Appairage local de réseaux cloud virtuels à l'aide de passerelles d'appairage local

L'appairage VCN local est le processus consistant à connecter deux réseaux Cloud virtuels d'une même région afin que leurs ressources puissent communiquer avec des adresses IP privées sans acheminer le trafic sur Internet ou via un réseau sur site. Les réseaux cloud virtuels peuvent appartenir à la même location d'Oracle Cloud Infrastructure ou à des emplacements différents. Sans appairage, un VCN aurait besoin d'une passerelle Internet et d'adresses IP publiques pour les instances qui doivent communiquer avec un autre VCN.

Pour obtenir des informations sur les limites, reportez-vous à Limites de passerelle et à Demande d'augmentation de limite de service.

Pour plus d'informations, reportez-vous à Accès à d'autres réseaux cloud virtuels : appairage.

Récapitulatif des composants de Networking pour l'appairage à l'aide d'une passerelle d'appréhension

Globalement, les composants du service Networking requis pour un appairage local incluent les éléments suivants :

• Deux réseaux cloud virtuels de la même région dont les CIDR ne se chevauchent pas
• Une passerelle d'appairage local sur chaque réseau cloud virtuel de la relation d'appairage
• Une connexion entre ces deux passerelles d'appairage local
• Règles de routage autorisant la circulation du trafic sur la connexion, et uniquement vers et depuis les sous-réseaux choisis dans le réseau cloud virtuel respectif (si besoin).
• Règles de sécurité qui contrôlent les types de trafic autorisés vers et depuis les instances des sous-réseaux qui doivent communiquer avec l'autre VCN.

Le diagramme suivant illustre les composants.

Remarque

Un VCN peut utiliser les passerelles d'appairage local appairées pour atteindre les ressources suivantes :

• Cartes d'interface réseau virtuelles de l'autre réseau cloud virtuel
• Réseau sur site attaché à l'autre réseau cloud virtuel si un scénario de routage avancé appelé routage de transit a été configuré pour les réseaux cloud virtuels

Un réseau cloud virtuel ne peut pas utiliser le réseau cloud virtuel avec lequel il est appairé pour atteindre des destinations qui lui sont extérieures (Internet par exemple). Par exemple, si VCN-1 dans le diagramme précédent comportait une passerelle Internet, les instances de VCN-2 ne pourraient pas l'utiliser pour envoyer du trafic vers des adresses sur Internet. Cependant, VCN-2 pourrait recevoir du trafic d'Internet via VCN-1. Pour plus d'informations, reportez-vous à Conséquences importantes liées à l'appairage de réseaux cloud virtuels.

Les concepts suivants vous aident à comprendre les notions de base de l'appairage de réseaux cloud virtuels et la procédure d'établissement d'un appairage local.

Appairage

Un appairage désigne une relation d'appairage unique entre deux réseaux cloud virtuels. Exemple : si VCN-1 est appairée avec trois autres réseau cloud virtuels, trois appairages existent. Le terme local dans appairage local indique que les réseaux cloud virtuels se trouvent dans la même région. Un VCN spécifique peut avoir un maximum de 10 homologues locaux à la fois.

Attention

Les deux réseaux cloud virtuels de la relation d'appairage ne doivent pas présenter de chevauchement de CIDR. Cependant, si VCN-1 est appairé avec trois autres réseaux cloud virtuels, ces derniers peuvent présenter un chevauchement de CIDR entre eux. Vous configureriez les sous-réseaux de VCN-1 de sorte que les règles de routage dirigent le trafic vers le réseau cloud virtuel appairé ciblé.

Administrateurs de réseau cloud virtuel

En général, l'appairage de réseaux cloud virtuels ne peut être effectué que si les deux administrateurs de réseau cloud virtuel sont d'accord. En pratique, cela signifie que les deux administrateurs doivent :

• partager quelques informations de base,
• Se coordonner pour configurer les stratégies Oracle Cloud Infrastructure Identity and Access Management requises afin d'activer l'appairage.
• configurer leur réseau cloud virtuel pour l'appairage.

Selon le cas, un seul administrateur peut être responsable des deux réseaux cloud virtuels et des stratégies associées.

Pour plus d'informations sur les stratégies requises et la configuration des réseaux cloud virtuels, reportez-vous à Configuration d'un appairage local.

Accepteur et demandeur

Pour implémenter les stratégies IAM requises pour l'appairage, les deux administrateurs VCN doivent affecter un administrateur en tant que demandeur et l'autre en tant qu'accepteur. Le demandeur doit être chargé de soumettre la demande de connexion des deux passerelles d'appairage local. L'accepteur doit ensuite créer une stratégie IAM particulière qui autorise le demandeur à se connecter aux passerelles d'appairage locaux de son compartiment . Sans cette stratégie, la demande de connexion du demandeur échoue.

Passerelle d'appairage local

Une passerelle d'appairage local est un composant de réseau cloud virtuel qui sert à acheminer le trafic vers un réseau cloud virtuel appairé localement. Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit créer pour ceux-ci une passerelle d'appairage local. Un VCN spécifique doit avoir une passerelle d'appairage local distincte pour chaque appairage local qu'il établit (10 passerelles d'appairage local au maximum par VCN). Pour reprendre l'exemple précédent : VCN-1 contiendrait trois passerelles d'appairage local avec trois autres réseaux cloud virtuels. Dans l'API, l'objet LocalPeeringGateway contient des informations sur l'appairage. Vous ne pouvez pas réutiliser une passerelle d'appairage local pour établir un autre appairage ultérieurement.

Connexion d'appairage

Lorsque le demandeur soumet la demande d'appairage (dans la console ou l'API), il demande concret de connecter les deux passerelles d'appairage régional. Le demandeur doit disposer d'informations pour identifier chaque passerelle d'appairage local (comme le compartiment, le nom ou l'OCID). Chaque administrateur doit mettre en place les stratégies IAM requises pour leur compartiment ou leur location.

Chaque administrateur VCN peut mettre fin à un appairage en supprimant sa passerelle d'appairage local. Dans ce cas, le statut de l'autre passerelle d'appairage local devient REVOKED. Sinon, l'administrateur peut mettre la connexion hors service en en enlevant les règles de routage ou les règles de sécurité qui permettent au trafic de circuler sur la connexion (voir les sections suivantes).

Routage vers la passerelle d'appairage local

Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit mettre à jour le routage de réseau cloud virtuel pour permettre au trafic de circuler entre ces réseaux. En pratique, cela équivaut au routage configuré pour n'importe quelle passerelle (comme une passerelle internet ou une passerelle de routage dynamique). Pour chaque sous-réseau qui doit communiquer avec l'autre réseau cloud virtuel, vous mettez à jour la table de routage associée. La règle de routage spécifie le CIDR de destination et la passerelle d'appairage local en tant que cible. Le GPL achemine le trafic correspondant à cette règle vers l'autre GPL, qui à son tour achemine le trafic vers le saut suivant dans l'autre VCN.

Dans le diagramme suivant, VCN-1 et VCN-2 sont appairés. Le trafic d'une instance du sous-réseau A (10.0.0.15), destiné à une instance de VCN-2 (192.168.0.15), est routé vers la passerelle d'appairage local LPG-1 en fonction de la règle figurant dans la table de routage du sous-réseau A (reportez-vous à Numéro 1 : table de routage de sous-réseau A). Le trafic est ensuite acheminé vers LPG-2, puis, de là, vers sa destination dans le sous-réseau X.

Numéro 1 : table de routage de sous-réseau A

CIDR de destination	Cible du routage
0.0.0.0/0	Passerelle Internet
172.16.0.0/12	Passerelle de routage dynamique
192.168.0.0/16	Passerelle d'appairage local LPG-1

Numéro 2 : table de routage de sous-réseau X

CIDR de destination	Cible du routage
10.0.0.0/16	Passerelle d'appairage local LPG-2

Remarque

Comme mentionné précédemment, un VCN spécifique peut utiliser les passerelles d'appairage local appairées pour atteindre les VNIC dans l'autre VCN, ou le réseau sur site si le routage de transit est configuré pour les réseaux cloud virtuels. Toutefois, un réseau cloud virtuel ne peut pas utiliser le réseau cloud virtuel avec lequel il est appairé pour atteindre des destinations qui lui sont extérieures (Internet par exemple). Par exemple, dans le diagramme précédent, VCN-2 ne peut pas utiliser la passerelle Internet attachée à VCN-1.

Règles de sécurité

Chaque sous-réseau d'un réseau cloud virtuel dispose de listes de sécurité qui contrôlent le trafic entrant et sortant des cartes d'interface réseau virtuelles du sous-réseau au niveau du paquet. Vous pouvez utiliser des listes de sécurité pour déterminer le type de trafic autorisé avec l'autre réseau cloud virtuel. Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit décider quels sous-réseaux de son propre VCN doivent communiquer avec les cartes d'interface réseau virtuelles de l'autre VCN et mettre à jour les listes de sécurité de son sous-réseau pour qu'elles correspondent.

Si vous utilisez des groupes de sécurité réseau pour implémenter des règles de sécurité, vous avez la possibilité d'écrire pour un groupe des règles de sécurité spécifiant un autre groupe comme source ou destination du trafic. Cependant, les deux groupes de sécurité réseau doivent appartenir au même réseau cloud virtuel.

Si vous ne l'avez pas encore fait, lisez Conséquences importantes liées à l'appairage afin de comprendre les conséquences importantes en matière de contrôle d'accès, de sécurité et de performances pour les réseaux cloud virtuels appairés.

Voici le processus général de configuration d'un appairage entre deux réseaux cloud virtuels de la même région :

1. Créer les passerelles d'appairage local : chaque administrateur de réseau cloud virtuel crée une passerelle d'appairage local pour son propre réseau cloud virtuel.
2. Partager les informations : les administrateurs partagent les informations de base requises.
3. Configurer les stratégies IAM requises : les administrateurs configurent les stratégies IAM pour permettre l'établissement de la connexion.
4. Etablir la connexion : le demandeur connecte les deux passerelles d'appairage local.
5. Mettre à jour les tables de routage : chaque administrateur met à jour les tables de routage de son VCN pour activer le trafic entre les réseaux cloud virtuels appairés comme souhaité.
6. Mettre à jour les règles de sécurité : chaque administrateur met à jour les règles de sécurité de son VCN pour activer le trafic entre les réseaux cloud virtuels appairés comme souhaité.

Les administrateurs peuvent effectuer la tâche E et F avant d'établir la connexion. Dans ce cas, chaque administrateur doit connaître le bloc CIDR ou les sous-réseaux spécifiques du réseau cloud virtuel de l'autre administrateur, et partager ces informations dans la tâche B. Une fois la connexion établie, obtenez le bloc CIDR de l'autre VCN en affichant les détails de la passerelle d'appairage local dans la console. Recherchez le CIDR exposé homologue. Vous pouvez également, si vous utilisez l'API, vous reporter au paramètre peerAdvertisedCidr.

Vous devez également configurer certains paramètres IAM, tels que des groupes, avant de passer par le processus étape par étape.