Tables de routage de réseau cloud virtuel
Cette rubrique explique comment gérer les tables de routage dans un réseau cloud virtuel (VCN). Pour plus d'informations sur les tables de routage dans une passerelle de routage dynamique (DRG), reportez-vous à Passerelles de routage dynamique.
Présentation du routage pour un VCN
Un VCN utilise des tables de routage pour envoyer le trafic hors du VCN (par exemple, vers Internet, vers un réseau sur site ou vers un VCN appairé). Ces tables de routage comportent des règles qui se présentent et agissent de la même manière que les règles de routage réseau classiques que vous connaissez peut-être déjà. Chaque règle spécifie un bloc CIDR de destination et la cible (le saut suivant) pour tout trafic correspondant à ce CIDR.
Voici les bases du routage dans un VCN :
- Le scénario de routage principal concerne l'envoi du trafic d'un sous-réseau vers des destinations externes au sous-réseau. Une table de routage sélectionnée est associée à un sous-réseau, sauf si une carte d'interface réseau virtuelle dispose d'une table de routage directement associée à elle-même ou à ses adresses IP. Pour plus d'informations, reportez-vous à la section Routage par ressource. Toutes les cartes d'interface réseau virtuelles de ce sous-réseau sont soumises aux règles de la table de routage. Les règles régissent la manière dont le trafic quittant le sous-réseau est acheminé.
- Le routage local du VCN gère automatiquement le trafic entre les sous-réseaux du VCN et à l'intérieur de ceux-ci. Le routage local ne nécessite pas de définir des règles de routage explicites pour activer le trafic. Les règles de routage local sont implicites et ne sont pas affichées dans la table de routage. Le routage entre les sous-réseaux d'un VCN peut être modifié en ajoutant des routes statiques (reportez-vous à Routage intra VCN).
- Vous pouvez utiliser le routage intra-VCN pour spécifier une adresse IP privée, une passerelle d'appairage local ou un DRG de saut suivant dans un VCN pour le trafic destiné à un autre sous-réseau du VCN. Le routage intra VCN vous permet de créer des cas d'utilisation de sécurité et de virtualisation réseau plus complexes. OCI prend également en charge le routage intra VCN pour le trafic entrant dans un VCN via une passerelle, en plus du trafic entre les sous-réseaux.
- Vous pouvez utiliser Routage par ressource pour associer une table de routage VCN personnalisée à une carte d'interface réseau virtuelle ou à une adresse IP sur une carte d'interface réseau virtuelle, ce qui vous permet d'acheminer le trafic différemment pour les charges globales dans le même sous-réseau.
- Si une table de routage présente des chevauchements, Oracle utilise la règle la plus spécifique pour acheminer le trafic (la règle ayant la correspondance de préfixe la plus longue). Deux CIDR sont considérés comme se chevauchant lorsqu'un CIDR contient l'autre. Les tables de routage de réseau cloud virtuel contiennent des entrées pour les routages de réseau cloud virtuel locaux. Si vous créez un routage statique pour le bloc CIDR de réseau cloud virtuel (avec la même longueur de préfixe que le routage local de réseau cloud virtuel), ce routage est prioritaire.
- Si aucune règle de routage ne correspond au trafic réseau que vous souhaitez acheminer hors du réseau cloud virtuel, le trafic est supprimé (perdu dans un trou noir).
- L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6.
Pour obtenir des détails importants sur le routage entre un VCN et un réseau sur site, reportez-vous à Détails de routage pour les connexions au réseau sur site.
Utilisation des tables et des règles de routage
Chaque réseau cloud virtuel est automatiquement accompagné d'une table de routage par défaut qui comporte des règles implicites incluant les routages des CIDR de réseau cloud virtuel. A moins d'indication contraire, chaque sous-réseau utilise la table de routage par défaut du réseau cloud virtuel. Lorsque vous ajoutez des règles de routage à un VCN, vous pouvez les ajouter à la table par défaut. Toutefois, vous pouvez créer des tables de routage personnalisées pour chaque sous-réseau si nécessaire. Par exemple, lorsque vous disposez d'un sous-réseau public et d'un sous-réseau privé dans un VCN (par exemple, reportez-vous à Scénario C : sous-réseaux publics et privés avec un VPN), vous devez utiliser différentes tables de routage pour les sous-réseaux car les règles de routage des sous-réseaux doivent être différentes.
Chaque sous-réseau d'un réseau cloud virtuel utilise une seule table de routage. Lorsque vous créez le sous-réseau, vous spécifiez celle à utiliser. Vous pouvez modifier la table de routage utilisée par le sous-réseau à tout moment. Vous pouvez également modifier les règles d'une table de routage, ou enlever toutes les règles.
Vous pouvez éventuellement affecter un nom descriptif à une table de routage personnalisée lors de sa création. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Oracle affecte automatiquement à la table de routage un identificateur unique appelé OCID (Oracle Cloud ID). Pour plus d'informations, reportez-vous à Identificateurs de ressource.
Une règle de routage spécifie un bloc CIDR de destination et la cible (le saut suivant) pour tout trafic correspondant à ce CIDR. Voici les types de cible autorisés pour une règle de routage :
- Passerelle de routage dynamique (DRG) : pour les sous-réseaux qui ont besoin d'un accès privé aux réseaux connectés à un VCN (par exemple, un réseau sur site connecté à un VPN site à site ou à FastConnect, un VCN appairé dans la même région ou un VCN appairé dans une autre région).
- Passerelle Internet : pour les sous-réseaux publics qui ont besoin d'un accès direct à Internet.
- Passerelle NAT : pour les sous-réseaux dotés d'instances ne disposant pas d'adresse IP publique mais nécessitant un accès sortant vers Internet.
- Passerelle de service : pour les sous-réseaux nécessitant un accès privé aux services Oracle tels qu'Object Storage.
- Passerelle d'appairage local : pour les sous-réseaux nécessitant un accès privé à un réseau cloud virtuel appairé de la même région.
- Adresse IP privée : pour les sous-réseaux qui doivent acheminer du trafic vers une instance du réseau cloud virtuel. Pour plus d'informations, reportez-vous à Utilisation d'une adresse IP privée comme cible de routage. Reportez-vous également à Présentation du routage pour un VCN.
Vous ne pouvez pas supprimer une ressource donnée s'il s'agit de la cible d'une règle de routage. Par exemple, vous ne pouvez pas supprimer une passerelle Internet vers laquelle du trafic est acheminé. Supprimez toutes les règles (dans toutes les tables de routage) ayant cette passerelle Internet en tant que cible avant de tenter de supprimer la passerelle ou une autre ressource.
Lorsque vous ajoutez une règle de routage à une table de routage, vous indiquez le bloc CIDR de destination et la cible (ainsi que le compartiment où réside la cible). Exception : si la cible est une passerelle de service , au lieu d'un bloc CIDR de destination, vous indiquez une chaîne fournie par Oracle qui représente les adresses publiques du service qui vous intéresse. De cette manière, vous n'avez pas besoin de connaître tous les blocs CIDR du service, qui peuvent changer au fil du temps.
Si vous configurez une règle de manière incorrecte (par exemple, saisie d'un bloc CIDR de destination incorrect), le trafic réseau que vous avez prévu d'acheminer peut être supprimé (perdu dans un trou noir) ou envoyé à une cible inattendue.
Vous pouvez déplacer une table de routage d'un compartiment vers un autre. Le déplacement d'une table de routage n'a aucune incidence sur son attachement aux réseaux cloud virtuels ou aux sous-réseaux. Lorsque vous déplacez une table de routage vers un nouveau compartiment, les stratégies inhérentes s'appliquent immédiatement et influent sur l'accès à la table de routage. Pour plus d'informations, reportez-vous à Contrôle d'accès.
Vous ne pouvez pas supprimer la table de routage par défaut d'un réseau cloud virtuel. Une table de routage personnalisée ne peut être supprimée que si elle n'est pas associée à un sous-réseau ou à une passerelle (de routage dynamique, d'appairage local, Internet, NAT ou de service).
Reportez-vous aux limites de service pour obtenir la liste des limites applicables et des instructions de demande d'augmentation de limite.
Routage intra-VCN
Le routage intra VCN vous permet de remplacer les décisions de routage par défaut appliquées au trafic destiné aux adresses IP contenues dans le bloc CIDR du VCN. Le routage intra VCN offre les fonctionnalités suivantes :
- Routages locaux : chaque VCN achemine automatiquement le trafic au sein du VCN et entre les sous-réseaux VCN, sauf si vous ajoutez des règles de routage indiquant le contraire. Le trafic local utilise la table de routage associée au sous-réseau, y compris le routage local au sein du CIDR VCN.
- Routages Intra VCN personnalisés : il s'agit de règles de routage que vous créez dans la table de routage VCN ou de sous-réseau pour le trafic Intra VCN, qui peuvent remplacer les routes locales normales. Toutes les routes Intra VCN personnalisées ont une cible (DRG, passerelle d'appairage local ou adresse IP privée dans le VCN) et un type de route statique.
- Meilleure sélection de routage : la correspondance de préfixe la plus longue (ou le routage le plus spécifique) est sélectionnée. Lorsque plusieurs routes pour le même préfixe sont possibles, la meilleure route est sélectionnée en fonction de la priorité de type de route suivante :
- Routes statiques (définies par l'utilisateur)
- Routes locales implicites (créées automatiquement par OCI) non visibles dans la table de routage
- IPv6 : OCI prend en charge le routage intra VCN pour les préfixes de VCN IPv6.
Le routage intra-sous-réseau n'est pas pris en charge. Le trafic avec une adresse IP de destination située dans le même sous-réseau que la carte d'interface réseau virtuelle d'origine est transmis (et non acheminé) directement vers la destination appropriée.
Utilisation du routage intra-VCN
- Créez dans la table de routage de passerelle Internet des règles de routage statiques qui indiquent comme saut suivant 10.0.1.4 (pare-feu) pour le trafic entrant.
- Créez des tables de routage pour les sous-réseaux A, B et C. Le trafic allant d'Internet vers les sous-réseaux B et C doit passer par l'appliance de pare-feu à l'adresse 10.0.1.4 dans le sous-réseau A. Le trafic entre les sous-réseaux B et C doit passer par le même pare-feu.
L'image suivante présente un exemple de routage interne :
| Destination | Cible | Type de routage |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Statique |
| Destination | Cible | Type de routage |
|---|---|---|
| 0.0.0.0/0 | Passerelle Internet (IGW) | Statique |
| Destination | Cible | Type de routage |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Statique |
| 0.0.0.0/0 | 10.0.1.4 | Statique |
| Destination | Cible | Type de routage |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Statique |
| 0.0.0.0/0 | 10.0.1.4 | Statique |
Acheminement par ressource
Vous pouvez utiliser le routage par ressource pour affecter une table de routage VCN personnalisée à une ou plusieurs VNIC ou à des adresses IP particulières sur une VNIC. Une adresse IP avec une table de routage affectée peut être une adresse IP principale ou secondaire pour la VNIC. Avec le routage par ressource, une préférence hiérarchique s'applique en termes de table de routage à utiliser pour la recherche de routage : la table de routage sur l'adresse IP est préférée à la table de routage sur la carte d'interface réseau virtuelle, et la table de routage sur une carte d'interface réseau virtuelle est préférée à la table de routage sur le sous-réseau. Voici le processus de sélection de table de routage :
- Si une table de routage est associée à l'adresse IP de la VNIC, cette table de routage est utilisée pour acheminer le trafic à partir de l'adresse IP.
- Si une adresse IP de carte d'interface réseau virtuelle n'a pas sa propre table de routage, la table de routage au niveau de la carte d'interface réseau virtuelle est utilisée pour acheminer le trafic à partir de l'adresse IP.
- Si une carte d'interface réseau virtuelle peut être associée à un routage, toutes les adresses IP de la carte d'interface réseau virtuelle qui n'ont pas de table de routage associée utilisent la table de routage de carte d'interface réseau virtuelle.
- Si aucune table de routage n'est associée à une carte d'interface réseau virtuelle, toutes les adresses IP de la carte d'interface réseau virtuelle qui n'ont pas de table de routage associée utilisent la table de routage du sous-réseau.
Une seule table de routage est utilisée pour décider du routage de trafic pour une carte d'interface réseau virtuelle ou une adresse IP. Si le routage par ressource est utilisé sur une carte d'interface réseau virtuelle ou une adresse IP, les autres tables de routage de la chaîne hiérarchique sont ignorées. Par exemple, si une adresse IP de carte d'interface réseau virtuelle est associée à une table de routage, cette table de routage est utilisée pour le routage du trafic à partir de l'adresse IP, et les tables de routage sur la carte d'interface réseau virtuelle et le sous-réseau sont ignorées.
L'image suivante présente un exemple d'utilisation du routage par ressource :
| Destination | Cible | Type de routage |
|---|---|---|
| 0.0.0.0/0 | Passerelle de routage dynamique | Statique |
| Destination | Cible | Type de routage |
|---|---|---|
| 0.0.0.0/0 | Passerelle Internet (IGW) | Statique |
Dans cet exemple, une instance OCI Compute avec deux cartes d'interface réseau virtuelles dans le même sous-réseau dispose d'une application en cours d'exécution qui a besoin d'accéder à Internet, ainsi qu'à des bases de données ou à d'autres ressources dans le centre de données sur site. L'application utilise la VNIC A pour tout le trafic lié à un réseau sur site et la VNIC B pour tout le trafic lié à Internet. L'administrateur de réseau cloud peut associer une table de routage personnalisée à la carte d'interface réseau virtuelle A, où la route par défaut a le DRG comme cible, et achemine tout le trafic de la carte d'interface réseau virtuelle A vers le DRG. Une deuxième table de routage personnalisée est associée à la carte d'interface réseau virtuelle B, où la passerelle Internet est la cible de la route par défaut, et achemine tout le trafic de la carte d'interface réseau virtuelle B vers la passerelle Internet.
L'un des avantages ici est que, comme il s'agit de règles statiques, elles sont isolées des modifications apportées aux blocs CIDR utilisés dans le centre de données sur site. Toutes les modifications apportées à l'environnement sur site sont partagées avec le DRG à l'aide de la publication BGP, et les tables de routage VCN peuvent être simples et stables.
Routage entrant de passerelle
- Passerelle d'appairage local (LPG)
- Passerelles de routage dynamique
- Passerelles Internet
- Passerelles NAT
- Passerelles de service
Si vous associez une table d'acheminement à l'une de ces passerelles, la passerelle doit toujours comporter une table d'acheminement associée. Les règles de la table de routage associée peuvent être modifiées ou supprimées. Pour les passerelles Internet, la cible doit se trouver dans un sous-réseau public.
Une table de routage associée à une passerelle d'appairage local ne peut pas utiliser le routage intra-VCN (une destination dans l'un des sous-réseaux du VCN).
Stratégie IAM requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel un administrateur de location a accordé un accès de sécurité dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'avez pas d'autorisation ou que vous n'êtes pas autorisé, vérifiez auprès de l'utilisateur le type d'accès qui vous est accordé et le compartiment dans lequel vous travaillez.
Pour les administrateurs : reportez-vous à Stratégies IAM pour Networking.
Limites de table de routage VCN
Cette section concerne les limites des tables de routage de réseau cloud virtuel. Les limites de table de routage de passerelle de routage dynamique sont indiquées dans la section Limites de table de routage de passerelle de routage dynamique.
|
Ressource |
Portée |
crédits universels Oracle |
Paiement à l'utilisation ou version d'évaluation Pay As You Go |
|---|---|---|---|
| Tables de routage de réseau cloud virtuel | Réseau cloud virtuel | 300 | 300 |
| Règles de routage | Table de routage de réseau cloud virtuel | 200 | 200 |
Utilisation d'une adresse IP privée comme cible de routage
Si vous ne savez pas bien ce qu'est une adresse IP privée, reportez-vous à Adresses IP privées. En résumé : une adresse IP privée est un objet qui contient une adresse IP privée et des propriétés associées, et qui dispose de son propre OCID.
Cas d'emploi généraux
OCI utilise la table de routage d'un sous-réseau pour acheminer le trafic vers une adresse IP de destination en dehors du sous-réseau. Si la destination se trouve en dehors du VCN, vous configurez généralement une règle de routage pour acheminer le trafic vers une passerelle sur le VCN (par exemple, un DRG connecté à un réseau sur site ou à un autre VCN, ou une passerelle Internet connectée à Internet). Si la destination se trouve dans un autre sous-réseau du réseau cloud virtuel, le trafic est acheminé par défaut à l'aide du routage local du CIDR de réseau cloud virtuel. Toutefois, vous pouvez souhaiter acheminer dans un premier temps ce trafic via une instance du réseau cloud virtuel. Dans ce cas, vous pouvez utiliser une adresse IP privée du réseau cloud virtuel comme cible au lieu d'une passerelle se trouvant dans celui-ci. Voici quelques cas où vous êtes susceptible de procéder ainsi :
- Pour implémenter une appliance virtuelle réseau telle qu'un pare-feu ou un système de détection des intrusions qui filtre le trafic sortant des instances.
- Pour gérer un réseau superposé sur le réseau cloud virtuel, ce qui vous permet d'exécuter des charges globales d'orchestration de conteneurs.
- Pour implémenter NAT (Network Address Translation) dans le réseau cloud virtuel. Notez qu'Oracle recommande plutôt d'utiliser une passerelle NAT avec le VCN. En général, NAT crée un accès Internet sortant pour les instances qui ne disposent pas d'une connectivité Internet directe.
L'implémentation de ces cas d'emploi nécessite plus que le routage du trafic vers l'instance. La configuration est également requise sur l'instance elle-même.
Vous pouvez activer la haute disponibilité de la cible de routage d'adresse IP privée à l'aide d'une adresse IP privée secondaire. En cas de panne, vous pouvez déplacer l'adresse IP privée secondaire d'une carte d'interface réseau virtuelle existante vers une autre carte située dans le même sous-réseau. Reportez-vous à Déplacement d'une adresse IP privée secondaire vers une autre VNIC (instructions de la console) et à UpdatePrivateIp (instructions de l'API).
Exigences relatives à l'utilisation d'une adresse IP privée comme cible
- L'adresse IP privée doit être dans le même réseau cloud virtuel que la table de routage.
- Afin de pouvoir transmettre du trafic, la carte d'interface réseau virtuelle de l'adresse IP privée doit être configurée de manière à ignorer la vérification de source/destination. Par défaut, les cartes d'interface réseau virtuelles sont configurées pour effectuer la vérification. Pour plus d'informations, reportez-vous à Présentation des cartes d'interface réseau virtuelles et des cartes d'interface réseau physiques.
- Vous devez configurer l'instance pour qu'elle transfère des paquets.
-
La règle de routage doit indiquer l'OCID de l'adresse IP privée en tant que cible, et non l'adresse IP proprement dite. Exception : si vous utilisez la console, vous pouvez plutôt indiquer l'adresse IP privée elle-même en tant que cible. Elle utilise l'OCID correspondant à l'adresse IP privée dans la règle.
Important
Une règle de routage avec une cible d'adresse IP privée peut entraîner une perte dans un trou noir dans les cas suivants :- L'instance à laquelle l'adresse IP privée est affectée est arrêtée ou prend fin
- La carte d'interface réseau virtuelle à laquelle l'adresse IP privée est affectée est mise à jour afin d'activer la vérification de source/destination, ou supprimée
- L'affectation de l'adresse IP privée à la carte d'interface réseau virtuelle est annulée
Lorsqu'une adresse IP privée cible prend fin, dans la console, la règle de routage affiche une remarque indiquant que l'OCID cible n'existe plus.
Pour le basculement en cas d'incident : si une instance cible prend fin avant que vous ne puissiez déplacer l'adresse IP privée secondaire vers une instance de secours, vous devez mettre à jour la règle de routage de façon à utiliser l'OCID de la nouvelle adresse IP privée cible sur l'instance de secours. La règle utilise l'OCID de la cible et non l'adresse IP privée elle-même.
Processus de configuration général
- Décidez de l'instance qui doit recevoir et transmettre le trafic.
- Sélectionnez une adresse IP privée sur l'instance (peut se trouver sur la VNIC principale de l'instance ou sur une seconde. Pour implémenter le basculement, configurez une adresse IP privée secondaire sur l'une des VNIC de l'instance.
- Désactivez la vérification de source/destination sur la carte d'interface réseau virtuelle de l'adresse IP privée. Reportez-vous à Présentation des cartes d'interface réseau virtuelles et des cartes d'interface réseau physiques.
- Obtenez l'OCID de l'adresse IP privée. Si vous utilisez la console, vous pouvez obtenir l'OCID ou l'adresse IP privée elle-même, avec le nom du compartiment de cette dernière.
- Affichez la table de routage du sous-réseau qui doit acheminer le trafic vers l'adresse IP privée. Si elle comporte déjà une règle avec le même CIDR de destination mais avec une autre cible, supprimez cette règle.
-
Ajoutez une règle de routage avec les éléments suivants :
- Type de cible : reportez-vous à la liste des types de cible dans Présentation du routage pour un VCN. Si le type de cible est un DRG, le DRG attaché du VCN est automatiquement sélectionné comme cible, et vous n'avez pas à spécifier la cible vous-même. Si la cible est un objet IP privé, vous devez, avant de la spécifier, désactiver la vérification de source/destination sur la VNIC qui utilise cet objet IP privé. Pour plus d'informations, reportez-vous à Utilisation d'une adresse IP privée comme cible de routage.
- Bloc CIDR de destination : disponible uniquement si la cible n'est pas une passerelle de service. La valeur correspond au bloc CIDR de destination du trafic. Vous pouvez fournir un bloc CIDR de destination spécifique ou utiliser 0.0.0.0/0 si l'ensemble du trafic quittant le sous-réseau doit être acheminé vers la cible indiquée dans la règle.
- Service de destination : disponible uniquement si la cible est une passerelle de service. La valeur correspond au libellé CIDR de service qui vous intéresse.
- Compartiment : compartiment contenant la cible.
- Cible : cible. Si la cible est un objet IP privé, entrez son OCID. Vous pouvez également entrer l'adresse IP privée, auquel cas la console trouve l'OCID correspondant et l'utilise en tant que cible pour la règle de routage.
- Description : description facultative de la règle.
Comme mentionné précédemment, vous devez configurer l'instance pour qu'elle transfère des paquets.