Documentation Oracle Cloud Infrastructure

Connexion de réseaux cloud virtuels via une passerelle d'appairage local

Sur Compute Cloud@Customer, vous pouvez configurer des passerelles d'appairage local. L'appairage VCN est le processus de connexion de plusieurs réseaux cloud virtuels afin que les ressources puissent communiquer à l'aide d'adresses IP privées.

Vous pouvez utiliser l'appairage VCN pour diviser votre réseau en plusieurs réseaux cloud virtuels, par exemple, en fonction des services ou des secteurs d'activité, chaque VCN ayant un accès privé direct aux autres. Vous pouvez également placer des ressources partagées dans un seul VCN auquel tous les autres réseaux cloud virtuels peuvent accéder en privé. Deux réseaux cloud virtuels appairés peuvent appartenir à la même location ou à d'autres locations.

Stratégies

L'appairage entre deux réseaux cloud virtuels nécessite l'accord explicite des deux parties sous la forme de stratégies IAM que chaque partie implémente pour son propre compartiment ou location VCN. S'ils se trouvent dans des locations différentes, chaque administrateur doit fournir l'OCID de location et mettre en place des instructions de stratégie coordonnées spéciales pour permettre l'appairage.

Pour implémenter les stratégies IAM requises pour l'appairage, les deux administrateurs VCN doivent désigner un administrateur en tant que demandeur et l'autre en tant qu'accepteur. C'est au demandeur qu'il incombe de lancer la demande de connexion des deux passerelles d'appairage local. L'accepteur doit ensuite créer une stratégie IAM particulière qui autorise le demandeur à se connecter aux passerelles d'accès de niveau ligne de son compartiment. Sans cette stratégie, la demande de connexion du demandeur échoue. L'administrateur VCN peut supprimer une connexion d'appairage en supprimant sa passerelle d'appairage local.

Contrôle du routage et du trafic

Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit mettre à jour le routage VCN pour permettre au trafic de circuler entre les réseaux cloud virtuels. En pratique, cela ressemble à celui configuré pour n'importe quelle passerelle, telle qu'une passerelle Internet ou de routage dynamique. Pour chaque sous-réseau devant communiquer avec l'autre VCN, vous mettez à jour la table de routage du sous-réseau. La règle de routage spécifie le CIDR du trafic de destination et votre passerelle d'accès en tant que cible. Votre passerelle d'appairage local achemine le trafic correspondant à cette règle vers l'autre passerelle d'appairage local, qui à son tour achemine le trafic vers le saut suivant dans l'autre VCN.

Vous pouvez contrôler le flux de paquets sur la connexion d'appairage avec des tables de routage dans votre VCN. Par exemple, vous pouvez limiter le trafic à des sous-réseaux spécifiques dans l'autre VCN. Sans supprimer l'appairage, vous pouvez arrêter le flux de trafic vers l'autre VCN en supprimant les règles de routage qui dirigent le trafic de votre VCN vers l'autre VCN. Vous pouvez également arrêter le trafic en enlevant toute règle de liste de sécurité qui autorise le trafic entrant ou sortant avec l'autre VCN. Cela n'arrête pas le trafic qui passe sur la connexion d'appairage, mais arrête celui au niveau de la carte d'interface réseau virtuelle.

Règles de sécurité

Chaque administrateur VCN doit s'assurer que tout le trafic sortant et entrant avec l'autre VCN est prévu, attendu et bien défini. En pratique, cela signifie l'implémentation de règles de liste de sécurité qui indiquent explicitement les types de trafic que votre VCN peut envoyer à l'autre et accepter de l'autre. Si vos sous-réseaux utilisent la liste de sécurité par défaut, il existe deux règles autorisant le trafic entrant SSH et ICMP à partir de n'importe quel emplacement, ainsi que l'autre VCN. Evaluer ces règles et savoir si vous voulez les conserver ou les mettre à jour.

En plus des listes de sécurité et des pare-feu, évaluez d'autres configurations basées sur le système d'exploitation sur les instances de votre VCN. Il peut y avoir des configurations par défaut qui ne s'appliquent pas à votre propre CIDR VCN, mais qui s'appliquent par inadvertance à l'autre CIDR VCN.

Connexion de réseaux cloud virtuels via une passerelle d'appairage local

Sur Compute Cloud@Customer, une passerelle d'appairage local est un moyen de connecter des réseaux cloud virtuels afin que les éléments de chaque VCN puissent communiquer, même à l'aide d'une adresse IP privée.

Les composants suivants sont requis pour configurer une connexion d'appairage :

  • Deux réseaux cloud virtuels avec des CIDR qui ne se chevauchent pas

  • Une passerelle d'appairage local sur chaque VCN dans la relation d'appairage

  • Une connexion entre les deux PG

  • Des règles de routage autorisant le trafic sur la connexion d'appairage vers et depuis les sous-réseaux souhaités dans les réseaux cloud virtuels respectifs

  • Règles de sécurité permettant de contrôler les types de trafic autorisés vers et depuis les instances dans les sous-réseaux en question

    1. Dans le menu de navigation Console Compute Cloud@Customer, sous Fonctions de réseau, sélectionnez Réseaux cloud virtuels.

      La liste des réseaux cloud virtuels configurés précédemment dans les compartiments apparaît. Si le compartiment dans lequel vous créez la passerelle d'appairage local n'est pas affiché, utilisez le menu déroulant pour sélectionner le compartiment approprié.

    2. Sélectionnez le nom du VCN.

    3. Sous le menu Ressources, sélectionnez Passerelles d'appairage local.

    4. Sélectionnez Créer une passerelle d'appairage local.

    5. Entrer les informations obligatoires:

      • Nom : entrez un nom. Evitez de saisir des informations confidentielles.

      • Créer dans le compartiment : sélectionnez le compartiment dans lequel créer la passerelle d'appairage local.

      • Balisage : (facultatif) ajoutez des balises à cette ressource. Les balises peuvent également être appliquées ultérieurement. Pour plus d'informations sur les ressources de balisage, reportez-vous à Balises de ressource.

    6. Sélectionnez Créer une passerelle d'appairage local.

      La passerelle d'appairage local est désormais prête pour la connexion des réseaux cloud virtuels avec l'établissement d'une connexion d'appairage et pour l'ajout de règles de routage ou de paramètres de sécurité.

  • Utilisez la commande oci network local-peering-gateway create et les paramètres requis pour créer une nouvelle passerelle d'appairage local (LPG) pour le VCN spécifié.

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    Pour obtenir la liste complète des commandes, des indicateurs et des options d'interface de ligne de commande, reportez-vous à Référence de ligne de commande.

  • Utilisez l'opération CreateLocalPeeringGateway pour créer une passerelle d'appairage local (LPG) pour le VCN spécifié.

    Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.