Documentation Oracle Cloud Infrastructure

Cartes d'interface réseau virtuelles (VNIC)

Cette rubrique explique comment gérer les cartes d'interface réseau virtuelles (VNIC) dans un réseau cloud virtuel (VCN).

Présentation des cartes d'interface réseau virtuelles et des cartes d'interface réseau physiques

Les serveurs des centres de données Oracle Cloud Infrastructure disposent de cartes d'interface réseau (NIC) physiques. Lorsque vous créez une instance sur l'un de ces serveurs, elle communique à l'aide des cartes réseau virtuelles (VNIC) associées aux cartes réseau physiques du service Networking. Les sections suivantes traitent des cartes d'interface réseau virtuelles et des cartes d'interface réseau physiques, et de la façon dont elles sont liées.

A propos des cartes d'interface réseau virtuelles

Une VNIC permet à une instance de se connecter à un VCN et décide de la façon dont l'instance se connecte aux adresses à l'intérieur et à l'extérieur du VCN. Chaque carte d'interface réseau virtuelle réside dans un sous-réseau de réseau cloud virtuel et contient les éléments suivants :

  • Une adresse IPv4 privée principale provenant du sous-réseau de la carte d'interface réseau virtuelle, choisie par vous-même ou par Oracle. L'adresse IP principale peut être une adresse IPv6 si un préfixe IPv6 est affecté au sous-réseau.
  • Jusqu'à 64 adresses IPv4 privées secondaires facultatives provenant du sous-réseau de la carte d'interface réseau virtuelle, choisies par vous-même ou par Oracle.
  • Jusqu'à 32 adresses IPv6 secondaires facultatives. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6 et Limites de service.
  • Une adresse IPv4 publique facultative pour chaque adresse IP privée, choisie par Oracle mais affectée par vous-même.
  • Nom d'hôte facultatif pour DNS pour chaque adresse IP privée (reportez-vous à la rubrique relative au DNS dans un réseau cloud virtuel).
  • Une adresse MAC.
  • Une balise VLAN affectée par Oracle et disponible lorsque l'attachement de la carte d'interface réseau virtuelle à l'instance est terminée (valable uniquement pour les instances Bare Metal).
  • Un indicateur permettant d'activer ou de désactiver la vérification de source/destination sur le trafic réseau de la carte d'interface réseau virtuelle (reportez-vous à Présentation des cartes d'interface réseau virtuelles et des cartes d'interface réseau physiques).
  • L'appartenance facultative à des groupes de sécurité réseau que vous sélectionnez. Les groupes de sécurité réseau disposent de règles de sécurité s'appliquant uniquement à leurs cartes d'interface réseau virtuelles.
  • Association facultative de la carte d'interface réseau virtuelle à une table de routage personnalisée. Cette option est appelée Routage par ressource et vous permet de définir des décisions de routage pour la carte d'interface réseau virtuelle qui remplace les tables de routage du sous-réseau.

Chaque carte d'interface réseau virtuelle possède également un nom convivial que vous pouvez affecter et un OCID affecté par Oracle (reportez-vous à Identificateurs de ressource).

Chaque instance dispose d'une carte d'interface réseau virtuelle principale créée et attachée automatiquement lors de la création de l'instance. Cette carte réside dans le sous-réseau que vous indiquez. La VNIC principale ne peut pas être enlevée de l'instance. Une carte d'interface réseau virtuelle secondaire peut être enlevée ou détachée d'une instance, mais elle l'est immédiatement. Elle ne peut exister lorsqu'elle n'est plus attachée à une instance.

Lien entre les VNIC et les NIC physiques

Cette section s'applique aux instances Bare Metal.

Le système d'exploitation d'une instance Bare Metal reconnaît deux périphériques réseau physiques et les configure comme deux cartes d'interface réseau physiques, 0 et 1. Leur activation dépend du matériel sous-jacent . Vous pouvez déterminer les cartes d'interface réseau actives pour une forme en consultant les spécifications de bande passante réseau des formes Bare Metal. Si la bande passante réseau est indiquée sous la forme "2 x <bande passante> Gbits/s", cela signifie que les cartes d'interface réseau 0 et 1 sont actives et que chaque carte d'interface réseau physique dispose de la quantité de bande passante indiquée. Si la bande passante réseau est indiquée sous la forme "1 x <bande passante> Gbits/s", cela signifie que seule la carte d'interface réseau 0 est active. Généralement, sur les formes Standard et DenseIO de génération actuelle, les cartes d'interface réseau 0 et 1 sont actives.

La carte d'interface réseau 0 est automatiquement configurée avec la configuration d'adresse IP de la carte d'interface réseau virtuelle principale (adresses IP, nom d'hôte DNS, etc.).

Si vous ajoutez une carte d'interface réseau physique secondaire à l'instance, vous devez spécifier la carte d'interface de réseau physique qu'elle doit utiliser, Vous devez également configurer le système d'exploitation de manière à ce que la carte d'interface réseau physique dispose de la configuration d'adresse IP de la carte d'interface réseau virtuelle secondaire. Pour les instances Linux, reportez-vous à Linux : configuration du système d'exploitation pour des cartes d'interface réseau virtuelles secondaires. Pour les instances Windows, reportez-vous à Windows : configuration du système d'exploitation pour des cartes d'interface réseau virtuelles secondaires.

A propos des VNIC secondaires

Vous pouvez ajouter des VNIC secondaires à une instance après sa création. Chaque VNIC secondaire peut se trouver dans un sous-réseau du même VCN que la VNIC principale, ou dans un sous-réseau différent, soit dans le même VCN, soit dans un autre. Toutefois, elles doivent toutes se trouver dans le même domaine de disponibilité que l'instance.

Voici quelques motifs d'utilisation des cartes d'interface réseau virtuelles secondaires :

  • Utiliser un hyperviseur sur une instance Bare Metal : les machines virtuelles sur l'instance Bare Metal ont chacune leur propre carte d'interface réseau virtuelle secondaire, ce qui offre une connectivité directe à d'autres instances et services dans le VCN de la carte d'interface réseau virtuelle.
  • Connexion d'une instance à des sous-réseaux de plusieurs réseaux cloud virtuels : par exemple, vous pouvez configurer un pare-feu pour protéger le trafic entre les réseaux cloud virtuels, de sorte que l'instance doive se connecter à des sous-réseaux dans différents réseaux cloud virtuels.

Voici plus de détails sur les cartes d'interface réseau virtuelles secondaires :

  • Le nombre limite de VNIC pouvant être associées à une instance dépend de la forme. Pour connaître ces limites, reportez-vous à Formes de calcul.
  • Vous ne pouvez les ajouter qu'après la création de l'instance.
  • Elles doivent toujours être attachées à une instance et ne peuvent pas être déplacées. Le processus de création d'une carte d'interface réseau virtuelle secondaire l'attache automatiquement à l'instance. Le processus de détachement d'une carte d'interface réseau virtuelle secondaire la supprime automatiquement.
  • Elles sont automatiquement détachées et supprimées lorsque vous mettez fin à l'instance.
  • La bande passante de l'instance est fixe, quel que soit le nombre de cartes d'interface réseau virtuelles attachées. Vous ne pouvez pas spécifier de limite de bande passante pour une carte d'interface réseau virtuelle donnée d'une instance.
  • En attachant plusieurs cartes d'interface réseau virtuelles du même bloc CIDR de sous-réseau à une instance, vous risquez de créer un routage asymétrique, en particulier sur les instances utilisant une variante de Linux. Si vous avez besoin de ce type de configuration, nous vous recommandons d'affecter plusieurs adresses IP privées à une même carte d'interface réseau virtuelle, ou d'utiliser le routage basé sur une stratégie comme indiqué dans le script qui figure plus loin dans cette rubrique.
  • L'ajout de plusieurs VNIC peut acheminer le trafic iSCSI hors de la VNIC principale, ce qui annule les attachements de volume iSCSI. Afin d'éviter ce problème, ajoutez des routages spécifiques pour les nouvelles cartes d'interface réseau virtuelles et utilisez l'adresse de routeur de carte d'interface réseau virtuelle principale en tant que passerelle. Les volumes d'initialisation iSCSI utilisent l'adresse 169.254.0.2/32 et les volumes de blocs, le réseau 169.254.2.0/24.

Vérification de source/d destination

Par défaut, chaque carte d'interface réseau virtuelle exécute la vérification de source/destination sur son trafic réseau. La carte d'interface réseau virtuelle examine la source et la destination répertoriées dans l'en-tête de chaque paquet réseau. Si elle n'est ni la source ni la destination, le paquet est supprimé.

Si la carte d'interface réseau virtuelle doit transférer le trafic (pour effectuer une opération NAT par exemple), vous devez désactiver la vérification de source/destination sur cette carte. Pour obtenir des instructions, reportez-vous à Mise à jour d'une carte d'interface réseau virtuelle. Pour obtenir des informations sur le scénario général, reportez-vous à Utilisation d'une adresse IP privée comme cible de routage.

Informations sur la VNIC dans les métadonnées d'instance

Le service de métadonnées d'instance (IMDS) inclut des informations sur les cartes d'interface réseau virtuelles à ces URL :

  • IMDS version 2 :

    http://169.254.169.254/opc/v2/vnics/

  • IMDS version 1 héritée :

    http://169.254.169.254/opc/v1/vnics/

L'exemple de réponse ci-dessous indique les cartes d'interface réseau virtuelles attachées à une instance :

[ {
    "vnicId" : "ocid1.vnic.oc1.phx.exampleuniqueID",
    "privateIp" : "10.0.3.6",
    "vlanTag" : 11,
    "macAddr" : "00:00:00:00:00:01",
    "virtualRouterIp" : "10.0.3.1",
    "subnetCidrBlock" : "10.0.3.0/24",
    "nicIndex" : 0
}, {
    "vnicId" : "ocid1.vnic.oc1.phx.exampleuniqueID",
    "privateIp" : "10.0.4.3",
    "vlanTag" : 12,
    "macAddr" : "00:00:00:00:00:02",
    "virtualRouterIp" : "10.0.4.1",
    "subnetCidrBlock" : "10.0.4.0/24",
    "nicIndex" : 0
} ]

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel un administrateur de location a accordé un accès de sécurité dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'avez pas d'autorisation ou que vous n'êtes pas autorisé, vérifiez auprès de l'utilisateur le type d'accès qui vous est accordé et le compartiment dans lequel vous travaillez.

Les cartes d'interface réseau virtuelles résident dans un sous-réseau, mais sont attachées à une instance. L'attachement de la carte d'interface réseau virtuelle à l'instance est un objet distinct de la carte ou de l'instance elle-même. N'oubliez pas que la carte d'interface réseau virtuelle et le sous-réseau existent toujours ensemble dans le même compartiment, mais que l'attachement de la carte d'interface réseau virtuelle à l'instance existe toujours dans le compartiment de l'instance. Cette distinction n'est pas importante dans un scénario de contrôle d'accès dans lequel toutes les ressources cloud appartiennent au même compartiment (par exemple, pour une étude de concept). Lorsque vous passez à une implémentation de production, vous pouvez décider que les administrateurs réseau gèrent le réseau et que les autres personnes administrent les instances. Cela signifie que vous pouvez placer des instances dans un compartiment différent de celui du sous-réseau.

Pour les administrateurs : reportez-vous à Stratégies IAM pour Networking.

Surveillance des cartes d'interface réseau virtuelles

Vous pouvez surveiller l'état, la capacité et les performances des ressources Oracle Cloud Infrastructure à l'aide de mesures, d'alarmes et de notifications. Pour plus d'informations, reportez-vous à Monitoring et à Notifications.

Pour plus d'informations sur la surveillance du trafic entrant et sortant des cartes d'interface réseau virtuelles, reportez-vous à Mesures de carte d'interface réseau virtuelle.

Linux : configuration du système d'exploitation pour des cartes d'interface réseau virtuelles secondaires

Oracle Linux

Nous recommandons que les instances qui utilisent Oracle Linux utilisent l'utilitaire oci-network-config pour effectuer la configuration de système d'exploitation requise pour les cartes d'interface réseau virtuelles secondaires.

Red Hat Enterprise Linux

Les instances qui utilisent Red Hat Enterprise Linux (RHEL) 9.6 ou version ultérieure et RHEL 10.0 ou version ultérieure peuvent utiliser NetworkManager pour effectuer la configuration du système d'exploitation requise pour les cartes d'interface réseau virtuelles secondaires. Cette fonctionnalité est prise en charge sur les architectures Intel (x86_64) et ARM (aarch64) pour les instances de machine virtuelle et Bare Metal. NetworkManager requiert l'exécution des instructions suivantes à partir de l'invite de commande (ou en tant que script) dans l'ordre indiqué et en tant qu'utilisateur sudo : 

dnf -y install NetworkManager-config-server
dnf -y install NetworkManager-cloud-setup
mkdir /etc/systemd/system/nm-cloud-setup.service.d
touch /etc/systemd/system/nm-cloud-setup.service.d/oci.conf
echo -e "[Service]\nEnvironment=NM_CLOUD_SETUP_OCI=yes\nEnvironment=NM_CLOUD_SETUP_LOG=TRACE" >> /etc/systemd/system/nm-cloud-setup.service.d/oci.conf
systemctl daemon-reload
systemctl enable --now nm-cloud-setup

Ensuite, pour vérifier que la carte d'interface réseau virtuelle secondaire fonctionne comme prévu, exécutez la commande nmcli device show. L'extrait suivant de la sortie de l'écran montre une configuration réussie d'une carte d'interface réseau virtuelle secondaire : 

GENERAL.DEVICE:             SecondaryVnicId
GENERAL.TYPE:               vlan
GENERAL.HWADDR:             00:00:5E:00:53:01
GENERAL.MTU:                9000
GENERAL.STATE:              100 (connected)
GENERAL.CONNECTION:         vlan1
GENERAL.CON-PATH:           /org/freedesktop/NetworkManager/ActiveConnection/4
IP4.ADDRESS[1]:             10.0.0.178/23
IP4.GATEWAY:                --
IP4.ROUTE[1]:               dst = 10.0.0.0/23, nh = 0.0.0.0, mt = 10, table=30201
IP4.ROUTE[2]:               dst = 10.0.0.0/23, nh = 0.0.0.0, mt = 400
IP4.ROUTE[3]:               dst = 0.0.0.0/0, nh = 10.0.0.1, mt = 10, table=30401
IP6.ADDRESS[1]:             fe80::d7fb:c283:e45:abf5/64
IP6.GATEWAY:                --
IP6.ROUTE[1]:               dst = fe80::/64, nh = ::, mt = 1024

Dans la sortie, chaque bloc correspond à une VNIC, la VNIC principale étant répertoriée en premier. Les éléments sur lesquels se concentrer sont les suivants :

  1. GENERAL.HWADDR : cela correspond à l'adresse MAC de la carte d'interface réseau virtuelle affichée dans la console OCI.
  2. GENERAL.STATE : indique l'état de la connexion. 100 (connected) indique une connexion réussie.

Windows : configuration du système d'exploitation pour des cartes d'interface réseau virtuelles secondaires

Les cartes d'interface réseau virtuelles secondaires sont prises en charge sur les instances de machine virtuelle et Bare Metal (à l'exception des instances qui utilisent des formes Standard1 et StandardB1 de génération précédente). Pour les instances Bare Metal, les VNIC secondaires ne sont prises en charge que sur la seconde carte d'interface réseau physique.

Conseil

La première carte d'interface réseau physique est NIC 0 et la seconde est NIC 1.

Vous devez configurer la carte d'interface réseau virtuelle secondaire au sein du système d'exploitation. Oracle vous suggère d'écrire un script PowerShell pour effectuer la configuration. Lors de l'exécution du script, vous pouvez éventuellement fournir l'OCID de la carte d'interface réseau virtuelle secondaire (disponible dans les métadonnées de carte d'interface réseau virtuelle de l'instance).

Sinon, le script doit afficher la liste des VNIC secondaires sur l'instance et vous demander de sélectionner celle à configurer. Voici ce que le script doit faire :

  1. Vérifiez si l'interface réseau possède une adresse IP et un routage par défaut.
  2. Pour que le système d'exploitation puisse reconnaître la VNIC secondaire, le script doit écraser l'adresse IP et le routage par défaut avec des paramètres statiques (ce qui désactive DHCP). Le script doit vous inviter à effectuer un écrasement avec des paramètres statiques ou à quitter la procédure.

Le processus global de configuration varie légèrement en fonction du type d'instance (machine virtuelle ou Bare Metal) et du nombre de cartes d'interface réseau virtuelles secondaires que vous ajoutez à l'instance.

Instances de machine virtuelle Windows

Voici le processus global :

  1. Ajoutez des cartes d'interface réseau virtuelles secondaires à l'instance. Gardez l'OCID de chaque carte d'interface réseau virtuelle à portée de main afin de pouvoir le fournir ultérieurement lors de l'exécution du script de configuration. Vous pouvez également trouver l'OCID dans les métadonnées de carte d'interface réseau virtuelle de l'instance.
  2. Connectez-vous à l'instance avec Bureau à distance.
  3. Exécutez le script en tant qu'administrateur. Répétez l'opération si nécessaire pour toutes les cartes d'interface réseau virtuelles secondaires supplémentaires.
Instances Bare Metal Windows : ajout de la première carte d'interface réseau virtuelle secondaire

Si vous ajoutez une seule carte d'interface réseau virtuelle secondaire à l'instance Bare Metal, voici le processus global :

  1. Ajoutez la carte d'interface réseau virtuelle secondaire à l'instance. Assurez-vous que l'OCID de la carte d'interface réseau virtuelle est accessible afin de pouvoir le fournir ultérieurement lors de l'exécution d'un script de configuration. Vous pouvez également trouver l'OCID dans les métadonnées de carte d'interface réseau virtuelle de l'instance.
  2. Connectez-vous à l'instance avec Bureau à distance.
  3. Activez la seconde carte d'interface réseau physique sur l'instance :
    1. Ouvrez le gestionnaire de périphériques, puis sélectionnez Adaptateurs réseau.
    2. Sélectionnez l'adaptateur correspondant à la deuxième carte d'interface réseau physique de l'instance, puis sélectionnez Activer.
  4. Exécutez le script PowerShell en tant qu'administrateur.
Instances Bare Metal Windows : ajout de cartes d'interface réseau virtuelles secondaires

Si vous disposez d'une VNIC secondaire sur la seconde carte d'interface réseau physique d'une instance Bare Metal et que vous voulez ajouter d'autres cartes d'interface réseau virtuelles, voici le processus global. Il inclut une tâche de configuration d'un groupement NIC, requise si l'instance comporte plusieurs cartes d'interface réseau virtuelles sur la seconde carte d'interface réseau physique.

Remarque

Si vous augmentez le nombre de cartes d'interface réseau virtuelles secondaires (plus de 1) sur la seconde carte d'interface réseau physique, vous devez activer l'association de cartes réseau pour cette dernière (reportez-vous aux instructions ci-après). Dans l'équipe de cartes réseau, vous créez une interface distincte pour chaque carte d'interface réseau virtuelle secondaire de cette carte d'interface réseau physique, y compris la première. Cela signifie que l'interface d'origine de cette première carte d'interface réseau virtuelle secondaire ne fonctionne plus. Toute configuration ultérieure de cette carte d'interface réseau virtuelle doit être effectuée sur la nouvelle interface, qui fait partie intégrante de l'équipe.
  1. Ajoutez des VNIC secondaires supplémentaires à l'instance. Gardez l'OCID et la balise VLAN de chaque carte d'interface réseau virtuelle à portée de main afin de pouvoir les fournir ultérieurement lors de l'exécution du script de configuration. Vous pouvez également trouver les valeurs dans les métadonnées de carte d'interface réseau virtuelle de l'instance.
  2. Connectez-vous à l'instance avec Bureau à distance.
  3. Configurez l'association de cartes réseau sur l'instance :
    1. Ouvrez le gestionnaire de serveurs, puis sélectionnez Serveur local.
    2. Dans la liste des propriétés, recherchez Association de cartes réseau, puis sélectionnez Disabled pour activer et configurer l'association de cartes réseau.
    3. Dans la section Equipes en bas à gauche de l'écran, sélectionnez Tâches, puis Nouvelle équipe.

    4. Entrez le nom de l'équipe, sélectionnez la deuxième carte réseau physique de l'instance et sélectionnez OK.

      L'équipe est créée et apparaît dans la liste de la section Equipes.

    5. Sélectionnez la nouvelle équipe pour la sélectionner, puis, dans la section Chapitres et interfaces sur le côté droit de l'écran, sélectionnez l'onglet Interfaces d'équipe.
    6. Sélectionnez Tâches, puis Ajouter une interface (vous créez une interface distincte pour chaque VNIC secondaire sur la seconde carte réseau physique).
    7. Sélectionnez le bouton radio VLAN spécifique, puis indiquez le numéro de balise VLAN affecté par Oracle (par exemple, 1). Vous pouvez obtenir la balise VLAN à partir de la console ou dans les métadonnées VNIC de l'instance.
    8. Sélectionnez OK.

    9. Répétez les quatre étapes précédentes (e-h) pour chacune des autres cartes d'interface réseau virtuelles secondaires. Vous créez une interface distincte pour chaque carte d'interface réseau virtuelle secondaire.

  4. Exécutez le script en tant qu'administrateur. Répétez l'opération si nécessaire pour toutes les cartes d'interface réseau virtuelles secondaires supplémentaires.

Gestion des cartes d'interface réseau virtuelles

Les actions de gestion suivantes sont disponibles pour les cartes d'interface réseau virtuelles :

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la Documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.