Documentation Oracle Cloud Infrastructure

Routage de transit au sein d'un réseau cloud virtuel hub

Le routage de transit fait référence à une topologie de réseau dans laquelle votre réseau sur site utilise un intermédiaire pour accéder à des ressources ou services Oracle, ou à des réseaux cloud virtuels. L'intermédiaire peut être une passerelle de routage dynamique  ou un réseau cloud virtuel auquel le réseau sur site est déjà attaché. Vous connectez le réseau sur site à une passerelle de routage dynamique avec FastConnect ou un VPN site à site, puis vous configurez le routage de sorte que le trafic transite via l'intermédiaire vers sa destination.

Les trois principaux scénarios de routage de transit sont les suivants :

  • Accès entre plusieurs réseaux via une passerelle de routage dynamique unique avec un pare-feu entre les réseaux : ce scénario utilise la passerelle de routage dynamique comme hub. Le routage est configuré pour envoyer les paquets via un pare-feu d'un réseau cloud virtuel afin qu'ils puissent être envoyés à un autre réseau. Reportez-vous à Routage du trafic via une appliance virtuelle de réseau central. Ce scénario est uniquement disponible pour une implémentation utilisant une passerelle de routage dynamique mise à niveau.
  • Accès à plusieurs réseaux cloud virtuels dans la même région : scénario traité dans cette rubrique. Ce scénario utilise un réseau cloud virtuel en tant que hub, et permet la communication entre votre réseau sur site et plusieurs réseaux cloud virtuels (connectés via un appairage local) situés dans la même région sur un circuit virtuel privé FastConnect unique ou un VPN site à site. Oracle recommande plutôt d'utiliser le scénario précédent. Ce scénario est disponible pour une implémentation utilisant un DRG hérité ou mis à niveau.
  • Accès privé aux services Oracle : ce scénario utilise un réseau cloud virtuel en tant que hub et donne à votre réseau sur site un accès privé aux services Oracle, afin que vos hôtes sur site puissent utiliser leurs adresses IP privées et que le trafic ne passe pas par Internet. Reportez-vous à Accès privé aux services Oracle. Ce scénario est disponible pour une implémentation utilisant une passerelle de routage dynamique héritée ou mise à niveau.

Points clés

  • Vous pouvez utiliser une seule connexion FastConnect ou de VPN site à site entre le réseau sur site et plusieurs réseaux cloud virtuels de la même région, dans une topologie hub-and-spoke.
  • Les réseaux cloud virtuels doivent se trouver dans la même région, mais peuvent être dans des locations différentes. Pour un routage précis, les blocs CIDR des différents sous-réseaux souhaités dans le réseau sur site et les réseaux cloud virtuels ne doivent pas se chevaucher.
  • Le réseau cloud virtuel qui sert de hub utilise une passerelle de routage dynamique pour communiquer avec le réseau sur site. Ce réseau cloud virtuel hub est appairé avec chaque réseau cloud virtuel agissant comme un spoke (appelés réseaux cloud virtuels spoke dans cette rubrique). Les réseaux cloud virtuels hub-and-spoke utilisent des passerelles d'appairage local pour communiquer.
  • Afin d'autoriser le trafic prévu depuis le réseau sur site vers un réseau cloud virtuel spoke appairé via le hub, vous implémentez des règles de routage pour la passerelle d'appairage local et l'attachement de passerelle de routage dynamique du réseau cloud virtuel hub ou de la passerelle de routage dynamique hub, ainsi que pour les sous-réseaux du réseau spoke.
  • Si vous le souhaitez, vous pouvez configurer le routage de transit via une adresse IP privée dans le réseau cloud virtuel hub. Par exemple, vous pouvez filtrer ou inspecter le trafic entre le réseau sur site et un réseau cloud virtuel spoke. Dans ce cas, vous acheminez le trafic vers une adresse IP privée sur une instance du réseau cloud virtuel hub à des fins de contrôle. Le trafic résultant continue vers sa destination. Cette rubrique aborde les deux cas : le routage de transit direct entre des passerelles sur le réseau cloud virtuel hub, et le routage de transit via une adresse IP privée.
  • La configuration de tables de routage se trouvant dans le réseau cloud virtuel hub vous permet de déterminer si un sous-réseau particulier d'un réseau cloud virtuel spoke appairé est publié sur le réseau sur site, et si un sous-réseau particulier du réseau sur site est publié sur un réseau cloud virtuel spoke appairé.
Conseil

Il existe un autre scénario qui vous permet de connecter votre réseau sur site à plusieurs réseaux cloud virtuels. Au lieu d'utiliser une seule passerelle de routage dynamique et une topologie hub-and-spoke, vous configurez une passerelle de routage dynamique distincte pour chaque réseau cloud virtuel et un circuit virtuel privé distinct sur une seule connexion FastConnect. Cependant, le scénario peut uniquement être utilisé avec FastConnect par le biais d'un fournisseur tiers ou en colocalisation avec Oracle. Les réseaux cloud virtuels doivent se trouver dans la même région et la même location. Pour plus d'informations, reportez-vous au manuel FastConnect avec plusieurs passerelles de routage dynamique et réseaux cloud virtuels.

Présentation du routage de transit

Le routage de transit consiste simplement à acheminer le trafic vers un réseau cloud virtuel ou un réseau sur site via un réseau cloud virtuel hub central. Voici un exemple simple de la raison pour laquelle vous pouvez utiliser le routage de transit : votre organisation est grande et comporte plusieurs services, qui disposent chacun de leur propre réseau cloud virtuel. Votre réseau sur site a besoin d'accéder aux différents réseaux cloud virtuels, mais vous ne souhaitez pas faire face à la surcharge administrative que représente le maintien d'une connexion sécurisée entre chaque réseau cloud virtuel et le réseau sur site. A la place, vous souhaitez utiliser un seul VPN site à site ou une seule connexion FastConnect.

Un scénario de configuration réseau de base implique la connexion de votre réseau sur site à un réseau cloud virtuel avec Oracle Cloud Infrastructure FastConnect ou un VPN site à site. Les deux scénarios de base suivants illustrent cette topologie : Scénario B : sous-réseau privé avec un VPN et Scénario C : sous-réseaux public et privé avec un VPN.

Ce scénario utilise une topologie hub-and-spoke, comme illustré dans le diagramme suivant. Ici, le terme hub signifie uniquement qu'un réseau cloud virtuel fait office de hub dans cette disposition hub-and-spoke.

Cette image montre la disposition hub-and-spoke de base des réseaux cloud virtuels connectés à votre réseau sur site.

L'un des réseaux cloud virtuels fait office de hub (VCN-H) et se connecte à votre réseau sur site par le biais d'une connexion FastConnect ou d'un VPN site à site. Les autres réseaux cloud virtuels sont appairés localement avec le réseau cloud virtuel hub. Le trafic entre le réseau sur site et les réseaux cloud virtuels appairés transite par le réseau cloud virtuel hub. Les réseaux cloud virtuels doivent se trouver dans la même région, mais peuvent être dans des locations différentes.

Passerelles impliquées dans le routage de transit

Le diagramme suivant présente les passerelles sur les réseaux cloud virtuels. Le réseau cloud virtuel hub possède une passerelle de routage dynamique, qui constitue le chemin de communication avec le réseau sur site. Pour chaque réseau cloud virtuel spoke appairé localement, une paire de passerelles d'appairage local ancre la connexion d'appairage. La première passerelle d'appairage local se trouve sur le réseau cloud virtuel hub, et la seconde sur le réseau cloud virtuel spoke.

Cette image présente la disposition hub-and-spoke de base des réseaux cloud virtuels avec les passerelles requises.

Récapitulatif des nouveaux concepts pour les utilisateurs expérimentés du service Networking

Si vous connaissez déjà le service Networking et l'appairage local de réseaux cloud virtuels, voici les nouveaux concepts les plus importants à comprendre :

  • Pour chaque sous-réseau de réseau cloud virtuel spoke devant communiquer avec le réseau sur site, mettez à jour la table de routage correspondante avec une règle qui définit la cible (le saut suivant) sur la passerelle d'appairage local du réseau cloud virtuel spoke pour l'ensemble du trafic destiné au réseau sur site.

  • Ajoutez une table de routage au réseau cloud virtuel hub, associez-la à l'attachement de passerelle de routage dynamique et ajoutez une règle de routage définissant la cible (le saut suivant) sur la passerelle d'appairage local du réseau cloud virtuel hub (pour ce spoke) pour l'ensemble du trafic destiné à ce réseau cloud virtuel spoke (ou à un sous-réseau spécifique de ce réseau cloud virtuel).

  • Ajoutez une autre table de routage au réseau cloud virtuel hub, associez-la à la passerelle d'appairage local du réseau cloud virtuel hub (pour ce spoke) et ajoutez une règle de routage définissant la cible (le saut suivant) sur la passerelle de routage dynamique pour l'ensemble du trafic destiné au réseau sur site (ou à un sous-réseau spécifique de ce réseau).

Pour en savoir plus sur le routage de transit direct via des passerelles, reportez-vous aux tâches spécifiques suivantes :

Pour plus d'informations sur le routage de transit via une adresse IP privée, consultez les tâches spécifiques suivantes :

Exemple : composants et routage pour un réseau cloud virtuel hub et un seul réseau cloud virtuel spoke

Pour plus de simplicité, les exemples de cette section illustrent un réseau cloud virtuel agissant comme un hub et un réseau cloud virtuel spoke unique.

Remarque

Dans un modèle hub-and-spoke, le réseau cloud virtuel hub peut avoir plusieurs réseaux spoke et donc plusieurs passerelles d'appairage local (un par réseau spoke). Cette rubrique utilise l'expression passerelle d'appairage local du réseau cloud virtuel hub, qui peut être ambiguë. Lorsque cette expression est utilisée ici, elle fait référence à la passerelle d'appairage local hub pour le réseau spoke spécifique qui vous intéresse. Dans les diagrammes suivants, le hub est LPG-H-1. Des réseaux spoke supplémentaires impliquent de créer les passerelles d'appairage local LPG-H-2, LPG-H-3, etc.
Pour un routage de transit direct via des passerelles

Le diagramme suivant présente les règles de routage et les tables de routage du service Networking requises pour le routage de transit effectué directement via des passerelles. Même si le réseau cloud virtuel hub ne requiert pas de sous-réseau pour faire fonctionner le routage de transit, l'exemple présenté ici inclut un sous-réseau appelé Subnet-H.

Cette image présente les règles et les tables de routage requises lors de la configuration du scénario.
Numéro 1 : table de routage associée à Subnet-H
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 LPG-H-1
Numéro 2 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Numéro 3 : table de routage de réseau cloud virtuel associée à l'attachement de passerelle de routage dynamique
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
Numéro 4 : table de routage associée à LPG-H-1
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique

Le scénario du diagramme utilise quatre tables de routage, chacune associée à une ressource différente :

  • Subnet-H :

    • Cette table de routage appartient au réseau cloud virtuel hub et est associée à Subnet-H.
    • Cette table de routage possède une règle permettant d'acheminer le trafic destiné au réseau sur site vers la passerelle de routage dynamique. Il existe une autre règle pour acheminer le trafic destiné au réseau cloud virtuel spoke vers LPG-H-1.

  • Subnet-1 :

    • Cette table de routage appartient au réseau cloud virtuel spoke et est associée à Subnet-1.
    • Cette table de routage possède des règles permettant d'acheminer le trafic destiné au réseau cloud virtuel hub ou au réseau sur site vers LPG-1.

  • Table de routage de réseau cloud virtuel sur l'attachement de passerelle de routage dynamique :

    • La table de routage appartient au réseau cloud virtuel hub et est associée à l'attachement de passerelle de routage dynamique. Pourquoi l'attachement et non la passerelle de routage dynamique ? Car la passerelle de routage dynamique est une ressource autonome que vous pouvez attacher à n'importe quel réseau cloud virtuel se trouvant dans la même région et la même location qu'elle. L'attachement permet d'identifier le réseau cloud virtuel.
    • La table de routage achemine le trafic entrant provenant du réseau sur site et destiné au réseau cloud virtuel spoke (VCN-1). Vous configurez la règle de sorte à envoyer ce trafic vers LPG-H-1.

  • Table de routage de réseau cloud virtuel sur LPG-H-1 :

    • Cette table de routage appartient au réseau cloud virtuel hub et est associée à LPG-H-1.
    • La table de routage achemine le trafic entrant provenant de VCN-1 et destiné au réseau sur site. Vous configurez la règle de sorte à envoyer ce trafic vers la passerelle de routage dynamique.
Pour un routage de transit via une adresse IP privée

Le diagramme suivant présente les règles de routage et les tables de routage du service Networking requises pour le routage de transit effectué via une adresse IP privée sur une instance du réseau cloud virtuel hub. Vous pouvez choisir d'implémenter ce scénario avec une ou plusieurs cartes d'interface réseau virtuelles. Le diagramme ci-après illustre deux cartes d'interface réseau virtuelles : une dans un sous-réseau appelé Subnet-H-Frontend et une autre dans un sous-réseau appelé Subnet-H-Backend. La carte d'interface réseau virtuelle frontale dispose de l'adresse IP privée 10.0.4.3 et la carte back-end de l'adresse IP privée 10.0.8.3.

Cette image montre les tables et règles de routage requises lors de la configuration du scénario avec une appliance virtuelle réseau dans le réseau cloud virtuel hub.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3
Numéro 2 : table de routage associée à Subnet-H-Backend
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
Numéro 3 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Numéro 4 : table de routage associée à l'attachement de passerelle de routage dynamique
CIDR de destination Cible du routage
192.168.0.0/16 10.0.4.3
Numéro 5 : table de routage associée à LPG-H-1
CIDR de destination Cible du routage
172.16.0.0/12 10.0.8.3

Aucune table de routage spéciale n'est associée à LPG-1.

Le diagramme présente cinq tables de routage, chacune associée à une ressource différente :

  • Attachement de passerelle de routage dynamique :

    • La table de routage appartient au réseau cloud virtuel hub et est associée à l'attachement de passerelle de routage dynamique. Pourquoi l'attachement et non la passerelle de routage dynamique ? Car la passerelle de routage dynamique est une ressource autonome que vous pouvez attacher à n'importe quel réseau cloud virtuel se trouvant dans la même région et la même location qu'elle. L'attachement permet d'identifier le réseau cloud virtuel.
    • La table de routage achemine le trafic entrant provenant du réseau sur site et destiné au réseau cloud virtuel spoke (VCN-1). Vous configurez la règle de sorte à envoyer le trafic vers l'adresse IP privée du sous-réseau frontal.

  • LPG-H-1 :

    • Cette table de routage appartient au réseau cloud virtuel hub et est associée à LPG-H-1.
    • La table de routage achemine le trafic entrant provenant de VCN-1 et destiné au réseau sur site. Vous configurez la règle de sorte à envoyer ce trafic vers l'adresse IP privée du sous-réseau back-end.

  • Subnet-H-Frontend :

    • Cette table de routage appartient au réseau cloud virtuel hub et est associée à Subnet-H-Frontend.
    • Cette table de routage possède une règle permettant d'acheminer le trafic destiné au réseau sur site vers la passerelle de routage dynamique.
    • Bien qu'Oracle ne recommande pas de placer des charges globales dans les sous-réseaux du réseau cloud virtuel hub, le diagramme montre également une règle de routage permettant d'acheminer le trafic destiné au réseau cloud virtuel spoke vers l'adresse IP privée du sous-réseau frontal (10.0.4.3) à des fins de filtrage par l'instance. La seconde règle apparaît ici pour donner un meilleur aperçu du routage dans cet exemple.

  • Subnet-H-Backend :

    • Cette table de routage appartient au réseau cloud virtuel hub et est associée à Subnet-H-Backend.
    • Cette table de routage possède une règle pour acheminer le trafic destiné au réseau cloud virtuel spoke (VCN-1) vers LPG-H-1.
    • Bien qu'Oracle ne recommande pas de placer des charges globales dans les sous-réseaux du réseau cloud virtuel hub, le diagramme montre également une règle de routage permettant d'acheminer le trafic destiné au réseau sur site vers l'adresse IP privée du sous-réseau back-end (10.0.8.3) à des fins de filtrage par l'instance. La seconde règle apparaît ici pour donner un meilleur aperçu du routage dans cet exemple.

  • Subnet-1 :

    • Cette table de routage appartient au réseau cloud virtuel spoke et est associée à Subnet-1.
    • Cette table de routage possède des règles permettant d'acheminer le trafic destiné au réseau cloud virtuel hub ou au réseau sur site vers LPG-1.

Restrictions importantes à comprendre pour le routage de transit

Cette section contient des informations importantes supplémentaires sur le routage :

  • Table de routage pour l'attachement de passerelle de routage dynamique :

    • Une table de routage de réseau cloud virtuel associée à un attachement de passerelle de routage dynamique peut uniquement comporter des règles qui ciblent une passerelle de service, une adresse IP privée ou une passerelle d'appairage local.
    • Un attachement de passerelle de routage dynamique comporte toujours une table de routage associée, mais vous pouvez en associer une autre, modifier les règles de la table ou supprimer tout ou partie des règles.

  • Table de routage pour une passerelle d'appairage local :

    • Une table de routage de réseau cloud virtuel associée à un attachement de passerelle de routage dynamique peut uniquement comporter des règles qui ciblent une passerelle de service, une adresse IP privée ou une passerelle d'appairage local.
    • Il est possible qu'une passerelle d'appairage local ne soit associée à aucune table de routage. Cependant, une fois que vous avez associé une table de routage à une passerelle d'appairage local, celle-ci doit toujours être associée à une table de routage. Vous pouvez toutefois associer une autre table de routage. Vous pouvez également modifier les règles de la table, ou supprimer tout ou partie des règles.
  • Trafic passant par le réseau cloud virtuel hub : les tables de routage évoquées ici servent uniquement à déplacer le trafic passant par le réseau cloud virtuel hub entre les emplacements du réseau sur site et ceux du réseau cloud virtuel spoke. Si vous utilisez une adresse IP privée dans le réseau hub, vous configurez ces tables de routage de sorte que l'adresse IP privée soit placée dans ce chemin de trafic passant par le réseau hub.
  • Trafic entrant vers le réseau cloud virtuel hub : même si l'instruction précédente est vraie (par rapport au trafic via le réseau hub), le trafic entrant vers les sous-réseaux dans le réseau cloud virtuel hub est toujours autorisé. Il n'est pas nécessaire de configurer des règles explicites pour ce trafic entrant dans la table de routage de l'attachement de passerelle de routage dynamique ou dans celle de la passerelle d'appairage local hub. Lorsque ce type de trafic entrant atteint la passerelle de routage dynamique ou la passerelle d'appairage local hub, le trafic est automatiquement acheminé vers sa destination dans le réseau cloud virtuel hub par le routage local du réseau cloud virtuel. En raison du routage local du réseau cloud virtuel, vous ne pouvez pas créer de règle qui répertorie le CIDR du réseau cloud virtuel (ou une sous-section) en tant que destination de la règle pour les tables de routage appartenant à un réseau cloud virtuel donné.
  • Trafic de réseau cloud virtuel hub en cas de routage de transit via une adresse IP privée : l'instruction précédente concernant le routage local de réseau cloud virtuel signifie que vous utilisez le réseau cloud virtuel hub uniquement pour le transit entre le réseau sur site et les réseaux cloud virtuels spoke. Ne configurez pas de charges globales dans le réseau cloud virtuel hub lui-même. En d'autres termes, si vous configurez le routage de transit via une adresse IP privée dans le réseau cloud virtuel hub, vous ne pouvez pas non plus acheminer le trafic du réseau cloud virtuel hub via cette adresse IP privée. Par exemple, dans le diagramme précédent, si vous modifiez la règle de routage dans la table de routage LPG-H-1 de sorte que le CIDR de destination soit 0.0.0.0/0 au lieu de 172.16.0.0/12, seul le trafic provenant de VCN-1 et destiné aux adresses en dehors du bloc CIDR du réseau cloud virtuel hub est acheminé via l'adresse IP privée. En raison du routage local du réseau cloud virtuel, le trafic destiné aux adresses au sein de ce réseau est acheminé directement vers l'adresse IP de destination de façon automatique. Le routage local du réseau cloud virtuel est prioritaire sur la table de routage LPG-H-1 (en général, il est prioritaire sur toutes tables de routage du réseau cloud virtuel).

  • Le flux de trafic suivant n'est pas pris en charge :

    chemin de routage non pris en charge
    • Le trafic circule d'un attachement vers VCN-1, en passant par DRG-1.
    • Le trafic correspond à une règle de la table de routage entrante de l'attachement ciblant la passerelle d'appairage local LPG-1, appairée à LPG-2 dans VCN-2.
    • Le trafic correspond à une règle de la table de routage entrante de LPG-2 ciblant la passerelle de routage dynamique DRG-2 (attachée à VCN-2).

    Ce flux semble pouvoir fonctionner, mais n'est en fait pas pris en charge. La méthode prise en charge pour déplacer le trafic entre deux passerelles de routage dynamique d'une même région est de passer par une connexion d'appairage à distance intra-région.

A propos du chevauchement de CIDR

Dans cet exemple, les différents réseaux ne présentent pas de chevauchement de blocs CIDR (172.16.0.0/12, 10.0.0.0/16 et 192.168.0.0/16). Le service Networking n'autorise pas l'appairage local de réseaux cloud virtuels entre deux réseaux cloud virtuels présentant un chevauchement de CIDR. Cela signifie qu'aucun réseau spoke ne peut chevaucher le réseau hub.

Toutefois, le service Networking ne vérifie pas si les réseaux cloud virtuels spoke se chevauchent, ou si l'un des réseaux cloud virtuels chevauche le réseau sur site. Assurez-vous que les CIDR de tous les sous-réseaux devant communiquer entre eux ne se chevauchent pas. Dans le cas contraire, le trafic est supprimé.

Une table de routage de service Networking ne peut pas contenir deux règles ayant exactement le même CIDR de destination. Toutefois, si deux règles dans la même table de routage présentent un chevauchement de CIDR de destination, la règle la plus spécifique est utilisée pour acheminer le trafic (en d'autres termes, la règle ayant la correspondance de préfixe la plus longue).

Publication de routage sur le réseau sur site et les réseaux cloud virtuels spoke

D'un point de vue sécurité, vous pouvez contrôler la publication de routage afin que seuls les sous-réseaux spécifiques du réseau sur site soient publiés sur les réseaux cloud virtuels spoke. De même, vous pouvez contrôler les sous-réseaux des réseaux cloud virtuels spoke qui sont publiés sur le réseau sur site.

Les routages publiés sur le réseau sur site sont les suivants :

  • Règles répertoriées dans la table de routage associée à l'attachement de passerelle de routage dynamique (192.168.0.0/16 dans le diagramme précédent)
  • Sous-réseaux individuels dans le réseau cloud virtuel hub

Les routages publiés sur le réseau cloud virtuel spoke sont les suivants :

  • Sous-réseaux individuels dans le réseau cloud virtuel hub
  • Règles répertoriées dans la table de routage associée à la passerelle d'appairage local du réseau cloud virtuel hub pour le réseau spoke (172.16.0.0/12 dans le diagramme précédent)

Par conséquent, seul l'administrateur du réseau cloud virtuel hub peut contrôler les routages publiés sur le réseau sur site et les réseaux cloud virtuels spoke.

Dans l'exemple précédent, les routages pertinents utilisent le bloc CIDR complet du réseau sur site (172.16.0.0/12) et du réseau cloud virtuel spoke (192.168.0.0/16) en tant que destination, mais ils peuvent utiliser un sous-réseau de ces réseaux pour limiter le routage à des sous-réseaux spécifiques.

Détails sur le routage pour différents chemins de trafic

Pour illustrer plus précisément le déroulement du routage dans l'exemple précédent, examinons de plus près les différents chemins du trafic. Les diagrammes suivants sont ceux utilisés précédemment.

Tout d'abord, lorsque vous utilisez le routage de transit direct via des passerelles sur le réseau cloud virtuel hub :

Cette image présente les règles et les tables de routage requises lors de la configuration du scénario.
Numéro 1 : table de routage associée à Subnet-H
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 LPG-H-1
Numéro 2 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Numéro 3 : table de routage associée à l'attachement de passerelle de routage dynamique
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
Numéro 4 : table de routage associée à LPG-H-1
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique

Aucune table de routage spéciale n'est associée à LPG-1.

Ensuite, lorsque vous utilisez le routage de transit via une adresse IP privée dans le réseau cloud virtuel hub :

Cette image montre les tables et règles de routage requises lors de la configuration du scénario avec une appliance virtuelle réseau dans le réseau cloud virtuel hub.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3
Numéro 2 : table de routage associée à Subnet-H-Backend
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
Numéro 3 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Numéro 4 : table de routage associée à l'attachement de passerelle de routage dynamique
CIDR de destination Cible du routage
192.168.0.0/16 10.0.4.3
Numéro 5 : table de routage associée à LPG-H-1
CIDR de destination Cible du routage
172.16.0.0/12 10.0.8.3

Aucune table de routage spéciale n'est associée à LPG-1.

Trafic du réseau sur site vers le réseau cloud virtuel spoke
  1. Le trafic quitte le réseau sur site et atteint la passerelle de routage dynamique. La destination du trafic se trouve dans Subnet-1 (par exemple, 192.168.0.5).

  2. La table de routage associée à l'attachement de passerelle de routage dynamique comporte une règle pour 192.168.0.0/16. Elle est mise en correspondance avec la destination et envoie le trafic vers la cible de routage :

    • Routage de transit direct via des passerelles : la cible de la règle est LPG-H-1.
    • Routage de transit via une adresse IP privée : la cible de la règle est l'adresse IP privée 10.0.4.3. L'instance reçoit et traite le trafic, puis envoie le trafic résultant à la carte d'interface réseau virtuelle du sous-réseau back-end. La table de routage du sous-réseau back-end envoie le trafic à LPG-H-1.

    N'oubliez pas que vous pouvez utiliser les règles figurant dans la table de routage de l'attachement de passerelle de routage dynamique pour contrôler les sous-réseaux du réseau cloud virtuel spoke qui sont publiés sur le réseau sur site. Vous pouvez également configurer la règle afin de répertorier uniquement un sous-réseau du réseau cloud virtuel spoke.

  3. LPG-H-1 reçoit le trafic.
  4. Le trafic sortant qui quitte un réseau cloud virtuel par le biais d'une passerelle d'appairage local est automatiquement acheminé vers la passerelle d'appairage local appairée à cette dernière, qui correspond ici à LPG-1. Ce routage se produit automatiquement en raison de la connexion d'appairage entre les deux passerelles d'appairage local.
  5. LPG-1 reçoit le trafic.
  6. Le trafic entrant dans un réseau cloud virtuel par le biais de la passerelle d'appairage local est automatiquement acheminé vers la destination au sein de celui-ci grâce au routage local. Aucune règle de routage explicite n'est requise.
Trafic du réseau cloud virtuel spoke vers le réseau sur site
  1. Le trafic provient d'une instance de Subnet-1 dans le réseau cloud virtuel spoke. La destination du trafic se trouve sur le réseau sur site (par exemple, 172.16.0.3).
  2. La table de routage associée à Subnet-1 comporte une règle pour 172.16.0.0/12. Elle est mise en correspondance avec la destination et envoie le trafic vers la cible de routage, LPG-1.
  3. LPG-1 reçoit le trafic.
  4. Le trafic sortant qui quitte un réseau cloud virtuel par le biais d'une passerelle d'appairage local est automatiquement acheminé vers la passerelle d'appairage local appairée à cette dernière, qui correspond ici à LPG-H-1. Ce routage se produit automatiquement en raison de la connexion d'appairage entre les deux passerelles d'appairage local.
  5. LPG-H-1 reçoit le trafic.

  6. La table de routage associée à LPG-H-1 comporte une règle pour 172.16.0.0/12. Elle est mise en correspondance avec la destination et envoie le trafic vers la cible de routage :

    • Routage de transit direct via des passerelles : la cible de la règle est la passerelle de routage dynamique.
    • Routage de transit via une adresse IP privée : la cible de la règle est l'adresse IP privée 10.0.8.3. L'instance reçoit et traite le trafic, puis envoie le trafic résultant à la carte d'interface réseau virtuelle du sous-réseau frontal. La table de routage du sous-réseau frontal envoie le trafic à la passerelle de routage dynamique.

    N'oubliez pas que vous pouvez utiliser les règles figurant dans la table de routage de la passerelle d'appairage local pour contrôler les sous-réseaux du réseau sur site qui sont publiés sur le réseau cloud virtuel spoke. Vous pouvez également configurer la règle afin de répertorier uniquement un sous-réseau du réseau sur site.

  7. La passerelle de routage dynamique reçoit le trafic.
  8. Le trafic sortant qui quitte le réseau cloud virtuel par le biais de la passerelle de routage dynamique est acheminé en fonction de la configuration du VPN site à site et de FastConnect. Aucune règle explicite n'est requise dans la table de routage de l'attachement de passerelle de routage dynamique.

Subnet-1 dans le réseau cloud virtuel spoke et LPG-H-1 ont tous deux des règles de routage avec 172.16.0.0/12 comme CIDR de destination. Ces règles n'ont pas besoin d'utiliser exactement le même bloc CIDR. Cependant, assurez-vous que les deux règles couvrent le trafic à acheminer du réseau spoke vers le réseau sur site. La règle dans la table de routage de Subnet-1 contrôle le trafic acheminé de Subnet-1 vers LPG-H-1. La règle dans la table de routage de LPG-H-1 contrôle le trafic acheminé du réseau cloud virtuel spoke vers le réseau sur site. Si la règle de routage de LPG-H-1 est plus restrictive que celle de Subnet-1, une part du trafic quittant le sous-réseau peut être supprimé sans atteindre la passerelle de routage dynamique.

Trafic du réseau cloud virtuel spoke vers un sous-réseau du réseau cloud virtuel hub (routage direct entre des passerelles uniquement)

En fonction de votre situation, vous pouvez autoriser le trafic entre des instances du réseau cloud virtuel hub et d'un réseau cloud virtuel spoke, et pas uniquement le trafic entre le réseau sur site et un réseau cloud virtuel spoke. Vous pouvez procéder de la sorte si vous effectuez un routage direct entre des passerelles. Vous ne pouvez pas acheminer le trafic d'un réseau cloud virtuel spoke via l'adresse IP privée et vers d'autres instances du réseau cloud virtuel hub. La remarque à la fin de cette section en explique la raison.

Voici comment le trafic peut circuler du réseau cloud virtuel spoke vers une destination dotée d'une adresse dans le réseau cloud virtuel hub :

  1. Le trafic provient d'une instance de Subnet-1 dans le réseau cloud virtuel spoke. La destination du trafic se trouve dans un sous-réseau du réseau cloud virtuel hub (par exemple, 10.0.0.3).
  2. La table de routage associée à Subnet-1 comporte une règle pour 10.0.0.0/16. Elle est mise en correspondance avec la destination et envoie le trafic vers la cible de routage, LPG-1.
  3. LPG-1 reçoit le trafic.
  4. Le trafic sortant qui quitte un réseau cloud virtuel par le biais d'une passerelle d'appairage local est automatiquement acheminé vers la passerelle d'appairage local appairée à cette dernière, qui correspond ici à LPG-H-1. Ce routage se produit automatiquement en raison de la connexion d'appairage entre les deux passerelles d'appairage local.
  5. LPG-H-1 reçoit le trafic.
  6. Le trafic arrivant dans un réseau cloud virtuel via une passerelle d'appairage local et destiné à une adresse dans le réseau cloud virtuel est automatiquement acheminé vers la destination par le routage local du réseau. Aucune règle de routage explicite n'est requise.

Une série similaire d'étapes de routage se produit pour le trafic de Subnet-H vers Subnet-1, mais dans le sens inverse. La table de routage de Subnet-H comporte une règle qui est mise en correspondance avec le CIDR (192.168.0.0/16) du réseau cloud virtuel spoke et envoie le trafic vers LPG-H-1, qui le transfère ensuite à LPG-1.

Remarque

Si vous configurez un routage de transit via une adresse IP privée dans le réseau cloud virtuel hub, n'oubliez pas que la table de routage LPG-H-1 contrôle uniquement le routage du trafic destiné aux adresses situées en dehors du réseau cloud virtuel hub. Le trafic destiné aux adresses au sein du réseau cloud virtuel est géré par le routage local du réseau cloud virtuel hub, qui est prioritaire et achemine toujours le trafic directement vers l'adresse de destination du paquet. Autrement dit, vous ne pouvez pas acheminer le trafic destiné aux adresses au sein du réseau cloud virtuel hub via l'adresse IP privée utilisée pour le trafic de transit via le hub. Même si la règle de routage de LPG-H-1 utilise 0.0.0.0/0 comme destination et 10.0.8.3 comme cible, le routage local du réseau cloud virtuel hub est prioritaire et achemine le trafic directement vers la destination dans le réseau cloud virtuel hub au lieu de l'adresse IP privée.

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès sécurisé dans une stratégie. Cet accès est requis que vous utilisiez la console ou l'API REST avec un kit SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message vous indiquant que vous n'avez pas d'autorisation, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment  dans lequel vous devez travailler.

Si vous êtes membre du groupe Administrateurs, vous disposez déjà de l'accès requis pour configurer le routage de transit. Sinon, vous devez avoir accès au service Networking et être en mesure de lancer des instances. Reportez-vous à Stratégies IAM pour Networking.

Configuration du routage de transit d'un réseau cloud virtuel dans la console

Cette section explique comment utiliser la console pour configurer le routage de transit avec un réseau cloud virtuel afin de permettre à votre réseau sur site d'accéder à plusieurs réseaux cloud virtuels situés dans la même région.

Pour un routage direct entre des passerelles
Conseil

Il se peut que bon nombre des connexions et des composants de Networking nécessaires dans ce scénario avancé soient déjà configurés. Vous pouvez donc ignorer certaines des tâches suivantes. Si vous disposez déjà d'une topologie de réseau avec un réseau cloud virtuel hub connecté à votre réseau sur site et des réseaux cloud virtuels spoke appairés localement avec ce réseau cloud virtuel hub, les tâches 5 et 6 sont les plus importantes. Elles permettent d'acheminer le trafic entre votre réseau sur site et le réseau cloud virtuel spoke.
Tâche 1 : configurer le réseau cloud virtuel hub
Cette image présente la tâche 1, à savoir la configuration du réseau cloud virtuel hub.

Dans cette tâche, vous configurez le réseau cloud virtuel hub. Le réseau cloud virtuel hub ne doit pas nécessairement comporter un sous-réseau. Cependant, cet exemple en inclut un. Le sous-réseau peut contenir des ressources cloud que votre réseau sur site ou le réseau cloud virtuel spoke doit utiliser.

Pour obtenir plus d'informations et d'instructions, reportez-vous à la rubrique suivante :

Tâche 2 : connecter le réseau cloud virtuel hub à votre réseau sur site
Cette image présente la tâche 2, à savoir la connexion du réseau cloud virtuel hub à votre réseau sur site.
Numéro 1 : table de routage associée à Subnet-H
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
Dans cette tâche, vous configurez FastConnect ou un VPN site à site entre votre réseau cloud virtuel hub et votre réseau sur site. Dans le cadre de ce processus, vous attachez une passerelle de routage dynamique au réseau cloud virtuel hub, et configurez le routage entre ce dernier et votre réseau sur site. Vous créerez plus tard la table de routage associée à l'attachement de passerelle de routage dynamique. Cette opération intervient à une étape ultérieure.Pour obtenir plus d'informations et des instructions, reportez-vous à ce qui suit :
Tâche 3 : configurer un réseau cloud virtuel spoke avec au moins un sous-réseau
Cette image présente la tâche 3, à savoir la configuration d'un réseau cloud virtuel spoke.

Dans cette tâche, vous configurez le réseau cloud virtuel spoke avec au moins un sous-réseau. Pour obtenir plus d'informations et d'instructions, reportez-vous à la rubrique suivante :

Tâche 4 : configurer un appairage local entre les réseaux cloud virtuels hub et spoke
Cette image présente la tâche 4, à savoir la configuration de l'appairage local entre les réseaux cloud virtuels hub et spoke.
Numéro 1 : table de routage associée à Subnet-H
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 LPG-H-1
Numéro 2 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
Dans cette tâche, vous ajoutez une passerelle d'appairage local à chaque réseau cloud virtuel, établissez une connexion entre les passerelles d'appairage local et configurez un routage qui permet aux ressources d'un réseau cloud virtuel de communiquer avec les ressources de l'autre.
Important

Lors de la configuration de l'appairage local entre deux réseaux cloud virtuels, veillez à établir la connexion entre les passerelles d'appairage local. Cette étape du processus peut facilement être omise.
Vous ne créez pas encore la table de routage associée à la passerelle d'appairage local sur le réseau cloud virtuel hub (LPG-H-1). Cette opération intervient à une étape ultérieure.Pour obtenir plus d'informations et des instructions, reportez-vous à ce qui suit :
Tâche 5 : ajouter une règle de routage à un sous-réseau du réseau cloud virtuel spoke
Cette image présente la tâche 5, à savoir l'ajout d'une règle de routage à un sous-réseau du réseau cloud virtuel spoke.
Numéro 1 : table de routage associée à Subnet-H
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 LPG-H-1
Numéro 2 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Dans cette tâche, vous ajoutez une règle à la table de routage associée à un sous-réseau du réseau cloud virtuel spoke. Cette règle achemine le trafic destiné au réseau sur site vers la passerelle d'appairage local du réseau cloud virtuel spoke (LPG-1 dans le diagramme).Prérequis : vous devez déjà disposer d'une passerelle d'appairage local pour le réseau cloud virtuel spoke, ainsi que d'une table de routage associée au sous-réseau (sur le réseau cloud virtuel spoke) qui doit communiquer avec le réseau sur site.
  1. Affichez la liste des sous-réseaux du réseau cloud virtuel spoke.
  2. Consultez les détails du sous-réseau qui vous intéresse et cliquez sur le lien relatif à la table de routage associée.

  3. Modifiez la table de routage de manière à inclure une règle qui envoie le trafic vers le réseau sur site :

    1. Cliquez sur Ajouter des règles de routage.

    2. Entrez les informations suivantes pour la règle de routage :

      • Type de cible : passerelle d'appairage local.
      • Bloc CIDR de destination : CIDR du réseau sur site (172.16.0.0/12 dans l'exemple précédent).
      • Compartiment : compartiment dans lequel se trouve la passerelle d'appairage local du réseau cloud virtuel spoke.
      • Passerelle d'appairage local cible : passerelle d'appairage local du réseau cloud virtuel spoke.
      • Description : description facultative de la règle.
    3. Cliquez sur Ajouter des règles de routage.
Tâche 6 : configurer le routage entrant pour les passerelles de routage dynamique et d'appairage local sur le réseau cloud virtuel hub
Cette image présente la tâche 7, à savoir la configuration du routage entrant entre les passerelles de routage dynamique et d'appairage local sur le réseau cloud virtuel hub.
Numéro 1 : table de routage associée à Subnet-H
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 LPG-H-1
Numéro 2 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Numéro 3 : table de routage associée à l'attachement de passerelle de routage dynamique
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
Numéro 4 : table de routage associée à LPG-H-1
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique

Dans cette tâche, vous configurez les tables de routage pour l'attachement de passerelle de routage dynamique et la passerelle d'appairage local du réseau cloud virtuel hub pour le réseau spoke souhaité (LPG-H-1).

Prérequis :

  • Une passerelle de routage dynamique est déjà attachée au réseau cloud virtuel hub.
  • Vous disposez déjà d'une passerelle d'appairage local de réseau cloud virtuel hub pour le réseau spoke souhaité.

  1. Créez une table de routage pour l'attachement de passerelle de routage dynamique :

    1. Dans la console, affichez les détails du réseau cloud virtuel hub.
    2. Sous Ressources, cliquez sur Tables de routage pour afficher les tables de routage du réseau cloud virtuel.
    3. Cliquez sur Créer une table de routage.

    4. Entrez les informations suivantes :

      • Nom : nom descriptif de la table de routage. Exemple : Table de routage de passerelle de routage dynamique. Evitez de saisir des informations confidentielles.
      • Créer dans le compartiment : à laisser tel quel.

    5. Cliquez sur + Règle de routage supplémentaire et entrez les informations suivantes pour la règle de routage :

      • Type de cible : passerelle d'appairage local.
      • Bloc CIDR de destination : CIDR de ce réseau cloud virtuel spoke (192.168.0.0/16 dans l'exemple précédent). N'oubliez pas que vous pouvez utiliser les routages de cette table pour contrôler les sous-réseaux du réseau cloud virtuel spoke qui sont publiés sur le réseau sur site. Vous pouvez également configurer la règle afin de répertorier uniquement un sous-réseau particulier du réseau cloud virtuel spoke que le réseau sur site publie.
      • Compartiment : compartiment dans lequel se trouve la passerelle d'appairage local du réseau cloud virtuel hub.
      • Cible : passerelle d'appairage local du réseau cloud virtuel hub.
      • Description : description facultative de la règle.

    6. Cliquez sur Créer une table de routage.

      La table de routage est créée et affichée dans la liste.

  2. Associez la table de routage (appelée Table de routage de passerelle de routage dynamique dans cet exemple) à l'attachement de passerelle de routage dynamique du réseau cloud virtuel hub :

    1. Toujours dans les détails du réseau cloud virtuel hub, cliquez sur Passerelles de routage dynamique pour afficher la passerelle attachée.
    2. Cliquez sur le menu Actions (Menu Actions), puis sur associer la table de routage.
    3. Sélectionnez la table de routage.

    4. Cliquez sur Associer la table de routage.

      La table de routage est associée à l'attachement de passerelle de routage dynamique.

  3. Créez une table de routage pour la passerelle d'appairage local du réseau cloud virtuel hub pour ce réseau spoke :

    1. Toujours dans les détails du réseau cloud virtuel hub, cliquez sur Tables de routage.
    2. Cliquez sur Créer une table de routage.

    3. Entrez les informations suivantes :

      • Créer dans le compartiment : à laisser tel quel.
      • Nom : nom descriptif de la table de routage. Exemple : Table de routage LPG-# hub (où # indique le réseau spoke). Evitez de saisir des informations confidentielles.

    4. Cliquez sur + Règle de routage supplémentaire et entrez les informations suivantes pour la règle de routage :

      • Type de cible : passerelle de routage dynamique. La passerelle de routage dynamique attachée du réseau cloud virtuel est automatiquement sélectionnée en tant que cible. Vous n'avez pas besoin d'indiquer de cible.
      • Bloc CIDR de destination : CIDR du réseau sur site (172.16.0.0/12 dans l'exemple précédent). N'oubliez pas que vous pouvez utiliser les routages de cette table pour contrôler les sous-réseaux du réseau sur site qui sont publiés sur ce réseau cloud virtuel spoke. Vous pouvez également configurer la règle afin de répertorier uniquement un sous-réseau du réseau sur site qui doit communiquer avec ce réseau spoke.
      • Description : description facultative de la règle.

    5. Cliquez sur Créer une table de routage.

      La table de routage est créée et affichée dans la liste.

  4. Associez la table de routage (appelée Table de routage LPG-# hub dans cet exemple) à la passerelle d'appairage locale du réseau cloud virtuel hub pour le réseau spoke souhaité :

    1. Toujours dans les détails du réseau cloud virtuel hub, cliquez sur Passerelles d'appairage local pour afficher la passerelle d'appairage local du réseau cloud virtuel hub pour ce réseau spoke.
    2. Pour la passerelle d'application qui vous intéresse, cliquez sur le menu Actions (Menu Actions), puis sur Associer à une table de routage.

    3. Entrez les informations suivantes :

      • Compartiment de la table de routage : sélectionnez le compartiment de la table de routage pour la passerelle d'appairage local.
      • Table de routage : sélectionnez la table de routage pour la passerelle d'appairage local.

    4. Cliquez sur Associer.

      La table de routage est associée à la passerelle d'appairage local.

En cas de besoin de réseaux cloud virtuels spoke supplémentaires ultérieurement
  1. Répétez les tâches 3 à 5 pour le nouveau réseau cloud virtuel spoke.

  2. Répétez la tâche 6 avec les modifications suivantes :

    • Pour l'étape 1 : au lieu de créer une table de routage pour l'attachement de passerelle de routage dynamique, mettez à jour la table de routage existante afin d'inclure une nouvelle règle pour le nouveau réseau cloud virtuel spoke. Le CIDR de destination est le CIDR du réseau cloud virtuel spoke (ou d'un sous-réseau de celui-ci). La cible est la passerelle d'appairage local du réseau cloud virtuel hub pour le nouveau réseau spoke.
    • Pour l'étape 2 : ignorez cette étape, car l'attachement de passerelle de routage dynamique est déjà associé à sa table de routage.
    • Pour l'étape 3 : répétez l'étape normalement. Nommez la nouvelle table de routage en fonction du réseau spoke auquel elle est destinée (par exemple, Table de routage LPG-2 hub pour le deuxième réseau spoke).
    • Pour l'étape 4 : répétez l'étape normalement. Associez la table de routage créée au cours de l'étape 3 à la passerelle d'appairage local du réseau cloud virtuel hub pour le nouveau réseau spoke.
Pour un routage via une adresse IP privée
Conseil

Il se peut que bon nombre des connexions et des composants de Networking nécessaires dans ce scénario avancé soient déjà configurés. Vous pouvez donc ignorer certaines des tâches suivantes. Si vous disposez déjà d'une topologie de réseau avec un réseau cloud virtuel hub connecté à votre réseau sur site et des réseaux cloud virtuels spoke appairés localement avec ce réseau cloud virtuel hub, les tâches 5 à 7 sont les plus importantes. Elles permettent d'acheminer le trafic entre votre réseau sur site et le réseau cloud virtuel spoke.
Tâche 1 : configurer le réseau cloud virtuel hub
Cette image présente la tâche 1, à savoir la configuration du réseau cloud virtuel hub.

Dans cette tâche, vous configurez le réseau cloud virtuel hub. Le réseau cloud virtuel hub doit comporter deux sous-réseaux : un pour la carte d'interface réseau virtuelle frontale sur l'instance, et un pour la carte d'interface réseau virtuelle back-end sur l'instance. Oracle recommande d'utiliser des sous-réseaux privés régionaux, à moins que le sous-réseau frontal ne comporte des ressources nécessitant un accès Internet.

Pour obtenir plus d'informations et d'instructions, reportez-vous à la rubrique suivante :

Tâche 2 : connecter le réseau cloud virtuel hub à votre réseau sur site
Cette image présente la tâche 2, à savoir la connexion du réseau cloud virtuel hub à votre réseau sur site.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3
Dans cette tâche, vous configurez FastConnect ou un VPN site à site entre votre réseau cloud virtuel hub et votre réseau sur site. Dans le cadre de ce processus, vous attachez une passerelle de routage dynamique au réseau cloud virtuel hub, et configurez le routage entre ce dernier et votre réseau sur site. Vous créerez plus tard la table de routage associée à l'attachement de passerelle de routage dynamique. Cette opération intervient à une étape ultérieure.Pour obtenir plus d'informations et des instructions, reportez-vous à ce qui suit :
Tâche 3 : configurer un réseau cloud virtuel spoke avec au moins un sous-réseau
Cette image présente la tâche 3, à savoir la configuration d'un réseau cloud virtuel spoke.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3

Dans cette tâche, vous configurez le réseau cloud virtuel spoke avec au moins un sous-réseau. Pour obtenir plus d'informations et d'instructions, reportez-vous à la rubrique suivante :

Tâche 4 : configurer un appairage local entre les réseaux cloud virtuels hub et spoke
Cette image présente la tâche 4, à savoir la configuration de l'appairage local entre les réseaux cloud virtuels hub et spoke.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3
Numéro 2 : table de routage associée à Subnet-H-Backend
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
Numéro 3 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Dans cette tâche, vous ajoutez une passerelle d'appairage local à chaque réseau cloud virtuel, établissez une connexion entre les passerelles d'appairage local et configurez un routage qui permet aux ressources d'un réseau cloud virtuel de communiquer avec les ressources de l'autre.
Important

Lors de la configuration de l'appairage local entre deux réseaux cloud virtuels, veillez à établir la connexion entre les passerelles d'appairage local. Cette étape du processus peut facilement être omise.
Vous ne créez pas encore la table de routage associée à la passerelle d'appairage local sur le réseau cloud virtuel hub (LPG-H-1). Cette opération intervient à une étape ultérieure.Pour obtenir plus d'informations et des instructions, reportez-vous à ce qui suit :
Tâche 5 : ajouter une règle de routage à un sous-réseau du réseau cloud virtuel spoke
Cette image présente la tâche 5, à savoir l'ajout d'une règle de routage à un sous-réseau du réseau cloud virtuel spoke.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3
Numéro 2 : table de routage associée à Subnet-H-Backend
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
Numéro 3 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Dans cette tâche, vous ajoutez une règle à la table de routage associée à un sous-réseau du réseau cloud virtuel spoke. Cette règle achemine le trafic destiné au réseau sur site vers la passerelle d'appairage local du réseau cloud virtuel spoke (LPG-1 dans le diagramme).Prérequis : vous devez déjà disposer d'une passerelle d'appairage local pour le réseau cloud virtuel spoke, ainsi que d'une table de routage associée au sous-réseau (sur le réseau cloud virtuel spoke) qui doit communiquer avec le réseau sur site.
  1. Affichez la liste des sous-réseaux du réseau cloud virtuel spoke.
  2. Consultez les détails du sous-réseau qui vous intéresse et cliquez sur le lien relatif à la table de routage associée.

  3. Modifiez la table de routage de manière à inclure une règle qui envoie le trafic vers le réseau sur site :

    1. Cliquez sur Ajouter des règles de routage.

    2. Entrez les informations suivantes pour la règle de routage :

      • Type de cible : passerelle d'appairage local.
      • Bloc CIDR de destination : CIDR du réseau sur site (172.16.0.0/12 dans l'exemple précédent).
      • Compartiment : compartiment dans lequel se trouve la passerelle d'appairage local du réseau cloud virtuel spoke.
      • Passerelle d'appairage local cible : passerelle d'appairage local du réseau cloud virtuel spoke.
      • Description : description facultative de la règle.
    3. Cliquez sur Ajouter des règles de routage.
Tâche 6 : configurer les adresses IP privées sur une instance du réseau cloud virtuel hub
Cette image présente la tâche 6, à savoir la configuration de l'instance dans le réseau cloud virtuel hub.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3
Numéro 2 : table de routage associée à Subnet-H-Backend
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
Numéro 3 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1

Dans cette tâche, vous configurez l'instance de sorte qu'elle dispose de deux adresses IP privées.

Prérequis :

  1. Si vous ne l'avez pas déjà fait, créez l'instance dans le réseau cloud virtuel hub. Reportez-vous à Création d'une instance. La carte d'interface réseau virtuelle principale est créée dans le sous-réseau que vous indiquez.
  2. Créez une carte d'interface réseau virtuelle secondaire pour l'autre sous-réseau et configurez le système d'exploitation pour qu'il l'utilise. Reportez-vous à Utilisation de la console.
  3. Désactivez la vérification de source/destination sur chacune des cartes d'interface réseau virtuelles. Reportez-vous à Présentation des cartes d'interface réseau virtuelles et des cartes d'interface réseau physiques.
  4. Pour chaque carte d'interface réseau virtuelle, déterminez l'adresse IP privée à utiliser comme cible de routage. Si vous voulez utiliser une adresse IP privée secondaire à la place de l'adresse IP privée principale de la carte d'interface réseau virtuelle, affectez cette adresse IP privée secondaire et configurez le système d'exploitation de manière à ce qu'il utilise. Reportez-vous à Assigning a New Secondary Private IP to a VNIC.
  5. Notez les adresses IP privées que vous avez créées (par exemple : 10.0.4.3).
  6. Configurez l'instance de manière adaptée pour le travail qu'elle exécute (par exemple, configuration du pare-feu ou du système de détection des intrusions sur l'instance).
Tâche 7 : configurer le routage entrant pour les passerelles de routage dynamique et d'appairage local sur le réseau cloud virtuel hub
Cette image montre les tables et règles de routage requises lors de la configuration du scénario avec une appliance virtuelle réseau dans le réseau cloud virtuel hub.
Numéro 1 : table de routage associée à Subnet-H-Frontend
CIDR de destination Cible du routage
172.16.0.0/12 Passerelle de routage dynamique
192.168.0.0/16 10.0.4.3
Numéro 2 : table de routage associée à Subnet-H-Backend
CIDR de destination Cible du routage
192.168.0.0/16 LPG-H-1
172.16.0.0/12 10.0.8.3
Numéro 3 : table de routage associée à Subnet-1
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle d'appairage local LPG-1
172.16.0.0/12 Passerelle d'appairage local LPG-1
Numéro 4 : table de routage associée à l'attachement de passerelle de routage dynamique
CIDR de destination Cible du routage
192.168.0.0/16 10.0.4.3
Numéro 5 : table de routage associée à LPG-H-1
CIDR de destination Cible du routage
172.16.0.0/12 10.0.8.3

Aucune table de routage spéciale n'est associée à LPG-1.

Dans cette tâche, vous configurez les tables de routage pour l'attachement de passerelle de routage dynamique et la passerelle d'appairage local du réseau cloud virtuel hub pour le réseau spoke souhaité (LPG-H-1).

Prérequis :

  • Une passerelle de routage dynamique est déjà attachée au réseau cloud virtuel hub.
  • Vous disposez déjà d'une passerelle d'appairage local de réseau cloud virtuel hub pour le réseau spoke souhaité.
  • Vous disposez déjà des deux adresses IP privées à utiliser en tant que cibles de routage (reportez-vous à la tâche précédente).

  1. Créez une table de routage pour l'attachement de passerelle de routage dynamique :

    1. Dans la console, affichez les détails du réseau cloud virtuel hub.
    2. Sous Ressources, cliquez sur Tables de routage pour afficher les tables de routage du réseau cloud virtuel.
    3. Cliquez sur Créer une table de routage.

    4. Entrez les informations suivantes :

      • Nom : nom descriptif de la table de routage. Exemple : Table de routage de passerelle de routage dynamique. Evitez de saisir des informations confidentielles.
      • Créer dans le compartiment : à laisser tel quel.

    5. Cliquez sur + Règle de routage supplémentaire et entrez les informations suivantes pour la règle de routage :

      • Type de cible : adresse IP privée.
      • Bloc CIDR de destination : CIDR de ce réseau cloud virtuel spoke (192.168.0.0/16 dans l'exemple précédent). N'oubliez pas que vous pouvez utiliser les routages de cette table pour contrôler les sous-réseaux du réseau cloud virtuel spoke qui sont publiés sur le réseau sur site. Vous pouvez également configurer la règle afin de répertorier uniquement un sous-réseau particulier du réseau cloud virtuel spoke que le réseau sur site publie.
      • Compartiment : compartiment dans lequel se trouve l'adresse IP privée du sous-réseau frontal.
      • Cible : adresse IP privée du sous-réseau frontal que vous avez notée au cours de la tâche précédente (10.0.4.3 dans l'exemple).
      • Description : description facultative de la règle.

    6. Cliquez sur Créer une table de routage.

      La table de routage est créée et affichée dans la liste.

  2. Associez la table de routage (appelée Table de routage de passerelle de routage dynamique dans cet exemple) à l'attachement de passerelle de routage dynamique du réseau cloud virtuel hub :

    1. Toujours dans les détails du réseau cloud virtuel hub, cliquez sur Passerelles de routage dynamique pour afficher la passerelle attachée.
    2. Cliquez sur le menu Actions (Menu Actions), puis sur Associer à une table de routage.

    3. Entrez les informations suivantes :

      • Compartiment de la table de routage : sélectionnez le compartiment de la table de routage pour l'attachement de passerelle de routage dynamique.
      • Table de routage : sélectionnez la table de routage de l'attachement de passerelle de routage dynamique.

    4. Cliquez sur Associer.

      La table de routage est associée à l'attachement de passerelle de routage dynamique.

  3. Créez une table de routage pour la passerelle d'appairage local du réseau cloud virtuel hub pour ce réseau spoke :

    1. Toujours dans les détails du réseau cloud virtuel hub, cliquez sur Tables de routage.
    2. Cliquez sur Créer une table de routage.

    3. Entrez les informations suivantes :

      • Créer dans le compartiment : à laisser tel quel.
      • Nom : nom descriptif de la table de routage. Exemple : Table de routage LPG-# hub (où # indique le réseau spoke). Evitez de saisir des informations confidentielles.

    4. Cliquez sur + Règle de routage supplémentaire et entrez les informations suivantes pour la règle de routage :

      • Type de cible : adresse IP privée.
      • Bloc CIDR de destination : CIDR du réseau sur site (172.16.0.0/12 dans l'exemple précédent). N'oubliez pas que vous pouvez utiliser les routages de cette table pour contrôler les sous-réseaux du réseau sur site qui sont publiés sur ce réseau cloud virtuel spoke. Vous pouvez également configurer la règle afin de répertorier uniquement un sous-réseau du réseau sur site qui doit communiquer avec ce réseau spoke.
      • Compartiment : compartiment dans lequel se trouve l'adresse IP privée.
      • Cible : adresse IP privée du sous-réseau back-end que vous avez notée au cours de la tâche précédente (10.0.8.3 dans l'exemple).
      • Description : description facultative de la règle.

    5. Cliquez sur Créer une table de routage.

      La table de routage est créée et affichée dans la liste.

  4. Associez la table de routage (appelée Table de routage LPG-# hub dans cet exemple) à la passerelle d'appairage locale du réseau cloud virtuel hub pour le réseau spoke souhaité :

    1. Toujours dans les détails du réseau cloud virtuel hub, cliquez sur Passerelles d'appairage local pour afficher la passerelle d'appairage local du réseau cloud virtuel hub pour ce réseau spoke.
    2. Pour la passerelle d'application qui vous intéresse, cliquez sur le menu Actions (Menu Actions), puis sur Associer à une table de routage.

    3. Entrez les informations suivantes :

      • Compartiment de la table de routage : sélectionnez le compartiment de la table de routage pour la passerelle d'appairage local.
      • Table de routage : sélectionnez la table de routage pour la passerelle d'appairage local.

    4. Cliquez sur Associer.

      La table de routage est associée à la passerelle d'appairage local.

Bien qu'Oracle ne recommande pas de placer des charges globales dans les sous-réseaux du réseau cloud virtuel hub, pour avoir une meilleure vision du routage de l'exemple, le diagramme illustre deux règles de routage supplémentaires dans les tables de routage de sous-réseau du réseau cloud virtuel hub. Pour le sous-réseau frontal, il existe une règle de routage permettant d'acheminer le trafic destiné au réseau cloud virtuel spoke vers l'adresse IP privée du sous-réseau frontal (10.0.4.3) à des fins de filtrage par l'instance. Pour le sous-réseau back-end, il existe une règle de routage permettant d'acheminer le trafic destiné au réseau sur site vers l'adresse IP privée du sous-réseau back-end (10.0.8.3) à des fins de filtrage par l'instance. La procédure suivante ajoute ces deux règles de routage.

  1. Affichez la liste des sous-réseaux du réseau cloud virtuel spoke.
  2. Examinez les détails du sous-réseau frontal et cliquez sur le lien relatif à sa table de routage.

  3. Modifiez la table de routage du sous-réseau frontal pour inclure une règle qui envoie le trafic destiné au réseau cloud virtuel spoke vers l'adresse IP privée du sous-réseau frontal :

    1. Cliquez sur Ajouter des règles de routage.

    2. Entrez les informations suivantes pour la règle de routage :

      • Type de cible : adresse IP privée.
      • Bloc CIDR de destination : CIDR de ce réseau cloud virtuel spoke (192.168.0.0/16 dans l'exemple précédent).
      • Compartiment : compartiment dans lequel se trouve l'adresse IP privée du sous-réseau frontal.
      • Cible : adresse IP privée du sous-réseau frontal que vous avez notée au cours de la tâche précédente (10.0.4.3 dans l'exemple).
      • Description : description facultative de la règle.
    3. Cliquez sur Ajouter des règles de routage.
  4. Examinez les détails du sous-réseau back-end et cliquez sur le lien relatif à sa table de routage.

  5. Modifiez la table de routage du sous-réseau back-end pour inclure une règle qui envoie le trafic destiné au réseau sur site vers l'adresse IP privée du sous-réseau back-end :

    1. Cliquez sur Ajouter des règles de routage.

    2. Entrez les informations suivantes pour la règle de routage :

      • Type de cible : adresse IP privée.
      • Bloc CIDR de destination : CIDR du réseau sur site (172.16.0.0/12 dans l'exemple précédent).
      • Compartiment : compartiment dans lequel se trouve l'adresse IP privée du sous-réseau back-end.
      • Cible : adresse IP privée du sous-réseau back-end que vous avez notée au cours de la tâche précédente (10.0.8.3 dans l'exemple).
      • Description : description facultative de la règle.
    3. Cliquez sur Ajouter des règles de routage.
En cas de besoin de réseaux cloud virtuels spoke supplémentaires ultérieurement
  1. Répétez les tâches 3 à 5 pour le nouveau réseau cloud virtuel spoke.

  2. Répétez la tâche 7 avec les modifications suivantes :

    • Pour l'étape 1 : au lieu de créer une table de routage pour l'attachement de passerelle de routage dynamique, mettez à jour la table de routage existante afin d'inclure une nouvelle règle pour le nouveau réseau cloud virtuel spoke. Le CIDR de destination est le CIDR du réseau cloud virtuel spoke (ou d'un sous-réseau de celui-ci). La cible est l'adresse IP privée du sous réseau frontal 10.0.4.3.
    • Pour l'étape 2 : ignorez cette étape, car l'attachement de passerelle de routage dynamique est déjà associé à sa table de routage.
    • Pour l'étape 3 : répétez l'étape normalement. Nommez la nouvelle table de routage en fonction du réseau spoke auquel elle est destinée (par exemple, Table de routage LPG-2 hub pour le deuxième réseau spoke).
    • Pour l'étape 4 : répétez l'étape normalement. Associez la table de routage créée au cours de l'étape 3 à la passerelle d'appairage local du réseau cloud virtuel hub pour le nouveau réseau spoke.

Désactivation du routage de transit

Pour désactiver le routage de transit, enlevez les règles des éléments suivants :

  • Table de routage associée à l'attachement de passerelle de routage dynamique.
  • Table de routage associée à chaque passerelle d'appairage local sur le réseau cloud virtuel hub.

Une table de routage peut être associée à une ressource et ne pas avoir de règle. Toutefois, sans au moins une règle, une table de routage ne peut rien faire.

Il est possible qu'un attachement de passerelle de routage dynamique ou qu'une passerelle d'appairage local ne soit associé à aucune table de routage. Cependant, une fois que vous avez associé une table de routage à un attachement de passerelle de routage dynamique ou à une passerelle d'appairage local, ces derniers doivent toujours être associés à une table de routage. Vous pouvez toutefois lui en associer une autre. Vous pouvez également modifier les règles de la table, ou supprimer tout ou partie des règles.