Présentation des réseaux cloud virtuels et des sous-réseaux
Découvrez les réseaux cloud virtuels et les sous-réseaux dans OCI.
Cette rubrique décrit les réseaux cloud virtuels et leurs sous-réseaux. Les termes réseau cloud virtuel, VCN et réseau cloud sont utilisés de façon interchangeable. La console emploie le terme Réseau cloud virtuel tandis que l'API utilise VCN pour des raisons de concision.
Un réseau cloud virtuel est un réseau défini par logiciel que vous configurez dans les centres de données Oracle Cloud Infrastructure d'une région particulière. Un sous-réseau est une subdivision d'un réseau cloud virtuel. Pour accéder à une présentation des réseaux cloud virtuels, connaître la taille autorisée et les composants par défaut, et consulter des scénarios d'utilisation les concernant, reportez-vous à Présentation de Networking.
Un réseau cloud virtuel peut comporter plusieurs blocs CIDR IPv4 qui ne se chevauchent pas. Vous pouvez les modifier une fois le réseau cloud virtuel créé. Quel que soit le nombre de blocs CIDR, le nombre maximal d'adresses IP privées que vous pouvez créer dans le réseau cloud virtuel est de 64 000. Un réseau cloud virtuel peut éventuellement être compatible avec IPv6. Oracle allouera un préfixe /56. Vous pouvez également importer un préfixe IPv6 BYOIP et l'affecter à un réseau cloud virtuel existant ou créer un réseau cloud virtuel avec un préfixe IPv6 ULA ou BYOIP.
Vous pouvez connecter de façon privée un réseau cloud virtuel à un autre afin que le trafic ne passe pas par Internet. Les CIDR des deux réseaux cloud virtuels ne doivent pas se chevaucher. Pour plus d'informations, reportez-vous à Accès à d'autres réseaux cloud virtuels : appairage. Pour obtenir un exemple de scénario de routage avancé impliquant l'appairage de plusieurs réseaux cloud virtuels, reportez-vous à Routage de transit au sein d'un réseau cloud virtuel hub.
Chaque sous-réseau d'un réseau cloud virtuel se compose d'une plage contiguë d'adresses IPv4 et éventuellement d'adresses IPv6 qui ne chevauchent pas les autres sous-réseaux du réseau cloud virtuel. Exemple : 172.16.1.0/24. Avec les adresses IPv4 et IPv6, les deux premières adresses et la dernière du CIDR du sous-réseau sont réservées par le service Networking. Vous pouvez modifier la taille du sous-réseau après sa création. Les sous-réseaux compatibles IPv6 sont toujours en /64.
Les sous-réseaux agissent comme une unité de configuration : toutes les instances d'un sous-réseau donné utilisent la même table de routage ainsi que les mêmes listes de sécurité et options DHCP. Pour plus d'informations, reportez-vous à Composants par défaut fournis avec le réseau cloud virtuel.
Les sous-réseaux peuvent être publics ou privés (reportez-vous à Sous-réseaux publics et privés). Le choix du type public ou privé a lieu lors de la création du sous-réseau. Vous ne pouvez pas le modifier ultérieurement.
Considérez que chaque instance de calcul réside dans un sous-réseau. Cependant, pour être précis, chaque instance est attachée à une carte d'interface réseau virtuelle, qui elle-même réside dans le sous-réseau et permet la connexion réseau pour l'instance.
L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6.
A propos des sous-réseaux régionaux
Les sous-réseaux étaient initialement conçus pour couvrir un seul domaine de disponibilité dans une région. Ils étaient tous propres à un domaine de disponibilité, ce qui signifie que les ressources du sous-réseau devaient résider dans un domaine de disponibilité particulier. Désormais, les sous-réseaux peuvent être propres à un domaine de disponibilité ou régionaux. Vous choisissez le type du sous-réseau lors de sa création. Les deux types de sous-réseau peuvent coexister au sein d'un même réseau cloud virtuel. Dans le diagramme suivant, les sous-réseaux 1 à 3 sont propres à un domaine de disponibilité et le sous-réseau 4 est régional.
Outre la suppression de la contrainte liée aux domaines de disponibilité, les sous-réseaux régionaux se comportent de la même façon que les sous-réseaux propres à un domaine de disponibilité. Oracle recommande d'utiliser des sous-réseaux régionaux car ils sont plus flexibles. Ils facilitent la division efficace du réseau cloud virtuel en sous-réseaux tout en tenant compte des défaillances de domaine de disponibilité dans leur conception.
Lorsque vous créez une ressource, telle qu'une instance de calcul, vous choisissez le domaine de disponibilité dans lequel elle se trouvera. En ce qui concerne les fonctions de réseau virtuel, vous devez également choisir le réseau cloud virtuel et le sous-réseau de l'instance. Vous pouvez choisir un sous-réseau régional ou un sous-réseau propre à un domaine de disponibilité correspondant au domaine de disponibilité que vous avez choisi pour l'instance.
Si une personne de votre organisation implémente un sous-réseau régional, vous devrez peut-être mettre à jour tout code client qui fonctionne avec des adresses IP privées et des sous-réseaux de service Networking. Des modifications d'API avec rupture sont possibles. Pour plus d'informations, reportez-vous à la note sur la version concernant les sous-réseaux régionaux.
| Ressource | Portée | Crédits universels Oracle | Paiement à l'utilisation ou version d'évaluation |
|---|---|---|---|
| Réseau cloud virtuel | Région | 50 | 10 |
| Sous-réseaux | Réseau cloud virtuel | 300 | 300 |
| CIDR IPv4 | Réseau cloud virtuel | 5 | 5 |
| Préfixes IPv6 | Réseau cloud virtuel | 5 | 5 |
| CIDR IPv4 | Sous-réseau | 1 | 1 |
| Préfixes IPv6 | Sous-réseau | 3* | 3* |
| Préfixe IPv6 alloué par Oracle | Sous-réseau | 1 | 1 |
| * La limite pour cette ressource peut être augmentée jusqu'à cinq. | |||
Utilisation des réseaux cloud virtuels et des sous-réseaux
L'une des premières actions que vous effectuez lorsque vous utilisez des ressources Oracle Cloud Infrastructure consiste à créer un réseau cloud virtuel avec des sous-réseaux. Vous pouvez facilement commencer dans la console avec à un simple réseau cloud virtuel et quelques ressources associées qui vous permettent de lancer une instance et de vous y connecter. Reportez-vous à Tutoriel - Lancement de votre première instance Linux ou à Tutoriel - Lancement de votre première instance Windows.
Dans le cadre du contrôle d'accès, lorsque vous créez un réseau cloud virtuel ou un sous-réseau, vous devez spécifier le compartiment dans lequel la ressource doit résider. En cas de doute sur le compartiment à utiliser, contactez un administrateur de votre organisation.
Vous pouvez éventuellement affecter des noms descriptifs au réseau cloud virtuel et à ses sous-réseaux. Ces noms ne doivent pas nécessairement être uniques et peuvent être modifiés ultérieurement. Oracle affecte automatiquement à chaque ressource un identificateur unique appelé OCID (Oracle Cloud ID). Pour plus d'informations, reportez-vous à Identificateurs de ressource.
Vous pouvez également ajouter un libellé DNS pour le réseau cloud virtuel et chaque sous-réseau. Ces libellés sont requis si vous souhaitez que les instances utilisent la fonctionnalité Résolveur Internet et de réseau cloud virtuel pour DNS dans le réseau cloud virtuel. Pour plus d'informations, reportez-vous à DNS dans votre réseau cloud virtuel.
Lorsque vous créez un sous-réseau, vous pouvez spécifier la table de routage qu'il doit utiliser. Si ce n'est pas le cas, le sous-réseau utilise la table de routage par défaut du réseau cloud. Vous pouvez modifier la table de routage utilisée par le sous-réseau à tout moment.
Vous pouvez également spécifier les listes de sécurité que le sous-réseau doit utiliser (cinq au maximum). Si vous n'en indiquez aucune, le sous-réseau utilise la liste de sécurité par défaut du réseau cloud. Vous pouvez modifier la liste de sécurité utilisée par le sous-réseau à tout moment. Gardez à l'esprit que les règles de sécurité sont appliquées au niveau de l'instance, même si la liste est associée au niveau du sous-réseau. Les groupes de sécurité réseau constituent une alternative aux listes de sécurité. Ils vous permettent d'appliquer un ensemble de règles de sécurité à un ensemble de ressources présentant toutes le même état de sécurité, plutôt qu'à toutes les ressources d'un sous-réseau particulier.
Vous pouvez éventuellement spécifier l'ensemble d'options DHCP que le sous-réseau doit utiliser. Toutes les instances du sous-réseau reçoivent la configuration spécifiée dans cet ensemble d'options DHCP. Si vous n'indiquez aucun ensemble, le sous-réseau utilise l'ensemble d'options DHCP par défaut du réseau cloud. Vous pouvez modifier l'ensemble d'options DHCP utilisé par le sous-réseau à tout moment.
Pour pouvoir être supprimé, un sous-réseau ne doit contenir aucune ressource (aucune instance, aucun équilibreur de charge, aucun système de base de données OCI et aucune cible de montage orpheline). Pour plus d'informations, reportez-vous à Suppression d'un sous-réseau ou d'un réseau cloud virtuel.
Pour pouvoir supprimer un réseau cloud virtuel, ses sous-réseaux ne doivent pas contenir de ressource. En outre, aucune passerelle ne doit être attachée au réseau cloud virtuel. Si vous utilisez la console, vous pouvez employer le processus Tout supprimer après avoir vérifié que les sous-réseaux sont vides. Reportez-vous à Suppression d'un réseau cloud virtuel.
Reportez-vous aux limites de service pour obtenir la liste des limites applicables et des instructions de demande d'augmentation de limite.
Stratégie IAM requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès sécurisé dans une stratégie. Cet accès est requis que vous utilisiez la console ou l'API REST avec un kit SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message vous indiquant que vous n'avez pas d'autorisation, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.
Pour les administrateurs : reportez-vous à Stratégies IAM pour Networking.
Security Zones
Le service Security Zones garantit que vos ressources cloud sont conformes aux principes de sécurité d'Oracle. Si une opération sur une ressource dans un compartiment de zone de sécurité enfreint une stratégie pour cette zone de sécurité, elle est refusée.
Les stratégies de zone de sécurité suivantes ont une incidence sur la gestion des réseaux cloud virtuels et des sous-réseaux :
- Les sous-réseaux d'une zone de sécurité ne peuvent pas être publics. Tous les sous-réseaux doivent être privés.
- Vous ne pouvez pas déplacer un sous-réseau à partir d'une zone de sécurité vers un compartiment standard.