Appairage à distance de réseaux cloud virtuels à l'aide d'une passerelle de routage dynamique héritée

Cette rubrique concerne l'appairage à distance de réseaux cloud virtuels. Dans ce cas, à distance signifie que les réseaux cloud virtuels résident dans des régions différentes. Si les réseaux cloud virtuels à connecter se trouvent dans la même région, reportez-vous à Appairage local de réseaux cloud virtuels à l'aide de passerelles d'appairage local.

Remarque

Cet article suppose que le DRG est un DRG hérité, et nous recommandons la méthode décrite dans Appairage VCN à distance via un DRG mis à niveau pour tout DRG mis à niveau. Pour une explication des versions de DRG, reportez-vous à Versions de DRG.

Présentation de l'appairage à distance de réseaux cloud virtuels

L'appairage à distance de réseaux cloud virtuels est le processus consistant à connecter deux réseaux cloud virtuels de régions différentes (mais de la même location ). L'appairage permet de communiquer les ressources des réseaux cloud virtuels à l'aide d'adresses IP privées, sans que le trafic soit acheminé sur Internet ou via un réseau on-premise. Sans appairage, un VCN aurait besoin d'une passerelle Internet et d'adresses IP publiques pour les instances qui doivent communiquer avec un autre VCN dans une autre région.

Récapitulatif des composants de Networking pour l'appairage à distance

Globalement, les composants du service Networking requis pour un appairage à distance incluent les éléments suivants :

  • Deux réseaux cloud virtuels avec des CIDR qui ne se chevauchent pas, dans différentes régions qui prennent en charge l'appairage à distance.

    Remarque

    Les CIDR de réseau cloud virtuel ne doivent pas se chevaucher

    Les deux réseaux cloud virtuels de la relation d'appairage ne doivent pas présenter de chevauchement de CIDR. En outre, si un VCN particulier a plusieurs relations d'appairage, ces autres réseaux cloud virtuels ne doivent pas avoir de chevauchement de CIDR entre eux. Par exemple, si le réseau cloud virtuel VCN-1 est appairé avec VCN-2 et VCN-3, ces derniers ne doivent pas présenter de chevauchement de CIDR.

  • Une passerelle de routage dynamique (DRG) attachée à chaque VCN dans la relation d'appairage. Un VCN possède déjà un DRG si vous utilisez un tunnel IPSec de VPN site à site ou un circuit virtuel privé Oracle Cloud Infrastructure FastConnect.
  • Une connexion d'appairage à distance sur chaque passerelle de routage dynamique de la relation d'appairage.
  • Une connexion entre les deux connexions d'appairage à distance.
  • Des Règles de routage de prise en compte autorisant la circulation du trafic sur la connexion, et uniquement vers et depuis les sous-réseaux choisis dans les réseaux Cloud virtuels respectifs (si nécessaire)
  • Des règles de sécurité de prise en charge contrôlant les types de trafic autorisés vers et depuis les instances des sous-réseaux devant communiquer avec l'autre réseau cloud virtuel.

Le diagramme suivant illustre les composants.

Cette image présente la disposition de base de deux réseaux cloud virtuels appairés à distance, comportant chacun une connexion d'appairage à distance sur la passerelle de routage dynamique.
Remarque

Un VCN peut uniquement utiliser les RPC connectés pour atteindre les cartes d'interface réseau virtuelles de l'autre VCN ou d'un réseau sur site, et non les destinations en dehors des réseaux cloud virtuels tels qu'Internet. Par exemple, si VCN-1 dans le diagramme précédent comportaient une passerelle Internet, les instances de VCN-2 ne pourraient pas l'employer pour envoyer du trafic vers des adresses sur Internet. Pour plus d'informations, reportez-vous à Conséquences importantes liées à l'appairage.

Spoke-to-Spoke : appairage à distance avec routage de transit

Remarque

Le scénario mentionné dans cette section est toujours pris en charge, mais est en phase d'abandon. Nous vous recommandons d'utiliser la méthode de routage de transit DRG décrite dans la section Routage du trafic via une appliance virtuelle de réseau central.

Imaginez que dans chaque région, vous disposez de plusieurs réseaux cloud virtuels dans une disposition hub-and-spoke, comme indiqué dans le diagramme suivant. Ce type de disposition au sein d'une région est traité en détail dans Routage de transit au sein d'un réseau cloud virtuel hub. Les réseaux cloud virtuels spoke d'une région donnée sont appairés localement avec le VCN hub de la même région, à l'aide de passerelles d'appairage local .

Vous pouvez configurer un appairage à distance entre les deux réseaux cloud virtuels hub. Vous pouvez également configurer le routage de transit pour la passerelle de routage dynamique et les passerelles d'appairage local du réseau cloud virtuel hub, comme expliqué dans Routage de transit au sein d'un réseau cloud virtuel hub. Cette configuration permet à un VCN spoke d'une région de communiquer avec un ou plusieurs réseaux cloud virtuels spoke de l'autre région sans avoir besoin d'une connexion d'appairage à distance directement entre ces réseaux cloud virtuels.

Par exemple, vous pouvez configurer le routage de sorte que les ressources de VCN-1-A puissent communiquer avec celles de VCN-2-A et de VCN-2-B au moyen des réseaux cloud virtuels hub. Ainsi, VCN 1-A n'a plus besoin d'avoir un appairage à distance distinct avec chacun des réseaux Cloud virtuels spoke de l'autre région. Vous pouvez également configurer le routage de sorte que VCN-1-B puisse communiquer avec les réseaux cloud virtuels spoke de la région 2, sans nécessiter son propre appairage à distance avec ces derniers.

Cette image présente la disposition de base de deux régions avec des réseaux cloud virtuels dans une disposition hub-and-spoke, avec un appairage à distance reliant les réseaux cloud virtuels hub.

Accord explicite des deux parties requis

L'appairage implique deux réseaux cloud virtuels dans la même location qui peuvent être gérés par la même partie ou par deux parties différentes. Les deux parties peuvent toutes les deux se trouver dans la même société mais dans des services différents.

L'appairage entre deux réseaux cloud virtuels nécessite un accord explicite des deux parties sous la forme de stratégies Oracle Cloud Infrastructure Identity and Access Management que chaque partie implémente pour son compartiment VCN.

Concepts importants de l'appairage à distance

Les concepts suivants vous aident à comprendre les bases de l'appairage et à établir un appairage à distance.

Appairage
Un appairage désigne une relation d'appairage unique entre deux réseaux cloud virtuels. Exemple : si VCN-1 est appairée avec deux autres réseau cloud virtuels, deux appairage existent. Le terme à distance dans appairage à distance indique que les réseaux cloud virtuels se trouvent dans des régions différentes.
Administrateurs de réseau cloud virtuel
En général, l'appairage de réseaux cloud virtuels ne peut être effectué que si les deux administrateurs de réseau cloud virtuel sont d'accord. En pratique, cela signifie que les deux administrateurs doivent :
  • partager quelques informations de base,
  • Se coordonner pour configurer les stratégies Oracle Cloud Infrastructure Identity and Access Management requises afin d'activer l'appairage.
  • configurer leur réseau cloud virtuel pour l'appairage.
Selon le cas, un seul administrateur peut être responsable des deux réseaux cloud virtuels et des stratégies associées.
Pour plus d'informations sur les stratégies requises et la configuration des réseaux cloud virtuels, reportez-vous à Configuration d'un appairage à distance.
Accepteur et demandeur
Pour implémenter les stratégies IAM requises pour l'appairage, les deux administrateurs VCN doivent sélectionner un administrateur en tant que demandeur et l'autre en tant qu'accepteur. Le demandeur doit être chargé de démarrer la demande de connexion des deux connexions d'appair à distance. L'accepteur doit ensuite créer une stratégie IAM particulière qui autorise le demandeur à se connecter aux RPC de son compartiment . Sans cette stratégie, la demande de connexion du demandeur échoue.
Abonnement de région
Pour homologue avec un VCN dans une autre région, une location doit d'abord être abonnée à cette région. Pour plus d'informations sur l'abonnement, reportez-vous à Gestion des régions.
Connexion d'appairage à distance
Une connexion d'appairage à distance (RPC) est un composant que vous créez sur le DRG attaché à un VCN. La connexion d'appairage à distance fait office de point de connexion pour un réseau cloud virtuel appairé à distance. Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit créer une connexion d'appairage à distance pour la passerelle de routage dynamique de ceux-ci. Un DRG spécifique doit disposer d'un RPC distinct pour chaque appairage à distance établi pour le VCN. Pour reprendre l'exemple précédent : la passerelle de routage dynamique de VCN-1 contiendrait deux connexions d'appairage à distance à appairer avec deux autres réseaux cloud virtuels. Dans l'API, l'objet RemotePeeringConnection contient des informations sur l'appairage. Vous ne pouvez pas réutiliser une connexion d'appairage à distance pour établir un autre appairage ultérieurement.
Connexion entre deux connexions d'appairage à distance
Lorsque le demandeur démarre la demande d'appairage (dans la console ou l'API), il demande concret, connecter les deux connexions d'appareillage à Distance. Cela signifie que le demandeur doit disposer d'informations pour identifier chaque connexion d'appairage à distance (comme sa région et son OCID ).
L'un ou l'autre des administrateurs VCN peut mettre fin à un appairage en supprimant son RPC. Dans ce cas, le statut de l'autre connexion d'appairage à distance devient REVOKED. Sinon, l'administrateur peut désactiver la connexion en en enlevant les règles de routage qui permettent au trafic de circuler sur la connexion (voir la section suivante).
Routage vers la passerelle de routage dynamique
Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit mettre à jour le routage de réseau cloud virtuel pour permettre au trafic de circuler entre ces réseaux. Pour chaque sous-réseau devant communiquer avec l'autre VCN, mettez à jour la table du routage du sous-réseau. La règle de routage indique le CIDR du trafic de destination et le DRG comme cible. Le DRG achemine le trafic correspondant à cette règle vers l'autre DRG, qui à son tour achemine le trafic vers le saut suivant dans l'autre VCN.
Dans le diagramme suivant, VCN-1 et VCN-2 sont appairés. Le trafic d'une instance du sous-réseau A (10.0.0.15), destiné à une instance de VCN-2 (192.168.0.15), est acheminé vers la passerelle de routage dynamique DRG-1 en fonction de la règle figurant dans la table de routage du sous-réseau A. Le trafic est ensuite acheminé vers DRG-2 via les connexions d'appairage à distance, puis, de là, vers la destination dans le sous-réseau X.
Cette image montre les tables de routage et le trajet du trafic acheminé d'une passerelle de routage dynamique vers l'autre.
Numéro 3 : table de routage de sous-réseau A
CIDR de destination Cible du routage
0.0.0.0/0 Passerelle Internet
192.168.0.0/16 Passerelle de routage dynamique DRG-1
Numéro 4 : table de routage de sous-réseau X
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle de routage dynamique DRG-2
Remarque

Comme mentionné précédemment, un VCN peut uniquement utiliser les RPC connectés pour atteindre des VNIC dans l'autre VCN, et non des destinations en dehors des réseaux cloud virtuels (comme Internet ou un réseau sur site). Par exemple, dans le diagramme précédent, VCN-2 ne peut utiliser la passerelle Internet attachée à VCN-1.

Règles de sécurité
Chaque sous-réseau d'un réseau cloud virtuel dispose de listes de sécurité qui contrôlent le trafic entrant et sortant des cartes d'interface réseau virtuelles du sous-réseau au niveau du paquet. Vous pouvez utiliser des listes de sécurité pour déterminer le type de trafic autorisé avec l'autre réseau cloud virtuel. Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit décider quels sous-réseaux de son propre VCN doivent communiquer avec les cartes d'interface réseau virtuelles de l'autre VCN et mettre à jour les listes de sécurité de son sous-réseau pour autoriser le trafic.
Si vous utilisez des groupes de sécurité réseau pour implémenter des règles de sécurité, vous avez la possibilité d'écrire pour un groupe des règles de sécurité spécifiant un autre groupe comme source ou destination du trafic. Cependant, les deux groupes de sécurité réseau doivent appartenir au même réseau cloud virtuel.

Conséquences importantes liées à l'appairage

Si vous ne l'avez pas encore fait, lisez Conséquences importantes liées à l'appairage afin de comprendre les conséquences importantes en matière de contrôle d'accès, de sécurité et de performances pour les réseaux cloud virtuels appairés.

Configuration d'un appairage à distance

Cette section présente le processus général de configuration d'un appairage entre deux réseaux cloud virtuels de régions différentes.

Important

La procédure suivante suppose les points ci-après :

  • Cette location est abonnée à l'autre région du VCN. Si ce n'est pas le cas, reportez-vous à Gestion des régions.
  • Une passerelle de routage dynamique est déjà attachée au réseau cloud virtuel. Si vous ne le faites pas, reportez-vous à Passerelles d'acheminement dynamique.
  1. Créer les connexions d'appairage à distance : chaque administrateur de réseau cloud virtuel crée une connexion d'appairage à distance pour la passerelle de routage dynamique de son propre réseau cloud virtuel.
  2. Partager les informations : les administrateurs partagent les informations de base requises.
  3. Configurer les stratégies IAM requises : les administrateurs configurent les stratégies IAM pour permettre l'établissement de la connexion.
  4. Etablir la connexion : le demandeur connecte les deux connexions d'appairage à distance (reportez-vous à Concepts importants de l'appairage à distance pour consulter la définition des termes demandeur et accepteur).
  5. Mettre à jour les tables de routage : chaque administrateur met à jour les tables de routage de son VCN pour activer le trafic entre les réseaux cloud virtuels ou les sous-réseaux appairés.
  6. Mettre à jour les règles de sécurité : chaque administrateur met à jour les règles de sécurité de son VCN pour activer le trafic entre les réseaux cloud virtuels ou les sous-réseaux appairés.

Les administrateurs peuvent effectuer la tâche E et F avant d'établir la connexion. Chaque administrateur doit connaître le bloc CIDR ou des sous-réseaux spécifiques de l'autre VCN et le partager dans la tâche B.

Tâche A : créer les connexions d'appairage à distance

Chaque administrateur accepteur ou demandeur crée un RPC pour le DRG de son propre VCN.

Remarque

Stratégie IAM requise pour créer des connexions d'appairage à distance

Si les administrateurs disposent déjà d'un large éventail de droits d'accès d'administrateur réseau (reportez-vous à Autoriser les administrateurs réseau à gérer un réseau cloud), ils sont autorisés à créer, à mettre à jour et à supprimer des connexions d'appairage à distance. Sinon, voici un exemple de stratégie donnant les droits d'accès nécessaires à un groupe appelé RPCAdmins. La seconde instruction est requise car la création d'une connexion d'appairage à distance a une incidence sur la passerelle de routage dynamique à laquelle elle appartient. L'administrateur doit donc disposer de droits pour gérer les passerelles de routage dynamique.

Allow group RPCAdmins to manage remote-peering-connections in tenancy
Allow group RPCAdmins to manage drgs in tenancy

Reportez-vous à Création d'une connexion d'appairage à distance et à Gestion de l'appairage à distance pour obtenir des instructions générales sur la création et l'utilisation des RPC. Si vous êtes l'accepteur, enregistrez la région et l'OCID du RPC et partagez ces informations avec le demandeur. Si les deux réseaux cloud virtuels se trouvent dans des locations différentes, chaque administrateur doit enregistrer leur OCID de location (qui se trouve tout en bas de la page dans la console) et fournir ces informations à l'autre administrateur.

Tâche B : partager des informations
  • Si vous êtes l'accepteur, donnez les informations suivantes au demandeur (par courriel ou via une autre méthode hors bande par exemple) :

    • Région dans laquelle se trouve le VCN (la location du demandeur doit être abonnée à cette région).
    • OCID du RPC.
    • Blocs CIDR pour les sous-réseaux du VCN à mettre à la disposition des autres VCN. Le demandeur a besoin de ces informations lors de la configuration du routage de son réseau cloud virtuel.
  • Si vous êtes le demandeur, donnez les informations suivantes à l'accepteur :

    • Région dans laquelle se trouve le VCN (la location de l'accepteur doit être abonnée à cette région).
    • Nom du groupe IAM auquel accorder le droit d'accès pour créer une connexion dans le compartiment de l'accepteur.
    • Blocs CIDR pour les sous-réseaux du VCN à mettre à la disposition des autres VCN. L'accepteur a besoin de ces informations lors de la configuration du routage de son réseau cloud virtuel.
Tâche C : configurer les stratégies IAM

Lorsque les deux réseaux cloud virtuels se trouvent dans la même location mais dans des régions différentes, utilisez les stratégies fournies dans Appairage à distance avec une instance DRG héritée.

Si les deux réseaux cloud virtuels se trouvent dans des locations différentes mais dans la même région, utilisez les stratégies fournies dans Attachement à des réseaux cloud virtuels dans d'autres locations.

Tâche D : établir la connexion

Le demandeur doit effectuer cette tâche.

Prérequis : le demandeur doit disposer des éléments suivants.

  • Région dans laquelle se trouve le réseau cloud virtuel de l'accepteur (la location du demandeur doit être abonnée à la région).
  • OCID de la connexion d'appairage à distance de l'accepteur.

Reportez-vous à Création d'une connexion d'appairage à distance pour obtenir des instructions générales et utilisez les informations fournies pour l'accepteur. Reportez-vous à la section Remote Peering Management pour obtenir des instructions générales sur l'utilisation des RPC.

Tâche E : configurer les tables de routage

Comme mentionné plus haut, chaque administrateur peut effectuer cette tâche avant ou après l'établissement de la connexion.

Prérequis : chaque administrateur doit disposer du bloc CIDR VCN ou du bloc CIDR pour des sous-réseaux spécifiques dans l'autre VCN.

Pour chaque VCN, déterminez les sous-réseaux du VCN qui doivent communiquer avec l'autre VCN et mettez à jour la table de routage (reportez-vous à Mise à jour des règles d'une table de routage VCN) pour chacun de ces sous-réseaux afin d'inclure une nouvelle règle de routage qui dirige le trafic destiné à l'autre VCN vers le DRG :

  • Type de cible : passerelle de routage dynamique. La passerelle de routage dynamique attachée du réseau cloud virtuel est automatiquement sélectionnée en tant que cible. Vous n'avez pas besoin d'indiquer de cible.
  • Bloc CIDR de destination : bloc CIDR de l'autre réseau cloud virtuel. Vous pouvez éventuellement spécifier un sous-réseau ou un sous-ensemble particulier du CIDR du réseau cloud virtuel appairé.
  • Description : description facultative de la règle.

Tout trafic de sous-réseau dont les destinations correspondent à la règle est acheminé vers le DRG. Pour plus d'informations sur les tables de routage et les règles VCN, reportez-vous à Tables de routage VCN.

Conseil

Sans le routage requis, le trafic ne circule pas entre les passerelles de routage dynamique appairées. Si vous devez arrêter temporairement l'appairage, enlevez les règles de routage qui autorisent le trafic. Il n'est pas nécessaire de supprimer les connexions d'appairage à distance.
Tâche F : configurer les règles de sécurité

Comme mentionné plus haut, chaque administrateur peut effectuer cette tâche avant ou après l'établissement de la connexion.

Prérequis : chaque administrateur doit connaître le bloc CIDR ou les sous-réseaux spécifiques à partager avec l'autre VCN. En général, utilisez le même bloc CIDR que celui utilisé dans la règle de table de routage dans Tâche E : configurer les tables de routage.

Ajoutez les règles suivantes :

  • Règles entrantes pour les types de trafic que vous souhaitez autoriser à partir de l'autre VCN, à partir du CIDR du VCN ou uniquement de sous-réseaux spécifiques.
  • Règle sortante pour autoriser le trafic sortant du VCN local vers l'autre VCN. Si le sous-réseau dispose déjà d'une règle sortante générale pour tous les types de protocole vers toutes les destinations (par exemple, 0.0.0.0/0), vous n'avez pas besoin d'ajouter une règle spéciale pour l'autre VCN.
Remarque

La procédure suivante utilise des listes de sécurité, mais vous pouvez à la place implémenter des règles de sécurité dans un groupe de sécurité réseau, puis créer les ressources du sous-réseau dans ce groupe.

Pour le VCN local, déterminez les sous-réseaux du VCN qui doivent communiquer avec l'autre VCN et mettez à jour la liste de sécurité pour chacun de ces sous-réseaux afin d'inclure des règles qui autorisent le trafic sortant ou entrant avec le bloc CIDR ou le sous-réseau de l'autre VCN :

Pour plus d'informations sur les règles de sécurité, reportez-vous à Règles de sécurité.

Exemple

Supposons que vous vouliez ajouter une règle avec conservation de statut qui autorise la circulation HTTPS entrante (port 443) à partir du CIDR de l'autre VCN. Voici les étapes de base à suivre pour ajouter une règle :

  1. Dans la section Règles d'autorisation pour l'entrée, sélectionnez Règle +Add.
  2. Ne cochez pas la case sans conservation de statut.
  3. Type de source : conservez la valeur CIDR.
  4. CIDR source : entrez le même bloc CIDR que celui utilisé par les règles de routage (reportez-vous à Tâche E : configurer les tables de routage).
  5. Protocole IP : conservez la valeur TCP.
  6. Plage de ports source : conservez la valeur Tous.
  7. Plage de ports de destination : entrez 443.
  8. Description : description facultative de la règle.