Documentation Oracle Cloud Infrastructure

Connexion VPN à Azure

Le service VPN site à site Oracle Cloud Infrastructure (OCI) offre une connexion IPSec sécurisée entre un réseau sur site et un réseau cloud virtuel (VCN). Vous pouvez également utiliser le VPN site à site pour connecter des ressources OCI à d'autres fournisseurs de service cloud.

Cette rubrique propose les meilleures pratiques à suivre pour configurer un tunnel VPN IPSec entre OCI et Microsoft Azure à l'aide du service de VPN site à site OCI et du service de VPN IPSec Azure.

Remarque

Ce document suppose que vous avez déjà provisionné un réseau cloud virtuel (VCN) et une passerelle de routage dynamique (DRG), et que vous avez également configuré toutes les tables de routage VCN et les listes de sécurité requises pour ce scénario et tous les équivalents dans Azure.

Remarques propres à Microsoft Azure

Version IKE : une connexion VPN IPSec entre OCI et Microsoft Azure doit utiliser IKE version 2 à des fins d'interopérabilité.

Type de routage : ce scénario utilise BGP (Border Gateway Protocol) pour échanger des routages entre Azure et OCI. BGP est recommandé pour le VPN site à site dans la mesure du possible. Le routage statique peut également être utilisé entre Azure et OCI.

Confidentialité persistante parfaite : avec la confidentialité persistantes, de nouvelles clés Diffie-Hellman sont générées au lieu d'utiliser celle générée lors de la phase 2. Cette phase recrute une clé au lieu d'utiliser celle générée lors de la phase 1. Les deux homologues VPN doivent correspondre au paramètre de groupe de confidentialité persistante choisi pour la phase 2. Par défaut, Azure (groupes 1, 2, 14 et 24 pour IKEv2 uniquement) et OCI (groupe 5) présentent un non-concordance de confidentialité persistant. Le groupe PFS côté OCI peut être modifié pour correspondre au CPE.

Vérification de la version du VPN site à site OCI

Vous pouvez vérifier la version du VPN site à site utilisée par les connexions IPSec dans l'onglet Informations sur les connexions IPSec de l'onglet IPSec.

Paramètres IPSec pris en charge

Pour obtenir la liste des paramètres IPSec pris en charge indépendamment du fournisseur pour toutes les régions OCI, reportez-vous à Paramètres IPSec pris en charge.

Processus de configuration

Azure - Création d'une passerelle VPN
  1. Recherchez Virtual Network Gateway sur le portail principal d'Azure. Sélectionnez l'entrée voulue dans les résultats de recherche.
  2. Sur la page suivante, sélectionnez le bouton Créer pour créer une passerelle réseau virtuelle.
  3. Vous pouvez accéder à la page Créer la passerelle de réseau virtuel.
    • Nom : attribuez un nom à cette passerelle.
    • Région : sélectionnez une région Azure. La région doit être identique à celle du réseau virtuel.
    • Type de passerelle : sélectionnez VPN.
    • Type de VPN : sélectionnez Basé sur un routage.
    • SKU et Génération : sélectionnez une référence de passerelle qui prend en charge IKEv2 et répond à ses exigences de débit. Pour plus d'informations sur les références d'unités de gestion des stocks de passerelle, reportez-vous à la documentation Azure sur les VPN Gateways.
    • Réseau virtuel : sélectionnez le réseau virtuel pour la passerelle. Ce réseau virtuel a également besoin d'un sous-réseau de passerelle.
    • Plage d'adresses de sous-réseau de passerelle : si la passerelle possède déjà un GatewaySubnet, sélectionnez-le. Sinon, sélectionnez une plage d'adresses inutilisée.
    • Adresse IP publique : la passerelle de réseau virtuel a besoin d'une adresse IP publique. Si vous en avez déjà créé une, sélectionnez-la. Sinon, sélectionnez Créer et attribuez un nom à l'adresse IP publique.
    • Activer le mode actif/actif : laissez cette option désactivée.
    • Configurer BGP : sélectionnez Activé. Laissez cette option désactivée pour utiliser le routage statique.
    • Numéro de système autonome (ASN) : par défaut, Azure utilise le nom ASN BGP 65515. Sélectionnez la couche par défaut.

    • Adresse IP BGP APIPA Azure personnalisée : sélectionnez un sous-réseau /30 dans 169.254.21.0/24 ou 169.254.22.0/24. Il s'agit des adresses IP BGP pour Azure et OCI. Entrez ici l'une des deux adresses IP disponibles dans le sous-réseau /30 choisi. Ce scénario utilise 169.254.21.1 pour OCI et 169.254.21.2 pour Azure.

      Lorsque vous avez terminé la configuration de la passerelle de réseau virtuel, cliquez sur le bouton Vérifier + créer, puis sur le bouton Créer sur la page suivante.

  4. Accédez à la nouvelle passerelle réseau virtuelle et enregistrez l'adresse IP publique. L'adresse IP est utilisée pour créer la connexion IPSec dans OCI.
OCI - Création d'un objet CPE
  1. Ouvrez le menu de navigation et sélectionnez Fonctions de réseau. Sous Connectivité client, sélectionnez Equipement client sur site.
  2. Sélectionnez Créer un CPE (Customer-Premise Equipment).

  3. Entrez les valeurs suivantes :

    • Créer dans le compartiment : sélectionnez le compartiment pour le VCN souhaité.
    • Nom : nom descriptif de l'objet CPE. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.

      Cet exemple utilise le nom "TO_Azure".

    • Adresse Internet : entrez l'adresse IP publique de la passerelle Azure Virtual Network Gateway. Pour trouver cette adresse IP publique dans la console Azure, vous pouvez accéder à la page de présentation de la passerelle de réseau virtuel créée dans la tâche précédente.
    • Fournisseur de CPE : sélectionnez Autre.
  4. Sélectionnez Créer un CPE.
OCI - Création d'une connexion IPSec
  1. Ouvrez le menu de navigation et sélectionnez Fonctions de réseau. Sous Connectivité client, sélectionnez VPN site à site.
  2. Sélectionnez Créer une connexion IPSec.

  3. Entrez les valeurs suivantes :

    • Créer dans le compartiment : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • Nom : saisissez le nom descriptif de la connexion IPSec. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    • Compartiment de CPE (Customer-Premises Equipment) : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • CPE (CPE) : sélectionnez l'objet CPE que vous avez créé précédemment, nommé TO_Azure.
    • Compartiment de la passerelle de routage dynamique : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • Passerelle de routage dynamique : sélectionnez la passerelle de routage dynamique que vous avez créée précédemment.
    • CIDR de routage statique : entrez un routage par défaut, 0.0.0.0/0. Etant donné qu'il est utilisé pour le tunnel actif, OCI ignore ce routage. Cette entrée est requise pour le second tunnel de la connexion IPSec, qui emploie par défaut le routage statique. Elle n'est pas utilisée dans ce scénario. Si vous prévoyez d'utiliser un routage statique pour cette connexion, saisissez des routages statiques représentant ces réseaux virtuels Azure. Vous pouvez configurer jusqu'à 10 routages statiques par connexion IPSec.

  4. Entrez les détails suivants dans l'onglet Tunnel 1 (requis) :

    • Nom : entrez le nom descriptif du TUNNEL (exemple) : Azure-TUNNEL-1. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    • Indiquer une clef secrète partagée personnalisée : clé prépartagée utilisée par IPSec pour le tunnel. Cochez cette case si vous souhaitez utiliser une clé personnalisée. Si rien n'est sélectionné, un est généré pour vous.
    • Version IKE : sélectionnez IKEv2.
    • Type de routage : sélectionnez Routage dynamique BGP. Sélectionnez Racheminement statique si vous souhaitez utiliser le routage statique.
    • ASN BGP : entrez le numéro ASN BGP utilisé par Azure. Le numéro ASN BGP Azure est configuré au cours de l'étape 3 de la section Azure - Création d'une passerelle VPN. Ce scénario utilise le numéro ASN BGP Azure par défaut, 65515.
    • IPv4 Interface de tunnel interne - CPE : adresse IP BGP utilisée par Azure. Utilisez la notation CIDR complète pour l'adresse IP. L'adresse IP BGP Azure est configurée au cours de l'étape 3 de la section Azure - Création d'une passerelle VPN.
    • IPv4 Interface de tunnel interne - Oracle : adresse IP BGP utilisée par OCI. Utilisez la notation CIDR complète pour l'adresse IP. Il s'agit de l'adresse IP disponible restante du sous-réseau /30 choisi.
  5. Sélectionnez Afficher les options avancées et développez Configuration de la phase deux (IPSec). Sélectionnez un groupe Diffie-Hellman de confidentialité persistante. Choisissez GROUP2, GROUP14 ou GROUP24.

  6. Sélectionnez Créer une connexion IPSec.

    La connexion IPSec est créée et affichée sur la page. La connexion présente l'état Provisionnement pendant une courte période.

OCI - Modifier le PFS

Par défaut, OCI Site-to-Site VPN utilise le groupe de confidentialité persistante 5 pour tous les tunnels VPN IPSec. Pour IKEv2, Azure envoie des propositions avec les groupes de confidentialité persistante 1, 2, 14 et 24.

Vous pouvez utiliser la console OCI pour définir la stratégie IPSec de phase 2 d'un tunnel afin d'utiliser une valeur de groupe PFS personnalisée de 2, 14 ou 24. OCI ne prend pas en charge le groupe PFS 1.

OCI - Enregistrement de l'adresse IP de VPN site à site et de la clé secrète partagée

Après le provisionnement de la connexion IPSec, enregistrez l'adresse IP de VPN site à site à utiliser comme adresse IP de CPE dans le portail Azure et la clé secrète partagée du tunnel.

  1. Accédez à IPSec, dans la console OCI.

    Sélectionnez le tunnel à utiliser comme tunnel principal. Enregistrez l'adresse IP de VPN site à page de ce tunnel. Ensuite, sélectionnez le nom du tunnel à placer dans la vue de tunnel.

  2. Sous le tunnel, sélectionnez le lien qui permet d'afficher la clé secrète partagée. Enregistrez-la. La clé secrète partagée est utilisée pour effectuer la configuration du VPN IPSec dans Azure.
Azure - Création d'une passerelle de réseau local

  1. Sur le portail principal d'Azure, recherchez Passerelle de réseau local. Sélectionnez l'entrée voulue dans les résultats de recherche.

  2. Sur la page suivante, sélectionnez le bouton Créer pour créer une passerelle de réseau local.

  3. Vous pouvez accéder à la page Créer une passerelle de réseau local. Entrez les informations suivantes :

    • Région : sélectionnez une région Azure. La région doit être identique au réseau virtuel et à la passerelle du réseau virtuel.
    • Nom : attribuez un nom à la passerelle réseau locale.
    • Adresse IP : entrez l'adresse IP de VPN OCI enregistrée pour le tunnel 1.
    • Espace d'adressage : laissez le champ vide si vous utilisez le routage statique. Entrez les CIDR des réseaux Cloud virtuels OCI.
    • Configurer les paramètres BGP : cochez cette case. Si vous utilisez le routage statique, ne sélectionnez pas cette option.
    • Numéro de système autonome (ASN) : saisissez le numéro ASN BGP OCI. Le numéro ASN BGP d'Oracle pour le cloud commercial est 31898, à l'exception de la région Centre de la Serbie (Jovanovac), qui est 14544.
    • Adresse IP d'appairage BGP : adresse IP BGP OCI. La même adresse IP que celle utilisée pour l'interface de tunnel interne IPV4 - Oracle à l'étape 4 d'OCI - Création d'une connexion IPSec.
Azure - Création d'une connexion VPN

  1. Accédez à la passerelle réseau virtuelle créée précédemment. Dans le menu de gauche, sélectionnez Connexions, puis le bouton Ajouter pour ajouter une connexion.

  2. Vous pouvez accéder à la page Ajouter la connexion. Entrez les informations suivantes :

    • Nom : nommez la connexion.
    • Type de connexion : sélectionnez Site à site (IPsec)
    • Passerelle de réseau local : sélectionnez la passerelle de réseau local précédemment créée.
    • Clé Partagée (PSK) : entrez la clé secrète partagée du tunnel OCI. Reportez-vous à la section OCI - Enregistrement d'une adresse IP de VPN site à Site et d'une clé secrète partagée si vous devez identifier l'emplacement de la clé partagée dans la console OCI.
    • Activer BGP : cochez cette case. Ne pas sélectionner si vous utilisez le routage statique.

    • IKE Protocol : sélectionnez IKEv2.

      Conservez toutes les autres options par défaut. Lorsque vous avez terminé de configurer la connexion VPN, cliquez sur le bouton OK en bas de la page.

      Après quelques minutes, Azure termine le provisionnement de la nouvelle connexion VPN et le VPN IPSec entre Azure et OCI apparaît.

Vérification

Accédez à la connexion IPSec dans OCI et la connexion Virtual Network Gateway dans Azure pour vérifier le statut du tunnel.

Le tunnel OCI sous la connexion IPSec affiche Haut sous le statut IPSec, ce qui confirme qu'il est opérationnel.

Le statut BGP IPV4 affiche également Démarré, ce qui indique l'établissement d'une session BGP.

Le statut de connexion sous la passerelle de réseau virtuel du tunnel affiche Connecté, ce qui confirme qu'il est opérationnel.

Un service Monitoring est également disponible auprès d'OCI pour surveiller activement et passivement les ressources cloud. Pour plus d'informations sur la surveillance d'OCI site-à-site VPN, reportez-vous à Mesures de VPN site-à-site

Si vous rencontrez des problèmes, reportez-vous à Dépannage de VPN site à site.