Accès privé aux services Oracle
Le routage de transit fait référence à une topologie de réseau dans laquelle votre réseau sur site utilise un intermédiaire pour accéder à des ressources ou services Oracle, ou à des réseaux cloud virtuels. L'intermédiaire peut être un VCN ou une passerelle de routage dynamique (DRG) à laquelle votre réseau sur site est déjà attaché. Vous connectez le réseau sur site à une passerelle de routage dynamique avec FastConnect ou un VPN site à site, puis vous configurez le routage de sorte que le trafic transite via l'intermédiaire vers sa destination.
Les trois principaux scénarios de routage de transit sont les suivants :
- Accès privé aux services Oracle : scénario traité dans cette rubrique. Ce scénario offre à votre réseau sur site un accès privé aux services Oracle, afin que vos hôtes sur site puissent utiliser leurs adresses IP privées et que le trafic ne passe pas par le réseau Internet public. Au lieu de cela, le trafic passe par un circuit virtuel privé FastConnect ou un VPN site à site, transite via un réseau cloud virtuel (VCN), puis via une passerelle de service vers le service Oracle qui vous intéresse. Ce scénario est disponible pour une implémentation utilisant une passerelle de routage dynamique héritée ou mise à niveau.
- Accès entre plusieurs réseaux via une passerelle de routage dynamique unique avec un pare-feu entre les réseaux : ce scénario connecte plusieurs réseaux cloud virtuels à une passerelle de routage dynamique unique. L'ensemble du routage est configuré pour envoyer les paquets via un pare-feu d'un réseau cloud virtuel hub afin qu'ils puissent être envoyés à un autre réseau. Reportez-vous à la section Routage du trafic via une appliance virtuelle de réseau central. Ce scénario est uniquement disponible pour une implémentation utilisant une passerelle de routage dynamique mise à niveau.
- Accès à plusieurs réseaux cloud virtuels dans la même région : ce scénario permet la communication entre un réseau sur site et plusieurs réseaux cloud virtuels situés dans la même région sur un seul circuit virtuel privé FastConnect ou VPN site à site, et utilise un réseau cloud virtuel en tant que hub. Reportez-vous à Routage de transit au sein d'un réseau cloud virtuel hub. Ce scénario est disponible pour une implémentation utilisant une passerelle de routage dynamique héritée.
Points clés
- Vous pouvez configurer un réseau cloud virtuel de sorte qu'il donne à votre réseau sur site un accès privé aux services Oracle dans Oracle Services Network. Les hôtes de votre réseau sur site communiquent avec leurs adresses IP privées.
- Le réseau cloud virtuel utilise une passerelle de routage dynamique pour communiquer avec le réseau sur site. L'accès aux services Oracle se fait par le biais d'une passerelle de service sur le réseau cloud virtuel. Le trafic provenant du réseau cloud virtuel et à destination du service Oracle emprunte la topologie de réseau Oracle et ne passe jamais par le réseau Internet public.
- La passerelle de service est régionale et permet d'accéder uniquement aux services Oracle pris en charge dans la même région que le réseau cloud virtuel.
- Oracle Cloud Infrastructure Object Storage et d'autres services dans Oracle Services Network font partie des services Oracle pris en charge. Pour obtenir la liste, reportez-vous à Passerelle de service : services cloud pris en charge dans Oracle Services Network.
- La passerelle de service utilise le concept de libellé CIDR de service. Il s'agit d'une chaîne représentant toutes les plages d'adresses IP publiques régionales pour le service ou le groupe de services qui vous intéresse, par exemple : OCI PHX Object Storage est la chaîne correspondant à Object Storage dans Ouest des Etats-Unis (Phoenix)). Vous utilisez ce libellé CIDR de service lorsque vous configurez la passerelle de service et les règles de routage associées pour contrôler le trafic vers le service. Vous pouvez l'utiliser lors de la configuration des règles de sécurité. Si les adresses IP publiques du service changent par la suite, il n'est pas nécessaire d'ajuster ces règles.
- Afin d'autoriser le trafic prévu depuis le réseau sur site vers les services Oracle via le réseau cloud virtuel, vous implémentez des règles de routage pour la passerelle de service et l'attachement de passerelle de routage dynamique du réseau cloud virtuel.
- Si vous le souhaitez, vous pouvez configurer le routage de transit via une adresse IP privée dans le réseau cloud virtuel. Par exemple, vous pouvez filtrer ou inspecter le trafic entre le réseau sur site et le service Oracle. Dans ce cas, vous acheminez le trafic vers une adresse IP privée sur une instance du réseau cloud virtuel à des fins de contrôle. Le trafic résultant continue vers sa destination. Cette rubrique aborde les deux cas : le routage de transit direct entre des passerelles sur le réseau cloud virtuel, et le routage de transit via une adresse IP privée.
Présentation d'Oracle Services Network
Oracle Services Network est un réseau conceptuel d'Oracle Cloud Infrastructure réservé aux services Oracle. Ces services possèdent des adresses IP publiques auxquelles vous accédez généralement par le réseau Internet public. Toutefois, vous pouvez accéder à Oracle Services Network sans que le trafic ne passe par le réseau Internet public. Il existe différentes façons pour cela, en fonction de l'hôte qui a besoin de l'accès :
-
Hôtes sur votre réseau sur site :
- Accès privé via un réseau cloud virtuel avec appairage privé FastConnect ou VPN site à site : ce scénario est abordé dans cette rubrique. Les hôtes sur site utilisent des adresses IP privées et accèdent à Oracle Services Network par le biais du réseau cloud virtuel et de sa passerelle de service.
- Accès public à l'appairage public FastConnect : les hôtes sur site utilisent des adresses IP publiques.
- Hôtes sur votre réseau cloud virtuel :
- Accès privé via une passerelle de service : les hôtes du réseau cloud virtuel utilisent des adresses IP privées.
Présentation de l'accès privé de réseau sur site aux services Oracle
Le diagramme suivant illustre la disposition de base pour que votre réseau sur site puisse accéder de manière privée aux services Oracle.
Votre réseau sur site se connecte au réseau cloud virtuel par le biais d'un circuit virtuel privé FastConnect ou d'un VPN site à site. Chacun de ces types de connexions se termine sur une passerelle de routage dynamique (DRG) attachée au VCN. Le réseau cloud virtuel dispose également d'une passerelle de service qui lui donne accès à Oracle Services Network. Le trafic de votre réseau sur site passe par le réseau cloud virtuel et la passerelle de service, et se dirige vers le service Oracle souhaité. Les réponses sont renvoyées via la passerelle de service et le réseau cloud virtuel vers votre réseau sur site.
Lorsque vous configurez une passerelle de service, vous activez un libellé CIDR de service. Il s'agit d'une chaîne représentant toutes les plages d'adresses IP publiques régionales pour le service ou le groupe de services auquel vous souhaitez accéder par le biais de la passerelle de service. Par exemple, Tous les services PHX dans Oracle Services Network correspond au libellé CIDR de service pour les services Oracle disponibles dans Ouest des Etats-Unis (Phoenix) via une passerelle de service. Oracle utilise BGP (Border Gateway Protocol) sur la passerelle de routage dynamique pour publier ces plages d'adresses IP publiques régionales sur le dispositif en périphérie (également appelé CPE, pour Customer-Premises Equipment) dans votre réseau sur site. Pour obtenir la liste des plages disponibles via la passerelle de service, reportez-vous à Adresses IP publiques pour les réseaux cloud virtuels et Oracle Services Network.
Chemins de connexion multiples vers les services Oracle
Vous pouvez configurer votre réseau sur site avec plusieurs chemins de connexion vers Oracle Cloud Infrastructure et les services Oracle pour assurer la redondance ou pour d'autres raisons. Par exemple, vous pouvez utiliser l'appairage public FastConnect et l'appairage privé FastConnect. Si vous disposez de plusieurs chemins, le dispositif en périphérie reçoit une publication de routage des plages d'adresses IP publiques des services Oracle sur plusieurs chemins. Pour obtenir des informations importantes sur la bonne configuration de votre dispositif en périphérie, reportez-vous à Détails de routage pour les connexions à votre réseau sur site.
Plusieurs réseaux cloud virtuels avec un accès privé aux services Oracle
Votre organisation peut choisir d'utiliser plusieurs réseaux cloud virtuels, chacun doté d'une passerelle de service afin que leurs ressources puissent accéder aux services Oracle. Par exemple, vous pouvez avoir un réseau cloud virtuel différent pour chaque service de votre organisation.
Si vous voulez également configurer votre réseau sur site avec un accès privé aux services Oracle via un réseau cloud virtuel doté d'une passerelle de service, cette section décrit deux dispositions de réseau différentes que vous pouvez utiliser.
Dans la première disposition, vous configurez une seule passerelle de routage dynamique, avec les réseaux cloud virtuels placés dans une disposition hub-and-spoke, comme indiqué dans le diagramme suivant. Le réseau cloud virtuel qui a le rôle de hub donne au réseau sur site un accès privé aux services Oracle et est dédié à cela. Les autres réseaux cloud virtuels sont appairés localement avec le réseau cloud virtuel hub. Vous configurez uniquement le réseau cloud virtuel hub selon les instructions dans Configuration d'un accès privé aux services Oracle. Cette disposition hub-and-spoke est recommandée et décrite plus loin dans Routage de transit au sein d'un réseau cloud virtuel hub.
Dans la seconde disposition, il existe une passerelle de routage dynamique distincte pour chaque réseau cloud virtuel, ainsi qu'un circuit virtuel privé FastConnect ou un VPN site à site distinct entre votre réseau sur site et chaque passerelle de routage dynamique. Une seule passerelle de routage dynamique et un seul réseau cloud virtuel sont dédiés à fournir à votre réseau sur site un accès privé aux services Oracle. Dans le diagramme suivant, le réseau cloud virtuel est au centre. Pour configurer ce réseau cloud virtuel, suivez les instructions dans Configuration d'un accès privé aux services Oracle.
Dans ces deux dispositions, le réseau sur site peut atteindre les services Oracle uniquement via la passerelle de service d'un seul réseau cloud virtuel (celui dédié à cet effet) et non via les passerelles de service des autres réseaux cloud virtuels. Pour ces autres réseaux cloud virtuels, seules les ressources qui se trouvent à l'intérieur de ceux-ci peuvent atteindre les services Oracle via la passerelle de service correspondante.
Quelle que soit la disposition que vous choisissez, vous pouvez écrire une stratégie IAM pour restreindre l'accès à un bucket Object Storage de sorte que seules les demandes qui proviennent de la passerelle de service d'un réseau cloud virtuel spécifique soient autorisées pour ce bucket. Avec l'une de ces dispositions, vous pouvez écrire la stratégie permettant d'autoriser les demandes provenant de plusieurs réseaux cloud virtuels. Pour restreindre l'accès à des réseaux cloud virtuels spécifiques, créez une source réseau afin d'indiquer le réseau cloud virtuel autorisé, puis écrivez la stratégie limitant l'accès à cette seule source réseau. Une source réseau peut spécifier plusieurs réseaux cloud virtuels ou vous pouvez en créer une par réseau cloud virtuel. Pour plus d'informations sur la création des sources réseau, reportez-vous à Gestion des sources réseau.
L'exemple de stratégie suivant suppose que vous avez configuré une source réseau pour chacun de vos réseaux cloud virtuels. La stratégie permet aux ressources du groupe ObjectBackup (en exemple) d'écrire des objets dans un bucket existant appelé db-backup, qui réside dans un compartiment appelé ABC. Lorsque vous écrivez une stratégie comme celle-ci, vous pouvez indiquer plusieurs sources réseau. Cet exemple en présente trois.
Allow group ObjectBackup to read buckets in compartment ABC
Allow group ObjectBackup to manage objects in compartment ABC where
all {target.bucket.name='db-backup',
any {request.networkSource.name='<hub_VCN_network_source>', request.networkSource.name='<spoke_1_VCN_network_source>', request.networkSource.name='<spoke_2_VCN_network_source>'},
any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
Pour plus d'informations, reportez-vous à Configuration d'une passerelle de service dans la console dans la procédure de configuration d'une passerelle de service.
Demandes des services Oracle à vos clients
La passerelle de service n'autorise pas les demandes de connexion entrantes vers votre réseau cloud virtuel ou votre réseau sur site. Toutes les demandes de connexion provenant d'un service Oracle vers votre réseau sur site doivent passer par un chemin public comme Internet ou l'appairage public FastConnect.
Si vous utilisez Oracle Analytics Cloud pour lancer des demandes de connexion aux clients, et que vous voulez également configurer un accès privé aux services Oracle pour votre réseau sur site, reportez-vous à ce problème connu.
Options de routage de transit pour l'accès privé aux services Oracle
Il existe deux options de routage via le réseau cloud virtuel pour l'accès privé aux services Oracle :
- Routage de transit direct via des passerelles : vous acheminez le trafic directement par le biais du réseau cloud virtuel, d'une passerelle à l'autre.
- Routage de transit via une adresse IP privée : vous configurez une instance dans le réseau cloud virtuel pour filtrer ou inspecter le trafic entre le réseau sur site et Oracle Services Network, et acheminez le trafic via une adresse IP privée sur l'instance.
Les exemples présentés dans les sections suivantes supposent que le réseau cloud virtuel ne contient aucune charge globale ayant besoin d'accéder au réseau sur site ou à Oracle Services Network. Le réseau cloud virtuel est utilisé uniquement pour le routage de transit du trafic par le biais du réseau cloud virtuel.
Dans cet exemple, vous acheminez directement via les deux passerelles sur le VCN : la passerelle de routage dynamique (DRG) et la passerelle de service . Reportez-vous au diagramme suivant.
Les numéros du diagramme désignent deux tables de routage, chacune associée à une ressource différente :
-
Attachement de passerelle de routage dynamique :
- La table de routage de réseau cloud virtuel est associée à l'attachement de passerelle de routage dynamique. Pourquoi l'attachement et non la passerelle de routage dynamique ? Car la passerelle de routage dynamique est une ressource autonome que vous pouvez attacher à n'importe quel réseau cloud virtuel se trouvant dans la même région et la même location qu'elle. L'attachement permet d'identifier le réseau cloud virtuel.
- La table de routage de réseau cloud virtuel achemine le trafic entrant provenant du réseau sur site et destiné à un service Oracle pris en charge. Vous configurez la règle de sorte à envoyer ce trafic vers la passerelle de service.
Numéro 1 : table de routage de réseau cloud virtuel pour l'attachement de passerelle de routage dynamique CIDR de destination Cible du routage Tous les services OSN de la région Passerelle de service -
Passerelle de service :
- Cette table de routage de réseau cloud virtuel est associée à la passerelle de service.
- La table de routage de réseau cloud virtuel achemine le trafic de réponse provenant d'un service Oracle pris en charge et destiné au réseau sur site. Vous configurez la règle de sorte à envoyer ce trafic vers la passerelle de routage dynamique.
Numéro 2 : table de routage de réseau cloud virtuel pour la passerelle de service Cible du routage Cible du routage 172.16.0.0/12 Passerelle de routage dynamique
Dans cet exemple, vous configurez une instance dans le réseau cloud virtuel pour qu'elle fasse office de système de détection des intrusions ou de pare-feu afin de filtrer ou d'inspecter le trafic entre le réseau sur site et Oracle Services Network. Reportez-vous au diagramme suivant.
CIDR de destination | Cible du routage |
---|---|
172.16.0.0/12 | Passerelle de routage dynamique |
CIDR de destination | Cible du routage |
---|---|
Tous les services OSN de la région | Passerelle de service |
CIDR de destination | Cible du routage |
---|---|
Tous les services OSN de la région | 10.0.4.3 |
CIDR de destination | Cible du routage |
---|---|
172.16.0.0/12 | 10.0.8.3 |
L'instance dispose de deux cartes d'interface réseau virtuelles, chacune avec une adresse IP privée. L'une des cartes d'interface réseau virtuelles se trouve dans un sous-réseau qui fait face au réseau sur site (appelé ici sous-réseau frontal). L'autre carte d'interface réseau virtuelle se trouve dans un sous-réseau faisant face à Oracle Services Network (appelé ici sous-réseau back-end). La carte d'interface réseau virtuelle frontale dispose de l'adresse IP privée 10.0.4.3 et la carte back-end de l'adresse IP privée 10.0.8.3.
Le diagramme présente quatre tables de routage, chacune associée à une ressource différente :
-
Attachement de passerelle de routage dynamique :
- La table de routage de réseau cloud virtuel est associée à l'attachement de passerelle de routage dynamique. Pourquoi l'attachement et non la passerelle de routage dynamique ? Car la passerelle de routage dynamique est une ressource autonome que vous pouvez attacher à n'importe quel réseau cloud virtuel se trouvant dans la même région et la même location qu'elle. L'attachement permet d'identifier le réseau cloud virtuel.
- La table de routage de réseau cloud virtuel achemine le trafic entrant provenant du réseau sur site et destiné à un service Oracle pris en charge. Vous configurez la règle de sorte à envoyer le trafic vers l'adresse IP privée du sous-réseau frontal.
-
Passerelle de service :
- Cette table de routage de réseau cloud virtuel est associée à la passerelle de service.
- La table de routage de réseau cloud virtuel achemine le trafic de réponse provenant d'un service Oracle pris en charge et destiné au réseau sur site. Vous configurez la règle de sorte à envoyer ce trafic vers l'adresse IP privée du sous-réseau back-end.
-
Subnet-frontend :
- Cette table de routage de réseau cloud virtuel est associée à Subnet-Frontend.
- Elle inclut une règle autorisant le trafic avec le réseau sur site.
-
Subnet-backend :
- Cette table de routage de réseau cloud virtuel est associée à Subnet-Backend.
- Elle inclut une règle autorisant le trafic avec le réseau régional Oracle Services Network.
Restrictions importantes à comprendre pour le routage de transit
Cette section contient des informations importantes supplémentaires sur le routage :
-
Table de routage pour l'attachement de passerelle de routage dynamique :
- Une table de routage de réseau cloud virtuel associée à un attachement de passerelle de routage dynamique peut uniquement comporter des règles qui ciblent une passerelle de service, une adresse IP privée ou une passerelle d'appairage local.
- Un attachement de passerelle de routage dynamique comporte toujours une table de routage associée, mais vous pouvez en associer une autre, modifier les règles de la table ou supprimer tout ou partie des règles.
- Table de routage pour une passerelle de service :
- Une table de routage de réseau cloud virtuel associée à une passerelle de service peut uniquement comporter des règles qui ciblent une passerelle de routage dynamique ou une adresse IP privée.
- Il est possible qu'une passerelle de service ne soit associée à aucune table de routage. Cependant, une fois que vous avez associé une table de routage à une passerelle de service, celle-ci doit toujours être associée à une table de routage. Vous pouvez toutefois associer une autre table de routage. Vous pouvez également modifier les règles de la table, ou supprimer tout ou partie des règles.
- Trafic qui transite par le réseau cloud virtuel : les tables de routage évoquées ici servent uniquement à déplacer le trafic passant par le réseau cloud virtuel entre les emplacements du réseau sur site et Oracle Services Network. Si vous utilisez une adresse IP privée dans le réseau cloud virtuel, vous configurez les tables de routage de sorte que l'adresse IP privée soit placée dans ce chemin de trafic passant par le réseau cloud virtuel.
- Trafic entrant vers le réseau cloud virtuel : même si l'instruction précédente est vraie (par rapport au trafic via le réseau cloud virtuel), le trafic entrant vers les sous-réseaux dans le réseau cloud virtuel est toujours autorisé. Il n'est pas nécessaire de configurer des règles explicites pour ce trafic entrant dans la table de routage de l'attachement de passerelle de routage dynamique ou de la passerelle de service. Lorsque ce type de trafic entrant atteint la passerelle de routage dynamique ou la passerelle de service, le trafic est automatiquement acheminé vers sa destination dans le réseau cloud virtuel par le routage local du réseau cloud virtuel. En raison du routage local du réseau cloud virtuel, vous ne pouvez pas créer de règle qui répertorie le CIDR du réseau cloud virtuel (ou une sous-section) en tant que destination de la règle pour les tables de routage appartenant à un réseau cloud virtuel donné.
- Trafic de réseau cloud virtuel en cas de routage de transit via une adresse IP privée : l'instruction précédente concernant le routage local de réseau cloud virtuel signifie que vous utilisez le réseau cloud virtuel uniquement pour le transit entre le réseau sur site et les réseaux cloud virtuels spoke. Ne configurez pas de charges globales dans le réseau cloud virtuel lui-même. En d'autres termes, si vous configurez le routage de transit via une adresse IP privée dans le réseau cloud virtuel, vous ne pouvez pas non plus acheminer le trafic du réseau cloud virtuel via cette adresse IP privée. Prenons le diagramme précédent : si vous modifiez la règle de routage dans la table de routage de la passerelle de service de sorte que le CIDR de destination soit 0.0.0.0/0 au lieu de 172.16.0.0/12, seul le trafic provenant d'Oracle Services Network et destiné aux adresses en dehors du bloc CIDR du réseau cloud virtuel est acheminé via l'adresse IP privée. En raison du routage local du réseau cloud virtuel, le trafic destiné aux adresses au sein de ce réseau est acheminé directement vers l'adresse IP de destination de façon automatique. Le routage local du réseau cloud virtuel est prioritaire sur la table de routage de la passerelle de service (en général, il est prioritaire sur toutes les tables de routage du réseau cloud virtuel).
Stratégie IAM requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès sécurisé dans une stratégie. Cet accès est requis que vous utilisiez la console ou l'API REST avec un kit SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message vous indiquant que vous n'avez pas d'autorisation, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.
Si vous êtes membre du groupe Administrateurs, vous disposez déjà de l'accès requis pour configurer le routage de transit. Sinon, vous devez avoir accès au service Networking et être en mesure de lancer des instances. Reportez-vous à Stratégies IAM pour Networking.
Configuration d'un accès privé aux services Oracle
Cette section explique comment utiliser la console pour configurer le routage de transit avec un réseau cloud virtuel afin de donner à votre réseau sur site un accès privé aux services Oracle.
Il se peut que bon nombre des connexions et des composants de Networking nécessaires dans ce scénario avancé soient déjà configurés. Vous pouvez donc ignorer certaines des tâches suivantes. Si vous disposez déjà d'une disposition de réseau avec un réseau cloud virtuel connecté à votre réseau sur site et une passerelle de service pour ce réseau cloud virtuel, la tâche 4 est la plus importante. Elle permet le routage de trafic entre votre réseau sur site et Oracle Services Network.
Dans cette tâche, vous configurez le réseau cloud virtuel. Aucun sous-réseau n'est requis pour cet exemple.
Pour obtenir plus d'informations et d'instructions, reportez-vous à la rubrique suivante :
Dans cette tâche, vous ajoutez une passerelle de service au réseau cloud virtuel et activez la passerelle pour le réseau régional Oracle Services Network.
Vous ne créez pas encore la table de routage qui sera associée à la passerelle de service. Cette opération est réalisée dans une tâche ultérieure.
- Dans la console, affichez les détails du réseau cloud virtuel.
- Sous Ressources, cliquez sur Passerelles de service.
- Cliquez sur Créer une passerelle de service.
-
Entrez les valeurs suivantes :
- Nom : nom descriptif de la passerelle de service. Il ne doit pas nécessairement être unique. Evitez de saisir des informations confidentielles.
- Créer dans le compartiment : compartiment dans lequel créer la passerelle de service, s'il est différent du compartiment dans lequel vous travaillez actuellement.
- Services : tous les services <region> dans Oracle Services Network.
-
Cliquez sur Créer une passerelle de service.
La passerelle de service est alors créée et affichée sur la page Passerelles de service du compartiment choisi.
Si vous utilisez le VPN site à site avec le routage statique et que le réseau cloud virtuel est configuré de sorte à donner à votre réseau sur site un accès privé aux services Oracle, vous devez configurer votre appareil en périphérie avec les routages des plages d'adresses IP publiques d'Oracle Services Network publiés par la passerelle de routage dynamique sur le chemin privé (via la passerelle de service). Pour obtenir la liste de ces plages, reportez-vous à Adresses IP publiques pour les réseaux cloud virtuels et Oracle Services Network.
CIDR de destination | Cible du routage |
---|---|
Tous les services OSN de la région | Passerelle de service |
CIDR de destination | Cible du routage |
---|---|
172.16.0.0/12 | Passerelle de routage dynamique |
Dans cette tâche, vous configurez les tables de routage pour l'attachement de passerelle de routage dynamique et pour la passerelle de service.
Prérequis :
- Une passerelle de routage dynamique est déjà attachée au réseau cloud virtuel.
- Vous disposez déjà d'une passerelle de service.
-
Créez une table de routage pour l'attachement de passerelle de routage dynamique :
- Dans la console, affichez les détails du réseau cloud virtuel.
- Sous Ressources, cliquez sur Tables de routage pour afficher les tables de routage du réseau cloud virtuel.
- Cliquez sur Créer une table de routage.
-
Entrez les informations suivantes :
- Nom : nom descriptif de la table de routage. Exemple : Table de routage entrante de réseau cloud virtuel. Evitez de saisir des informations confidentielles.
- Créer dans le compartiment : à laisser tel quel.
-
Cliquez sur + Règle de routage supplémentaire et entrez les informations suivantes pour la règle de routage :
- Type de cible : passerelle de service.
- Service de destination : tous les services <region> dans Oracle Services Network.
- Compartiment : compartiment dans lequel se trouve la passerelle de service.
- Cible : passerelle de service.
- Description : description facultative de la règle.
-
Cliquez sur Créer une table de routage.
La table de routage est créée et affichée dans la liste.
-
Associez la table de routage (appelée Table de routage entrante de réseau cloud virtuel dans cet exemple) à l'attachement de passerelle de routage dynamique du réseau cloud virtuel :
- Toujours dans les détails du réseau cloud virtuel, cliquez sur Passerelles de routage dynamique pour afficher la passerelle attachée.
- Cliquez sur le , puis sur Associer à une table de routage.
-
Entrez les informations suivantes :
- Compartiment de la table de routage : sélectionnez le compartiment de la table de routage pour l'attachement de passerelle de routage dynamique.
- Table de routage : sélectionnez la table de routage de l'attachement de passerelle de routage dynamique.
-
Cliquez sur Associer.
La table de routage est associée à l'attachement de passerelle de routage dynamique.
-
Créez une table de routage pour la passerelle de service :
- Toujours dans les détails du réseau cloud virtuel, cliquez sur Tables de routage.
- Cliquez sur Créer une table de routage.
-
Entrez les informations suivantes :
- Créer dans le compartiment : à laisser tel quel.
- Nom : nom descriptif de la table de routage. Exemple : Table de routage de passerelle de service. Evitez de saisir des informations confidentielles.
-
Cliquez sur + Règle de routage supplémentaire et entrez les informations suivantes pour la règle de routage :
- Type de cible : passerelle de routage dynamique. La passerelle de routage dynamique attachée du réseau cloud virtuel est automatiquement sélectionnée en tant que cible. Vous n'avez pas besoin d'indiquer de cible.
- Bloc CIDR de destination : CIDR du réseau sur site (172.16.0.0/12 dans l'exemple précédent).
- Description : description facultative de la règle.
-
Cliquez sur Créer une table de routage.
La table de routage est créée et affichée dans la liste.
-
Associez la table de routage (appelée Table de routage de passerelle de service dans cet exemple) à la passerelle de service :
- Toujours dans les détails du réseau cloud virtuel, cliquez sur Passerelles de service.
- Pour la passerelle de service, cliquez sur le menu Actions (), puis sur Associer à une table de routage.
-
Entrez les informations suivantes :
- Compartiment de la table de routage : sélectionnez le compartiment de la table de routage de la passerelle de service.
- Table de routage : sélectionnez la table de routage de la passerelle de service.
-
Cliquez sur Associer.
La table de routage est associée à la passerelle de service.
Il se peut que bon nombre des connexions et des composants de Networking nécessaires dans ce scénario avancé soient déjà configurés. Vous pouvez donc ignorer certaines des tâches suivantes. Si vous disposez déjà d'une disposition de réseau avec un réseau cloud virtuel connecté à votre réseau sur site et une passerelle de service pour ce réseau cloud virtuel, les tâches 4 et 5 sont les plus importantes. Elles permettent d'acheminer le trafic entre votre réseau sur site et le réseau cloud virtuel spoke.
Dans cette tâche, vous configurez le réseau cloud virtuel. Cet exemple comporte également deux sous-réseaux : un pour la carte d'interface réseau virtuelle frontale sur l'instance, et un pour la carte d'interface réseau virtuelle back-end sur l'instance. Oracle recommande d'utiliser des sous-ensembles privés régionaux.
Pour obtenir plus d'informations et d'instructions, reportez-vous à la rubrique suivante :
Dans cette tâche, vous ajoutez une passerelle de service au réseau cloud virtuel et activez la passerelle pour le réseau régional Oracle Services Network.
Vous ne créez pas encore la table de routage qui sera associée à la passerelle de service. Cette opération est réalisée dans une tâche ultérieure.
- Dans la console, affichez les détails du réseau cloud virtuel.
- Sous Ressources, cliquez sur Passerelles de service.
- Cliquez sur Créer une passerelle de service.
-
Entrez les valeurs suivantes :
- Nom : nom descriptif de la passerelle de service. Il ne doit pas nécessairement être unique. Evitez de saisir des informations confidentielles.
- Créer dans le compartiment : compartiment dans lequel créer la passerelle de service, s'il est différent du compartiment dans lequel vous travaillez actuellement.
- Services : tous les services <region> dans Oracle Services Network.
-
Cliquez sur Créer une passerelle de service.
La passerelle de service est alors créée et affichée sur la page Passerelles de service du compartiment choisi.
Si vous utilisez le VPN site à site avec le routage statique et que le réseau cloud virtuel est configuré de sorte à donner à votre réseau sur site un accès privé aux services Oracle, vous devez configurer votre appareil en périphérie avec les routages des plages d'adresses IP publiques d'Oracle Services Network publiés par la passerelle de routage dynamique sur le chemin privé (via la passerelle de service). Pour obtenir la liste de ces plages, reportez-vous à Adresses IP publiques pour les réseaux cloud virtuels et Oracle Services Network.
- Vous disposez déjà d'un réseau cloud virtuel avec deux sous-réseaux.
- Consultez ces informations : Utilisation d'une adresse IP privée comme cible de routage.
- Si vous ne l'avez pas déjà fait, créez l'instance dans le réseau cloud virtuel. Reportez-vous à Création d'une instance. La carte d'interface réseau virtuelle principale est créée dans le sous-réseau que vous indiquez.
- Créez une carte d'interface réseau virtuelle secondaire pour l'autre sous-réseau et configurez le système d'exploitation pour qu'il l'utilise. Reportez-vous à Gestion des VNIC.
- Désactivez la vérification de source/destination sur chacune des cartes d'interface réseau virtuelles. Reportez-vous à Présentation des cartes d'interface réseau virtuelles et des cartes d'interface réseau physiques.
- Pour chaque carte d'interface réseau virtuelle, déterminez l'adresse IP privée à utiliser comme cible de routage. Si vous voulez utiliser une adresse IP privée secondaire à la place de l'adresse IP privée principale de la carte d'interface réseau virtuelle, affectez cette adresse IP privée secondaire et configurez le système d'exploitation de manière à ce qu'il utilise. Reportez-vous à Affectation d'une nouvelle adresse IP privée secondaire à une VNIC.
- Notez les adresses IP privées que vous avez créées (par exemple : 10.0.4.3).
- Configurez l'instance de manière adaptée pour le travail qu'elle exécute (par exemple, configuration du pare-feu ou du système de détection des intrusions sur l'instance).
CIDR de destination | Cible du routage |
---|---|
172.16.0.0/12 | Passerelle de routage dynamique |
CIDR de destination | Cible du routage |
---|---|
Tous les services OSN de la région | Passerelle de service |
CIDR de destination | Cible du routage |
---|---|
Tous les services OSN de la région | 10.0.4.3 |
CIDR de destination | Cible du routage |
---|---|
172.16.0.0/12 | 10.0.8.3 |
Dans cette tâche, vous configurez les tables de routage pour l'attachement de passerelle de routage dynamique et la passerelle de service.
Prérequis :
- Une passerelle de routage dynamique est déjà attachée au réseau cloud virtuel.
- Vous disposez déjà d'une passerelle de service.
- Vous disposez déjà des deux adresses IP privées à utiliser en tant que cibles de routage (reportez-vous à la tâche précédente).
-
Créez une table de routage pour l'attachement de passerelle de routage dynamique :
- Dans la console, affichez les détails du réseau cloud virtuel.
- Sous Ressources, cliquez sur Tables de routage pour afficher les tables de routage du réseau cloud virtuel.
- Cliquez sur Créer une table de routage.
-
Entrez les informations suivantes :
- Nom : nom descriptif de la table de routage. Exemple : Table de routage entrante de réseau cloud virtuel. Evitez de saisir des informations confidentielles.
- Créer dans le compartiment : à laisser tel quel.
-
Cliquez sur + Règle de routage supplémentaire et entrez les informations suivantes pour la règle de routage :
- Type de cible : adresse IP privée.
- Destination : service.
- Service de destination : tous les services <region> dans Oracle Services Network.
- Compartiment : compartiment dans lequel se trouve l'adresse IP privée du sous-réseau frontal.
- Cible : adresse IP privée du sous-réseau frontal que vous avez notée au cours de la tâche précédente (10.0.4.3 dans l'exemple).
- Description : description facultative de la règle.
-
Cliquez sur Créer une table de routage.
La table de routage est créée et affichée dans la liste.
-
Associez la table de routage (appelée Table de routage entrante de réseau cloud virtuel dans cet exemple) à l'attachement de passerelle de routage dynamique du réseau cloud virtuel :
- Toujours dans les détails du réseau cloud virtuel, cliquez sur Passerelles de routage dynamique pour afficher la passerelle attachée.
- Cliquez sur le , puis sur Associer la table de routage.
- Sélectionnez la table de routage.
-
Cliquez sur Associer la table de routage.
La table de routage est associée à l'attachement de passerelle de routage dynamique.
-
Créez une table de routage pour la passerelle de service :
- Toujours dans les détails du réseau cloud virtuel, cliquez sur Tables de routage.
- Cliquez sur Créer une table de routage.
-
Entrez les informations suivantes :
- Créer dans le compartiment : à laisser tel quel.
- Nom : nom descriptif de la table de routage. Exemple : Table de routage de passerelle de service. Evitez de saisir des informations confidentielles.
-
Cliquez sur + Règle de routage supplémentaire et entrez les informations suivantes pour la règle de routage :
- Type de cible : adresse IP privée.
- Destination : bloc CIDR.
- Bloc CIDR de destination : CIDR du réseau sur site (172.16.0.0/12 dans l'exemple précédent).
- Compartiment : compartiment dans lequel se trouve l'adresse IP privée.
- Cible : adresse IP privée du sous-réseau back-end que vous avez notée au cours de la tâche précédente (10.0.8.3 dans l'exemple).
- Description : description facultative de la règle.
-
Cliquez sur Créer une table de routage.
La table de routage est créée et affichée dans la liste.
-
Associez la table de routage (appelée Table de routage de passerelle de service dans cet exemple) à la passerelle de service :
- Toujours dans les détails du réseau cloud virtuel, cliquez sur Passerelles de service.
- Pour la passerelle de service, cliquez sur le menu Actions (), puis sur Associer à une table de routage.
-
Entrez les informations suivantes :
- Compartiment de la table de routage : sélectionnez le compartiment de la table de routage de la passerelle de service.
- Table de routage : sélectionnez la table de routage de la passerelle de service.
-
Cliquez sur Associer.
La table de routage est associée à la passerelle de service.
Désactivation du routage de transit
Pour désactiver le routage de transit, enlevez les règles des éléments suivants :
- Table de routage associée à l'attachement de passerelle de routage dynamique.
- Table de routage associée à la passerelle de service.
Une table de routage peut être associée à une ressource et ne pas avoir de règle. Toutefois, sans au moins une règle, une table de routage ne peut rien faire.
Il est possible qu'une passerelle de service ou qu'un attachement de passerelle de routage dynamique ne soit associé à aucune table de routage. Cependant, une fois que vous avez associé une table de routage à un attachement de passerelle de routage dynamique ou à une passerelle de service, ces derniers doivent toujours être associés à une table de routage. Vous pouvez toutefois lui en associer une autre. Vous pouvez également modifier les règles de la table, ou supprimer tout ou partie des règles.