Documentation Oracle Cloud Infrastructure

Routage de transit au sein d'un réseau cloud virtuel hub

Le acheminement de transit fait référence à une topologie de réseau dans laquelle un réseau sur site utilise un intermédiaire pour accéder à des ressources ou services Oracle, ou à des réseaux cloud virtuels. L'intermédiaire peut être un VCN ou une passerelle de routage dynamique (DRG) à laquelle le réseau sur site est déjà attaché. Vous connectez le réseau sur site à un DRG avec FastConnect ou un VPN site à site, puis configurez le routage de sorte que le trafic transite par l'intermédiaire vers sa destination.

Les trois principaux scénarios de routage de transit sont les suivants :

  • Accès entre plusieurs réseaux via un seul DRG avec un pare-feu entre les réseaux : ce scénario utilise le DRG comme hub, avec un routage configuré pour envoyer des paquets via un pare-feu dans un VCN avant qu'ils ne puissent être envoyés à un autre réseau. Reportez-vous à la section Routage du trafic via une appliance virtuelle de réseau central. Ce scénario est uniquement disponible pour une implémentation utilisant une passerelle de routage dynamique mise à niveau.
  • Accès à plusieurs réseaux cloud virtuels dans la même région : scénario traité dans cette rubrique. Ce scénario utilise un VCN comme hub et crée une communication entre un réseau sur site et plusieurs réseaux cloud virtuels (connectés à l'aide d'un appairage local) dans la même région sur un seul circuit virtuel privé FastConnect ou VPN site à site. Nous vous recommandons d'utiliser le scénario précédent à la place. Ce scénario est disponible pour une implémentation utilisant une DRG héritée ou mise à niveau.
  • Accès privé aux services Oracle : ce scénario utilise un VCN comme hub et donne un accès privé au réseau sur site aux services Oracle, afin que les hôtes sur site puissent utiliser leurs adresses IP privées et que le trafic ne passe pas par Internet. Reportez-vous à Accès privé aux services Oracle. Ce scénario est disponible pour une implémentation utilisant une passerelle de routage dynamique héritée ou mise à niveau.

Points clés

  • Vous pouvez utiliser une seule connexion FastConnect ou VPN site à site entre un réseau sur site et plusieurs réseaux cloud virtuels de la même région, dans une topologie hub-and-spoke.
  • Les réseaux cloud virtuels doivent se trouver dans la même région, mais peuvent être dans des locations différentes. Les blocs CIDR des différents sous-réseaux souhaités dans le réseau sur site et les réseaux cloud virtuels ne doivent pas se chevaucher.
  • Le réseau cloud virtuel qui sert de hub utilise une passerelle de routage dynamique pour communiquer avec le réseau sur site. Ce hub VCN est homologue avec chaque VCN agissant comme un spoke (appelé réseaux cloud virtuels spoke dans cette rubrique). Les réseaux cloud virtuels hub-and-spoke utilisent des passerelles d'appairage local pour communiquer.
  • Afin d'autoriser le trafic prévu depuis le réseau sur site vers un réseau cloud virtuel spoke appairé via le hub, vous implémentez des règles de routage pour la passerelle d'appairage local et l'attachement de passerelle de routage dynamique du réseau cloud virtuel hub ou de la passerelle de routage dynamique hub, ainsi que pour les sous-réseaux du réseau spoke.
  • Vous pouvez configurer le routage de transit via une adresse IP privée dans le VCN hub. Par exemple, vous pouvez filtrer ou inspecter le trafic entre le réseau sur site et un réseau cloud virtuel spoke. Dans ce cas, vous acheminez le trafic vers une adresse IP privée sur une instance du réseau cloud virtuel hub à des fins de contrôle. Le trafic résultant continue vers sa destination. Cette rubrique aborde les deux cas : le routage de transit direct entre des passerelles sur le réseau cloud virtuel hub, et le routage de transit via une adresse IP privée.
  • La configuration de tables de routage se trouvant dans le réseau cloud virtuel hub vous permet de déterminer si un sous-réseau particulier d'un réseau cloud virtuel spoke appairé est publié sur le réseau sur site, et si un sous-réseau particulier du réseau sur site est publié sur un réseau cloud virtuel spoke appairé.
Conseil

Un autre scénario vous permet de connecter un réseau sur site à plusieurs réseaux cloud virtuels. Au lieu d'utiliser un seul DRG et une topologie hub-and-spoke, vous configurez un DRG distinct pour chaque VCN et un circuit virtuel privé distinct sur un seul FastConnect. Cependant, le scénario peut uniquement être utilisé avec FastConnect par le biais d'un fournisseur tiers ou en colocalisation avec Oracle. Les réseaux cloud virtuels doivent se trouver dans la même région et la même location. Pour plus d'informations, reportez-vous au manuel FastConnect avec plusieurs passerelles de routage dynamique et réseaux cloud virtuels.

Présentation du routage de transit

Le routage de transit est la tâche de routage du trafic vers un réseau cloud virtuel (VCN) ou un réseau sur site via un VCN hub central. Voici un exemple simple de la raison pour laquelle vous pouvez utiliser le routage de transit : votre organisation est grande et comporte plusieurs services, qui disposent chacun de leur propre réseau cloud virtuel. Un réseau sur site a besoin d'accéder aux différents réseaux cloud virtuels, mais vous ne souhaitez pas avoir à gérer la surcharge d'administration liée à la maintenance d'une connexion sécurisée entre chaque VCN et le réseau sur site. A la place, vous souhaitez utiliser un seul FastConnect ou un seul VPN site à site.

Un scénario de réseau de base implique la connexion du réseau sur site à un VCN avec Oracle Cloud Infrastructure FastConnect ou un VPN site à site. Les deux scénarios de base suivants illustrent cette topologie : Scénario B : sous-réseau privé avec un VPN et Scénario C : sous-réseaux public et privé avec un VPN.

Ce scénario utilise une topologie hub-and-spoke, comme illustré dans le diagramme suivant. Le terme hub signifie uniquement qu'un VCN agit en tant que hub dans cette conception hub-and-spoke.

Cette image montre la disposition hub-and-spoke de base des réseaux cloud virtuels connectés au réseau sur site.

L'un des VLAN fait office de hub (VCN-H) et se connecte au réseau sur site par le biais d'un FastConnect ou d'un VPN site à site. Les autres réseaux cloud virtuels sont appairés localement avec le réseau cloud virtuel hub. Le trafic entre le réseau sur site et les réseaux cloud virtuels appairés transite par le réseau cloud virtuel hub. Les réseaux cloud virtuels doivent se trouver dans la même région, mais peuvent être dans des locations différentes.

Passerelles impliquées dans le routage de transit

Le diagramme suivant présente les passerelles sur les réseaux cloud virtuels. Le VCN hub dispose d'une passerelle de routage dynamique (DRG), qui est le chemin de communication avec le réseau sur site. Chaque VCN satellite appairé localement utilise une paire de passerelles d'appairage local (LPG) qui ancrent la connexion d'appairage : une passerelle d'appairage local se trouve sur le VCN hub et l'autre sur le VCN satellite.

Cette image présente la disposition hub-and-spoke de base des réseaux cloud virtuels avec les passerelles requises.

Récapitulatif des nouveaux concepts pour les utilisateurs expérimentés du service Networking

Si vous êtes déjà familiarisé avec le service Networking et l'appairage VCN local, voici les nouveaux concepts les plus importants à comprendre :

  • Pour chaque sous-réseau de réseau cloud virtuel spoke devant communiquer avec le réseau sur site, mettez à jour la table de routage correspondante avec une règle qui définit la cible (le saut suivant) sur la passerelle d'appairage local du réseau cloud virtuel spoke pour l'ensemble du trafic destiné au réseau sur site.

  • Ajoutez une table de routage au VCN hub, associez-la à l'attachement DRG et ajoutez une règle de routage à une cible qui définit la cible (le saut suivant) sur la passerelle d'appairage local du hub VCN (pour ce spoke) pour tout le trafic destiné à ce VCN spoke (ou à un sous-réseau spécifique dans ce VCN).

  • Ajoutez une autre table de routage au VCN hub, associez-la à la passerelle d'appairage local du VCN hub (pour ce spoke) et ajoutez une règle de routage qui définit la cible (le saut suivant) comme DRG pour tout le trafic destiné au réseau sur site (ou à un sous-réseau spécifique dans ce réseau).

Pour en savoir plus sur le routage de transit direct via des passerelles, reportez-vous aux tâches spécifiques suivantes :

Pour plus d'informations sur le routage de transit via une adresse IP privée, consultez les tâches spécifiques suivantes :

Exemple : composants et routage pour un réseau cloud virtuel hub et un seul réseau cloud virtuel spoke

Pour plus de simplicité, les exemples de cette section illustrent un réseau cloud virtuel agissant comme un hub et un réseau cloud virtuel spoke unique.

Remarque

Dans un modèle hub-and-spoke, le VCN hub peut avoir plusieurs rayons et donc plusieurs passerelles d'appairage local (une par rayon). Cette rubrique utilise l'expression passerelle d'appairage local du réseau cloud virtuel hub, qui peut être ambiguë. Lorsque cette expression est utilisée ici, elle fait référence à la passerelle d'appairage local hub pour le réseau spoke spécifique qui vous intéresse. Dans les diagrammes suivants, le hub est LPG-H-1. Des réseaux spoke supplémentaires impliquent de créer les passerelles d'appairage local LPG-H-2, LPG-H-3, etc.
Pour un routage de transit direct via des passerelles

Le diagramme suivant présente les règles de routage et les tables de routage du service Networking requises pour le routage de transit via des passerelles. Bien que le VCN hub ne nécessite pas de sous-réseau pour que le routage de transit fonctionne, l'exemple présenté ici inclut un sous-réseau appelé Subnet-H.

Cette image présente les règles et les tables de routage requises lors de la configuration du scénario.
Numéro 1 : table de routage associée à Subnet-H
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 LPG-H-1
Numéro 2 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Numéro 3 : table de routage de réseau cloud virtuel associée à l'attachement de passerelle de routage dynamique
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
Numéro 4 : table de routage associée à LPG-H-1
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique

Le scénario du diagramme utilise quatre tables de routage, chacune associée à une ressource différente :

  • Subnet-H :

    • Cette table de routage appartient au réseau cloud virtuel hub et est associée à Subnet-H.
    • Cette table de routage dispose d'une règle pour acheminer le trafic destiné au réseau sur site vers le DRG. Il a une autre règle pour acheminer le trafic destiné au VCN spoke vers LPG-H-1.

  • Subnet-1 :

    • Cette table de routage appartient au réseau cloud virtuel spoke et est associée à Subnet-1.
    • Cette table de routage contient des règles pour acheminer le trafic destiné au VCN hub ou au réseau sur site vers LPG-1.

  • Table de routage VCN sur l'attachement DRG :

    • La table de routage appartient au réseau cloud virtuel hub et est associée à l'attachement de passerelle de routage dynamique. Pourquoi l'attachement et non la passerelle de routage dynamique ? Car la passerelle de routage dynamique est une ressource autonome que vous pouvez attacher à n'importe quel réseau cloud virtuel se trouvant dans la même région et la même location qu'elle. L'attachement permet d'identifier le réseau cloud virtuel.
    • La table de routage achemine le trafic entrant à partir du réseau sur site et destiné au VCN spoke (VCN-1). Vous configurez la règle de sorte à envoyer ce trafic vers LPG-H-1.

  • Table de routage VCN sur LPG-H-1 :

    • Cette table de routage appartient au réseau cloud virtuel hub et est associée à LPG-H-1.
    • La table de routage achemine le trafic entrant à partir de VCN-1 et destiné au réseau sur site. Vous configurez la règle de sorte à envoyer ce trafic vers la passerelle de routage dynamique.
Pour un routage de transit via une adresse IP privée

Le diagramme suivant présente les tables de routage du service Networking requises et les règles de routage pour le routage de transit via une adresse IP privée sur une instance du VCN hub. Vous pouvez décider d'implémenter ce scénario avec une ou plusieurs VNIC. Le diagramme ci-après illustre deux cartes d'interface réseau virtuelles : une dans un sous-réseau appelé Subnet-H-Frontend et une autre dans un sous-réseau appelé Subnet-H-Backend. La carte d'interface réseau virtuelle frontale dispose de l'adresse IP privée 10.0.4.3 et la carte back-end de l'adresse IP privée 10.0.8.3.

Cette image montre les tables et règles de routage requises lors de la configuration du scénario avec une appliance virtuelle réseau dans le réseau cloud virtuel hub.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3
Numéro 2 : table de routage associée à Subnet-H-Backend
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
Numéro 3 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Numéro 4 : table de routage associée à l'attachement de passerelle de routage dynamique
CIDR de destination Cible du routage
192.168.0.0/16 10.0.4.3
Numéro 5 : table de routage associée à LPG-H-1
CIDR de destination Cible du routage
172.16.0.0/12 10.0.8.3

Aucune table de routage spéciale n'est associée à LPG-1.

Le diagramme présente cinq tables de routage, chacune associée à une ressource différente :

  • Attachement de passerelle de routage dynamique :

    • La table de routage appartient au réseau cloud virtuel hub et est associée à l'attachement de passerelle de routage dynamique. Pourquoi l'attachement et non la passerelle de routage dynamique ? Car la passerelle de routage dynamique est une ressource autonome que vous pouvez attacher à n'importe quel réseau cloud virtuel se trouvant dans la même région et la même location qu'elle. L'attachement permet d'identifier le réseau cloud virtuel.
    • La table de routage achemine le trafic entrant à partir du réseau sur site et destiné au VCN spoke (VCN-1). Vous configurez la règle de sorte à envoyer le trafic vers l'adresse IP privée du sous-réseau frontal.

  • LPG-H-1 :

    • Cette table de routage appartient au réseau cloud virtuel hub et est associée à LPG-H-1.
    • La table de routage achemine le trafic entrant à partir de VCN-1 et destiné au réseau sur site. Vous configurez la règle de sorte à envoyer ce trafic vers l'adresse IP privée du sous-réseau back-end.

  • Subnet-H-Frontend :

    • Cette table de routage appartient au réseau cloud virtuel hub et est associée à Subnet-H-Frontend.
    • Cette table de routage dispose d'une règle pour acheminer le trafic destiné au réseau sur site vers le DRG.
    • Bien qu'Oracle ne recommande pas de placer des charges de travail dans les sous-réseaux du VCN hub, le diagramme présente également une règle de routage pour acheminer le trafic destiné au VCN spoke vers l'adresse IP privée du sous-réseau frontal (10.0.4.3) pour le filtrage par l'instance. La seconde règle apparaît ici pour donner un meilleur aperçu du routage dans cet exemple.

  • Subnet-H-Backend :

    • Cette table de routage appartient au réseau cloud virtuel hub et est associée à Subnet-H-Backend.
    • Cette table de routage a une règle pour acheminer le trafic destiné au VCN spoke (VCN-1) vers LPG-H-1.
    • Bien qu'Oracle ne recommande pas de placer des charges globales dans les sous-réseaux du VCN hub, le diagramme présente également une règle de routage pour acheminer le trafic destiné au réseau sur site vers l'adresse IP privée du sous-réseau back-end (10.0.8.3) en vue d'un filtrage par l'instance. La seconde règle apparaît ici pour donner un meilleur aperçu du routage dans cet exemple.

  • Subnet-1 :

    • Cette table de routage appartient au réseau cloud virtuel spoke et est associée à Subnet-1.
    • Cette table de routage contient des règles pour acheminer le trafic destiné au VCN hub ou au réseau sur site vers LPG-1.

Restrictions importantes à comprendre pour le routage de transit

Cette section contient d'autres informations importantes sur le routage :

  • Table de routage pour l'attachement de passerelle de routage dynamique :

    • Une table de routage de réseau cloud virtuel associée à un attachement de passerelle de routage dynamique peut uniquement comporter des règles qui ciblent une passerelle de service, une adresse IP privée ou une passerelle d'appairage local.
    • Une table de routage est toujours associée à un attachement DRG, mais vous pouvez associer une table de routage différente, modifier les règles de la table ou supprimer tout ou partie des règles.

  • Table de routage pour une passerelle d'appairage local :

    • Une table de routage VCN associée à un attachement DRG ne peut comporter que des règles ciblant une passerelle de service, une adresse IP privée ou une passerelle d'appairage local.
    • Il est possible qu'une passerelle d'appairage local ne soit associée à aucune table de routage. Cependant, une fois que vous avez associé une table de routage à une passerelle d'appairage local, celle-ci doit toujours être associée à une table de routage. Vous pouvez toutefois associer une autre table de routage. Vous pouvez également modifier les règles de la table, ou supprimer tout ou partie des règles.
  • Trafic passant par le réseau cloud virtuel hub : les tables de routage évoquées ici servent uniquement à déplacer le trafic passant par le réseau cloud virtuel hub entre les emplacements du réseau sur site et ceux du réseau cloud virtuel spoke. Si vous utilisez une adresse IP privée dans le réseau hub, vous configurez ces tables de routage de sorte que l'adresse IP privée soit placée dans ce chemin de trafic passant par le réseau hub.
  • Trafic entrant vers le réseau cloud virtuel hub : même si l'instruction précédente est vraie (par rapport au trafic via le réseau hub), le trafic entrant vers les sous-réseaux dans le réseau cloud virtuel hub est toujours autorisé. Vous n'avez pas besoin de configurer de règles explicites pour ce trafic entrant dans la table de routage de l'attachement DRG ou dans la table de routage de la passerelle d'appairage local hub. Lorsque ce type de trafic entrant atteint la passerelle de routage dynamique ou la passerelle d'appairage local hub, le trafic est automatiquement acheminé vers sa destination dans le réseau cloud virtuel hub par le routage local du réseau cloud virtuel. En raison du routage local VCN, pour toute table de routage appartenant à un VCN particulier, vous ne pouvez pas créer une règle qui répertorie le CIDR (ou une sous-section) du VCN comme destination de la règle.
  • Trafic du VCN du hub lors du routage de transit via une adresse IP privée : l'affirmation précédente immédiate concernant le routage local VCN signifie que vous utilisez uniquement le VCN du hub pour le transit entre le réseau sur site et les réseaux cloud virtuels spoke. Ne configurez pas de charges de travail dans le VCN hub lui-même. En d'autres termes, si vous configurez le routage de transit via une adresse IP privée dans le réseau cloud virtuel hub, vous ne pouvez pas non plus acheminer le trafic du réseau cloud virtuel hub via cette adresse IP privée. Par exemple, dans le diagramme précédent, si vous modifiez la règle de routage dans la table de routage LPG-H-1 de sorte que le CIDR de destination soit 0.0.0.0/0 au lieu de 172.16.0.0/12, seul le trafic provenant de VCN-1 et destiné aux adresses en dehors du bloc CIDR du réseau cloud virtuel hub est acheminé via l'adresse IP privée. En raison du routage local du réseau cloud virtuel, le trafic destiné aux adresses au sein de ce réseau est acheminé directement vers l'adresse IP de destination de façon automatique. Le routage local du réseau cloud virtuel est prioritaire sur la table de routage LPG-H-1 (en général, il est prioritaire sur toutes tables de routage du réseau cloud virtuel).

  • Le flux de trafic suivant n'est pas pris en charge :

    chemin de routage non pris en charge
    • Le trafic circule d'un attachement vers VCN-1, en passant par DRG-1.
    • Le trafic correspond à une règle de la table de routage entrante de l'attachement ciblant la passerelle d'appairage local LPG-1, appairée à LPG-2 dans VCN-2.
    • Le trafic correspond à une règle de la table de routage entrante de LPG-2 ciblant la passerelle de routage dynamique DRG-2 (attachée à VCN-2).

    Bien qu'il puisse sembler que cela devrait fonctionner, il n'est pas pris en charge. La méthode prise en charge pour déplacer le trafic entre deux GDR d'une même région est de passer par une connexion d'appairage à distance au sein de la région.

A propos du chevauchement de CIDR

Dans cet exemple, les différents réseaux n'ont pas de blocs CIDR qui se chevauchent (172.16.0.0/12 par rapport à 10.0.0.0/16 par rapport à 192.168.0.0/16). Le service Networking n'autorise pas l'appairage VCN local entre deux réseaux cloud virtuels avec des CIDR qui se chevauchent. Cela signifie qu'aucun réseau spoke ne peut chevaucher le réseau hub.

Toutefois, le service Networking ne vérifie pas si les réseaux cloud virtuels spoke se chevauchent, ou si l'un des réseaux cloud virtuels chevauche le réseau sur site. Assurez-vous que les CIDR de tous les sous-réseaux devant communiquer entre eux ne se chevauchent pas. Dans le cas contraire, le trafic est supprimé.

Une table de routage de service Networking ne peut pas contenir deux règles ayant exactement le même CIDR de destination. Toutefois, si deux règles dans la même table de routage se chevauchent, la règle la plus spécifique est utilisée pour acheminer le trafic (la règle ayant la correspondance de préfixe la plus longue).

Publication de routage sur le réseau sur site et les réseaux cloud virtuels spoke

D'un point de vue sécurité, vous pouvez contrôler la publication de routage afin que seuls les sous-réseaux spécifiques du réseau sur site soient publiés sur les réseaux cloud virtuels spoke. De même, vous pouvez contrôler les sous-réseaux des réseaux cloud virtuels spoke qui sont publiés sur le réseau sur site.

Les routages publiés sur le réseau sur site sont les suivants :

  • Règles répertoriées dans la table de routage associée à l'attachement de passerelle de routage dynamique (192.168.0.0/16 dans le diagramme précédent)
  • Sous-réseaux individuels dans le réseau cloud virtuel hub

Les routages publiés sur le réseau cloud virtuel spoke sont les suivants :

  • Sous-réseaux individuels dans le réseau cloud virtuel hub
  • Règles répertoriées dans la table de routage associée à la passerelle d'appairage local du réseau cloud virtuel hub pour le réseau spoke (172.16.0.0/12 dans le diagramme précédent)

Par conséquent, seul l'administrateur du réseau cloud virtuel hub peut contrôler les routages publiés sur le réseau sur site et les réseaux cloud virtuels spoke.

Dans l'exemple précédent, les routages pertinents utilisent le bloc CIDR complet du réseau sur site (172.16.0.0/12) et du réseau cloud virtuel spoke (192.168.0.0/16) en tant que destination, mais ils peuvent utiliser un sous-réseau de ces réseaux pour limiter le routage à des sous-réseaux spécifiques.

Détails sur le routage pour différents chemins de trafic

Pour illustrer plus précisément le déroulement du routage dans l'exemple précédent, examinons de plus près les différents chemins du trafic. Les diagrammes suivants sont ceux utilisés précédemment.

Tout d'abord, si vous acheminez le routage directement via des passerelles sur le VCN hub :

Cette image présente les règles et les tables de routage requises lors de la configuration du scénario.
Numéro 1 : table de routage associée à Subnet-H
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 LPG-H-1
Numéro 2 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Numéro 3 : table de routage associée à l'attachement de passerelle de routage dynamique
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
Numéro 4 : table de routage associée à LPG-H-1
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique

Aucune table de routage spéciale n'est associée à LPG-1.

Deuxièmement, si vous transitez le routage via une adresse IP privée dans le VCN hub :

Cette image montre les tables et règles de routage requises lors de la configuration du scénario avec une appliance virtuelle réseau dans le réseau cloud virtuel hub.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3
Numéro 2 : table de routage associée à Subnet-H-Backend
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
Numéro 3 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Numéro 4 : table de routage associée à l'attachement de passerelle de routage dynamique
CIDR de destination Cible du routage
192.168.0.0/16 10.0.4.3
Numéro 5 : table de routage associée à LPG-H-1
CIDR de destination Cible du routage
172.16.0.0/12 10.0.8.3

Aucune table de routage spéciale n'est associée à LPG-1.

Trafic du réseau sur site vers le réseau cloud virtuel spoke
  1. Le trafic quitte le réseau sur site et atteint la passerelle de routage dynamique. La destination du trafic se trouve dans Subnet-1 (par exemple, 192.168.0.5).

  2. La table de routage associée à l'attachement de passerelle de routage dynamique comporte une règle pour 192.168.0.0/16. Elle est mise en correspondance avec la destination et envoie le trafic vers la cible de routage :

    • Routage de transit direct via des passerelles : la cible de la règle est LPG-H-1.
    • Routage de transit via une adresse IP privée : la cible de la règle est l'adresse IP privée 10.0.4.3. L'instance reçoit et traite le trafic, puis envoie le trafic résultant à la carte d'interface réseau virtuelle du sous-réseau back-end. La table de routage du sous-réseau back-end envoie le trafic à LPG-H-1.

    N'oubliez pas que vous pouvez utiliser les règles figurant dans la table de routage de l'attachement de passerelle de routage dynamique pour contrôler les sous-réseaux du réseau cloud virtuel spoke qui sont publiés sur le réseau sur site. Vous pouvez également configurer la règle afin de répertorier uniquement un sous-réseau du réseau cloud virtuel spoke.

  3. LPG-H-1 reçoit le trafic.
  4. Le trafic sortant qui quitte un réseau cloud virtuel par le biais d'une passerelle d'appairage local est automatiquement acheminé vers la passerelle d'appairage local appairée à cette dernière, qui correspond ici à LPG-1. Ce routage se produit automatiquement en raison de la connexion d'appairage entre les deux passerelles d'appairage local.
  5. LPG-1 reçoit le trafic.
  6. Le trafic entrant dans un réseau cloud virtuel par le biais de la passerelle d'appairage local est automatiquement acheminé vers la destination au sein de celui-ci grâce au routage local. Aucune règle de routage explicite n'est requise.
Trafic du réseau cloud virtuel spoke vers le réseau sur site
  1. Le trafic provient d'une instance de Subnet-1 dans le réseau cloud virtuel spoke. La destination du trafic se trouve sur le réseau sur site (par exemple, 172.16.0.3).
  2. La table de routage associée à Subnet-1 comporte une règle pour 172.16.0.0/12. Elle est mise en correspondance avec la destination et envoie le trafic vers la cible de routage, LPG-1.
  3. LPG-1 reçoit le trafic.
  4. Le trafic sortant qui quitte un réseau cloud virtuel par le biais d'une passerelle d'appairage local est automatiquement acheminé vers la passerelle d'appairage local appairée à cette dernière, qui correspond ici à LPG-H-1. Ce routage se produit automatiquement en raison de la connexion d'appairage entre les deux passerelles d'appairage local.
  5. LPG-H-1 reçoit le trafic.

  6. La table de routage associée à LPG-H-1 comporte une règle pour 172.16.0.0/12. Elle est mise en correspondance avec la destination et envoie le trafic vers la cible de routage :

    • Routage de transit direct via des passerelles : la cible de la règle est la passerelle de routage dynamique.
    • Routage de transit via une adresse IP privée : la cible de la règle est l'adresse IP privée 10.0.8.3. L'instance reçoit et traite le trafic, puis envoie le trafic résultant à la carte d'interface réseau virtuelle du sous-réseau frontal. La table de routage du sous-réseau frontal envoie le trafic à la passerelle de routage dynamique.

    N'oubliez pas que vous pouvez utiliser les règles figurant dans la table de routage de la passerelle d'appairage local pour contrôler les sous-réseaux du réseau sur site qui sont publiés sur le réseau cloud virtuel spoke. Vous pouvez également configurer la règle afin de répertorier uniquement un sous-réseau du réseau sur site.

  7. La passerelle de routage dynamique reçoit le trafic.
  8. Le trafic sortant quittant le VCN via le DRG est acheminé en fonction du VPN site à site et de la configuration FastConnect. Aucune règle explicite n'est requise dans la table de routage de l'attachement de passerelle de routage dynamique.

Subnet-1 dans le réseau cloud virtuel spoke et LPG-H-1 ont tous deux des règles de routage avec 172.16.0.0/12 comme CIDR de destination. Ces règles n'ont pas besoin d'utiliser exactement le même bloc CIDR. Cependant, assurez-vous que les deux règles couvrent le trafic à acheminer du réseau spoke vers le réseau sur site. La règle dans la table de routage de Subnet-1 contrôle le trafic acheminé de Subnet-1 vers LPG-H-1. La règle dans la table de routage de LPG-H-1 contrôle le trafic acheminé du réseau cloud virtuel spoke vers le réseau sur site. Si la règle de routage de la passerelle d'appairage local H-1 est plus restrictive que la règle de routage de Subnet-1, un certain trafic quittant le sous-réseau pourrait être supprimé et ne pas atteindre le DRG.

Trafic du réseau cloud virtuel spoke vers un sous-réseau du réseau cloud virtuel hub (routage direct entre des passerelles uniquement)

Selon la situation, vous voudrez peut-être activer le trafic entre les instances du VCN hub et d'un VCN spoke, et pas seulement le trafic entre le réseau sur site et un VCN spoke. Vous pouvez procéder de la sorte si vous effectuez un routage direct entre des passerelles. Vous ne pouvez pas acheminer le trafic d'un réseau cloud virtuel spoke via l'adresse IP privée et vers d'autres instances du réseau cloud virtuel hub. La remarque à la fin de cette section en explique la raison.

Voici comment le trafic peut circuler du réseau cloud virtuel spoke vers une destination dotée d'une adresse dans le réseau cloud virtuel hub :

  1. Le trafic provient d'une instance de Subnet-1 dans le réseau cloud virtuel spoke. La destination du trafic se trouve dans un sous-réseau du réseau cloud virtuel hub (par exemple, 10.0.0.3).
  2. La table de routage associée à Subnet-1 comporte une règle pour 10.0.0.0/16. Elle est mise en correspondance avec la destination et envoie le trafic vers la cible de routage, LPG-1.
  3. LPG-1 reçoit le trafic.
  4. Le trafic sortant qui quitte un réseau cloud virtuel par le biais d'une passerelle d'appairage local est automatiquement acheminé vers la passerelle d'appairage local appairée à cette dernière, qui correspond ici à LPG-H-1. Ce routage se produit automatiquement en raison de la connexion d'appairage entre les deux passerelles d'appairage local.
  5. LPG-H-1 reçoit le trafic.
  6. Le trafic arrivant dans un réseau cloud virtuel via une passerelle d'appairage local et destiné à une adresse dans le réseau cloud virtuel est automatiquement acheminé vers la destination par le routage local du réseau. Aucune règle de routage explicite n'est requise.

Une série similaire d'étapes de routage se produit pour le trafic de Subnet-H vers Subnet-1, mais dans le sens inverse. La table de routage de Subnet-H comporte une règle qui est mise en correspondance avec le CIDR (192.168.0.0/16) du réseau cloud virtuel spoke et envoie le trafic vers LPG-H-1, qui le transfère ensuite à LPG-1.

Remarque

Si vous configurez le routage de transit via une adresse IP privée dans le VCN hub, n'oubliez pas que la table de routage LPG-H-1 contrôle uniquement le routage du trafic destiné aux adresses en dehors du VCN hub. Le trafic destiné aux adresses au sein du réseau cloud virtuel est géré par le routage local du réseau cloud virtuel hub, qui est prioritaire et achemine toujours le trafic directement vers l'adresse de destination du paquet. Cela signifie que vous ne pouvez pas acheminer le trafic destiné aux adresses à l'intérieur du VCN hub via l'adresse IP privée utilisée pour le trafic de transit via le hub. Même si la règle de routage de LPG-H-1 utilise 0.0.0.0/0 comme destination et 10.0.8.3 comme cible, le routage local du réseau cloud virtuel hub est prioritaire et achemine le trafic directement vers la destination dans le réseau cloud virtuel hub au lieu de l'adresse IP privée.

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel un administrateur de location a accordé un accès de sécurité dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'avez pas d'autorisation ou que vous n'êtes pas autorisé, vérifiez auprès de l'utilisateur le type d'accès qui vous est accordé et le compartiment dans lequel vous travaillez.

Si vous êtes membre du groupe Administrateurs, vous disposez déjà de l'accès requis pour configurer le routage de transit. Sinon, vous devez avoir accès au service Networking et être en mesure de créer des instances. Reportez-vous à Stratégies IAM pour Networking.

Configuration du routage de transit d'un réseau cloud virtuel dans la console

Cette section explique comment utiliser la console pour configurer le routage de transit avec un VCN afin de donner à votre réseau sur site un accès à plusieurs réseaux cloud virtuels dans la même région.

Pour un routage direct entre des passerelles
Conseil

Il se peut que bon nombre des connexions et des composants de Networking nécessaires dans ce scénario avancé soient déjà configurés. Vous pouvez donc ignorer certaines des tâches suivantes. Si vous disposez déjà d'une topologie réseau avec un VCN hub connecté à votre réseau sur site et que vous parlez des réseaux cloud virtuels appairés localement avec le VCN hub, les tâches 5 et 6 sont les plus importantes. Elles permettent d'acheminer le trafic entre votre réseau sur site et le réseau cloud virtuel spoke.
Tâche 1 : configurer le réseau cloud virtuel hub
Cette image présente la tâche 1, à savoir la configuration du réseau cloud virtuel hub.

Dans cette tâche, vous configurez le réseau cloud virtuel hub. Le réseau cloud virtuel hub ne doit pas nécessairement comporter un sous-réseau. Cependant, cet exemple en inclut un. Le sous-réseau peut contenir des ressources cloud que votre réseau sur site ou le VCN spoke doit utiliser.

Pour obtenir plus d'informations et d'instructions, reportez-vous à la rubrique suivante :

Tâche 2 : connecter le réseau cloud virtuel hub à votre réseau sur site
Cette image présente la tâche 2, à savoir la connexion du réseau cloud virtuel hub à votre réseau sur site.
Numéro 1 : table de routage associée à Subnet-H
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
Dans cette tâche, vous configurez FastConnect ou un VPN site à site entre votre VCN hub et votre réseau sur site. Dans le cadre de ce processus, vous attachez un DRG au VCN hub et configurez le routage entre le VCN hub et votre network.Notice sur site que vous ne créez pas encore la table de routage associée à l'attachement DRG. Vous trouverez plus d'informations et des instructions à ce sujet dans une version ultérieure de step.For :
Tâche 3 : configurer un réseau cloud virtuel spoke avec au moins un sous-réseau
Cette image présente la tâche 3, à savoir la configuration d'un réseau cloud virtuel spoke.

Dans cette tâche, vous configurez le réseau cloud virtuel spoke avec au moins un sous-réseau. Pour obtenir plus d'informations et d'instructions, reportez-vous à la rubrique suivante :

Tâche 4 : configurer un appairage local entre les réseaux cloud virtuels hub et spoke
Cette image présente la tâche 4, à savoir la configuration de l'appairage local entre les réseaux cloud virtuels hub et spoke.
Numéro 1 : table de routage associée à Subnet-H
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 LPG-H-1
Numéro 2 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
Dans cette tâche, vous ajoutez une passerelle d'appairage local à chaque réseau cloud virtuel, établissez une connexion entre les passerelles d'appairage local et configurez un routage qui permet aux ressources d'un réseau cloud virtuel de communiquer avec les ressources de l'autre.
Important

Lors de la configuration de l'appairage local entre deux réseaux cloud virtuels, veillez à établir la connexion entre les passerelles d'appairage local. Cette étape du processus peut facilement être omise.
Notez que vous ne créez pas encore la table de routage associée à la passerelle d'appairage local sur le VCN hub (LPG-H-1). Vous trouverez plus d'informations et des instructions à ce sujet dans une version ultérieure de step.For :
Tâche 5 : ajouter une règle de routage à un sous-réseau du réseau cloud virtuel spoke
Cette image présente la tâche 5, à savoir l'ajout d'une règle de routage à un sous-réseau du réseau cloud virtuel spoke.
Numéro 1 : table de routage associée à Subnet-H
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 LPG-H-1
Numéro 2 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Dans cette tâche, vous ajoutez une règle à la table de routage associée à un sous-réseau du réseau cloud virtuel spoke. Cette règle achemine le trafic destiné au réseau sur site vers la passerelle d'appairage local du VCN spoke (LPG-1 dans le diagramme). Prérequis : vous disposez déjà d'une passerelle d'appairage local pour le VCN satellite et d'une table de routage associée au sous-réseau (sur le VCN satellite) qui doit communiquer avec le réseau sur site.
  1. Affichez la liste des sous-réseaux du réseau cloud virtuel spoke.
  2. Consultez les détails du sous-réseau qui vous intéresse et cliquez sur le lien relatif à la table de routage associée.

  3. Modifiez la table de routage de manière à inclure une règle qui envoie le trafic vers le réseau sur site :

    1. Cliquez sur Ajouter des règles de routage.

    2. Entrez les informations suivantes pour la règle de routage :

      • Type de cible : passerelle d'appairage local.
      • Bloc CIDR de destination : CIDR du réseau sur site (172.16.0.0/12 dans l'exemple précédent).
      • Compartiment : compartiment dans lequel se trouve la passerelle d'appairage local du réseau cloud virtuel spoke.
      • Passerelle d'appairage local cible : passerelle d'appairage local du réseau cloud virtuel spoke.
      • Description : description facultative de la règle.
    3. Cliquez sur Ajouter des règles de routage.
Tâche 6 : configurer le routage entrant pour les passerelles de routage dynamique et d'appairage local sur le réseau cloud virtuel hub
Cette image présente la tâche 7, à savoir la configuration du routage entrant entre les passerelles de routage dynamique et d'appairage local sur le réseau cloud virtuel hub.
Numéro 1 : table de routage associée à Subnet-H
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 LPG-H-1
Numéro 2 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Numéro 3 : table de routage associée à l'attachement de passerelle de routage dynamique
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
Numéro 4 : table de routage associée à LPG-H-1
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique

Dans cette tâche, vous configurez les tables de routage pour l'attachement de passerelle de routage dynamique et la passerelle d'appairage local du réseau cloud virtuel hub pour le réseau spoke souhaité (LPG-H-1).

Prérequis :

  • Une passerelle de routage dynamique est déjà attachée au réseau cloud virtuel hub.
  • Vous disposez déjà d'une passerelle d'appairage local de réseau cloud virtuel hub pour le réseau spoke souhaité.

  1. Créez une table de routage pour l'attachement de passerelle de routage dynamique :

    1. Dans la console, affichez les détails du VCN hub.
    2. Sous Ressources, cliquez sur Tables de routage pour afficher les tables de routage du réseau cloud virtuel.
    3. Cliquez sur Créer une table de routage.

    4. Entrez les informations suivantes :

      • Nom : nom descriptif de la table de routage. Exemple : Table de routage de passerelle de routage dynamique. Evitez de saisir des informations confidentielles.
      • Créer dans le compartiment : à laisser tel quel.

    5. Cliquez sur + Règle de routage supplémentaire et entrez les informations suivantes pour la règle de routage :

      • Type de cible : passerelle d'appairage local.
      • Bloc CIDR de destination : CIDR de ce réseau cloud virtuel spoke (192.168.0.0/16 dans l'exemple précédent). N'oubliez pas que vous pouvez utiliser les routages de cette table pour contrôler les sous-réseaux du réseau cloud virtuel spoke qui sont publiés sur le réseau sur site. Vous pouvez également configurer la règle afin de répertorier uniquement un sous-réseau particulier du réseau cloud virtuel spoke que le réseau sur site publie.
      • Compartiment : compartiment dans lequel se trouve la passerelle d'appairage local du réseau cloud virtuel hub.
      • Cible : passerelle d'appairage local du réseau cloud virtuel hub.
      • Description : description facultative de la règle.

    6. Cliquez sur Créer une table de routage.

      La table de routage est créée et affichée dans la liste.

  2. Associez la table de routage (appelée Table de routage de passerelle de routage dynamique dans cet exemple) à l'attachement de passerelle de routage dynamique du réseau cloud virtuel hub :

    1. Toujours dans les détails du réseau cloud virtuel hub, cliquez sur Passerelles de routage dynamique pour afficher la passerelle attachée.
    2. Cliquez sur le menu Actions (trois points), puis sur Associer la table de routage.
    3. Sélectionnez la table de routage.

    4. Cliquez sur Associer la table de routage.

      La table de routage est associée à l'attachement de passerelle de routage dynamique.

  3. Créez une table de routage pour la passerelle d'appairage local du réseau cloud virtuel hub pour ce réseau spoke :

    1. Toujours dans les détails du réseau cloud virtuel hub, cliquez sur Tables de routage.
    2. Cliquez sur Créer une table de routage.

    3. Entrez les informations suivantes :

      • Créer dans le compartiment : à laisser tel quel.
      • Nom : nom descriptif de la table de routage. Exemple : Table de routage LPG-# hub (où # indique le réseau spoke). Evitez de saisir des informations confidentielles.

    4. Cliquez sur + Règle de routage supplémentaire et entrez les informations suivantes pour la règle de routage :

      • Type de cible : passerelle de routage dynamique. La passerelle de routage dynamique attachée du réseau cloud virtuel est automatiquement sélectionnée en tant que cible. Vous n'avez pas besoin d'indiquer de cible.
      • Bloc CIDR de destination : CIDR du réseau sur site (172.16.0.0/12 dans l'exemple précédent). N'oubliez pas que vous pouvez utiliser les routages de cette table pour contrôler les sous-réseaux du réseau sur site qui sont publiés sur ce réseau cloud virtuel spoke. Vous pouvez également configurer la règle afin de répertorier uniquement un sous-réseau du réseau sur site qui doit communiquer avec ce réseau spoke.
      • Description : description facultative de la règle.

    5. Cliquez sur Créer une table de routage.

      La table de routage est créée et affichée dans la liste.

  4. Associez la table de routage (appelée Table de routage LPG-# hub dans cet exemple) à la passerelle d'appairage locale du réseau cloud virtuel hub pour le réseau spoke souhaité :

    1. Toujours dans les détails du réseau cloud virtuel hub, cliquez sur Passerelles d'appairage local pour afficher la passerelle d'appairage local du réseau cloud virtuel hub pour ce réseau spoke.
    2. Pour la passerelle d'appairage local que vous souhaitez, cliquez sur le menu Actions (trois points), puis sur Associer à une table de routage.

    3. Entrez les informations suivantes :

      • Compartiment de la table de routage : sélectionnez le compartiment de la table de routage pour la passerelle d'appairage local.
      • Table de routage : sélectionnez la table de routage pour la passerelle d'appairage local.

    4. Cliquez sur Associer.

      La table de routage est associée à la passerelle d'appairage local.

En cas de besoin de réseaux cloud virtuels spoke supplémentaires ultérieurement
  1. Répétez les tâches 3 à 5 pour le nouveau réseau cloud virtuel spoke.

  2. Répétez la tâche 6 avec les modifications suivantes :

    • Pour l'étape 1 : au lieu de créer une table de routage pour l'attachement de passerelle de routage dynamique, mettez à jour la table de routage existante afin d'inclure une nouvelle règle pour le nouveau réseau cloud virtuel spoke. Le CIDR de destination est le CIDR du réseau cloud virtuel spoke (ou d'un sous-réseau de celui-ci). La cible est la passerelle d'appairage local du réseau cloud virtuel hub pour le nouveau réseau spoke.
    • Pour l'étape 2 : ignorez cette étape, car l'attachement de passerelle de routage dynamique est déjà associé à sa table de routage.
    • Pour l'étape 3 : répétez l'étape normalement. Nommez la nouvelle table de routage en fonction du réseau spoke auquel elle est destinée (par exemple, Table de routage LPG-2 hub pour le deuxième réseau spoke).
    • Pour l'étape 4 : répétez l'étape normalement. Associez la table de routage créée au cours de l'étape 3 à la passerelle d'appairage local du réseau cloud virtuel hub pour le nouveau réseau spoke.
Pour un routage via une adresse IP privée
Conseil

Il se peut que bon nombre des connexions et des composants de Networking nécessaires dans ce scénario avancé soient déjà configurés. Vous pouvez donc ignorer certaines des tâches suivantes. Si vous disposez déjà d'une topologie réseau avec un VCN hub connecté à votre réseau sur site et que vous parlez des réseaux cloud virtuels appairés localement avec le VCN hub, les tâches 5 à 7 sont les plus importantes. Elles permettent d'acheminer le trafic entre votre réseau sur site et le réseau cloud virtuel spoke.
Tâche 1 : configurer le réseau cloud virtuel hub
Cette image présente la tâche 1, à savoir la configuration du réseau cloud virtuel hub.

Dans cette tâche, vous configurez le réseau cloud virtuel hub. Le réseau cloud virtuel hub doit comporter deux sous-réseaux : un pour la carte d'interface réseau virtuelle frontale sur l'instance, et un pour la carte d'interface réseau virtuelle back-end sur l'instance. Oracle recommande d'utiliser des sous-réseaux privés régionaux, à moins que le sous-réseau frontal ne comporte des ressources nécessitant un accès Internet.

Pour obtenir plus d'informations et d'instructions, reportez-vous à la rubrique suivante :

Tâche 2 : connecter le réseau cloud virtuel hub à votre réseau sur site
Cette image présente la tâche 2, à savoir la connexion du réseau cloud virtuel hub à votre réseau sur site.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3
Dans cette tâche, vous configurez FastConnect ou un VPN site à site entre votre VCN hub et votre réseau sur site. Dans le cadre de ce processus, vous attachez un DRG au VCN hub et configurez le routage entre le VCN hub et votre network.Notice sur site que vous ne créez pas encore la table de routage associée à l'attachement DRG. Vous trouverez plus d'informations et des instructions à ce sujet dans une version ultérieure de step.For :
Tâche 3 : configurer un réseau cloud virtuel spoke avec au moins un sous-réseau
Cette image présente la tâche 3, à savoir la configuration d'un réseau cloud virtuel spoke.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3

Dans cette tâche, vous configurez le réseau cloud virtuel spoke avec au moins un sous-réseau. Pour obtenir plus d'informations et d'instructions, reportez-vous à la rubrique suivante :

Tâche 4 : configurer un appairage local entre les réseaux cloud virtuels hub et spoke
Cette image présente la tâche 4, à savoir la configuration de l'appairage local entre les réseaux cloud virtuels hub et spoke.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3
Numéro 2 : table de routage associée à Subnet-H-Backend
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
Numéro 3 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Dans cette tâche, vous ajoutez une passerelle d'appairage local à chaque réseau cloud virtuel, établissez une connexion entre les passerelles d'appairage local et configurez un routage qui permet aux ressources d'un réseau cloud virtuel de communiquer avec les ressources de l'autre.
Important

Lors de la configuration de l'appairage local entre deux réseaux cloud virtuels, veillez à établir la connexion entre les passerelles d'appairage local. Cette étape du processus peut facilement être omise.
Notez que vous ne créez pas encore la table de routage associée à la passerelle d'appairage local sur le VCN hub (LPG-H-1). Vous trouverez plus d'informations et des instructions à ce sujet dans une version ultérieure de step.For :
Tâche 5 : ajouter une règle de routage à un sous-réseau du réseau cloud virtuel spoke
Cette image présente la tâche 5, à savoir l'ajout d'une règle de routage à un sous-réseau du réseau cloud virtuel spoke.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3
Numéro 2 : table de routage associée à Subnet-H-Backend
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
Numéro 3 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Dans cette tâche, vous ajoutez une règle à la table de routage associée à un sous-réseau du réseau cloud virtuel spoke. Cette règle achemine le trafic destiné au réseau sur site vers la passerelle d'appairage local du VCN spoke (LPG-1 dans le diagramme). Prérequis : vous disposez déjà d'une passerelle d'appairage local pour le VCN satellite et d'une table de routage associée au sous-réseau (sur le VCN satellite) qui doit communiquer avec le réseau sur site.
  1. Affichez la liste des sous-réseaux du réseau cloud virtuel spoke.
  2. Consultez les détails du sous-réseau qui vous intéresse et cliquez sur le lien relatif à la table de routage associée.

  3. Modifiez la table de routage de manière à inclure une règle qui envoie le trafic vers le réseau sur site :

    1. Cliquez sur Ajouter des règles de routage.

    2. Entrez les informations suivantes pour la règle de routage :

      • Type de cible : passerelle d'appairage local.
      • Bloc CIDR de destination : CIDR du réseau sur site (172.16.0.0/12 dans l'exemple précédent).
      • Compartiment : compartiment dans lequel se trouve la passerelle d'appairage local du réseau cloud virtuel spoke.
      • Passerelle d'appairage local cible : passerelle d'appairage local du réseau cloud virtuel spoke.
      • Description : description facultative de la règle.
    3. Cliquez sur Ajouter des règles de routage.
Tâche 6 : configurer les adresses IP privées sur une instance du réseau cloud virtuel hub
Cette image présente la tâche 6, à savoir la configuration de l'instance dans le réseau cloud virtuel hub.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3
Numéro 2 : table de routage associée à Subnet-H-Backend
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
Numéro 3 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1

Dans cette tâche, vous configurez l'instance de sorte qu'elle dispose de deux adresses IP privées.

Prérequis :

  1. Si vous ne l'avez pas déjà fait, créez l'instance dans le réseau cloud virtuel hub. Reportez-vous à Création d'une instance. La carte d'interface réseau virtuelle principale est créée dans le sous-réseau que vous indiquez.
  2. Créez une carte d'interface réseau virtuelle secondaire pour l'autre sous-réseau et configurez le système d'exploitation pour qu'il l'utilise. Reportez-vous à Gestion des VNIC.
  3. Désactivez la vérification de source/destination sur chacune des cartes d'interface réseau virtuelles. Reportez-vous à Présentation des cartes d'interface réseau virtuelles et des cartes d'interface réseau physiques.
  4. Pour chaque carte d'interface réseau virtuelle, déterminez l'adresse IP privée à utiliser comme cible de routage. Si vous voulez utiliser une adresse IP privée secondaire à la place de l'adresse IP privée principale de la carte d'interface réseau virtuelle, affectez cette adresse IP privée secondaire et configurez le système d'exploitation de manière à ce qu'il utilise. Reportez-vous à Affectation d'une nouvelle adresse IP privée secondaire à une VNIC.
  5. Notez les adresses IP privées que vous avez créées (par exemple : 10.0.4.3).
  6. Configurez l'instance de manière adaptée pour le travail qu'elle exécute (par exemple, configuration du pare-feu ou du système de détection des intrusions sur l'instance).
Tâche 7 : configurer le routage entrant pour les passerelles de routage dynamique et d'appairage local sur le réseau cloud virtuel hub
Cette image montre les tables et règles de routage requises lors de la configuration du scénario avec une appliance virtuelle réseau dans le réseau cloud virtuel hub.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3
Numéro 2 : table de routage associée à Subnet-H-Backend
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
Numéro 3 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Numéro 4 : table de routage associée à l'attachement de passerelle de routage dynamique
CIDR de destination Cible du routage
192.168.0.0/16 10.0.4.3
Numéro 5 : table de routage associée à LPG-H-1
CIDR de destination Cible du routage
172.16.0.0/12 10.0.8.3

Aucune table de routage spéciale n'est associée à LPG-1.

Dans cette tâche, vous configurez les tables de routage pour l'attachement de passerelle de routage dynamique et la passerelle d'appairage local du réseau cloud virtuel hub pour le réseau spoke souhaité (LPG-H-1).

Prérequis :

  • Une passerelle de routage dynamique est déjà attachée au réseau cloud virtuel hub.
  • Vous disposez déjà d'une passerelle d'appairage local de réseau cloud virtuel hub pour le réseau spoke souhaité.
  • Vous disposez déjà des deux adresses IP privées à utiliser en tant que cibles de routage (reportez-vous à la tâche précédente).

  1. Créez une table de routage pour l'attachement de passerelle de routage dynamique :

    1. Dans la console, affichez les détails du VCN hub.
    2. Sous Ressources, cliquez sur Tables de routage pour afficher les tables de routage du réseau cloud virtuel.
    3. Cliquez sur Créer une table de routage.

    4. Entrez les informations suivantes :

      • Nom : nom descriptif de la table de routage. Exemple : Table de routage de passerelle de routage dynamique. Evitez de saisir des informations confidentielles.
      • Créer dans le compartiment : à laisser tel quel.

    5. Cliquez sur + Règle de routage supplémentaire et entrez les informations suivantes pour la règle de routage :

      • Type de cible : adresse IP privée.
      • Bloc CIDR de destination : CIDR de ce réseau cloud virtuel spoke (192.168.0.0/16 dans l'exemple précédent). N'oubliez pas que vous pouvez utiliser les routages de cette table pour contrôler les sous-réseaux du réseau cloud virtuel spoke qui sont publiés sur le réseau sur site. Vous pouvez également configurer la règle afin de répertorier uniquement un sous-réseau particulier du réseau cloud virtuel spoke que le réseau sur site publie.
      • Compartiment : compartiment dans lequel se trouve l'adresse IP privée du sous-réseau frontal.
      • Cible : adresse IP privée du sous-réseau frontal que vous avez notée au cours de la tâche précédente (10.0.4.3 dans l'exemple).
      • Description : description facultative de la règle.

    6. Cliquez sur Créer une table de routage.

      La table de routage est créée et affichée dans la liste.

  2. Associez la table de routage (appelée Table de routage de passerelle de routage dynamique dans cet exemple) à l'attachement de passerelle de routage dynamique du réseau cloud virtuel hub :

    1. Toujours dans les détails du réseau cloud virtuel hub, cliquez sur Passerelles de routage dynamique pour afficher la passerelle attachée.
    2. Cliquez sur le menu Actions (trois points), puis sur Associer à une table de routage.

    3. Entrez les informations suivantes :

      • Compartiment de la table de routage : sélectionnez le compartiment de la table de routage pour l'attachement de passerelle de routage dynamique.
      • Table de routage : sélectionnez la table de routage de l'attachement de passerelle de routage dynamique.

    4. Cliquez sur Associer.

      La table de routage est associée à l'attachement de passerelle de routage dynamique.

  3. Créez une table de routage pour la passerelle d'appairage local du réseau cloud virtuel hub pour ce réseau spoke :

    1. Toujours dans les détails du réseau cloud virtuel hub, cliquez sur Tables de routage.
    2. Cliquez sur Créer une table de routage.

    3. Entrez les informations suivantes :

      • Créer dans le compartiment : à laisser tel quel.
      • Nom : nom descriptif de la table de routage. Exemple : Table de routage LPG-# hub (où # indique le réseau spoke). Evitez de saisir des informations confidentielles.

    4. Cliquez sur + Règle de routage supplémentaire et entrez les informations suivantes pour la règle de routage :

      • Type de cible : adresse IP privée.
      • Bloc CIDR de destination : CIDR du réseau sur site (172.16.0.0/12 dans l'exemple précédent). N'oubliez pas que vous pouvez utiliser les routages de cette table pour contrôler les sous-réseaux du réseau sur site qui sont publiés sur ce réseau cloud virtuel spoke. Vous pouvez également configurer la règle afin de répertorier uniquement un sous-réseau du réseau sur site qui doit communiquer avec ce réseau spoke.
      • Compartiment : compartiment dans lequel se trouve l'adresse IP privée.
      • Cible : adresse IP privée du sous-réseau back-end que vous avez notée au cours de la tâche précédente (10.0.8.3 dans l'exemple).
      • Description : description facultative de la règle.

    5. Cliquez sur Créer une table de routage.

      La table de routage est créée et affichée dans la liste.

  4. Associez la table de routage (appelée Table de routage LPG-# hub dans cet exemple) à la passerelle d'appairage locale du réseau cloud virtuel hub pour le réseau spoke souhaité :

    1. Toujours dans les détails du réseau cloud virtuel hub, cliquez sur Passerelles d'appairage local pour afficher la passerelle d'appairage local du réseau cloud virtuel hub pour ce réseau spoke.
    2. Pour la passerelle d'appairage local que vous souhaitez, cliquez sur le menu Actions (trois points), puis sur Associer à une table de routage.

    3. Entrez les informations suivantes :

      • Compartiment de la table de routage : sélectionnez le compartiment de la table de routage pour la passerelle d'appairage local.
      • Table de routage : sélectionnez la table de routage pour la passerelle d'appairage local.

    4. Cliquez sur Associer.

      La table de routage est associée à la passerelle d'appairage local.

Bien qu'Oracle ne recommande pas de placer des charges globales dans les sous-réseaux du réseau cloud virtuel hub, pour avoir une meilleure vision du routage de l'exemple, le diagramme illustre deux règles de routage supplémentaires dans les tables de routage de sous-réseau du réseau cloud virtuel hub. Pour le sous-réseau frontal, il existe une règle de routage permettant d'acheminer le trafic destiné au réseau cloud virtuel spoke vers l'adresse IP privée du sous-réseau frontal (10.0.4.3) à des fins de filtrage par l'instance. Pour le sous-réseau back-end, il existe une règle de routage permettant d'acheminer le trafic destiné au réseau sur site vers l'adresse IP privée du sous-réseau back-end (10.0.8.3) à des fins de filtrage par l'instance. La procédure suivante ajoute ces deux règles de routage.

  1. Affichez la liste des sous-réseaux du réseau cloud virtuel spoke.
  2. Examinez les détails du sous-réseau frontal et cliquez sur le lien relatif à sa table de routage.

  3. Modifiez la table de routage du sous-réseau frontal pour inclure une règle qui envoie le trafic destiné au réseau cloud virtuel spoke vers l'adresse IP privée du sous-réseau frontal :

    1. Cliquez sur Ajouter des règles de routage.

    2. Entrez les informations suivantes pour la règle de routage :

      • Type de cible : adresse IP privée.
      • Bloc CIDR de destination : CIDR de ce réseau cloud virtuel spoke (192.168.0.0/16 dans l'exemple précédent).
      • Compartiment : compartiment dans lequel se trouve l'adresse IP privée du sous-réseau frontal.
      • Cible : adresse IP privée du sous-réseau frontal que vous avez notée au cours de la tâche précédente (10.0.4.3 dans l'exemple).
      • Description : description facultative de la règle.
    3. Cliquez sur Ajouter des règles de routage.
  4. Examinez les détails du sous-réseau back-end et cliquez sur le lien relatif à sa table de routage.

  5. Modifiez la table de routage du sous-réseau back-end pour inclure une règle qui envoie le trafic destiné au réseau sur site vers l'adresse IP privée du sous-réseau back-end :

    1. Cliquez sur Ajouter des règles de routage.

    2. Entrez les informations suivantes pour la règle de routage :

      • Type de cible : adresse IP privée.
      • Bloc CIDR de destination : CIDR du réseau sur site (172.16.0.0/12 dans l'exemple précédent).
      • Compartiment : compartiment dans lequel se trouve l'adresse IP privée du sous-réseau back-end.
      • Cible : adresse IP privée du sous-réseau back-end que vous avez notée au cours de la tâche précédente (10.0.8.3 dans l'exemple).
      • Description : description facultative de la règle.
    3. Cliquez sur Ajouter des règles de routage.
En cas de besoin de réseaux cloud virtuels spoke supplémentaires ultérieurement
  1. Répétez les tâches 3 à 5 pour le nouveau réseau cloud virtuel spoke.

  2. Répétez la tâche 7 avec les modifications suivantes :

    • Pour l'étape 1 : au lieu de créer une table de routage pour l'attachement de passerelle de routage dynamique, mettez à jour la table de routage existante afin d'inclure une nouvelle règle pour le nouveau réseau cloud virtuel spoke. Le CIDR de destination est le CIDR du réseau cloud virtuel spoke (ou d'un sous-réseau de celui-ci). La cible est l'adresse IP privée du sous réseau frontal 10.0.4.3.
    • Pour l'étape 2 : ignorez cette étape, car l'attachement de passerelle de routage dynamique est déjà associé à sa table de routage.
    • Pour l'étape 3 : répétez l'étape normalement. Nommez la nouvelle table de routage en fonction du réseau spoke auquel elle est destinée (par exemple, Table de routage LPG-2 hub pour le deuxième réseau spoke).
    • Pour l'étape 4 : répétez l'étape normalement. Associez la table de routage créée au cours de l'étape 3 à la passerelle d'appairage local du réseau cloud virtuel hub pour le nouveau réseau spoke.

Désactivation du routage de transit

Pour désactiver le routage de transit, enlevez les règles des éléments suivants :

  • Table de routage associée à l'attachement de passerelle de routage dynamique.
  • Table de routage associée à chaque passerelle d'appairage local sur le réseau cloud virtuel hub.

Une table de routage peut être associée à une ressource et ne pas avoir de règle. Toutefois, sans au moins une règle, une table de routage ne peut rien faire.

Il est possible qu'un attachement de passerelle de routage dynamique ou qu'une passerelle d'appairage local ne soit associé à aucune table de routage. Cependant, une fois que vous avez associé une table de routage à un attachement de passerelle de routage dynamique ou à une passerelle d'appairage local, ces derniers doivent toujours être associés à une table de routage. Vous pouvez toutefois lui en associer une autre. Vous pouvez également modifier les règles de la table, ou supprimer tout ou partie des règles.