Présentation de Networking

Le service Networking utilise des versions virtuelles de composants réseau classiques que vous connaissez peut-être déjà :

Réseau cloud virtuel

Réseau privé virtuel que vous configurez dans les centres de données Oracle. Il ressemble beaucoup à un réseau classique, avec des règles de pare-feu et des types de passerelle de communication spécifiques que vous pouvez décider d'utiliser. Un VCN réside dans une seule région Oracle Cloud Infrastructure et couvre un ou plusieurs blocs CIDR (IPv4 et IPv6, si activé). Reportez-vous à Taille de réseau cloud virtuel et plages d'adresses autorisées. Les termes réseau cloud virtuel, VCN et réseau cloud sont utilisés de façon interchangeable dans cette documentation. Pour plus d'informations, reportez-vous à Réseaux cloud virtuels et sous-réseaux.

Sous-réseaux

Sous-divisions définies dans un réseau cloud virtuel (par exemple, 10.0.0.0/24, 10.0.1.0/24 ou 2001:DB8::/64). Les sous-réseaux contiennent des cartes d'interface réseau virtuelles (VNIC) qui sont attachées aux instances. Chaque sous-réseau se compose d'une plage contiguë d'adresses IP (pour IPv4 et IPv6, si activé) qui ne chevauchent pas d'autres sous-réseaux dans le VCN. Vous pouvez définir un sous-réseau pour exister dans un seul domaine de disponibilité ou dans toute une région (nous vous recommandons les sous-réseaux régionaux). Les sous-réseaux agissent comme une unité de configuration dans le VCN : toutes les cartes d'interface réseau virtuelles d'un sous-réseau particulier utilisent la même table de routage, les mêmes listes de sécurité et les mêmes options DHCP (voir les définitions qui suivent). Vous pouvez définir un sous-réseau comme public ou privé lors de sa création. Le terme privé signifie que les VNIC du sous-réseau ne peuvent pas disposer d'adresses IPv4 publiques et que la communication Internet avec les adresses IPv6 est interdite. Le terme public signifie que les VNIC du sous-réseau peuvent disposer d'adresses IPv4 publiques et que la communication Internet avec les adresses IPv6 est autorisée. Reportez-vous à Accès à Internet.

Carte d'interface réseau virtuelle

Carte d'interface réseau virtuelle (VNIC) attachée à une instance et résidant dans un sous-réseau pour permettre une connexion au réseau cloud virtuel du sous-réseau. Une VNIC est le composant utilisé par l'instance pour se connecter avec des adresses à l'intérieur et à l'extérieur du VCN. Chaque instance dispose d'une carte d'interface réseau virtuelle principale créée lors de la création de l'instance et ne peut pas être enlevée. Vous pouvez ajouter des VNIC secondaires à une instance existante (dans le même domaine de disponibilité que la VNIC principale) et les enlever si nécessaire. Chaque VNIC secondaire peut se trouver dans un sous-réseau du même VCN que la VNIC principale, ou dans un sous-réseau différent, soit dans le même VCN, soit dans un autre. Toutefois, elles doivent toutes se trouver dans le même domaine de disponibilité que l'instance. Pour plus d'informations, reportez-vous à Cartes d'interface réseau virtuelles (VNIC). Une adresse IPv6 peut éventuellement être affectée à une carte d'interface réseau virtuelle attachée à une instance Compute et résidant dans un sous-réseau compatible IPv6.

Adresse IP privée

Adresse IPv4 privée et informations associées pour l'adressage d'une instance (par exemple, un nom d'hôte pour DNS). Chaque carte d'interface réseau virtuelle comporte une adresse IP privée principale. Vous pouvez également ajouter et enlever des adresses IP privées secondaires. L'adresse IP privée principale d'une instance ne change pas au cours de la durée de vie de l'instance et ne peut pas être enlevée de celle-ci. Pour plus d'informations, reportez-vous à Adresses IP privées.

Adresse IP publique

Adresse IPv4 publique et informations associées. Vous pouvez éventuellement affecter une adresse IP publique à des instances ou à d'autres ressources disposant d'une adresse IP privée. Les adresses IP publiques peuvent être éphémères ou réservées. Pour plus d'informations, reportez-vous à Adresses IP publiques.

IPv6

Adresse IPv6 et informations associées. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6.

Passerelle de routage dynamique

Routeur virtuel facultatif que vous pouvez ajouter à un VCN. Il fournit un chemin pour le trafic réseau privé entre un VCN et un réseau sur site. Vous pouvez l'utiliser avec d'autres composants de réseau et un routeur d'un réseau sur site pour établir une connexion au moyen d'un VPN site à site ou d'Oracle Cloud Infrastructure FastConnect. Il peut également fournir un chemin pour le trafic de réseau privé entre un VCN et un autre VCN dans une autre région. Pour plus d'informations, reportez-vous à Accès à votre réseau sur site, à Passerelles de routage dynamique et à Appairage VCN distant à l'aide d'un DRG hérité.

Passerelle Internet

Un autre routeur virtuel facultatif que vous pouvez ajouter à un VCN pour un accès Internet direct. Pour plus d'informations, reportez-vous à Accès à Internet et à Scénario A : sous-réseau public.

Passerelle NAT (Network Address Translation)

Un autre routeur virtuel facultatif que vous pouvez ajouter à un VCN. Cette passerelle fournit aux ressources cloud sans adresse IP publique un accès à Internet sans exposition aux connexions Internet entrantes. Pour plus d'informations, reportez-vous à Sous-réseaux publics et privés et également à Passerelle NAT.

Passerelle de service

Un autre routeur virtuel facultatif que vous pouvez ajouter à un VCN. Il fournit un chemin pour le trafic réseau privé entre un VCN et des services pris en charge dans Oracle Services Network (exemples : Oracle Cloud Infrastructure Object Storage et Autonomous Database). Par exemple, les systèmes de base de données d'un sous-réseau privé dans un VCN peuvent sauvegarder des données dans Object Storage sans avoir besoin d'adresses IP publiques ni d'un accès à Internet. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

Passerelle d'appairage local

Un autre routeur virtuel facultatif que vous pouvez ajouter à un VCN. Il permet d'appairer un réseau cloud virtuel avec un autre réseau cloud virtuel situé dans la même région. L'appairage signifie que les réseaux cloud virtuels communiquent à l'aide d'adresses IP privées, sans que le trafic ne passe par Internet ou ne soit routage via un réseau sur site. Un VCN doit avoir une passerelle d'appairage local distincte pour chaque appairage qu'il établit. Pour plus d'informations, reportez-vous à Appairage local de réseaux cloud virtuels à l'aide de passerelles d'appairage local.

Connexion d'appairage à distance

Composant que vous pouvez ajouter à une passerelle de routage dynamique. Il permet d'appairer un réseau cloud virtuel avec un autre réseau cloud virtuel situé dans une autre région. Pour plus d'informations, reportez-vous à la section Appairage à distance de réseaux cloud virtuels à l'aide d'une passerelle de routage dynamique héritée.

Tables de routage

Tables de routage virtuelles pour un VCN. Elles disposent de règles pour acheminer le trafic des sous-réseaux vers des destinations situées en dehors du réseau cloud virtuel au moyen de passerelles ou d'instances spécialement configurées. Un VCN est livré avec une table de routage par défaut vide, et vous pouvez ajouter des tables de routage personnalisées. Pour plus d'informations, reportez-vous à Tables de routage de réseau cloud virtuel.

Règles de sécurité

Règles de pare-feu virtuel pour un VCN. Les règles entrantes et sortantes indiquent les types de trafic (port et protocole) autorisés vers et depuis les instances. Vous pouvez décider si une règle particulière est avec ou sans conservation de statut. Par exemple, vous pouvez autoriser le trafic SSH entrant de n'importe quel emplacement vers un ensemble d'instances en configurant une règle entrante avec conservation de statut dont le CIDR source est 0.0.0.0/0 et le port TCP de destination est 22. Pour implémenter des règles de sécurité, vous pouvez utiliser des groupes de sécurité réseau ou des listes de sécurité. Un groupe de sécurité réseau se compose d'un ensemble de règles de sécurité qui s'appliquent uniquement aux ressources de ce groupe. Les règles d'une liste de sécurité s'appliquent, quant à elles, à toutes les ressources contenues dans n'importe quel sous-réseau utilisant la liste. Un VCN est livré avec une liste de sécurité par défaut avec des règles de sécurité par défaut. Pour plus d'informations, reportez-vous à Règles de sécurité.

Options DHCP

Informations de configuration automatiquement fournies aux instances lors de leur initialisation. Pour plus d'informations, reportez-vous à Options DHCP.

NOTATION CIDR

Méthode compacte permettant de spécifier des adresses IP ou des plages d'adresses et des masques réseau. Par exemple, si vous utilisez IPv4, la plage d'adresses IP privées 10.0.0.0/24 représente toutes les adresses comprises entre 10.0.0.0 et 10.0.0.255. Le /24 représente un masque de sous-réseau de 255.255.255.0 car les 24 premiers bits sont masqués. IPv6 utilise une notation similaire à celle des blocs d'adresses. Pour plus d'informations, reportez-vous à RFC1817 et RFC1519.

Un VCN couvre un ou plusieurs blocs CIDRIPv4 CIDR IPv4 ou préfixes IPv6. La plage autorisée de tailles pour le réseau cloud virtuel est comprise entre /16 et /30. Exemple : 10.0.0.0/16. Le service Networking réserve les deux premières adresses IP et la dernière sur le CIDR de chaque sous-réseau. Vous pouvez activer IPv6 pour les réseaux cloud virtuels lorsque vous les créez. Vous pouvez également activer IPv6 sur les réseaux cloud virtuels uniquement IPv4 existants. Si vous décidez d'utiliser un préfixe IPv6 alloué par Oracle, vous recevez toujours un préfixe de taille /56. Vous pouvez également importer votre propre préfixe IPv6 BYOIP, à partir duquel affecter n'importe quel préfixe de taille /64 ou plus à un réseau cloud virtuel, ou affecter un préfixe ULA de taille /64 ou plus. Les plages GUA peuvent aller jusqu'à 2000::/3 et les plages ULA jusqu'à fc00::/7. La taille des sous-réseaux IPv6 est toujours égale à /64.

Pour un VCN, nous vous recommandons d'utiliser les plages d'adresses IP privées spécifiées dans RFC 1918 (la RFC recommande 10.0/8 ou 172.16/12, mais Oracle ne prend pas en charge ces tailles, utilisez donc 10.0/16, 172.16/16 et 192.168/16). Cependant, vous pouvez utiliser une plage routable publiquement. Quoi qu'il en soit, cette documentation utilise le terme adresse IP privée pour faire référence aux adresses IP dans le CIDR d'un VCN. Les plages d'adresses non autorisées sont décrites dans Adresses IP réservées à une utilisation par Oracle. Pour les réseaux cloud virtuels compatibles IPv6, Oracle peut allouer un préfixe GUA (adresse unicast globale) /56 ou vous pouvez créer un réseau cloud virtuel avec un préfixe BYOIPv6.

Les blocs CIDR du VCN ne doivent pas se chevaucher les uns avec les autres, avec des CIDR dans un réseau sur site connecté ou avec les CIDR d'un autre VCN avec lequel vous appliquez un pair. Les sous-réseaux d'un VCN particulier ne doivent pas se chevaucher. Pour référence, voici un calculateur de CIDR.

L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6.

Un VCN réside dans une seule région Oracle Cloud Infrastructure. Une région peut disposer de plusieurs domaines de disponibilité pour assurer l'isolement et la redondance. Pour plus d'informations, reportez-vous à Régions et domaines de disponibilité.

Les sous-réseaux étaient initialement conçus pour couvrir un seul domaine de disponibilité dans une région. Ils étaient tous propres à un domaine de disponibilité, ce qui signifie que les ressources du sous-réseau devaient résider dans un domaine de disponibilité particulier. Désormais, les sous-réseaux peuvent être propres à un domaine de disponibilité ou régionaux. Vous sélectionnez le type du sous-réseau lors de sa création. Les deux types de sous-réseaux peuvent coexister dans le même VCN. Dans le diagramme suivant, les sous-réseaux 1 à 3 sont propres à un domaine de disponibilité et le sous-réseau 4 est régional.

Outre la suppression de la contrainte liée aux domaines de disponibilité, les sous-réseaux régionaux se comportent de la même façon que les sous-réseaux propres à un domaine de disponibilité. Nous vous recommandons d'utiliser des sous-réseaux régionaux car ils sont plus flexibles. Ils facilitent la division efficace d'un VCN en sous-réseaux tout en concevant pour la panne du domaine de disponibilité.

Lorsque vous créez une ressource telle qu'une instance Compute, vous décidez dans quel domaine de disponibilité elle se trouve. Du point de vue des réseaux virtuels, vous devez également décider dans quel VCN et sous-réseau se trouve l'instance. Vous pouvez sélectionner un sous-réseau régional ou un sous-réseau spécifique d'un domaine de disponibilité qui correspond au domaine de disponibilité que vous avez choisi pour l'instance.

Chaque sous-réseau est toujours associé aux composants suivants :

• Une table de routage
• Des listes de sécurité (pour connaître le nombre maximal, reportez-vous à Limites de service)
• Un ensemble d'options DHCP

Lors de la création du sous-réseau, vous pouvez décider de la table de routage, de la liste de sécurité et de l'ensemble d'options DHCP qu'il utilise. Si vous n'indiquez aucun composant particulier, le sous-réseau utilise automatiquement le composant par défaut du réseau cloud virtuel. Vous pouvez modifier les composants utilisés par le sous-réseau à tout moment.

Vous pouvez déterminer si les sous-réseaux sont publics ou privés, et si les instances obtiennent des adresses IP publiques. Vous pouvez configurer un VCN pour avoir accès à Internet si nécessaire. Vous pouvez également connecter de manière privée un VCN à des services Oracle Cloud Infrastructure publics tels qu'Object Storage, à un réseau sur site ou à un autre VCN.

Cette documentation inclut quelques scénarios de réseau de base pour vous aider à comprendre le service Networking et la façon dont les composants fonctionnent ensemble en général. Reportez-vous aux rubriques suivantes :

• Scénario A : sous-réseau public
• Scénario B : sous-réseau privé avec un VPN
• Scénario C : sous-réseaux public et privé avec un VPN

Un VCN réside dans une seule région Oracle Cloud Infrastructure. Chaque sous-réseau réside dans un seul domaine de disponibilité. Les domaines de disponibilité sont conçus pour assurer l'isolation et la redondance dans le VCN, comme illustré dans le scénario B et le scénario C mentionnés précédemment. Par exemple, vous pouvez configurer un ensemble principal de sous-réseaux dans un seul AD, puis configurer un ensemble de sous-réseaux dupliqué dans un AD secondaire. Les deux domaines de disponibilité sont isolés l'un de l'autre au sein des centres de données Oracle, de sorte que si l'un tombe en panne, vous pouvez facilement basculer vers l'autre. Pour plus d'informations, reportez-vous à Regions and Availability Domains.

Pour obtenir la liste des plages d'adresses IP publiques Oracle Cloud Infrastructure, reportez-vous à Plages d'adresses IP.

Vous pouvez créer l'automatisation en fonction des modifications d'état apportées aux ressources Oracle Cloud Infrastructure à l'aide de types d'événement, de règles et d'actions. Pour plus d'informations, reportez-vous à Présentation d'Events.

La plupart des types de ressource Oracle Cloud Infrastructure possèdent un identificateur unique affecté par Oracle appelé ID Oracle Cloud (OCID). Pour plus d'informations sur le format OCID et d'autres façons d'identifier vos ressources, reportez-vous à Identificateurs de ressource.

Pour obtenir des informations générales sur l'utilisation de l'API, reportez-vous à API REST.

La méthode la plus simple pour accorder l'accès à Networking est d'utiliser la stratégie répertoriée dans Autoriser les administrateurs réseau à gérer un réseau cloud. Elle couvre le réseau cloud et tous les autres composants Networking (sous-réseaux, listes de sécurité, tables de routage, passerelles, etc.). Pour permettre aux administrateurs réseau de créer des instances (afin de tester la connectivité réseau), reportez-vous à Autoriser les utilisateurs à lancer des instances de calcul.

Si vous ne connaissez pas les stratégies, reportez-vous à Gestion des domaines d'identité et à Stratégies courantes.

Afin d'obtenir des documents de référence sur l'écriture de stratégies plus détaillées pour Networking, reportez-vous à Détails des services de base.

Reportez-vous aux limites de service pour obtenir la liste des limites applicables et des instructions de demande d'augmentation de limite.