
-
Lancement de la communication : Le locataire demandeur est l'entité qui lance la connexion d'appairage distant en envoyant des demandes au locataire accepteur. Pour permettre cette communication, le demandeur doit être abonné à l'accepteur, ce qui lui permet de reconnaître et de se connecter au réseau et aux services de l'accepteur.
-
Établissement de la confiance et de la connectivité : En s'abonnant au locataire accepteur, le locataire demandeur établit la confiance et la connectivité nécessaires pour interagir avec l'environnement de l'accepteur. L'abonnement garantit que le demandeur peut acheminer correctement le trafic et les demandes vers les services de l'accepteur au moyen de la connexion d'appairage.
Pourquoi l'accepteur n'a pas besoin d'être abonné au locataire demandeur :
-
Rôle passif de l'accepteur : Le locataire acceptateur reçoit uniquement les demandes du locataire demandeur; il ne lance aucune communication. Étant donné que l'accepteur ne répond qu'aux demandes faites par le demandeur, il n'a pas besoin de s'abonner au demandeur. Il doit simplement être accessible et configuré pour gérer les demandes entrantes.
-
Communication unidirectionnelle : Les connexions d'appairage distant sont généralement configurées avec un flux de communication unidirectionnel dans lequel le demandeur est l'initiateur. L'accepteur n'a pas besoin d'un abonnement au locataire demandeur, car il n'a pas besoin d'initier ou de gérer les connexions sortantes.
En résumé, le demandeur doit s'abonner à l'accepteur pour lancer des connexions d'appairage distant et établir la connectivité, tandis que l'accepteur doit seulement être configuré pour répondre aux demandes et ne nécessite pas d'abonnement au locataire du demandeur.
Dans l'image suivante, vous verrez un exemple de la console OCI des demandeurs. Notez que le demandeur est abonné à la région Acceptors.
Dans l'image suivante, vous verrez un exemple de la console OCI Acceptors. Notez que les acceptateurs ne sont pas abonnés à la région Requestors.
Tâche 3 : Collecter les paramètres requis
Collectez les paramètres requis pour créer la politique OCI IAM pour le demandeur et le côté acceptateur. Le tableau ci-dessous présente les champs requis dans la politique OCI IAM pour les locataires Acceptor et Requestor lors de la configuration de l'accès d'appel de procédure distante dans OCI :
Informations requises | Locataire du demandeur | Locataire de l'accepteur |
---|---|---|
OCID de la location | X | X |
Nom de groupe | X | |
OCID du groupe | X | |
Nom du compartiment | X | X |
Assurez-vous que ces informations sont collectées des deux côtés avant de créer la politique IAM OCI.
Tâche 4 : Créer et configurer la politique OCI IAM du côté demandeur et du côté acceptant
La documentation officielle relative à la politique OCI IAM permettant de faire fonctionner la connexion d'appairage distant se trouve ici : Appairage distant avec une passerelle DRG mise à niveau.
Lorsque vous regardez les politiques, vous verrez que dans la politique OCI IAM pour le demandeur, certaines informations sont requises de la part de l'accepteur et, pour la politique OCI IAM de l'accepteur, certaines informations sont requises du demandeur. Cela rend parfois déroutant la création des politiques, et si les politiques ne sont pas correctes, la connexion d'appairage distant ne sera pas disponible et le dépannage sera difficile.
Pour résoudre ce problème, nous avons créé l'outil de politique RPC IAM. Il existe d'autres architectures de réseau RPC disponibles, mais l'outil de politique IAM RPC ne peut être utilisé que si vous tentez de créer une connexion d'appairage distant entre deux locataires OCI différents où chaque locataire a sa propre passerelle DRG.
Dans l'image suivante, vous verrez le formulaire que l'outil de politique RPC IAM vous fournira pour insérer tous les détails requis. Le formulaire demandera plus d'informations réellement requises, mais il est recommandé d'avoir toutes les informations en un seul endroit avant de commencer à configurer la connexion d'appairage distant et les politiques OCI IAM du côté acceptant et demandeur.
Les informations et paramètres du demandeur sont marqués avec la couleur rouge et les informations et paramètres de l'accepteur sont marqués avec la couleur bleue.
L'image suivante présente un exemple de toutes les informations saisies. Entrez tous les champs obligatoires et cliquez sur Soumettre.
L'outil génère les informations suivantes :
- Un diagramme avec les paramètres que vous avez utilisés pour mettre les choses en perspective.
- Un tableau avec tous les paramètres que vous avez utilisés (pour que vous puissiez faire une capture d'écran, ou copier-coller dans vos notes pour référence plus tard).
- Politique de l'OCI IAM pour le demandeur.
- Politique de l'OCI IAM pour l'accepteur.
Tâche 4.1 : Créer et configurer la politique OCI IAM du côté du demandeur
-
Connectez-vous à la console OCI, naviguez jusqu'à Identité et sécurité et cliquez sur Politiques.
-
Veillez à sélectionner le compartiment racine et cliquez sur Créer une politique.
-
Entrez les informations suivantes et cliquez sur Créer.
- Entrez un nom et une description pour la politique.
- Sélectionnez Show manual editor.
- Copiez/collez les énoncés de politique du côté demandeur dans la politique.
Lorsque vous créez la politique, vous voyez les énoncés configurés.
Lorsque vous revenez à la page d'aperçu de la politique, la politique configurée s'affiche.
Tâche 4.2 : Créer et configurer la politique OCI IAM du côté de l'accepteur
-
Connectez-vous à la console OCI, naviguez jusqu'à Identité et sécurité et cliquez sur Politiques.
-
Veillez à sélectionner le compartiment racine et cliquez sur Créer une politique.
-
Entrez les informations suivantes et cliquez sur Créer.
- Entrez un nom et une description pour la politique.
- Sélectionnez Show manual editor.
- Copiez/collez les énoncés de politique du côté demandeur dans la politique.
Lorsque vous créez la politique, vous voyez les énoncés configurés.
Lorsque vous revenez à l'aperçu de la politique, vous voyez la politique configurée.
Tâche 5 : Configurer les attachements de passerelle DRG sur la passerelle DRG côté demandeur et côté acceptateur
Nous devons créer un RPC du côté du demandeur et de l'accepteur.
Tâche 5.1 : Créer une connexion d'appairage distant côté demandeur
-
Allez à la console OCI, naviguez jusqu'à Réseau et cliquez sur Passerelles de routage dynamique.
-
Cliquez sur Attachements de connexion d'appairage distant et sur Créer une connexion d'appairage distant.
-
Entrez nom et cliquez sur Créer une connexion d'appairage distante.
Tâche 5.2 : Créer une connexion d'appairage distant côté acceptateur
-
Allez à la console OCI, naviguez jusqu'à Réseau et cliquez sur Passerelles de routage dynamique.
-
Cliquez sur Attachements de connexion d'appairage distant et sur Créer une connexion d'appairage distant.
-
Entrez nom et cliquez sur Créer une connexion d'appairage distante.
-
Collectez l'OCID de la connexion d'appairage distant du côté de l'accepteur car nous devons utiliser cet OCID pour établir la connexion de connexion d'appairage distant du côté du demandeur.
Tâche 6 : Établir la connexion du côté du demandeur
-
Allez à la console OCI du côté demandeur, naviguez jusqu'à Réseau, Passerelles de routage dynamique et cliquez sur Attachements de connexion d'appairage distant.
-
Cliquez sur la connexion d'appairage distant (configurée pour le côté Acceptor) créée dans la tâche 5.
-
Cliquez sur Établir la connexion.
-
Entrez les informations suivantes et cliquez sur Établir la connexion.
- Sélectionnez la région de l'accepteur.
- Collez l'OCID de la connexion d'appairage distant collecté dans la tâche 5.
Si le demandeur est abonné à la région Acceptor et que les bonnes politiques OCI IAM sont configurées et que le bon service RPC OCI, le statut d'appairage doit passer à Appairé du côté demandeur.
Vous pouvez cliquer sur la connexion d'appairage distant pour afficher des informations supplémentaires sur l'appairage.
- Notez que le statut du pair est Appairé.
- Notez que la région du pair est Jeddah.
- Notez qu'il s'agit d'un appairage inter location.
-
Nous pouvons également vérifier le statut d'appairage côté Acceptor.
-
Allez à la console OCI du côté de l'accepteur, naviguez jusqu'à Réseau, Passerelles de routage dynamique et cliquez sur Attachements de connexion d'appairage distant.
-
Cliquez sur la connexion d'appairage distant configurée pour le côté demandeur.
-
Notez que le statut d'appairage est également réglé à Appairé du côté Accepteur.
Vous pouvez cliquer sur la connexion d'appairage distant pour afficher des informations supplémentaires sur l'appairage.
- Notez que le statut de pair est Appairé.
- Notez que la région du pair est Riyad.
- Notez qu'il s'agit d'un appairage inter location.
-
Tâche 7 : Concevoir des architectures RPC avec trois locataires ou plus
Il est également possible de créer des connexions RPC entre plus de deux sites ou locataires.
-
Dans l'image suivante, vous pouvez voir que nous avons utilisé trois locataires différents :
- OCI Riyad (demandeur)
- OCI Jeddah (Accepteur)
- OCI Dubai (Accepteur)
Dans cet exemple, Riyad sera une sorte de site central qui agira en tant que demandeur de deux accepteurs.
-
Dans l'image suivante, vous pouvez voir que nous avons utilisé trois locataires différents :
- OCI Riyad (demandeur)
- OCI Jeddah (Demandeur + Acceptateur)
- OCI Dubai (Accepteur)
Dans cet exemple, Riyad sera le Demandeur de Djeddah et Djeddah sera le Demandeur de Dubaï.
-
Dans l'image suivante, vous pouvez voir que nous avons utilisé trois locataires différents :
- OCI Riyad (Demandeur + Acceptateur)
- OCI Jeddah (Accepteur)
- OCI Dubaï (demandeur)
Dans cet exemple, Riyad sera le demandeur de Djeddah et l'accepteur de Dubaï.
Conclusion
La configuration d'une connexion d'appairage distant entre deux locataires OCI nécessite une planification minutieuse, une configuration précise et les politiques OCI IAM correctes. En suivant ce tutoriel étape par étape, vous avez réussi à établir une connexion d'appairage distant sécurisée et fonctionnelle entre deux passerelles de routage dynamique dans des locataires distincts. Cette connexion permet une communication transparente entre les réseaux, un composant essentiel pour créer des architectures OCI évolutives et multilocataires.
Pour simplifier le processus et éliminer les erreurs de politique potentielles, l'outil de politique RPC IAM fournit un moyen facile de générer les politiques OCI IAM requises pour les locataires Requestor et Acceptor. La configuration correcte de vos politiques, de vos attachements DRG et de vos abonnements régionaux garantit une configuration d'appairage fluide.
Au-delà des configurations RPC de base, la conception d'architectures multilocataires avec trois locataires ou plus ajoute plus de flexibilité et d'évolutivité à votre réseau OCI. Comprendre le rôle de chaque locataire, que ce soit en tant que demandeur, acceptateur ou les deux, vous permet de créer des environnements robustes et interconnectés qui prennent en charge efficacement les charges de travail hybrides et réparties.
En tirant parti des capacités de réseau d'OCI, vous pouvez créer des architectures interlocataires sécurisées, évolutives et à haute performance qui s'alignent sur les meilleures pratiques de réseau d'entreprise. Si vous rencontrez des problèmes, la révision des politiques OCI IAM et des configurations DRG est une première étape importante pour le dépannage.
Grâce à cette connaissance, vous êtes maintenant bien équipé pour établir et étendre des connexions RPC dans Oracle Cloud Infrastructure afin de répondre aux exigences de votre organisation en matière de réseau.
Remerciements
- Auteur - Iwan Hoogendoorn (spécialiste du réseau OCI)
Autres ressources d'apprentissage
Explorez d'autres laboratoires sur le site docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.
Pour obtenir la documentation sur le produit, visitez Oracle Help Center.
Set up RPC Connection between Two Tenants and their Dynamic Routing Gateways
G30588-02
Copyright ©2025, Oracle and/or its affiliates.