Documentation Oracle Cloud Infrastructure

Interconnexion pour Google Cloud

Cette rubrique explique comment configurer Oracle Interconnect for Google Cloud.

Oracle Interconnect for Google Cloud vous permet de créer une connexion inter-cloud entre Oracle Cloud Infrastructure et Google Cloud Platform (GCP) dans certaines régions. Cette connexion vous permet de configurer des charges globales cloud à cloud sans que le trafic entre les clouds ne passe par Internet. Cette rubrique explique comment configurer des ressources d'infrastructure de fonctions de réseau virtuel pour activer ce déploiement.

Points clés

  • Vous pouvez connecter un réseau cloud virtuel (VCN) Oracle Cloud Infrastructure (OCI) à un cloud privé virtuel (VPC) GCP et exécuter une charge de travail cloud à cloud. Dans un cas d'emploi standard, vous pouvez déployer une instance Oracle Database sur OCI et déployer une application personnalisée dans GCP.
  • Les deux réseaux virtuels doivent appartenir à la même société ou à la même organisation et ne doivent pas présenter un chevauchement de CIDR. Oracle Interconnect for Google Cloud exige que vous créiez un circuit d'interconnexion partenaire et un circuit virtuel OCI FastConnect.

Disponibilité

Oracle Interconnect for Google Cloud n'est disponible que dans les régions couplées décrites dans les cartes et tableaux suivants. Pour plus d'informations sur les emplacements de région GCP, reportez-vous au tableau Emplacements des installations de colocalisation dans la documentation GCP.

L'image suivante présente les régions avec Oracle Interconnect for Google Cloud, montrant toutes les régions OCI commerciales et notant les régions avec interconnexion à Azure et GCP. Les régions GCP participantes sont également répertoriées dans les tableaux suivants.

Carte indiquant les régions interconnectées avec Azure ou GCP.

Les régions US Government Cloud avec Oracle Interconnect for Google Cloud sont répertoriées dans la documentation US Government Cloud,

Asie Pacifique

Région OCI - Clé Région Google Cloud

Est de l'Australie (Sydney) / ap-sydney-1 - SYD

Sydney (australie-southeast1)

Australie Sud-Est (Melbourne) / ap-melbourne-1 - MEL

Melbourne (australie-southeast2)

Ouest de l'Inde (Mumbai) / ap-mumbai-1 - BOM

Bombay (asia-south1)

Est du Japon (Tokyo) / ap-tokyo-1 - NRT

Tokyo (asia-northeast1)
Singapour (Singapour) / ap-singapore-1 - SIN

Singapour (asia-southeast1)

Europe, Moyen-Orient, Afrique (EMEA)

Région OCI - Clé Région Google Cloud

Allemagne centrale (Francfort) / eu-frankfurt-1 - FRA

Francfort (europe-west3)

Espagne centrale (Madrid) / eu-madrid-1 - MAD

Madrid (Europe-southwest1)

Sud du Royaume-Uni (Londres) / uk-london-1 - LHR

Londres (Europe-west2)

Suisse Nord (Zurich) / eu-zurich-1 - ZRH

 Zurich (Europe-west6)

Amérique latine (LATAM)

Région OCI - Clé Région Google Cloud

Est du Brésil (Sao Paulo) /sa-saopaulo-1 - GRU

São Paulo (Amérique du Sud-east1)

Amérique du Nord (NA)

Emplacement OCI - Clé Région Google Cloud

Sud-Est du Canada (Montréal) (ca-montreal-1) - YUL

Montréal (Amérique du Nord-northeast1)

Sud-est du Canada (Toronto) (ca-toronto-1) - YYZ

Toronto (Amérique du Nord-northeast2)

Est des Etats-Unis (Ashburn) (us-ashburn-1) - IAD

N. Virginie (us-east4)

Présentation du trafic pris en charge

Vous trouverez ci-après plus d'informations sur les types de trafic pris en charge.

Connexion VCN-VPC : extension d'un cloud à un autre

Vous pouvez connecter un VCN et un VPC de sorte que le trafic qui utilise des adresses IP privées passe par une connexion cloud à cloud.

Par exemple, le diagramme suivant illustre un VCN connecté à un VCP. Les ressources du VPC exécutent une application qui accède à une base de données Oracle qui s'exécute sur les ressources du service Database dans le VCN. Le trafic entre l'application et la base de données utilise un circuit logique exécuté sur la connexion entre le cloud et le cloud entre GCP et OCI.

Ce diagramme présente la connexion entre un VPC GCP et OCI VCN.

Pour activer la connexion entre le VPC et le VCN, vous devez configurer un attachement de VLAN GCP et un circuit virtuel OCI FastConnect. La connexion n'a pas de redondance intégrée, ce qui signifie que vous devez configurer une deuxième connexion Oracle Interconnect for Google Cloud pour permettre une conception réseau résiliente et hautement disponible.

Pour obtenir des instructions détaillées, reportez-vous à Configuration d'une connexion.

Réseaux cloud virtuels appairés

Le trafic de connexion peut circuler du VPC vers des réseaux cloud virtuels appairés de la même région OCI ou d'autres régions OCI.

Types de trafic non pris en charge par la connexion

Cette connexion n'autorise pas le trafic entre un réseau sur site via OCI et le VPC, ni entre un réseau sur site via GCP et OCI.

Conséquences importantes liées à la connexion des clouds

Cette section récapitule certaines implications en matière de contrôle d'accès, de sécurité et de performances d'Oracle Interconnect for Google Cloud. En général, vous pouvez contrôler l'accès et le trafic à l'aide de stratégies IAM, de tables de routage dans le VCN et de règles de sécurité dans le VCN.

Les sections qui suivent traitent des implications du point de vue d'un VCN. Des implications similaires affectent un VPC. Comme avec un VCN, vous pouvez utiliser des ressources GCP telles que des tables de routage et des groupes de sécurité réseau pour sécuriser un VPC.

Contrôle de l'établissement d'une connexion

Avec les stratégies Oracle Cloud Infrastructure IAM, vous pouvez contrôler les éléments suivants :

Contrôle du flux de trafic sur la connexion

Même si une connexion a été établie entre VCN et VPC, vous pouvez contrôler le flux de paquets sur la connexion avec les tables de routage VCN. Par exemple, vous pouvez limiter le trafic uniquement à des sous-réseaux spécifiques du VPC.

Sans interrompre la connexion, vous pouvez arrêter le flux de trafic vers le VPC en supprimant les règles de routage qui dirigent le trafic du VCN vers le VPC. Vous pouvez également arrêter le trafic en enlevant toute règle de sécurité qui active le trafic entrant ou sortant VPC. Cela n'arrête pas le trafic qui passe sur la connexion, mais arrête celui au niveau de la carte d'interface réseau virtuelle.

Contrôle des types de trafic spécifiques autorisés

Assurez-vous que tout le trafic sortant et entrant avec le VPC est prévu ou attendu et défini. Implémentez des règles de sécurité GCP et Oracle qui indiquent explicitement les types de trafic que l'un des cloud peut envoyer à l'autre et accepter de l'autre.

Important

Les instances Oracle Cloud Infrastructure exécutant des images de plateforme Linux ou Windows comportent également des règles d'un pare-feu qui contrôlent l'accès à l'instance. Lors du dépannage de l'accès à une instance, assurez-vous que les éléments suivants sont définis correctement : les groupes de sécurité réseau dans lesquels l'instance se trouve, les listes de sécurité associées au sous-réseau de l'instance et les règles de pare-feu de l'instance.

Si une instance exécute Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 ou Oracle Linux Cloud Developer 8, vous devez utiliser firewalld pour interagir avec les règles iptables. Pour référence, voici les commandes permettant d'ouvrir un port (1521 dans cet exemple) :

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

En ce qui concerne les instances comportant un volume d'initialisation iSCSI, la commande --reload précédente peut entraîner des problèmes. Pour obtenir des détails et une solution de contournement, reportez-vous à Le système se bloque après l'exécution de firewall-cmd --reload.

En plus d'utiliser des règles de sécurité et des pare-feu, évaluez d'autres configurations basées sur le système d'exploitation sur les instances du VCN. Il peut y avoir des configurations par défaut qui ne s'appliquent pas au CIDR du VCN, mais qui s'appliquent par inadvertance au CIDR du VPC.

Utilisation des règles de liste de sécurité par défaut avec le VCN

Si les sous-réseaux du VCN utilisent la liste de sécurité par défaut avec les règles par défaut, deux règles de cette liste autorisent le trafic entrant à partir de n'importe où (0.0.0.0/0, et donc le VPC) :

  • Règle entrante Stateful autorisant le trafic sur le port TCP 22 (SSH) à partir de 0.0.0.0/0 et de n'importe quel port source
  • Règle entrante avec état autorisant le trafic sur le trafic ICMP de type 3 et de code 4 à partir de 0.0.0.0/0 et de n'importe quel port source

Evaluez ces règles et déterminez si vous voulez les conserver ou les mettre à jour. Comme indiqué précédemment, assurez-vous que tout le trafic entrant ou sortant autorisé est prévu ou attendu et défini.

Préparation à l'impact sur les performances et aux risques de sécurité

En général, préparez le VCN pour les façons dont il pourrait être affecté par le VPC. Par exemple, la charge sur le VCN ou ses instances pourrait augmenter. Ou le VCN pourrait subir une attaque malveillante directement à partir du VPC ou par son intermédiaire.

En ce qui concerne les performances : si le VCN fournit un service au VPC, préparez-vous à augmenter le service pour répondre aux demandes du VPC. Cela peut signifier être préparé à créer davantage d'instances si nécessaire. Ou si vous êtes préoccupé par les niveaux élevés de trafic réseau à destination du VCN, envisagez d'utiliser des règles de sécurité sans état pour limiter le niveau de suivi de connexion que le VCN doit effectuer. Ces règles de sécurité sans conservation de statut peuvent également ralentir l'impact d'une attaque par déni de service (DoS).

En ce qui concerne les risques de sécurité : si le VPC est connecté à Internet, le VCN peut être exposé à des attaques de rebond. Une attaque de rebond implique un hôte malveillant sur Internet envoyant du trafic vers le VCN qui semble provenir du VPC. Pour éviter cela, comme mentionné précédemment, utilisez des règles de sécurité pour limiter soigneusement le trafic entrant du VPC au trafic attendu et défini.

Configuration d'une connexion

Cette section explique comment configurer Oracle Interconnect for Google Cloud (pour plus d'informations, reportez-vous à Présentation du trafic pris en charge).

Le côté Google Cloud Platform de cette connexion utilise ce que Google appelle "interconnexion de partenaires". Le côté OCI utilise la méthode FastConnect Oracle Partner.

Prérequis : ressources nécessaires

Vous devez déjà disposer des éléments suivants :

  • Un VPC GCP avec des sous-réseaux, un routeur Google Cloud et des périmètres de service
  • Un VCN Oracle Cloud Infrastructure avec sous-réseaux et une passerelle de routage dynamique (DRG) attachée. N'oubliez pas de attacher le DRG au VCN après l'avoir créé. Si vous disposez déjà d'un VPN site à site ou d'un FastConnect entre un réseau sur site et VCN, le VCN dispose déjà d'un DRG attaché. Vous utilisez le même DRG ici lors de la configuration de la connexion à GCP.
  • Droits d'accès IAM permettant de configurer les ressources nécessaires pour les composants OCI requis.
  • Abonnement valide dans OCI et GCP pour les régions à connecter

Pour rappel, voici un tableau répertoriant les composants de fonctions de réseau comparables impliqués de chaque côté de la connexion.

Composant GCP Oracle Cloud Infrastructure
Réseau virtuel Cloud privé virtuel (VPC) VCN
Circuit virtuel Connexion VLAN Circuit virtuel privé FastConnect
Passerelle Routeur Google Cloud passerelle de routage dynamique
Routage tables de routage tables de routage
Règles de sécurité Périmètre de service groupes de sécurité réseau ou listes de sécurité

Prérequis : informations BGP nécessaires

La connexion entre le VPC et le VCN utilise le routage dynamique BGP. Lorsque vous configurez le circuit virtuel Oracle, vous fournissez les adresses IP BGP utilisées pour les deux sessions BGP redondantes entre Oracle et GCP :

  • Une paire d'adresses BGP principale (une adresse IP pour le côté Oracle, une adresse IP pour le côté GCP)
  • Une paire d'adresses BGP distincte et secondaire (une adresse IP pour le côté Oracle, une adresse IP pour le côté GCP)

Pour chaque paire, vous devez fournir un bloc d'adresses distinct avec un masque de sous-réseau de /28 à /31.

La deuxième et la troisième adresses dans chaque bloc d'adresses sont utilisées pour la paire d'adresses IP BGP.

  • La deuxième adresse du bloc concerne le côté Oracle de la session BGP
  • La troisième adresse du bloc concerne le côté GCP de la session BGP

La première et la dernière adresse du bloc sont utilisées à d'autres fins internes. Par exemple, si le CIDR est 10.0.0.20/30, les adresses dans le bloc sont les suivantes :

  • 10.0.0.20
  • 10.0.0.21 : utilisez cette adresse pour le côté Oracle (dans la console Oracle, saisissez l'adresse sous la forme 10.0.0.21/30).
  • 10.0.0.22 : utilisez cette adresse pour le côté GCP (dans la console Oracle, entrez l'adresse sous la forme 10.0.0.22/30. Cette adresse est appelée côté client dans la console).
  • 10.0.0.23

N'oubliez pas que vous devez également fournir un second bloc de même taille pour les adresses BGP secondaires. Par exemple : 10.0.0.24/30. Dans ce cas, 10.0.0.25 est destiné au côté Oracle et 10.0.0.26 au côté GCP. Dans la console Oracle, vous devez les saisir comme suit : 10.0.0.25/30 et 10.0.0.26/30.

Prérequis : stratégie IAM requise

Vous devez déjà disposer de l'accès GCP et de l'accès Oracle Cloud Infrastructure IAM nécessaires pour créer et utiliser les ressources réseau GCP et Oracle appropriées. Si votre compte utilisateur fait partie du groupe Administrateurs, vous disposez probablement de l'autorité requise. Sinon, une stratégie similaire à celle-ci couvre toutes les ressources Networking :

Allow group NetworkAdmins to manage virtual-network-family in tenancy

Pour créer et gérer uniquement un circuit virtuel, vous devez disposer d'une stratégie telle que la suivante :

Allow group VirtualCircuitAdmins to manage drgs in tenancy

Allow group VirtualCircuitAdmins to manage virtual-circuits in tenancy

Pour plus d'informations, reportez-vous à Stratégies IAM pour Networking.

Processus global

Le diagramme suivant présente le processus global de connexion d'un VPC et d'un VCN.

Ce diagramme de couloir d'activité présente les étapes de connexion d'un VPC GCP et d'un VCN OCI
Tâche 1 : configurer la sécurité réseau

La première tâche consiste à décider quel trafic doit circuler entre les sous-réseaux pertinents dans le VPC et le VCN, puis à configurer les perimètres de service et les règles de sécurité VCN nécessaires. Les types généraux de règle à ajouter sont les suivants :

  • Règles entrantes pour les types de trafic à autoriser à partir des sous-réseaux appropriés de l'autre cloud.
  • Règles sortantes pour autoriser le trafic sortant vers l'autre cloud. Si le sous-réseau du VCN a déjà une règle sortante large pour tous les types de protocoles vers toutes les destinations (0.0.0.0/0), vous n'avez pas besoin d'en ajouter une spéciale pour le trafic vers le VPC. La liste de sécurité par défaut du VCN inclut une règle sortante par défaut aussi large.

Voici les types de trafic recommandés à autoriser entre le VPC et le VCN :

  • Trafic de type ping dans les deux directions pour tester la connexion de chaque côté
  • SSH (port TCP 22)
  • Connexions client à une base de données Oracle (SQL*NET sur le port TCP 1521)

Autorisez uniquement le trafic vers et depuis des plages d'adresses spécifiques qui vous intéressent (par exemple, les sous-réseaux appropriés de l'autre cloud).

Pour le VPC : déterminez les sous-réseaux du VPC qui doivent communiquer avec le VCN. Configurez ensuite les perimètres de service de ces sous-réseaux pour autoriser le trafic.

Pour le réseau cloud virtuel :

Remarque

La procédure suivante utilise des listes de sécurité, mais vous pouvez aussi implémenter des règles de sécurité dans plusieurs groupes de sécurité réseau, puis placer les ressources appropriées du réseau cloud virtuel dans ces groupes de sécurité réseau.
  1. Décidez des sous-réseaux du VCN qui doivent communiquer avec le VPC.

  2. Mettez à jour la liste de sécurité de chaque sous-réseau pour inclure des règles autorisant le trafic sortant ou entrant avec le bloc CIDR du VPC ou un sous-réseau du VPC :

    1. Dans la console, lors de l'affichage du VCN qui vous intéresse, sélectionnez Listes de sécurité.
    2. Sélectionnez la liste de sécurité qui vous intéresse.

    3. Sélectionnez Modifier toutes les règles et créez des règles, une pour chaque type de trafic spécifique que vous voulez autoriser. Reportez-vous aux exemples de règles qui suivent.

    4. Lorsque vous avez terminé, sélectionnez Enregistrer les règles de liste de sécurité en bas de la boîte de dialogue.

    Pour plus d'informations sur la configuration des règles de sécurité, reportez-vous à Règles de sécurité.

Exemple : ping sortant de VCN vers VPC

La règle de sécurité sortante suivante permet à une instance de créer une demande ping vers un hôte en dehors du VCN (demande d'écho ICMP type 8). Il s'agit d'une règle avec conservation de statut qui autorise automatiquement la réponse. Aucune règle entrante distincte pour la réponse d'écho ICMP de type 0 n'est requise.

  1. Dans la section Règles d'autorisation pour la sortie, sélectionnez +Add Règle.
  2. Entrez les valeurs suivantes pour créer cette règle de sécurité :
    • Ne cochez pas la case sans conservation de statut.
    • CIDR de destination : sous-réseau pertinent dans le VPC (10.0.0.0/16 dans le diagramme précédent)
    • Protocole IP : ICMP
    • Type et code : 8
    • Description : description facultative de la règle.
  3. Sélectionnez Enregistrer les règles de liste de sécurité en bas de la boîte de dialogue.
Exemple : commande ping entrante vers VCN à partir de VPC

La règle de sécurité entrante suivante permet à une instance de recevoir une demande ping à partir d'un hôte dans le VPC (demande d'écho ICMP de type 8). Il s'agit d'une règle avec conservation de statut qui autorise automatiquement la réponse. Aucune règle sortante distincte pour la réponse d'écho ICMP de type 0 n'est requise.

  1. Dans la section Règles d'autorisation pour la sortie, sélectionnez +Add Règle.
  2. Entrez les valeurs suivantes pour créer cette règle de sécurité :
    • Ne cochez pas la case sans conservation de statut.
    • CIDR source : sous-réseau pertinent dans le VPC (10.0.0.0/16 dans le diagramme précédent)
    • Protocole IP : ICMP
    • Type et code : 8
    • Description : description facultative de la règle.
  3. Sélectionnez Enregistrer les règles de liste de sécurité en bas de la boîte de dialogue.
Exemple : connexion SSH entrante vers le réseau cloud virtuel

La règle de sécurité entrante suivante permet à une instance de recevoir une connexion SSH (sur le port TCP 22) à partir d'un hôte dans le VPC.

  1. Dans la section Règles d'autorisation pour la sortie, sélectionnez +Add Règle.
  2. Entrez les valeurs suivantes pour créer cette règle de sécurité :
    • Ne cochez pas la case sans conservation de statut.
    • CIDR source : sous-réseau pertinent dans le VPC (10.0.0.0/16 dans le diagramme précédent)
    • Protocole IP : TCP
    • Plage de ports source : tous
    • Plage de ports de destination : 22
    • Description : description facultative de la règle.
  3. Sélectionnez Enregistrer les règles de liste de sécurité en bas de la boîte de dialogue.
Exemple : connexions SQL à la base de données

La règle de sécurité entrante suivante autorise les connexions SQL (sur le port TCP 1521) à partir d'hôtes dans le VPC.

  1. Dans la section Règles d'autorisation pour la sortie, sélectionnez +Add Règle.
  2. Entrez les valeurs suivantes pour créer cette règle de sécurité :
    • Ne cochez pas la case sans conservation de statut.
    • CIDR source : sous-réseau pertinent dans le VPC (10.0.0.0/16 dans le diagramme précédent)
    • Protocole IP : TCP
    • Plage de ports source : tous
    • Plage de ports de destination : 1521
    • Description : description facultative de la règle.
  3. Sélectionnez Enregistrer les règles de liste de sécurité en bas de la boîte de dialogue.
Tâche 2 : créer une pièce jointe VLAN d'interconnexion Google Cloud

Créez une paire de connexions d'interconnexion partenaire avec Oracle Cloud Infrastructure FastConnect. Au cours de la configuration, définissez les paramètres suivants :

  • Réseau : utilisez la valeur par défaut.
  • Région : sélectionnez une région dans laquelle l'interconnexion est disponible. Reportez-vous à Disponibilité.
  • Routeur cloud : sélectionnez un routeur cloud qui fonctionne déjà avec le VPC à connecter à un VCN OCI.
  • MTU : sélectionnez 1500. Cette taille est la moins susceptible de causer des problèmes. Pour plus d'informations sur les tailles de MTU dans OCI, reportez-vous à l'article Connexion bloquée.

Vous recevez une ou plusieurs clés d'association de la part de GCP. Reportez-vous à l'étape 10 de Création d'attachements de VLAN non chiffrés. Enregistrez ou stockez cette clé d'association, car vous devez la fournir à Oracle lors de la configuration d'un circuit virtuel FastConnect à l'étape suivante. La clé d'association est une clé unique qui permet à OCI d'identifier le réseau Google Cloud VPC et le routeur cloud associé et de s'y connecter. OCI requiert cette clé pour terminer la configuration de l'attachement VLAN.

Remarque

Une fois les attachements VLAN créés, cochez la case Activer pour préactiver les attachements VLAN. Si vous effectuez cette opération maintenant, vous pouvez ignorer Tâche 4 (facultatif) : activer la connexion.
Remarque

Nous vous recommandons de créer une paire redondante d'attachements de VLAN d'interconnexion pour augmenter la disponibilité. La création de la redondance se traduit par 2 clés d'association. Si vous n'avez pas besoin de redondance, vous pouvez créer une connexion VLAN unique (vous pouvez toujours la rendre redondante ultérieurement), ce qui se traduit par une clé d'association unique.

Dans la tâche suivante, vous configurez un circuit virtuel privé FastConnect vers Google Cloud Platform. Lorsque le provisionnement du circuit virtuel est terminé, l'attachement VLAN est mis à jour pour indiquer que l'appairage privé est activé.

Tâche 3 : configuration d'un circuit virtuel OCI FastConnect
  1. Dans la console, vérifiez que vous visualisez le compartiment dans lesquels vous voulez travailler. Si vous ne savez pas lequel, utilisez le compartiment contenant le DRG auquel vous connecter. Ce choix de compartiment, accompagné d'une stratégie IAM correspondante, permet de déterminer l'accès au circuit virtuel qui vous êtes sur au point de créer.

  2. Ouvrez le menu de navigation et sélectionnez Fonctions de réseau. Sous Connectivité client, sélectionnez FastConnect.

    La page FastConnect obtenue est l'endroit où vous créez un circuit virtuel et où vous reviendrez lorsque vous aurez besoin de le gérer.

  3. Sélectionnez Créer FastConnect.
  4. Sélectionnez le partenaire FastConnect et sélectionnez Google Cloud : interconnexion OCI dans la liste.

  5. Sélectionnez Circuit virtuel unique (valeur par défaut) ou Circuits virtuels redondants pour configurer des circuits virtuels qui utilisent différents périphériques physiques dans le même emplacement FastConnect. Pour plus d'informations sur la redondance, reportez-vous à FastConnect Redundancy Best Practices. Si vous sélectionnez Circuit virtuel unique, vous pouvez revenir ultérieurement pour ajouter un circuit virtuel redondant.

  6. Sélectionnez Suivant.

  7. Entrez les informations suivantes pour le circuit virtuel (circuit virtuel 1 si vous avez sélectionné Circuits virtuels redondants) :

    • Nom : nom descriptif des circuits virtuels. La valeur n'a pas besoin d'être unique sur les circuits virtuels, et vous pourrez la modifier ultérieurement. Evitez de saisir des informations confidentielles.
    • Créer dans le compartiment : à laisser tel quel ( compartiment dans lequel vous travaillez).
    • Sélectionnez Partenaire et sélectionnez le partenaire dans la liste.
      Remarque

      Si vous sélectionnez Megaport en tant que partenaire, vous pouvez provisionner le côté partenaire du circuit à l'aide des étapes facultatives mentionnées.

  8. Sélectionnez le type de circuit virtuel Privé. Les circuits virtuels redondants doivent tous deux être privés, ou publics, de sorte que ce paramètre est mis en correspondance sur l'autre circuit virtuel. Entrez maintenant ce qui suit :

    • Sélectionnez Tout le trafic ou IPSec sur le trafic FastConnect uniquement. Le circuit virtuel peut être utilisé pour IPSec sur FastConnect avec l'un ou l'autre choix, mais vous pouvez choisir d'autoriser uniquement le trafic crypté sur le circuit virtuel. Les circuits virtuels redondants doivent avoir le même paramètre, ce qui est mis en correspondance avec l'autre circuit virtuel.
    • Passerelle de routage dynamique : sélectionnez le groupe DRG vers lequel acheminer le trafic FastConnect. IPSec sur FastConnect nécessite une DRG mise à niveau. Cette instance DRG peut être attachée à plusieurs réseaux cloud virtuels ou à d'autres passerelles de routage dynamique avec des réseaux cloud virtuels attachés.
    • Bande passante provisionnée : sélectionnez une valeur. Si la bande passante doit être augmentée par la suite, vous pouvez mettre à jour le circuit virtuel pour utiliser une autre valeur (reportez-vous à Procédure de modification d'un circuit virtuel).
    • Clé Partner Service (Facultatif) : entrez la clé de service fournie par Google. Vous pouvez entrer cette clé maintenant ou modifier le circuit ultérieurement.

    Si la session BGP pointe vers Oracle (reportez-vous à Diagrammes de réseau de base), la boîte de dialogue inclut d'autres champs pour la session BGP :

    • Adresse IP BGP client : adresse IP d'appairage BGP pour l'axe (CPE), avec un masque de sous-réseau de /28 à /31.
    • Adresse IP BGP Oracle : adresse IP d'appairage BGP à utiliser pour la périphérie Oracle (le DRG), avec un masque de sous-réseau de /28 à /31.
    • Activer l'affectation d'adresse IPv6 : l'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Reportez-vous à FastConnect et IPv6.
    • Numéro ASN BGP client : numéro ASN public ou privé pour le VCP Google.
    • Utiliser une clé d'authentification MD5 BGP (facultatif) : cochez cette case et fournissez une clé si l'authentification MD5 est requise. Oracle prend en charge l'authentification MD5 jusqu'à 128 bits.
    • Activer la détection de transfert bidirectionnel (facultatif) : cochez cette case pour activer la détection de transfert bidirectionnel.
      Remarque

      Lorsque vous utilisez la détection de transfert bidirectionnel, l'appareil couplé doit être configuré de manière à utiliser un intervalle minimal de 300 ms et un multiplicateur de 3.
  9. Si vous créez un circuit virtuel redondant, entrez les informations nécessaires pour l'autre circuit virtuel (circuit virtuel 2). Si vous avez sélectionné Circuits virtuels redondants, n'oubliez pas que les paramètres de type de circuit virtuel (privé ou public) et Tout le trafic ou IPSec sur le trafic FastConnect uniquement pour le circuit virtuel 2 sont déjà définis de manière à correspondre au circuit virtuel 1. Si vous les modifiez, les paramètres de l'autre circuit changent automatiquement pour correspondre.
    Remarque

    La création d'un circuit virtuel redondant est facultative si vous avez sélectionné Circuits virtuels redondants et que le partenaire sélectionné crée une connexion de couche 3 à OCI, mais qu'un circuit virtuel redondant est requis si le partenaire sélectionné crée une connexion de couche 2. Pour plus d'informations sur les connexions de couche 2 et de couche 3, reportez-vous à FastConnect Redundancy Best Practices.

  10. Choisissez Créer.

    Le circuit virtuel est créé et une page de statut apparaît. Sélectionnez Fermer pour revenir à la liste des circuits virtuels.

  11. Sélectionnez le nom du circuit virtuel que vous avez créé. Alors que le circuit virtuel est à l'état PENDING PARTNER, son OCID et un lien vers le portail du partenaire sont affichés dans la case de confirmation "Connection created" (Connexion créée) en haut de la page. L'OCID du circuit virtuel est également disponible avec les autres détails de ce dernier. Copiez et collez l'OCID dans un autre emplacement. Vous la remettez au partenaire Oracle dans la tâche suivante. Copiez également l'OCID du circuit redondant si vous en avez créé un.

Après avoir créé le circuit virtuel FastConnect, attendez qu'OCI configure les connexions. En examinant la page de détails du circuit virtuel que vous avez créé, vérifiez dans l'onglet Informations sur le circuit virtuel que l'état de cycle de vie des informations du circuit virtuel passe à Provisionné. Consultez également l'onglet Informations BGP pour vérifier que la session BGP est établie. Attendez quelques minutes que la session BGP passe à l'état Etabli. Reportez-vous également à Procédure d'obtention du statut d'un circuit virtuel FastConnect.

Tâche 4 (facultatif) : activation de la connexion

Cette étape est requise uniquement si vous n'avez pas préactivé les attachements VLAN GCP lorsque vous avez reçu les clés d'association dans Tâche 2 : créer une attachement VLAN d'interconnexion cloud Google.

Une fois la configuration et le provisionnement terminés côté OCI, si vous n'avez pas préactivé les pièces jointes VLAN GCP, vous recevez une notification par courriel de Google Cloud . Après avoir reçu le courriel, vous devez activer la pièce jointe VLAN à partir de la console Google Cloud. Vous devez activer la connexion et vérifier son statut d'activation avant de pouvoir vérifier que vous avez établi une connectivité avec Google Cloud .

Tâche 5 : configurer les tables de routage

Pour le VPC : déterminez les sous-réseaux du VPC qui doivent communiquer avec le VCN. Configurez ensuite la publicité BGP pour ces sous-réseaux afin d'acheminer le trafic selon les besoins.

Pour le réseau cloud virtuel :

  1. Décidez des sous-réseaux du VCN qui doivent communiquer avec le VPC.

  2. Mettez à jour la table de routage de chacun de ces sous-réseaux pour inclure une nouvelle règle qui dirige le trafic destiné au CIDR du VPC vers le DRG :

    1. Dans la console, lors de l'affichage du VCN qui vous intéresse, sélectionnez Tables de routage.
    2. Sélectionnez la table de routage qui vous intéresse.
    3. Sélectionnez Modifier les règles de routage.

    4. Sélectionnez + Une autre règle de routage et saisissez les éléments suivants :

      • Type de cible : passerelle de routage dynamique. La passerelle de routage dynamique attachée du réseau cloud virtuel est automatiquement sélectionnée en tant que cible. Vous n'avez pas besoin d'indiquer de cible.
      • Bloc CIDR de destination : sous-réseau approprié dans le VPC (10.0.0.0/16 dans le diagramme précédent).
      • Description : description facultative de la règle.
    5. Sélectionnez Sauvegarder.

Tout trafic de sous-réseau dont la destination correspond à la règle est routé vers le DRG. Le DRG sait alors acheminer le trafic vers le VPC en fonction des informations de session BGP du circuit virtuel.

Plus tard, si vous n'avez plus besoin de la connexion et que vous souhaitez supprimer le DRG, vous devez d'abord supprimer toutes les règles de routage dans le VCN qui spécifient le DRG comme cible.

Pour plus d'informations sur la configuration des règles de routage, reportez-vous à Tables de routage de réseau cloud virtuel.

Tâche 6 : vérifier et tester la connexion
Important

Si vous décidez de mettre fin à la connexion, vous devez suivre un processus particulier. Reportez-vous à Procédure de terminaison d'Oracle Interconnect for Google Cloud.
  1. Vérifiez que la session BGP (Border Gateway Protocol) est établie avec Google Cloud.
    Vous pouvez vérifier la session BGP à partir de la console OCI en consultant l'onglet Informations BGP de la page de détails du circuit virtuel que vous avez créé dans Tâche 3 : configurer un circuit virtuel OCI FastConnect. Ne poursuivez pas tant que vous n'avez pas confirmé que la session BGP est à l'état Established. Reportez-vous également à Procédure d'obtention du statut d'un circuit virtuel FastConnect.
  2. Vérifiez que les périmètres de service VPC et les règles de sécurité VCN (reportez-vous à Tâche 1 : configurer la sécurité réseau) sont tous correctement configurés.
  3. Créer une instance de test dans un VCN.
  4. Utilisez l'instance de test pour accéder à un hôte du catalogue privé virtuel à l'aide de SSH ou utilisez un hôte du catalogue privé virtuel pour accéder à l'instance de test.
Si l'étape 4 a réussi, la connexion est maintenant prête à être utilisée.

Contactez les équipes d'assistance OCI ou Google Cloud si l'état BGP n'est pas établi.

Gestion d'Oracle Interconnect for Google Cloud

Pour obtenir le statut d'un circuit virtuel FastConnect
  1. Ouvrez le menu de navigation et sélectionnez Fonctions de réseau. Sous Connectivité client, sélectionnez FastConnect.
  2. Sélectionnez le compartiment dans lequel réside la connexion.
  3. Sélectionnez la connexion qui vous intéresse. Si l'icône du circuit virtuel est verte et indique UP, le circuit virtuel est provisionné et BGP est configuré correctement. Le circuit virtuel est prêt à être utilisé.
Procédure de modification d'un circuit virtuel FastConnect

Vous pouvez modifier ces éléments pour un circuit virtuel :

  • Nom
  • Passerelle de routage dynamique utilisée
Attention

Si le circuit virtuel est à l'état PROVISIONED, la modification du DRG qu'il utilise fait passer l'état à PROVISIONING et peut provoquer l'arrêt de la connexion. Une fois qu'Oracle a reprovisionné le circuit virtuel, son état revient à PROVISIONED. Vérifiez que la connexion est de nouveau active et fonctionnelle.
  1. Ouvrez le menu de navigation et sélectionnez Fonctions de réseau. Sous Connectivité client, sélectionnez FastConnect.
  2. Sélectionnez le compartiment dans lequel réside la connexion, puis sélectionnez-la.
  3. Sélectionnez le circuit virtuel.
  4. Sélectionnez Modifier et apportez des modifications. Evitez de saisir des informations confidentielles.
  5. Sélectionnez Sauvegarder.
Pour mettre fin à Oracle Interconnect for Google Cloud

Les étapes suivantes indiquent le processus global de terminaison d'Oracle Interconnect for Google Cloud.

  1. Sur le portail GCP, affichez l'interconnexion cloud, puis ses attachements VLAN pour voir les attachements VLAN qui existent toujours pour l'interconnexion cloud. Pour plus d'informations, reportez-vous à Affichage des attachements VLAN. S'il reste des attachements VLAN, reportez-vous à Déconnexion des réseaux et supprimez tous les attachements VLAN.
  2. Dans le portail Oracle, supprimez le circuit virtuel FastConnect :
    1. Ouvrez le menu de navigation et sélectionnez Fonctions de réseau. Sous Connectivité client, sélectionnez FastConnect.
    2. Sélectionnez le compartiment dans lequel réside la connexion, puis sélectionnez-la.
    3. Sélectionnez le circuit virtuel.
    4. SélectionnezSupprimer.

    5. Confirmez l'opération lorsque vous y êtes invité.

      L'état de cycle de vie du circuit virtuel passe à TERMINATING.

Oracle Interconnect for Google Cloud est interrompu.