Accès privé

• Vous pouvez activer l'accès privé à certains services au sein d'Oracle Cloud Infrastructure à partir d'un réseau VCN ou sur site à l'aide d'une adresse privée, d'une adresse d'accès au service privé ou d'une passerelle de service. Reportez-vous aux sections qui suivent.

• Pour chaque option d'accès privé, les services ou types de ressource suivants sont disponibles :

  • Avec une adresse privée : services disponibles
  • Avec une passerelle de service ou une adresse d'accès au service privé : services disponibles
• Avec l'une de ces options d'accès privé, le trafic reste au sein du réseau Oracle Cloud Infrastructure et ne traverse pas Internet. Toutefois, si vous utilisez une passerelle de service, les demandes adressées au service utilisent une adresse publique pour celui-ci.
• Si vous ne voulez pas accéder à un service Oracle particulier via une adresse publique, nous vous recommandons d'utiliser une adresse privée ou une adresse PSA dans un VCN (en supposant que le service prenne en charge ces adresses).

Une adresse privée est une adresse IP privée dans un VCN que vous pouvez utiliser pour accéder à un service particulier dans Oracle Cloud Infrastructure. Le service configure l'adresse privée dans un sous-réseau au sein du VCN. Vous pouvez considérer l'adresse privée comme une autre carte d'interface réseau virtuelle du VCN. Vous pouvez contrôler son accès de la manière que vous feriez pour toute autre carte d'interface réseau virtuelle : en utilisant des règles de sécurité. Cependant, le service configure cette carte d'interface réseau virtuelle et gère sa disponibilité. Vous devez uniquement gérer le sous-réseau et les règles de sécurité.

Le diagramme suivant illustre ce concept.

L'adresse privée donne aux hôtes d'un VCN et d'un réseau sur site l'accès à une ressource unique au sein du service Oracle d'intérêt (par exemple, une base de données dans Autonomous AI Database Serverless). Comparez ce modèle d'accès privé à une passerelle de service (reportez-vous à la section suivante) : si vous avez créé cinq bases de données d'IA autonomes pour un VCN spécifique, les cinq seront accessibles via une passerelle de service unique en envoyant des demandes à une adresse publique pour le service. Cependant, avec le modèle d'adresse privée, il y aurait cinq adresses privées distinctes : une pour chaque base de données d'IA autonome et chacune avec sa propre adresse IP privée.

Si vous disposez d'une adresse privée pour une ressource, les hôtes du réseau cloud virtuel peuvent utiliser le nom de domaine qualifié complet ou l'adresse IP privée de l'adresse privée pour accéder à la ressource. Vous configurez des règles de sécurité afin de contrôler l'accès entre les hôtes dans le réseau cloud virtuel et l'adresse privée. Pour un exemple de cette procédure avec Autonomous AI Lakehouse, reportez-vous à Configuration de l'accès réseau avec des points de terminaison privés.

Vous pouvez également configurer le routage de transit avec votre réseau cloud virtuel pour que les hôtes du réseau sur site puissent utiliser l'adresse privée. Pour permettre aux hôtes sur site d'utiliser le nom de domaine qualifié complet de l'adresse privée au lieu de son adresse IP privée, vous avez deux options :

• Configurer une instance dans le réseau cloud virtuel en tant que serveur DNS personnalisé. Pour obtenir un exemple d'implémentation de ce scénario avec le fournisseur Oracle Terraform, reportez-vous à Configuration DNS hybride.
• Gérez la résolution de nom d'hôte manuellement.

Vous pouvez disposer de différents réseaux cloud virtuels avec des hôtes ayant besoin d'accéder à la ressource voulue. Vous pouvez appairer les réseaux Cloud virtuels afin que les hôtes des autres réseaux Cloud virtuels puissent également utiliser l'adresse privée (le diagramme précédent n'affiche aucun réseau cloud cloud virtuel appairé).

Une passerelle de service donne aux ressources de votre réseau VCN et sur site un accès privé à plusieurs services au sein d'Oracle Cloud Infrastructure, sans que le trafic ne passe par Internet.

Le diagramme suivant illustre ce concept. Le diagramme fait référence à Oracle Services Network, un réseau conceptuel dans Oracle Cloud Infrastructure qui est réservé aux services Oracle.

Pour utiliser une passerelle de service à partir d'un sous-réseau particulier au sein de votre réseau cloud virtuel, configurez une règle de routage dans la table de routage du sous-réseau et spécifiez la passerelle de service comme cible de la règle. Configurez également des règles de sécurité afin de contrôler l'accès entre les hôtes dans le réseau cloud virtuel et les services disponibles via la passerelle de service.

Si votre location comporte plusieurs réseaux cloud virtuels, vous pouvez les configurer avec leur propre passerelle de service.

Pour plus d'informations sur les limites, reportez-vous à Limites de passerelle et à Demande d'augmentation de limite de service.

Vous pouvez également configurer le routage de transit pour Oracle Services Network afin que les hôtes de votre réseau sur site puissent utiliser la passerelle de service d'un réseau cloud virtuel.

Vous pouvez utiliser l'accès au service privé Oracle Cloud Infrastructure pour créer des adresses d'accès au service privé qui fournissent un accès IP privé à un seul service OCI. L'adresse PSA utilise une adresse IP privée dédiée et un nom de domaine qualifié complet dans un VCN et un sous-réseau spécifiés. Une adresse PSA est disponible dans les réseaux IPv4-IPv6 à double pile ou IPv4 uniquement.

Vous configurez l'adresse PSA dans un sous-réseau au sein du VCN. Vous pouvez considérer l'adresse PSA comme une autre carte d'interface réseau virtuelle du VCN. Vous pouvez contrôler l'accès à cette carte d'interface réseau virtuelle comme vous le feriez pour n'importe quelle autre carte d'interface réseau virtuelle : utilisez des règles de sécurité dans une liste de sécurité, un groupe de sécurité réseau ou utilisez des stratégies et des attributs de sécurité de routage de paquets ZPR que vous définissez et implémentez.

Le diagramme suivant illustre ce concept.

L'adresse PSA donne aux hôtes d'un VCN ou d'un réseau sur site un accès au service Oracle d'intérêt (par exemple, Object Storage). L'adresse PSA est disponible pour toute charge de travail dans ce VCN, quel que soit le sous-réseau de la charge de travail, pour la communication avec le service respectif. Vous ne pouvez avoir qu'une seule adresse PSA dans un VCN pour un service spécifique. Si vous disposez de nombreux réseaux cloud virtuels, créez des adresses PSA dans chaque VCN selon vos besoins.

Pour accéder à l'adresse PSA à partir de réseaux sur site, vous avez le choix entre deux possibilités.

1. Dans la configuration DNS sur site, mettez manuellement en correspondance le nom de domaine qualifié complet du service PSA avec l'adresse IP privée affectée à l'adresse PSA.
2. Créez une adresse d'écoute DNS dans le résolveur VCN. A partir des noms de domaine qualifiés complets de transfert sur site pour les services OCI utilisés vers l'adresse d'écoute, qui renvoie l'adresse IP privée de toute adresse PSA associée.

Pour plus d'informations, reportez-vous à A propos des adresses PSA.