1. Oracle Afrique
  2. Cloud
  3. Gestion de réseau cloud
  4. Réseau cloud virtuel

FAQ Réseau cloud virtuel

 

Sujets de FAQ

Questions générales

Qu’est-ce qu’un réseau cloud virtuel (VCN - virtual cloud network) ?

Un VCN est un réseau privé personnalisable dans Oracle Cloud Infrastructure. Tout comme un réseau de datacenter traditionnel, un VCN vous offre un contrôle total sur votre environnement réseau. Cela comprend l’affectation de votre propre espace d’adressage IP privé, la création de sous-réseaux, la création de tables de routage et la configuration de pare-feu avec état. Une entité (un compte Oracle Cloud Infrastructure) peut avoir plusieurs VCN, ce qui permet de regrouper et d’isoler les ressources associées. Par exemple, vous pouvez utiliser plusieurs VCN pour séparer les ressources dans différents services de votre entreprise.

Quels sont les composants principaux d’un VCN ?

Pour obtenir la liste complète des composants, consultez Présentation de la mise en réseau.

Comment commencer avec un VCN ?

Pour obtenir un didacticiel rapide sur la façon de lancer une instance à l’intérieur d’un VCN dans Oracle Cloud Infrastructure, consultez le Guide de démarrage.

Consultez également ces rubriques :

Quelles adresses IP puis-je utiliser dans mon VCN ?

Lorsque vous créez votre VCN, vous attribuez un bloc CIDR IPv4 contigu de votre choix. Les tailles VCN allant de /16 (65 533 adresses IP) à /30 (1 adresse IP) sont autorisées. Exemple : 10.0.0.0/16, 192.168.0.0/24.

Nous vous recommandons d’utiliser un bloc CIDR à partir des plages d’adresses privées spécifiées par RFC1918. Si vous utilisez un bloc CIDR non-RFC1918, notez qu’il est toujours traité comme une plage d’adresses IP privées et n’est pas routable depuis Internet via la passerelle Internet d’Oracle.

Vous pouvez créer des sous-réseaux en sous-divisant la plage d’adresses du VCN en blocs IPv4 CIDR contigus. Le bloc CIDR d’un sous-réseau doit appartenir au bloc CIDR du VCN. Lorsque vous lancez une instance dans un sous-réseau, l’adresse IP privée de l’instance est allouée à partir du bloc CIDR du sous-réseau.

Puis-je marquer un sous-réseau comme privé ?

Oui, Lorsque vous créez un sous-réseau, vous pouvez indiquer le type d'accès : privé ou public. Un sous-réseau est créé avec un accès public par défaut, auquel cas les instances du sous-réseau peuvent se voir attribuer une adresse IP publique. Il est interdit aux instances lancées dans un sous-réseau avec un accès privé d’avoir des adresses IP publiques, ce qui garantit que ces instances n’ont pas d’accès direct à Internet.

Un VCN peut-il s’étendre sur plusieurs domaines de disponibilité ?

Oui,

Un sous-réseau peut-il s’étendre sur plusieurs domaines de disponibilité ou plusieurs VCN ?

Les sous-réseaux peuvent s’étendre sur plusieurs domaines de disponibilité, mais pas sur plusieurs VCN. Si vous créez un sous-réseau régional, les ressources du sous-réseau peuvent résider dans n’importe quel domaine de disponibilité (AD) de la région. Toutefois, si vous créez un sous-réseau spécifique à AD, les ressources du sous-réseau doivent résider dans le domaine de disponibilité particulier du sous-réseau.

Puis-je créer des VCN avec des adresses IP qui se chevauchent ?

Oui, Cependant, si vous avez l’intention de connecter un VCN à votre réseau On-Premise ou à un autre VCN, nous vous recommandons de vous assurer que les plages d’adresses IP ne se chevauchent pas.

Combien de VCN, de sous-réseaux et d’autres ressources réseau puis-je créer ?

Pour connaître les limites actuelles de tous les services et instructions liés à la demande d’une augmentation de la limite de service, consultez la Documentation d’aide sur les limites de service.

Puis-je modifier mon sous-réseau après l’avoir créé ?

Oui, Vous pouvez modifier le nom du sous-réseau et changer la table de routage, les listes de sécurité et l’ensemble d’options DHCP qui lui sont associés. Cependant, vous ne pouvez pas modifier le bloc CIDR du sous-réseau.

Passerelle de routage dynamique (DRG) 

Dans quels domaines la nouvelle fonctionnalité DRG est-elle disponible ?

La nouvelle fonctionnalité est disponible dans le domaine commercial. Elle sera disponible dans d'autres domaines à l'avenir.

Dans quelles régions la nouvelle fonctionnalité DRG est-elle disponible ?

La nouvelle fonctionnalité est disponible dans toutes les régions Oracle Cloud Infrastructure (OCI) commerciales.

La nouvelle fonctionnalité est-elle disponible sur mes passerelles DRG existantes (créées avant le 15 avril 2021) ?

Oui, Toutefois, vous devez mettre à jour le DRG à l'aide du processus de mise à jour indiqué dans la documentation.

Comment puis-je contrôler quels réseaux cloud virtuels (VCN) peuvent communiquer entre eux ?

Les communications entre les pièces jointes des DRG (y compris les VCN) sont contrôlées par les tables de routage et les stratégies d'importation associées. La table de routage par défaut des VCN attachés permet à tous les VCN attachés de communiquer entre eux. Vous pouvez modifier la stratégie d'importation associée pour isoler les réseaux cloud virtuels, comme indiqué ici.

Puis-je associer un VCN d'une autre location à mon DRG ?

Oui, Toutefois, cela nécessite la configuration de stratégies IAM spécifiques.

Quelle est la configuration de routage par défaut dans le DRG ?

Le DRG prend en charge le routage dynamique et statique entre les réseaux attachés. Le DRG comporte deux tables de routage par défaut. Une pour vos pièces jointes de connexion d'appairage FastConnect, VPN IPsec et RPC, et une pour les pièces jointes VCN. Vous pouvez créer des tables de routage supplémentaires pour un contrôle plus précis du flux de trafic entre les pièces jointes. Les routes déterminent l'attachement de saut suivant en fonction de l'adresse IP de destination du paquet.

Comment le DRG résout-il les conflits de routage ?

Les routes statiques ont une préférence plus élevée que les routes dynamiques. Vous ne pouvez pas créer plusieurs routes statiques pour le même routage inter-domaine sans classe (CIDR). Pour les routes dynamiques, les conflits sont résolus comme suit :

  • Pour les acheminements destinés aux pièces jointes VCN : si des CIDR identiques sont importés à partir de deux pièces jointes VCN, une décision de transfert déterministe et cohérente est prise sur la préférence d'acheminement. Cet ordre de préférence n'est pas contrôlable par le client.
  • Pour les acheminements destinés à un VPN IPsec ou à des circuits virtuels FastConnect : si plusieurs acheminements ayant la même longueur CIDR et en tant que chemin sont importés dans une table de routage DRG et que le routage EMP (Equal Cost Multi-Path) est désactivé, l'acheminement avec l'adresse IP du prochain saut est sélectionné. Si l'ECMP est activé, les deux routes seront utilisées et le trafic destiné au CIDR sera routé par l'ECMP. Si les routes ont des CIDR identiques mais des longueurs as-path différentes, seule la route avec la plus courte longueur as-path sera utilisée.
  • Pour les acheminements destinés aux pièces jointes RPC/Peering : si des CIDR identiques sont importés à partir de deux pièces jointes RPC/Peering, la plus courte est utilisée. Si les deux routes ont la même longueur as-path, la route ayant la distance réseau la plus faible est sélectionnée. La distance du réseau se réfère au nombre de DRG que la route traversera. Si deux routes ont des distances réseau identiques, la sélection est basée sur l'ordre suivant : {Static, VCN, VC, IPSec}). En cas de conflit, Oracle achemine le trafic via le chemin le plus efficace dans son réseau interne.

Comment les routes sont-elles propagées dans le DRG ?

Vous pouvez indiquer la façon dont les acheminements sont importés et exportés par table de routage en modifiant les stratégies d'import et d'export associées. Les routes sont propagées comme suit :

  • Routes propagées vers/depuis les réseaux sur site : lorsque vous connectez des VPN IPsec ou des circuits virtuels FastConnect à un DRG, les acheminements sont propagés entre le DRG et votre routeur sur site à l'aide de BGP (Border Gateway Protocol). Les VPN IPsec prennent également en charge le routage statique, mais pour garantir un basculement automatique optimal à des fins de redondance, il est recommandé d'utiliser BGP.
  • Routes propagées à partir des réseaux cloud virtuels : lorsque vous attachez un VCN à un DRG, la table de routage de l'attachement est automatiquement mise à jour afin d'inclure les routages vers tous les sous-réseaux du VCN et tous les CIDR de la table de routage entrante VCN associée à l'attachement VCN.
  • Routes propagées vers des réseaux cloud virtuels : les routes DRG ne sont pas automatiquement propagées vers votre VCN. Vous devez créer des routes statiques dans vos tables de routage VCN pour le trafic destiné aux réseaux sur site ou à d'autres réseaux cloud virtuels OCI. Ces tables de routage sont gérées dans le cadre de la configuration VCN.

Puis-je connecter des réseaux cloud virtuels OCI avec des CIDR de sous-réseau identiques à ceux du même DRG ?

Vous pouvez connecter deux réseaux cloud virtuels OCI chevauchant des CIDR au même DRG. La table de routage du DRG prend une décision de transfert déterministe et cohérente afin de déterminer quelle pièce jointe VCN est le prochain saut pour les CIDR de sous-réseau en conflit. Cet ordre de préférence n'est pas contrôlable par le client. En raison de la complexité du contrôle de ce comportement, les CIDR qui se chevauchent ne sont pas recommandés.

Puis-je utiliser un seul circuit virtuel FastConnect pour connecter mon réseau on-premise à tous les réseaux cloud virtuels OCI, quelle que soit la région ?

Oui. Le service DRG vous permet désormais d'utiliser une connexion FastConnect dans une région pour communiquer avec les ressources d'un VCN dans une autre région.

Performances et limites : quelles sont les limites ou quotas par défaut pour le DRG ?

Pour plus de détails sur les limites et les quotas, consultez notre documentation.
Si vous devez dépasser ces limites, veuillez créer un cas d'assistance.

Interopérabilité des fonctions : le DRG prend-il en charge le protocole IPv6 ?

Oui. Le DRG prend en charge l'attachement de réseaux cloud virtuels avec des CIDR IPv6.

Et si je souhaite continuer à utiliser mon DRG tel quel et que je n'ai pas besoin des fonctionnalités améliorées ?

Le comportement par défaut du DRG n'a pas changé. Vous devez activer explicitement les nouvelles fonctionnalités.

Quel est le contenu des tables de routage par défaut associées au DRG ?

Le DRG comporte deux tables de routage par défaut. Une pour vos pièces jointes de connexion d'appairage FastConnect, VPN IPsec et RPC, et une pour les pièces jointes VCN. Ces deux tables de routage par défaut implémentent le comportement DRG existant.

Dois-je utiliser la passerelle d'appairage local ou DRG pour permettre la communication entre les réseaux cloud virtuels de la même région ?

Chaque VCN peut comporter jusqu'à 10 passerelles d'appairage local et un DRG. Un seul DRG prend en charge jusqu'à 300 pièces jointes VCN. Nous vous recommandons d'utiliser le DRG si vous avez besoin d'échanger avec un grand nombre de VCN. En outre, si vous voulez une bande passante extrêmement élevée et un trafic à très faible latence entre deux VCN de la même région, utilisez le scénario décrit dans Appairage local de réseaux cloud virtuels à l'aide de passerelles d'appairage local. L'appairage de deux VCN de la même région par le biais d'un DRG vous donne plus de flexibilité dans votre routage, mais au prix d'une latence plus élevée et d'une bande passante potentiellement plus faible.

Quel est le nombre maximum de chemins ECMP (Equal-cost multipath routing) pris en charge ?

La limite actuelle est de 8 chemins

Comment mettre à niveau mon DRG pour pouvoir utiliser la nouvelle fonctionnalité ?

Reportez-vous à la section « Mise à niveau d'un DRG » ici.

Cartes d’interface réseau virtuelles (VNIC)

Qu’est-ce qu’une carte d’interface réseau virtuelle (VNIC) ?

Les serveurs des datacenters Oracle Cloud Infrastructure disposent de cartes d’interface réseau physiques (NIC). Lorsque vous lancez une instance sur l’un de ces serveurs, l’instance communique à l’aide des cartes d’interface réseau virtuelles (VNIC) du service réseau associées aux cartes réseau physiques. Une VNIC permet à une instance de calcul d’être connectée à un VCN et détermine comment l’instance communique avec les points de terminaison à l’intérieur et à l’extérieur du VCN.

Chaque VNIC réside dans un sous-réseau et a la configuration suivante :

  • Une adresse IPv4 privée primaire du sous-réseau dans lequel se trouve la VNIC, attribuée par vous ou par Oracle
  • Jusqu'à 31 adresses IPv4 privées secondaires du sous-réseau dans lequel se trouve la VNIC, attribuées par vous ou par Oracle
  • Adresse IPv4 publique en option pour chaque adresse IP privée
  • Nom d’hôte facultatif pour DNS pour chaque adresse IP privée (voir DNS dans votre réseau cloud virtuel)
  • Adresse Mac
  • Balise VLAN attribuée par Oracle et disponible lorsque la connexion de la VNIC à l’instance est terminée (s’applique uniquement pour les instances bare metal)

Pour plus d’informations, voir Cartes d’interface réseau virtuelles (VNIC).

Quelle est la VNIC principale d’une instance ?

Chaque instance de votre VCN est créée avec une VNIC, qui a une adresse IP privée (attribuée par vous ou Oracle) à partir du sous-réseau fourni lors de la création de l’instance, et une adresse IP publique correspondante. Cette VNIC est appelée la VNIC primaire, et son adresse IP privée comme l'adresse IP privée principale.

La VNIC principale ne peut pas être détachée de l’instance. Elle est automatiquement supprimée à la fin de l’instance.

Que sont les VNIC secondaires sur une instance ?

Chaque instance de votre VCN possède au moins une VNIC, qui est sa VNIC principale. Vous pouvez attacher des VNIC supplémentaires à une instance, qui sont appelées VNIC secondaires. Les VNIC secondaires peuvent appartenir à différents VCN ou sous-réseaux.

Quel est le nombre maximal de cartes VNIC prises en charge sur une instance ?

La limite du nombre de VNIC pouvant être attachées à une instance varie selon la forme. Pour ces limites, consultez la Documentation de prise en charge des formes de calcul.

Puis-je trouver des informations sur la VNIC dans l’instance ?

Oui, Recherchez le service de métadonnées d’instance disponible à l’adresse http://169.254.169.254/opc/v1/vnics/.

Puis-je attribuer une adresse IP privée spécifique à une VNIC ?

Oui, Pour la VNIC principale, vous pouvez spécifier l’adresse IP privée au lancement de l’instance. Pour les VNIC secondaires, vous pouvez spécifier une adresse IP privée lorsque vous attachez la VNIC à une instance. L’adresse IP privée spécifiée doit appartenir au même sous-réseau auquel appartient la VNIC et ne doit pas être utilisée.

Puis-je déplacer une VNIC d’une instance à une autre ?

Non. Actuellement, les VNIC sont toujours liées à l’instance et n’existent pas indépendamment. La VNIC principale est créée et détruite avec l’instance. Toutes les VNIC secondaires sont créées et détruites lorsqu’elles sont attachées et détachées respectivement.

Puis-je attacher deux VNIC du même sous-réseau à une instance ?

Oui, Cependant, attacher plusieurs VNIC à partir du même bloc CIDR de sous-réseau à une instance peut introduire un routage asymétrique, en particulier sur les instances utilisant une variante de Linux. Si vous avez besoin de ce type de configuration, Oracle recommande d’attribuer plusieurs adresses IP privées à une VNIC, ou d’utiliser un routage basé sur des règles. Pour obtenir un exemple, consultez le script fourni dans la section Linux : Configuration du système d'exploitation pour les VNIC secondaires.

Les VNIC attachées à une instance peuvent-elles appartenir à des sous-réseaux dans différents domaines de disponibilité (AD) ?

Non. Toutes les VNIC doivent appartenir à des sous-réseaux dans le même AD que l’instance. Lorsque vous utilisez des sous-réseaux régionaux, les VNIC doivent être créées dans le même AD que l’instance.

Les VNIC attachées à une instance peuvent-elles appartenir à des sous-réseaux dans différents VCN ?

Oui, Vous pouvez attacher des VNIC secondaires qui appartiennent à un sous-réseau d’un VCN différent du VCN de la VNIC principale.

Adressage IP

Puis-je attribuer une ou plusieurs adresses IP privées de mon choix à mon instance de calcul ?

Chaque instance de calcul de votre VCN est créée avec une carte d’interface réseau virtuelle (VNIC) et se voit attribuer une adresse IP privée à partir du sous-réseau fourni au lancement de l’instance. Il s'agit de la VNIC principale et de son adresse IP privée principale, respectivement. Vous pouvez également associer des VNIC supplémentaires à une instance, appelées VNIC secondaires, qui ont également une adresse IP privée principale.

Vous pouvez laisser Oracle choisir l’adresse IP privée, ou vous pouvez la choisir dans le pool disponible du sous-réseau. Si l’adresse que vous spécifiez est déjà utilisée, la demande de lancement échouera.

En outre, vous pouvez attribuer des adresses IP privées secondaires à une VNIC. De même que les adresses IP privées principales, une adresse IP privée secondaire fournit une connectivité aux destinations au sein de votre VCN et/ou sur site (lorsqu’il existe une connectivité via VPN ou Oracle Cloud Infrastructure FastConnect).

Puis-je déplacer une adresse IP privée secondaire de la VNIC d’une instance à une autre ?

Oui, Vous pouvez déplacer une adresse IP privée secondaire d’une VNIC sur une instance vers une VNIC sur une autre instance, à condition que les deux VNIC appartiennent au même sous-réseau et que l’autorisation permette l’opération. Lorsque vous utilisez des sous-réseaux régionaux, l’IP privée secondaire peut également être déplacée vers une VNIC dans un autre AD.

Combien d’adresses IP privées secondaires puis-je attribuer à une VNIC d’une instance ?

Actuellement, vous pouvez attribuer jusqu’à 31 adresses IP privées secondaires à une VNIC.

Le système d’exploitation de l’instance peut-il détecter et configurer automatiquement l’adresse IP privée secondaire (à l’aide de DHCP) ?

Non. Le système d’exploitation ne peut pas découvrir l’adresse IP privée secondaire à l’aide de mécanismes tels que DHCP. Vous devez configurer les adresses IP privées secondaires à l’aide d’une procédure spécifique au système d’exploitation. Pour plus d’informations, consultez les scripts fournis dans Cartes d’interface réseau virtuelles (VNIC).

Qu’est-ce qu’une adresse IP publique et en quoi est-elle différente d’une adresse IP privée ?

Une adresse IP publique est une adresse IPv4 accessible depuis Internet (une adresse IP routable sur Internet). Une instance de votre VCN communique avec des hôtes sur Internet via une adresse IP publique. Une adresse IP privée n’est pas routable sur Internet. Les instances à l’intérieur du VCN communiquent entre elles à l’aide d’adresses IP privées.

Vous pouvez attribuer une adresse IP publique à une adresse IP privée d’une instance de calcul ou à une instance d’équilibreur de charge et lui permettre de communiquer avec Internet. Pour qu’une adresse IP publique soit accessible sur Internet, le VCN dans lequel elle se trouve doit avoir une passerelle Internet et le sous-réseau public doit avoir des tables de routage et des listes de sécurité configurées en conséquence.

Quels sont les types d’adresses IP publiques ?

Il existe deux types d’adresses IP publiques :

  • Adresses IP publiques éphémères : considérez-les comme temporaires et n'existant que pendant la durée de vie de l'instance. À votre demande, Oracle en attribuera une parmi le pool d’adresses IP publiques disponibles d’Oracle. Cette adresse IP publique est liée au cycle de vie de l’adresse IP privée. Si vous annulez explicitement l’adresse IP publique, ou annulez l’adresse IP privée de la VNIC, ou si vous mettez fin à l’instance correspondante, cette adresse IP publique est libérée dans le pool disponible. Si vous demandez ultérieurement à attribuer à nouveau une adresse IP publique, il peut s’agir d’une adresse différente qu’auparavant.
  • Adresses IP publiques réservées : il s'agit d'adresses IP publiques flottantes qui résident dans le compartiment de votre choix. Ils sont persistants et existent au-delà de la durée de vie des instances auxquelles ils sont affectés. Ils appartiennent à une région spécifique. Vous pouvez conserver une adresse IP publique réservée non affectée dans votre compartiment, ou l’attribuer à une adresse IP privée d’une instance ou d’un équilibreur de charge dans la même région que celle dans laquelle elle a été créée. Vous pouvez également la déplacer vers n’importe quelle autre adresse IP privée dans la même région.

Pour plus de détails et pour consulter un tableau comparant les deux types, reportez-vous à la Documentation d’aide sur les adresses IP publiques.

Pourquoi ai-je besoin d’adresses IP publiques réservées ?

Une adresse IP publique devient l’identité de votre service pour les clients qui ne peuvent pas utiliser le nom de domaine complet DNS. Une adresse IP publique réservée vous permet de conserver cette identité indépendamment de toute modification des ressources sous-jacentes. Voici quelques scénarios spécifiques qui peuvent bénéficier de l’utilisation d’une adresse IP publique réservée :

  • Isoler vos clients des pannes propres à l'instance : vous pouvez attribuer une adresse IP publique réservée à votre instance et la déplacer de manière transparente vers une autre instance en cas de panne. Vos clients ne perçoivent pas ce changement car ils continuent de se connecter à la même adresse IP publique.
  • Optimiser l'utilisation des ressources de calcul sans impact sur les utilisateurs : que vous souhaitiez modifier la taille d'une instance ou mettre fin à vos instances en fonction des schémas d'utilisation afin de réduire les coûts, une adresse IP publique réservée vous permet d'exposer la même adresse IP publique à vos clients.

Combien d’adresses IP publiques réservées puis-je attribuer à une instance ?

Vous ne pouvez attribuer qu’une seule adresse IP publique réservée à une adresse IP privée (principale ou secondaire). Cependant, vous pouvez attribuer plusieurs adresses IP privées à chaque VNIC attachée à votre instance. Vous pouvez ensuite attribuer une adresse IP publique réservée à chacune de ces adresses IP privées.

Le nombre maximal d’adresses IP publiques réservées que vous pouvez créer dans votre entité est limité. Consultez la Documentation d’aide sur les limites de service.

Combien d’adresses IP publiques éphémères puis-je attribuer à une instance ?

Vous ne pouvez attribuer qu’une seule adresse IP publique éphémère à n’importe quelle adresse IP privée principale de la VNIC. Cependant, vous pouvez créer et attacher plusieurs VNIC à votre instance. Vous pouvez ensuite attribuer une adresse IP privée éphémère à chacune des adresses IP principales de chaque VNIC.

Le nombre maximal d’adresses IP publiques éphémères pouvant être attribuées à une instance est limité. Consultez la Documentation d’aide sur les limites de service.

Puis-je déplacer une adresse IP publique éphémère d’une VNIC / instance à une autre ?

Oui, mais uniquement s’il est affecté à une adresse IP secondaire privée sur une VNIC. Si vous déplacez cette adresse IP privée secondaire vers une autre VNIC (qui doit être dans le même sous-réseau), l’IP publique éphémère l’accompagne.

Puis-je déplacer une adresse IP publique réservée d’une VNIC / instance à une autre ?

Oui, et vous pouvez la déplacer d’un domaine de disponibilité ou d’un VCN à un autre. Les VCN doivent être dans la même région.

Il existe deux façons de déplacer une adresse IP publique réservée :

  • Désaffectez l’adresse IP publique réservée, puis réaffectez-la à une autre adresse IP privée. L’adresse IP privée peut se trouver sur une VNIC dans un domaine de disponibilité ou un VCN différent de la VNIC d’origine.
  • Si l’adresse IP publique réservée est affectée à une adresse IP privée secondaire, vous pouvez déplacer l’adresse IP privée vers une autre VNIC (qui doit être dans le même sous-réseau) et l’adresse IP publique réservée l’accompagne.

Quand une adresse IP publique éphémère est-elle publiée ?

  • Lorsque vous supprimez une adresse IP privée, son adresse IP publique éphémère correspondante est libérée.
  • Lorsque vous détachez une VNIC secondaire, toutes les adresses IP publiques éphémères correspondantes sont libérées.
  • Lorsque vous mettez fin à l’instance, les adresses IP éphémères correspondantes sont libérées.

Notez que lorsque vous redémarrez l’instance, il n’y a aucun impact sur les adresses IP publiques éphémères correspondantes.

Quelles adresses IP puis-je voir lorsque je me connecte à mon instance de calcul ?

Vous ne voyez que l’adresse IP privée de votre instance de calcul. Si une adresse IP publique est attribuée à l’instance, le service de mise en réseau fournit un NAT un à un (NAT statique) entre les adresses IP privées et publiques lorsque l’instance tente de communiquer vers une destination sur Internet (via la passerelle Internet).

Comment le trafic pour une adresse IP publique apparaît-il sur l’instance ?

Au niveau du système d’exploitation d’instance, vous ne voyez que l’adresse IP privée de la VNIC attachée à l’instance. Lorsque le trafic envoyé à l’adresse IP publique est reçu, le service de mise en réseau effectue une traduction d’adresse réseau (NAT) de l’adresse IP publique vers l’adresse IP privée correspondante. Le trafic apparaît dans votre instance avec l’adresse IP de destination définie sur l’adresse IP privée.

Puis-je attribuer une adresse MAC à mon instance de calcul ?

Non. Le service de mise en réseau attribue l’adresse MAC.

L’IPv6 est-il pris en charge ?

Oui, IPv6 est pris en charge. Pour plus d’informations, consultez Adresses IPv6.

Prenez-vous en charge la multidiffusion IP ou la diffusion au sein du VCN ?

Non, pas actuellement.

VCN prend-il en charge la prise de contrôle IP transparente en utilisant des ARP gratuits (GARP) ?

Non, pas actuellement.

Bring Your Own IP Address (BYOIP)

Qu’est-ce que la fonction Bring Your Own IP Address (BYOIP) ?

La fonction Bring your own IP (BYOIP) vous permet d’importer des blocs IPv4 CIDR routables publiquement dans Oracle Cloud Infrastructure afin que vos ressources puissent les utiliser.

Quels sont les avantages de la fonction BYOIP ?

Les adresses IP sont des actifs qui sont soigneusement gérés et contrôlés par une entreprise. Certaines applications exigent une forte réputation IP pour l’envoi de courrier, d’autres applications ont établi des stratégies d’accessibilité dans le cadre de déploiements mondiaux et certaines applications ont des décences architecturales sur leurs adresses IP. La migration d’un préfixe IP d’une infrastructure sur site vers OCI vous permet de minimiser l’impact sur vos clients et vos applications tout en profitant de tous les avantages d’Oracle Cloud Infrastructure. BYOIP dans OCI vous permettra de minimiser les temps d’arrêt pendant la migration en annonçant simultanément votre préfixe d’adresse IP à OCI et en le retirant de l’environnement sur site.

Comment commencer avec BYOIP ?

Le processus de déplacement d’un préfixe IP à utiliser dans OCI démarre dans le portail sous Mise en réseau> Gestion IP ou peut être initiée via l’API. Il n’y a que quelques étapes faciles.

  1 - Lancer la demande d'envoi d'un CIDR IP à OCI (le CIDR IP doit être un /24 ou plus appartenant à votre entreprise).
  2 - Enregistrer un jeton de validation généré à partir de la demande auprès du service de registre Internet régional (RIR) (ARIN, RIPE ou APNIC). Suivez les étapes de la documentation.
  3 - Une fois le jeton inscrit, revenez à la console et cliquez sur Valider le bloc CIDR pour qu'Oracle puisse terminer le processus de validation. Oracle valide que votre bloc CIDR ait été correctement enregistré pour le transfert et provisionne votre BYOIP. Cette étape peut prendre jusqu’à 10 jours ouvrables. Vous êtes averti par e-mail lorsque le processus est terminé. Vous pouvez également vérifier l’avancement de cette étape dans vos demandes de travaux.

Que faire avec le jeton de validation émis par Oracle ?

Que faire avec le jeton de validation émis par Oracle ? Dans le cadre de l’importation d’un bloc CIDR BYOIP, Oracle émet un jeton de validation. Une fois que vous avez votre token, vous devrez le modifier légèrement, en ajoutant les informations ci-dessous. Vous pouvez utiliser n’importe quel éditeur de texte.

OCITOKEN:: <CIDRblock> : <validation_token>

Pour soumettre le jeton de validation à votre RIR (Regional Internet Registry).

ARIN : ajoutez la chaîne de jeton modifiée dans la section « Commentaires publics » de votre plage d'adresses. Ne l’ajoutez pas à la section des commentaires de votre entreprise.
RIPE : ajoutez la chaîne de jeton modifiée en tant que nouveau champ « descr » de votre plage d’adresses. Ne l’ajoutez pas à la section des commentaires de votre entreprise.
APNIC : ajoutez-le dans le champ « remarques » de votre plage d’adresses en envoyant la chaîne de jeton modifiée par e-mail à l’adresse helpdesk@apnic.net. Envoyez l’e-mail en utilisant le contact autorisé de l’APNIC pour les adresses IP.

Comment utiliser les adresses BYOIP avec les ressources OCI ?

Une fois que le CIDR IP est validé, vous en avez le contrôle total. Gérez le préfixe en le divisant en plus petits pools d’IP et créez des adresses IP réservées à utiliser avec vos ressources.

Quelles ressources OCI peuvent être utilisées avec le CIDR BYOIP ?

Vous pouvez attribuer des adresses BYOIP aux instances compute, NAT Gateway et LBaaS. Vous pouvez gérer l’espace IP par le biais de pools d’IP et créer des adresses IP réservées.

Dois-je contrôler la publicité du préfixe BYOIP après son intégration ?

Une fois que le préfixe IP est intégré à OCI, vous contrôlez la publicité et le retrait du préfixe.

Combien de temps dure la validation et l’intégration BYOIP ?

La validation et le provisionnement de BYOIP peuvent prendre jusqu'à 10 jours ouvrables. Vous serez averti par e-mail lorsque le processus est terminé.

Un préfixe BYOIP peut-il être déplacé entre les régions OCI ?

Non. Le préfixe BYOIP est attribué à une région OCI spécifique et ne sera annoncé que dans la région où il est intégré.

Quels sont les préfixes de taille minimale et maximale que je peux utiliser pour BYOIP ?

Le préfixe minimum pour le BYOIP est un /24 et le préfixe maximum est un /8. Vous n’êtes pas obligé d’apporter tout votre espace IP à OCI. Si vous possédez un bloc IP plus important, vous pouvez choisir les préfixes à apporter à OCI.

Comment distribuer mon préfixe BYOIP dans des pools IP ?

Une fois le préfixe intégré, vous contrôlez la distribution des adresses et de la stratégie au sein de votre locataire OCI. Vous pouvez conserver le préfixe dans un pool IP ou distribuer le préfixe à /28 pour une utilisation avec vos ressources OCI.

Puis-je créer des adresses IP réservées à partir de mon préfixe BYOIP ?

Oui, Vous pouvez créer des adresses IP réservées à partir d’un préfixe BYOIP. Voir plus d'informations sous « Adressage IP » ici : https://www.oracle.com/cloud/networking/virtual-cloud-network-faq.html

Puis-je apporter mon propre préfixe IPv6 à OCI ?

La fonction BYOIP ne prend en charge que les préfixes IPv4.

Puis-je toujours utiliser les adresses IP éphémères et réservées appartenant à Oracle si j’apporte mon propre préfixe à OCI ?

Oui, Vous pouvez toujours utiliser les adresses IP éphémères et réservées appartenant à Oracle avec vos propres adresses IP. Les limites standard s’appliquent aux adresses Oracle.

Connectivité

Quelles options de connectivité sont disponibles pour les instances exécutées dans mon VCN ?

Les instances peuvent se connecter à :

  • Internet (via une passerelle Internet)
  • Votre datacenter On-Premise utilisant une connexion VPN IPSec ou FastConnect (via une passerelle de routage dynamique)
  • Instances dans des VCN appairés (dans la même région ou une autre région)
  • Services Oracle Cloud Infrastructure tels que Object Storage, ADW (via une passerelle de service)

Qu’est-ce qu’une passerelle Internet ?

Une passerelle Internet est un routeur défini par logiciel, hautement disponible et tolérant aux pannes, fournissant une connectivité Internet publique pour les ressources à l’intérieur de votre VCN. À l’aide d’une passerelle Internet, une instance de calcul avec une adresse IP publique qui lui est affectée peut communiquer avec des hôtes et des services sur Internet.

Au lieu d’utiliser une passerelle Internet, vous pouvez connecter votre VCN à votre datacenter On-Premise, à partir duquel vous pouvez acheminer le trafic vers Internet via vos points de sortie réseau existants.

Qu’est-ce qu’une passerelle NAT ?

Une passerelle NAT est un routeur fiable et hautement disponible qui fournit une connectivité Internet sortante uniquement pour les ressources à l’intérieur de votre VCN. Avec une passerelle NAT, les instances privées (avec uniquement une adresse IP privée) peuvent initier des connexions aux hôtes et services sur Internet, mais ne peuvent pas recevoir les connexions entrantes initiées depuis Internet.

Puis-je avoir plus d’une passerelle NAT par VCN ?

Non. La limite par défaut est d’une passerelle NAT par VCN. Nous nous attendons à ce que cela soit suffisant pour la grande majorité des applications.

Si vous souhaitez allouer plusieurs passerelles NAT dans un VCN spécifique, demandez une augmentation de limite. Pour savoir comment demander une augmentation des limites, consultez les Limites de service.

Existe-t-il de nouvelles limites de débit lors de l’utilisation d’une passerelle NAT ?

Les instances obtiennent le même débit avec la passerelle NAT que lorsque le trafic est acheminé via une passerelle Internet. En outre, un flux de trafic unique via la passerelle NAT est limité à 1 Gbps (ou moins pour les petites formes d’instance).

Existe-t-il une limite de connexion simultanée lors de l’utilisation d’une passerelle NAT ?

Oui, Il existe une limite de ~20 000 connexions simultanées à une seule adresse IP et un seul port de destination. Cette limite est l’ensemble de toutes les connexions initiées par des instances à travers le VCN qui utilisent la passerelle NAT.

Qu’est-ce qu’une passerelle de routage dynamique (DRG) ?

Une passerelle de routage dynamique est un routeur défini par logiciel, hautement disponible et tolérant aux pannes que vous pouvez ajouter à un VCN. Il fournit un chemin privé pour le trafic entre le VCN et d’autres réseaux en dehors de la région du VCN, tels que votre datacenter On-Premise ou un VCN appairé dans une autre région. Pour connecter votre VCN avec votre datacenter On-Premise, vous pouvez configurer un VPN IPSec ou FastConnect au DRG du VCN. La connexion permet à vos hôtes et instances On-Premise de communiquer en toute sécurité.

Qu’est-ce qu’un objet CPE (Customer Premise Equipment) et pourquoi en ai-je besoin ?

Vous devez utiliser cet objet si vous configurez un VPN IPSec. Il s’agit d’une représentation virtuelle du routeur réel qui est local sur votre site, à votre extrémité du VPN. Lorsque vous créez cet objet dans le cadre de la configuration d’un VPN IPSec, vous spécifiez l’adresse IP publique de votre routeur On-Premise.

Ai-je besoin d’une passerelle Internet pour établir un VPN IPSec sur mon datacenter On-Premise ?

Non. Il vous suffit de provisionner un DRG, de le joindre à votre VCN, de configurer l’objet CPE et la connexion IPSec, et de configurer les tables de routage.

Quels routeurs ou passerelles d’équipement sur site du client avez-vous testés avec le VPN IPSec Oracle Cloud Infrastructure ?

Consultez la liste des configurations de terminaux testées.

J’ai un routeur VPN IPSec qui ne figure pas sur la liste ci-dessus des équipements testés. Puis-je l’utiliser pour me connecter à mon VCN ?

Oui, Si vous le configurez conformément aux informations de configuration CPE génériques. Nous prenons en charge plusieurs options de configuration pour maximiser l’interopérabilité avec différents terminaux VPN.

Comment puis-je garantir la disponibilité de ma connexion IPSec VPN entre Oracle Cloud Infrastructure et mon datacenter On-Premise ?

Oracle provisionne deux tunnels VPN dans le cadre de la connexion IPSec. Assurez-vous de configurer les deux tunnels sur votre CPE pour la redondance.

De plus, vous pouvez déployer deux routeurs CPE dans votre datacenter On-Premise, chacun étant configuré pour les deux tunnels.

Puis-je utiliser un logiciel VPN pour me connecter à mon VCN ?

IPSec VPN est une norme ouverte. Les IPSec VPN logiciels peuvent interagir avec Oracle Cloud Infrastructure. Vous devez vérifier que votre logiciel IPSec VPN prend en charge au moins un paramètre IPSec Oracle pris en charge dans chaque groupe de configuration conformément aux informations de configuration CPE génériques.

Le trafic entre deux adresses IP publiques OCI reste-t-il dans OCI ?

Oui, Le trafic entre deux adresses IP publiques OCI dans la même région reste dans la région OCI. Le trafic entre les adresses IP publiques OCI dans différentes régions circule sur la dorsale OCI privée. Dans les deux cas, le trafic ne traverse pas Internet. La liste complète des adresses IP publiques OCI est disponible ici : https://docs.cloud.oracle.com/en-us/iaas/tools/public_ip_ranges.json.

Passerelle de service

Qu'est-ce qu'Oracle Services Network ?

Oracle Services Network est un réseau conceptuel dans Oracle Cloud Infrastructure qui est réservé aux services Oracle. Le réseau comprend une liste de blocs CIDR régionaux. Chaque service de Oracle Services Network expose un point de terminaison de service qui utilise les adresses IP publiques du réseau. Un grand nombre de services Oracle sont actuellement disponibles sur ce réseau (consultez la liste complète) et d’autres services seront ajoutés à l’avenir lors de leur déploiement sur Oracle Cloud Infrastructure.

Qu’est-ce qu’une passerelle de service ?

Une passerelle de service permet aux ressources de votre VCN d’accéder de manière privée et sécurisée aux services Oracle dans Oracle Services Network, comme Oracle Cloud Infrastructure Object Storage, ADW et ATP. Le trafic entre une instance du VCN et un service Oracle pris en charge utilise l’adresse IP privée de l’instance pour le routage, parcourt la structure Oracle Cloud Infrastructure et ne traverse jamais Internet. Tout comme la passerelle Internet ou NAT, la passerelle de service est un terminal virtuel hautement disponible et évolutif de manière dynamique pour prendre en charge la bande passante réseau de votre VCN.

À quels services Oracle Cloud Infrastructure puis-je accéder via une passerelle de service ?

Actuellement, vous pouvez configurer la passerelle de service pour accéder aux services Oracle dans Oracle Services Network. Un grand nombre de services Oracle sont actuellement disponibles sur ce réseau (consultez la liste complète) et d’autres services seront ajoutés à l’avenir lors de leur déploiement sur Oracle Cloud Infrastructure.

J’utilise actuellement une passerelle Internet ou NAT pour accéder à un service Oracle tel que ADW. Comment utiliser la passerelle de service pour accéder au même point de terminaison de service Oracle ?

  • Créez une passerelle de service pour le VCN.
  • Mettez à jour le routage VCN pour transférer tout le trafic des services Oracle dans Oracle Services Network à l’aide de la passerelle de service au lieu d’utiliser la passerelle Internet ou NAT.

Pour obtenir des instructions, voir la section Accès à Object Storage : passerelle de service. Veuillez noter que la passerelle de service permet d’accéder aux services Oracle dans la région pour protéger vos données d’Internet. Vos applications peuvent nécessiter l’accès à des points de terminaison publics ou à des services non pris en charge par la passerelle de service, par exemple, pour les mises à jour ou les correctifs. Assurez-vous que vous disposez d’une passerelle NAT ou d’un autre accès à Internet si nécessaire.

Qu’est-ce qu’une étiquette de service CIDR ?

La passerelle de service utilise le concept d’une étiquette de service CIDR, qui est une chaîne représentant toutes les plages d’adresses IP publiques régionales pour le service ou un groupe de services (par exemple, OCI IAD Services dans Oracle Services Network est l’étiquette qui mappe aux blocs CIDR régionaux d’Oracle Services Network dans us-ashburn-1). Vous utilisez l’étiquette de service CIDR lorsque vous configurez la passerelle de service et les règles de routage/sécurité. Pour obtenir des instructions, voir Accès à Oracle Services : passerelle de service.

Puis-je configurer la passerelle de service pour accéder aux services en cours d’exécution dans une autre région ?

Non. La passerelle de services est régionale et ne peut accéder qu’aux services exécutés dans la même région.

Puis-je autoriser l’accès à un compartiment de stockage d’objets à partir de VCN ou de sous-réseaux spécifiques uniquement ?

Oui, Si vous utilisez une passerelle de service, vous pouvez définir une stratégie IAM qui autorise l’accès à un compartiment uniquement si les demandes proviennent d’une plage VCN ou CIDR spécifique. La stratégie IAM fonctionne uniquement pour le trafic acheminé via la passerelle de service. L’accès est bloqué si la stratégie IAM est en place et que le trafic passe via une passerelle Internet. Sachez également que la stratégie IAM vous empêche d’accéder au compartiment à travers la console. L’accès n’est autorisé que par programme à partir des ressources du VCN.

Pour un exemple de stratégie IAM, voir Accès à Object Storage : passerelle de service.

Puis-je avoir plusieurs passerelles de service dans mon VCN ?

Non. Un VCN ne peut avoir qu’une seule passerelle de service à l’heure actuelle.

Puis-je utiliser une passerelle de service avec l’appairage VCN ?

Non. Un VCN appairé avec un autre VCN qui possède une passerelle de service ne peut pas utiliser cette passerelle de service pour accéder aux services Oracle.

Puis-je utiliser une passerelle de service pour établir la connectivité (via FastConnect) de mon réseau On-Premise à mon VCN ?

Non. Cependant, vous pouvez utiliser l’appairage public FastConnect pour cela (sans passer par Internet).

Existe-t-il de nouvelles limites de débit lors de l’utilisation d’une passerelle de service ?

Non. Les instances obtiennent le même débit avec la passerelle de service que lorsque le trafic est acheminé via une passerelle Internet.

Combien coûte la passerelle de service ?

La passerelle de service est gratuite pour tous les clients Oracle Cloud Infrastructure.

Sécurité VCN

Que sont les listes de sécurité et pourquoi en ai-je besoin ?

Une liste de sécurité fournit un pare-feu virtuel pour une instance, avec des règles d’entrée et de sortie qui spécifient les types de trafic autorisés dans et hors de l’instance. Vous pouvez sécuriser votre instance de calcul à l’aide de listes de sécurité. Vous configurez vos listes de sécurité au niveau du sous-réseau, ce qui signifie que toutes les instances du sous-réseau sont soumises au même ensemble de règles de liste de sécurité. Les règles sont appliquées au niveau d’instance et le trafic de contrôle au niveau du paquet.

Quelles listes de sécurité s’appliquent à une instance donnée ? Comment la liste de sécurité par défaut du VCN est-elle impliquée ?

Un VNIC donné sur une instance est soumis aux listes de sécurité associées au sous-réseau de la VNIC. Lorsque vous créez un sous-réseau, vous spécifiez une ou plusieurs listes de sécurité à lui associer, et qui peuvent inclure la liste de sécurité par défaut du VCN. Si vous ne spécifiez pas au moins une liste de sécurité lors de la création du sous-réseau, la liste de sécurité par défaut du VCN est associée au sous-réseau. Les listes de sécurité sont associées au niveau du sous-réseau, mais les règles s’appliquent au trafic de la VNIC au niveau du paquet.

Puis-je modifier les listes de sécurité utilisées par mon sous-réseau après avoir créé le sous-réseau ?

Oui, Vous pouvez modifier les propriétés de sous-réseau pour ajouter ou supprimer des listes de sécurité. Vous pouvez également modifier les règles individuelles dans une liste de sécurité.

Combien de listes de sécurité et de règles puis-je configurer ?

Il y a une limite au nombre de listes de sécurité que vous pouvez créer, au nombre de listes que vous pouvez associer à un sous-réseau et au nombre de règles que vous pouvez ajouter à une liste donnée. Pour connaître les limites de service actuelles et les instructions sur la façon de demander une augmentation des limites, consultez la Documentation d’aide sur les limites de service.

Puis-je utiliser des règles de « refus » dans les listes de sécurité ?

Non. Les listes de sécurité utilisent uniquement des règles « autoriser ». Tout le trafic est refusé par défaut et seul le trafic réseau correspondant aux attributs spécifiés dans les règles est autorisé.

Quels types de règles sont pris en charge dans les listes de sécurité ?

Chaque règle est soit avec état, soit sans état, et soit une règle d’entrée, soit une règle de sortie.

Avec les règles avec état, une fois qu’un paquet réseau correspondant à la règle est autorisé, le suivi de connexion est utilisé et tous les autres paquets réseau appartenant à cette connexion sont automatiquement autorisés. Ainsi, si vous créez une règle d’entrée avec état, le trafic entrant correspondant à la règle et le trafic sortant (réponse) correspondant sont autorisés.

Avec les règles sans état, seuls les paquets réseau correspondant à la règle sont autorisés. Ainsi, si vous créez une règle d’entrée sans état, seul le trafic entrant est autorisé. Vous devez créer une règle de sortie sans état correspondante pour faire correspondre le trafic sortant (réponse) correspondant.

Pour plus d’informations, consultez la Documentation de prise en charge des listes de sécurité.

Que sont les groupes de sécurité réseau et en quoi diffèrent-ils des listes de sécurité ?

Les groupes de sécurité réseau et les listes de sécurité sont deux façons différentes d’implémenter des règles de sécurité, qui sont des règles qui contrôlent le trafic entrant et sortant autorisé vers et depuis les VNIC.

Les listes de sécurité vous permettent de définir un ensemble de règles de sécurité qui s’appliquent à toutes les VNIC dans un sous-réseau donné. Les groupes de sécurité réseau (NSG) vous permettent de définir un ensemble de règles de sécurité qui s’appliquent à un groupe de VNIC de votre choix. Par exemple : un groupe d'instances de calcul qui ont la même posture de sécurité.

Pour plus d’informations, voir :

Y a-t-il un ordre ou une priorité des règles de sécurité dans les NSG par rapport aux listes de sécurité ?

Non. Par défaut, tout le trafic est refusé. Les règles de sécurité autorisent uniquement le trafic. L'ensemble des règles qui s'appliquent à un VNIC donné est l'union de ces éléments :

  • Les règles de sécurité dans les listes de sécurité associées au sous-réseau de la VNIC
  • Les règles de sécurité dans tous les NSG dans lesquels se trouve la VNIC

Quels services Oracle prennent en charge l’utilisation des NSG ?

Services de calcul, d’équilibrage de charge et de base de données. Cela signifie que lorsque vous créez une instance de calcul, un équilibreur de charge ou un système de base de données, vous pouvez spécifier un ou plusieurs groupes de sécurité réseau pour contrôler le trafic de ces ressources.

Avec l’introduction de la fonctionnalité NSG, avons-nous besoin d’une liste de sécurité ?

Avec l’introduction des NSG, aucun changement n’est apporté au comportement de la liste de sécurité. Votre VCN possède toujours une liste de sécurité par défaut que vous pouvez éventuellement utiliser avec les sous-réseaux de votre VCN.

Pouvons-nous définir NSG comme source ou destination des règles de sécurité ?

Lors de l’écriture de règles pour un NSG, vous avez la possibilité de spécifier un NSG comme source de trafic (pour les règles d’entrée) ou destination du trafic (pour les règles de sortie). La possibilité de spécifier un NSG signifie que vous pouvez facilement écrire des règles pour contrôler le trafic entre deux NSG différents. Les NSG doivent être dans le même VCN.

Puis-je écrire des règles de sécurité qui contrôlent explicitement le trafic entre les NSG dans différents VCN ?

Non. Lorsque vous écrivez une règle de sécurité NSG qui spécifie un autre NSG comme source ou destination, ce NSG doit être dans le même VCN. Cela est vrai même si l’autre NSG est dans un VCN homologue différent de la liste de sécurité.

Les listes de sécurité vous permettent de définir un ensemble de règles de sécurité qui s’appliquent à toutes les VNIC dans l’intégralité d’un sous-réseau, tandis que les groupes de sécurité réseau (NSG) vous permettent de définir un ensemble de règles de sécurité qui s’appliquent à un groupe de VNIC de votre choix (y compris les VNIC d’équilibreurs de charge ou les systèmes de base de données) dans un VCN.

Routage VCN

Qu’est-ce qu’une table de routage VCN ?

Une table de routage VCN contient des règles pour acheminer le trafic qui est finalement destiné à des emplacements en dehors du VCN.

Chaque règle d’une table de routage a un bloc CIDR de destination et une cible de routage. Lorsque le trafic sortant du sous-réseau correspond au bloc CIDR de destination de la règle de routage, le trafic est acheminé vers la cible du routage. Il peut s'agir, par exemple, d'une passerelle Internet ou d'une passerelle de routage dynamique.

Pour plus d’informations, consultez les Tables de routage.

Quelles tables de routage sont applicables à une instance donnée ? Comment la table de routage par défaut du VCN est-elle impliquée ?

Un VNIC donné sur une instance est soumis à la table de routage associée au sous-réseau de la VNIC. Lorsque vous créez un sous-réseau, vous spécifiez une table de routage à associer à celui-ci, qui peut être la table de routage par défaut du VCN ou une autre que vous avez déjà créée. Si vous ne spécifiez pas de table de routage lors de la création du sous-réseau, la table de routage par défaut du VCN est associée au sous-réseau. La table de routage est associée au niveau du sous-réseau, mais les règles s’appliquent au trafic de la VNIC au niveau du paquet.

Puis-je créer une règle de routage pour tout bloc CIDR de destination ?

Non. Actuellement, vous ne pouvez ajouter une règle de routage que pour un bloc CIDR qui ne chevauche pas l’espace d’adressage du VCN.

Puis-je modifier la table de routage utilisée par mon sous-réseau après avoir créé le sous-réseau ?

Oui, Vous pouvez modifier les propriétés de sous-réseau pour modifier la table de routage. Vous pouvez également modifier les règles individuelles dans une table de routage.

Le VCN prend-il en charge le routage basé sur la source ?

Non, pas actuellement.

Combien de règles de routage puis-je créer dans une seule table de routage ?

Il y a une limite au nombre de règles dans une table de routage. Consultez la Documentation d’aide sur les limites de service.

Puis-je utiliser une adresse IP privée comme cible de routage dans la règle de routage VCN ?

Oui, Vous pouvez utiliser une adresse IP privée comme cible d’une règle de routage dans les situations où vous souhaitez acheminer le trafic d’un sous-réseau vers une autre instance du même VCN. Pour consulter les exigences et autres détails, consultez Utilisation d’une adresse IP privée comme cible de routage.

Appairage VCN

Qu’est-ce que l’appairage VCN ?

L’appairage VCN est un processus de connexion de deux VCN pour permettre la connectivité privée et le flux de trafic entre eux. Il existe deux types généraux d’appairage :

  • Appairage VCN local (ou appairage intra-région) : les deux réseaux cloud virtuels se trouvent dans la même région. Ils peuvent être dans la même entité (dans le même compartiment ou dans des compartiments différents), ou dans des entités différentes.
  • Appairage VCN à distance (ou appairage intra-région) : les deux réseaux cloud virtuels se trouvent dans la même région.

Pour plus d'informations, voir Accès à d'autres réseaux cloud virtuels : appairage.

L’appairage VCN est-il pris en charge dans toutes les régions ?

  • L’appairage VCN local (ou apparaige intrarégion) est pris en charge dans toutes les régions.
  • L’appairage VCN à distance (ou l’appairage interrégion) est actuellement pris en charge. La liste des régions prises en charge se trouve dans la documentation produit.

Pourquoi ai-je besoin de l’appairage VCN ?

  • Avec l’appairage VCN local, vous obtenez la flexibilité nécessaire pour organiser vos ressources dans des VCN séparés et répondre aux exigences de gouvernance et de présence régionale, tout en permettant une connectivité privée entre ces VCN. Avec l’appairage VCN local en colocation, vous obtenez la flexibilité nécessaire pour organiser vos ressources en VCN séparés dans différentes entités, tout en permettant la connectivité privée entre ces VCN. Vous pouvez également activer un modèle de fournisseur de services en fournissant un accès privé à vos services pour plusieurs VCN de consommateurs (dans des entités différentes) situés dans la même région.
  • Avec l’appairage VCN à distance, vous obtenez la flexibilité nécessaire pour organiser vos ressources dans des VCN séparés et répondre à vos exigences en matière de gouvernance, de présence multirégionale et de DR, tout en permettant une connectivité privée entre ces VCN dans différentes régions.

Quels sont les avantages de l’appairage VCN local ?

  • Une alternative fiable et sans frais aux modèles de connectivité tels que le VPN en éliminant les passerelles Internet, les adresses IP publiques pour les instances, le chiffrement et les goulots d’étranglement des performances.
  • Facilité d’activation de l’appairage entre VCN sans interruption planifiée.
  • Connectivité privée pour les ressources dans des VCN appairés à l’aide des liens hautement redondants de la structure Oracle Cloud Infrastructure avec une bande passante et une latence prévisibles.

Comment puis-je établir un appairage VCN local entre deux VCN ?

Pour obtenir des instructions, consultez l’Appairage VCN local.

Puis-je établir un appairage local entre deux VCN avec des plages d’adresses qui se chevauchent ?

Non. Les deux VCN dans une relation d’appairage locale ne peuvent pas avoir de CIDR qui se chevauchent.

Puis-je établir un appairage local de mon VCN vers deux autres VCN dont les plages d’adresses IP se chevauchent ?

Oui, Si le VCN-1 est appairé avec deux autres VCN (par exemple, VCN-2 et VCN-3), ces deux VCN (VCN-2 et VCN-3) peuvent avoir des CIDR qui se chevauchent.

Puis-je établir une connexion d’appairage locale à un VCN appartenant à un autre compte ?

Oui,

Combien d’appairages locaux puis-je établir par VCN ?

Un VCN donné peut avoir un maximum de dix appairages locaux à la fois.

Quels sont les avantages de l’appairage VCN à distance ?

  • Une alternative fiable et à faible coût aux modèles de connectivité tels que le VPN en éliminant les passerelles Internet, les adresses IP publiques pour les instances, le chiffrement et les goulots d’étranglement des performances.
  • Facilité d’activation de l’appairage entre VCN sans interruption planifiée.
  • Connectivité privée pour les ressources dans des VCN appairés à l’aide des liens principaux hautement redondants d’Oracle Cloud Infrastructure avec une bande passante et une latence prévisibles.

Ai-je besoin d’une passerelle Internet pour créer une connexion d’appairage à distance ?

Non. Vous établissez une connexion d’appairage à distance à l’aide d’une passerelle de routage dynamique (DRG).

Comment puis-je établir un appairage VCN à distance entre deux VCN ?

Pour obtenir des instructions, consultez Appairage d’un VCN à distance.

Puis-je établir un appairage à distance entre deux VCN avec des plages d’adresses qui se chevauchent ?

Non. Les deux VCN dans une relation d’appairage à distance ne peuvent pas avoir de CIDR qui se chevauchent.

Puis-je établir un appairage à distance de mon VCN vers deux autres VCN dont les plages d’adresses IP se chevauchent ?

Non. Si le VCN-1 est appairé à distance avec deux autres VCN (VCN-2 et VCN-3), ces deux VCN (VCN-2 et VCN-3) ne peuvent pas avoir des CIDR qui se chevauchent.

Puis-je établir une connexion d’appairage à distance à un VCN appartenant à un autre compte ?

Non.

Mon trafic d’appairage VCN à distance est-il chiffré ?

Oui, Votre trafic d’appairage VCN à distance est chiffré à l’aide du chiffrement de lien standard du secteur d’activité.

Combien d’appairages à distance puis-je établir par VCN ?

Un VCN donné peut avoir un maximum de dix appairages à distance à la fois.

En tant qu’administrateur de VCN-A, puis-je contrôler la connectivité à un sous-réseau spécifique uniquement sur le VCN-B appairé ?

Oui, Vous pouvez utiliser les tables de routage et les listes de sécurité de VCN-A pour contrôler la connectivité au VCN-B appairé. Vous pouvez autoriser la connectivité à la plage d’adresses complète de VCN-B ou la limiter à un ou plusieurs sous-réseaux.

En tant qu’administrateur de VCN-A, puis-je contrôler quels sous-réseaux de VCN-A sont accessibles à partir du VCN-B appairé ?

Oui, Une fois l’appairage local ou à distance établi, les instances de VCN-B peuvent envoyer du trafic vers la plage d’adresses complète de VCN-A. Cependant, vous pouvez limiter l’accès des instances de VCN-B à un sous-réseau spécifique dans VCN-A en utilisant les règles d’entrée appropriées dans les listes de sécurité du sous-réseau.

Y a-t-il un impact sur les performances d’après le débit et la latence sur l’appairage local établi entre deux VCN ?

Non. Le débit et la latence doivent être proches des connexions intra-VCN. Le trafic sur l’appairage local possède des contraintes de disponibilité et de bande passante similaires à celles du trafic entre les instances d’un VCN.

Y a-t-il un impact sur les performances d’après le débit et la latence sur l’appairage à distance établi entre deux VCN ?

L’appairage VCN à distance utilise le réseau principal interrégion Oracle Cloud Infrastructure, qui est conçu pour offrir des performances et des caractéristiques de disponibilité supérieures, et un SLA de disponibilité de 99,5 % pour la connectivité interrégion. À titre indicatif, Oracle fournit un débit et une latence de plus de 75 Mbps et moins de 60 ms entre les régions des États-Unis, 80 ms entre l’UE et les États-Unis, 175 ms entre les États-Unis et l’APAC, et 275 ms entre l’UE et l’APAC.

Quel est le prix de l’appairage VCN ?

  • Appairage local (intra-région) : gratuit.
  • Appairage à distance (inter-région) : les tarifs dépendent du transfert de données sortant. Reportez-vous aux derniers tarifs publiés pour « Transfert de données sortantes ».

Routage de transit VCN

Qu’est-ce que le routage de transit VCN (VTR) ?

La solution de routage de transit VCN (VTR) est basée sur une topologie hub-and-spoke et permet au VCN du hub de fournir une connectivité de transit entre plusieurs VCN spoke (dans la région) et les réseaux On-Premise. Un seul FastConnect ou VPN IPSec (connecté au hub VCN) est requis pour permettre au réseau On-Premise de communiquer avec tous les VCN spoke.

Comment démarrer avec le routage de transit VCN (VTR) ?

Consultez les instructions dans Configuration du routage de transit VCN dans la console.

À quels types de réseaux distants les VCN spoke peuvent-ils accéder en utilisant le hub VCN ?

Actuellement, les VCN spoke peuvent accéder à vos réseaux On-Premise à l’aide du VCN hub.

Puis-je configurer le VCN hub pour fournir une connectivité aux VCN spoke dans les régions Oracle Cloud Infrastructure à distance ?

Non. La solution de routage de transit VCN prend uniquement en charge la connectivité consolidée entre VCN dans la même région.

Puis-je configurer le VCN hub pour qu’un VCN spoke puisse accéder uniquement à des sous-réseaux spécifiques dans le réseau On-Premise ?

Oui, Vous pouvez contrôler cela avec la table de routage associée au LPG sur le VCN hub. Vous pouvez configurer des règles de routage restrictives qui spécifient uniquement les sous-réseaux On-Premise que vous souhaitez mettre à la disposition du VCN spoke. Les routages annoncés au VCN spoke sont ceux de cette table de routage et du CIDR du VCN hub.

Puis-je configurer le VCN hub pour qu’un réseau On-Premise puisse accéder uniquement à des sous-réseaux spécifiques dans le VCN spoke ?

Oui, Vous pouvez contrôler cela avec la table de routage associée au DRG sur le VCN hub. Vous pouvez configurer des règles de routage restrictives qui spécifient uniquement les sous-réseaux VCN spoke que vous souhaitez mettre à la disposition du réseau On-Premise. Les routages annoncés sur le réseau On-Premise sont ceux de cette table de routage et du CIDR du VCN hub.

Existe-t-il une limite au nombre de VCN spoke pouvant être appairés avec le VCN hub ?

Oui, Le VCN hub est limité à un maximum de 10 appairages locaux avec des VCN spoke.

Puis-je configurer le VCN hub pour que le réseau On-Premise puisse accéder aux services Oracle ?

Oui, Vous pouvez ajouter une passerelle de service à un VCN connecté à votre réseau sur site via FastConnect ou Site-to-Site VPN Vous pouvez ensuite configurer des règles de routage sur les tables de routage associées au DRG et à la passerelle de service du VCN pour diriger le trafic On-Premise via le VCN vers les services Oracle d’intérêt. Vos hôtes On-Premises peuvent utiliser leurs adresses IP privées lors de la communication avec les services Oracle, et le trafic ne passe pas sur Internet.

Pour plus d'informations, voir Routage de transit : accès privé aux services Oracle.

Puis-je activer le routage via une appliance virtuelle réseau (telle qu’une instance de pare-feu) dans le VCN hub ?

Oui, Vous pouvez configurer le routage du transit via une adresse IP privée dans le VCN hub. Dans ce cas, vous acheminez le trafic vers une adresse IP privée sur l’instance de pare-feu dans le VCN hub. L’instance de pare-feu peut inspecter tout le trafic entre votre réseau On-Premise et les VCN spoke.

Existe-t-il des limites de performances liées au routage du transit VCN ?

Si vous effectuez le routage via une instance de pare-feu (ou tout autre dispositif virtuel réseau) dans le VCN hub, les limites de performances sont basées sur les caractéristiques d’E/S du dispositif virtuel réseau. Si vous n’effectuez pas le routage du trafic via une appliance virtuelle de réseau, et que vous effectuez le routage directement via les passerelles du VCN hub, il n’y a pas de limites de performances. Les passerelles sont des terminaux virtuels qui sont hautement disponibles et évoluent de manière dynamique pour prendre en charge les exigences de bande passante du réseau de votre réseau.

Options DHCP

Que sont les options DHCP ?

Le protocole DHCP (Dynamic Host Configuration Protocol) fournit un cadre pour transmettre des informations de configuration aux hôtes sur un réseau IP. Les paramètres de configuration et d’autres informations de contrôle sont transmis à l’instance dans le champ d’options ( RFC 2132) du message DHCP. Chaque sous-réseau d’un VCN peut être associé à un seul ensemble d’options DHCP.

Quelles options DHCP puis-je configurer ?

Vous pouvez configurer deux options qui contrôlent la façon dont les instances de votre VCN résolvent les noms d’hôte du système de noms de domaine (DNS) :

  • Domaine de recherche. Vous pouvez spécifier un seul domaine de recherche.
  • Type DNS. Choisissez :
    • Résolveur Internet et VCN (par défaut)
    • Résolveur personnalisé (vous pouvez spécifier jusqu’à trois serveurs DNS de votre choix que vous configurez, gérez et maintenez)

Lors de la résolution d’une requête DNS, le système d’exploitation de l’instance utilise les serveurs DNS spécifiés avec le type DNS et ajoute le domaine de recherche à la valeur interrogée. Pour plus d'informations, voir Options DHCP.

Puis-je modifier les options DHCP utilisées par mon sous-réseau après avoir créé le sous-réseau ?

Oui, Vous pouvez modifier les propriétés du sous-réseau pour modifier le jeu d’options DHCP utilisé par le sous-réseau. Vous pouvez également modifier les valeurs des options DHCP.

DNS

Comment configurer un nom d’hôte DNS pour mon instance ?

Lorsque vous lancez une instance, vous pouvez spécifier un nom d’hôte pour l’instance, ainsi qu’un nom d’affichage. Ce nom d’hôte, associé au nom de domaine du sous-réseau, devient le nom de domaine complet (FQDN) de votre instance. Ce nom de domaine complet est unique dans le VCN et se résout dans l’adresse IP privée de votre instance. Pour plus de détails, consultez DNS dans votre réseau cloud virtuel.

Notez que pour que vous puissiez spécifier un nom d’hôte pour l’instance, le VCN et le sous-réseau doivent être configurés pour activer les noms d’hôte DNS.

Comment configurer le VCN et le sous-réseau pour activer les noms d’hôtes ?

Lorsque vous créez un VCN, vous pouvez spécifier son étiquette DNS. Ceci, associé au domaine parent oraclevcn.com, devient le nom de domaine du VCN.

Lorsque vous créez un sous-réseau, vous pouvez spécifier son étiquette DNS. Ceci, associé au nom de domaine du VCN, devient le nom de domaine du sous-réseau.

Vous ne pouvez activer un nom d’hôte pour une instance de calcul que si le VCN et le sous-réseau sont tous deux créés avec une étiquette DNS.

Qu’est-ce que le nom d’hôte DNS d’une instance de calcul ?

Le nom d’hôte DNS est un nom qui correspond à l’adresse IP d’une instance connectée à un réseau. Dans le cas d’un VCN Oracle Cloud Infrastructure, chaque instance peut être configurée avec un nom d’hôte DNS qui correspond à l’adresse privée de l’instance.

Le nom de domaine complet (FQDN) d'une instance ressemble à nomhôte.étiquettednssousréseau.étiquettednsvcn.vcnoracle.com, où nomhôte est le nom d'hôte DNS de l'instance, étiquettednssousréseau et étiquettednsvcn sont les étiquettes DNS du sous-réseau de l'instance et du VCN respectivement.

Le domaine parent oraclevcn.com est réservé pour une utilisation avec les noms d'hôte DNS créés dans Oracle Cloud Infrastructure.

Puis-je renommer le nom d’hôte de mon instance ?

Oui,

Puis-je renommer l’étiquette DNS d’un VCN ou d’un sous-réseau existant ?

Non.

Si mon sous-réseau est configuré pour utiliser un résolveur personnalisé pour DNS, des noms d’hôtes DNS sont-ils créés pour les instances de ce sous-réseau ?

Oui, Des noms d’hôte DNS sont créés pour les instances quel que soit le type DNS sélectionné pour le sous-réseau.

Mon instance peut-elle résoudre les noms d’hôtes des instances dans d’autres VCN ?

Non. L’instance peut résoudre les noms d’hôtes uniquement des instances au sein du même VCN.

Puis-je configurer mes serveurs DNS personnalisés pour résoudre les noms d’hôte DNS internes VCN ?

Oui, vous pouvez le faire avec des serveurs DNS personnalisés configurés dans le VCN. Vous pouvez configurer les serveurs DNS personnalisés à utiliser 169.254.169.254 comme expéditeur pour le domaine VCN (comme contoso.oraclevcn.com).

Notez que les serveurs DNS personnalisés doivent être configurés dans un sous-réseau qui utilise « Internet et résolveur VCN » comme type DNS (pour permettre l’accès à l’adresse IP 169.254.169.254).

Pour obtenir un exemple d’implémentation avec le fournisseur Oracle Terraform, consultez la Configuration DNS hybride.

Facturation

Dois-je payer pour l’utilisation d’un VCN ?

La création et l’utilisation de VCN sont gratuites. Cependant, des frais d’utilisation des autres services Oracle Cloud Infrastructure (y compris les volumes de calcul et de bloc) et des frais de transfert de données s’appliquent aux tarifs publiés. Il n’y a pas de frais de transfert de données pour toute communication entre les ressources au sein d’un VCN.

Comment serai-je facturé lorsque je connecterai mon VCN à mon datacenter On-Premise en utilisant un VPN IPSec ?

Vous êtes facturé uniquement pour les taux de transfert de données sortants Oracle Cloud Infrastructure publiés. Il n’y a aucuns frais de connexion VPN horaires ou mensuels.

Quels sont mes frais d’utilisation si j’utilise d’autres ressources, telles que la base de données ou le service de stockage d’objet, à partir d’instances à l’intérieur de mon VCN ?

Vous n’encourez pas de frais de transfert de données lorsque vous accédez à d’autres services publics Oracle Cloud Infrastructure, tels que le stockage d’objets, dans la même région. Tout le trafic réseau via des adresses IP privées ou publiques entre vos instances et d’autres ressources à l’intérieur de votre VCN, comme une base de données ou un équilibreur de charge, est exempt de frais de transfert de données.

Si vous accédez aux ressources Oracle Cloud Infrastructure publiques via votre VPN IPSec depuis votre VCN, vous encourez les frais de transfert de données sortants publiés.

Vos prix incluent-ils les taxes ?

Sauf indication contraire, les prix Oracle Cloud Infrastructure, y compris les frais de transfert de données sortantes, excluent les taxes et droits applicables, y compris la TVA et toute taxe de vente applicable.