Documentation Oracle Cloud Infrastructure

Scénario A : sous-réseau public

Le scénario A se compose d'un réseau cloud virtuel (VCN) avec un sous-réseau public régional , requis pour la connectivité réseau aux instances Compute dans une location. Les serveurs publics sont créés dans des domaines de disponibilité (AD) distincts à des fins de redondance, et le VCN utilise des sous-réseaux régionaux car ils sont plus flexibles et plus faciles à diviser efficacement un VCN en sous-réseaux tout en tenant compte des pannes potentielles. Le réseau cloud virtuel est directement connecté à Internet via une passerelle Internet . La passerelle est également utilisée pour assurer la connectivité à un réseau sur site. Toute ressource d'un réseau sur site qui doit communiquer avec les ressources de ce VCN doit disposer d'une adresse IP publique et d'un accès à Internet.

La prise en main d'Oracle Cloud Infrastructure est facile car le sous-réseau utilise une liste de sécurité par défaut initiale. Cette liste contient les règles de sécurité qui autorisent l'accès standard requis (par exemple, les connexions SSH entrantes et tout type de connexion sortante). N'oubliez pas que les règles de liste de sécurité autorisent uniquement le trafic et le trafic non explicitement autorisés par une règle de liste de sécurité sont implicitement refusés. Il en va de même pour les règles de routage, qui exigent également que le trafic sortant soit explicitement autorisé et que le trafic vers des destinations spécifiques soit envoyé à la passerelle nécessaire. Les destinations de routage en dehors du VCN doivent être accessibles via une passerelle que vous créez et spécifiez explicitement dans une table de routage associée au sous-réseau utilisé par une ressource.

Dans ce scénario, vous ajoutez une nouvelle règle à la liste de sécurité par défaut. Cette règle est requise pour permettre aux instances Compute d'accéder à Internet. Vous pouvez plutôt créer une liste de sécurité personnalisée pour cette règle et configurer le sous-réseau de manière à ce qu'il utilise à la fois la liste de sécurité par défaut et la liste de sécurité personnalisée, mais cela n'entre pas dans le cadre de ce scénario.

Conseil

Les listes de sécurité constituent un moyen de contrôler le trafic entrant et sortant des ressources du réseau cloud virtuel. Vous pouvez également utiliser des groupes de sécurité réseau

Dans ce scénario, le sous-réseau utilise également la table de routage par défaut, qui commence avec aucune règle lors de la création du VCN. La table n'a besoin que d'une seule règle pour la passerelle Internet.

Ce scénario n'utilise pas de passerelle de routage dynamique (DRG).

La figure suivante présente des ressources avec des adresses IP publiques dans un sous-réseau public régional, avec des ressources redondantes dans le même sous-réseau mais dans un domaine de disponibilité différent. La table de routage de sous-réseau public permet à tout le trafic entrant d'entrer et de quitter le sous-réseau public via la passerelle Internet, utilise la liste de sécurité par défaut et utilise le routage local intégré au VCN. Les hôtes sur site doivent disposer d'adresses IP publiques pour communiquer avec les ressources VCN sur Internet.

Cette image montre le scénario A : un réseau cloud virtuel avec un sous-réseau public régional et une passerelle Internet.
Numéro 1 : table de routage de sous-réseau public régional
CIDR de destination Cible du routage
0.0.0.0/0 Passerelle Internet

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel un administrateur de location a accordé un accès de sécurité dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'avez pas d'autorisation ou que vous n'êtes pas autorisé, vérifiez auprès de l'utilisateur le type d'accès qui vous est accordé et le compartiment dans lequel vous travaillez.

Si vous êtes membre du groupe administrateurs, vous avez probablement déjà l'accès requis pour implémenter le scénario A. Sinon, vous devez avoir accès à Networking et être en mesure de créer des instances. Reportez-vous à Stratégies IAM pour Networking.

Configuration du scénario A dans la console

La configuration dans la console est simple.

Remarque

Si vous n'avez pas encore créé de VCN, le workflow abordé dans Création d'un VCN avec connectivité Internet est un moyen facile de créer un VCN avec des sous-réseaux publics et privés, des passerelles, ainsi que les règles de routage et les règles de sécurité nécessaires pour fournir un accès Internet aux instances et aux autres ressources du VCN. Si vous utilisez le workflow pour effectuer cette tâche, le workflow peut remplacer les tâches 1 à 5 dans ce scénario.
Tâche 1 : créer le réseau cloud virtuel
  1. Ouvrez le menu de navigation , sélectionnez Fonctions de réseau, puis Réseaux cloud virtuels.
  2. Sous Portée de la liste, sélectionnez un compartiment pour lequel vous êtes autorisé à travailler sur les mises à jour de page in.The afin d'afficher uniquement les ressources de ce compartiment. En cas de doute sur le compartiment à utiliser, contactez un administrateur. Pour plus d'informations, reportez-vous à Contrôle d'accès.
    Remarque

    Pour que vous puissiez créer une ressource, la limite de service correspondante ne doit pas déjà être atteinte. Une fois la limite de service atteinte pour un type de ressource, vous pouvez enlever les ressources non utilisées de ce type ou demander une augmentation de limite de service.
  3. Sélectionnez Créer un VCN.
  4. Entrez les informations suivantes :
    • Nom : nom descriptif du réseau cloud virtuel. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (même si vous pouvez le modifier avec l'API). Evitez de saisir des informations confidentielles.
    • Créer dans le compartiment : à laisser tel quel.
    • Blocs IPv4 CIDR : saisissez au moins un bloc IPv4 CIDR et jusqu'à cinq blocs pour le VCN. Les blocs CIDR ne peuvent pas se chevaucher. Par exemple : 172.16.0.0/16. Vous pouvez ajouter ou enlever des blocs CIDR ultérieurement. Reportez-vous à Taille de réseau cloud virtuel et plages d'adresses autorisées. Pour référence, voici un calculateur de CIDR.
    • Utiliser les noms d'hôte DNS dans ce VCN : cette option est requise pour affecter des noms d'hôte DNS à des hôtes dans le VCN et est requise si vous prévoyez d'utiliser la fonctionnalité DNS par défaut du VCN (appelée résolveur Internet et VCN). Si vous sélectionnez cette option, vous pouvez spécifier une étiquette DNS pour le VCN ou laisser la console en générer une pour vous. La boîte de dialogue affiche automatiquement le nom de domaine DNS correspondant pour le VCN (<VCN_DNS_label>.oraclevcn.com). Pour plus d'informations, reportez-vous à la section DNS dans un réseau cloud virtuel.
    • Préfixes IPv6 : vous pouvez demander à ce qu'un seul préfixe IPv6 /56 alloué par Oracle soit affecté au réseau cloud virtuel. Vous pouvez également affecter un préfixe BYOIPv6 ou ULA au réseau cloud virtuel. Cette option est disponible pour toutes les régions commerciales et gouvernementales. Pour plus d'informations sur IPv6, reportez-vous à Adresses IPv6.
    • Balises : si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à forme libre. Pour appliquer une balise defined, vous devez être autorisé à utiliser la balise namespace. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas sûr d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.

  5. Sélectionnez Créer un réseau cloud virtuel.

    Le réseau cloud virtuel est ensuite créé et affiché sur la page Réseaux cloud virtuels du compartiment choisi.

Tâche 2 : créer le sous-réseau public régional
  1. Tout en affichant le VCN, sélectionnez Créer un sous-réseau.

  2. Entrez les informations suivantes :

    • Nom : nom convivial du sous-réseau (par exemple, Sous-réseau public régional). Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
    • Rrégionale ou propre à un domaine de disponibilité : sélectionnez régionale (recommandé), ce qui signifie que le sous-réseau couvre tous les domaines de disponibilité de la région. Plus tard, lorsque vous créez une instance, vous pouvez la créer dans n'importe quel domaine de disponibilité de la région. Pour plus d'informations, reportez-vous à Domaines de disponibilité et réseaux cloud virtuels.
    • Bloc CIDRIPv4 CIDR IPv4 : bloc CIDR unique et contigu au sein du bloc CIDR du VCN. Par exemple : 172.16.0.0/24. Vous ne pouvez pas modifier cette valeur ultérieurement. Pour référence, voici un calculateur de CIDR.
    • Préfixes IPv6 : vous pouvez demander un préfixe IPv6 /64 alloué par Oracle, ou saisir des préfixes BYOIPv6 ou ULA. Un sous-réseau peut comporter au maximum trois préfixes IPv6. Une fois que vous avez affecté un préfixe IPv6 à un VCN, au moins un préfixe IPv6 doit toujours lui être affecté. Cette option est disponible pour les réseaux cloud virtuels dans toutes les régions commerciales et gouvernementales, si le VCN est déjà activé pour IPv6. Pour plus d'informations, reportez-vous à Adresses IPv6.
    • Table de routage : sélectionnez la table de routage par défaut.
    • sous-réseau privé ou public : sélectionnez sous-réseau public, ce qui signifie que les instances du sous-réseau peuvent éventuellement avoir des adresses IP publiques. Pour plus d'informations, reportez-vous à Accès à Internet.
    • Utiliser les noms d'hôte DNS dans ce sous-réseau : cette option n'est disponible que si une étiquette DNS a été fournie pour le VCN lors de sa création. Cette option est requise pour l'affectation des noms d'hôte DNS aux hôtes du sous-réseau, ainsi que lorsque vous prévoyez d'utiliser la fonctionnalité DNS par défaut du VCN (appelée Résolveur Internet et VCN). Si vous cochez la case, vous pouvez indiquer un libellé DNS pour le sous-réseau ou laisser la console en générer un pour vous. La boîte de dialogue affiche automatiquement le nom de domaine DNS correspondant au sous-réseau en tant que nom de domaine qualifié complet. Pour plus d'informations, reportez-vous à la section DNS dans un réseau cloud virtuel.
    • Options DHCP : sélectionnez l'ensemble d'options DHCP à associer au sous-réseau. Si vous avez déjà activé la sélection de compartiment, indiquez d'abord le compartiment qui contient l'ensemble d'options DHCP.
    • Listes de sécurité : vérifiez que la liste de sécurité par défaut est sélectionnée.
    • Afficher les options de balisage : sélectionnez ce lien pour afficher les options permettant d'ajouter des balises au sous-réseau. Si vous disposez des droits d'accès nécessaires pour créer une ressource, vous pouvez également lui appliquer des balises à forme libre. Pour appliquer une balise defined, vous devez être autorisé à utiliser la balise namespace. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas sûr d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.

  3. Sélectionnez Créer un sous-réseau.

    Le sous-réseau est alors créé et affiché sur la page Sous-réseaux.

Tâche 3 : créer la passerelle Internet
  1. Tout en visualisant le VCN, sous Ressources, sélectionnez Passerelles Internet.
  2. Sélectionnez Créer une passerelle Internet.

  3. Entrez les informations suivantes :

    • Nom : nom convivial de la passerelle Internet. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
    • Créer dans le compartiment : à laisser tel quel.
    • Vous pouvez sélectionner Afficher les options avancées pour définir les options suivantes :
      • Association de table de routage : (option avancée) conservez la valeur telle quelle. Vous pouvez associer une table de routage VCN spécifique à cette passerelle. Après avoir associé une table de routage, la passerelle doit toujours être associée à une table de routage. Vous pouvez modifier les règles de la table de routage en cours ou la remplacer par une autre.
      • Balises : (option Avancé) conservez la valeur telle quelle. Si vous disposez des droits d'accès nécessaires pour créer une ressource, vous pouvez également lui appliquer des balises à forme libre. Pour appliquer une balise defined, vous devez être autorisé à utiliser la balise namespace. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas sûr d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.

  4. Sélectionnez Créer une passerelle Internet.

    La passerelle Internet est créée et affichée sur la page Passerelles Internet. La passerelle est déjà activée, mais vous devez ajouter une règle de routage autorisant le trafic vers la passerelle.

Tâche 4 : mettre à jour la table de routage par défaut pour utiliser la passerelle Internet

Au début, la table de routage par défaut n'a pas de règle. Vous ajoutez ici une règle qui achemine l'ensemble du trafic destiné aux adresses situées en dehors du réseau cloud virtuel vers la passerelle Internet. L'existence de cette règle permet également aux connexions entrantes de passer d'Internet au sous-réseau, via la passerelle Internet. Les règles de liste de sécurité permettent de contrôler les types de trafic autorisés vers et depuis les instances du sous-réseau (reportez-vous à la tâche suivante).

Aucune règle de routage n'est nécessaire pour acheminer le trafic au sein du réseau cloud virtuel lui-même.

  1. Sous Ressources, sélectionnez Tables de routage.
  2. Sélectionnez la table de routage par défaut pour en visualiser les détails.
  3. Sélectionnez Ajouter une règle de routage.

  4. Entrez les informations suivantes :

    • Type de cible : passerelle Internet
    • Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que tout le trafic du VCN vers une destination en dehors du VCN qui n'est pas déjà couvert par d'autres règles dans la table de routage est dirigé vers la cible spécifiée dans cette règle).
    • Compartiment : compartiment contenant la passerelle Internet.
    • Cible : passerelle Internet créée.
    • Description : description facultative de la règle.
  5. Sélectionnez Ajouter des règles de routage.

La table de routage par défaut comprend désormais une règle pour la passerelle Internet. Etant donné que le sous-réseau a été configuré pour utiliser la table de routage par défaut, ses ressources peuvent désormais utiliser la passerelle Internet. L'étape suivante consiste à indiquer les types de trafic à autoriser vers et depuis les instances que vous créez ultérieurement dans le sous-réseau.

Tâche 5 : mettre à jour la liste de sécurité par défaut

Vous avez précédemment configuré le sous-réseau pour qu'il utilise la liste de sécurité par défaut du réseau cloud virtuel. A présent, vous ajoutez des règles de liste de sécurité qui autorisent les types de connexion dont ont besoin les instances du réseau cloud virtuel.

Par exemple : pour un sous-réseau public avec une passerelle Internet, les instances (serveur Web) que vous créez peuvent avoir besoin de recevoir des connexions HTTPS entrantes à partir d'Internet. Voici comment ajouter une règle supplémentaire à la liste de sécurité par défaut afin d'autoriser le trafic :

  1. Sous Ressources, sélectionnez Listes de sécurité.
  2. Sélectionnez la liste de sécurité par défaut pour visualiser ses détails. Par défaut, vous accédez à la page Règles entrantes.
  3. Sélectionnez Ajouter des règles entrantes.

  4. Afin d'autoriser les connexions entrantes pour HTTPS (port TCP 443), entrez les informations suivantes :

    • Sans conservation de statut : option non sélectionnée (il s'agit d'une règle avec conservation de statut)
    • Type de source : CIDR
    • CIDR source : 0.0.0.0/0
    • Protocole IP : TCP
    • Plage de ports source : tous
    • Plage de ports de destination : 443
    • Description : description facultative de la règle.
  5. Sélectionnez Ajouter une règle entrante.
Important

Règle de liste de sécurité pour les instances Windows

Si vous êtes sur le point de créer des instances Windows, vous devez ajouter une règle de liste de sécurité autorisant l'accès RDP. Pour activer RDP, vous avez besoin d'une règle entrante avec conservation de statut pour le trafic TCP sur le port de destination 3389 à partir de la source 0.0.0.0/0 et d'un port source. Pour plus d'informations, reportez-vous à Listes de sécurité.

Pour un réseau cloud virtuel de production, vous configurez généralement des listes de sécurité personnalisées pour chaque sous-réseau. Vous pouvez éventuellement modifier le sous-réseau pour qu'il utilise d'autres listes de sécurité. Si vous décidez de ne pas utiliser la liste de sécurité par défaut, faites-le uniquement après avoir évalué attentivement les règles par défaut à dupliquer dans une liste de sécurité personnalisée. Par exemple : les règles ICMP par défaut de la liste de sécurité par défaut sont importantes pour recevoir les messages de connectivité.

Tâche 6 : créer des instances dans des domaines de disponibilité distincts

L'étape suivante est de créer des instances dans le sous-réseau. Le diagramme du scénario montre des instances dans deux domaines de disponibilité différents. Lorsque vous créez l'instance, vous sélectionnez l'AD, le VCN et le sous-réseau à utiliser, ainsi que plusieurs autres caractéristiques.

Chaque instance obtient automatiquement une adresse IP privée. Lorsque vous créez une instance dans un sous-réseau public, vous indiquez si elle obtient une adresse IP publique. Avec cette configuration réseau dans le scénario A, vous devez affecter une adresse IP publique à chaque instance. Sinon, vous ne pourrez pas y accéder via la passerelle Internet. La valeur par défaut (pour un sous-réseau public) permet à l'instance d'obtenir une adresse IP publique.

Après avoir créé une instance dans ce scénario, vous pouvez vous y connecter sur Internet avec SSH ou RDP à partir d'un réseau sur site ou d'un autre emplacement sur Internet. Pour plus d'informations et d'instructions, reportez-vous à Création d'une instance.

Configuration du scénario A avec l'API

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la Documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Utilisez les opérations suivantes :

  1. CreateVcn : incluez toujours un libellé DNS pour le VCN si vous voulez que les instances aient des noms d'hôte (reportez-vous à DNS dans un réseau cloud virtuel).
  2. CreateSubnet : créez un sous-réseau public régional. Incluez un libellé DNS pour le sous-réseau si vous souhaitez que les instances aient des noms d'hôte. Utilisez la table de routage par défaut, la liste de sécurité par défaut et l'ensemble d'options DHCP par défaut.
  3. CreateInternetGateway
  4. UpdateRouteTable : pour permettre la communication avec la passerelle Internet, mettez à jour la table de routage par défaut afin d'inclure une règle de routage dont la destination est 0.0.0.0/0 et dont la cible de destination correspond à la passerelle Internet. Cette règle achemine l'ensemble du trafic destiné aux adresses situées en dehors du réseau cloud virtuel vers la passerelle Internet. Aucune règle de routage n'est nécessaire pour acheminer le trafic au sein du réseau cloud virtuel lui-même.
  5. UpdateSecurityList : permet d'autoriser des types spécifiques de connexion vers et depuis les instances du sous-réseau.
Important

Règle de liste de sécurité pour les instances Windows

Si vous êtes sur le point de créer des instances Windows, vous devez ajouter une règle de liste de sécurité autorisant l'accès RDP. Pour activer RDP, vous avez besoin d'une règle entrante avec conservation de statut pour le trafic TCP sur le port de destination 3389 à partir de la source 0.0.0.0/0 et d'un port source. Pour plus d'informations, reportez-vous à Listes de sécurité.

L'étape suivante est de créer des instances dans le sous-réseau. Le diagramme du scénario montre des instances dans deux domaines de disponibilité différents. Lorsque vous créez l'instance, vous sélectionnez l'AD, le VCN et le sous-réseau à utiliser, ainsi que plusieurs autres caractéristiques.

Chaque instance obtient automatiquement une adresse IP privée. Lorsque vous créez une instance dans un sous-réseau public, vous indiquez si elle obtient une adresse IP publique. Avec cette configuration réseau dans le scénario A, vous devez affecter une adresse IP publique à chaque instance. Sinon, vous ne pourrez pas y accéder via la passerelle Internet. La valeur par défaut (pour un sous-réseau public) permet à l'instance d'obtenir une adresse IP publique.

Après avoir créé une instance dans ce scénario, vous pouvez vous y connecter sur Internet avec SSH ou RDP à partir d'un réseau sur site ou d'un autre emplacement sur Internet. Pour plus d'informations et d'instructions, reportez-vous à Création d'une instance.