Présentation de Networking
Lorsque vous utilisez Oracle Cloud Infrastructure, une des premières étapes consiste à configurer un réseau cloud virtuel pour vos ressources cloud. Cette rubrique vous présente les composants d'Oracle Cloud Infrastructure Networking et les scénarios standard pour l'utilisation d'un réseau cloud virtuel.
Composants de Networking
Le service Networking utilise des versions virtuelles de composants réseau classiques que vous connaissez peut-être déjà :
- RESEAU CLOUD VIRTUEL
- Réseau privé virtuel que vous configurez dans les centres de données Oracle. Il ressemble beaucoup à un réseau classique, avec des règles de pare-feu et des types de passerelle de communication spécifiques que vous pouvez choisir d'utiliser. Un réseau cloud virtuel réside dans une seule région Oracle Cloud Infrastructure et couvre au moins un bloc CIDR (IPv4 et IPv6, s'ils sont activés). Reportez-vous à Taille de réseau cloud virtuel et plages d'adresses autorisées. Les termes réseau cloud virtuel, VCN et réseau cloud sont utilisés de façon interchangeable dans cette documentation. Pour plus d'informations, reportez-vous à Réseaux cloud virtuels et sous-réseaux.
- Sous-réseaux
-
Sous-divisions définies dans un réseau cloud virtuel (par exemple, 10.0.0.0/24, 10.0.1.0/24 ou 2001:DB8::/64). Les sous-réseaux contiennent des cartes d'interface réseau virtuelles (VNIC) qui sont attachées aux instances. Chaque sous-réseau se compose d'une plage contiguë d'adresses IP (pour IPv4 et IPv6, s'ils sont activés) qui ne chevauchent pas les autres sous-réseaux du réseau cloud virtuel. Vous pouvez désigner un sous-réseau pour exister dans un seul domaine de disponibilité ou dans toute une région (nous vous recommandons les sous-réseaux régionaux). Les sous-réseaux agissent comme une unité de configuration au sein du réseau cloud virtuel : toutes les cartes d'interface réseau virtuelles d'un sous-réseau donné utilisent la même table de routage ainsi que les mêmes listes de sécurité et options DHCP (voir les définitions ci-dessous). Vous pouvez désigner un sous-réseau comme étant public ou privé lors de sa création. Le terme privé signifie que les cartes d'interface réseau virtuelles du sous-réseau ne peuvent pas disposer d'adresses IPv4 publiques et que la communication Internet avec les adresses IPv6 est interdite. Le terme public signifie que les cartes d'interface réseau virtuelles du sous-réseau peuvent disposer d'adresses IPv4 publiques et que la communication Internet avec les adresses IPv6 est autorisée. Reportez-vous à Accès à Internet.
- Carte d'interface réseau virtuelle
-
Carte d'interface réseau virtuelle (VNIC) attachée à une instance et résidant dans un sous-réseau pour permettre une connexion au réseau cloud virtuel du sous-réseau. La carte d'interface réseau virtuelle détermine le mode de connexion de l'instance aux adresses situées à l'intérieur et à l'extérieur du réseau cloud virtuel. Chaque instance dispose d'une carte d'interface réseau virtuelle principale créée lors du lancement de l'instance et ne pouvant pas être enlevée. Vous pouvez ajouter des cartes d'interface réseau virtuelles secondaires à une instance existante (dans le même domaine de disponibilité que la carte d'interface réseau virtuelle principale) et les enlever à votre convenance. Chaque carte d'interface réseau virtuelle secondaire peut se trouver dans le même sous-réseau du réseau cloud virtuel que la carte d'interface réseau virtuelle principale, ou dans un sous-réseau différent situé dans le même réseau cloud virtuel ou dans un autre. Toutefois, toutes les cartes d'interface réseau virtuelles doivent se trouver dans le même domaine de disponibilité que l'instance. Pour plus d'informations, reportez-vous à Cartes d'interface réseau virtuelles (VNIC). Une adresse IPv6 peut éventuellement être affectée à une carte d'interface réseau virtuelle attachée à une instance de calcul et résidant dans un sous-réseau compatible IPv6.
- Adresse IP privée
- Adresse IPv4 privée et informations associées pour l'adressage d'une instance (par exemple, un nom d'hôte pour DNS). Chaque carte d'interface réseau virtuelle comporte une adresse IP privée principale. Vous pouvez également ajouter et enlever des adresses IP privées secondaires. L'adresse IP privée principale d'une instance ne change pas au cours de la durée de vie de l'instance et ne peut pas être enlevée de celle-ci. Pour plus d'informations, reportez-vous à Adresses IP privées.
- Adresse IP publique
- Adresse IPv4 publique et informations associées. Vous pouvez éventuellement affecter une adresse IP publique à vos instances ou à d'autres ressources disposant d'une adresse IP privée. Les adresses IP publiques peuvent être éphémères ou réservées. Pour plus d'informations, reportez-vous à Adresses IP publiques.
- IPv6
- Adresse IPv6 et informations associées. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6.
- Passerelle de routage dynamique
- Routeur virtuel facultatif que vous pouvez ajouter au réseau cloud virtuel. Il fournit un chemin pour le trafic réseau privé entre le réseau cloud virtuel et le réseau sur site. Vous pouvez l'utiliser avec d'autres composants de Networking et un routeur de votre réseau sur site pour établir une connexion au moyen d'un VPN site à site ou d'Oracle Cloud Infrastructure FastConnect. Il peut également fournir un chemin pour le trafic réseau privé entre votre réseau cloud virtuel et un autre réseau cloud virtuel situé dans une autre région. Pour plus d'informations, reportez-vous à Accès au réseau sur site, à Passerelles de routage dynamique et à Appairage VCN distant à l'aide d'un DRG hérité.
- Passerelle Internet
- Autre routeur virtuel facultatif que vous pouvez ajouter à votre réseau cloud virtuel pour obtenir un accès direct à Internet. Pour plus d'informations, reportez-vous à Accès à Internet et à Scénario A : sous-réseau public.
- Passerelle NAT (Network Address Translation)
- Autre routeur virtuel facultatif que vous pouvez ajouter à votre réseau cloud virtuel. Cette passerelle fournit aux ressources cloud sans adresse IP publique un accès à Internet sans exposition aux connexions Internet entrantes. Pour plus d'informations, reportez-vous à Sous-réseaux publics et privés et également à Passerelle NAT.
- Passerelle de service
- Autre routeur virtuel facultatif que vous pouvez ajouter à votre réseau cloud virtuel. Cette passerelle fournit un chemin pour le trafic réseau privé entre votre réseau cloud virtuel et les services pris en charge dans Oracle Services Network (par exemple : Oracle Cloud Infrastructure Object Storage et Autonomous Database). Par exemple, les systèmes de base de données d'un sous-réseau privé de votre réseau cloud virtuel peuvent sauvegarder des données dans Object Storage sans avoir besoin d'adresses IP publiques ni d'un accès à Internet. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.
- Passerelle d'appairage local
- Autre routeur virtuel facultatif que vous pouvez ajouter à votre réseau cloud virtuel. Il permet d'appairer un réseau cloud virtuel avec un autre réseau cloud virtuel situé dans la même région. L'appairage signifie que les réseaux cloud virtuels communiquent à l'aide d'adresses IP privées, sans que le trafic ne passe par Internet ou ne soit acheminé via votre réseau sur site. Un réseau cloud virtuel donné doit disposer d'une passerelle d'appairage local distincte pour chaque appairage qu'il établit. Pour plus d'informations, reportez-vous à Appairage local de réseaux cloud virtuels à l'aide de passerelles d'appairage local.
- Connexion d'appairage à distance
- Composant que vous pouvez ajouter à une passerelle de routage dynamique. Il permet d'appairer un réseau cloud virtuel avec un autre réseau cloud virtuel situé dans une autre région. Pour plus d'informations, reportez-vous à la section Appairage à distance de réseaux cloud virtuels à l'aide d'une passerelle de routage dynamique héritée.
- Tables de routage
- Tables de routage virtuelles pour votre réseau cloud virtuel. Elles disposent de règles pour acheminer le trafic des sous-réseaux vers des destinations situées en dehors du réseau cloud virtuel au moyen de passerelles ou d'instances spécialement configurées. Votre réseau cloud virtuel comporte une table de routage vide par défaut. Vous pouvez également ajouter vos propres tables de routage personnalisées. Pour plus d'informations, reportez-vous à Tables de routage de réseau cloud virtuel.
- Règles de sécurité
- Règles de pare-feu virtuel pour votre réseau cloud virtuel. Il s'agit de règles entrantes et sortantes qui indiquent les types de trafic (protocole et port) autorisés vers et depuis les instances. Vous pouvez indiquer s'il s'agit d'une règle avec ou sans conservation de statut. Par exemple, vous pouvez autoriser le trafic SSH entrant de n'importe quel emplacement vers un ensemble d'instances en configurant une règle entrante avec conservation de statut dont le CIDR source est 0.0.0.0/0 et le port TCP de destination est 22. Pour implémenter des règles de sécurité, vous pouvez utiliser des groupes de sécurité réseau ou des listes de sécurité. Un groupe de sécurité réseau se compose d'un ensemble de règles de sécurité qui s'appliquent uniquement aux ressources de ce groupe. Les règles d'une liste de sécurité s'appliquent, quant à elles, à toutes les ressources contenues dans n'importe quel sous-réseau utilisant la liste. Le réseau cloud virtuel comprend une liste de sécurité par défaut contenant des règles de sécurité par défaut. Pour plus d'informations, reportez-vous à Règles de sécurité.
- Options DHCP
- Informations de configuration automatiquement fournies aux instances lors de leur initialisation. Pour plus d'informations, reportez-vous à Options DHCP.
Taille de réseau cloud virtuel et plages d'adresses autorisées
Un réseau cloud virtuel couvre au moins un bloc CIDR IPv4 ou préfixe IPv6 de votre choix. La plage autorisée de tailles pour le réseau cloud virtuel est comprise entre /16 et /30. Exemple : 10.0.0.0/16. Le service Networking réserve les deux premières adresses IP et la dernière sur le CIDR de chaque sous-réseau. Vous pouvez activer IPv6 pour les réseaux cloud virtuels lorsque vous les créez. Vous pouvez également activer IPv6 sur les réseaux cloud virtuels uniquement IPv4 existants. Si vous décidez d'utiliser un préfixe IPv6 alloué par Oracle, vous recevez toujours un préfixe de taille /56. Vous pouvez également importer votre propre préfixe IPv6 BYOIP, à partir duquel affecter n'importe quel préfixe de taille /64 ou plus à un réseau cloud virtuel, ou affecter un préfixe ULA de taille /64 ou plus. Les plages GUA peuvent aller jusqu'à 2000::/3 et les plages ULA jusqu'à fc00::/7. La taille des sous-réseaux IPv6 est toujours égale à /64.
Pour le réseau cloud virtuel, Oracle recommande d'utiliser les plages d'adresses IP privées indiquées dans RFC 1918. (La norme RFC recommande les tailles 10.0/8 et 172.16/12, mais Oracle ne les prend pas en charge. Par conséquent, utilisez 10.0/16, 172.16/16 et 192.168/16.) Cependant, vous pouvez utiliser une plage routable publiquement. Quel que soit le cas, cette documentation utilise le terme adresse IP privée pour faire référence aux adresses IP dans le CIDR de votre réseau cloud virtuel. Les plages d'adresses non autorisées sont décrites dans Adresses IP réservées à une utilisation par Oracle. Pour les réseaux cloud virtuels compatibles IPv6, Oracle peut allouer un préfixe GUA (adresse unicast globale) /56 ou vous pouvez créer un réseau cloud virtuel avec un préfixe BYOIPv6.
Les blocs CIDR du réseau cloud virtuel ne doivent pas se chevaucher, ni chevaucher les CIDR du réseau sur site ou de tout autre réseau cloud virtuel avec lequel ils sont appairés. Les sous-réseaux d'un réseau cloud virtuel donné ne doivent pas se chevaucher. Pour référence, voici un calculateur de CIDR.
L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6.
Domaines de disponibilité et réseau cloud virtuel
Votre réseau cloud virtuel réside dans une seule région Oracle Cloud Infrastructure. Une région peut disposer de plusieurs domaines de disponibilité pour assurer l'isolement et la redondance. Pour plus d'informations, reportez-vous à Régions et domaines de disponibilité.
Les sous-réseaux étaient initialement conçus pour couvrir un seul domaine de disponibilité dans une région. Ils étaient tous propres à un domaine de disponibilité, ce qui signifie que les ressources du sous-réseau devaient résider dans un domaine de disponibilité particulier. Désormais, les sous-réseaux peuvent être propres à un domaine de disponibilité ou régionaux. Vous choisissez le type du sous-réseau lors de sa création. Les deux types de sous-réseau peuvent coexister au sein d'un même réseau cloud virtuel. Dans le diagramme suivant, les sous-réseaux 1 à 3 sont propres à un domaine de disponibilité et le sous-réseau 4 est régional.
Outre la suppression de la contrainte liée aux domaines de disponibilité, les sous-réseaux régionaux se comportent de la même façon que les sous-réseaux propres à un domaine de disponibilité. Oracle recommande d'utiliser des sous-réseaux régionaux car ils sont plus flexibles. Ils facilitent la division efficace du réseau cloud virtuel en sous-réseaux tout en tenant compte des défaillances de domaine de disponibilité dans leur conception.
Lorsque vous créez une ressource, telle qu'une instance de calcul, vous choisissez le domaine de disponibilité dans lequel elle se trouvera. En ce qui concerne les fonctions de réseau virtuel, vous devez également choisir le réseau cloud virtuel et le sous-réseau de l'instance. Vous pouvez choisir un sous-réseau régional ou un sous-réseau propre à un domaine de disponibilité correspondant au domaine de disponibilité que vous avez choisi pour l'instance.
Composants par défaut fournis avec le réseau cloud virtuel
Votre réseau cloud virtuel comporte automatiquement les composants par défaut suivants :
- Table de routage par défaut, sans règles de routage
- Liste de sécurité par défaut, avec des règles de sécurité par défaut
- Ensemble d'options DHCP par défaut, avec des valeurs par défaut
Vous ne pouvez pas supprimer ces composants par défaut. Vous pouvez cependant modifier leur contenu (par exemple, les règles de la liste de sécurité par défaut). Vous pouvez également créer vos propres versions personnalisées de chaque type de composant contenu dans votre réseau cloud virtuel. Le nombre maximal de composants et de règles que vous pouvez créer est limité. Pour plus d'informations, reportez-vous à Limites de service.
Chaque sous-réseau est toujours associé aux composants suivants :
- Une table de routage
- Des listes de sécurité (pour connaître le nombre maximal, reportez-vous à Limites de service)
- Un ensemble d'options DHCP
Lors de la création du sous-réseau, vous pouvez choisir la table de routage, la liste de sécurité et l'ensemble d'options DHCP qu'il utilise. Si vous n'indiquez aucun composant particulier, le sous-réseau utilise automatiquement le composant par défaut du réseau cloud virtuel. Vous pouvez modifier les composants utilisés par le sous-réseau à tout moment.
Les listes de sécurité constituent un moyen de contrôler le trafic entrant et sortant des ressources du réseau cloud virtuel. Vous pouvez également utiliser des groupes de sécurité réseau, afin d'appliquer un ensemble de règles de sécurité à un ensemble de ressources ayant toutes le même état de sécurité.
Options de connectivité
Vous pouvez déterminer si les sous-réseaux sont publics ou privés, et si les instances obtiennent des adresses IP publiques. Vous pouvez configurer le réseau cloud virtuel pour qu'il ait accès à Internet si vous le souhaitez. Vous pouvez également connecter de façon privée votre réseau cloud virtuel à des services Oracle Cloud Infrastructure publics, comme Object Storage, à votre réseau sur site ou à un autre réseau cloud virtuel.
Sous-réseaux publics et privés
Lorsque vous créez un sous-réseau, il est considéré par défaut comme public, ce qui signifie que les instances de ce sous-réseau sont autorisées à comporter des adresses IPv4 publiques et que la communication Internet avec les adresses IPv6 est autorisée. L'utilisateur qui lance l'instance choisit si elle dispose d'une adresse IPv4 publique ou si une adresse IPv6 doit être affectée à partir du préfixe alloué. Vous pouvez modifier ce comportement lors de la création du sous-réseau et demander à ce que ce dernier soit privé, ce qui empêche l'utilisation d'adresses IPv4 publiques et la communication Internet avec des adresses IPv6. Les administrateurs réseau peuvent ainsi s'assurer que les instances du sous-réseau n'ont pas d'accès à Internet, même si le réseau cloud virtuel dispose d'une passerelle Internet opérationnelle, et que des règles de sécurité et de pare-feu autorisent le trafic.
Mode d'affectation des adresses IP
Chaque instance dispose d'une carte d'interface réseau virtuelle principale créée lors du lancement de l'instance et ne pouvant pas être enlevée. Vous pouvez ajouter des cartes d'interface réseau virtuelles secondaires à une instance existante (dans le même domaine de disponibilité que la carte d'interface réseau virtuelle principale) et les enlever à votre convenance.
Chaque carte d'interface réseau virtuelle possède une adresse IP privée fournie par le CIDR du sous-réseau associé. Vous pouvez choisir une adresse IP particulière (lors du lancement de l'instance ou de la création de la carte d'interface réseau virtuelle secondaire) ou laisser Oracle choisir pour vous. L'adresse IP privée ne change pas au cours de la durée de vie de l'instance et ne peut pas être enlevée. Vous pouvez également ajouter des adresses IPv4 privées secondaires ou des adresses IPv6 secondaires à une carte d'interface réseau virtuelle.
Si la carte d'interface réseau virtuelle se trouve dans un sous-réseau public, vous pouvez affecter à votre convenance une adresse IPv4 ou IPv6 publique à chaque adresse IP privée de cette carte d'interface réseau virtuelle. Pour IPv4, Oracle choisit l'adresse IP particulière. Pour IPv6, vous pouvez spécifier l'adresse IP. Il existe deux types d'adresse IP publique : éphémère et réservée. Une adresse IP publique éphémère n'existe que pour la durée de vie de l'adresse IP privée à laquelle elle est affectée. Une adresse IP publique réservée, quant à elle, existe aussi longtemps que vous voulez. Vous pouvez gérer un pool d'adresses IP publiques réservées et les allouer à vos instances à votre convenance. Vous pouvez les déplacer d'une ressource à une autre dans une région selon vos besoins.
Accès à Internet
Il existe deux passerelles facultatives (routeurs virtuels) que vous pouvez ajouter à votre réseau cloud virtuel en fonction du type d'accès Internet dont vous avez besoin :
- Passerelle Internet : pour les ressources avec des adresses IP publiques qui doivent être atteintes à partir d'Internet (par exemple, un serveur Web) ou qui doivent initier des connexions à Internet.
- Passerelle NAT : pour les ressources sans adresse IP publique qui doivent initier des connexions à Internet (par exemple, pour les mises à jour logicielles), mais qui doivent être protégées des connexions entrantes en provenance d'Internet.
Le simple fait d'avoir une passerelle Internet n'expose pas les instances des sous-réseaux de votre réseau cloud virtuel directement sur Internet. Les conditions suivantes doivent également être remplies :
- La passerelle Internet doit être activée (par défaut, elle l'est à sa création).
- Le sous-réseau doit être public.
-
Le sous-réseau doit comporter une règle de routage qui dirige le trafic vers la passerelle Internet.
- Le sous-réseau doit comporter des règles de liste de sécurité qui autorisent le trafic (et le pare-feu de chaque instance doit autoriser le trafic).
-
L'instance doit disposer d'une adresse IP publique.
Pour accéder aux services publics, tels qu'Object Storage, à partir de votre réseau cloud virtuel sans que le trafic ne passe par Internet, utilisez une passerelle de service.
En outre, le trafic passant par une passerelle Internet entre un réseau cloud virtuel et une adresse IP publique faisant partie d'Oracle Cloud Infrastructure (comme Object Storage) est acheminé sans être envoyé sur Internet.
Vous pouvez également donner à un sous-réseau un accès indirect à Internet en configurant un proxy Internet dans votre réseau sur site, puis en connectant ce réseau à votre réseau cloud virtuel à l'aide d'une passerelle de routage dynamique. Pour plus d'informations, reportez-vous à Accès au réseau sur site.
Accès aux services Oracle Cloud Infrastructure publics
Vous pouvez utiliser une passerelle de service avec le réseau cloud virtuel pour permettre un accès privé aux services Oracle Cloud Infrastructure publics, tels qu'Object Storage. Par exemple, les systèmes de base de données d'un sous-réseau privé de votre réseau cloud virtuel peuvent sauvegarder des données vers Object Storage sans avoir besoin d'adresses IP publiques ni d'un accès à Internet. Aucune passerelle Internet ou NAT n'est requise. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.
Accès au réseau sur site
Vous pouvez connecter votre réseau sur site à Oracle Cloud Infrastructure de deux manières :
- VPN site à site : propose plusieurs tunnels IPSec entre la périphérie de votre réseau existant et votre réseau cloud virtuel au moyen d'une passerelle de routage dynamique que vous créez et attachez à votre réseau cloud virtuel.
- Oracle Cloud Infrastructure FastConnect : offre une connexion privée entre la périphérie de votre réseau existant et Oracle Cloud Infrastructure. Le trafic ne passe pas par Internet. L'appairage privé et l'appairage public sont tous deux pris en charge. Cela signifie que vos hôtes sur site peuvent accéder à des adresses IPv4 ou IPv6 privées dans votre réseau cloud virtuel ainsi qu'à des adresses IPv4 ou IPv6 publiques régionales dans Oracle Cloud Infrastructure (par exemple, Object Storage ou les équilibreurs de charge publics de votre réseau cloud virtuel).
Vous pouvez utiliser les deux types de connexion ci-avant, ou un seul. Si vous employez les deux, vous pouvez les utiliser simultanément ou dans une configuration redondante. Ces connexions sont transmises à votre réseau cloud virtuel via une passerelle de routage dynamique unique que vous créez et attachez à votre réseau cloud virtuel. Sans l'attachement de la passerelle de routage dynamique et sans règle de routage pour cette dernière, le trafic ne circule pas entre votre réseau cloud virtuel et votre réseau sur site. A tout moment, vous pouvez détacher la passerelle de routage dynamique de votre réseau cloud virtuel, tout en conservant l'ensemble des autres composants qui constituent le reste de la connexion. Vous pouvez ensuite attacher de nouveau la passerelle de routage dynamique, ou l'attacher à un autre réseau cloud virtuel.
Accès à un autre réseau cloud virtuel
Vous pouvez connecter votre réseau cloud virtuel à un autre réseau cloud virtuel à l'aide d'une connexion privée qui n'exige pas que le trafic passe par Internet. En général, ce type de connexion est appelé appairage de réseaux cloud virtuels. Chaque réseau cloud virtuel doit disposer de composants spécifiques pour permettre l'appairage. Les réseaux cloud virtuels doivent également comporter des stratégies IAM, des règles de routage et des règles de sécurité spécifiques permettant d'établir la connexion et de faire circuler le trafic réseau voulu sur celle-ci. Pour plus d'informations, reportez-vous à Accès à d'autres réseaux cloud virtuels : appairage.
Connexion à Oracle Cloud Infrastructure Classic
Vous pouvez configurer une connexion entre les environnements Oracle Cloud Infrastructure et Oracle Cloud Infrastructure Classic. Cette connexion peut faciliter les déploiements hybrides entre les deux environnements, ou la migration à partir d'Oracle Cloud Infrastructure Classic vers Oracle Cloud Infrastructure. Pour plus d'informations, reportez-vous à Accès à Oracle Cloud Infrastructure Classic.
Connexion à Microsoft Azure
Oracle et Microsoft ont créé une connexion inter-cloud entre Oracle Cloud Infrastructure et Microsoft Azure dans certaines régions. Cette connexion vous permet de configurer des charges globales inter-cloud sans que le trafic entre les clouds ne passe par Internet. Pour plus d'informations, reportez-vous à Accès à Microsoft Azure.
Connexion à d'autres clouds avec Libreswan
Vous pouvez connecter le réseau cloud virtuel à un autre fournisseur cloud à l'aide d'un VPN site à site et d'une machine virtuelle Libreswan en tant que CPE. Pour plus d'informations, reportez-vous à Accès à d'autres clouds avec Libreswan.
Scénarios de configuration réseau
Cette documentation inclut quelques scénarios de configuration réseau de base pour vous aider à comprendre le service Networking et, de façon générale, les interactions entre les composants. Reportez-vous aux rubriques suivantes :
- Scénario A : sous-réseau public
- Scénario B : sous-réseau privé avec un VPN
- Scénario C : sous-réseaux public et privé avec un VPN
Routage de transit
Les scénarios A à C présentent des situations où votre réseau sur site est connecté à des réseaux cloud virtuels au moyen d'une passerelle de routage dynamique et de FastConnect ou d'un VPN site à site, et accède uniquement aux ressources de ces réseaux cloud virtuels.
Les scénarios de routage avancé suivants donnent à votre réseau sur site un accès au-delà des ressources du réseau cloud virtuel connecté. Le trafic passe de votre réseau sur site à la passerelle de routage dynamique, puis transite par la passerelle de routage dynamique pour atteindre sa destination. Reportez-vous aux rubriques suivantes :
- Routage de transit au sein d'un réseau cloud virtuel hub : votre réseau sur site a accès à plusieurs réseaux cloud virtuels situés dans la même région sur un seul circuit virtuel privé FastConnect ou sur un VPN site à site. La passerelle de routage dynamique et les réseaux cloud virtuels attachés sont dans une topologie hub-and-spoke, où le réseau sur site est connecté à la passerelle de routage dynamique qui agit comme un hub. Les réseaux cloud virtuels spoke sont appairés.
- Accès privé aux services Oracle : votre réseau sur site dispose d'un accès privé aux services Oracle dans Oracle Services Network par le biais d'un réseau cloud virtuel connecté et de la passerelle de service de celui-ci. Le trafic ne passe pas par Internet.
Régions et domaines de disponibilité
Votre réseau cloud virtuel réside dans une seule région Oracle Cloud Infrastructure. Chaque sous-réseau réside dans un seul domaine de disponibilité. Les domaines de disponibilité sont conçus pour assurer l'isolement et la redondance de votre VCN, comme illustré dans le scénario B et le scénario C mentionnés précédemment. Par exemple, vous pouvez configurer l'ensemble principal de sous-réseaux dans un unique domaine de disponibilité, puis configurer un ensemble de sous-réseaux dupliqué dans un domaine de disponibilité secondaire. Les deux domaines de disponibilité sont isolés l'un de l'autre au sein des centres de données Oracle, de sorte que si l'un tombe en panne, vous pouvez facilement basculer vers l'autre. Pour plus d'informations, reportez-vous à Régions et domaines de disponibilité.
Plages d'adresses IP publiques
Pour obtenir la liste des plages d'adresses IP publiques Oracle Cloud Infrastructure, reportez-vous à Plages d'adresses IP.
Adresses IP réservées à une utilisation par Oracle
Certaines adresses IP sont réservées à Oracle Cloud Infrastructure et ne peuvent pas être utilisées dans votre schéma de numérotation des adresses.
169.254.0.0/16
Ces adresses sont utilisées pour les connexions iSCSI aux volumes d'initialisation et de blocs, aux métadonnées d'instance et aux autres services.
Classe D et classe E
Toutes les adresses de 224.0.0.0 à 239.255.255.255 (classe D) sont interdites d'utilisation dans un réseau cloud virtuel. Elles sont réservées aux affectations d'adresse de multidiffusion dans les normes IP. Pour plus d'informations, reportez-vous à la norme RFC 3171.
Toutes les adresses de 240.0.0.0 à 255.255.255.255 (classe E) sont interdites d'utilisation dans un réseau cloud virtuel. Elles sont réservées à une utilisation future dans les normes IP. Pour plus d'informations, reportez-vous à la norme RFC 1112, Section 4.
Trois adresses IP dans chaque sous-réseau
Ces adresses représentent :
- la première adresse IP dans le CIDR (adresse réseau),
- la dernière adresse IP dans le CIDR (adresse de diffusion),
- la première adresse d'hôte dans le CIDR (adresse de passerelle par défaut du sous-réseau).
Par exemple, dans un sous-réseau avec le CIDR 192.168.0.0/24, les adresses suivantes sont réservées :
- 192.168.0.0 (adresse réseau)
- 192.168.0.255 (adresse de diffusion)
- 192.168.0.1 (adresse de passerelle par défaut du sous-réseau)
Les autres adresses du CIDR (192.168.0.2 à 192.168.0.254) sont disponibles.
Création d'une automatisation avec des événements
Vous pouvez créer une automatisation en fonction des modifications d'état apportées aux ressources Oracle Cloud Infrastructure à l'aide de types d'événement, de règles et d'actions. Pour plus d'informations, reportez-vous à Présentation d'Events.
Identificateurs de ressource
La plupart des types de ressource Oracle Cloud Infrastructure ont un identificateur unique affecté par Oracle appelé ID Oracle Cloud (OCID). Pour plus d'informations sur le format OCID et d'autres façons d'identifier vos ressources, reportez-vous à Identificateurs de ressource.
Méthodes d'accès à Oracle Cloud Infrastructure
Vous pouvez accéder à Oracle Cloud Infrastructure (OCI) à l'aide de la console (interface basée sur un navigateur), de l'API REST ou de l'interface de ligne de commande OCI. Les instructions d'utilisation de la console, de l'API et de l'interface de ligne de commande sont incluses dans les rubriques de cette documentation. Pour obtenir la liste des kits SDK disponibles, reportez-vous à Kits SDK et interface de ligne de commande.
Pour accéder à la console, vous devez utiliser un navigateur pris en charge. Pour accéder à la page de connexion de la console, ouvrez le menu de navigation en haut de cette page et cliquez sur Console Infrastructure. Vous êtes invité à saisir votre locataire cloud, votre nom utilisateur et votre mot de passe.
Pour obtenir des informations générales sur l'utilisation de l'API, reportez-vous à API REST.
Authentification et autorisation
Chaque service d'Oracle Cloud Infrastructure s'intègre à IAM à des fins d'authentification et d'autorisation pour toutes les interfaces (console, kit SDK ou CLI, et API REST).
Un administrateur de votre organisation doit configurer des groupes , des compartiments et des stratégies qui déterminent quels utilisateurs peuvent accéder à quels services et à quelles ressources, ainsi que le type d'accès. Par exemple, les stratégies déterminent qui peut créer des utilisateurs, créer et gérer le réseau cloud, lancer des instances, créer des buckets, télécharger des objets, etc. Pour plus d'informations, reportez-vous à Introduction aux stratégies. Afin d'obtenir des détails spécifiques sur l'élaboration de stratégies pour chacun des différents services, reportez-vous à Référence de stratégie.
Si vous êtes un utilisateur standard (et non un administrateur) et que vous avez besoin d'utiliser les ressources Oracle Cloud Infrastructure de votre entreprise, contactez l'administrateur afin qu'il configure un ID utilisateur pour vous. L'administrateur peut confirmer les compartiments que vous devez utiliser.
Stratégies IAM pour Networking
La méthode la plus simple pour accorder l'accès à Networking est d'utiliser la stratégie répertoriée dans Autoriser les administrateurs réseau à gérer un réseau cloud. Elle couvre le réseau cloud et tous les autres composants Networking (sous-réseaux, listes de sécurité, tables de routage, passerelles, etc.). Pour permettre aux administrateurs réseau de lancer des instances (afin de tester la connectivité réseau), reportez-vous à Autoriser les utilisateurs à lancer des instances de calcul.
Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes.
Afin d'obtenir des documents de référence sur l'écriture de stratégies plus détaillées pour Networking, reportez-vous à Détails des services de base.
Types de ressource individuelle
Si vous le souhaitez, vous pouvez écrire des stratégies qui se concentrent sur des types de ressource individuelle (par exemple, uniquement les listes de sécurité) au lieu du type virtual-network-family plus large. Le type de ressource instance-family inclut également plusieurs droits pour les cartes d'interface réseau virtuelles, qui résident dans un sous-réseau mais qui sont attachées à une instance. Pour plus d'informations, reportez-vous à Détails des combinaisons de verbe et de type de ressource et à Cartes d'interface réseau virtuelles (VNIC).
Un type de ressource appelé local-peering-gateways est inclus dans virtual-network-family et comprend deux autres types de ressource liés à l'appairage local de réseaux cloud virtuels (au sein de la région) :
local-peering-fromlocal-peering-to
Le type de ressource local-peering-gateways couvre tous les droits d'accès relatifs aux passerelles d'appairage local. Les types de ressource local-peering-from et local-peering-to permettent d'accorder le droit de connecter deux passerelles d'appairage local et de définir une relation d'appairage au sein d'une seule région. Pour plus d'informations, reportez-vous à Appairage local à l'aide d'une passerelle d'appairage local (réseaux cloud virtuels dans la même location) ou à Appairage local à l'aide d'une passerelle d'appairage local (réseaux cloud virtuels dans des locations différentes).
De même, un type de ressource appelé remote-peering-connections est inclus dans virtual-network-family et comprend deux autres types de ressource liés à l'appairage à distance de réseaux cloud virtuels (entre des régions) :
remote-peering-fromremote-peering-to
Le type de ressource remote-peering-connections couvre tous les droits d'accès relatifs aux connexions d'appairage à distance. Les types de ressource remote-peering-from et remote-peering-to permettent d'autoriser la connexion de deux RPC et la définition d'une relation d'appairage entre des régions. Pour plus d'informations, reportez-vous aux sections Remote Peering with a Legacy DRG et Remote Peering with an Upgraded DRG.
Nuances des différents verbes
Si vous le souhaitez, vous pouvez écrire des stratégies qui limitent le niveau d'accès en utilisant un verbe de stratégie différent (manage par rapport à use, etc.). Dans ce cas, vous devez comprendre les nuances concernant les verbes de stratégie pour Networking.
Gardez à l'esprit que le verbe inspect ne renvoie pas uniquement des informations générales sur les composants du réseau cloud (par exemple, le nom et l'OCID d'une liste de sécurité ou d'une table de routage). Il inclut également le contenu du composant (par exemple, les règles réelles dans la liste de sécurité, les routages de la table de routage, etc.).
En outre, les types de fonction suivants sont disponibles uniquement avec le verbe manage, et non avec le verbe use :
- Mettre à jour (activer/désactiver)
internet-gateways - Mettre à jour
security-lists - Mettre à jour
route-tables - Mettre à jour
dhcp-options - Attacher une passerelle de routage dynamique à un réseau cloud virtuel
- Créer une connexion IPSec entre une passerelle de routage dynamique et un CPE (Customer-Premises Equipment)
- Appairer des réseaux cloud virtuels
Chaque réseau cloud virtuel dispose de divers composants qui affectent directement le comportement du réseau (tables de routage, listes de sécurité, options DHCP, passerelle Internet, etc.). Lorsque vous créez l'un de ces composants, vous établissez une relation entre ce composant et le réseau cloud virtuel, ce qui signifie qu'une stratégie doit vous autoriser à créer le composant et à gérer le réseau cloud virtuel. Toutefois, la possibilité de mettre à jour ce composant (pour modifier les règles de routage, les règles de liste de sécurité, etc.) ne nécessite pas le droit de gérer le réseau cloud virtuel, même si la modification de ce composant peut affecter directement le comportement du réseau. Cette différence est conçue pour vous permettre d'accorder le moins de privilèges possible aux utilisateurs et ne pas vous obliger à accorder un accès excessif au réseau cloud virtuel juste pour que les utilisateurs puissent gérer d'autres composants du réseau. Gardez à l'esprit qu'en donnant à un utilisateur la possibilité de mettre à jour un type de composant particulier, vous lui faites implicitement confiance en ce qui concerne le contrôle du comportement du réseau.
Pour plus d'informations sur les verbes de stratégie, reportez-vous à Notions de base relatives aux stratégies.
Stratégies d'appairage
Pour connaître les stratégies utilisées pour connecter un DRG à des réseaux cloud virtuels et des passerelles de routage dynamique dans d'autres régions et locations, reportez-vous à Stratégies IAM pour le routage entre les réseaux cloud virtuels.
Limites relatives aux composants de Networking
Reportez-vous aux limites de service pour obtenir la liste des limites applicables et des instructions de demande d'augmentation de limite.