Remarques :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction à Oracle Cloud Infrastructure Free Tier.
• Il utilise des exemples de valeurs pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Configuration du routage par ressource dans Oracle Cloud Infrastructure

Introduction

Le routage par ressource fait référence à la possibilité de définir des règles de routage directement sur une carte d'interface réseau virtuelle spécifique ou sur une adresse IP individuelle associée à cette carte d'interface réseau virtuelle. Cela offre un contrôle de routage amélioré adapté à chaque ressource dans un seul sous-réseau, dans le cas où elles ont des exigences différentes, plutôt que de compter uniquement sur la table de routage au niveau du sous-réseau. Cela permet aux entreprises d'optimiser le trafic réseau et d'assurer de meilleures performances en acheminant les données vers la ressource de destination appropriée en fonction de la source.

Avec le routage par ressource, les utilisateurs d'Oracle Cloud Infrastructure (OCI) peuvent configurer des stratégies de routage qui s'appliquent à des ressources individuelles, garantissant ainsi que le trafic est dirigé de manière à prendre en charge de manière optimale l'architecture de l'application. Il améliore le contrôle du réseau, ce qui facilite la gestion des environnements cloud complexes. Cette méthode de routage aide à améliorer le flux de trafic en définissant comment le trafic doit être acheminé vers des ressources spécifiques.

Objectifs

Dans ce tutoriel, nous vous fournirons une compréhension complète du routage par ressource dans OCI.

• Comprendre le concept de routage par ressource : découvrez comment les stratégies de routage peuvent être appliquées à des ressources OCI spécifiques pour une meilleure gestion du trafic et une meilleure optimisation des performances.

• Configuration de règles de routage : bénéficiez d'une expérience pratique de la création et de la configuration de règles de routage par ressource dans OCI pour diriger efficacement le trafic réseau vers différentes ressources en fonction de la carte d'interface réseau virtuelle source.

Prérequis

• Accès à une location OCI et droits d'accès permettant de gérer les services de réseau, de calcul et de stockage requis.

• Compréhension de base du routage et de la sécurité du réseau OCI et de leurs fonctionnalités : réseau cloud virtuel (VCN), table de routage, liste de sécurité et service Bastion. De plus, certaines connaissances sur les stratégies et les groupes dynamiques Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) seront utiles.

• Consultez les documents suivants pour mieux comprendre le routage OCI, en mettant l'accent sur le routage par ressource. Cela fournira un contexte précieux avant de passer à la mise en œuvre pratique.

  • Tables de routage de réseau cloud virtuel.
  • Annonce du routage par ressource pour OCI Networking.
  • Amélioration du contrôle du trafic avec le routage basé sur la source dans OCI.

Remarque : chaque exemple est préparé indépendamment l'un de l'autre. Vous pouvez travailler dessus dans n'importe quel ordre.

Exemple 1 : inspection du trafic Internet pour une seule machine virtuelle via le pare-feu réseau OCI

Exemples d'objectifs :

Dans cet exemple, nous mettons l'accent sur le routage du trafic Internet sortant d'une machine virtuelle spécifique via un pare-feu réseau OCI pour l'inspecter et le sécuriser avant qu'il n'atteigne la passerelle NAT, et contourner le pare-feu de la deuxième machine virtuelle du même sous-réseau. Sans routage par ressource, vous devrez placer chaque instance dans un sous-réseau différent pour réaliser ce scénario.

Exemples de prérequis :

Configurez certains composants essentiels pour les aligner sur cette conception. Il s'agit essentiellement de deux instances de calcul dans un sous-réseau privé, en plus d'un pare-feu réseau dans un sous-réseau distinct dans le même VCN.

• Créez un réseau cloud virtuel (par exemple, MyVCN (192.168.0.0/16)). Pour plus d'informations, reportez-vous à Création d'un VCN.

• Créez deux sous-réseaux privés. Pour plus d'informations, reportez-vous à Création d'un sous-réseau.

  • Application-Private-Subnet (192.168.0.0/24) : dans ce tutoriel, nous affectons la table de routage et la liste de sécurité par défaut au sous-réseau.
  • Firewall-Private-Subnet (192.168.1.0/24).

• Créez une passerelle NAT dans un VCN. Une passerelle NAT permet aux ressources cloud sans adresse IP publique d'accéder à Internet, en fournissant uniquement une connectivité sortante sans exposition aux connexions Internet entrantes. Pour plus d'informations, reportez-vous à Création d'une passerelle NAT.

• Créez deux instances de calcul Linux-VM-1 et Linux-VM-2. Pour plus d'informations, reportez-vous à Tâche 2 : provisionnement d'une instance OCI Compute. Tenez compte des points suivants :

  • Nom de chaque instance OCI Compute.
  • Utilisez Oracle Linux comme système d'exploitation (O/S).
  • Placez les deux instances dans Application-Private-Subnet et affectez les adresses IP manuellement, conformément à la conception.
  • Activez le module d'extension OCI Bastion.

• Créez un service OCI Bastion et une session. Vous en aurez besoin pour accéder en toute sécurité aux instances puisqu'elles résident dans un sous-réseau privé, puis effectuez un test à la fin de la configuration. Tenez compte des différences, telles que le réseau cible et l'instance, en fonction des composants que vous avez créés pour ce tutoriel. Pour plus d'informations, reportez-vous à Tâche 6.1 : accès à l'instance de calcul FE-VM à l'aide du bastion et du test.

• Provisionner une solution de pare-feu peut être :

  • Un pare-feu OCI (nous l'utilisons dans le tutoriel).
  • Instance de pare-feu tierce (FortiGate, Palo Alto, etc.). Un autre bon exemple est le pare-feu pfSense. Pour effectuer l'installation, reportez-vous à Tâche 3 : installation et configuration du pare-feu pfSense.
  • Toute instance de pare-feu Linux.

Tâche 1 : préparation du pare-feu réseau OCI pour inspecter le trafic de Linux-VM-2 vers Internet

• Avec la liste de sécurité par défaut, nous permettons à tout le trafic de passer par le pare-feu pour une évaluation approfondie, ce qui garantit un contrôle total sur celui-ci avec le pare-feu au lieu des règles de sécurité OCI, y compris l'autorisation, le refus ou la surveillance via les services d'identité.
• Table de routage par défaut pour MyVCN : vide, non utilisé.
• Avec la table de routage de sous-réseau de pare-feu, nous acheminons l'ensemble du trafic vers Internet (à sens unique) via la passerelle NAT.
• Avec Table de routage NAT, pour acheminer le trafic de réponse provenant d'Internet vers le pare-feu à inspecter avant de le renvoyer à la source (Linux-VM-2).

Tâche 1.1 : configuration du routage et de la sécurité du sous-réseau de pare-feu

• Connectez-vous à la console OCI, accédez à la page Détails du réseau cloud virtuel.

  

• Défiler vers le bas.

  1. Cliquez sur Listes de sécurité.
  2. Cliquez sur la liste de sécurité par défaut.

  

  1. Autoriser tout le trafic entrant.
  2. Autoriser tout le trafic sortant.

  

  1. Accédez à la page Détails du réseau cloud virtuel.
  2. Défiler vers le bas.
  3. Cliquez sur Tables de routage.
  4. Cliquez sur Créer une table de routage.

  

  1. Entrez le nom de la table de routage.
  2. Cliquez sur + Autre règle de routage.

  

• Dans Règle, entrez les informations suivantes.

  1. Dans Type de cible, sélectionnez Passerelle NAT.
  2. Dans Bloc CIDR de destination, entrez 0.0.0.0/0.
  3. Dans Passerelle NAT cible, sélectionnez la passerelle NAT créée dans Prérequis.
  4. Cliquez sur Créer.

  

• Le fichier Firewall Subnet Route Table a été créé.

  

• Désormais, affectons la table de routage au sous-réseau de pare-feu. Accédez à la page Détails du réseau cloud virtuel.

  1. Cliquez sur Sous-réseaux.
  2. Cliquez sur Pare-feu-Sous-réseau privé.

  

• Cliquez sur Modifier.

  

  1. Utilisez la table de routage créée ci-dessus.
  2. Cliquez sur Enregistrer les modifications.

  

• La table de routage a été modifiée.

  

Dans cette tâche, nous avons créé et affecté une table de routage au niveau du sous-réseau, ce qui signifie que toutes les ressources déployées dans ce sous-réseau seront régies par les règles de routage définies.

Tâche 1.2 : création et affectation d'une table de routage de passerelle NAT

• Veillez à créer une passerelle NAT avant de continuer. Accédez à la page Détails du réseau cloud virtuel.

  1. Cliquez sur Tables de routage.
  2. Cliquez sur Créer une table de routage.

  

  1. Entrez le nom de la table de routage.
  2. Cliquez sur +Another Règle de routage.

  

• Dans Règle, entrez les informations suivantes.

  1. Dans Type de cible, sélectionnez Adresse IP privée.
  2. Dans Type de destination, entrez 192.168.0.0/24, qui est le CIDR de sous-réseau privé d'application, qui contient la machine virtuelle source.
  3. Dans Sélection de cible, entrez l'adresse IP privée du pare-feu 192.168.1.100.
  4. Cliquez sur Créer.

  

• Le fichier NAT Route Table a été créé.

  

• Affectons la table de routage à la passerelle NAT. Accédez à la page Détails du réseau cloud virtuel.

  1. Cliquez sur Passerelles NAT.
  2. Cliquez sur les trois points de la passerelle à droite.
  3. Cliquez sur Associer la table de routage.

  

  1. Sélectionnez Table de routage NAT.
  2. Cliquez sur Associer la table de routage.

  

• La table de routage a été associée.

  

Tâche 1.3 : activer les journaux de pare-feu et vérifier la stratégie

Remarque : dans ce tutoriel, nous utilisons OCI Network Firewall, mais vous pouvez répliquer le même scénario avec n'importe quel pare-feu tiers.

• Accédez à la page Détails du pare-feu réseau.

  

• Défiler vers le bas.

  1. Cliquez sur Journaux.
  2. Activez Journal de trafic (le journal de trafic fournit des détails sur le trafic passant par le pare-feu).

  

  1. Sélectionnez Groupe de journaux. Si vous n'en avez pas, créez-en un.
  2. Saisissez Nom de journal.
  3. Cliquez sur Activer le journal.

  

  1. Le journal du trafic a été activé.
  2. Cliquez sur la stratégie de pare-feu réseau associée.

  

• Nous utilisons la stratégie network_firewall_policy_v1.

  

• Faites défiler l'affichage vers le bas et vérifiez la configuration existante de la stratégie.

  1. Cliquez sur Règles de sécurité.
  2. Cliquez sur les trois points à droite de la règle IPS_VM2_Internet.
  3. Cliquez sur Visualiser les détails.

  

• Notez les détails de la règle de sécurité utilisée.

  1. Tout trafic provenant de Linux-VM-2 vers n'importe où, quel que soit le protocole ou le port utilisé.
  2. Utilisez Prévention des intrusions en tant qu'action de règle pour surveiller le trafic à la recherche d'activités malveillantes. Consignez les informations, établissez des rapports sur l'activité ou bloquez cette dernière.

  

Tâche 2 : créer des tables de routage personnalisées

• Accédez à la page Détails du réseau cloud virtuel.

  

• Défiler vers le bas.

  1. Cliquez sur Tables de routage.
  2. Notez que nous avons une table de routage par défaut qui est créée automatiquement avec le VCN. Cette table est affectée à Application-Private-Subnet et toutes les machines virtuelles du sous-réseau l'utiliseront (dans cet exemple, cette table de routage est vide).
  3. Cependant, pour ce tutoriel, nous allons créer des tables de routage personnalisées et affecter chacune d'entre elles à la VNIC de sa machine virtuelle respective. Cette méthode offre un contrôle plus précis du routage, évitant ainsi toute dépendance à la table de routage du sous-réseau. Cliquez sur Créer une table de routage.

  

• Créez la deuxième table (Custom Route Table 1), qui sera affectée à Linux-VM-1 afin d'acheminer le trafic vers la passerelle NAT directement sans inspecter le trafic via le pare-feu.

  1. Entrez le nom de la table de routage.
  2. Cliquez sur +Another Règle de routage.

  

• Dans Règle, entrez les informations suivantes.

  1. Dans Type de cible, sélectionnez Passerelle NAT.
  2. Dans Bloc CIDR de destination, entrez 0.0.0.0/0.
  3. Dans Passerelle NAT cible, sélectionnez la passerelle NAT créée dans Prérequis
  4. Cliquez sur Créer.

  

• Le fichier Custom Route Table 1 a été créé.

  

• Pour créer la deuxième table (Custom Route Table 2), cliquez sur Créer une table de routage.

  

• Custom Route Table 2 sera affecté à Linux-VM-2 afin d'acheminer le trafic vers le pare-feu à inspecter avant de l'envoyer à la passerelle NAT.

  1. Entrez le nom de la table de routage.
  2. Cliquez sur +Another Règle de routage.

  

• Dans Règle, entrez les informations suivantes.

  1. Dans Type de cible, sélectionnez Adresse IP privée.
  2. Dans Bloc CIDR de destination, entrez 0.0.0.0/0.
  3. Dans Sélection de cible, entrez l'adresse IP privée du pare-feu 192.168.1.100.
  4. Cliquez sur Créer.

  

• Le fichier Custom Route Table 2 a été créé.

  

Tâche 3 : affecter des tables de routage personnalisées aux cartes d'interface réseau virtuelles

• Commençons par Linux-VM-1.

  

  1. Par défaut, la carte d'interface réseau virtuelle de l'instance utilise la table de routage attachée au sous-réseau dans lequel réside la machine virtuelle. Dans ce tutoriel, il s'agit de Default Route Table for MyVCN. Notre objectif ici est de modifier la table de routage en Routage par ressource, où l'instance (VNIC) aura sa propre table de routage.
  2. Défiler vers le bas.
  3. Cliquez sur VNIC attachées.
  4. Cliquez sur les trois points à droite de la carte d'interface réseau virtuelle principale.
  5. Cliquez sur Modifier la carte d'interface réseau virtuelle.

  

  1. Par défaut, chaque carte d'interface réseau virtuelle utilise la table de routage associée au sous-réseau.
  2. Cliquez sur Sélectionner une table de routage personnalisée pour la carte d'interface réseau virtuelle.

  

  1. Dans Table de routage, sélectionnez Table de routage personnalisée 1.
  2. Notez que la table de routage par défaut ne sera pas prise en compte lors des décisions de routage une fois que vous aurez enregistré votre configuration ici.
  3. Cliquez sur Enregistrer les modifications.

  

• Custom Route Table 1 est affecté à la carte d'interface réseau virtuelle principale de Linux-VM-1.

  

• A présent, affectez-la à Linux-VM-2.

  

  1. Par défaut, la carte d'interface réseau virtuelle d'instance utilise la table de routage attachée au sous-réseau dans lequel réside la machine virtuelle. Dans ce tutoriel, il s'agit de Default Route Table for MyVCN. Notre objectif ici est de remplacer la table de routage par Routage par ressource, où l'instance (VNIC) aura sa propre table de routage.
  2. Défiler vers le bas.
  3. Cliquez sur VNIC attachées.
  4. Cliquez sur les trois points à droite de la carte d'interface réseau virtuelle principale.
  5. Cliquez sur Modifier la carte d'interface réseau virtuelle.

  

  1. Par défaut, chaque carte d'interface réseau virtuelle utilise la table de routage associée au sous-réseau.
  2. Cliquez sur Sélectionner une table de routage personnalisée pour la carte d'interface réseau virtuelle.

  

  1. Dans Table de routage, sélectionnez Table de routage personnalisée 2.
  2. Notez que la table de routage par défaut ne sera pas prise en compte lors des décisions de routage une fois que vous aurez enregistré votre configuration ici.
  3. Cliquez sur Enregistrer les modifications.

  

• Custom Route Table 2 est affecté à la carte d'interface réseau virtuelle principale de Linux-VM-2.

  

Tâche 4 : tester et valider

• Test 1 : test de Linux-VM-1 sur l'accès Internet sans inspection de pare-feu

  • Connectez-vous à Linux-VM-1.

    Remarque : nous avons utilisé le service OCI Bastion pour accéder à l'instance, car elle se trouve dans un sous-réseau privé. Vous pouvez utiliser n'importe quelle autre méthode, telle qu'une boîte de saut traditionnelle (Windows, Linux), un VPN site à site ou d'autres alternatives.

  • Ping 8.8.8.8, qui est l'adresse IP publique du serveur DNS de Google. Selon la configuration que nous avons configurée, le trafic passe directement par la passerelle NAT sans être inspecté par le pare-feu.

    

  • Accédez à la page Détails du pare-feu réseau.

    1. Cliquez sur Journaux.
    2. Cliquez sur le nom du journal.

    

  • Configurez le filtre pour vérifier le trafic ping dans le test précédent.

    1. L'adresse IP de Linux-VM-1 est 192.168.0.10.
    2. Protocole est ICMP.
    3. Cliquez sur Rechercher.
    4. Aucun indicateur n'indique que le trafic de Linux-VM-1 passe par le pare-feu, ce qui est le résultat attendu car nous avons configuré la table de routage personnalisée pour acheminer le trafic directement vers la passerelle NAT.

    

• Test 2 : Test de Linux-VM-2 vers l'accès Internet avec l'inspection par pare-feu

  • Connectez-vous à Linux-VM-2.

    Remarque : nous avons utilisé le service OCI Bastion pour accéder à l'instance, car elle se trouve dans un sous-réseau privé. Vous pouvez utiliser n'importe quelle autre méthode, telle qu'une boîte de saut traditionnelle (Windows, Linux), un VPN site à site ou d'autres alternatives.

  • Ping 8.8.8.8, qui est l'adresse IP publique du serveur DNS de Google. Selon la configuration que nous avons configurée, le trafic est acheminé via la passerelle NAT après avoir été inspecté par le pare-feu.

    

  • Accédez à la page Détails du pare-feu réseau.

    1. Cliquez sur Journaux.
    2. Cliquez sur le nom du journal.

    

  • Configurez le filtre pour vérifier le trafic ping dans le test précédent.

    1. L'adresse IP de Linux-VM-2 est 192.168.0.20.
    2. Protocole est ICMP.
    3. Cliquez sur Rechercher.

    

  • Vous pouvez voir à partir des journaux que le trafic vers Internet a traversé le pare-feu.

    1. Adresse IP de destination est 8.8.8.8.
    2. Protocole est ICMP.
    3. L'adresse IP source est 192.168.0.20.

    

  Cela montre comment nous avons réussi à donner à chaque machine virtuelle une configuration de routage différente avec le routage par ressource, même s'ils se trouvent dans le même sous-réseau, ce qui fournit un contrôle affiné du flux de trafic et optimise la gestion réseau.

Exemple 2 : trafic Internet distinct du trafic Oracle Services Network uniquement

Exemples d'objectifs :

Dans cet exemple, nous allons montrer comment deux ressources d'un même sous-réseau peuvent être configurées avec des acheminements différents, en dirigeant le trafic vers le réseau de services Oracle et vers Internet via des passerelles distinctes. Linux-VM-1 nécessite uniquement l'accès au réseau de services Oracle, en particulier OCI Object Storage sans routage via l'Internet public, limité au centre de données Oracle Jeddah, tandis que Linux-VM-2 nécessite un accès Internet sortant, ce qui signifie l'accès à toute adresse IP publique, y compris celles du réseau de services Oracle. Sans routage par ressource, vous devrez placer chaque instance dans un sous-réseau différent pour réaliser ce scénario.

Exemples de prérequis :

Configurez certains composants essentiels pour les aligner sur cette conception. Il s'agit essentiellement de deux instances de calcul dans un sous-réseau privé.

• Créez un réseau cloud virtuel (par exemple, MyVCN (192.168.0.0/16)). Pour plus d'informations, reportez-vous à Création d'un VCN.

• Création d'un sous-réseau privé. Pour plus d'informations, reportez-vous à Création d'un sous-réseau.

  • Application-Private-Subnet (192.168.0.0/24). Dans ce tutoriel, nous affectons la table de routage par défaut et la liste de sécurité par défaut au sous-réseau.

• Créez une passerelle NAT dans un VCN. Une passerelle NAT permet aux ressources cloud sans adresse IP publique d'accéder à Internet, en fournissant uniquement une connectivité sortante sans exposition aux connexions Internet entrantes. Pour plus d'informations, reportez-vous à Création d'une passerelle NAT.

• Créez une passerelle de service dans un VCN. Une passerelle de service permet à votre VCN d'accéder de façon privée à des services Oracle spécifiques sans exposer les données sur le réseau Internet public. Aucune passerelle Internet ou NAT n'est requise pour accéder à ces services spécifiques. Pour plus d'informations, reportez-vous à Création d'une passerelle de service.

• Créez deux instances de calcul Linux-VM-1 et Linux-VM-2. Pour plus d'informations, reportez-vous à Tâche 2 : provisionnement d'une instance OCI Compute. Tenez compte des points suivants :

  • Nom de chaque instance.
  • Utilisez Oracle Linux comme système d'exploitation.
  • Placez les deux instances dans le sous-réseau que vous avez créé précédemment et affectez les adresses IP manuellement conformément à la conception.
  • Activez le module d'extension OCI Bastion.

• Créez un service OCI Bastion et une session. Vous en aurez besoin pour accéder en toute sécurité aux instances puisqu'elles résident dans un sous-réseau privé, puis effectuez un test à la fin de la configuration. Tenez compte des différences, telles que le réseau cible et l'instance, en fonction des composants que vous avez créés pour ce tutoriel. Pour plus d'informations, reportez-vous à Tâche 6.1 : accès à l'instance de calcul FE-VM à l'aide du bastion et du test.

Tâche 1 : créer des tables de routage personnalisées

• Accédez à la console OCI.

  1. Accédez au VCN.
  2. Défiler vers le bas.
  3. Cliquez sur Tables de routage.
  4. Notez que nous avons une table de routage par défaut qui est créée automatiquement avec le VCN. Cette table est affectée à Application-Private-Subnet et toutes les machines virtuelles du sous-réseau l'utiliseront.

  

• Cependant, pour ce tutoriel, nous allons créer des tables de routage personnalisées et affecter chacune d'entre elles à la VNIC de sa machine virtuelle respective. Cette méthode offre un contrôle plus précis du routage, évitant ainsi toute dépendance à la table de routage du sous-réseau. Cliquez sur Créer une table de routage.

  

• Créez la première table (Custom Route Table 1), qui sera affectée à Linux-VM-1 pour acheminer le trafic via la passerelle de service, permettant ainsi la connectivité au réseau de services Oracle, en particulier pour accéder à OCI Object Storage.

  1. Entrez le nom de la table de routage.
  2. Cliquez sur +Another Règle de routage.

  

• Dans Règle, entrez les informations suivantes.

  1. Dans Type de cible, sélectionnez Passerelle de service.
  2. Dans Bloc CIDR de destination, sélectionnez Tous les services JED dans Oracle Services Network. Cela garantit l'accès à tous les services Oracle, y compris OCI Object Storage, que nous testerons à la fin. En outre, si vous utilisez OCI Bastion pour vous connecter aux machines virtuelles, vous devez sélectionner l'option Tous les services que nous avons mentionnée au lieu de la limiter à OCI Object Storage.
  3. Dans Passerelle de service cible, sélectionnez la passerelle de service créée dans Prérequis.
  4. Cliquez sur Créer.

  

• Le fichier Custom Route Table 1 a été créé.

  

• Pour créer la deuxième table (Custom Route Table 2), cliquez sur Créer une table de routage.

  

• Custom Route Table 2 sera affecté à Linux-VM-2 afin d'acheminer le trafic via la passerelle NAT, ce qui permet une connectivité unidirectionnelle vers Internet, y compris l'adresse OCI Object Storage.

  1. Entrez le nom de la table de routage.
  2. Cliquez sur +Another Règle de routage.

  

• Dans Règle, entrez les informations suivantes.

  1. Dans Type de cible, sélectionnez Passerelle NAT.
  2. Dans Bloc CIDR de destination, entrez 0.0.0.0/0.
  3. Dans Passerelle NAT cible, sélectionnez la passerelle NAT créée dans Prérequis.
  4. Cliquez sur Créer.

  

• Le fichier Custom Route Table 2 a été créé.

  

Tâche 2 : affecter des tables de routage personnalisées aux cartes d'interface réseau virtuelles

• Commençons par Linux-VM-1.

  

  1. Par défaut, la carte d'interface réseau virtuelle de l'instance utilise la table de routage attachée au sous-réseau dans lequel réside la machine virtuelle. Dans ce tutoriel, il s'agit de Default Route Table for MyVCN. Notre objectif ici est de modifier la table de routage en Routage par ressource, où l'instance (VNIC) aura sa propre table de routage.
  2. Défiler vers le bas.
  3. Cliquez sur VNIC attachées.
  4. Cliquez sur les trois points à droite de la carte d'interface réseau virtuelle principale.
  5. Cliquez sur Modifier la carte d'interface réseau virtuelle.

  

  1. Par défaut, chaque carte d'interface réseau virtuelle utilise la table de routage associée au sous-réseau.
  2. Cliquez sur Sélectionner une table de routage personnalisée pour la carte d'interface réseau virtuelle.

  

  1. Dans Table de routage, sélectionnez Custom Route Table 1.
  2. Notez que la table de routage par défaut ne sera pas prise en compte lors des décisions de routage une fois que vous aurez enregistré votre configuration ici.
  3. Cliquez sur Enregistrer les modifications.

  

• Custom Route Table 1 est affecté à la carte d'interface réseau virtuelle principale de Linux-VM-1.

  

• A présent, affectez-la à Linux-VM-2.

  

  1. Par défaut, la carte d'interface réseau virtuelle de l'instance utilise la table de routage attachée au sous-réseau dans lequel réside la machine virtuelle. Dans ce tutoriel, il s'agit de Default Route Table for MyVCN. Notre objectif ici est de modifier la table de routage en Routage par ressource, où l'instance (VNIC) aura sa propre table de routage.
  2. Défiler vers le bas.
  3. Cliquez sur VNIC attachées.
  4. Cliquez sur les trois points à droite de la carte d'interface réseau virtuelle principale.
  5. Cliquez sur Modifier la carte d'interface réseau virtuelle.

  

  1. Par défaut, chaque carte d'interface réseau virtuelle utilise la table de routage associée au sous-réseau.
  2. Cliquez sur Sélectionner une table de routage personnalisée pour la carte d'interface réseau virtuelle.

  

  1. Dans Table de routage, sélectionnez Custom Route Table 2.
  2. Notez que la table de routage par défaut ne sera pas prise en compte lors des décisions de routage une fois que vous aurez enregistré votre configuration ici.
  3. Cliquez sur Enregistrer les modifications.

  

• Custom Route Table 2 est affecté à la carte d'interface réseau virtuelle principale de Linux-VM-2.

  

Tâche 3 : création d'un bucket OCI Object Storage

Un bucket OCI Object Storage est un conteneur logique utilisé pour stocker et organiser des objets (fichiers et données) dans OCI.

• Accédez à la console OCI, cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.

  

  1. Cliquez sur Stockage.
  2. Cliquez sur Buckets.

  

• Cliquez sur Créer un bucket.

  

  1. Entrez le nom de bucket.
  2. Cliquez sur Créer.

  

• Le bucket Test-Bucket a été créé. Cliquez sur le bucket.

  

  

• Etant donné que le bucket est encore neuf, vous remarquerez qu'il est vide.

  

Tâche 4 : tester et valider

Tâche 4.1 : préparer les machines virtuelles pour qu'elles aient accès à Oracle Services Network

• Le principal d'instance est la capacité du service OCI IAM qui vous permet d'effectuer des appels de service à partir d'une instance. Nous utiliserons des principaux d'instance pour accéder à OCI Object Storage à partir d'une instance de calcul sans informations d'identification. Pour plus d'informations, reportez-vous à Appel de l'interface de ligne de commande OCI à l'aide du principal d'instance.

  Etapes à suivre :

  1. Créez un groupe dynamique (TestDG) pour inclure toutes les instances d'un compartiment spécifique (Linux-VM-1 et Linux-VM-2).

     Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaaaaacmshv5fxxxxxxxxxxxxxxxykxgy3qvetychowq'}
     

  2. Créez une stratégie OCI IAM.

     Allow dynamic-group TestDG to manage object-family in compartment AnasAbdallah
     

  Remarque : veillez à utiliser le nom de groupe dynamique, le nom de compartiment et l'OCID dans les stratégies ci-dessus.

• Répétez les étapes suivantes après vous être connecté aux deux instances, Linux-VM-1 et Linux-VM-2.

  • Exécutez la commande suivante pour installer l'interface de ligne de commande OCI sur Oracle Linux 8. Pour plus d'informations, reportez-vous à la section Installing the CLI.

    sudo dnf -y install oraclelinux-developer-release-el8
    sudo dnf install python36-oci-cli
    

  • Pour que l'interface de ligne de commande OCI vous guide tout au long du processus de configuration initiale, exécutez la commande oci setup config.

    

    1. Appuyez sur Entrée.
    2. Entrez l'OCID de nom utilisateur.
    3. Entrez l'OCID de location.
    4. Entrez l'index de région. Nous déployons cet environnement dans la région Djeddah, à savoir 49.
    5. Saisissez Y et appuyez sur Entrée.
    6. Appuyez sur Entrée.

    

    1. Appuyez sur Entrée.
    2. La clé d'API publique est enregistrée dans ce chemin. Nous l'utiliserons sous peu.
    3. Saisissez une nouvelle phrase de passe.
    4. Répétez la phrase de passe.

    

    1. Exécutez la commande cat /home/opc/.oci/oci_api_key_public.pem pour afficher la clé publique.
    2. Copiez la clé publique.

    

    1. Accédez à la console OCI et accédez à votre profil.
    2. Défiler vers le bas.
    3. Cliquez sur clés d'API.
    4. Cliquez sur Ajouter une clé d'API.

    

    1. Sélectionnez Coller une clé publique.
    2. Collez la clé publique,
    3. Cliquez sur Ajouter.

    

  • La clé d'API a été ajoutée.

    

Tâche 4.2 : tester l'accès Linux-VM-1 à Oracle Services Network

• Selon la configuration, Linux-VM-1 doit avoir accès à OCI Object Storage uniquement, sans accès Internet, et utilisera la passerelle de service.

  1. Pour vérifier le nom de l'espace de noms OCI Object Storage, exécutez la commande oci os ns get.
  2. Notez l'espace de noms tel que vous l'utiliserez dans la commande suivante.
  3. Exécutez la commande oci os object list --bucket-name <bucket-name> --namespace <namespace> pour répertorier les objets dans Test-Bucket.
  4. Le bucket est vide.

  

  Remarque : l'espace de noms OCI Object Storage sert de conteneur de niveau supérieur pour tous les buckets et objets de la location. Lors de la création du compte, un nom d'espace de noms OCI Object Storage unique, généré par le système et non mutable, est affecté à chaque location OCI.

  1. Créez un fichier texte nommé object1.txt et écrivez-y abc.
  2. Affiche le contenu du fichier.
  3. La sortie est abc.

  

  1. Pour télécharger object1.txt vers Test-Bucket, exécutez la commande oci os object put -ns <namespace> -bn <bucket-name> --file <file-path>.
  2. Le chargement est terminé.

  

• Pour vérifier si le fichier est téléchargé, accédez à la page Détails du bucket.

  

• Défiler vers le bas.

  1. Cliquez sur Objets.
  2. Le fichier object1.txt a été téléchargé vers Test-Bucket. Vous pouvez vérifier le contenu du fichier en le téléchargeant.

  

• Une autre chose à tester est la connectivité Internet à partir de Linux-VM-1.

  1. Ping 8.8.8.8, qui est l'adresse IP publique du serveur DNS de Google. Selon la configuration que nous avons configurée, Linux-VM-1 ne doit pas avoir de connectivité Internet.
  2. Comme vous le voyez, le ping échoue.

  

Tâche 4.3 : tester Linux-VM-2 pour accéder à Internet

• Selon la configuration, Linux-VM-2 doit disposer d'une connectivité Internet, ce qui inclut l'accès à OCI Object Storage, qui est effectué via la passerelle NAT. Bien que les deux machines virtuelles se trouvent dans le même sous-réseau, le routage par ressource leur permet d'utiliser des chemins réseau différents, ce qui est le concept clé derrière cette configuration.

  1. Pour vérifier le nom de l'espace de noms OCI Object Storage, exécutez la commande oci os ns get.
  2. Notez l'espace de noms tel que vous l'utiliserez dans la commande suivante.
  3. Exécutez la commande oci os object list --bucket-name <bucket-name> --namespace <namespace> pour répertorier les objets dans Test-Bucket.
  4. Le fichier object1.txt est stocké dans le bucket que nous avons téléchargé dans la tâche 4.2.

  

  Remarque : l'espace de noms OCI Object Storage sert de conteneur de niveau supérieur pour tous les buckets et objets de la location. Lors de la création du compte, un nom d'espace de noms OCI Object Storage unique, généré par le système et non mutable, est affecté à chaque location OCI.

  1. Créez un fichier texte nommé object2.txt et écrivez-y def.
  2. Affiche le contenu du fichier.
  3. La sortie est def.

  

  1. Pour télécharger object2.txt vers Test-Bucket, exécutez la commande oci os object put -ns <namespace> -bn <bucket-name> --file <file-path>.
  2. Le chargement est terminé.

  

• Pour vérifier si le fichier est téléchargé, accédez à Détails du bucket.

  

• Défiler vers le bas.

  1. Cliquez sur Objets.
  2. Le fichier object2.txt a été téléchargé vers Test-Bucket. Vous pouvez vérifier le contenu du fichier en le téléchargeant.

  

• Une autre chose à tester est la connectivité Internet à partir de Linux-VM-2.

  1. Ping 8.8.8.8, qui est l'adresse IP publique du serveur DNS de Google. Selon la configuration que nous avons configurée, Linux-VM-2 doit également disposer d'une connectivité Internet.
  2. Le ping a réussi.

  

Conclusion

Avec deux exemples techniques approfondis, ce tutoriel a montré comment le routage par ressource dans OCI fournit un contrôle précis du trafic réseau en permettant d'appliquer directement des tables de routage personnalisées à des cartes d'interface réseau virtuelles individuelles au sein du même sous-réseau. Il a également mis en évidence les principales différences entre le routage par ressource et les tables de routage traditionnelles au niveau du sous-réseau, en soulignant la flexibilité et l'efficacité que cette fonctionnalité apporte à la conception moderne du réseau cloud.

Remerciements

• Auteurs - Anas Abdallah (Spécialiste du réseau cloud), Sachin Sharma (Spécialiste du réseau cloud)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation produit, consultez le site Oracle Help Center.

---

Informations relatives au titre et au copyright

Configure Per-resource Routing in Oracle Cloud Infrastructure

G31564-02

Copyright ©2025, Oracle and/or its affiliates.