Documentation Oracle Cloud Infrastructure

Appairage local de réseaux cloud virtuels à l'aide de passerelles d'appairage local

Cette rubrique concerne l'appairage local de réseaux cloud virtuels. Dans ce cas, local signifie que les réseaux cloud virtuels résident dans la même région. Si les réseaux cloud virtuels se trouvent dans des régions différentes, reportez-vous à Appairage à distance de réseaux cloud virtuels à l'aide d'une passerelle de routage dynamique héritée.

Les passerelles d'appairage local sont toujours prises en charge. Ce scénario suppose que vous utilisez une passerelle de routage dynamique héritée. Oracle recommande actuellement d'acheminer le trafic d'un VCN vers un autre via un DRG mis à niveau, comme décrit dans Appairage VCN local via un DRG mis à niveau.

Présentation de l'appairage local de réseaux cloud virtuels

L'appairage local de réseaux cloud virtuels est le processus consistant à connecter deux réseaux cloud virtuels d'une même région afin que leurs ressources puissent communiquer à l'aide d'adresses IP privées sans que le trafic ne soit acheminé sur Internet ou via votre réseau sur site. Les réseaux cloud virtuels peuvent appartenir à la même location Oracle Cloud Infrastructure ou à des locations différentes. Sans appairage, un réseau cloud virtuel donné nécessiterait une passerelle Internet et des adresses IP publiques pour les instances devant communiquer avec un autre réseau cloud virtuel.

Pour obtenir des informations sur les limites, reportez-vous à Limites de passerelle et à Demande d'augmentation de limite de service.

Pour plus d'informations, reportez-vous à Accès à d'autres réseaux cloud virtuels : appairage.

Récapitulatif des composants de Networking pour l'appairage à l'aide d'une passerelle d'appairage local

Globalement, les composants du service Networking requis pour un appairage local incluent les éléments suivants :

  • Deux réseaux cloud virtuels avec des CIDR qui ne se chevauchent pas, dans la même région.
  • Une passerelle d'appairage local sur chaque réseau cloud virtuel de la relation d'appairage.
  • Une connexion entre ces deux passerelles d'appairage local.
  • Des règles de routage de prise en charge autorisant la circulation du trafic sur la connexion, et uniquement vers et depuis des sous-réseaux sélectionnés dans les réseaux cloud virtuels respectifs (si nécessaire).
  • Des règles de sécurité de prise en charge contrôlant les types de trafic autorisés vers et depuis les instances des sous-réseaux devant communiquer avec l'autre réseau cloud virtuel.

Le diagramme suivant illustre les composants.

Cette image présente la disposition de base de deux réseaux cloud virtuels appairés localement, comportant chacun une passerelle d'appairage local.
Remarque

Un réseau cloud virtuel donné peut utiliser les passerelles d'appairage local appairées pour atteindre les ressources suivantes :

  • Cartes d'interface réseau virtuelles de l'autre réseau cloud virtuel
  • Réseau sur site attaché à l'autre réseau cloud virtuel si un scénario de routage avancé appelé routage de transit a été configuré pour les réseaux cloud virtuels

Un réseau cloud virtuel ne peut pas utiliser le réseau cloud virtuel avec lequel il est appairé pour atteindre des destinations qui lui sont extérieures (Internet par exemple). Par exemple, si le réseau cloud virtuel VCN-1 dans le diagramme précédent comportait une passerelle Internet, les instances de VCN-2 ne pourraient pas l'utiliser pour envoyer du trafic vers des adresses sur Internet. Cependant, VCN-2 pourrait recevoir du trafic d'Internet via VCN-1. Pour plus d'informations, reportez-vous à Conséquences importantes liées à l'appairage de réseaux cloud virtuels.

Accord explicite des deux parties requis

L'appairage implique deux réseaux cloud virtuels qui peuvent appartenir à la même partie ou à deux parties différentes. Les deux parties peuvent toutes deux se trouver dans votre société mais dans des services différents. Elles peuvent également être dans des sociétés totalement différentes (c'est le cas dans un modèle de fournisseur de services par exemple).

L'appairage entre deux réseaux cloud virtuels requiert un accord explicite des deux parties sous forme de stratégies Oracle Cloud Infrastructure Identity and Access Management que chaque partie implémente pour le compartiment  ou la location de son propre réseau cloud virtuel. Si les réseaux cloud virtuels se trouvent dans des locations différentes, chaque administrateur doit fournir l'OCID de location et mettre en place des instructions de stratégie spéciales pour permettre l'appairage.

Scénario avancé : routage de transit

Il existe un scénario de routage avancé appelé routage de transit qui permet la communication entre un réseau sur site et plusieurs réseaux cloud virtuels via un seul VPN site à site ou connexion Oracle Cloud Infrastructure FastConnect. Les réseaux cloud virtuels doivent être dans la même région et appairés localement dans une disposition hub-and-spoke. Dans le cadre du scénario, le réseau cloud virtuel qui agit en tant que hub dispose d'une table de routage associée à chaque passerelle d'appairage local (généralement, les tables de routage sont associées aux sous-réseaux d'un réseau cloud virtuel).

Lorsque vous créez une passerelle d'appairage local, vous pouvez lui associer une table de routage. Vous pouvez également associer une table de routage à une passerelle d'appairage local existante n'en comportant pas. La table de routage doit appartenir au réseau cloud virtuel de la passerelle d'appairage local. Une table de routage associée à une passerelle d'appairage local peut contenir uniquement des règles qui utilisent la passerelle de routage dynamique attachée au réseau cloud virtuel en tant que cible.

Il est possible qu'une passerelle d'appairage local ne soit associée à aucune table de routage. Cependant, une fois que vous avez associé une table de routage à une passerelle d'appairage local, celle-ci doit toujours être associée à une table de routage. Vous pouvez toutefois lui en associer une autre. Vous pouvez également modifier les règles de la table, ou supprimer tout ou partie des règles.

Concepts importants de l'appairage local

Les concepts suivants vous aident à comprendre les notions de base de l'appairage de réseaux cloud virtuels et la procédure d'établissement d'un appairage local.

Appairage
Un appairage désigne une relation d'appairage unique entre deux réseaux cloud virtuels. Exemple : si VCN-1 est appairé avec trois autres réseaux cloud virtuels, il existe trois appairages. Le terme local dans appairage local indique que les réseaux cloud virtuels se trouvent dans la même région. Un réseau cloud virtuel donné peut avoir jusqu'à 10 appairages locaux à la fois.
Attention

Les deux réseaux cloud virtuels de la relation d'appairage ne doivent pas présenter de chevauchement de CIDR. Cependant, si VCN-1 est appairé avec trois autres réseaux cloud virtuels, ces derniers peuvent présenter un chevauchement de CIDR entre eux. Vous configureriez les sous-réseaux de VCN-1 de sorte que les règles de routage dirigent le trafic vers le réseau cloud virtuel appairé ciblé.
Administrateurs de réseau cloud virtuel
En général, l'appairage de réseaux cloud virtuels ne peut être effectué que si les deux administrateurs de réseau cloud virtuel sont d'accord. En pratique, cela signifie que les deux administrateurs doivent :
  • partager quelques informations de base,
  • se coordonner afin de configurer les stratégies Oracle Cloud Infrastructure Identity and Access Management requises pour permettre l'appairage,
  • configurer leur réseau cloud virtuel pour l'appairage.
Selon le cas, un seul administrateur peut être responsable des deux réseaux cloud virtuels et des stratégies associées.
Pour plus d'informations sur les stratégies requises et la configuration des réseaux cloud virtuels, reportez-vous à Configuration d'un appairage local.
Accepteur et demandeur
Afin d'implémenter les stratégies IAM requises pour l'appairage, les deux administrateurs de réseau cloud virtuel doivent désigner l'un d'eux comme demandeur et l'autre comme accepteur. Le demandeur est chargé de lancer la demande de connexion des deux passerelles d'appairage local. L'accepteur doit ensuite créer une stratégie IAM particulière qui autorise le demandeur à se connecter aux passerelles d'appairage local de son compartiment . Sans cette stratégie, la demande de connexion du demandeur échoue.
Passerelle d'appairage local
Une passerelle d'appairage local est un composant de réseau cloud virtuel qui sert à acheminer le trafic vers un réseau cloud virtuel appairé localement. Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit créer pour ceux-ci une passerelle d'appairage local. Un réseau cloud virtuel donné doit disposer d'une passerelle d'appairage local distincte pour chaque appairage local établi (10 passerelles au maximum par réseau cloud virtuel). Pour reprendre l'exemple précédent : VCN-1 contiendrait trois passerelles d'appairage local avec trois autres réseaux cloud virtuels. Dans l'API, l'objet LocalPeeringGateway contient des informations sur l'appairage. Vous ne pouvez pas réutiliser une passerelle d'appairage local pour établir un autre appairage ultérieurement.
Connexion d'appairage
Lorsque le demandeur lance la demande d'appairage (dans la console ou l'API), il demande concrètement de connecter les deux passerelles d'appairage local. Le demandeur doit disposer d'informations pour identifier chaque passerelle d'appairage local (comme le compartiment, le nom ou l'OCID). Chaque administrateur doit mettre en place les stratégies IAM requises pour son compartiment ou sa location.
L'administrateur de réseau cloud virtuel peut mettre fin à un appairage en supprimant la passerelle d'appairage local. Dans ce cas, le statut de l'autre passerelle d'appairage local devient REVOKED. Sinon, il peut mettre la connexion hors service en enlevant les règles de routage ou de sécurité qui permettent au trafic de circuler sur la connexion (reportez-vous aux sections suivantes).
Routage vers la passerelle d'appairage local
Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit mettre à jour le routage de réseau cloud virtuel pour permettre au trafic de circuler entre ces réseaux. En pratique, cela ressemble au routage configuré pour n'importe quelle passerelle (comme une passerelle Internet ou de routage dynamique). Pour chaque sous-réseau qui doit communiquer avec l'autre réseau cloud virtuel, vous mettez à jour la table de routage associée. La règle de routage spécifie le CIDR du trafic de destination et votre passerelle d'appairage local en tant que cible. La passerelle d'appairage local achemine le trafic correspondant à cette règle vers l'autre passerelle d'appairage local, qui l'achemine ensuite vers le saut suivant de l'autre réseau cloud virtuel.
Dans le diagramme suivant, VCN-1 et VCN-2 sont appairés. Le trafic d'une instance du sous-réseau A (10.0.0.15), destiné à une instance de VCN-2 (192.168.0.15), est acheminé vers la passerelle d'appairage local LPG-1 en fonction de la règle figurant dans la table de routage du sous-réseau A (reportez-vous à Numéro 1 : table de routage de sous-réseau A). Le trafic est ensuite acheminé vers LPG-2, puis, de là, vers sa destination dans le sous-réseau X.
Cette image montre le trajet du trafic acheminé d'une passerelle d'appairage local vers l'autre.
Numéro 1 : table de routage de sous-réseau A
CIDR de destination Cible du routage
0.0.0.0/0 Passerelle Internet
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 Passerelle d'appairage local LPG-1
Numéro 2 : table de routage de sous-réseau X
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-2
Remarque

Comme mentionné précédemment, un réseau cloud virtuel donné peut utiliser les passerelles d'appairage local appairées pour atteindre les cartes d'interface réseau virtuelles de l'autre réseau cloud virtuel, ou le réseau sur site si un routage de transit est configuré pour les réseaux cloud virtuels. Toutefois, un réseau cloud virtuel ne peut pas utiliser le réseau cloud virtuel avec lequel il est appairé pour atteindre des destinations qui lui sont extérieures (Internet par exemple). Par exemple, dans le diagramme précédent, VCN-2 ne peut pas utiliser la passerelle Internet attachée à VCN-1.

Règles de sécurité
Chaque sous-réseau d'un réseau cloud virtuel dispose de listes de sécurité qui contrôlent le trafic entrant et sortant des cartes d'interface réseau virtuelles du sous-réseau au niveau du paquet. Vous pouvez utiliser des listes de sécurité pour déterminer le type de trafic autorisé avec l'autre réseau cloud virtuel. Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit déterminer quels sous-réseaux de leur réseau cloud virtuel doivent communiquer avec les cartes d'interface réseau virtuelles de l'autre réseau cloud virtuel, et mettre à jour les listes de sécurité de leurs sous-réseaux en conséquence.
Si vous utilisez des groupes de sécurité réseau pour implémenter des règles de sécurité, vous avez la possibilité d'écrire pour un groupe des règles de sécurité spécifiant un autre groupe comme source ou destination du trafic. Cependant, les deux groupes de sécurité réseau doivent appartenir au même réseau cloud virtuel.

Conséquences importantes liées à l'appairage de réseaux cloud virtuels

Si vous ne l'avez pas encore fait, lisez Conséquences importantes liées à l'appairage afin de comprendre les conséquences importantes en matière de contrôle d'accès, de sécurité et de performances pour les réseaux cloud virtuels appairés.

Configuration d'un appairage local

Voici le processus général de configuration d'un appairage entre deux réseaux cloud virtuels de la même région :

  1. Créer les passerelles d'appairage local : chaque administrateur de réseau cloud virtuel crée une passerelle d'appairage local pour son propre réseau cloud virtuel.
  2. Partager les informations : les administrateurs partagent les informations de base requises.
  3. Configurer les stratégies IAM requises pour la connexion : les administrateurs configurent les stratégies IAM pour permettre l'établissement de la connexion.
  4. Etablir la connexion : le demandeur connecte les deux passerelles d'appairage local.
  5. Mettre à jour les tables de routage : chaque administrateur met à jour les tables de routage de son réseau cloud virtuel pour permettre le trafic entre les réseaux cloud virtuels appairés selon les besoins.
  6. Mettre à jour les règles de sécurité : chaque administrateur met à jour les règles de sécurité de son réseau cloud virtuel pour permettre le trafic entre les réseaux cloud virtuels appairés selon les besoins.

Si nécessaire, les administrateurs peuvent effectuer les tâches E et F avant d'établir la connexion. Dans ce cas, chaque administrateur doit connaître le bloc CIDR ou les sous-réseaux spécifiques du réseau cloud virtuel de l'autre administrateur, et partager ces informations dans la tâche B. Une fois la connexion établie, vous pouvez également obtenir le bloc CIDR de l'autre réseau cloud virtuel en affichant les détails de votre propre passerelle d'appairage local dans la console. Recherchez le CIDR exposé homologue. Vous pouvez également, si vous utilisez l'API, vous reporter au paramètre peerAdvertisedCidr.

Vous devez également préconfigurer certains paramètres IAM, tels que les groupes, avant de passer par le processus étape par étape.

Tâche B : partager des informations

Si vous êtes le demandeur, donnez les informations suivantes à l'accepteur (par courriel ou via une autre méthode hors bande par exemple) :

  • Si les réseaux cloud virtuels figurent dans la même location : nom du groupe IAM qui doit être autorisé à créer une connexion dans le compartiment de l'accepteur. Dans l'exemple de la tâche suivante, le groupe est RequestorGrp.
  • Si les réseaux cloud virtuels figurent dans des locations différentes : OCID de votre location et OCID du groupe IAM qui doit être autorisé à créer une connexion dans le compartiment de l'accepteur. Dans l'exemple de la tâche suivante, il s'agit de l'OCID de RequestorGrp.
  • Facultatif : CIDR de votre réseau cloud virtuel ou sous-réseaux spécifiques pour l'appairage avec l'autre réseau cloud virtuel.

Si vous êtes l'accepteur, donnez les informations suivantes au demandeur :

  • Si les réseaux cloud virtuels figurent dans la même location : OCID de votre passerelle d'appairage local. Eventuellement, les noms de votre réseau cloud virtuel et de votre passerelle d'appairage local, et le compartiment dans lequel chacun se trouve.
  • Si les réseaux cloud virtuels figurent dans des locations différentes : OCID de votre passerelle d'appairage local et OCID de votre location.
  • Facultatif : CIDR de votre réseau cloud virtuel ou sous-réseaux spécifiques pour l'appairage avec l'autre réseau cloud virtuel.
Tâche C : configurer les stratégies IAM

Si les deux réseaux cloud virtuels se trouvent dans la même location, utilisez la stratégie dans Appairage local à l'aide d'une passerelle d'appairage local (réseaux cloud virtuels dans la même location).

Si les réseaux cloud virtuels se trouvent dans des locations différentes, utilisez la stratégie dans Appairage local à l'aide d'une passerelle d'appairage local (réseaux cloud virtuels dans des locations différentes).

Tâche D : établir la connexion

Reportez-vous aux instructions de la section Connecting to Another LPG.

Tâche E : configurer les tables de routage

Configurez les tables de routage de sorte qu'elles utilisent les informations de l'autre VCN qui vous ont été fournies dans Tâche B : partager les informations, en suivant les instructions de la section Configuring VCN Route Tables to Use an LPG.

Tâche F : configurer les règles de sécurité

Configurez les règles de sécurité afin d'utiliser les informations pour l'autre VCN qui vous ont été fournies dans Tâche B : Partager les informations, en suivant les instructions de la section Configuration des règles de sécurité pour utiliser une passerelle d'appairage local.