Documentation Oracle Cloud Infrastructure

Connexion via un VPN site à site

Cette rubrique décrit l'une des manières de configurer une connexion entre un réseau IP Oracle Cloud Infrastructure Classic et un réseau cloud virtuel Oracle Cloud Infrastructure. La connexion est établie via un VPN site à site.

Oracle peut également configurer une connexion via son réseau. Pour plus d'informations, reportez-vous à Connexion via le réseau Oracle.

Points clés

  • Vous pouvez exécuter une charge globale hybride entre vos environnements Oracle Cloud Infrastructure Classic et Oracle Cloud Infrastructure.
  • Vous configurez un VPN site à site entre la passerelle VPNaaS (VPN en tant que service) du réseau IP et la passerelle de routage dynamique attachée du réseau cloud virtuel. La connexion est établie via Internet. Vous configurez les règles de routage et de sécurité dans les environnements afin d'autoriser le trafic.
  • Les deux environnements ne doivent pas présenter un chevauchement de CIDR. Les ressources cloud peuvent communiquer via la connexion uniquement avec des adresses IP privées.
  • Il est inutile que les deux environnements appartiennent à la même zone géographique ou région.
  • La connexion est gratuite.

Présentation

Vous pouvez connecter votre environnement Oracle Cloud Infrastructure et votre environnement Oracle Cloud Infrastructure Classic avec un VPN site à site. La connexion facilite un déploiement hybride avec les composants d'application configurés dans les deux environnements. Vous pouvez également utiliser la connexion pour migrer des charges globales d'Oracle Cloud Infrastructure Classic vers Oracle Cloud Infrastructure. Par rapport à l'utilisation du réseau Oracle pour la connexion, vous pouvez configurer vous-même le VPN site à site en quelques minutes. Par rapport à FastConnect, vous n'engagez pas de coût supplémentaire ni de surcharge opérationnelle liés à la collaboration avec un partenaire FastConnect.

Le diagramme suivant présente un exemple de déploiement hybride. Oracle Analytics Cloud est exécuté dans un réseau IP Oracle Cloud Infrastructure Classic et accède au service Database dans Oracle Cloud Infrastructure via la connexion.

Ce diagramme illustre la connexion entre un réseau IP et un réseau cloud virtuel.

Voici d'autres informations importantes à connaître :

  • La connexion est prise en charge dans n'importe quelle région Oracle Cloud Infrastructure et Oracle Cloud Infrastructure Classic. Il n'est pas nécessaire que les deux environnements soient dans la même zone géographique.
  • La connexion autorise uniquement les communications qui utilisent des adresses IP privées.
  • Les blocs CIDR du réseau IP et les sous-réseaux du réseau cloud virtuel devant communiquer ne doivent pas se chevaucher.
  • Cette connexion autorise les communications uniquement entre les ressources du réseau IP Oracle Cloud Infrastructure Classic et du réseau cloud virtuel Oracle Cloud Infrastructure. Elle n'autorise pas le trafic de votre réseau sur site vers le réseau cloud virtuel par le biais du réseau IP, ni de votre réseau sur site vers le réseau IP par le biais du réseau cloud virtuel.
  • En outre, la connexion n'autorise pas le trafic à circuler du réseau IP vers un réseau cloud virtuel appairé par le biais du réseau cloud virtuel connecté dans la même région Oracle Cloud Infrastructure ou dans une autre région.

Le tableau suivant répertorie les composants de fonctions de réseau comparables requis de chaque côté de la connexion.

Composant Oracle Cloud Infrastructure Classic Oracle Cloud Infrastructure
Réseau cloud Réseau IP Réseau cloud virtuel
Passerelle passerelle VPNaaS passerelle de routage dynamique
Règles de sécurité règles de sécurité groupes de sécurité réseau, listes de sécurité

Configuration du VPN site à site entre le réseau IP et le réseau cloud virtuel

L'organigramme suivant présente le processus global de connexion du réseau IP et du réseau cloud virtuel avec un VPN site à site.

Cet organigramme présente les étapes de connexion du réseau IP et du réseau cloud virtuel avec VPN Connect.

Prérequis :

Vous devez déjà disposer des éléments suivants :

Tâche 1 : configurer une passerelle VPNaaS pour le réseau IP

  1. Utilisez les valeurs suivantes lors de la configuration de la passerelle VPNaaS :

    • Réseau IP : réseau IP Oracle Cloud Infrastructure Classic à connecter au réseau cloud virtuel. Vous ne pouvez indiquer qu'un seul réseau IP.
    • Passerelle client : valeur d'espace réservé telle que 129.213.240.51. L'utilisation de cette valeur d'espace réservé vous permet de poursuivre le processus. Vous mettrez cette valeur à jour ultérieurement avec l'adresse IP du routeur VPN Oracle Cloud Infrastructure.
    • Acheminements accessibles client : bloc CIDR pour le réseau cloud virtuel. Vous ne pouvez indiquer qu'un seul réseau cloud virtuel.
    • Indiquer une proposition ESP - Etape 2 : case cochée.
    • Cryptage ESP : AES 256
    • Hachage ESP : SHA1
    • Durée de vie IPSec : 1800
    • Exiger la confidentialité persistante : case cochée.
  2. Enregistrez l'adresse IP publique de la passerelle VPNaaS obtenue.
Tâche 2 : configurer les composants du réseau cloud virtuel et le tunnel IPSec
Tâche 2b : configurer le routage vers la passerelle de routage dynamique

Ajoutez une règle de routage qui dirige le trafic des sous-réseaux du réseau cloud virtuel vers la passerelle de routage dynamique. Utilisez le bloc CIDR du réseau IP en tant que destination pour la règle.

  1. Déterminez les sous-réseaux du réseau cloud virtuel qui doivent communiquer avec le réseau IP.

  2. Mettez à jour la table de routage pour chacun de ces sous-réseaux afin d'inclure une nouvelle règle qui dirige le trafic destiné au CIDR du réseau IP vers la passerelle de routage dynamique :

    1. Ouvrez le menu de navigation, cliquez sur Fonctions de réseau, puis sur Réseaux cloud virtuels.
    2. Cliquez sur le réseau cloud virtuel qui vous intéresse.
    3. Sous Ressources, cliquez sur Tables de routage.
    4. Cliquez sur la table de routage qui vous intéresse.

    5. Cliquez sur Ajouter une règle de routage et saisissez les informations suivantes :

      • Bloc CIDR de destination : bloc CIDR du réseau IP.
      • Type de cible : passerelle de routage dynamique. La passerelle de routage dynamique attachée du réseau cloud virtuel est automatiquement sélectionnée en tant que cible. Vous n'avez pas besoin d'indiquer de cible.
      • Description : description facultative de la règle.
    6. Cliquez sur Ajouter une règle de routage.

Tout trafic de sous-réseau dont la destination correspond à la règle est acheminé vers votre passerelle de routage dynamique. Pour plus d'informations sur la configuration des règles de routage, reportez-vous à Tables de routage de réseau cloud virtuel.

Par la suite, si vous n'avez plus besoin de la connexion et que vous voulez supprimer la passerelle de routage dynamique, vous devez d'abord supprimer toutes les règles de routage de votre réseau cloud virtuel qui indiquent cette passerelle comme cible.

Tâche 2c : configurer les règles de sécurité

Pour garantir que le trafic circule entre le réseau IP et le réseau cloud virtuel, définissez les règles de sécurité du réseau IP et les règles de sécurité du réseau cloud virtuel de manière à autoriser le trafic voulu.

Voici les types de règle à ajouter :

  • Règles entrantes pour les types de trafic à autoriser dans un cloud en provenance de l'autre cloud, en particulier à partir du bloc CIDR de ce dernier.
  • Règle sortante autorisant le trafic sortant d'un cloud vers l'autre. Si le sous-réseau du réseau cloud virtuel comporte déjà une règle sortante générale pour tous les types de protocole vers toutes les destinations (0.0.0.0/0), alors il n'est pas nécessaire d'ajouter une règle spéciale pour le réseau IP.
Pour le réseau IP

Configurez les règles de sécurité réseau pour le réseau IP de sorte à autoriser le trafic voulu.

Pour le réseau cloud virtuel
Remarque

La procédure suivante utilise des listes de sécurité, mais vous pouvez aussi implémenter des règles de sécurité dans plusieurs groupes de sécurité réseau, puis placer les ressources du réseau cloud virtuel dans ces groupes de sécurité réseau.
  1. Déterminez les sous-réseaux du réseau cloud virtuel qui doivent communiquer avec le réseau IP.

  2. Mettez à jour la liste de sécurité de chacun de ces sous-réseaux pour inclure des règles autorisant le trafic sortant ou entrant voulu, en particulier avec le bloc CIDR du réseau IP :

    1. Dans la console, lorsque vous visualisez le réseau cloud virtuel qui vous intéresse, cliquez sur Listes de sécurité.

    2. Cliquez sur la liste de sécurité qui vous intéresse.

      Sous Ressources, vous pouvez cliquer sur Règles entrantes ou sur Règles sortantes pour basculer entre les différents types de règle.

    3. Ajoutez des règles, une pour chaque type de trafic spécifique à autoriser.

    Pour plus d'informations sur la configuration des règles de liste de sécurité, reportez-vous à Listes de sécurité.

    Important

    La liste de sécurité par défaut du réseau cloud virtuel n'autorise ni la réponse d'écho ICMP ni la demande d'écho (ping). Ajoutez des règles pour autoriser ce trafic. Reportez-vous à Règles pour autoriser la commande ping
Exemple

Supposons que vous vouliez ajouter une règle avec conservation de statut qui autorise le trafic HTTPS entrant (port 443) à partir du CIDR du réseau IP. Voici les étapes de base à suivre pour ajouter une règle :

  1. Sur la page Règles entrantes, cliquez sur Ajouter une règle entrante.
  2. Ne cochez pas la case Stateless.
  3. CIDR source : entrez le même bloc CIDR que celui utilisé par les règles de routage (reportez-vous à Tâche 2b : configurer le routage vers la passerelle de routage dynamique).
  4. Protocole IP : conservez la valeur TCP.
  5. Plage de ports source : conservez la valeur Tous.
  6. Plage de ports de destination : entrez 443.
  7. Cliquez sur Ajouter une règle entrante.
  8. Description : entrez éventuellement la description de la règle.
Tâche 2d : créer un objet CPE

Créez un objet CPE. Une adresse IP est requise. Utilisez l'adresse IP publique de la passerelle VPNaaS.

Tâche 2e : créer la connexion IPSec

A partir de la passerelle de routage dynamique, créez une connexion IPSec à l'objet CPE. Vous devez indiquer au moins un routage statique. Les valeurs doivent correspondre aux sous-réseaux du réseau IP ou à leur agrégation.

La connexion IPSec obtenue comprend deux tunnels. Enregistrez l'adresse IP et la clé secrète partagée pour l'un de ces tunnels. Vous devrez fournir ces valeurs dans la tâche suivante.

Tâche 3 : mettre à jour la connexion VPNaaS avec les informations de tunnel

Mettez à jour la connexion VPNaaS. Utilisez les valeurs suivantes :

  • Passerelle client : adresse IP du tunnel de la tâche précédente.
  • Clé prépartagée : clé secrète partagée du tunnel de la tâche précédente.

Une fois la connexion IPSec mise à jour et provisionnée, l'état du tunnel IPSec doit prendre la valeur Disponible. Le provisionnement peut prendre quelques minutes.

Tâche 4 : tester la connexion

Une fois que l'état du tunnel a pris la valeur Disponible, testez la connexion. En fonction de la manière dont vous avez configuré les règles de sécurité du réseau IP et du réseau cloud virtuel, vous devez pouvoir lancer une instance dans le réseau cloud virtuel et y accéder à partir d'une instance du réseau IP. Sinon, vous devez pouvoir vous connecter à partir de l'instance du réseau cloud virtuel à une instance du réseau IP. Si vous le pouvez, la connexion est prête à être utilisée.

Terminaison de la connexion

Si vous souhaitez mettre fin à la connexion, supprimez la connexion IPSec :

  1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connexion client, cliquez sur VPN site à site.

    La liste des connexions IPSec du compartiment que vous visualisez apparaît. Si vous ne voyez pas celui que vous recherchez, vérifiez que vous consultez le bon compartiment (sélectionnez-le dans la liste située à gauche de la page).

  2. Cliquez sur la connexion IPSec qui vous intéresse.
  3. Cliquez sur Mettre fin.
  4. Confirmez la suppression lorsque vous y êtes invité.

La connexion IPSec aura l'état Terminaison pendant une courte période lors de sa suppression.