Configurer la connectivité privée inter-régions entre les périodes de service

Pour des raisons commerciales et techniques, vous devrez peut-être activer la connectivité privée entre vos réseaux virtuels dans le cloud et vous assurer que le trafic entre les réseaux ne traverse jamais l'Internet public. Par exemple, vous pourriez avoir besoin d'une connectivité privée entre les réseaux de deux régions de votre location, ou entre les réseaux de votre location et ceux de la location d'une organisation coopérative.

Oracle Cloud Infrastructure prend en charge deux modèles de conception réseau :

• Correspondance VCN locale

  Les réseaux cloud virtuels (VCN) au sein d'une région peuvent être appariés en utilisant des passerelles d'appariement locales (LPG). Les ressources attachées à ces VCN homologués peuvent communiquer en utilisant des adresses IP privées sans router le trafic sur Internet public. Les VCN peuvent être dans la même location ou dans des locations différentes.

• Correspondance VCN distante

  Les VCN dans différentes régions peuvent communiquer en utilisant des adresses IP privées sans router le trafic sur Internet public. Vous pouvez configurer l'appariement entre deux VCN dans différentes régions en configurant une connexion d'appariement à distance (RPC) sur chacune des passerelles de routage dynamiques (DRG) attachées aux VCN dans la relation d'appariement. L'appariement VCN distant est généralement utilisé pour connecter deux VCN entre régions dans la même location. Dans certains scénarios, vous devrez peut-être connecter des VCN dans deux locations différentes d'une région à l'autre.

Architecture

Dans cette architecture, la connectivité réseau privée est configurée entre deux locations et entre deux régions.

Description de l'illustration xregion-private-connectivity-oci.png

L'architecture comporte les composants suivants :

• Tenance

  Une location est une partition sécurisée et isolée configurée par Oracle dans Oracle Cloud lorsque vous vous inscrivez à Oracle Cloud Infrastructure. Vous pouvez créer, organiser et administrer vos ressources dans Oracle Cloud au sein de votre location.

  Cette architecture dispose de deux locations, l'une pour l'entreprise A et l'autre pour l'entreprise B.

• Région

  Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes des autres régions et de vastes distances peuvent les séparer (d'un pays à l'autre ou même d'un continent à l'autre).

  Cette architecture a deux régions. La société A dispose de ses ressources cloud dans une seule région, à l'Est américain (Ashburn). Les ressources de la société B sont réparties entre deux régions : l'Est américain (Ashburn) et l'Ouest indien (Mumbai).

• Réseau cloud virtuel (VCN)

  Un VCN est un réseau privé personnalisable que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux traditionnels de centres de données, les VCN vous donnent un contrôle complet sur votre environnement réseau. Vous pouvez segmenter les VCN en sous-réseaux, qui peuvent être étendus à une région ou à un domaine de disponibilité. Les sous-réseaux régionaux et les sous-réseaux propres au domaine de disponibilité peuvent coexister dans le même VCN. Un sous-réseau peut être public ou privé.

  Dans cette architecture, la société A dispose de VCN 10.0.0.0/16 dans la région Est américain (Ashburn). La société B possède deux VCN, chacun dans une région différente : VCN B 172.16.0.0/16 in US East (Ashburn) et VCN C 192.168.0.0/16 in India West (Mumbai). Notez que chaque VCN de cette architecture d'appariement dispose d'un préfixe CIDR unique.

• Passerelle de routage dynamique (DRG)

  DRG est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région Oracle Cloud Infrastructure, un réseau sur site ou un réseau dans un autre fournisseur cloud.

  Dans cette architecture, VCN B dans Ashburn et VCN C dans Mumbai sont appariés à distance à l'aide de DRG.

• Passerelle d'appariement locale (GPL)

  Un GPL vous permet d'apparier un VCN avec un autre VCN dans la même région. Peering signifie que les VCN communiquent à l'aide d'adresses IP privées, sans le trafic traversant Internet ou le routage via votre réseau sur site.

  Dans cette architecture, VCN A et VCN B (dans la région Ashburn) sont appariés localement à l'aide de GPL.

• Tables de routage

  Les tables de routage virtuelles contiennent des règles pour acheminer le trafic de sous-réseaux vers des destinations en dehors d'un VCN, généralement via des passerelles.

  Cette architecture inclut des tables de routage pour diriger le trafic à travers les VCN.

  • VCN A dispose de règles d'acheminement pour diriger le trafic vers les VCN B et C via le GPL.
  • VCN B dispose de règles d'acheminement pour diriger le trafic vers VCN A via le GPL et vers VCN C via DRG.
  • VCN C dispose de règles d'acheminement pour diriger le trafic vers les VCN A et C via DRG.

Recommandations

Utilisez les recommandations suivantes comme point de départ. Vos exigences peuvent différer de l'architecture décrite ici.

• Gestion des identités et des accès (IAM)

  Vous pouvez configurer une stratégie IAM pour permettre aux utilisateurs d'un groupe spécifique d'initier des connexions à partir de n'importe quel GPL dans le compartiment du demandeur (compartiment de la société A) vers une location spécifique. Attachez la stratégie à la location du demandeur (c'est-à-dire le compartiment root) et non au compartiment du demandeur.

• VCN

  Lorsque vous créez VCN, déterminez le nombre d'adresses IP requises pour vos ressources cloud dans chaque sous-réseau. À l'aide de la notation CIDR (Classless Inter-Domain Routing), spécifiez un masque de sous-réseau et une plage d'adresses réseau suffisamment grande pour les adresses IP requises. Utilisez une plage d'adresses située dans l'espace IP privé standard.

  Sélectionnez une plage d'adresses qui ne chevauche aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur site ou dans un autre fournisseur cloud) auquel vous avez l'intention de configurer des connexions privées.

• Règles de sécurité

  Pour contrôler le trafic réseau, vous pouvez utiliser des listes de sécurité ou des groupes de sécurité réseau (NSG). Les règles que vous spécifiez dans une liste de sécurité s'appliquent à toutes les cartes VNIC du sous-réseau auxquelles vous attachez la liste de sécurité. Si vous avez besoin de pare-feu à un niveau plus granulaire, utilisez des groupes de sécurité réseau (NSG). Les règles d'un NSG s'appliquent uniquement aux VNIC que vous spécifiez. Oracle vous recommande d'utiliser NSG car ils vous permettent de séparer l'architecture de sous-réseau des exigences de sécurité de votre charge globale.

Remarques

Lors de la mise en œuvre de cette architecture, tenez compte des facteurs suivants :

• Evolutivité

  Considérez les limites de service pour les VCN et sous-réseaux pour votre location. Si vous avez besoin de plus de réseaux, demandez une augmentation des limites.

• Sécurité

  Utilisez des mécanismes de sécurité appropriés pour protéger votre topologie.

  Dans l'architecture que vous déployez à l'aide du code Terraform fourni, la liste de sécurité par défaut de VCN autorise le trafic SSH à partir de 0.0.0.0/0 et ICMP uniquement à partir des deux locations. Ajustez la liste de sécurité pour autoriser uniquement les hôtes et les réseaux qui devraient avoir un accès SSH (ou un accès à d'autres ports de service requis) à votre infrastructure.

• Performances

  Dans une région, le nombre de VCN n'affecte pas les performances. Lorsque vous appariez des VCN dans différentes régions, considérez la latence.

Déployer

Le code Terraform permettant de déployer cette architecture est disponible dans GitHub.

1. Accédez à GitHub.
2. Cloner ou télécharger le référentiel sur votre ordinateur local.
3. Suivez les instructions du document README.

Explorer plus

• Peering VCN distant (entre régions)
• Appairage local de réseaux cloud virtuels (au sein d'une région)
• Acheminement de transit : accès à plusieurs VCN dans la même région
• Meilleures pratiques de structure Oracle Cloud Infrastructure

Journal des modifications

Ce journal répertorie les modifications importantes :

8 septembre 2020	Ajout des sections Architecture, Recommandations et considérations. Remplacement des étapes de déploiement manuel par un lien vers l'automatisation Terraform disponible dans GitHub.
31 mai 2021	Diagramme architectural mis à jour pour refléter de nouvelles normes iconographiques.