Accès aux services Oracle : passerelle de service
Cette rubrique explique comment configurer et gérer une passerelle de service. Une passerelle de service permet aux ressources cloud sans adresse IP publique d'accéder aux services Oracle en privé.
Accès aux services Oracle
Oracle Services Network est un réseau conceptuel d'Oracle Cloud Infrastructure réservé aux services Oracle. Ces services possèdent des adresses IP publiques auxquelles vous accédez généralement par Internet. Toutefois, vous pouvez accéder à Oracle Services Network sans que le trafic ne passe par Internet. Il existe différentes façons pour cela, en fonction de l'hôte qui a besoin de l'accès :
-
Hôtes sur votre réseau sur site :
- Accès privé via un réseau cloud virtuel avec appairage privé FastConnect ou VPN site à site : les hôtes sur site utilisent des adresses IP privées et accèdent à Oracle Services Network par le biais du réseau cloud virtuel et de sa passerelle de service.
- Accès public à l'appairage public FastConnect : les hôtes sur site utilisent des adresses IP publiques.
- Hôtes sur votre réseau cloud virtuel :
- Accès privé via une passerelle de service : il s'agit du scénario utilisé dans cette rubrique. Les hôtes du réseau cloud virtuel utilisent des adresses IP privées.
Points clés
- Une passerelle de service permet à votre réseau cloud virtuel d'accéder de façon privée à des services Oracle spécifiques sans exposer les données sur le réseau Internet public. Aucune passerelle Internet ou NAT n'est requise pour accéder à ces services spécifiques. Les ressources du réseau cloud virtuel peuvent appartenir à un sous-réseau privé et utiliser uniquement des adresses IP privées. Le trafic provenant du réseau cloud virtuel et à destination du service Oracle emprunte la topologie de réseau Oracle et ne passe jamais par Internet.
- La passerelle de service est régionale et permet d'accéder uniquement aux services Oracle pris en charge dans la même région que le réseau cloud virtuel.
- Une seule passerelle de service est nécessaire pour chaque VCN. Tous les sous-réseaux d'un VCN ont accès à la passerelle de service si les règles de sécurité et les règles de table de routage autorisent cet accès.
-
La passerelle de service permet d'accéder aux services Oracle pris en charge au sein de la région pour protéger vos données d'Internet. Vos charges globales peuvent nécessiter un accès à des adresses ou à des services publics non pris en charge par la passerelle de service (par exemple, pour télécharger des mises à jour ou des patches). Assurez-vous que vous disposez d'une passerelle NAT ou d'un autre accès à Internet si besoin.
- Oracle Cloud Infrastructure Object Storage et d'autres services dans Oracle Services Network font partie des services Oracle pris en charge. Pour obtenir la liste, reportez-vous à Passerelle de service : services cloud pris en charge dans Oracle Services Network.
- La passerelle de service utilise le concept de libellé CIDR de service. Il s'agit d'une chaîne représentant toutes les plages d'adresses IP publiques régionales pour le service ou le groupe de services qui vous intéresse, par exemple : OCI PHX Object Storage est la chaîne correspondant à Object Storage dans Ouest des Etats-Unis (Phoenix). Vous utilisez ce libellé CIDR de service lorsque vous configurez la passerelle de service et les règles de routage associées pour contrôler le trafic vers le service. Vous pouvez l'utiliser lors de la configuration des règles de sécurité. Si les adresses IP publiques du service changent par la suite, il n'est pas nécessaire d'ajuster ces règles.
- Vous pouvez configurer un réseau cloud virtuel et une passerelle de service associée de sorte qu'ils donnent à votre réseau sur site un accès privé aux services Oracle. Les hôtes de votre réseau sur site communiquent avec leurs adresses IP privées et le trafic ne passe pas sur Internet. Pour plus d'informations, reportez-vous à Accès privé aux services Oracle.
Présentation des passerelles de service
Une passerelle de service permet aux ressources de votre réseau cloud virtuel d'accéder de façon privée à des services Oracle spécifiques, sans exposer les données sur une passerelle Internet ou NAT. Les ressources du réseau cloud virtuel peuvent appartenir à un sous-réseau privé et utiliser uniquement des adresses IP privées. Le trafic provenant du réseau cloud virtuel et à destination du service souhaité emprunte la topologie de réseau Oracle et ne passe jamais par Internet.
Le diagramme simple suivant illustre un réseau cloud virtuel possédant à la fois un sous-réseau public et un sous-réseau privé . Les ressources du sous-réseau privé possèdent uniquement des adresses IP privées.
L'VCN affiché comporte trois passerelles :
- Passerelle Internet : offre au sous-réseau public un accès direct aux adresses publiques sur Internet. Les connexions peuvent être initiées à partir du sous-réseau ou d'Internet. Les ressources du sous-réseau public doivent disposer d'adresses IP publiques. Pour plus d'informations, reportez-vous à Passerelle Internet.
- Passerelle de service : offre au sous-réseau privé un accès privé aux services Oracle pris en charge au sein de la région. Les connexions ne peuvent être lancées qu'à partir du sous-réseau.
- Passerelle NAT : offre au sous-réseau privé un accès privé aux adresses publiques sur Internet. Les connexions ne peuvent être lancées qu'à partir du sous-réseau. Pour plus d'informations, reportez-vous à Passerelle NAT.
Vous contrôlez le routage dans votre réseau cloud virtuel au niveau du sous-réseau : vous pouvez donc spécifier les sous-réseaux qui utilisent chaque passerelle. Dans le diagramme, la table de routage du sous-réseau public (numéro 1) envoie le trafic non local via la passerelle Internet. La table de routage du sous-réseau privé (numéro 2) envoie le trafic destiné aux services Oracle via la passerelle de service. Elle envoie le reste du trafic à la passerelle NAT.
| CIDR de destination | Cible du routage |
|---|---|
| 0.0.0.0/0 | Passerelle Internet |
| CIDR de destination | Cible du routage |
|---|---|
| Services OSN de la région | Passerelle de service |
| 0.0.0.0/0 | Passerelle NAT |
Reportez-vous à ce problème connu pour obtenir des informations sur la configuration des règles de routage avec la passerelle de service en tant que cible sur les tables de routage associées aux sous-réseaux publics.
Une passerelle de service peut être utilisée par des ressources du réseau cloud virtuel auquel elle appartient. Toutefois, si le réseau cloud virtuel est appairé avec un autre, les ressources de l'autre réseau cloud virtuel ne peuvent pas accéder à la passerelle de service, sauf si une passerelle de service est configurée dans les deux réseaux. Vous pouvez configurer le trafic destiné à Oracle Services Network qui provient d'un spoke pour transiter via une appliance virtuelle réseau dans le hub, puis via la passerelle de service du hub. Pour plus d'informations, reportez-vous à Utilisation d'une adresse IP privée comme cible de routage et à Accès privé aux services Oracle.
Les ressources du réseau sur site connecté au réseau cloud virtuel de la passerelle de service avec FastConnect ou un VPN site à site peuvent également utiliser la passerelle de service. Pour plus d'informations, reportez-vous à Accès privé aux services Oracle.
Votre réseau sur site peut également utiliser l'appairage public FastConnect pour obtenir un accès privé aux services Oracle publics. Cela signifie que votre réseau sur site peut disposer de plusieurs chemins d'accès aux plages d'adresses IP publiques des services Oracle. Dans ce cas, le dispositif en périphérie reçoit une publication de routage des plages d'adresses IP publiques des services Oracle sur plusieurs chemins. Pour obtenir des informations importantes sur la bonne configuration de votre dispositif en périphérie, reportez-vous à Détails de routage pour les connexions au réseau sur site.
Une seule passerelle de service est nécessaire pour chaque VCN. Tous les sous-réseaux d'un VCN ont accès à la passerelle de service si les règles de sécurité et les règles de table de routage autorisent cet accès.
Pour obtenir des instructions sur la configuration d'une passerelle de service, reportez-vous à Configuration d'une passerelle de service dans la console.
A propos des libellés CIDR de service
Chaque service Oracle dispose d'une adresse publique régionale qui utilise des adresses IP publiques pour l'accès. Lorsque vous configurez une passerelle de service avec un accès à un service Oracle, vous configurez également des règles de routage du service Networking et, éventuellement, des règles de sécurité qui contrôlent le trafic avec le service. Cela signifie normalement que vous devez connaître les adresses IP publiques du service pour configurer ces règles. Pour vous faciliter la tâche, le service Networking utilise des libellés CIDR de service comme alias représentant tous les CIDR publics d'un service Oracle donné ou d'un groupe de services Oracle. Si les CIDR d'un service viennent à changer, vous n'avez pas besoin d'ajuster vos règles de routage ou de sécurité.
Exemples :
- OCI PHX Object Storage est un libellé CIDR de service qui représente tous les CIDR Object Storage dans la région Ouest des Etats-Unis (Phoenix).
- Tous les services PHX dans Oracle Services Network est un libellé CIDR de service qui représente tous les CIDR des services pris en charge dans Oracle Services Network dans la région Ouest des Etats-Unis (Phoenix). Pour obtenir la liste des services, reportez-vous à Passerelle de service : services cloud pris en charge dans Oracle Services Network.
Comme vous pouvez le voir, un libellé CIDR de service peut être associé à un seul service Oracle (par exemple, Object Storage) ou à plusieurs. Une fois que vous avez affecté un libellé CIDR de service à une passerelle de service, la console vous permet de basculer vers l'autre libellé, mais la passerelle de service doit toujours disposer d'un libellé CIDR de service. L'API et la CLI vous permettront d'enlever entièrement le libellé CIDR de service.
Dans cette rubrique, le terme service est souvent utilisé à la place du terme plus précis libellé CIDR de service. N'oubliez pas que lorsque vous configurez une passerelle de service (et des règles de routage associées), vous devez indiquer le libellé CIDR de service qui vous intéresse. Dans la console, vous pouvez voir les libellés CIDR de service disponibles. Si vous utilisez l'API REST, l'opération ListServices renvoie les objets Service disponibles. L'attribut cidrBlock de l'objet Service contient le libellé CIDR de service (exemple : all-phx-services-in-oracle-services-network).
Libellés CIDR de service disponibles
Voici les libellés CIDR de service disponibles :
- OCI <region> Object Storage : pour plus d'informations sur le service, reportez-vous à Présentation d'Object Storage.
- Tous les services <region> dans Oracle Services Network : pour obtenir la liste des services pris en charge, reportez-vous à Passerelle de service : services cloud pris en charge dans Oracle Services Network.
Reportez-vous à ce problème connu pour plus d'informations sur l'accès aux services Oracle YUM via la passerelle de service.
Activation d'un libellé CIDR de service pour une passerelle de service
Pour permettre au réseau cloud virtuel d'accéder à un libellé CIDR de service donné, vous devez activer ce dernier pour la passerelle de service du réseau cloud virtuel. Vous pouvez le faire lors de la création de la passerelle de service, ou après. Vous pouvez également désactiver à tout moment un libellé CIDR de service pour la passerelle de service.
Etant donné qu'Object Storage est couvert par OCI <region> Object Storage et Tous les services <region> dans Oracle Services Network, une passerelle de service ne peut utiliser qu'un seul de ces libellés CIDR de service. De même, une table de routage ne peut comporter qu'une seule règle pour l'un des libellés CIDR de service. Elle ne peut pas contenir deux règles distinctes, une pour chaque libellé.
Si la passerelle de service est configurée pour utiliser Tous les services <region> dans Oracle Services Network, la règle de routage peut utiliser n'importe quel libellé CIDR. Toutefois, si elle est configurée pour utiliser OCI <region> Object Storage et que la règle de routage utilise Tous les services <region> dans Oracle Services Network, le trafic vers les services d'Oracle Services Network sera perdu dans un trou noir, à l'exception du trafic pour Object Storage. La console vous interdit de configurer la passerelle de service et la table de routage correspondante de cette façon.
Si vous souhaitez que la passerelle de service utilise un autre libellé CIDR de service, reportez-vous à Lorsque vous passez à un autre libellé CIDR de service.
Blocage du trafic passant par une passerelle de service
Vous créez une passerelle de service dans le contexte d'un réseau cloud virtuel spécifique. En d'autres termes, la passerelle de service est toujours attachée à ce réseau cloud virtuel. Vous pouvez toutefois bloquer ou autoriser le trafic passant par la passerelle de service à tout moment. Par défaut, la passerelle autorise le flux de trafic lors de sa création. Le blocage du trafic de la passerelle de service empêche la circulation de l'ensemble du trafic, indépendamment des libellés CIDR de service activés, ou des règles de routage ou de sécurité existant dans votre réseau cloud virtuel. Pour savoir comment bloquer le trafic, reportez-vous à Contrôle du trafic pour une passerelle de service.
Règles de routage et règles de sécurité pour une passerelle de service
Pour que le trafic soit acheminé d'un sous-réseau de votre réseau cloud virtuel vers une passerelle de service, vous devez ajouter une règle en conséquence à la table de routage du sous-réseau. La règle doit utiliser la passerelle de service comme cible. Pour la destination, vous devez utiliser le libellé CIDR de service qui est activé pour la passerelle de service. Cela signifie que vous n'avez pas besoin de connaître les CIDR publics spécifiques, qui peuvent changer au fil du temps.
Le trafic qui quitte le sous-réseau et qui est destiné aux CIDR publics du service est ensuite acheminé vers la passerelle de service. Si le trafic de la passerelle de service est bloqué, aucun trafic n'y passe, même s'il existe une règle de routage qui correspond à celui-ci. Pour obtenir des instructions sur la configuration des règles de routage pour une passerelle de service, reportez-vous à Tâche 2 : mettre à jour le routage pour le sous-réseau.
Les règles de sécurité du réseau cloud virtuel doivent également autoriser le trafic souhaité. Vous pouvez également utiliser un libellé CIDR de service au lieu d'un CIDR pour la source ou la destination du trafic souhaité. Là encore, cela signifie que vous n'avez pas besoin de connaître les CIDR publics spécifiques pour le service. Pour des raisons pratiques, vous pouvez utiliser un libellé CIDR de service dans les règles de sécurité, même si votre réseau cloud virtuel ne dispose pas de passerelle de service et que le trafic vers les services utilise une passerelle Internet.
Vous pouvez utiliser des règles de sécurité avec ou sans conservation de statut qui emploient un libellé CIDR de service :
- Pour les règles avec conservation de statut : créez une règle sortante dont le service de destination correspond au libellé CIDR de service souhaité. Comme pour toute règle de sécurité, vous pouvez spécifier d'autres éléments tels que le protocole IP, ainsi que les ports source et de destination.
- Pour les règles sans conservation de statut : vous devez disposer de règles sortante et entrante. Créez une règle sortante dont le service de destination correspond au libellé CIDR de service souhaité. Créez également une règle entrante dont le service source correspond au libellé CIDR de service souhaité. Comme pour toute règle de sécurité, vous pouvez spécifier d'autres éléments tels que le protocole IP, ainsi que les ports source et de destination.
Pour obtenir des instructions sur la configuration de règles de sécurité qui utilisent un libellé CIDR de service, reportez-vous à Tâche 3 : (facultatif) mettre à jour les règles de sécurité.
Object Storage : autorisation de l'accès à un bucket uniquement à partir d'une plage CIDR ou d'un réseau cloud virtuel spécifique
Si vous utilisez une passerelle de service pour accéder à Object Storage, vous pouvez écrire une stratégie IAM permettant d'accéder à un bucket Object Storage particulier uniquement si les conditions suivantes sont remplies :
- La demande passe par une passerelle de service.
- La demande provient du réseau cloud virtuel indiqué dans la stratégie.
Pour obtenir des exemples de ce type particulier de stratégie IAM et des avertissements importants quant à son utilisation, reportez-vous à Tâche 4 : (facultatif) mettre à jour les stratégies IAM pour restreindre l'accès au bucket Object Storage.
Vous pouvez également utiliser le filtrage reposant sur une adresse IP IAM pour restreindre l'accès à une adresse IP ou à une plage d'adresses IP. Pour plus d'informations, reportez-vous à Gestion des sources réseau.
Suppression d'une passerelle de service
Pour supprimer une passerelle de service, il n'est pas nécessaire de bloquer son trafic, mais il ne doit exister aucune table de routage qui la répertorie en tant que cible. Reportez-vous à Suppression d'une passerelle de service.
Stratégie IAM requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès sécurisé dans une stratégie. Cet accès est requis que vous utilisiez la console ou l'API REST avec un kit SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message vous indiquant que vous n'avez pas d'autorisation, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.
Pour les administrateurs : reportez-vous à Stratégies IAM pour Networking.
Configuration d'une passerelle de service dans la console
Reportez-vous aux instructions dans Création d'une passerelle de service.
Reportez-vous aux instructions dans Création d'une passerelle de service.
Lorsque vous configurez une passerelle de service pour un libellé CIDR de service particulier, vous devez également créer une règle de routage spécifiant le libellé en tant que destination et la passerelle de service en tant que cible. Vous effectuez cette opération pour chaque sous-réseau devant accéder à la passerelle.
- Déterminez les sous-réseaux de votre réseau cloud virtuel qui doivent accéder à la passerelle de service.
-
Pour chaque sous-réseau, mettez à jour la table de routage du sous-réseau afin d'inclure une nouvelle règle en utilisant les valeurs suivantes :
- Type de cible : passerelle de service.
- Service de destination : libellé CIDR de service activé pour la passerelle.
- Compartiment : compartiment dans lequel se trouve la passerelle de service.
- Cible : passerelle de service.
- Description : description facultative de la règle.
Tout trafic de sous-réseau dont la destination correspond à la règle est acheminé vers la passerelle de service. Pour plus d'informations sur la configuration des règles de routage, reportez-vous à Tables de routage de réseau cloud virtuel.
Par la suite, si vous n'avez plus besoin de la passerelle de service et que vous voulez la supprimer, vous devez d'abord supprimer toutes les règles de routage de votre réseau cloud virtuel qui indiquent cette passerelle comme cible.
Sans le routage requis, le trafic ne circule pas sur la passerelle de service. Si vous souhaitez arrêter temporairement le flux de trafic sur la passerelle vers un service particulier, il vous suffit d'enlever la règle de routage qui autorise le trafic. Vous pouvez également désactiver ce libellé CIDR de service pour la passerelle. Vous pouvez également bloquer l'intégralité du trafic qui passe par la passerelle de service. Vous n'avez pas besoin de supprimer la passerelle.
Lorsque vous configurez une passerelle de service pour accéder à un libellé CIDR de service, vous devez également vous assurer que les règles de sécurité sont configurées de sorte à autoriser le trafic souhaité. Il est possible que vos règles de sécurité autorisent déjà ce trafic, c'est pourquoi cette tâche est facultative. La procédure suivante suppose que vous utilisez des listes de sécurité pour implémenter vos règles de sécurité. La procédure décrit la configuration d'une règle qui utilise le libellé CIDR de service. Vous effectuez cette opération pour chaque sous-réseau devant accéder à la passerelle.
Les listes de sécurité constituent un moyen de contrôler le trafic entrant et sortant des ressources du réseau cloud virtuel. Vous pouvez également utiliser des groupes de sécurité réseau, afin d'appliquer un ensemble de règles de sécurité à un ensemble de ressources ayant toutes le même état de sécurité.
- Déterminez les sous-réseaux du réseau cloud virtuel qui doivent se connecter aux services souhaités.
-
Mettez à jour la liste de sécurité de chaque sous-réseau de manière à inclure des règles autorisant le trafic entrant ou sortant souhaité avec le service en question.
Supposons que vous vouliez ajouter une règle avec conservation de statut qui autorise le trafic HTTPS sortant (port TCP 443) du sous-réseau vers les référentiels Object Storage et YUM Oracle. Voici les options de base à choisir lors de l'ajout d'une règle :
- Dans la section Règles d'autorisation pour la sortie, cliquez sur + Ajouter une règle.
- Ne cochez pas la case Sans état.
- Type de destination : service.
- Service de destination : libellé CIDR de service souhaité. Pour accéder aux référentiels Object Storage et Oracle YUM, choisissez Tous les services <region> dans Oracle Services Network.
- Protocole IP : conservez la valeur TCP.
- Fourchette de ports source : conservez la valeur Tous.
- Plage de ports de destination : entrez 443.
- Description : description facultative de la règle.
Pour plus d'informations sur la configuration des règles de sécurité, reportez-vous à Règles de sécurité.
Cette tâche est applicable uniquement si vous utilisez une passerelle de service pour accéder à Object Storage. Si vous le souhaitez, vous pouvez créer une source réseau et écrire une stratégie IAM pour autoriser uniquement les ressources d'un réseau cloud virtuel spécifique à écrire des objets dans un bucket donné.
Si vous utilisez l'une des stratégies IAM suivantes pour restreindre l'accès à un bucket, ce dernier n'est pas accessible à partir de la console. Vous pouvez y accéder uniquement à partir du réseau cloud virtuel spécifique.
En outre, les stratégies IAM autorisent les demandes destinées à Object Storage uniquement si elles proviennent du réseau cloud virtuel indiqué, via la passerelle de service. Si elles passent par la passerelle Internet, les demandes sont refusées.
- Créez une source réseau pour spécifier le réseau cloud virtuel autorisé. Pour plus d'informations sur la création des sources réseau, reportez-vous à Gestion des sources réseau.
- Créez la stratégie. L'exemple suivant permet aux ressources du groupe ObjectBackup (en exemple) d'écrire des objets dans un bucket existant appelé db-backup, qui réside dans un compartiment appelé ABC.
Allow group ObjectBackup to read buckets in compartment ABC Allow group ObjectBackup to manage objects in compartment ABC where all {target.bucket.name='db-backup', request.networkSource.name='<VCN_NETWORK_SOURCE', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
Vous pouvez créer et indiquer plusieurs sources réseau dans la stratégie afin de spécifier plusieurs réseaux cloud virtuels. L'exemple suivant comporte des sources réseau pour deux réseaux cloud virtuels. Vous pouvez le faire si vous avez configuré votre réseau sur site avec un accès privé aux services Oracle via un réseau cloud virtuel, ainsi que d'autres réseaux cloud virtuels avec leur propre passerelle de service. Pour plus d'informations, reportez-vous à Présentation de l'accès privé de réseau sur site aux services Oracle.
Allow group ObjectBackup to read buckets in compartment ABC
Allow group ObjectBackup to manage objects in compartment ABC where
all {target.bucket.name='db-backup',
any {request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_1>', request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_2'},
any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}