Accès à d'autres réseaux cloud virtuels : appairage
L'appairage de réseaux cloud virtuels est le processus consistant à connecter plusieurs réseaux cloud virtuels. Il existe quatre types d'appairage de réseaux cloud virtuels :
- Appairage local de réseaux cloud virtuels (au sein d'une région) à l'aide de passerelles d'appairage local
- Appairage à distance de réseaux cloud virtuels (entre des régions) à l'aide de connexions d'appairage à distance
- Appairage VCN local via un DRG mis à niveau
- Appairage VCN à distance via un DRG mis à niveau
Vous pouvez utiliser l'appairage de réseaux cloud virtuels pour diviser votre réseau en plusieurs réseaux cloud virtuels (par exemple, en fonction des services ou des secteurs d'activité), chacun ayant un accès direct et privé aux autres. Il n'est pas nécessaire que le trafic circule sur Internet ou via votre réseau sur site au moyen d'un VPN site à site ou de FastConnect. Vous pouvez également placer des ressources partagées dans un même réseau cloud virtuel auquel tous les autres réseaux cloud virtuels peuvent accéder de manière privée.
Chaque VCN peut avoir jusqu'à 10 passerelles d'appairage locales et ne peut être connecté qu'à un seul DRG. Un seul DRG prend en charge jusqu'à 300 attachements VCN, ce qui permet au trafic entre eux de circuler comme indiqué par les tables de routage du DRG. Nous vous recommandons d'utiliser la passerelle de routage dynamique si vous devez effectuer un appairage avec un grand nombre de réseaux cloud virtuels. Si vous souhaitez une bande passante extrêmement élevée et un trafic à très faible latence entre deux réseaux cloud virtuels de la même région, utilisez le scénario décrit dans Appairage VCN local à l'aide de passerelles d'appairage local. L'appairage VCN local via un DRG mis à niveau vous offre plus de flexibilité dans votre routage en raison du plus grand nombre de pièces jointes.
L'appairage à distance de réseaux cloud virtuels étant de type inter-région, vous pouvez l'utiliser par exemple pour mettre en miroir ou sauvegarder des bases de données d'une région à l'autre.
Présentation de l'appairage local de réseaux cloud virtuels
L'appairage local de réseaux cloud virtuels est le processus consistant à connecter deux réseaux cloud virtuels d'une même région afin que leurs ressources puissent communiquer à l'aide d'adresses IP privées sans que le trafic ne soit acheminé sur Internet ou via votre réseau sur site. Les réseaux cloud virtuels peuvent appartenir à la même location Oracle Cloud Infrastructure ou à des locations différentes. Sans appairage, un réseau cloud virtuel donné nécessiterait une passerelle Internet et des adresses IP publiques pour les instances devant communiquer avec un autre réseau cloud virtuel.
L'appairage VCN local via un DRG mis à niveau vous offre plus de flexibilité dans votre routage et une gestion simplifiée, mais entraîne une augmentation de la latence (par microsecondes) due au routage du trafic via un routeur virtuel, le DRG.
Conséquences importantes liées à l'appairage
Cette section récapitule certaines conséquences en matière de contrôle d'accès, de sécurité et de performances pour les réseaux cloud virtuels appairés. En général, vous pouvez contrôler l'accès et le trafic entre deux réseaux cloud virtuels appairés à l'aide des stratégies IAM ainsi que des tables de routage et des listes de sécurité de chaque réseau cloud virtuel.
Contrôle de l'établissement des appairages
Avec les stratégies IAM, vous pouvez contrôler les éléments suivants :
- Les utilisateurs pouvant abonner votre location à une autre région (requis pour l'appairage à distance de réseaux cloud virtuels)
- Les utilisateurs de votre organisation ayant l'autorisation d'établir des appairages de réseaux cloud virtuels (reportez-vous par exemple aux stratégies IAM dans Configuration d'un appairage local et Configuration d'un appairage à distance). La suppression de ces stratégies IAM n'a aucune incidence sur les appairages existants, mais seulement sur la possibilité de créer des appairages ultérieurs.
- Les utilisateurs pouvant gérer les tables de routage et les listes de sécurité
Contrôle du flux de trafic sur la connexion
Même si une connexion d'appairage a été établie entre votre réseau cloud virtuel et un autre, vous pouvez contrôler le flux de paquets sur la connexion avec les tables de routage dans votre réseau cloud virtuel. Par exemple, vous pouvez limiter le trafic uniquement à des sous-réseaux spécifiques de l'autre réseau cloud virtuel.
Sans mettre fin à l'appairage, vous pouvez arrêter le flux de trafic vers l'autre réseau cloud virtuel en enlevant simplement les règles de routage qui dirigent le trafic de votre réseau cloud virtuel vers l'autre. Vous pouvez également arrêter le trafic en enlevant toute règle de liste de sécurité qui autorise le trafic entrant ou sortant avec l'autre réseau cloud virtuel. Cela n'arrête pas le trafic qui passe sur la connexion d'appairage, mais arrête celui au niveau de la carte d'interface réseau virtuelle.
Pour plus d'informations sur le routage et les listes de sécurité, reportez-vous aux points abordés dans les sections suivantes :
Appairage local de réseaux cloud virtuels à l'aide de groupes d'appairage local :
- Concepts importants de l'appairage local
- Tâche E : configurer les tables de routage
- Tâche F : configurer les règles de sécurité
Appairage à distance de réseaux cloud virtuels à l'aide d'une connexion d'appairage à distance :
- Concepts importants de l'appairage à distance
- Tâche E : configurer les tables de routage
- Tâche F : configurer les règles de sécurité
Appairage local de réseaux cloud virtuels à l'aide d'une passerelle de routage dynamique :
- Concepts importants de l'appairage local
- Tâche D : configurer les tables de routage de VCN-A pour envoyer le trafic destiné au CIDR de VCN-B vers l'attachement de passerelle de routage dynamique
- Tâche E : configurer les tables de routage de VCN-B pour envoyer le trafic destiné au CIDR de VCN-A vers l'attachement de passerelle de routage dynamique
- Tâche F : mettre à jour les règles de sécurité
Appairage à distance de réseaux cloud virtuels à l'aide d'une passerelle de routage dynamique :
Contrôle des types de trafic spécifiques autorisés
Il est important que chaque administrateur de réseau cloud virtuel s'assure que l'ensemble du trafic entrant et sortant avec l'autre réseau cloud virtuel est prévu ou attendu et bien défini. En pratique, cela signifie mettre en oeuvre des règles de liste de sécurité qui indiquent explicitement les types de trafic que votre réseau cloud virtuel peut envoyer à l'autre et accepter de l'autre.
Les instances exécutant des images de plate-forme comportent également des règles de pare-feu de système d'exploitation qui contrôlent l'accès à l'instance. Lors du dépannage de l'accès à une instance, assurez-vous que tous les éléments suivants sont définis correctement :
- Règles des groupes de sécurité réseau dans lesquels l'instance se trouve
- Règles des listes de sécurité associées au sous-réseau de l'instance
- Règles de pare-feu de système d'exploitation de l'instance
Si votre instance exécute Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 ou Oracle Linux Cloud Developer 8, vous devez utiliser firewalld pour interagir avec les règles iptables. Pour référence, voici les commandes permettant d'ouvrir un port (1521 dans cet exemple) :
sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
sudo firewall-cmd --reloadEn ce qui concerne les instances comportant un volume d'initialisation iSCSI, la commande --reload précédente peut entraîner des problèmes. Pour obtenir des détails et une solution de contournement, reportez-vous à Le système se bloque après l'exécution de firewall-cmd --reload.
Outre les listes de sécurité et les pare-feu, vous devez évaluer les autres configurations basées sur le système d'exploitation des instances de votre réseau cloud virtuel. Des configurations par défaut peuvent ne pas s'appliquer au CIDR de votre réseau cloud virtuel, mais s'appliquer par inadvertance au CIDR de l'autre réseau cloud virtuel.
Utilisation des règles de liste de sécurité par défaut
Si les sous-réseaux du réseau cloud virtuel utilisent la liste de sécurité par défaut avec les règles par défaut qui l'accompagnent, sachez qu'il existe deux règles autorisant le trafic entrant de n'importe quel emplacement (c'est-à-dire 0.0.0.0/0 et donc l'autre réseau cloud virtuel) :
- Règle entrante avec conservation de statut autorisant le trafic sur le port TCP 22 (SSH) à partir de 0.0.0.0/0 et de n'importe quel port source
- Règle entrante avec conservation de statut autorisant le trafic ICMP de type 3 et de code 4 à partir de 0.0.0.0/0 et de n'importe quel port source
Evaluez ces règles et déterminez si vous voulez les conserver ou les mettre à jour. Comme indiqué plus haut, vérifiez que tout le trafic entrant ou sortant que vous autorisez est prévu/attendu et bien défini.
Préparation à l'impact sur les performances et aux risques de sécurité
En règle générale, vous préparez le réseau cloud virtuel aux façons dont il pourrait être affecté par l'autre réseau cloud virtuel. Par exemple, la charge sur le réseau cloud virtuel ou ses instances pourrait augmenter. Le réseau cloud virtuel pourrait également connaître une attaque malveillante lancée directement à partir de l'autre réseau cloud virtuel ou par le biais de celui-ci.
Concernant les performances : si votre réseau cloud virtuel fournit un service à un autre réseau, soyez prêt à augmenter votre service pour répondre aux exigences de l'autre réseau cloud virtuel. Cela peut signifier être préparé à lancer davantage d'instances si nécessaire. Si vous êtes préoccupé par les niveaux élevés de trafic réseau entrant sur votre réseau cloud virtuel, envisagez d'utiliser des règles de liste de sécurité sans conservation de statut pour limiter le niveau de suivi de connexion que votre réseau cloud virtuel doit effectuer. Ces règles de liste de sécurité sans conservation de statut peuvent également ralentir l'impact d'une attaque par déni de service (DoS).
Concernant les risques de sécurité : vous ne pouvez pas nécessairement contrôler si l'autre réseau cloud virtuel est connecté à Internet. S'il l'est, votre réseau cloud virtuel peut être exposé aux attaques par rebond, dans lesquelles un hôte malveillant situé sur Internet peut envoyer du trafic vers votre réseau cloud virtuel, en faisant comme si celui-ci provenait du réseau cloud virtuel avec lequel vous êtes appairé. Pour éviter cette situation, comme mentionné plus haut, utilisez les listes de sécurité afin de limiter minutieusement le trafic entrant à partir de l'autre réseau cloud virtuel au trafic attendu et bien défini.