Scénario A : sous-réseau public
Cette rubrique explique comment configurer le scénario A, qui comporte un réseau cloud virtuel et un sous-réseau public régional. Des serveurs publics se trouvent dans des domaines de disponibilité distincts à des fins de redondance. Le réseau cloud virtuel est directement connecté à Internet via une passerelle Internet . La passerelle est également utilisée pour assurer la connectivité à votre réseau sur site. Toute ressource du réseau sur site devant communiquer avec des ressources du réseau cloud virtuel doit disposer d'une adresse IP publique et d'un accès à Internet.
Le sous-réseau utilise la liste de sécurité par défaut, qui comporte des règles par défaut conçues pour faciliter la prise en main d'Oracle Cloud Infrastructure. Les règles autorisent les accès requis classiques (par exemple, les connexions SSH entrantes et tous les types de connexion sortante). N'oubliez pas que les règles de liste de sécurité ne font qu'autoriser le trafic. Tout trafic non explicitement couvert par une règle de liste de sécurité est implicitement refusé.
Ce scénario n'utilise pas de passerelle de routage dynamique.
Dans ce scénario, vous ajoutez des règles supplémentaires à la liste de sécurité par défaut. Vous pourriez également créer une liste de sécurité personnalisée pour ces règles. Vous configureriez ensuite le sous-réseau de sorte qu'il utilise les listes de sécurité par défaut et personnalisée.
Les listes de sécurité constituent un moyen de contrôler le trafic entrant et sortant des ressources du réseau cloud virtuel. Vous pouvez également utiliser des groupes de sécurité réseau, afin d'appliquer un ensemble de règles de sécurité à un ensemble de ressources ayant toutes le même état de sécurité.
Le sous-réseau utilise la table de routage par défaut, qui ne contient aucune règle au moment de la création du réseau cloud virtuel. Dans ce scénario, la table n'a qu'une seule règle pour la passerelle Internet.
La figure suivante présente des ressources avec des adresses IP publiques dans un sous-réseau public régional, avec des ressources redondantes dans le même sous-réseau mais dans un domaine de disponibilité différent. La table de routage de sous-réseau public permet à tout le trafic entrant d'entrer dans le sous-réseau public via la passerelle Internet et de le quitter. Elle utilise la liste de sécurité par défaut et le routage local intégré au réseau cloud virtuel. Les hôtes sur site doivent disposer d'adresses IP publiques pour communiquer avec les ressources de réseau cloud virtuel sur Internet.
CIDR de destination | Cible du routage |
---|---|
0.0.0.0/0 | Passerelle Internet |
Stratégie IAM requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès sécurisé dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous indique que vous n'êtes pas autorisé à le faire, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.
Si vous êtes membre du groupe Administrateurs, vous disposez déjà de l'accès requis pour implémenter le scénario A. Sinon, vous devez avoir accès à Networking et être en mesure de lancer des instances. Reportez-vous à Stratégies IAM pour Networking.
Configuration du scénario A dans la console
La configuration dans la console est simple.
S'il s'agit de votre première création d'un VCN, l'assistant abordé à l'adresse Create a VCN with Internet Connectivity est un moyen facile de créer un VCN avec des sous-réseaux publics et privés, des passerelles et les règles de routage et de sécurité nécessaires pour fournir un accès Internet aux instances et autres ressources du VCN. Si vous utilisez l'assistant pour effectuer cette tâche, il peut gérer les tâches 1 à 5 dans ce scénario.
- Ouvrez le menu de navigation, cliquez sur Mise en réseau, puis sur Réseaux cloud virtuels.
- Sous Portée de la liste, sélectionnez un compartiment pour lequel vous êtes autorisé à travailler sur les mises à jour de page in.The afin d'afficher uniquement les ressources de ce compartiment. En cas de doute sur le compartiment à utiliser, contactez un administrateur. Pour plus d'informations, reportez-vous à Contrôle d'accès. Remarque
Pour que vous puissiez créer une ressource, la limite de service correspondante ne doit pas déjà être atteinte. Une fois la limite de service atteinte pour un type de ressource, vous pouvez enlever les ressources non utilisées de ce type ou demander une augmentation de limite de service. - Cliquez sur Créer un réseau cloud virtuel.
- Entrez les informations suivantes :
- Nom : nom descriptif du réseau cloud virtuel. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
- Créer dans le compartiment : à laisser tel quel.
- Blocs IPv4 CIDR : jusqu'à cinq blocs IPv4 CIDR qui ne se chevauchent pas pour le VCN, mais au moins un. Par exemple : 172.16.0.0/16. Vous pouvez ajouter ou enlever des blocs CIDR ultérieurement. Reportez-vous à Taille de réseau cloud virtuel et plages d'adresses autorisées. Pour référence, voici un calculateur de CIDR.
- Utiliser les noms d'hôte DNS dans ce VCN : cette option est requise pour affecter les noms d'hôte DNS aux hôtes du VCN et requise si vous prévoyez d'utiliser la fonctionnalité DNS par défaut du VCN (appelée Résolveur Internet et VCN). Si vous sélectionnez cette option, vous pouvez indiquer un libellé DNS pour le VCN ou autoriser la console à en générer un pour vous. La boîte de dialogue affiche automatiquement le nom de domaine DNS correspondant au VCN (
<VCN_DNS_label>.oraclevcn.com
). Pour plus d'informations, reportez-vous à DNS dans votre réseau cloud virtuel. - Préfixes IPv6 : vous pouvez demander qu'un seul préfixe IPv6 /56 alloué par Oracle soit affecté à ce VCN. Vous pouvez également affecter un préfixe BYOIPv6 ou ULA au réseau cloud virtuel. Cette option est disponible pour toutes les régions commerciales et gouvernementales. Pour plus d'informations sur IPv6, reportez-vous à Adresses IPv6.
- Balises : si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour l'appliquer. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas sûr d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer les balises ultérieurement.
-
Cliquez sur Créer un réseau cloud virtuel.
Le réseau cloud virtuel est ensuite créé et affiché sur la page Réseaux cloud virtuels du compartiment choisi.
- Lorsque vous visualisez le réseau cloud virtuel, cliquez sur Créer un sous-réseau.
-
Entrez les informations suivantes :
- Nom : nom convivial du sous-réseau (par exemple, Sous-réseau public régional). Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
- régionale ou propre à un domaine de disponibilité : sélectionnez régionale (recommandé), ce qui signifie que le sous-réseau couvre tous les domaines de disponibilité de la région. Par la suite, lorsque vous lancez une instance, vous pouvez la créer dans n'importe quel domaine de disponibilité de la région. Pour plus d'informations, reportez-vous à Présentation des réseaux cloud virtuels et des sous-réseaux.
- Bloc CIDR : bloc CIDR unique et contigu au sein du bloc CIDR du réseau cloud virtuel. Par exemple : 172.16.0.0/24. Vous ne pouvez pas modifier cette valeur ultérieurement. Pour référence, voici un calculateur de CIDR.
- Activer l'affectation d'adresse IPv6 : cette option est disponible uniquement si le VCN est activé pour IPv6. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6.
- Table de routage : sélectionnez la table de routage par défaut.
- Sous-réseau privé ou public : sélectionnez Sous-réseau public, ce qui signifie que les instances du sous-réseau peuvent éventuellement avoir des adresses IP publiques. Pour plus d'informations, reportez-vous à Accès à Internet.
- Utiliser les noms d'hôte DNS dans ce sous-réseau : cette option est disponible uniquement si une étiquette DNS a été fournie pour le VCN lors de sa création. L'option est requise pour l'affectation des noms d'hôte DNS aux hôtes du sous-réseau, ainsi que lorsque vous prévoyez d'utiliser la fonctionnalité DNS par défaut du VCN (appelée Résolveur Internet et VCN). Si vous cochez la case, vous pouvez indiquer un libellé DNS pour le sous-réseau ou laisser la console en générer un pour vous. La boîte de dialogue affiche automatiquement le nom de domaine DNS correspondant au sous-réseau en tant que nom de domaine qualifié complet. Pour plus d'informations, reportez-vous à DNS dans votre réseau cloud virtuel.
- Options DHCP : sélectionnez l'ensemble d'options DHCP par défaut.
- Listes de sécurité : vérifiez que la liste de sécurité par défaut est sélectionnée.
- Balises : à laisser tel quel. Vous pouvez ajouter des balises ultérieurement. Pour plus d'informations, reportez-vous à Balises de ressource.
-
Cliquez sur Créer un sous-réseau.
Le sous-réseau est alors créé et affiché sur la page Sous-réseaux.
- Sous Ressources, cliquez sur Passerelles Internet.
- Cliquez sur Créer une passerelle Internet.
-
Entrez les informations suivantes :
- Nom : nom convivial de la passerelle Internet. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
- Créer dans le compartiment : à laisser tel quel.
- Balises : à laisser tel quel. Vous pouvez ajouter des balises ultérieurement. Pour plus d'informations, reportez-vous à Balises de ressource.
-
Cliquez sur Créer une passerelle Internet.
La passerelle Internet est créée et affichée sur la page Passerelles Internet. La passerelle est déjà activée, mais vous devez ajouter une règle de routage autorisant le trafic vers la passerelle.
Au début, la table de routage par défaut n'a pas de règle. Vous ajoutez ici une règle qui achemine l'ensemble du trafic destiné aux adresses situées en dehors du réseau cloud virtuel vers la passerelle Internet. L'existence de cette règle permet également aux connexions entrantes de passer d'Internet au sous-réseau, via la passerelle Internet. Les règles de liste de sécurité permettent de contrôler les types de trafic autorisés vers et depuis les instances du sous-réseau (reportez-vous à la tâche suivante).
Aucune règle de routage n'est nécessaire pour acheminer le trafic au sein du réseau cloud virtuel lui-même.
- Sous Ressources, cliquez sur Tables de routage.
- Cliquez sur la table de routage par défaut pour en visualiser les détails.
- Cliquez sur Ajouter une règle de routage.
-
Entrez les informations suivantes :
- Type de cible : passerelle Internet
- Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que l'ensemble du trafic non interne à un réseau cloud virtuel et qui n'est pas déjà couvert par d'autres règles de la table de routage est acheminé vers la cible spécifiée dans cette règle).
- Compartiment : compartiment dans lequel se trouve la passerelle Internet.
- Cible : passerelle Internet créée.
- Description : description facultative de la règle.
- Cliquez sur Ajouter une règle de routage.
La table de routage par défaut comprend désormais une règle pour la passerelle Internet. Etant donné que le sous-réseau a été configuré pour utiliser la table de routage par défaut, ses ressources peuvent désormais utiliser la passerelle Internet. L'étape suivante consiste à indiquer les types de trafic à autoriser vers et depuis les instances que vous créez ultérieurement dans le sous-réseau.
Vous avez précédemment configuré le sous-réseau pour qu'il utilise la liste de sécurité par défaut du réseau cloud virtuel. A présent, vous ajoutez des règles de liste de sécurité qui autorisent les types de connexion dont ont besoin les instances du réseau cloud virtuel.
Par exemple : pour un sous-réseau public avec une passerelle Internet, les instances (serveur Web) que vous lancez peuvent avoir besoin de recevoir des connexions HTTPS entrantes à partir d'Internet. Voici comment ajouter une règle supplémentaire à la liste de sécurité par défaut afin d'autoriser le trafic :
- Sous Ressources, cliquez sur Listes de sécurité.
- Cliquez sur la liste de sécurité par défaut pour visualiser ses détails. Par défaut, vous accédez à la page Règles entrantes.
- Cliquez sur Ajouter une règle entrante.
-
Afin d'autoriser les connexions entrantes pour HTTPS (port TCP 443), entrez les informations suivantes :
- Sans conservation de statut : option non sélectionnée (il s'agit d'une règle avec conservation de statut)
- Type de source : CIDR
- CIDR source : 0.0.0.0/0
- Protocole IP : TCP
- Plage de ports source : tous
- Plage de ports de destination : 443
- Description : description facultative de la règle.
- Cliquez sur Ajouter une règle entrante.
Règle de liste de sécurité pour les instances Windows
Si vous êtes sur le point de lancer des instances Windows, vous devez ajouter une règle de liste de sécurité autorisant l'accès RDP (Remote Desktop Protocol). Plus précisément, vous avez besoin d'une règle entrante avec conservation de statut pour le trafic TCP sur le port de destination 3389 à partir de la source 0.0.0.0/0 et d'un port source. Pour plus d'informations, reportez-vous à Listes de sécurité.
Pour un réseau cloud virtuel de production, vous configurez généralement des listes de sécurité personnalisées pour chaque sous-réseau. Si vous le souhaitez, vous pouvez modifier le sous-réseau pour qu'il utilise différentes listes de sécurité. Si vous choisissez de ne pas utiliser la liste de sécurité par défaut, faites-le uniquement après avoir évalué attentivement les règles par défaut à dupliquer dans votre liste de sécurité personnalisée. Par exemple : les règles ICMP par défaut de la liste de sécurité par défaut sont importantes pour recevoir les messages de connectivité.
L'étape suivante consiste à créer des instances dans le sous-réseau. Le diagramme du scénario montre des instances dans deux domaines de disponibilité différents. Lorsque vous créez une instance, vous choisissez le domaine de disponibilité, le réseau cloud virtuel et le sous-réseau à utiliser, ainsi que d'autres caractéristiques.
Chaque instance obtient automatiquement une adresse IP privée. Lorsque vous créez une instance dans un sous-réseau public, vous indiquez si elle obtient une adresse IP publique. Avec cette configuration réseau dans le scénario A, vous devez affecter une adresse IP publique à chaque instance. Sinon, vous ne pourrez pas y accéder via la passerelle Internet. La valeur par défaut (pour un sous-réseau public) permet à l'instance d'obtenir une adresse IP publique.
Après avoir créé une instance dans ce scénario, vous pouvez vous y connecter sur Internet avec SSH ou RDP à partir du réseau sur site ou d'un autre emplacement sur Internet. Pour plus d'informations et d'instructions, reportez-vous à Lancement d'une instance.
Configuration du scénario A avec l'API
Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la Documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.
Utilisez les opérations suivantes :
- CreateVcn : incluez toujours un libellé DNS pour le réseau cloud virtuel si vous souhaitez que les instances disposent de noms d'hôte (reportez-vous à DNS dans votre réseau cloud virtuel).
- CreateSubnet : créez un sous-réseau public régional. Incluez un libellé DNS pour le sous-réseau si vous souhaitez que les instances aient des noms d'hôte. Utilisez la table de routage par défaut, la liste de sécurité par défaut et l'ensemble d'options DHCP par défaut.
- CreateInternetGateway
- UpdateRouteTable : pour permettre la communication avec la passerelle Internet, mettez à jour la table de routage par défaut afin d'inclure une règle de routage dont la destination est 0.0.0.0/0 et dont la cible de destination correspond à la passerelle Internet. Cette règle achemine l'ensemble du trafic destiné aux adresses situées en dehors du réseau cloud virtuel vers la passerelle Internet. Aucune règle de routage n'est nécessaire pour acheminer le trafic au sein du réseau cloud virtuel lui-même.
- UpdateSecurityList : permet d'autoriser des types spécifiques de connexion vers et depuis les instances du sous-réseau.
Règle de liste de sécurité pour les instances Windows
L'étape suivante consiste à créer des instances dans le sous-réseau. Le diagramme du scénario montre des instances dans deux domaines de disponibilité différents. Lorsque vous créez une instance, vous choisissez le domaine de disponibilité, le réseau cloud virtuel et le sous-réseau à utiliser, ainsi que d'autres caractéristiques.
Chaque instance obtient automatiquement une adresse IP privée. Lorsque vous créez une instance dans un sous-réseau public, vous indiquez si elle obtient une adresse IP publique. Avec cette configuration réseau dans le scénario A, vous devez affecter une adresse IP publique à chaque instance. Sinon, vous ne pourrez pas y accéder via la passerelle Internet. La valeur par défaut (pour un sous-réseau public) permet à l'instance d'obtenir une adresse IP publique.
Après avoir créé une instance dans ce scénario, vous pouvez vous y connecter sur Internet avec SSH ou RDP à partir du réseau sur site ou d'un autre emplacement sur Internet. Pour plus d'informations et d'instructions, reportez-vous à Lancement d'une instance.