Comprendre les technologies de connexion

Lors de l'intégration entre une application de services Oracle Utilities Cloud et une application hébergée en externe, dans votre centre de données ou dans un centre de données tiers, vous pouvez choisir entre trois technologies de connectivité différentes, en fonction de vos exigences en matière de topologie et d'intégration.

Les technologies de connexion disponibles sont les suivantes :

• Oracle Cloud Infrastructure FastConnect
• IPsec VPN Connect
• Proxy inverse

Comprendre Oracle VPN Connect

Vous pouvez utiliser Oracle VPN Connect pour connecter votre réseau privé/entreprise à Oracle Cloud Infrastructure (OCI) via le réseau public Internet. Il fournit une communication sécurisée via un tunnel privé virtuel via le réseau Internet public entre les services Oracle Utilities Cloud sur OCI et l'application externe avec laquelle il s'intègre.

Des VPN séparés doivent être configurés pour chaque centre de données et chaque centre de données tiers que vous pouvez avoir besoin de connecter à OCI, pour l’intégration d’applications externes. Les clients doivent configurer VPN Connect. VPN Connect est un service gratuit, sans frais d'heure de port. Le coût du transfert de données est couvert par les tarifs Network Cloud.

Quand utiliser VPN Connect

Lorsque ces conditions existent, vous devez envisager d'utiliser VPN Connect :

• Lorsqu'une application externe qui doit être intégrée aux services Oracle Utilities Cloud se trouve dans votre réseau privé d'entreprise et que vous ne prévoyez pas d'exposer les API au réseau Internet public (sortant des applications de services Oracle Utilities Cloud) à partir de votre centre de données ou si votre application ne peut pas accéder au réseau Internet public (sortant aux services Oracle Utilities Cloud) mais doit être intégrée aux services Oracle Utilities Cloud.

  Lors de l'accès à des adresses/API privées d'application externe, vous devez disposer d'un intermédiaire sur Oracle Cloud Infrastructure, ainsi que de VPN Connect. Les services Oracle Utilities Cloud ne peuvent pas se connecter à des adresses IP privées pour la communication sortante depuis SaaS. Ils ont besoin d'une adresse IP publique à laquelle se connecter pour l'intégration.

• Lorsque des applications externes n'utilisent pas de certificats émis par l'autorité de certification et que vous prévoyez d'utiliser un proxy inverse configuré dans Oracle Cloud Infrastructure, et que l'application externe n'expose aucune API sur le réseau Internet public. VPN Connect peut être requis pour que le proxy inverse puisse se connecter à l'application externe à partir d'Oracle Cloud Infrastructure.
• Lorsque vous souhaitez un canal de communication sécurisé via le réseau Internet public pour l'intégration des services Oracle Utilities Cloud aux applications de votre centre de données ou de votre centre de données tiers.

Préparation à l'utilisation de VPN Connect

Avant d'implémenter VPN Connect pour intégrer des applications externes à Oracle SaaS, procédez comme suit :

• Comprenez les exigences et les tâches de configuration.
• Configurer le CPE (Customer Provided Equipment).
• Planifiez des redondances qui éviteront les temps d’arrêt coûteux du système.

Configuration d'IPSec VPN Connect

La configuration d'un réseau IPSec VPN Connect entre des applications externes et Oracle SaaS est un processus en plusieurs étapes qui peut être complexe, sauf si vous le comprenez parfaitement. Cette rubrique présente les étapes requises. Pour plus d'informations, reportez-vous à la section Configuration de VPN Connect, référencée dans "Avant d'utiliser VPN Connect".

1. Choisissez le type de routage qui convient le mieux à votre implémentation. Le VPN IPSec dispose de deux tunnels IPSec redondants. Vous devez configurer votre appareil CPE (Customer-Provided Equipment) pour utiliser les deux tunnels. Vous pouvez sélectionner l'un des deux types de routage suivants :
   • Routage dynamique BGP, avec lequel les routages disponibles sont appris dynamiquement via BGP.
   • Routage statique, avec lequel, lorsque vous configurez la connexion IPSec au groupe DRG, vous indiquez à votre réseau sur site les routes particulières que le VCN doit connaître.
   Pour plus d'informations sur le choix du type de routage, reportez-vous à "Routage du VPN IPSec Oracle", référencé dans "Avant d'utiliser VPN Connect".
2. Complétez le questionnaire dans Configuration de VPN Connect, référencé dans "Avant d'utiliser VPN Connect". Ces questions nécessitent des informations telles que le CIDR de votre VCN, l'adresse IP publique de votre appareil CPE, le type de routage que vous prévoyez d'utiliser et d'autres détails pertinents.
3. Configurez les composants VPN IPSec :
   1. Créez votre VCN.
   2. Créez un DRG.
   3. Associez le DRG à votre VCN.
   4. Créez une table de routage et une règle de routage pour le groupe DRG.
   5. Créez une liste de sécurité et les règles requises.
   6. Créez un sous-réseau dans le VCN.
   7. Créez un objet CPE et indiquez l'adresse IP publique de votre dispositif CPE.
   8. Créez une connexion IPSec à l'objet CPE et fournissez les informations de routage requises.
4. Utilisez l'application d'aide de configuration de CPE, qui générera les informations que l'ingénieur réseau utilisera lors de la configuration de l'appareil CPE. Pour plus d'informations, reportez-vous à Utilisation de l'aide de configuration de CPE et de la configuration de CPE, référencée dans "Avant d'utiliser VPN Connect".
5. Demandez à l'ingénieur réseau de configurer votre dispositif CPE.
6. Validez la connectivité.

Configurer un équipement fourni par le client

Les ingénieurs réseau requièrent des informations de base sur les interfaces internes et externes de votre appareil sur site, c'est-à-dire votre équipement fourni par le client ou votre CPE. Cela leur permettra de configurer ces périphériques sur site à votre extrémité du VPN IPSec afin que le trafic puisse circuler entre votre réseau sur site et le VCN.

Remarque :

Oracle a vérifié des logiciels spécifiques à utiliser avec VPN Connect. Toutefois, les énumérer ici ne sont pas couverts par ce guide. Vous pouvez voir cette liste dans Dispositifs CPE vérifiés, référencés dans "Avant d'utiliser VPN Connect".

L'ingénieur réseau devra effectuer les opérations suivantes :

1. Déterminez les exigences de routage. Oracle utilise un routage asymétrique sur les différents tunnels qui constituent la connexion VPN IPSec. Même si vous configurez un tunnel comme principal et un autre comme sauvegarde, le trafic de votre VCN vers votre réseau sur site peut utiliser n'importe quel tunnel "activé" sur votre appareil.

   Configurez les pare-feu en conséquence. Sinon, les tests ping ou le trafic d'application sur la connexion ne fonctionneront pas de façon fiable. Si vous utilisez un routage dynamique BGP avec votre VPN IPSec, vous pouvez configurer le routage de sorte qu'Oracle préfère un tunnel à l'autre.

2. Collectez des informations importantes sur VCN et les connexions IPSec à plusieurs tunnels IPSec. Ces informations comprennent, notamment :
   • OCID de VCN, qui est un identificateur Oracle Cloud Infrastructure unique possédant un UUID à la fin
   • CIDR VCN
   • Masque de sous-réseau CIDR VCN
   • Pour chaque tunnel IPSec, adresse IP de l'adresse de tunnel IPSec Oracle (tête VPN) et clé secrète partagée
3. Collectez des informations de base sur les interfaces interne et externe de votre dispositif sur site (CPE).
4. Déterminez si les têtes de réseau du VPN Oracle utilisent des tunnels basés sur un routage ou des tunnels basés sur une stratégie (notez également que l'utilisation de tunnels basés sur une stratégie comporte des mises en garde).
5. Observez les meilleures pratiques du VPN IPSec suivantes :
   • Configurez tous les tunnels pour chaque connexion IPSec.
   • Disposez de CPE redondants dans vos sites sur site.
   • Envisagez les routes d'agrégation de sauvegarde.
6. Testez et confirmez le statut de la connexion. Après avoir configuré la connexion IPSec, testez-la en lançant une instance dans le VCN, puis en la envoyant par ping à partir de votre réseau sur site.

Planifier les redondances

Les redondances dans votre implémentation IPSec VPN Connect garantissent des performances fiables et réduisent ou éliminent les temps d'inactivité coûteux et autres contraintes sur le système. Lors de l'implémentation des redondances, il est essentiel de créer des chemins de sauvegarde conçus pour garantir efficacité, rapidité et disponibilité.

Pour planifier la redondance, prenez en compte tous les composants (matériel, installations, circuits et alimentation) entre votre réseau sur site et Oracle Cloud Infrastructure. Pensez également à la diversité, afin de garantir que les installations ne soient pas partagées entre les chemins. Les considérations relatives à la redondance sont décrites ici :

Composant	Détails
Fournisseur de services Internet	Les fournisseurs de services Internet ne sont pas tous identiques. Les relations d'appairage à partir de votre fournisseur de services Internet permettent une route de trafic plus efficace, ce qui réduit la latence lorsqu'elle varie sur Internet.
Matériel	Activez les services avec du matériel redondant et assurez-vous qu'aucun point de défaillance n'est présent sur le chemin. Comment allez-vous gérer la maintenance de l’infrastructure (par Oracle ou votre propre service informatique) ? Pouvez-vous tolérer les temps d’arrêt ? Combien de temps d’arrêt pouvez-vous tolérer ?
Diversité des installations	Disposez-vous de sources d'alimentation redondantes ? Avez-vous des points d'entrée de télécommunications différents dans votre bâtiment ? Votre équipement se trouve-t-il dans différents racks ou centres de données ?
diversité Oracle FastConnect POP	Voulez-vous mettre fin aux deux circuits FastConnect au même point de présence (POP) ou à des emplacements différents ? Notez que la diversité POP n'est disponible que dans les régions Phoenix, Ashburn, Francfort et Londres.
Diversité des fournisseurs de circuits	Avez-vous l’intention d’utiliser différents transporteurs ? Vos circuits WAN ou Internet sont-ils totalement différents ou partagent-ils un POP ? Notez que le fait d'avoir des porteuses différentes ne signifie pas que les circuits sont complètement différents.

Pour consulter des exemples utiles de planification de la redondance, reportez-vous à la section "Cas d'utilisation de la redondance" du Guide de redondance de la connectivité, référencée dans "Avant d'utiliser VPN Connect" ailleurs dans ce guide.

Avant d'utiliser VPN Connect

Les meilleures pratiques VPN Connect précédentes ont été extraites de la documentation Oracle Cloud Infrastructure, qui contient des informations plus détaillées sur ce service. Avant d'utiliser VPN Connect, vous devez passer en revue les éléments suivants :

• Pour obtenir une liste de contrôle prérequise VPN Connect, reportez-vous à Avant de commencer.
• Pour comprendre le processus de configuration de VPN Connect, reportez-vous à Configuration de VPN Connect.
• Pour obtenir la liste des appareils CPE (Customer Provided Equipment) et leur configuration, reportez-vous à Dispositifs CPE vérifiés et à Configuration CPE.
• Pour obtenir des instructions sur la planification de la redondance, reportez-vous à la section Planning Redundancy.

Comprendre OCI FastConnect

Oracle FastConnect permet l'installation d'une ligne privée dédiée par un fournisseur de télécommunications entre un centre de données externe et le centre de données OCI (Oracle Cloud Infrastructure). Cela garantit une communication fiable et sécurisée grâce à une ligne privée dédiée qui relie le centre de données OCI et le centre de données externe, et fournit des fonctionnalités de communication en dehors du réseau Internet public.

Oracle FastConnect peut être utilisé avec le centre de données appartenant au client de l'application de services Oracle Utilities Cloud ou avec un centre de données tiers pour l'intégration d'applications externes. La fonctionnalité FastConnect avec un centre de données tiers peut impliquer des accords/efforts supplémentaires. Si la fonctionnalité FastConnect est requise, elle doit être sous licence distincte et configurée par le client.

Quand utiliser OCI FastConnect

Utilisez OCI FastConnect chaque fois qu'une ligne privée dédiée à bande passante élevée entre le centre de données hébergeant l'application externe et l'application de services Oracle Utilities Cloud est requise.

Préparation à l’utilisation d’OCI FastConnect

Avant d'implémenter FastConnect Oracle Cloud Infrastructure pour intégrer des applications externes à Oracle SaaS, procédez comme suit :

• Consultez la documentation OCI FastConnect.
• Comprendre les exigences d'OCI FastConnect.
• Passez en revue les concepts de conception les plus efficaces.
• Planifiez les redondances.

Documentation FastConnect

Oracle fournit une documentation complète et substantielle pour l'implémentation et l'utilisation d'OCI FastConnect, qui dépasse le cadre de ce guide. Reportez-vous aux liens de la rubrique "Avant d'utiliser OCI FastConnect" pour localiser ce contenu.

Comprendre les exigences relatives à FastConnect

Avant de commencer à utiliser FastConnect, vous devez répondre à un ensemble de conditions d'implémentation.

Respectez au minimum les conditions suivantes :

• Avoir un compte Oracle Cloud Infrastructure avec au moins un utilisateur disposant des droits d'accès Oracle Cloud Infrastructure Identity and Access Management (IAM) appropriés.
• Disposez des droits d'accès Oracle Cloud Infrastructure Identity and Access Management (IAM) appropriés (par exemple, un utilisateur dans le groupe Administrateurs).
• Un équipement réseau sans fil qui prend en charge le routage de couche 3 à l'aide de BGP.
• Pour une colocalisation avec Oracle : possibilité de se connecter à l'aide d'une fibre monomode dans le site FastConnect sélectionné. Reportez-vous également aux exigences en matière de matériel et de routage.
• Pour une connexion à un partenaire Oracle, vous avez besoin d'au moins une connexion réseau physique avec le partenaire.
• Pour une connexion à un fournisseur tiers, vous avez besoin d'au moins une connexion physique avec le fournisseur.
• Pour l'appairage privé uniquement, vous avez besoin d'au moins un DRG existant configuré pour votre VCN.
• Pour l'appairage public uniquement : vous avez besoin de la liste des préfixes d'adresse IP publique à utiliser avec la connexion. Oracle vérifiera que vous êtes propriétaire de chaque préfixe.

Vous trouverez des informations supplémentaires sur ces exigences dans la documentation sur les exigences matérielles et de routage, référencée dans la rubrique "Avant d'utiliser OCI FastConnect" ailleurs dans ce guide.

Passer en revue les options de conception FastConnect

Il existe trois options FastConnect parmi lesquelles choisir : Oracle Provider, Third-Party Provider et Colocation. Cette rubrique vous aidera à choisir la meilleure option pour votre implémentation, en fonction des points importants de la conception.

Vous devez prendre en compte trois points principaux lors de la planification d'un déploiement FastConnect :

• Commencez par déterminer l'emplacement Oracle auquel vous souhaitez vous connecter.

  Oracle a divers sites dans le monde entier, appelés Régions, où Oracle Cloud Infrastructure est déployé. Chaque région dispose d'un ou deux emplacements d'entrée physiques appelés centres de données FastConnect (DC). FastConnect DC est le point d'entrée dans la région OCI et est équipé de matériel redondant. FastConnect DC est l'endroit où le client établira la connectivité. Vous trouverez la liste complète des régions compatibles FastConnect sur le site Web du fournisseur réseau et des partenaires Exchange d'Oracle North America, référencé dans la rubrique "Avant d'utiliser OCI FastConnect".

• Ensuite, identifiez les services auxquels vous souhaitez vous connecter via FastConnect (également appelé circuit virtuel).
  FastConnect fait référence à la connexion physique entre OCI et on-premise. Dans FastConnect, vous allez créer un circuit virtuel pour vous connecter aux services au sein d'OCI. Il existe deux types de circuits virtuels (VC) :

  • Appairage privé, qui est un circuit virtuel lorsque vous souhaitez vous connecter sur site à votre réseau cloud virtuel (VCN) au sein d'OCI.
  • L'appairage public, qui est un circuit virtuel que vous pouvez utiliser pour connecter votre système sur site à Oracle Services Network (OSN) et accéder aux services publics sans utiliser Internet.
• Enfin, déterminez le type de FastConnect à utiliser :
  Parmi les trois options FastConnect, laquelle répond le mieux à vos besoins ? Pour répondre à cette question, vous devez prendre en compte certains aspects de votre conception :

  • Où se trouve le centre de données du client ?
  • Combien de centres de données le client souhaite se connecter à OCI
  • Quelle est la relation du client avec les fournisseurs ou les transporteurs ?
  • Où le fournisseur peut fournir des circuits ou des connexions croisées
  • Combien de temps le client souhaite-t-il que FastConnect soit déployé ? Bande passante de latence des coûts

  Il s'agit de points clés à prendre en compte dans la conception et en choisissant l'option FastConnect appropriée. Par exemple, si le client a une bonne relation avec le fournisseur A mais que le fournisseur A n'est pas un fournisseur Oracle, l'option suivante consiste à utiliser un fournisseur tiers ou une option de colocalisation. Si le fournisseur A peut déployer des circuits vers le centre de données FastConnect mais ne peut pas déployer la connexion croisée au centre de données FastConnect, le client doit examiner un autre fournisseur. Si le client n'est pas à la même adresse que FastConnect DC, Colocation n'est pas une option.

Il ne s'agit que d'une brève description des options de conception permettant d'implémenter OCI FastConnect. Pour plus d'informations sur ces options de conception, reportez-vous au billet de blog FastConnect Design, référencé dans la rubrique "Avant d'utiliser OCI FastConnect".

Planifier les redondances

Les redondances dans votre implémentation OCI FastConnect garantissent des performances fiables, minimisent ou éliminent les temps d’arrêt coûteux et autres contraintes sur le système. Lors de l'implémentation des redondances, il est essentiel de créer des chemins de sauvegarde conçus pour garantir efficacité, rapidité et disponibilité.

Bien que les meilleures pratiques en matière de redondance que vous devez suivre dépendent du modèle de connectivité que vous utilisez, vous devez toujours concevoir votre réseau afin d'atteindre la haute disponibilité (HA) et de le préparer à ces types de perturbations :

• Maintenance programmée régulièrement par votre organisation, votre fournisseur (le cas échéant) ou Oracle.
• Défaillances inattendues de la part de vos composants réseau, de votre fournisseur ou d'Oracle. Les défaillances sont rares, mais vous devez les prévoir.

Pour garantir la redondance, Oracle fournit les éléments suivants :

• Plusieurs fournisseurs pour chaque région
• Deux sites FastConnect pour chacune des régions suivantes (toutes les autres régions possèdent un seul site FastConnect)
  • Allemagne centrale (Francfort)
  • Sud du Royaume-Uni (Londres)
  • Est des Etats-Unis (Ashburn)
  • Ouest des Etats-Unis (Phoenix)
• Deux routeurs dans chaque site FastConnect
• Plusieurs connexions physiques entre chaque partenaire Oracle et Oracle (pour une région donnée)

Vous trouverez une description plus complète des meilleures pratiques propres à un modèle de connectivité OCI FastConnect dans Meilleures pratiques en matière de redondance FastConnect, référencées dans "Avant d'utiliser OCI FastConnect".

Avant d’utiliser OCI FastConnect

Les meilleures pratiques FastConnect Oracle Cloud Infrastructure précédentes ont été extraites de la documentation OCI, qui contient des informations plus détaillées sur ce service. Avant d'utiliser FastConnect, vous devez passer en revue les éléments suivants :

• Pour obtenir une documentation complète sur FastConnect, reportez-vous à FastConnect.
• Pour comprendre les prérequis de FastConnect, reportez-vous à Conditions requises pour FastConnect.
• Pour plus d'informations sur la conception d'une implémentation FastConnect, reportez-vous à Conception FastConnect et à Meilleures pratiques pour la redondance FastConnect.

Comprendre l'exemple de proxy inverse

Un proxy inverse est un type de serveur proxy qui proxie un ou plusieurs serveurs et extrait les ressources de ces serveurs pour le compte d'un client. Le client considère que ses demandes sont traitées par le proxy inverse et qu'il n'est pas évident pour les serveurs que le proxy inverse résume. Un proxy inverse peut être utilisé pour exposer des adresses privées/API sur le réseau Internet public et pour fournir des communications sécurisées à l'aide de certificats signés, si un serveur/une application n'utilise pas de certificats signés.

Vous pouvez provisionner un proxy inverse dans la zone démilitarisée du centre de données qui a accès à votre réseau privé/entreprise et exposer des adresses spécifiques de votre application sur le réseau Internet public via le proxy inverse, en vue de son intégration aux applications de services Oracle Utilities Cloud sur OCI.

En l'absence de certificats signés par l'autorité de certification dans les applications externes qui doivent être intégrées aux applications de services Oracle Utilities Cloud (plus précisément pour les communications sortantes des applications de services Oracle Utilities Cloud), vous pouvez configurer un proxy inverse avec des certificats signés par l'autorité de certification pour le proxy des applications externes.

Un seul proxy inverse peut être configuré pour le proxy de plusieurs applications, sous réserve de la configuration réseau. Le proxy inverse peut être configuré sur Oracle Cloud Infrastructure ou dans la zone réseau démilitarisée de votre centre de données, en fonction de son applicabilité. Vous pouvez utiliser le logiciel proxy approprié qui a besoin d'abonnements de machine virtuelle et d'autres ressources, de la configuration et de la configuration, si nécessaire, pour configurer le proxy inverse sur Oracle Cloud Infrastructure.

Quand utiliser le proxy inverse

Les API de l'application externe ne sont pas exposées au réseau Internet public. Par conséquent, un proxy inverse configuré dans le centre de données de l'application externe ou sur Oracle Cloud Infrastructure peut exposer ces adresses aux applications de services Oracle Utilities Cloud.

Si le proxy inverse est configuré sur Oracle Cloud Infrastructure, VPN Connect peut être nécessaire si les API de l'application externe ne sont pas exposées au réseau Internet public. Si les applications externes n'utilisent pas de certificats signés par CA. Ensuite, un seul proxy inverse avec des certificats émis par l'autorité de certification peut être configuré pour proxy une ou plusieurs applications externes.

Voici un exemple de configuration d'un proxy inverse sur OCI :

1. Pour configurer un proxy inverse sur OCI, créez une instance de machine virtuelle dans votre VCN.
2. Si vous utilisez Linux comme système d'exploitation pour votre machine virtuelle, configurez des règles entrantes dans votre VCN pour autoriser SSH vers la machine virtuelle.
3. Téléchargez et installez un logiciel de proxy inverse sur la nouvelle machine virtuelle provisionnée sur OCI et configurez-le de sorte qu'il puisse recevoir la communication des services Oracle Utilities Cloud et l'acheminer vers l'application externe via le VPN.
4. Veillez à configurer le proxy inverse avec une adresse IP publique afin qu'Oracle Utilities Cloud Service puisse envoyer une communication sortante au proxy inverse.

Voir "Comprendre les canaux d'intégration disponibles" ailleurs dans ce livre de jeux pour comprendre les canaux pris en charge et les exigences supplémentaires pour l'intégration avec des systèmes externes.

Comprendre les différences entre VPN Connect et OCI FastConnect

Si vous n'avez pas besoin d'utiliser un proxy inverse pour implémenter l'intégration entre l'application de services Oracle Utilities Cloud et une application hébergée en externe, mais que vous n'êtes toujours pas certain d'utiliser IPSec VPN Connect ou OCI FastConnect, la compréhension des différences entre elles vous aidera à déterminer correctement.

Un VPN IPSec établit une connexion réseau cryptée sur Internet entre le centre de données de l'application externe et votre réseau cloud virtuel Oracle Cloud Infrastructure (VCN). Il offre une bande passante faible ou modeste et présente la variabilité inhérente des connexions Internet.

FastConnect contourne le Web. Au lieu de cela, il utilise des connexions réseau privées dédiées entre le réseau ou le centre de données de l'application externe et votre VCN.

Voici d'autres comparaisons :

	IPSec VPN Connect	OCI FastConnect
Cas d'emploi	Charges de travail de développement, de test et de production à petite échelle	Charges de travail stratégiques d’entreprise et de mission, applications Oracle, sauvegarde, récupération après sinistre
Services pris en charge	Tous les services OCI dans VCN	Tous les services OCI dans VCN
Bande passante type	Agrégat Mbps < généralement	Bande passante plus élevée ; incréments de ports 1 ou 10 Gbits/s
Internet	Internet Protocol Security (IPsec)	BGP (Border Gate Protocol)
Routage	Routage statique	Routage dynamique
Résilience de la connexion	actif-actif	actif-actif
Encryption	Oui, par défaut	Non, peut être réalisé à l’aide d’un pare-feu virtuel
Tarification	Gratuit pour un service géré	Heures de port facturables Aucun frais de transfert de données entre les domaines de disponibilité
Contrat de niveau de service	Aucun contrat de niveau de service	99.9 % de disponibilité du contrat de niveau de service