Documentation Oracle Cloud Infrastructure

Scénario C : sous-réseaux public et privé avec un VPN

Cette rubrique explique comment configurer le scénario C, qui est un exemple simple de configuration à plusieurs niveaux. Il comprend un réseau cloud virtuel avec un sous-réseau public  régional destiné à contenir des serveurs publics (tels que des serveurs Web) et un sous-réseau privé  régional destiné à comporter des serveurs privés (tels que des serveurs de base de données). Des serveurs se trouvent dans des domaines de disponibilité  distincts à des fins de redondance.

Le réseau cloud virtuel dispose d'une passerelle de routage dynamique  et d'un VPN site à site pour assurer la connectivité à votre réseau sur site. Les instances du sous-réseau public disposent d'un accès direct à Internet via une passerelle Internet . Les instances du sous-réseau privé peuvent lancer des connexions à Internet via une passerelle NAT  (pour obtenir des mises à jour logicielles, par exemple), mais ne peuvent pas recevoir de connexions entrantes à partir d'Internet via cette passerelle.

Chaque sous-réseau utilise la liste de sécurité par défaut, qui comporte des règles par défaut conçues pour faciliter la prise en main d'Oracle Cloud Infrastructure. Les règles autorisent les accès requis classiques (par exemple, les connexions SSH entrantes et tous les types de connexion sortante). N'oubliez pas que les règles de liste de sécurité ne font qu'autoriser le trafic. Tout trafic non explicitement couvert par une règle de liste de sécurité est refusé.

Conseil

Les listes de sécurité constituent un moyen de contrôler le trafic entrant et sortant des ressources du réseau cloud virtuel. Vous pouvez également utiliser des groupes de sécurité réseau, afin d'appliquer un ensemble de règles de sécurité à un ensemble de ressources ayant toutes le même état de sécurité.

Ce scénario peut utiliser une passerelle de routage dynamique héritée ou mise à niveau.

Chaque sous-réseau dispose également d'une liste de sécurité et d'une table de routage personnalisées contenant des règles propres aux besoins des instances du sous-réseau. Dans ce scénario, la table de routage par défaut du réseau cloud virtuel (toujours vide dans un premier temps) n'est pas utilisée.

Reportez-vous à la figure suivante.

Cette image montre le scénario C : un réseau cloud virtuel avec des sous-réseaux public et privé, une passerelle Internet, une passerelle NAT et une connexion VPN IPSec.
Numéro 1 : table de routage de sous-réseau privé régional
CIDR de destination Cible du routage
0.0.0.0/0 Passerelle NAT
10.0.0.0/16 Passerelle de routage dynamique
Numéro 2 : table de routage de sous-réseau public régional
CIDR de destination Cible du routage
0.0.0.0/0 Passerelle Internet
Conseil

Le scénario utilise un VPN site à site pour la connectivité. Toutefois, vous pouvez utiliser Oracle Cloud Infrastructure FastConnect.

Prérequis

Pour configurer le VPN dans ce scénario, vous devez obtenir les informations suivantes auprès d'un administrateur réseau :

  • Adresse IP publique du CPE (Customer-Premises Equipment)  à votre extrémité du VPN
  • Routages statiques pour votre réseau sur site (ce scénario utilise le routage statique pour les tunnels VPN, mais vous pouvez également employer un routage dynamique BGP).

Vous fournissez ces informations à Oracle et recevez en retour les informations dont l'administrateur réseau a besoin pour configurer le routeur sur site à votre extrémité du VPN.

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès sécurisé dans une stratégie. Cet accès est requis que vous utilisiez la console ou l'API REST avec un kit SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message vous indiquant que vous n'avez pas d'autorisation, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment  dans lequel vous devez travailler.

Si vous êtes membre du groupe Administrateurs, vous disposez déjà de l'accès requis pour implémenter le scénario C. Sinon, vous devez avoir accès à Networking et être en mesure de lancer des instances. Reportez-vous à Stratégies IAM pour Networking.

Configuration du scénario C

La configuration dans la console est simple. Vous pouvez également utiliser l'API Oracle Cloud Infrastructure, qui vous permet d'implémenter les différentes opérations vous-même.

Important

Une grande partie de ce processus implique d'utiliser brièvement la console ou l'API (selon l'option que vous choisissez) afin de configurer les composants de Networking requis. De plus, une étape critique requiert qu'un administrateur réseau de votre organisation utilise les informations que vous recevez lors de la configuration des composants pour configurer le routeur sur site à votre extrémité du VPN. Vous ne pouvez donc pas terminer ce processus en une seule courte session. Faites une pause, le temps que l'administrateur réseau termine la configuration. Vérifiez ensuite l'établissement de la communication avec vos instances via le VPN.

Utilisation de la console

Tâche 1 : configurer le réseau cloud virtuel et les sous-réseaux

  1. Créez le réseau cloud virtuel :

    1. Ouvrez le menu de navigation, cliquez sur Fonctions de réseau, puis sur Réseaux cloud virtuels.
    2. Sous Portée de la liste, sélectionnez un compartiment dans lequel vous êtes autorisé à travailler. La page est mise à jour pour afficher uniquement les ressources du compartiment. En cas de doute sur le compartiment à utiliser, contactez un administrateur. Pour plus d'informations, reportez-vous à Contrôle d'accès.
    3. Cliquez sur Créer un réseau cloud virtuel.

    4. Entrez les informations suivantes :

      • Nom : nom convivial du réseau cloud virtuel. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
      • Créer dans le compartiment : à laisser tel quel.
      • Bloc CIDR : blocs CIDR qui ne se chevauchent pas pour le réseau cloud virtuel. Par exemple : 172.16.0.0/16. Vous pouvez ajouter ou enlever des blocs CIDR ultérieurement. Reportez-vous à Taille de réseau cloud virtuel et plages d'adresses autorisées. Pour référence, voici un calculateur de CIDR.
      • Activer l'affectation d'adresse IPv6 : l'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6.
      • Utiliser les noms d'hôte DNS dans ce VCN : Cette option est requise pour affecter des noms d'hôte DNS aux hôtes du VCN, et requise si vous prévoyez d'utiliser la fonctionnalité DNS par défaut du VCN (appelée résolveur Internet et VCN). Si vous sélectionnez cette option, vous pouvez indiquer un libellé DNS pour le VCN ou autoriser la console à en générer un pour vous. La boîte de dialogue affiche automatiquement le nom de domaine DNS correspondant au VCN (<VCN_DNS_label>.oraclevcn.com). Pour plus d'informations, reportez-vous à DNS dans votre réseau cloud virtuel.
      • Balises : à laisser tel quel. Vous pouvez ajouter des balises ultérieurement si vous le voulez. Pour plus d'informations, reportez-vous à Balises de ressource.

    5. Cliquez sur Créer un réseau cloud virtuel.

      Le réseau cloud virtuel est ensuite créé et affiché sur la page Réseaux cloud virtuels du compartiment choisi.

  2. Créez une passerelle Internet pour le réseau cloud virtuel :

    1. Sous Ressources, cliquez sur Passerelles Internet.
    2. Cliquez sur Créer une passerelle Internet.

    3. Entrez les informations suivantes :

      • Nom : nom convivial de la passerelle Internet. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
      • Créer dans le compartiment : à laisser tel quel.
      • Balises : à laisser tel quel. Vous pouvez ajouter des balises ultérieurement si vous le voulez. Pour plus d'informations, reportez-vous à Balises de ressource.

    4. Cliquez sur Créer une passerelle Internet.

      La passerelle Internet est alors créée et répertoriée sur la page.

  3. Créez une passerelle NAT pour le réseau cloud virtuel :

    1. Sous Ressources, cliquez sur Passerelles NAT.
    2. Cliquez sur Créer une passerelle NAT.

    3. Entrez les informations suivantes :

      • Nom : nom convivial de la passerelle NAT. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
      • Créer dans le compartiment : à laisser tel quel.
      • Balises : à laisser tel quel. Vous pouvez ajouter des balises ultérieurement si vous le voulez. Pour plus d'informations, reportez-vous à Balises de ressource.

    4. Cliquez sur Créer une passerelle NAT.

      La passerelle NAT est alors créée et répertoriée sur la page.

  4. Créez la table de routage personnalisée pour le sous-réseau public (créé ultérieurement) :

    1. Sous Ressources, cliquez sur Tables de routage.
    2. Cliquez sur Créer une table de routage.

    3. Entrez les informations suivantes :

      • Nom : nom convivial de la table de routage (par exemple, Table de routage du sous-réseau public). Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
      • Créer dans le compartiment : conservez la valeur par défaut (compartiment dans lequel vous travaillez actuellement).

      • Cliquez sur + Règle de routage supplémentaire, puis saisissez les éléments suivants :

        • Type de cible : passerelle Internet.
        • Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que l'ensemble du trafic non interne au réseau cloud virtuel et qui n'est pas encore couvert par d'autres règles de la table de routage est acheminé vers la cible spécifiée dans cette règle).
        • Compartiment : à laisser tel quel.
        • Cible : passerelle Internet créée.
        • Description : description facultative de la règle.
    4. Balises : à laisser tel quel. Vous pouvez ajouter des balises ultérieurement. Pour plus d'informations, reportez-vous à Balises de ressource.

    5. Cliquez sur Créer une table de routage.

      La table de routage est alors créée et répertoriée sur la page.

  5. Créez la table de routage personnalisée pour le sous-réseau privé (créé ultérieurement) :

    1. Cliquez sur Créer une table de routage.

    2. Entrez les informations suivantes :

      • Nom : nom convivial de la table de routage (par exemple, Table de routage du sous-réseau privé). Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
      • Créer dans le compartiment : conservez la valeur par défaut (compartiment dans lequel vous travaillez actuellement).

      • Cliquez sur + Règle de routage supplémentaire, puis saisissez les éléments suivants :

        • Type de cible : passerelle NAT.
        • Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que l'ensemble du trafic non interne au réseau cloud virtuel et qui n'est pas encore couvert par d'autres règles de la table de routage est acheminé vers la cible spécifiée dans cette règle).
        • Compartiment : à laisser tel quel.
        • Cible : passerelle NAT créée.
        • Description : description facultative de la règle.
    3. Balises : à laisser tel quel. Vous pouvez ajouter des balises ultérieurement. Pour plus d'informations, reportez-vous à Balises de ressource.

    4. Cliquez sur Créer une table de routage.

      La table de routage est alors créée et répertoriée sur la page. Une fois que vous avez configuré le VPN site à site, vous mettez à jour la table de routage du sous-réseau privé afin qu'elle achemine le trafic du sous-réseau privé vers le réseau sur site via la passerelle de routage dynamique.

  6. Mettez à jour la liste de sécurité par défaut pour inclure des règles qui autorisent les types de connexion dont ont besoin les instances du réseau cloud virtuel :

    1. Sous Ressources, cliquez sur Listes de sécurité.
    2. Cliquez sur la liste de sécurité par défaut pour visualiser ses détails. Par défaut, vous accédez à la page Règles entrantes.
    3. Modifiez chacune des règles entrantes avec conservation de statut existantes de sorte que le CIDR source soit le CIDR de votre réseau sur site (10.0.0.0/16 dans cet exemple) et non 0.0.0.0/0. Pour modifier une règle existante, cliquez sur le menu Actions (Menu Actions), puis sur Modifier.

    4. Si vous avez l'intention de lancer des instances Windows, ajoutez une règle autorisant l'accès RDP :

  7. Créez une liste de sécurité personnalisée pour le sous-réseau public :

    1. Revenez à la page Listes de sécurité du réseau cloud virtuel.
    2. Cliquez sur Créer une liste de sécurité.

    3. Entrez les informations suivantes :

      • Nom : saisissez le nom convivial de la liste (par exemple, Liste de sécurité du sous-réseau public). Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
      • Créer dans le compartiment : conservez la valeur par défaut (compartiment dans lequel vous travaillez actuellement).

    4. Ajoutez les règles entrantes suivantes :

      Exemple : accès HTTP entrant
      • Type : entrant
      • Sans conservation de statut : option non sélectionnée (il s'agit d'une règle avec conservation de statut)
      • Type de source : CIDR
      • CIDR source : 0.0.0.0/0
      • Protocole IP : TCP
      • Plage de ports source : tous
      • Plage de ports de destination : 80
      • Description : description facultative de la règle.
      Exemple : accès HTTPS entrant
      • Type : entrant
      • Sans conservation de statut : option non sélectionnée (il s'agit d'une règle avec conservation de statut)
      • Type de source : CIDR
      • CIDR source : 0.0.0.0/0
      • Protocole IP : TCP
      • Plage de ports source : tous
      • Plage de ports de destination : 443
      • Description : description facultative de la règle.

    5. Ajoutez la règle sortante suivante :

    6. Cliquez sur Créer une liste de sécurité.

      La liste de sécurité personnalisée du sous-réseau public est alors créée et répertoriée sur la page.

  8. Créez une liste de sécurité personnalisée pour le sous-réseau privé :

    1. Cliquez sur Créer une liste de sécurité.

    2. Entrez les informations suivantes :

      • Nom : saisissez le nom convivial de la liste (par exemple, Liste de sécurité du sous-réseau privé). Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
      • Créer dans le compartiment : conservez la valeur par défaut (compartiment dans lequel vous travaillez actuellement).

    3. Ajoutez les règles entrantes suivantes :

      Exemple : accès SQL*Net entrant à partir de clients du sous-réseau public
      • Type : entrant
      • Sans conservation de statut : option non sélectionnée (il s'agit d'une règle avec conservation de statut)
      • Type de source : CIDR
      • CIDR source : CIDR du sous-réseau public (172.16.1.0/24 dans cet exemple)
      • Protocole IP : TCP
      • Plage de ports source : tous
      • Plage de ports de destination : 1521
      • Description : description facultative de la règle.
      Exemple : accès SQL*Net entrant à partir de clients du sous-réseau privé
      • Type : entrant
      • Sans conservation de statut : option non sélectionnée (il s'agit d'une règle avec conservation de statut)
      • Type de source : CIDR
      • CIDR source : CIDR du sous-réseau privé (172.16.2.0/24 dans cet exemple)
      • Protocole IP : TCP
      • Plage de ports source : tous
      • Plage de ports de destination : 1521
      • Description : description facultative de la règle.

    4. Ajoutez les règles sortantes suivantes :

    5. Cliquez sur Créer une liste de sécurité.

      La liste de sécurité personnalisée du sous-réseau privé est alors créée et répertoriée sur la page.

  9. Créez les sous-réseaux dans le réseau cloud virtuel :

    1. Sous Ressources, cliquez sur Sous-réseaux.
    2. Cliquez sur Créer un sous-réseau.

    3. Entrez les informations suivantes :

      • Nom : nom convivial du sous-réseau public régional (par exemple, Sous-réseau privé régional). Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
      • Régional ou propre à un domaine de disponibilité : sélectionnez Régional (recommandé), ce qui signifie que le sous-réseau couvre tous les domaines de disponibilité de la région. Par la suite, lorsque vous lancez une instance, vous pouvez la créer dans n'importe quel domaine de disponibilité de la région. Pour plus d'informations, reportez-vous à Présentation des réseaux cloud virtuels et des sous-réseaux.
      • Bloc CIDR : bloc CIDR unique et contigu au sein du bloc CIDR du réseau cloud virtuel. Par exemple : 172.16.1.0/24. Vous ne pouvez pas modifier cette valeur ultérieurement. Pour référence, voici un calculateur de CIDR.
      • Activer l'affectation d'adresse IPv6 : cette option est disponible uniquement si le réseau cloud virtuel est compatible IPv6. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6.
      • Table de routage : sélectionnez la table de routage du sous-réseau privé créée précédemment.
      • Sous-réseau privé ou public : sélectionnez Sous-réseau privé, ce qui signifie que les cartes d'interface réseau virtuelles du sous-réseau ne sont pas autorisées à avoir des adresses IP publiques. Pour plus d'informations, reportez-vous à Accès à Internet.
      • Utiliser les noms d'hôte DNS dans ce sous-réseau : Cette option n'est disponible que si une étiquette DNS a été fournie pour le VCN lors de sa création. L'option est requise pour l'affectation de noms d'hôte DNS aux hôtes du sous-réseau, ainsi que si vous prévoyez d'utiliser la fonctionnalité DNS par défaut (appelée Résolveur Internet et de réseau cloud virtuel) du réseau cloud virtuel. Si vous cochez la case, vous pouvez indiquer un libellé DNS pour le sous-réseau ou laisser la console en générer un pour vous. La boîte de dialogue affiche automatiquement le nom de domaine DNS correspondant au sous-réseau en tant que nom de domaine qualifié complet. Pour plus d'informations, reportez-vous à DNS dans votre réseau cloud virtuel.
      • Options DHCP : sélectionnez l'ensemble d'options DHCP par défaut.
      • Listes de sécurité : sélectionnez deux listes de sécurité, la liste de sécurité par défaut et la liste de sécurité du sous-réseau privé créée précédemment.

    4. Cliquez sur Créer un sous-réseau.

      Le sous-réseau privé est alors créé et affiché sur la page Sous-réseaux.

    5. Répétez les étapes a à d précédentes pour créer le sous-réseau public régional. Toutefois, choisissez un nom tel que Sous-réseau public régional, sélectionnez Sous-réseau public au lieu de Sous-réseau privé et utilisez la table de routage du sous-réseau public, ainsi que la liste de sécurité par défaut et la liste de sécurité du sous-réseau public que vous avez créée précédemment.
Exemple : accès RDP entrant requis pour les instances Windows
  • Type : entrant
  • Sans conservation de statut : option non sélectionnée (il s'agit d'une règle avec conservation de statut)
  • Type de source : CIDR
  • CIDR source : votre réseau sur site (10.0.0.0/16 dans cet exemple)
  • Protocole IP : TCP
  • Plage de ports source : tous
  • Plage de ports de destination : 3389
  • Description : description facultative de la règle.
Exemple : accès SQL*Net sortant vers les bases de données Oracle
  • Type : sortant
  • Sans conservation de statut : option non sélectionnée (il s'agit d'une règle avec conservation de statut)
  • Type de destination : CIDR
  • CIDR de destination : CIDR du sous-réseau privé (172.16.1.0/24 dans cet exemple)
  • Protocole IP : TCP
  • Plage de ports source : tous
  • Plage de ports de destination : 1521
  • Description : description facultative de la règle.
Exemple : accès SQL*Net sortant vers des instances du sous-réseau privé
  • Type : sortant
  • Sans conservation de statut : option non sélectionnée (il s'agit d'une règle avec conservation de statut)
  • Type de destination : CIDR
  • CIDR de destination : CIDR du sous-réseau privé (172.16.1.0/24 dans cet exemple)
  • Protocole IP : TCP
  • Plage de ports source : tous
  • Plage de ports de destination : 1521
  • Description : description facultative de la règle.
Tâche 2 : créer des instances dans des domaines de disponibilité distincts

Vous pouvez maintenant créer des instances dans le sous-réseau (reportez-vous à Lancement d'une instance). Le diagramme du scénario montre des instances dans deux domaines de disponibilité différents. Lorsque vous créez une instance, vous choisissez le domaine de disponibilité, le réseau cloud virtuel et le sous-réseau à utiliser, ainsi que d'autres caractéristiques.

Vous devez affecter une adresse IP publique à chaque instance du sous-réseau public. L'instance n'est sinon pas disponible à partir du réseau sur site.

Vous ne pouvez pas encore atteindre les instances du sous-réseau privé car aucune passerelle ne connecte le réseau cloud virtuel au réseau sur site. La procédure suivante vous guide tout au long de la configuration d'un VPN site à site, destiné à permettre cette communication.

Tâche 3 : ajouter un VPN site à site au réseau cloud virtuel

  1. Créez un objet CPE (Customer-Premises Equipment) :

    1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connectivité client, cliquez sur CPE (Customer-premise Equipment).

    2. Cliquez sur Créer un CPE (Customer-Premise Equipment).

    3. Entrez les informations suivantes :

      • Créer dans le compartiment : conservez la valeur par défaut (compartiment dans lequel vous travaillez actuellement).
      • Nom : nom convivial de l'objet CPE. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
      • Adresse IP : adresse IP du routeur sur site à votre extrémité du VPN (reportez-vous à Prérequis).
    4. Cliquez sur Créer.

    L'objet CPE présente l'état Provisionnement pendant une courte période.

  2. Créez une passerelle de routage dynamique :

    1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connectivité client, cliquez sur Passerelle de routage dynamique.

    2. Cliquez sur Créer une passerelle de routage dynamique.
    3. Pour Créer dans le compartiment : conservez la valeur par défaut (compartiment dans lequel vous travaillez actuellement).
    4. Saisissez le nom convivial de la passerelle de routage dynamique. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
    5. Cliquez sur Créer.

    La passerelle de routage dynamique présente l'état Provisionnement pendant une courte période. Attendez qu'elle soit entièrement provisionnée avant de continuer.

  3. Attachez la passerelle de routage dynamique à votre réseau cloud virtuel :

    1. Cliquez sur la passerelle de routage dynamique que vous avez créée.
    2. Sous Ressources, cliquez sur Réseaux cloud virtuels.
    3. Cliquez sur Attacher au réseau cloud virtuel.
    4. Sélectionnez le réseau cloud virtuel. Ignorez la section relative aux options avancées. Elle ne concerne qu'un scénario de routage avancé non pertinent ici, appelé routage de transit.
    5. Cliquez sur Attacher.

    L'attachement présente l'état Attachement pendant une courte période.

  4. Mettez à jour la table de routage du sous-réseau privé (qui possède déjà une règle pour la passerelle NAT) :

    1. Ouvrez le menu de navigation, cliquez sur Fonctions de réseau, puis sur Réseaux cloud virtuels.
    2. Cliquez sur votre réseau cloud virtuel.
    3. Cliquez sur Tables de routage, puis sur la table de routage de sous-réseau privé créée précédemment.
    4. Cliquez sur Ajouter une règle de routage.

    5. Entrez les informations suivantes :

      • Type de cible : passerelle de routage dynamique. La passerelle de routage dynamique attachée du réseau cloud virtuel est automatiquement sélectionnée en tant que cible. Vous n'avez pas besoin d'indiquer de cible.
      • Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que l'ensemble du trafic non interne au réseau cloud virtuel et qui n'est pas encore couvert par d'autres règles de la table de routage est acheminé vers la cible spécifiée dans cette règle).
      • Description : description facultative de la règle.

    6. Cliquez sur Ajouter une règle de routage.

      La table est mise à jour afin d'acheminer le trafic destiné à votre réseau sur site vers la passerelle de routage dynamique. La règle d'origine pour 0.0.0.0/0 achemine le reste du trafic quittant le sous-réseau vers la passerelle NAT.

  5. Créez une connexion à IPSec :

    1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connectivité client, cliquez sur VPN site à site.

    2. Cliquez sur Créer une connexion IPSec.

    3. Entrez les informations suivantes :

      • Créer dans le compartiment : conservez la valeur par défaut (compartiment dans lequel vous travaillez actuellement).
      • Nom : entrez le nom convivial de la connexion IPSec. Il ne doit pas nécessairement être unique. Evitez de saisir des informations confidentielles.
      • Compartiment de CPE (Customer-Premises Equipment) : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
      • CPE (Customer-Premise Equipment) : sélectionnez l'objet CPE que vous avez créé précédemment.
      • Compartiment de la passerelle de routage dynamique : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
      • Passerelle de routage dynamique : sélectionnez la passerelle de routage dynamique que vous avez créée précédemment.
      • CIDR de routage statique : saisissez au moins un CIDR de routage statique (reportez-vous à Prérequis). Si vous devez en ajouter un autre, cliquez sur Ajouter un routage statique. Vous pouvez entrer jusqu'à 10 routages statiques et les modifier ultérieurement.
    4. Cliquez sur Afficher les options avancées et, si vous le souhaitez, indiquez les éléments suivants :
      • Identificateur IKE CPE : Oracle utilise par défaut l'adresse IP publique du CPE. Cependant, si le CPE se trouve derrière un dispositif NAT, vous devrez peut-être saisir une autre valeur. Vous pouvez saisir la nouvelle valeur ici ou la modifier ultérieurement.
      • Tunnel 1 et Tunnel 2 : conservez la valeur telle quelle. Plus tard, si vous voulez utiliser le routage dynamique BGP au lieu du routage statique pour les tunnels VPN, reportez-vous à Passage d'un routage statique à un routage dynamique BGP.
      • Balises : à laisser tel quel. Vous pouvez ajouter des balises ultérieurement. Pour plus d'informations, reportez-vous à Balises de ressource.

    5. Cliquez sur Créer une connexion IPSec.

      La connexion IPSec est créée et affichée sur la page. La connexion présente l'état Provisionnement pendant une courte période.

      Les informations de tunnel affichées incluent l'adresse IP de la tête de réseau VPN et le statut IPSec du tunnel (valeurs possibles : Démarré, Arrêté et Arrêté pour maintenance). A ce stade, le statut est Arrêté. Pour afficher la clé secrète partagée du tunnel, cliquez sur le menu Actions (Menu Actions), puis sur Afficher la clé secrète partagée.

    6. Copiez l'adresse IP du VPN Oracle et la clé secrète partagée pour chaque tunnel dans un courriel ou dans un autre emplacement afin de pouvoir les envoyer à l'ingénieur réseau qui configure le routeur sur site.

      Pour plus d'informations, reportez-vous à Configuration du CPE. Vous pouvez consulter les informations de ce tunnel dans la console à tout moment.

Vous avez à présent créé tous les composants requis pour le VPN site à site. L'administrateur réseau doit ensuite configurer le routeur sur site pour que le trafic réseau puisse circuler entre votre réseau sur site et votre réseau cloud virtuel.

Tâche 4 : configurer le routeur sur site (CPE)

Ces instructions concernent l'administrateur réseau.

  1. Procurez-vous les informations de configuration de tunnel fournies par Oracle lors de la configuration du VPN. Reportez-vous à Tâche 3 : ajouter un VPN site à site au réseau cloud virtuel.
  2. Configurez le routeur sur site selon les informations fournies dans Configuration du CPE.

Si l'un des sous-réseaux comporte déjà des instances de calcul, vous pouvez vérifier que la connexion IPSec est en fonctionnement en vous connectant à ces instances à partir de votre réseau sur site. Pour vous connecter aux instances du sous-réseau public, vous devez vous connecter à l'adresse IP publique correspondante.

Utilisation de l'API

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Utilisez les opérations suivantes :

  • CreateVcn : incluez toujours un libellé DNS si vous souhaitez que le réseau cloud virtuel utilise le résolveur de réseau cloud virtuel (reportez-vous à DNS dans votre réseau cloud virtuel).
  • CreateInternetGateway
  • CreateNatGateway
  • CreateRouteTable : appelez cette opération pour créer la table de routage du sous-réseau public. Pour permettre la communication à l'aide de la passerelle Internet, ajoutez une règle de routage dont la destination est 0.0.0.0/0 et dont la cible de destination correspond à la passerelle Internet créée précédemment.
  • CreateRouteTable : appelez une nouvelle fois cette opération pour créer la table de routage du sous-réseau privé. Pour permettre la communication à l'aide de la passerelle NAT, ajoutez une règle de routage dont la destination est 0.0.0.0/0 et dont la cible de destination correspond à la passerelle NAT créée précédemment.

  • Appelez d'abord GetSecurityList pour obtenir la liste de sécurité par défaut, puis UpdateSecurityList :

    • Modifiez les règles entrantes avec conservation de statut existantes pour utiliser le CIDR de votre réseau sur site en tant que CIDR source, plutôt que 0.0.0.0/0.
    • Si vous avez l'intention de lancer des instances Windows, ajoutez cette règle entrante avec conservation de statut : type de source = CIDR, CIDR source = votre réseau sur site sur TCP, port source = tous, port de destination = 3389 (pour RDP).

  • CreateSecurityList : appelez cette opération pour créer la liste de sécurité du sous-réseau public avec les règles suivantes :

    • Entrante avec conservation de statut : type de source = CIDR, source 0.0.0.0/0 sur TCP, port source = tous, port de destination = 80 (pour HTTP)
    • Entrante avec conservation de statut : type de source = CIDR, source 0.0.0.0/0 sur TCP, port source = tous, port de destination = 443 (pour HTTPS)
    • Sortante avec conservation de statut : type de destination = CIDR, blocs CIDR de destination des sous-réseaux privés sur TCP, port source = tous, port de destination = 1521 (pour les bases de données Oracle)

  • CreateSecurityList : appelez une nouvelle fois cette opération pour créer la liste de sécurité du sous-réseau privé avec les règles suivantes :

    • Entrante avec conservation de statut : type de source = CIDR, blocs CIDR source des sous-réseaux publics sur TCP, port source = tous, port de destination = 1521 (pour les bases de données Oracle)
    • Entrante avec conservation de statut : type de source = CIDR, blocs CIDR source des sous-réseaux privés sur TCP, port source = tous, port de destination = 1521 (pour les bases de données Oracle)
    • Sortante avec conservation de statut : type de destination = CIDR, blocs CIDR de destination des sous-réseaux privés sur TCP, port source = tous, port de destination = 1521 (pour les bases de données Oracle)
  • CreateSubnet : appelez cette opération pour créer un sous-réseau public régional. Incluez un libellé DNS pour le sous-réseau si vous souhaitez que le résolveur de réseau cloud virtuel résolve les noms d'hôte des cartes d'interface réseau virtuelles du sous-réseau. Utilisez la table de routage du sous-réseau public créée précédemment. Utilisez à la fois la liste de sécurité par défaut et la liste de sécurité du sous-réseau public que vous avez créée précédemment. Utilisez l'ensemble d'options DHCP par défaut.
  • CreateSubnet : appelez une nouvelle fois cette opération pour créer un sous-réseau privé régional. Incluez un libellé DNS pour le sous-réseau si vous souhaitez que le résolveur de réseau cloud virtuel résolve les noms d'hôte des cartes d'interface réseau virtuelles du sous-réseau. Utilisez la table de routage du sous-réseau privé créée précédemment. Utilisez à la fois la liste de sécurité par défaut et la liste de sécurité de sous-réseau privé que vous avez créée précédemment. Utilisez l'ensemble d'options DHCP par défaut.
  • CreateDrg : créez une passerelle de routage dynamique.
  • CreateDrgAttachment : attachez la passerelle de routage dynamique au réseau cloud virtuel.
  • CreateCpe : vous fournissez ici l'adresse IP du routeur à votre extrémité du VPN (reportez-vous à Prérequis).
  • CreateIPSecConnection : vous fournissez ici les routages statiques de votre réseau sur site (reportez-vous à Prérequis). En retour, vous recevez les informations de configuration dont l'administrateur réseau a besoin pour configurer le routeur. Si vous avez besoin de ces informations ultérieurement, vous pouvez les obtenir avec GetIPSecConnectionDeviceConfig. Pour plus d'informations sur la configuration, reportez-vous à Configuration du CPE.
  • Appelez d'abord GetRouteTable pour obtenir la table de routage du sous-réseau privé. Appelez ensuite UpdateRouteTable pour ajouter une règle de routage dont la destination est le CIDR du réseau sur site (10.0.0.0/16 dans cet exemple) et dont la cible de destination correspond à la passerelle de routage dynamique créée précédemment.
  • LaunchInstance : lancez au moins une instance dans chaque sous-réseau. Par défaut, des adresses IP publiques sont affectées aux instances des sous-réseaux publics. Pour plus d'informations, reportez-vous à Création d'une instance.

Vous pouvez désormais communiquer avec les instances du sous-réseau public à partir de votre réseau sur site, via la passerelle Internet.

Important

Bien que vous puissiez lancer des instances dans les sous-réseaux privés, vous ne pouvez pas communiquer avec elles à partir du réseau sur site tant que l'administrateur réseau n'a pas configuré votre routeur sur site (reportez-vous à Configuration du CPE). Après cela, votre connexion IPSec est en fonctionnement. Vous pouvez vérifier son statut à l'aide de GetIPSecConnectionDeviceStatus. Vous pouvez également vérifier que la connexion IPSec est démarrée en vous connectant aux instances à partir de votre réseau sur site.