Remarques :
- Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction à Oracle Cloud Infrastructure Free Tier.
- Il utilise des exemples de valeurs pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.
Configurer la connexion RPC entre deux locataires et leurs passerelles de routage dynamique
Introduction
Dans un environnement Oracle Cloud Infrastructure (OCI) colocatif, il est essentiel de permettre une communication sécurisée et efficace entre les différents locataires pour les architectures de réseau hybrides et distribuées. Pour ce faire, vous pouvez configurer une connexion d'appairage à distance (RPC) entre deux locataires et les passerelles de routage dynamique (DRG) correspondantes.
Objectifs
- Configurez un RPC entre deux passerelles de routage dynamique dans des locataires OCI distincts, ce qui garantit une connectivité transparente entre les réseaux. À la fin, vous disposerez d'une configuration RPC fonctionnelle qui permet un flux de trafic sécurisé entre les locataires, ce qui vous aidera à créer des architectures colocatives robustes dans OCI.
Prérequis
-
Accès à deux locataires OCI : vous avez besoin de droits d'accès administrateur ou appropriés dans les deux locataires OCI pour configurer les composants réseau.
-
GDR dans les deux locataires : chaque locataire doit avoir un DRG déjà créé et attaché à un réseau cloud virtuel (VCN).
-
Compatibilité des régions : les passerelles de routage dynamique doivent se trouver dans les mêmes régions commerciales OCI ou dans des régions différentes qui prennent en charge RPC. Le service RPC inter-région est pris en charge, mais les deux régions doivent être accessibles. Le demandeur doit être abonné à la région Acceptateur.
-
Connectivité publique ou privée : déterminez si vous autorisez la communication sur des adresses IP privées et assurez-vous que des blocs CIDR de sous-réseau appropriés sont planifiés pour éviter les conflits.
-
Réseaux cloud virtuels et configuration de routage : les réseaux cloud virtuels des deux locataires doivent disposer de tables de routage et de listes de sécurité correctement configurées pour autoriser le trafic sur le RPC.
-
Stratégies d'appairage colocatif : assurez-vous que les stratégies Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) sont en place pour autoriser l'appairage DRG sur différents locataires OCI. Vous devrez peut-être définir des stratégies pour que les deux locataires établissent la confiance.
Tâche 1 : Détermination du demandeur et du locataire d'acceptation
Dans Oracle Cloud Infrastructure (OCI), lors de la configuration des communications inter-cloud ou du partage de ressources, il est essentiel de définir quel locataire est le demandeur et quel accepteur en termes de stratégies OCI IAM. Ces rôles sont régis par les stratégies OCI IAM, qui définissent les droits d'accès pour les utilisateurs, les groupes et les compartiments.
En définissant clairement les rôles de demandeur et d'accepteur dans les stratégies OCI IAM, vous assurez que les droits d'accès sont correctement configurés pour permettre un accès sécurisé et contrôlé aux ressources dans les locataires et les compartiments OCI. Les deux locataires doivent travailler ensemble pour s'assurer que les droits d'accès appropriés sont accordés et que les stratégies OCI IAM sont définies de manière à respecter les meilleures pratiques de sécurité.
-
Locataire du demandeur : le demandeur est le locataire OCI (ou le compartiment spécifique au sein d'un locataire) qui lance une demande d'accès aux ressources à partir d'un autre locataire ou compartiment OCI. Les stratégies OCI IAM du demandeur doivent accorder les droits d'accès nécessaires pour accéder aux ressources de l'accepteur. Par exemple, le demandeur peut avoir besoin de créer une stratégie qui permet à ses utilisateurs d'accéder à une ressource dans le locataire Acceptor.
Le demandeur doit également s'assurer que les rôles OCI IAM appropriés sont affectés aux utilisateurs ou aux groupes qui effectuent la demande.
-
Locataire d'acceptation : l'accepteur est le locataire OCI (ou le compartiment) qui reçoit la demande d'accès et accorde les droits d'accès nécessaires au demandeur. Les stratégies OCI IAM de l'accepteur doivent définir les actions que le demandeur peut effectuer et les ressources auxquelles il peut accéder. Les stratégies de l'accepteur doivent également spécifier les utilisateurs ou les groupes autorisés à accepter ces demandes, en veillant à ce que l'accès soit géré de manière sécurisée.
En plus d'accorder l'accès, l'accepteur doit configurer les stratégies OCI IAM pour indiquer ce que le demandeur est autorisé à faire, en veillant à ce que les principes de portée et de moindre privilège soient respectés.
L'image suivante montre un exemple de deux locataires connectés l'un à l'autre avec RPC où l'un d'eux est défini comme demandeur (REQ) et l'autre comme accepteur (ACC).
Tâche 2 : abonner la région d'acceptation à la région de demandeur
Dans le contexte de la configuration de RPC entre deux locataires OCI, le demandeur doit être abonné à la région Locataires de l'accepteur, tandis que l'accepteur n'a pas besoin d'être abonné à la région Demandeur. Voici pourquoi :
Pourquoi le demandeur doit-il être abonné au locataire de l'accepteur :
-
Lancement de la communication : le locataire demandeur est l'entité qui lance le RPC en envoyant des demandes au locataire d'acceptation. Pour permettre cette communication, le demandeur doit être abonné à l'accepteur, ce qui lui permet de reconnaître et de se connecter au réseau et aux services de l'accepteur.
-
Etablissement de la confiance et de la connectivité : en s'abonnant au locataire d'acceptation, le locataire de demandeur établit la confiance et la connectivité nécessaires pour interagir avec l'environnement de l'accepteur. L'abonnement garantit que le demandeur peut acheminer correctement le trafic et les demandes vers les services de l'accepteur via la connexion d'appairage.
Pourquoi l'accepteur n'a pas besoin d'être abonné au locataire demandeur :
-
Rôle passif de l'accepteur : le locataire de l'accepteur reçoit uniquement les demandes du locataire du demandeur ; il n'initie aucune communication. Comme l'accepteur répond uniquement aux demandes faites par le demandeur, il n'a pas besoin de s'abonner au demandeur. Il doit simplement être accessible et configuré pour gérer les demandes entrantes.
-
Communication unidirectionnelle : les RPC sont généralement configurés avec un flux de communication unidirectionnelle où le demandeur est l'initiateur. L'accepteur ne nécessite pas d'abonnement au locataire demandeur, car il n'a pas besoin d'initier ou de gérer les connexions sortantes.
En résumé, le demandeur doit s'abonner à l'accepteur pour lancer les connexions d'appairage à distance et établir la connectivité, tandis que l'accepteur doit uniquement être configuré pour répondre aux demandes et ne nécessite pas d'abonnement au locataire du demandeur.
L'image suivante présente un exemple de la console OCI Requestors. Notez que le demandeur est abonné à la région Acceptors.
L'image suivante présente un exemple de la console OCI des accepteurs. Notez que les accepteurs ne sont pas abonnés à la région Requestors.
Tâche 3 : rassembler les paramètres requis
Collectez les paramètres requis afin de créer la stratégie OCI IAM pour le demandeur et l'accepteur. Le tableau suivant présente les champs requis dans la stratégie OCI IAM pour les locataires Acceptor et Requestor lors de la configuration de l'accès à l'appel de procédure à distance dans OCI :
Informations requises | Locataire demandeur | Locataire de l'accepteur |
---|---|---|
OCID de location | X | X |
Nom de groupe | X | |
OCID de groupe | X | |
Nom de compartiment | X | X |
Assurez-vous que ces informations sont collectées des deux côtés avant de créer la stratégie OCI IAM.
Tâche 4 : création et configuration de la stratégie OCI IAM côté demandeur et côté accepteur
La documentation officielle sur la stratégie OCI IAM permettant de faire fonctionner RPC est disponible ici : Appairage à distance avec un DRG mis à niveau.
Lorsque vous examinez les stratégies, vous constatez que dans la stratégie OCI IAM pour le demandeur, certaines informations sont requises par l'accepteur et que pour la stratégie OCI IAM de l'accepteur, certaines informations sont requises par le demandeur. Cela rend parfois déroutant la création des stratégies, et si les stratégies ne sont pas correctes, le RPC ne s'affichera pas et le dépannage sera difficile.
Pour résoudre ce problème, nous avons créé l'outil de stratégie RPC IAM. Il existe d'autres architectures réseau RPC disponibles, mais l'outil de stratégie RPC IAM ne peut être utilisé que si vous essayez de créer un RPC entre deux locataires OCI différents où chaque locataire dispose de son propre DRG.
Dans l'image suivante, vous voyez le formulaire que l'outil de stratégie RPC IAM vous fournira pour insérer tous les détails requis. Le formulaire demande des informations supplémentaires réellement requises, mais il est recommandé d'avoir toutes les informations au même endroit avant de commencer à configurer les stratégies RPC et OCI IAM côté accepteur et côté demandeur.
Les informations et paramètres du demandeur sont marqués avec la couleur rouge et les informations et paramètres de l'accepteur sont marqués avec la couleur bleue.
L'image suivante montre un exemple de toutes les informations renseignées. Renseignez tous les champs obligatoires et cliquez sur Soumettre.
L'outil générera les informations suivantes :
- Diagramme avec les paramètres que vous avez utilisés pour mettre les choses en perspective.
- Tableau contenant tous les paramètres que vous avez utilisés (vous pouvez effectuer une capture d'écran ou copier-coller dans vos notes pour référence ultérieurement).
- Stratégie OCI IAM pour le demandeur.
- Stratégie OCI IAM pour l'accepteur.
Tâche 4.1 : création et configuration de la stratégie OCI IAM côté demandeur
-
Connectez-vous à la console OCI, accédez à Identité et sécurité et cliquez sur Stratégies.
-
Veillez à sélectionner le compartiment racine et à cliquer sur Créer une stratégie.
-
Entrez les informations ci-après, puis cliquez sur Créer.
- Entrez le nom et la description de la stratégie.
- Sélectionnez Afficher l'éditeur manuel.
- Copiez/collez les instructions de stratégie pour le côté demandeur dans la stratégie.
Lorsque vous créez la stratégie, les instructions de stratégie configurées sont affichées.
Lorsque vous revenez à la page de présentation de la stratégie, celle-ci est configurée.
Tâche 4.2 : création et configuration de la stratégie OCI IAM côté accepteur
-
Connectez-vous à la console OCI, accédez à Identité et sécurité et cliquez sur Stratégies.
-
Veillez à sélectionner le compartiment racine et à cliquer sur Créer une stratégie.
-
Entrez les informations ci-après, puis cliquez sur Créer.
- Entrez le nom et la description de la stratégie.
- Sélectionnez Afficher l'éditeur manuel.
- Copiez/collez les instructions de stratégie pour le côté demandeur dans la stratégie.
Lorsque vous créez la stratégie, les instructions de stratégie configurées sont affichées.
Lorsque vous revenez à l'aperçu de la stratégie, celle-ci est configurée.
Tâche 5 : configuration des pièces jointes DRG sur le DRG côté demandeur et côté accepteur
Nous devons créer un RPC côté demandeur et côté accepteur.
Tâche 5.1 : créer un RPC côté demandeur
-
Accédez à la console OCI, accédez à Fonctions de réseau et cliquez sur Passerelles de routage dynamique.
-
Cliquez sur Attachements de connexion d'appairage à distance et sur Créer une connexion d'appairage à distance.
-
Entrez le nom et cliquez sur Créer une connexion d'appairage à distance.
Tâche 5.2 : création de RPC côté accepteur
-
Accédez à la console OCI, accédez à Fonctions de réseau et cliquez sur Passerelles de routage dynamique.
-
Cliquez sur Attachements de connexion d'appairage à distance et sur Créer une connexion d'appairage à distance.
-
Entrez le nom et cliquez sur Créer une connexion d'appairage à distance.
-
Collectez l'OCID RPC du côté de l'accepteur, car nous devons utiliser cet OCID pour établir la connexion RPC du côté du demandeur.
Tâche 6 : établir la connexion côté demandeur
-
Accédez à la console OCI côté demandeur, accédez à Fonctions de réseau, à Passerelles de routage dynamique et cliquez sur Attachements de connexion d'appairage à distance.
-
Cliquez sur la connexion d'appairage à distance (configurée pour le côté accepteur) créée dans la tâche 5.
-
Cliquez sur Définir la connexion.
-
Entrez les informations ci-après et cliquez sur Etablir une connexion.
- Sélectionnez la région de l'accepteur.
- Collez l'OCID RPC collecté dans la tâche 5.
Si le demandeur est abonné à la région Accepteur et que les stratégies OCI IAM appropriées sont configurées et que l'OCI RPC appropriée, le statut de l'appairage doit passer à Appairé côté demandeur.
Vous pouvez cliquer sur RPC pour consulter des informations supplémentaires sur l'appairage.
- Notez que le statut de l'homologue est Appairé.
- Notez que la région homologue est Jeddah.
- Notez qu'il s'agit d'un appairage entre locations.
-
Nous pouvons également vérifier le statut d'appairage côté accepteur.
-
Accédez à la console OCI du côté de l'accepteur, accédez à Fonctions de réseau, à Passerelles de routage dynamique et cliquez sur Attachements de connexion d'appairage à distance.
-
Cliquez sur la connexion d'appairage à distance configurée pour le côté demandeur.
-
Notez que le statut de l'appairage est également défini sur Appairé côté accepteur.
Vous pouvez cliquer sur RPC pour consulter des informations supplémentaires sur l'appairage.
- Notez que le statut de l'homologue est Appairé.
- Notez que la région homologue est Riyadh.
- Notez qu'il s'agit d'un appairage entre locations.
-
Tâche 7 : concevoir des architectures RPC avec trois locataires ou plus
Il est également possible de créer des connexions RPC entre plus de deux sites ou locataires.
-
Dans l'image suivante, vous pouvez voir que nous avons utilisé trois locataires différents :
- OCI Riyad (demandeur)
- OCI Jeddah (Accepteur)
- OCI Dubai (Accepteur)
Dans cet exemple, Riyad sera une sorte de site hub qui agira en tant que demandeur pour deux accepteurs.
-
Dans l'image suivante, vous pouvez voir que nous avons utilisé trois locataires différents :
- OCI Riyad (demandeur)
- OCI Jeddah (demandeur + accepteur)
- OCI Dubai (Accepteur)
Dans cet exemple, Riyad sera le demandeur de Djeddah et Djeddah sera le demandeur de Dubaï.
-
Dans l'image suivante, vous pouvez voir que nous avons utilisé trois locataires différents :
- OCI Riyad (demandeur + accepteur)
- OCI Jeddah (Accepteur)
- OCI Dubai (demandeur)
Dans cet exemple, Riyad sera le demandeur de Djeddah et l'accepteur de Dubaï.
Conclusion
La configuration d'un RPC entre deux locataires OCI nécessite une planification minutieuse, une configuration précise et les stratégies OCI IAM appropriées. En suivant ce tutoriel étape par étape, vous avez établi avec succès un RPC sécurisé et fonctionnel entre deux passerelles de routage dynamique dans des locataires distincts. Cette connexion permet une communication transparente entre les réseaux, un composant crucial pour la création d'architectures OCI évolutives et colocatives.
Pour simplifier le processus et éliminer les erreurs de stratégie potentielles, l'outil de stratégie RPC IAM offre un moyen facile de générer les stratégies OCI IAM requises pour les locataires demandeur et accepteur. Veiller à ce que vos stratégies, pièces jointes DRG et abonnements régionaux soient correctement configurés garantit une configuration d'appairage fluide.
Au-delà des configurations RPC de base, la conception d'architectures colocatives avec trois locataires ou plus ajoute davantage de flexibilité et d'évolutivité à votre réseau OCI. Comprendre le rôle de chaque locataire, que ce soit en tant que demandeur, accepteur ou les deux, vous permet de créer des environnements robustes et interconnectés qui prennent en charge efficacement les charges de travail hybrides et distribuées.
En tirant parti des fonctionnalités de mise en réseau d'OCI, vous pouvez créer des architectures inter-locataires sécurisées, évolutives et hautes performances qui correspondent aux meilleures pratiques de mise en réseau d'entreprise. Si vous rencontrez des problèmes, la révision des stratégies OCI IAM et des configurations DRG constitue une excellente première étape dans le dépannage.
Grâce à ces connaissances, vous êtes désormais bien équipé pour établir et développer des connexions RPC dans Oracle Cloud Infrastructure afin de répondre aux exigences réseau de votre organisation.
Remerciements
- Auteur - Iwan Hoogendoorn (Spécialiste réseau OCI)
Ressources de formation supplémentaires
Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.
Pour obtenir la documentation produit, consultez le site Oracle Help Center.
Set up RPC Connection between Two Tenants and their Dynamic Routing Gateways
G30589-02
Copyright ©2025, Oracle and/or its affiliates.