Appairage VCN local via un DRG mis à niveau

Ce scénario décrit l'utilisation d'une connexion mutuelle à une instance DRG mise à niveau pour activer le trafic entre plusieurs réseaux cloud virtuels.

Présentation

Au lieu d'utiliser des connexions d'appairage local, vous pouvez établir des communications de réseau privé entre deux ou plusieurs réseaux cloud virtuels de la même région en les attachant à une passerelle de routage dynamique (DRG) commune et en apportant les modifications appropriées aux tables de routage VCN et DRG.

Ce scénario n'est disponible que pour une passerelle de routage dynamique mise à niveau.

Si vous utilisez le DRG hérité, vous pouvez homologue deux réseaux cloud virtuels de la même région à l'aide de passerelles d'appairage local, comme décrit dans le scénario Appairage VCN local à l'aide de passerelles d'appairage local. L'appairage de deux réseaux cloud virtuels dans la même région via un DRG vous offre plus de flexibilité de routage et une gestion simplifiée, mais au prix de l'augmentation de la latence en microsecondes car le trafic est acheminé via un routeur virtuel, le DRG.

Cet exemple de scénario appaire deux réseaux cloud virtuels. Avant d'implémenter ce scénario, vérifiez les points suivants :

  • Le VCN-A n'est pas associé à un DRG
  • Le VCN-B n'est pas associé à un DRG
  • Les CIDR utilisés par VCN-A et VCN-B ne se chevauchent pas

L'appairage de réseaux cloud virtuels dans des locations différentes requiert davantage d'inter-location pour l'autorisation IAM. Pour plus de détails sur les droits d'accès requis, reportez-vous à Stratégies IAM pour le routage entre les réseaux cloud virtuels. Lorsque vous attachez un VCN dans une autre région à un DRG, suivez les étapes décrites dans Attachement d'un DRG à un VCN dans une autre location. La plupart des étapes de ce scénario supposent que le DRG et les deux réseaux cloud virtuels se trouvent dans la même location.

Etapes

Voici le processus général de configuration d'un appairage entre deux réseaux cloud virtuels de la même région à l'aide d'une passerelle de routage dynamique :

  1. Création du DRG : reportez-vous à Tâche A : création d'un DRG.
  2. Joindre le VCN A au DRG : reportez-vous à Tâche B : attacher le VCN-A au DRG.
  3. Joindre le VCN B au DRG : reportez-vous à Tâche C : attacher le VCN-B au DRG.
  4. Configurer les tables de routage dans le VCN A pour envoyer le trafic destiné au CIDR du VCN B vers le DRG : reportez-vous à Tâche D : configurer les tables de routage dans le VCN-A pour envoyer le trafic destiné au CIDR du VCN-B vers l'attachement DRG.
  5. Configurer les tables de routage dans le VCN B pour envoyer le trafic destiné au CIDR du VCN A vers le DRG : reportez-vous à Tâche E : configurer les tables de routage dans le VCN-B pour envoyer le trafic destiné au CIDR du VCN-A vers l'attachement DRG.
  6. Mettre à jour les règles de sécurité : mettez à jour les règles de sécurité de chaque VCN pour activer le trafic entre les réseaux cloud virtuels appairés comme prévu. Reportez-vous à Tâche F : mettre à jour les règles de sécurité.

Cette page récapitule certaines conséquences en matière de contrôle d'accès, de sécurité et de performances pour les réseaux cloud virtuels appairés. Vous pouvez contrôler l'accès et le trafic entre deux réseaux cloud virtuels appairés à l'aide de stratégies IAM, de tables de routage dans chaque VCN, de tables de routage dans le DRG et de listes de sécurité dans chaque VCN.

Récapitulatif des composants Networking pour l'appairage via un DRG

A un niveau général, les composants de service Networking requis pour un appairage local via un DRG sont les suivants :

  • Deux réseaux cloud virtuels de la même région avec des CIDR qui ne se chevauchent pas
  • Une seule passerelle de routage dynamique (DRG) attachée à chaque VCN homologue
  • Des règles de routage de prise en charge autorisant la circulation du trafic sur la connexion, et uniquement vers et depuis des sous-réseaux sélectionnés dans les réseaux cloud virtuels respectifs (si nécessaire)
  • Des règles de sécurité de prise en charge contrôlant les types de trafic autorisés vers et depuis les instances des sous-réseaux devant communiquer avec l'autre réseau cloud virtuel

Le diagramme suivant illustre les composants.

Cette image présente la disposition de base de deux réseaux cloud virtuels appairés localement, comportant chacun une passerelle d'appairage local.
Remarque

Un VCN particulier peut atteindre les ressources suivantes :

  • Cartes d'interface réseau virtuelles de l'autre réseau cloud virtuel
  • Réseau sur site attaché à l'autre réseau cloud virtuel si un scénario de routage avancé appelé routage de transit a été configuré pour les réseaux cloud virtuels

Deux réseaux cloud virtuels interconnectés avec un DRG ne peuvent pas atteindre d'autres passerelles cloud (telles qu'une passerelle Internet ou NAT) à l'exception du routage de transit via une passerelle d'appairage local. Par exemple, si VCN-1 dans le diagramme précédent comportaient une passerelle Internet, les instances de VCN-2 ne pourraient pas l'employer pour envoyer du trafic vers des adresses sur Internet. Cependant, VCN-2 pourrait recevoir du trafic d'Internet via VCN-1. Pour plus d'informations, reportez-vous à Conséquences importantes liées à l'appairage de réseaux cloud virtuels.

Concepts importants de l'appairage local

Les concepts suivants vous aident à comprendre les notions de base de l'appairage de réseaux cloud virtuels à l'aide d'une passerelle de routage dynamique et la procédure d'établissement d'un appairage local.

Appairage
Un appairage est une relation entre deux réseaux cloud virtuels qui se connectent au même DRG et peuvent acheminer mutuellement le trafic. Le terme local dans appairage local indique que les réseaux cloud virtuels se trouvent dans la même région. Un DRG particulier peut avoir un maximum de 300 pièces jointes DRG locales à la fois.
Attention

Les réseaux cloud virtuels homologues ne doivent pas présenter de chevauchement de CIDR.
Administrateurs
En général, l'appairage de réseaux cloud virtuels ne peut être effectué que si tous les administrateurs de réseau cloud virtuel et de passerelle de routage dynamique impliqués sont d'accord. Selon le cas, un seul administrateur peut être responsable de tous les réseaux cloud virtuels et passerelles de routage dynamique impliqués, et des stratégies associées.
Pour plus d'informations sur les stratégies requises et la configuration VCN, reportez-vous à Stratégies IAM pour le routage entre les réseaux cloud virtuels.
Routage vers la passerelle de routage dynamique
Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit mettre à jour le routage de réseau cloud virtuel pour permettre au trafic de circuler entre ces réseaux. En pratique, cela équivaut au routage configuré pour n'importe quelle passerelle (comme une passerelle internet ou une passerelle de routage dynamique). Pour chaque sous-réseau qui doit communiquer avec l'autre réseau cloud virtuel, vous mettez à jour la table de routage associée. La règle de routage indique le CIDR du trafic de destination et le DRG comme cible. Le VCN achemine le trafic correspondant à cette règle vers le DRG, qui à son tour achemine le trafic vers le saut suivant dans l'autre VCN.
Dans le diagramme suivant, VCN-1 et VCN-2 sont appairés. Le trafic d'une instance du sous-réseau A (10.0.0.15), destiné à une instance de VCN-2 (192.168.0.15), est acheminé vers la passerelle de routage dynamique en fonction de la règle figurant dans la table de routage du sous-réseau A. Le trafic est ensuite acheminé vers VCN-2, puis vers sa destination dans le sous-réseau X. Dans ce scénario, le DRG utilise une table de routage par défaut.
Cette image montre les tables de routage et le trajet du trafic acheminé d'un réseau cloud virtuel vers l'autre.
Numéro 1 : table de routage de sous-réseau A
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 Passerelle de routage dynamique
0.0.0.0/0 Passerelle Internet
Numéro 2 : table de routage de sous-réseau X
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
10.0.0.0/16 Passerelle de routage dynamique
Règles de sécurité
Chaque sous-réseau d'un réseau cloud virtuel dispose de listes de sécurité qui contrôlent le trafic entrant et sortant des cartes d'interface réseau virtuelles du sous-réseau au niveau du paquet. Vous pouvez utiliser des listes de sécurité pour déterminer le type de trafic autorisé avec l'autre réseau cloud virtuel. Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit décider quels sous-réseaux de son propre VCN doivent communiquer avec les cartes d'interface réseau virtuelles de l'autre VCN et mettre à jour les listes de sécurité de son sous-réseau pour qu'elles correspondent.
Si vous utilisez des groupes de sécurité réseau pour implémenter des règles de sécurité, vous pouvez écrire pour un groupe des règles de sécurité spécifiant un autre groupe comme source ou destination du trafic. Cependant, les deux groupes de sécurité réseau doivent appartenir au même réseau cloud virtuel.

Configuration de ce scénario dans la Console

Tâche A : créer une passerelle de routage dynamique

Un DRG créé avant mai 2021 ne peut pas effectuer de routage entre les réseaux sur site et plusieurs réseaux cloud virtuels, ni fournir un appairage local entre les réseaux cloud virtuels. Si vous avez besoin de cette fonctionnalité et que vous voyez un bouton Mettre à niveau le DRG, sélectionnez-le.

Remarque

La sélection du bouton Mettre à niveau DRG réinitialise également toutes les sessions BGP existantes et interrompt temporairement le trafic à partir du réseau sur site pendant la mise à niveau de DRG. N'oubliez pas que vous ne pouvez pas annuler la mise à niveau.

Si vous utilisez un DRG dans la même région que les réseaux cloud virtuels à homologue, suivez les étapes décrites dans Création d'un DRG.

Tâche B : attacher VCN-A à la passerelle de routage dynamique
Remarque

Une passerelle de routage dynamique mise à niveau peut être attachée à plusieurs réseaux cloud virtuels, mais un réseau cloud virtuel ne peut être attaché qu'à une seule passerelle de routage dynamique à la fois. L'attachement est automatiquement créé dans le compartiment qui contient le réseau cloud virtuel. Un VCN n'a pas besoin d'être dans le même compartiment ou la même location que le DRG mis à niveau.

Vous pouvez éliminer les connexions d'appairage local de la conception réseau globale si vous connectez plusieurs VPN de la même région au même DRG et configurez les tables de routage DRG de manière appropriée.

L'appairage de réseaux cloud virtuels dans des locations différentes requiert davantage d'inter-location pour l'autorisation IAM. Pour plus de détails sur les droits d'accès requis, reportez-vous à Stratégies IAM pour le routage entre les réseaux cloud virtuels. Lorsque vous attachez un VCN dans une autre région à un DRG, suivez les étapes décrites dans Attachement d'un DRG à un VCN dans une autre location.

Attachez le VCN-A au DRG que vous avez créé dans la tâche A. Vous pouvez attacher un DRG à un VCN ou attacher un VCN à un DRG.

Tâche C : attacher VCN-B à la passerelle de routage dynamique
Remarque

Une passerelle de routage dynamique peut être attachée à plusieurs réseaux cloud virtuels, mais un réseau cloud virtuel ne peut être attaché qu'à une seule passerelle de routage dynamique à la fois. L'attachement est automatiquement créé dans le compartiment qui contient le réseau cloud virtuel. Un VCN n'a pas besoin d'être dans le même compartiment que le DRG.

Vous pouvez éliminer les connexions d'appairage local de la conception réseau globale si vous connectez plusieurs VPN de la même région au même DRG et configurez les tables de routage DRG de manière appropriée.

L'appairage de réseaux cloud virtuels dans des locations différentes requiert davantage d'inter-location pour l'autorisation IAM. Pour plus de détails sur les droits d'accès requis, reportez-vous à Stratégies IAM pour le routage entre les réseaux cloud virtuels. Lorsque vous attachez un VCN dans une autre région à un DRG, suivez les étapes décrites dans Attachement d'un DRG à un VCN dans une autre location.

Attachez le VCN-B au DRG que vous avez créé dans la tâche A. Vous pouvez attacher un DRG à un VCN ou attacher un VCN à un DRG.

Tâche D : configurer les tables de routage de VCN-A pour envoyer le trafic destiné au CIDR de VCN-B vers l'attachement de passerelle de routage dynamique

Comme mentionné plus haut, chaque administrateur peut effectuer cette tâche avant ou après l'attachement du réseau cloud virtuel à la passerelle de routage dynamique.

Prérequis : chaque administrateur doit disposer du bloc CIDR pour l'autre VCN ou pour des sous-réseaux spécifiques de ce VCN.

Pour VCN-A, déterminez les sous-réseaux de VCN-A qui doivent communiquer avec VCN-B et mettez à jour la table de routage pour chacun de ces sous-réseaux afin d'inclure une nouvelle règle qui dirige le trafic destiné au CIDR de l'autre VCN vers le DRG. Utilisez les paramètres suivants :

  • Type de cible : passerelle de routage dynamique.
  • Bloc CIDR de destination : bloc CIDR de VCN-B. Vous pouvez éventuellement spécifier un sous-réseau ou un sous-ensemble particulier du CIDR de VCN-B.
  • Compartiment cible : compartiment avec l'autre VCN, sinon le compartiment en cours.
  • Cible : DRG créé dans la tâche A.
  • Description : description facultative de la règle.

Tout trafic de sous-réseau dont les destinations correspondent à la règle est acheminé vers le DRG. Pour plus d'informations sur la configuration des règles de routage, reportez-vous à Tables de routage de réseau cloud virtuel.

Si à l'avenir vous n'avez plus besoin de l'appairage et que vous voulez mettre fin à la relation d'appairage, supprimez d'abord toutes les règles de routage du VCN qui spécifient l'autre VCN.

Conseil

Sans le routage requis, le trafic ne circule pas entre les réseaux cloud virtuels appairés. Si vous devez arrêter temporairement la relation d'appairage, enlevez les règles de routage qui autorisent le trafic.
Tâche E : configurer les tables de routage de VCN-B pour envoyer le trafic destiné au CIDR de VCN-A vers l'attachement de passerelle de routage dynamique

Comme mentionné plus haut, chaque administrateur peut effectuer cette tâche avant ou après l'attachement du réseau cloud virtuel à la passerelle de routage dynamique.

Prérequis : chaque administrateur doit connaître le bloc CIDR ou les sous-réseaux spécifiques de l'autre réseau cloud virtuel.

Pour VCN-B, déterminez les sous-réseaux de VCN-B qui doivent communiquer avec VCN-A et mettez à jour la table de routage pour chacun de ces sous-réseaux afin d'inclure une nouvelle règle qui dirige le trafic destiné au CIDR de l'autre VCN vers le DRG. Utilisez les paramètres suivants :

  • Type de cible : passerelle de routage dynamique.
  • Bloc CIDR de destination : bloc CIDR de VCN-A. Vous pouvez éventuellement spécifier un sous-réseau ou un sous-ensemble particulier du bloc CIDR du réseau cloud virtuel A.
  • Compartiment cible : compartiment avec l'autre VCN, sinon le compartiment en cours.
  • Cible : DRG créé dans la tâche A.
  • Description : description facultative de la règle.

Tout trafic de sous-réseau dont les destinations correspondent à la règle est acheminé vers le DRG. Pour plus d'informations sur la configuration des règles de routage, reportez-vous à Tables de routage de réseau cloud virtuel.

Si par la suite vous n'avez plus besoin de l'appairage et souhaitez mettre fin à la relation d'appairage, supprimez toutes les règles de routage du VCN qui spécifient l'autre VCN comme cible.

Conseil

Sans le routage requis, le trafic ne circule pas entre les réseaux cloud virtuels appairés. Si vous avez besoin d'arrêter temporairement l'appairage, vous pouvez supprimer les règles de routage qui activent le trafic.
Tâche F : mettre à jour les règles de sécurité

Comme mentionné plus haut, chaque administrateur peut effectuer cette tâche avant ou après l'établissement de la connexion.

Prérequis : chaque administrateur doit connaître le bloc CIDR ou les sous-réseaux spécifiques de l'autre réseau cloud virtuel. En général, utilisez le même bloc CIDR que celui utilisé dans la règle de table de routage dans Tâche E : configurer les tables de routage.

Ajoutez les règles suivantes :

  • Règles entrantes pour les types de trafic que vous souhaitez autoriser à partir du CIDR de l'autre VCN ou de sous-réseaux spécifiques.
  • Règle sortante pour autoriser le trafic sortant du VCN local vers l'autre VCN. Si le sous-réseau comporte déjà une règle sortante générale pour tous les types de protocole vers toutes les destinations (0.0.0.0/0), alors il n'est pas nécessaire d'ajouter une règle spéciale pour l'autre réseau cloud virtuel.
Remarque

La procédure suivante utilise des listes de sécurité, mais vous pouvez à la place implémenter des règles de sécurité dans un groupe de sécurité réseau, puis créer les ressources du sous-réseau dans ce groupe.

Pour chaque VCN, déterminez les sous-réseaux du VCN local qui doivent communiquer avec l'autre VCN et mettez à jour la liste de sécurité pour chacun de ces sous-réseaux afin d'inclure des règles qui autorisent le trafic sortant ou entrant prévu avec le bloc ou le sous-réseau CIDR de l'autre VCN

Exemple

Pour ajouter une règle avec conservation de statut qui autorise le trafic HTTPS entrant (port 443) à partir du CIDR de l'autre VCN, utilisez les paramètres suivants pour implémenter cette règle :

  • Ne cochez pas la case sans conservation de statut.
  • Type de source : conservez la valeur CIDR.
  • CIDR source : entrez le même bloc CIDR que celui utilisé par les règles de routage (reportez-vous à la tâche D ou à la tâche E).
  • Protocole IP : conservez la valeur TCP.
  • Plage de ports source : conservez la valeur Tous.
  • Plage de ports de destination : entrez 443.
  • Description : description facultative de la règle.

Pour plus d'informations sur les règles de sécurité, reportez-vous à Règles de sécurité.