Documentation Oracle Cloud Infrastructure

Connexion de réseaux cloud virtuels via une passerelle d'appairage local

Sur Compute Cloud@Customer, vous pouvez configurer des passerelles d'appairage locales. L'appairage VCN est le processus de connexion de plusieurs réseaux cloud virtuels afin que les ressources puissent communiquer à l'aide d'adresses IP privées.

Vous pouvez utiliser l'appairage VCN pour diviser votre réseau en plusieurs réseaux cloud virtuels, par exemple, en fonction des services ou des secteurs d'activité, chaque VCN ayant un accès privé direct aux autres. Vous pouvez également placer des ressources partagées dans un même réseau cloud virtuel auquel tous les autres réseaux cloud virtuels peuvent accéder de manière privée. Deux réseaux cloud virtuels appairés peuvent se trouver dans la même location ou dans des locations différentes.

Stratégies

L'appairage entre deux réseaux cloud virtuels nécessite un accord explicite des deux parties sous la forme de stratégies IAM que chaque partie implémente pour son propre compartiment ou location VCN. Si les réseaux Cloud virtuels se trouvent dans des locations différentes, chaque administrateur doit fournir l'OCID de location et mettre en place des instructions de stratégie coordonnées spéciales pour permettre l'appairage.

Pour implémenter les stratégies IAM requises pour l'appairage, les deux administrateurs VCN doivent désigner un administrateur en tant que demandeur et l'autre en tant qu'accepteur. Le demandeurs doit être chargé de lancer la demande de connexion des deux passerelles d'appairage local. L'accepteur doit ensuite créer une stratégie IAM particulière qui autorise le demandeurs à se connecter aux passerelles d'appairage locaux de son compartiment. Sans cette stratégie, la demande de connexion au demandeur échoue. L'administrateur VCN peut supprimer une connexion d'appairage en supprimant sa passerelle d'appairage local.

Routage et contrôle du trafic

Dans le cadre de la configuration des réseaux cloud virtuels, chaque administrateur doit mettre à jour le routage VCN pour permettre au trafic de circuler entre les réseaux cloud virtuels. En pratique, cela ressemble au routage configuré pour n'importe quelle passerelle, telle qu'une passerelle Internet ou une passerelle de routage dynamique. Pour chaque sous-réseau devant communiquer avec l'autre VCN, vous mettez à jour la table d'acheminement du sous-réseau. La règle de routage spécifie le CIDR du trafic de destination et votre passerelle d'appairage local en tant que cible. La passerelle d'appairage local achemine le trafic correspondant à cette règle vers l'autre passerelle d'appairage local, qui l'achemine ensuite vers le saut suivant de l'autre réseau cloud virtuel.

Vous pouvez contrôler le flux de paquets sur la connexion d'appairage avec les tables de routage dans votre VCN. Par exemple, vous pouvez limiter le trafic uniquement à des sous-réseaux spécifiques de l'autre réseau cloud virtuel. Sans supprimer l'appairage, vous pouvez arrêter le flux de trafic vers l'autre VCN en supprimant les règles de routage qui dirigent le trafic de votre VCN vers l'autre VCN. Vous pouvez également arrêter le trafic en enlevant toute règle de liste de sécurité qui autorise le trafic entrant ou sortant avec l'autre réseau cloud virtuel. Cela n'arrête pas la circulation du trafic sur la connexion d'appairage, mais arrête celui au niveau de la carte d'interface réseau virtuelle.

Règles de sécurité

Chaque administrateur VCN doit s'assurer que tout le trafic sortant et entrant avec l'autre VCN est prévu, attendu et bien défini. En pratique, cela signifie mettre en oeuvre des règles de liste de sécurité qui indiquent explicitement les types de trafic que votre réseau cloud virtuel peut envoyer à l'autre et accepter de l'autre. Si vos sous-réseaux utilisent la liste de sécurité par défaut, il existe deux règles autorisant le trafic entrant SSH et ICMP de n'importe où, donc aussi l'autre VCN. Evaluez ces règles et déterminez si vous voulez les conserver ou les mettre à jour.

Outre les listes de sécurité et les pare-feu, évaluez d'autres configurations basées sur le système d'exploitation sur les instances de votre VCN. Certaines configurations par défaut ne s'appliquent pas à votre propre CIDR VCN, mais s'appliquent par inadvertance à l'autre CIDR VCN.

Connexion de réseaux cloud virtuels via une passerelle d'appairage local

Sur Compute Cloud@Customer, une passerelle d'appairage local est un moyen de connecter des réseaux cloud virtuels afin que les éléments de chaque VCN puissent communiquer, même à l'aide d'une adresse IP privée.

Les composants suivants sont requis pour configurer une connexion d'appairage :

  • Deux réseaux cloud virtuels avec des CIDR sans chevauchement

  • Une passerelle d'appairage local sur chaque VCN de la relation d'appairage

  • Une connexion entre les deux passerelles d'appairage local

  • Acheminez les règles pour activer le trafic via la connexion d'appairage vers et depuis les sous-réseaux souhaités dans les réseaux cloud virtuels respectifs

  • Règles de sécurité permettant de contrôler les types de trafic autorisés vers et depuis les instances dans les sous-réseaux en question

    1. Dans le menu de navigation Console Compute Cloud@Customer, sous Fonctions de réseau, sélectionnez Réseaux cloud virtuels.

      La liste des réseaux cloud virtuels précédemment configurés dans les compartiments apparaît. Si le compartiment dans lequel vous créez la passerelle d'appairage local n'est pas affiché, utilisez le menu déroulant pour sélectionner le compartiment approprié.

    2. Sélectionnez le nom du VCN.

    3. Sous le menu Ressources, sélectionnez Passerelles d'appairage local.

    4. Sélectionnez Créer une passerelle d'appairage local.

    5. Entrer les informations obligatoires:

      • Nom : entrez un nom. Evitez de saisir des informations confidentielles.

      • Créer dans le compartiment : sélectionnez le compartiment dans lequel créer la passerelle d'appairage local.

      • Association de table de routage (facultatif) Vous pouvez éventuellement associer une table de routage à la passerelle d'appairage local. La liste des tables de routage configurées pour le compartiment sélectionné se trouve dans un menu déroulant. Vous pouvez modifier le compartiment en sélectionnant (modifier) en regard du nom du compartiment.

      • Balisage : (facultatif) ajoutez des balises à cette ressource. Les balises peuvent également être appliquées ultérieurement. Pour plus d'informations sur le balisage des ressources, reportez-vous à Ajout de balises lors de la création de ressources (IAM dans OCI).

    6. Sélectionnez Créer une passerelle d'appairage local.

      La passerelle d'appairage local est maintenant prête à connecter les réseaux cloud virtuels avec l'établissement d'une connexion d'appairage et à ajouter des règles de routage ou des paramètres de sécurité.

  • Utilisez la commande oci network local-peering-gateway create et les paramètres requis pour créer une passerelle d'appairage local (LPG) pour le VCN spécifié.

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    Pour obtenir la liste complète des commandes, des indicateurs et des options de l'interface de ligne de commandes, reportez-vous à Référence de ligne de commandes

  • Utilisez l'opération CreateLocalPeeringGateway pour créer une passerelle d'appairage local pour le VCN spécifié.

    Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.