Documentation Oracle Cloud Infrastructure

Basculement à distance

Le scénario de basculement à distance montre comment laisser votre réseau sur site accéder à plusieurs réseaux cloud virtuels via un seul circuit virtuel FastConnect ou une seule connexion IPSec de VPN site à site, même si les réseaux cloud virtuels se trouvent dans des régions ou des locations différentes.

Présentation

Dans ce scénario, la connectivité est établie entre les réseaux cloud virtuels et le réseau sur site, mais pas entre les réseaux cloud virtuels. Ce choix de stratégie de routage est implémenté par la configuration des tables de routage de la passerelle de routage dynamique . Ce scénario ressemble sinon à un appairage à distance.

Ce scénario n'est disponible que pour une passerelle de routage dynamique mise à niveau.

Récapitulatif des composants de Networking pour le basculement unique

Globalement, les composants du service Networking requis pour un basculement unique incluent les éléments suivants :

  • Deux réseaux cloud virtuels avec des CIDR qui ne se chevauchent pas, dans différentes régions.

    Remarque

    Les CIDR de réseau cloud virtuel ne doivent pas se chevaucher.

    Les deux réseaux cloud virtuels de la relation d'appairage ne peuvent pas présenter de chevauchement de CIDR. En outre, si un réseau cloud virtuel donné comporte plusieurs relations d'appairage, les autres réseaux cloud virtuels ne doivent pas présenter de chevauchement de CIDR entre eux. Par exemple, si le réseau cloud virtuel VCN-1 est appairé avec VCN-2 et VCN-3, ces derniers ne doivent pas présenter de chevauchement de CIDR.

    Si vous configurez ce scénario, vous devez répondre à cette exigence lors de la phase de planification. Des problèmes de routage peuvent survenir en cas de chevauchement de CIDR, mais les opérations d'API ou la console ne vous empêchent pas de créer une configuration générant des problèmes.

  • Une passerelle de routage dynamique attachée à chaque réseau cloud virtuel dans la relation d'appairage. Votre réseau cloud virtuel dispose déjà d'une passerelle de routage dynamique si vous utilisez un VPN site à site ou un circuit virtuel privé Oracle Cloud Infrastructure FastConnect.
  • Deux tables de routage de passerelle de routage dynamique personnalisées : une pour acheminer le trafic vers les réseaux cloud virtuels et une pour l'acheminer vers le réseau sur site. Les tables de routage de passerelle de routage dynamique par défaut (une pour les attachements de réseau cloud virtuel locaux et une pour tous les autres attachements) ne sont pas utilisées une fois la configuration terminée.
  • Une connexion d'appairage à distance sur chaque passerelle de routage dynamique de la relation d'appairage.
  • Une connexion d'appairage à distance établie entre les deux connexions d'appairage à distance.
  • Des règles de routage de prise en charge autorisant la circulation du trafic sur la connexion, et uniquement vers et depuis des sous-réseaux sélectionnés dans les réseaux cloud virtuels respectifs (si nécessaire).
  • Des règles de sécurité de prise en charge contrôlant les types de trafic autorisés vers et depuis les instances des sous-réseaux devant communiquer avec l'autre réseau cloud virtuel.

Le diagramme suivant illustre les composants. VCN-1 est facultatif si votre intention principale est d'accéder à VCN-2. Des tables de routage et des règles de sécurité de prise en charge sont nécessaires dans chaque réseau cloud virtuel pour autoriser le trafic.

Cette image présente la disposition de base de deux réseaux cloud virtuels appairés à distance, comportant chacun une connexion d'appairage à distance sur la passerelle de routage dynamique.
Remarque

Un réseau cloud virtuel donné peut utiliser les connexions d'appairage à distance connectées uniquement pour atteindre le réseau sur site ou les réseaux cloud virtuels connectés à la passerelle de routage dynamique. Par exemple, si VCN-1 dans le diagramme précédent comportait une passerelle Internet, les instances de VCN-2 ne pourraient pas l'utiliser pour envoyer du trafic vers des adresses sur Internet. Pour plus d'informations, reportez-vous à Conséquences importantes liées à l'appairage.

Conséquences importantes liées à l'appairage

Si vous ne l'avez pas encore fait, lisez Conséquences importantes liées à l'appairage afin de comprendre les conséquences importantes en matière de contrôle d'accès, de sécurité et de performances pour les réseaux cloud virtuels appairés.

L'appairage de réseaux cloud virtuels dans des locations différentes présente des complications liées aux droits d'accès qui doivent être résolues dans les deux locations. Pour plus d'informations sur les droits d'accès requis, reportez-vous à Stratégies IAM pour le routage entre les réseaux cloud virtuels.

Concepts importants de l'appairage à distance

Les concepts suivants vous aident à comprendre les notions de base de l'appairage de réseaux cloud virtuels et la procédure d'établissement d'un appairage à distance.

Appairage
Un appairage désigne une relation d'appairage unique entre deux réseaux cloud virtuels. Exemple : si VCN-1 est appairé avec deux autres réseaux cloud virtuels, deux appairages existent. Le terme à distance dans appairage à distance indique que les réseaux cloud virtuels se trouvent dans des régions différentes. Pour cette méthode d'appairage à distance, les réseaux cloud virtuels peuvent se trouver dans la même location ou dans des locations différentes.
Administrateurs de réseau cloud virtuel
En général, l'appairage de réseaux cloud virtuels ne peut être effectué que si les deux administrateurs de réseau cloud virtuel sont d'accord. En pratique, les deux administrateurs doivent :
  • partager quelques informations de base,
  • se coordonner afin de configurer les stratégies Oracle Cloud Infrastructure Identity and Access Management requises pour permettre l'appairage,
  • configurer leur réseau cloud virtuel pour l'appairage.
Selon le cas, un seul administrateur peut être responsable des deux réseaux cloud virtuels et des stratégies associées. Les réseaux cloud virtuels peuvent appartenir à la même location ou à différentes locations.
Pour plus d'informations sur les stratégies requises et la configuration VCN, reportez-vous à Stratégies IAM pour le routage entre les réseaux cloud virtuels.
Accepteur et demandeur
Afin d'implémenter les stratégies IAM requises pour l'appairage, les deux administrateurs de réseau cloud virtuel doivent désigner l'un d'eux comme demandeur et l'autre comme accepteur. Le demandeur est chargé de lancer la demande de connexion des deux connexions d'appairage à distance. L'accepteur doit ensuite créer une stratégie IAM particulière qui autorise le demandeur à se connecter aux connexions d'appairage à distance de son compartiment . Sans cette stratégie, la demande de connexion du demandeur échoue.
Abonnement de région
Pour effectuer un appairage avec un réseau cloud virtuel d'une autre région, votre location doit d'abord être abonnée à la région en question. Pour plus d'informations sur l'abonnement, reportez-vous à Gestion des régions.
Connexion d'appairage à distance
Une connexion d'appairage à distance est un composant que vous créez sur la passerelle de routage dynamique attachée à votre réseau cloud virtuel. La connexion d'appairage à distance fait office de point de connexion pour un réseau cloud virtuel appairé à distance. Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit créer une connexion d'appairage à distance pour la passerelle de routage dynamique de ceux-ci. Un DRG donné doit disposer d'un RPC distinct pour chaque appairage distant qu'il établit pour le VCN. Pour reprendre l'exemple précédent : la passerelle de routage dynamique de VCN-1 contiendrait deux connexions d'appairage à distance à appairer avec deux autres réseaux cloud virtuels. Dans l'API, l'objet RemotePeeringConnection contient des informations sur l'appairage. Vous ne pouvez pas réutiliser une connexion d'appairage à distance pour établir un autre appairage ultérieurement.
Connexion entre deux connexions d'appairage à distance
Lorsque le demandeur lance la demande d'appairage (dans la console ou l'API), il demande concrètement, connecter les deux connexions d'appairage à distance. Le demandeur doit disposer d'informations pour identifier chaque connexion d'appairage à distance (comme sa région et son OCID ).
L'administrateur de réseau cloud virtuel peut mettre fin à un appairage en supprimant la connexion d'appairage à distance. Dans ce cas, le statut de l'autre connexion d'appairage à distance devient REVOKED. Sinon, il peut mettre la connexion hors service en enlevant les règles de routage qui permettent au trafic de circuler sur la connexion (reportez-vous à la section suivante).
Routage vers la passerelle de routage dynamique
Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit mettre à jour le routage de réseau cloud virtuel pour permettre au trafic de circuler entre ces réseaux. Pour chaque sous-réseau devant communiquer avec le réseau sur site, vous mettez à jour la table de routage du sous-réseau. La règle de routage spécifie le CIDR du trafic de destination et votre passerelle de routage dynamique en tant que cible. La passerelle de routage dynamique achemine le trafic correspondant à cette règle vers l'autre passerelle de routage dynamique, qui l'achemine ensuite vers le saut suivant de l'autre réseau cloud virtuel.
Règles de sécurité
Chaque sous-réseau d'un réseau cloud virtuel dispose de listes de sécurité qui contrôlent le trafic entrant et sortant des cartes d'interface réseau virtuelles du sous-réseau au niveau du paquet. Vous pouvez utiliser des listes de sécurité pour déterminer le type de trafic autorisé avec l'autre réseau cloud virtuel. Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit déterminer quels sous-réseaux de leur réseau cloud virtuel doivent communiquer avec les cartes d'interface réseau virtuelles de l'autre réseau cloud virtuel, et mettre à jour les listes de sécurité de leurs sous-réseaux en conséquence.
Si vous utilisez des groupes de sécurité réseau pour implémenter des règles de sécurité, vous pouvez écrire pour un groupe des règles de sécurité spécifiant un autre groupe comme source ou destination du trafic. Cependant, les deux groupes de sécurité réseau doivent appartenir au même réseau cloud virtuel.

Configuration du basculement unique

Avant de tenter d'implémenter ce scénario, vérifiez les points suivants :

  1. VCN-1 est attaché à DRG-1 dans la région 1 conformément aux étapes décrites dans Attachement d'un réseau cloud virtuel à une passerelle de routage dynamique.
  2. VCN-2 est attaché à DRG-2 dans la région 2 conformément aux étapes décrites dans Attachement d'un réseau cloud virtuel à une passerelle de routage dynamique.
  3. VCN-2 est appairé à VCN-1 en suivant les étapes décrites dans Appairage VCN à distance via un DRG mis à niveau
  4. Les deux passerelles de routage dynamique ne sont sinon pas modifiées.
  5. Le circuit virtuel FastConnect 1 se trouve dans la région 1 et est connecté à DRG-1 en suivant la méthode qui correspond à la source du circuit virtuel (partenaire Oracle, colocalisation Oracle, fournisseur tiers), comme décrit dans la documentation FastConnect.

Le diagramme suivant illustre l'état de départ avant l'implémentation de ce scénario. VCN-1 et VCN-2 sont appairés. Le trafic d'une instance du sous-réseau A (10.0.0.15), destiné à une instance de VCN-2 (192.168.0.15), est acheminé vers la passerelle de routage dynamique DRG-1 en fonction de la règle figurant dans la table de routage du sous-réseau A. Le trafic est ensuite acheminé vers DRG-2 via les connexions d'appairage à distance, puis, de là, vers la destination dans le sous-réseau X. Le réseau sur site peut accéder aux ressources de VCN-1, mais pas de VCN-2.

Cette image montre les tables de routage et le trajet du trafic acheminé d'une passerelle de routage dynamique vers l'autre.

Numéro 1 : table de routage de sous-réseau A
CIDR de destination Cible du routage
0.0.0.0/0 Passerelle Internet
192.168.0.0/16 Passerelle de routage dynamique DRG-1
172.16.0.0/12 Passerelle de routage dynamique DRG-1

Numéro 2 : table de routage de sous-réseau X
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle de routage dynamique DRG-2

Le scénario de basculement implémenté décrit dans le diagramme suivant ne permet pas aux réseaux cloud virtuels d'acheminer du trafic entre eux. VCN-1 et VCN-2 sont appairés. Le trafic d'une ressource sur site de votre réseau (172.16.0.10), destiné à une instance de VCN-2 (192.168.0.15), est acheminé vers la passerelle de routage dynamique DRG-1 en fonction de la règle figurant dans la table de routage d'attachement IPSEC_TUNNEL To-on-premises. Le trafic est ensuite acheminé vers DRG-2 via l'attachement de connexion d'appairage à distance, puis vers la destination dans le sous-réseau X.

Cette image montre les tables de routage et le trajet du trafic acheminé d'une passerelle de routage dynamique vers l'autre.
Numéro 1 : table de routage de passerelle de routage dynamique DRG-1 RT-OnPrem
CIDR de destination Cible du routage Type
10.0.0.0/16 Attachement de réseau cloud virtuel Dynamique
192.168.0.0/16 Attachement de connexion d'appairage à distance Dynamique
Numéro 2 : table de routage de passerelle de routage dynamique DRG-1 RT-VCN
CIDR de destination Cible du routage Type
172.16.0.0/12 Attachement de circuit virtuel Dynamique
Numéro 3 : table de routage de passerelle de routage dynamique DRG-1 RT-RPC
CIDR de destination Cible du routage Type
172.16.0.0/12 Attachement de circuit virtuel Dynamique
Numéro 4 : table de routage de sous-réseau X
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique DRG-2
Remarque

Comme mentionné précédemment, un réseau cloud virtuel donné peut utiliser l'attachement de connexion d'appairage à distance de la passerelle de routage dynamique connectée pour atteindre uniquement les cartes d'interface réseau virtuelles de votre réseau sur site, et non des destinations sur Internet. Par exemple, dans le diagramme précédent, VCN-2 ne peut pas utiliser la passerelle Internet attachée à VCN-1.

Etapes

Ces étapes sont toutes effectuées sur DRG-1 :

Etape 1 : création de tables de routage de passerelle de routage dynamique

Cette table ne nécessite aucun routage statique.

  1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connexion client, cliquez sur Passerelle de routage dynamique.

  2. Cliquez sur la passerelle de routage dynamique qui vous intéresse, DRG-1.
  3. Sous Ressources, cliquez sur Tables de routage de passerelle de routage dynamique.
  4. Cliquez sur Créer une table de routage de passerelle de routage dynamique.

  5. Entrez les informations suivantes :

    • Nom : entrez "RT-VCN" ou choisissez un autre nom descriptif.

  6. Cliquez sur Créer une table de routage de passerelle de routage dynamique.

Répétez ces étapes pour créer deux autres tables de routage vides nommées "RT-OnPrem" et "RT-RPC" avant de passer à la tâche suivante.

Etape 2 : création d'une distribution de routage d'import pour "RT-VCN"

Créez une distribution de routage d'import pour l'attachement de passerelle de routage dynamique utilisé par VCN-1. La distribution de routage d'import contiendra une instruction acceptant les routages des attachements de type circuit virtuel.

  1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connexion client, cliquez sur Passerelle de routage dynamique.

  2. Cliquez sur la passerelle de routage dynamique qui vous intéresse, DRG-1.
  3. Sous Ressources, cliquez sur Distributions de routage d'import.
  4. Cliquez sur Créer une distribution de routage d'import.

  5. Entrez les informations suivantes :

    • Nom : entrez "Import-VCN" ou choisissez un autre nom descriptif.
    • Priorité : entrez "10" ou choisissez un autre numéro de priorité.
    • Type de correspondance : sélectionnez Type d'attachement.

      Type d'attachement : choisissez Circuit virtuel.

    Remarque

    Lorsque vous utilisez l'option Type d'attachement, la distribution de routage d'import inclut les routages à partir de tous les attachements à la passerelle de routage dynamique qui présentent le type choisi.

  6. Cliquez sur Créer une distribution de routage d'import une fois que vous avez terminé.

  7. Sous Ressources, cliquez sur Tables de routage de passerelle de routage dynamique.
  8. Cliquez sur le nom de la table de routage à affecter à la nouvelle distribution de routage d'import, "RT-VCN".
  9. Cliquez sur Modifier.
  10. Cliquez sur Activer la distribution de routage d'import : cette option vous permet d'affecter une distribution de routage d'import à la table de routage afin que celle-ci apprenne dynamiquement les nouveaux routages en fonction des publications BGP.
    • Choisissez la distribution de routage d'import que vous avez créée lors des étapes précédentes, nommée "Import-VCN".
  11. Cliquez sur Enregistrer les modifications.
Etape 3 : création d'une distribution de routage d'import pour "RT-OnPrem"

Créez une distribution de routage d'import pour l'attachement de passerelle de routage dynamique utilisé par l'attachement de circuit virtuel. La distribution de routage d'import contiendra deux instructions, l'une acceptant les routages des attachements de type réseau cloud virtuel et l'autre acceptant ceux des attachements de type connexion d'appairage à distance.

  1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connexion client, cliquez sur Passerelle de routage dynamique.

  2. Cliquez sur la passerelle de routage dynamique qui vous intéresse, DRG-1.
  3. Sous Ressources, cliquez sur Distributions de routage d'import.
  4. Cliquez sur Créer une distribution de routage d'import.

  5. Entrez les informations suivantes :

    • Nom : entrez "Import-OnPrem" ou choisissez un autre nom descriptif.
    • Priorité : entrez "10" ou choisissez un autre numéro de priorité.
    • Type de correspondance : sélectionnez Type d'attachement.

      Type d'attachement : choisissez Réseau cloud virtuel.

  6. Cliquez sur + Autre instruction pour ajouter une autre instruction de distribution de routage.
    • Priorité : entrez "20" ou choisissez un autre numéro de priorité.
    • Type de correspondance : sélectionnez Type d'attachement.

    • Type d'attachement : choisissez Connexion d'appairage à distance.

      Remarque

      Lorsque vous utilisez l'option Type d'attachement, la distribution de routage d'import inclut les routages à partir de tous les attachements à la passerelle de routage dynamique qui présentent le type connexion d'appairage à distance. Toute connexion d'appairage à distance à des réseaux cloud virtuels d'autres régions sera incluse.

  7. Cliquez sur Créer une distribution de routage d'import une fois que vous avez terminé.

  8. Sous Ressources, cliquez sur Tables de routage de passerelle de routage dynamique.
  9. Cliquez sur le nom de la table de routage à affecter à la nouvelle distribution de routage d'import, "RT-OnPrem".
  10. Cliquez sur Modifier.
  11. Cliquez sur Activer la distribution de routage d'import : cette option vous permet d'affecter une distribution de routage d'import à la table de routage afin que celle-ci apprenne dynamiquement les nouveaux routages en fonction des publications BGP.
    • Choisissez la distribution de routage d'import que vous avez créée lors des étapes précédentes, nommée "Import-OnPrem".
  12. Cliquez sur Enregistrer les modifications.
Etape 4 : création d'une distribution de routage d'import pour "RT-RPC"

Créez une distribution de routage d'import pour l'attachement de passerelle de routage dynamique utilisé par l'attachement de connexion d'appairage à distance. La distribution de routage d'import contiendra une instruction acceptant les routages des attachements de type circuit virtuel.

  1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connexion client, cliquez sur Passerelle de routage dynamique.

  2. Cliquez sur la passerelle de routage dynamique qui vous intéresse, DRG-1.
  3. Sous Ressources, cliquez sur Distributions de routage d'import.
  4. Cliquez sur Créer une distribution de routage d'import.

  5. Entrez les informations suivantes :

    • Nom : entrez "Import-RPC" ou choisissez un autre nom descriptif.
    • Priorité : entrez "10" ou choisissez un autre numéro de priorité.
    • Type de correspondance : sélectionnez Type d'attachement.

      Type d'attachement : choisissez Circuit virtuel.

    Remarque

    Si vous souhaitez que les réseaux cloud virtuels inter-régions communiquent entre eux, importez l'attachement de connexion d'appairage à distance dans la distribution d'import utilisée par RT-VCN et l'attachement de réseau cloud virtuel dans celle utilisée par RT-RPC.

  6. Cliquez sur Créer une distribution de routage d'import une fois que vous avez terminé.

  7. Sous Ressources, cliquez sur Tables de routage de passerelle de routage dynamique.
  8. Cliquez sur le nom de la table de routage à affecter à la nouvelle distribution de routage d'import, "RT-RPC".
  9. Cliquez sur Modifier.
  10. Cliquez sur Activer la distribution de routage d'import : cette option vous permet d'affecter une distribution de routage d'import à la table de routage afin que celle-ci apprenne dynamiquement les nouveaux routages en fonction des publications BGP.
    • Choisissez la distribution de routage d'import que vous avez créée lors des étapes précédentes, nommée "Import-RPC".
  11. Cliquez sur Enregistrer les modifications.
Etape 5 : réaffectation des tables de routage d'attachement

  1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connexion client, cliquez sur Passerelle de routage dynamique.

  2. Cliquez sur le nom de la passerelle de routage dynamique qui vous intéresse, DRG-1.
  3. Sous Ressources, cliquez sur Attachements des réseaux cloud virtuels.
  4. Cliquez sur le nom de l'attachement de passerelle de routage dynamique utilisé par VCN-1.
  5. Cliquez sur Modifier.
  6. Cliquez sur Afficher les options avancées.
  7. Remplacez la table de routage de passerelle de routage dynamique générée automatiquement pour les attachements VCN par "RT-VCN".
  8. Cliquez sur Enregistrer les modifications.
  9. Dans le chemin de navigation en haut de l'écran, cliquez sur le nom de la passerelle de routage dynamique qui vous intéresse, DRG-1.
  10. Sous Ressources, cliquez sur Attachements des circuits virtuels.
  11. Cliquez sur le nom de l'attachement de passerelle de routage dynamique utilisé par le circuit virtuel 1.
  12. Cliquez sur Modifier.
  13. Cliquez sur Afficher les options avancées.
  14. Remplacez la table de routage de passerelle de routage dynamique générée automatiquement pour les attachements RPC, VIRTUAL_CIRCUIT et IPSEC_TUNNEL par "RT-OnPrem".
  15. Cliquez sur Enregistrer les modifications.
  16. Dans le chemin de navigation en haut de l'écran, cliquez sur le nom de la passerelle de routage dynamique qui vous intéresse, DRG-1.
  17. Sous Ressources, cliquez sur Attachements des connexions d'appairage à distance.
  18. Cliquez sur le nom de l'attachement de passerelle de routage dynamique utilisé par la connexion d'appairage à distance RPC-1.
  19. Cliquez sur Modifier.
  20. Cliquez sur Afficher les options avancées.
  21. Remplacez la table de routage de passerelle de routage dynamique générée automatiquement pour les attachements RPC, VIRTUAL_CIRCUIT et IPSEC_TUNNEL par "RT-RPC".

Vous avez terminé la configuration du basculement unique. A ce stade, tous les paquets envoyés d'un réseau cloud virtuel local ou distant vers le réseau sur site sont envoyés à la passerelle de routage dynamique mutuellement attachée, puis au réseau sur site.