Appairage local de réseaux cloud virtuels à l'aide de passerelles d'appairage local
Cette rubrique concerne l'appairage local de réseaux cloud virtuels. Dans ce cas, local signifie que les réseaux cloud virtuels résident dans la même région. Si les réseaux cloud virtuels se trouvent dans des régions différentes, reportez-vous à Appairage à distance de réseaux cloud virtuels à l'aide d'une passerelle de routage dynamique héritée.
Les passerelles d'appairage local sont toujours prises en charge. Ce scénario suppose que vous utilisez un DRG hérité. Nous vous recommandons d'acheminer le trafic d'un VCN à un autre via un DRG mis à niveau, comme décrit dans Appairage VCN local via un DRG mis à niveau.
Présentation de l'appairage local de réseaux cloud virtuels
L'appairage VCN local est le processus consistant à connecter deux réseaux Cloud virtuels d'une même région afin que leurs ressources puissent communiquer avec des adresses IP privées sans acheminer le trafic sur Internet ou via un réseau sur site. Les réseaux cloud virtuels peuvent appartenir à la même location d'Oracle Cloud Infrastructure ou à des emplacements différents. Sans appairage, un VCN aurait besoin d'une passerelle Internet et d'adresses IP publiques pour les instances qui doivent communiquer avec un autre VCN.
Pour obtenir des informations sur les limites, reportez-vous à Limites de passerelle et à Demande d'augmentation de limite de service.
Pour plus d'informations, reportez-vous à Accès à d'autres réseaux cloud virtuels : appairage.
Récapitulatif des composants de Networking pour l'appairage à l'aide d'une passerelle d'appréhension
Globalement, les composants du service Networking requis pour un appairage local incluent les éléments suivants :
- Deux réseaux cloud virtuels de la même région dont les CIDR ne se chevauchent pas
- Une passerelle d'appairage local sur chaque réseau cloud virtuel de la relation d'appairage
- Une connexion entre ces deux passerelles d'appairage local
- Règles de routage autorisant la circulation du trafic sur la connexion, et uniquement vers et depuis les sous-réseaux choisis dans le réseau cloud virtuel respectif (si besoin).
- Règles de sécurité qui contrôlent les types de trafic autorisés vers et depuis les instances des sous-réseaux qui doivent communiquer avec l'autre VCN.
Le diagramme suivant illustre les composants.
Un VCN peut utiliser les passerelles d'appairage local appairées pour atteindre les ressources suivantes :
- Cartes d'interface réseau virtuelles de l'autre réseau cloud virtuel
- Réseau sur site attaché à l'autre réseau cloud virtuel si un scénario de routage avancé appelé routage de transit a été configuré pour les réseaux cloud virtuels
Un réseau cloud virtuel ne peut pas utiliser le réseau cloud virtuel avec lequel il est appairé pour atteindre des destinations qui lui sont extérieures (Internet par exemple). Par exemple, si VCN-1 dans le diagramme précédent comportait une passerelle Internet, les instances de VCN-2 ne pourraient pas l'utiliser pour envoyer du trafic vers des adresses sur Internet. Cependant, VCN-2 pourrait recevoir du trafic d'Internet via VCN-1. Pour plus d'informations, reportez-vous à Conséquences importantes liées à l'appairage de réseaux cloud virtuels.
Accord explicite des deux parties requis
L'appairage implique deux réseaux cloud virtuels qui peuvent appartenir à la même partie ou à deux parties différentes. Les deux parties peuvent toutes les deux se trouver dans la même société mais dans des services différents. Elles peuvent également être dans des sociétés totalement différentes (c'est le cas dans un modèle de fournisseur de services par exemple).
L'appairage entre deux réseaux cloud virtuels nécessite un accord explicite des deux parties sous la forme de stratégies Oracle Cloud Infrastructure Identity and Access Management que chaque partie implémente pour son compartiment ou sa location VCN. Si les réseaux cloud virtuels se trouvent dans des locations différentes, chaque administrateur doit fournir l'OCID de location et mettre en place des instructions de stratégie spéciales pour permettre l'appairage.
Scénario avancé : routage de transit
Ce scénario, appelé routage de transit, permet la communication entre un réseau sur site et plusieurs réseaux Cloud virtuels via un unique Oracle Cloud Infrastructure FastConnect ou un VPN site à site. Les réseaux cloud virtuels doivent être dans la même région et appairés localement dans une disposition hub-and-spoke. Dans le cadre du scénario, le VCN agissant en tant que hub dispose d'une table de routage associée à chaque passerelle d'appairage local (généralement, les tables de routage sont associées aux sous-réseaux d'un VCN).
Lorsque vous créez une passerelle d'appairage local, vous pouvez lui associer une table de routage. Vous pouvez également associer une table de routage à une passerelle d'appairage local existante n'en comportant pas. La table de routage doit appartenir au réseau cloud virtuel de la passerelle d'appairage local. Une table de routage associée à une passerelle d'appairage local peut contenir uniquement des règles qui utilisent la passerelle de routage dynamique attachée au réseau cloud virtuel en tant que cible. Il peut également prendre en charge les routes IP privées de saut suivant vers une instance dans le VCN.
Il est possible qu'une passerelle d'appairage local ne soit associée à aucune table de routage. Cependant, une fois que vous avez associé une table de routage à une passerelle d'appairage local, celle-ci doit toujours être associée à une table de routage. Vous pouvez toutefois lui en associer une autre. Vous pouvez également modifier les règles de la table, ou supprimer tout ou partie des règles.
Concepts importants de l'appairage local
Les concepts suivants vous aident à comprendre les notions de base de l'appairage de réseaux cloud virtuels et la procédure d'établissement d'un appairage local.
- Appairage
- Un appairage désigne une relation d'appairage unique entre deux réseaux cloud virtuels. Exemple : si VCN-1 est appairée avec trois autres réseau cloud virtuels, trois appairages existent. Le terme local dans appairage local indique que les réseaux cloud virtuels se trouvent dans la même région. Un VCN spécifique peut avoir un maximum de 10 homologues locaux à la fois.
- Administrateurs de réseau cloud virtuel
- En général, l'appairage de réseaux cloud virtuels ne peut être effectué que si les deux administrateurs de réseau cloud virtuel sont d'accord. En pratique, cela signifie que les deux administrateurs doivent :
- Accepteur et demandeur
- Pour implémenter les stratégies IAM requises pour l'appairage, les deux administrateurs VCN doivent affecter un administrateur en tant que demandeur et l'autre en tant qu'accepteur. Le demandeur doit être chargé de soumettre la demande de connexion des deux passerelles d'appairage local. L'accepteur doit ensuite créer une stratégie IAM particulière qui autorise le demandeur à se connecter aux passerelles d'appairage locaux de son compartiment . Sans cette stratégie, la demande de connexion du demandeur échoue.
- Passerelle d'appairage local
- Une passerelle d'appairage local est un composant de réseau cloud virtuel qui sert à acheminer le trafic vers un réseau cloud virtuel appairé localement. Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit créer pour ceux-ci une passerelle d'appairage local. Un VCN spécifique doit avoir une passerelle d'appairage local distincte pour chaque appairage local qu'il établit (10 passerelles d'appairage local au maximum par VCN). Pour reprendre l'exemple précédent : VCN-1 contiendrait trois passerelles d'appairage local avec trois autres réseaux cloud virtuels. Dans l'API, l'objet LocalPeeringGateway contient des informations sur l'appairage. Vous ne pouvez pas réutiliser une passerelle d'appairage local pour établir un autre appairage ultérieurement.
- Connexion d'appairage
- Lorsque le demandeur soumet la demande d'appairage (dans la console ou l'API), il demande concret de connecter les deux passerelles d'appairage régional. Le demandeur doit disposer d'informations pour identifier chaque passerelle d'appairage local (comme le compartiment, le nom ou l'OCID). Chaque administrateur doit mettre en place les stratégies IAM requises pour leur compartiment ou leur location.
- Routage vers la passerelle d'appairage local
- Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit mettre à jour le routage de réseau cloud virtuel pour permettre au trafic de circuler entre ces réseaux. En pratique, cela équivaut au routage configuré pour n'importe quelle passerelle (comme une passerelle internet ou une passerelle de routage dynamique). Pour chaque sous-réseau qui doit communiquer avec l'autre réseau cloud virtuel, vous mettez à jour la table de routage associée. La règle de routage spécifie le CIDR de destination et la passerelle d'appairage local en tant que cible. Le GPL achemine le trafic correspondant à cette règle vers l'autre GPL, qui à son tour achemine le trafic vers le saut suivant dans l'autre VCN.
- Règles de sécurité
- Chaque sous-réseau d'un réseau cloud virtuel dispose de listes de sécurité qui contrôlent le trafic entrant et sortant des cartes d'interface réseau virtuelles du sous-réseau au niveau du paquet. Vous pouvez utiliser des listes de sécurité pour déterminer le type de trafic autorisé avec l'autre réseau cloud virtuel. Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit décider quels sous-réseaux de son propre VCN doivent communiquer avec les cartes d'interface réseau virtuelles de l'autre VCN et mettre à jour les listes de sécurité de son sous-réseau pour qu'elles correspondent.
Conséquences importantes liées à l'appairage de réseaux cloud virtuels
Si vous ne l'avez pas encore fait, lisez Conséquences importantes liées à l'appairage afin de comprendre les conséquences importantes en matière de contrôle d'accès, de sécurité et de performances pour les réseaux cloud virtuels appairés.
Configuration d'un appairage local
Voici le processus général de configuration d'un appairage entre deux réseaux cloud virtuels de la même région :
- Créer les passerelles d'appairage local : chaque administrateur de réseau cloud virtuel crée une passerelle d'appairage local pour son propre réseau cloud virtuel.
- Partager les informations : les administrateurs partagent les informations de base requises.
- Configurer les stratégies IAM requises : les administrateurs configurent les stratégies IAM pour permettre l'établissement de la connexion.
- Etablir la connexion : le demandeur connecte les deux passerelles d'appairage local.
- Mettre à jour les tables de routage : chaque administrateur met à jour les tables de routage de son VCN pour activer le trafic entre les réseaux cloud virtuels appairés comme souhaité.
- Mettre à jour les règles de sécurité : chaque administrateur met à jour les règles de sécurité de son VCN pour activer le trafic entre les réseaux cloud virtuels appairés comme souhaité.
Les administrateurs peuvent effectuer la tâche E et F avant d'établir la connexion. Dans ce cas, chaque administrateur doit connaître le bloc CIDR ou les sous-réseaux spécifiques du réseau cloud virtuel de l'autre administrateur, et partager ces informations dans la tâche B. Une fois la connexion établie, obtenez le bloc CIDR de l'autre VCN en affichant les détails de la passerelle d'appairage local dans la console. Recherchez le CIDR exposé homologue. Vous pouvez également, si vous utilisez l'API, vous reporter au paramètre peerAdvertisedCidr
.
Vous devez également configurer certains paramètres IAM, tels que des groupes, avant de passer par le processus étape par étape.
Reportez-vous aux instructions dans Création d'une passerelle d'appairage local. Les autres tâches impliquant des passerelles d'appairage local sont expliquées dans Local Peering Gateway Management.
Si les deux réseaux cloud virtuels se trouvent dans la même location, utilisez la stratégie dans Appairage local à l'aide d'une passerelle d'appairage local (réseaux cloud virtuels dans la même location).
Si les réseaux cloud virtuels se trouvent dans des locations différentes, utilisez la stratégie dans Appairage local à l'aide d'une passerelle d'appairage local (réseaux cloud virtuels dans des locations différentes).
Reportez-vous aux instructions de la section Connecting to Another LPG. Les autres tâches impliquant des passerelles d'appairage local sont expliquées dans Local Peering Gateway Management.
Configurez les tables de routage pour qu'elles utilisent les informations relatives aux autres VCN de la tâche B : partager les informations, en suivant les instructions de la section Configuring VCN Route Tables to Use an LPG.
Configurez les règles de sécurité pour utiliser les informations relatives à l'autre VCN de la tâche B : partager les informations, en suivant les instructions de la section Configuring Security Rules to Use an LPG.