Connexion via le réseau Oracle

Cette rubrique décrit l'une des manières de configurer une connexion entre un réseau IP Oracle Cloud Infrastructure Classic et un réseau cloud virtuel Oracle Cloud Infrastructure. La connexion est établie via le réseau Oracle.

Une autre option consiste à connecter les deux clouds avec un VPN site à site. Pour plus d'informations, reportez-vous à Connexion via un VPN site à site.

Points clés

  • Vous pouvez exécuter une charge globale hybride entre vos environnements Oracle Cloud Infrastructure Classic et Oracle Cloud Infrastructure.
  • Oracle connecte la passerelle privée du réseau IP à la passerelle de routage dynamique attachée du réseau cloud virtuel. La connexion est établie via le réseau Oracle. Vous configurez les règles de routage et de sécurité dans les environnements afin d'autoriser le trafic.
  • Les deux environnements doivent appartenir à la même société et ne doivent pas présenter un chevauchement de CIDR. Les ressources cloud peuvent communiquer via la connexion uniquement avec des adresses IP privées.
  • Les deux environnements doivent être dans la zone Ashburn, la zone Londres ou la zone Sydney, et dans les régions spécifiques répertoriées dans la section suivante. La connectivité aux autres régions n'est pas prise en charge.
  • La connexion est gratuite.

Présentation

Vous pouvez demander à Oracle de provisionner une connexion entre votre environnement Oracle Cloud Infrastructure et votre environnement Oracle Cloud Infrastructure Classic. La connexion facilite un déploiement hybride avec les composants d'application configurés dans les deux environnements. Vous pouvez également utiliser la connexion pour migrer des charges globales d'Oracle Cloud Infrastructure Classic vers Oracle Cloud Infrastructure. Par rapport à un VPN site à site, les ressources dans les deux environnements offrent une connexion réseau plus fiable et homogène avec un meilleur débit, car le trafic utilise les liens internes d'Oracle. Par rapport à FastConnect, vous n'engagez pas de coût supplémentaire ni de surcharge opérationnelle liés à la collaboration avec un partenaire FastConnect.

Le diagramme suivant présente un exemple de déploiement hybride. Oracle Analytics Cloud est exécuté dans un réseau IP Oracle Cloud Infrastructure Classic et accède au service Database dans Oracle Cloud Infrastructure via la connexion.

Ce diagramme illustre la connexion entre un réseau IP et un réseau cloud virtuel.

Voici d'autres informations importantes à connaître :

  • La connexion est prise en charge uniquement entre les régions suivantes :
    • Région Est de l'Australie (Sydney) Oracle Cloud Infrastructure et région Sydney Classic
    • Région Est des Etats-Unis (Ashburn) Oracle Cloud Infrastructure et région Ashburn Classic
    • Région Sud du Royaume-Uni (Londres) Oracle Cloud Infrastructure et région Slough Classic
  • La connexion autorise uniquement les communications qui utilisent des adresses IP privées.
  • Les blocs CIDR du réseau IP et les sous-réseaux du réseau cloud virtuel devant communiquer ne doivent pas se chevaucher.
  • Le réseau IP et le réseau cloud virtuel doivent appartenir à la même société. Oracle valide ce point lors de la configuration de la connexion.
  • Cette connexion autorise les communications uniquement entre les ressources du réseau IP Oracle Cloud Infrastructure Classic et du réseau cloud virtuel Oracle Cloud Infrastructure. Elle n'autorise pas le trafic de votre réseau sur site vers le réseau cloud virtuel par le biais du réseau IP, ni de votre réseau sur site vers le réseau IP par le biais du réseau cloud virtuel.
  • En outre, la connexion n'autorise pas le trafic à circuler du réseau IP vers un réseau cloud virtuel appairé par le biais du réseau cloud virtuel connecté dans la même région Oracle Cloud Infrastructure ou dans une autre région.

Le tableau suivant répertorie les composants de fonctions de réseau comparables requis de chaque côté de la connexion.

Composant Oracle Cloud Infrastructure Classic Oracle Cloud Infrastructure
Réseau cloud Réseau IP Réseau cloud virtuel
Passerelle passerelle privée passerelle de routage dynamique
Routage routages tables de routage avec des règles de routage
Règles de sécurité règles de sécurité groupes de sécurité réseau, listes de sécurité

Connexion du réseau IP et du réseau cloud virtuel

L'organigramme suivant illustre le processus global de connexion du réseau IP et du réseau cloud virtuel.

Cet organigramme présente les étapes de connexion du réseau IP et du réseau cloud virtuel

Prérequis :

Vous devez déjà disposer des éléments suivants :

Tâche 1 : configurer une passerelle privée pour le réseau IP

Si vous ne disposez pas déjà d'une passerelle privée pour le réseau IP, créez-en une.

Tâche 3 : configurer les tables de routage
Pour le réseau IP

Lorsque vous créez la passerelle privée et que vous lui attachez un réseau IP, le trafic provenant des ressources cloud du réseau IP utilise la passerelle privée comme saut suivant. Il est inutile de mettre à jour les routages pour le réseau IP.

Pour le réseau cloud virtuel

Vous devez ajouter une règle de routage qui dirige le trafic des sous-réseaux du réseau cloud virtuel vers la passerelle de routage dynamique :

  1. Déterminez les sous-réseaux du réseau cloud virtuel qui doivent communiquer avec le réseau IP.
  2. Mettez à jour la table de routage pour chacun de ces sous-réseaux afin d'inclure une nouvelle règle qui dirige le trafic destiné au CIDR du réseau IP vers la passerelle de routage dynamique :

    1. Ouvrez le menu de navigation, cliquez sur Fonctions de réseau, puis sur Réseaux cloud virtuels.
    2. Cliquez sur le réseau cloud virtuel qui vous intéresse.
    3. Sous Ressources, cliquez sur Tables de routage.
    4. Cliquez sur la table de routage qui vous intéresse.
    5. Cliquez sur Ajouter une règle de routage et saisissez les informations suivantes :

      • Bloc CIDR de destination : bloc CIDR du réseau IP.
      • Type de cible : passerelle de routage dynamique. La passerelle de routage dynamique attachée du réseau cloud virtuel est automatiquement sélectionnée en tant que cible. Vous n'avez pas besoin d'indiquer de cible.
      • Description : description facultative de la règle.
    6. Cliquez sur Ajouter une règle de routage.

Tout trafic de sous-réseau dont la destination correspond à la règle est acheminé vers votre passerelle de routage dynamique. Pour plus d'informations sur la configuration des règles de routage, reportez-vous à Tables de routage de réseau cloud virtuel.

Par la suite, si vous n'avez plus besoin de la connexion et que vous voulez supprimer la passerelle de routage dynamique, vous devez d'abord supprimer toutes les règles de routage de votre réseau cloud virtuel qui indiquent cette passerelle comme cible.

Tâche 4 : configurer les règles de sécurité

Pour garantir que le trafic circule entre le réseau IP et le réseau cloud virtuel, les règles de sécurité du réseau IP et les règles de sécurité du réseau cloud virtuel doivent être configurées de manière à autoriser le trafic.

Voici les types de règle à ajouter :

  • Règles entrantes pour les types de trafic à autoriser dans un cloud en provenance de l'autre cloud, en particulier à partir du bloc CIDR de ce dernier.
  • Règle sortante autorisant le trafic sortant d'un cloud vers l'autre. Si le sous-réseau du réseau cloud virtuel comporte déjà une règle sortante générale pour tous les types de protocole vers toutes les destinations (0.0.0.0/0), alors il n'est pas nécessaire d'ajouter une règle spéciale pour le réseau IP.
Pour le réseau IP

Configurez les règles de sécurité réseau pour le réseau IP de sorte à autoriser le trafic.

Pour le réseau cloud virtuel
Remarque

La procédure suivante utilise des listes de sécurité, mais vous pouvez aussi implémenter des règles de sécurité dans plusieurs groupes de sécurité réseau, puis placer les ressources du réseau cloud virtuel dans ces groupes de sécurité réseau.
  1. Déterminez les sous-réseaux du réseau cloud virtuel qui doivent communiquer avec le réseau IP.
  2. Mettez à jour la liste de sécurité de chacun de ces sous-réseaux pour inclure des règles autorisant le trafic sortant ou entrant, en particulier avec le bloc CIDR du réseau IP :

    1. Dans la console, lorsque vous visualisez le réseau cloud virtuel qui vous intéresse, cliquez sur Listes de sécurité.
    2. Cliquez sur la liste de sécurité qui vous intéresse.

      Sous Ressources, vous pouvez cliquer sur Règles entrantes ou sur Règles sortantes pour basculer entre les différents types de règle.

    3. Ajoutez des règles, une pour chaque type de trafic spécifique à autoriser.

Pour plus d'informations sur la configuration des règles de sécurité, reportez-vous à Règles de sécurité.

Important

La liste de sécurité par défaut du réseau cloud virtuel n'autorise ni la réponse d'écho ICMP ni la demande d'écho (ping). Vous devez ajouter des règles pour autoriser ce trafic. Reportez-vous à Règles pour autoriser la commande ping
Exemple :

Supposons que vous vouliez ajouter une règle avec conservation de statut qui autorise le trafic HTTPS entrant (port 443) à partir du CIDR du réseau IP. Voici les étapes de base à suivre pour ajouter une règle :

  1. Sur la page Règles entrantes, cliquez sur Ajouter une règle entrante.
  2. Ne cochez pas la case Stateless.
  3. CIDR source : entrez le même bloc CIDR que celui utilisé par les règles de routage (reportez-vous à Tâche 3 : configurer les tables de routage).
  4. Protocole IP : conservez la valeur TCP.
  5. Plage de ports source : conservez la valeur Tous.
  6. Plage de ports de destination : entrez 443.
  7. Description : entrez éventuellement la description de la règle.
  8. Cliquez sur Ajouter une règle entrante.
Tâche 5 : créer un ticket My Oracle Support

Pour qu'Oracle configure la connexion, créez un ticket sur My Oracle Support et fournissez les informations suivantes :

  • Nom du ticket : Créer un réseau IP - Connexion au réseau cloud virtuel - <nom_société> - Ashburn
  • Domaine d'identité OCI-C
  • Nom de passerelle privée OCI-C
  • Région
  • OCID de location OCI
  • OCID de passerelle de routage dynamique OCI

Par exemple :

  • Nom du ticket : Créer un réseau IP - Connexion au réseau cloud virtuel - ACME - Ashburn
  • Domaine d'identité OCI-C : 123456789, uscom-east-1
  • Nom de passerelle privée OCI-C : Compute-acme/jack.jones@example.com/privategateway1
  • Région : uscom-east-1 (OCI-C) / us-ashburn-1 (OCI)
  • OCID de location OCI : ocid1.tenancy.oc1..examplefbpnk5cmdl7gkr6kcakfqmvhvbpcv
  • OCID de passerelle de routage dynamique OCI : ocid1.drg.oc1.iad.exampleutg6cmd3fqwqbea7ctadcatm

Trois à quatre jours ouvrables peuvent être nécessaires avant que le ticket My Oracle Support ne soit traité et que la connexion ne soit prête à être testée.

Tâche 6 : tester la connexion

Après avoir reçu la confirmation du support technique indiquant que la connexion est prête, testez-la. En fonction de la manière dont vous avez configuré les règles de sécurité du réseau IP et du réseau cloud virtuel, vous devez pouvoir lancer une instance dans le réseau cloud virtuel et y accéder à partir d'une instance du réseau IP. Sinon, vous devez pouvoir vous connecter à partir de l'instance du réseau cloud virtuel à une instance du réseau IP. Si vous le pouvez, la connexion est prête à être utilisée.

Terminaison de la connexion

Si vous voulez mettre fin à la connexion, créez un ticket sur My Oracle Support.