Tables de routage de réseau cloud virtuel
Cette rubrique explique comment gérer les tables de routage d'un réseau cloud virtuel. Pour plus d'informations sur les tables de routage dans une passerelle de routage dynamique (DRG), reportez-vous à Passerelles de routage dynamique.
Présentation du routage du réseau cloud virtuel
Le réseau cloud virtuel utilise des tables de routage pour envoyer le trafic vers l'extérieur (par exemple, vers Internet, vers votre réseau sur site ou vers un réseau cloud virtuel appairé). Ces tables de routage comportent des règles qui se présentent et agissent comme les règles de routage réseau classiques que vous connaissez peut-être déjà. Chaque règle spécifie un bloc CIDR de destination et la cible (le saut suivant) pour tout trafic correspondant à ce CIDR.
Voici les notions de base sur le routage dans votre réseau cloud virtuel :
- Le scénario de routage principal concerne l'envoi du trafic d'un sous-réseau vers des destinations externes au sous-réseau. Un sous-réseau est associé à une table de routage unique de votre choix. Toutes les cartes d'interface réseau virtuelles de ce sous-réseau sont soumises aux règles de la table de routage. Les règles régissent la manière dont le trafic quittant le sous-réseau est acheminé.
- Le routage local du réseau cloud virtuel gère automatiquement le trafic au sein des sous-réseaux du réseau cloud virtuel. Le routage local ne nécessite pas la définition de règles de routage pour permettre le trafic.
- Vous pouvez également utiliser le routage intra-réseau cloud virtuel afin de spécifier une passerelle de routage dynamique, une passerelle d'appairage local ou une adresse IP privée de saut suivant dans un réseau cloud virtuel, pour le trafic destiné à un autre sous-réseau du réseau cloud virtuel. Le routage intra-réseau cloud virtuel permet des cas d'emploi plus complexes en matière de sécurité et de virtualisation du réseau. OCI prend également en charge le routage intra-réseau cloud virtuel pour le trafic entrant dans un réseau cloud virtuel via une passerelle en plus du trafic entre les sous-réseaux.
- Si une table de routage présente des règles qui se chevauchent, Oracle utilise celle qui est la plus spécifique pour acheminer le trafic (en d'autres termes, la règle ayant la correspondance de préfixe la plus longue). Deux CIDR sont considérés comme se chevauchant lorsqu'un CIDR contient l'autre. Les tables de routage de réseau cloud virtuel contiennent des entrées pour les routages de réseau cloud virtuel locaux. Si vous créez un routage statique pour le bloc CIDR de réseau cloud virtuel (avec la même longueur de préfixe que le routage local de réseau cloud virtuel), ce routage est prioritaire.
- Si aucune règle de routage ne correspond au trafic réseau que vous souhaitez acheminer hors du réseau cloud virtuel, le trafic est supprimé (perdu dans un trou noir).
- L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6.
Pour consulter des informations importantes sur le routage entre votre réseau cloud virtuel et votre réseau sur site, reportez-vous à Détails de routage pour les connexions au réseau sur site.
Utilisation des tables et des règles de routage
Chaque réseau cloud virtuel est automatiquement accompagné d'une table de routage par défaut qui comporte des règles implicites incluant les routages des CIDR de réseau cloud virtuel. A moins d'indication contraire, chaque sous-réseau utilise la table de routage par défaut du réseau cloud virtuel. Lorsque vous ajoutez des règles de routage à votre réseau cloud virtuel, vous pouvez simplement les ajouter à la table par défaut. Toutefois, vous pouvez créer des tables de routage personnalisées pour chaque sous-réseau si nécessaire. Par exemple, si vous disposez d'un sous-réseau public et d'un sous-réseau privé dans votre réseau cloud virtuel (afin d'obtenir un exemple, reportez-vous à Scénario C : sous-réseaux public et privé avec un VPN), vous devez utiliser pour ceux-ci différentes tables de routage, les règles de routage des sous-réseaux ne devant pas être les mêmes.
Chaque sous-réseau d'un réseau cloud virtuel utilise une seule table de routage. Lorsque vous créez le sous-réseau, vous spécifiez celle à utiliser. Vous pouvez modifier la table de routage utilisée par le sous-réseau à tout moment. Vous pouvez également modifier les règles d'une table de routage, ou enlever toutes les règles.
Vous pouvez éventuellement affecter un nom descriptif à une table de routage personnalisée lors de sa création. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Oracle affecte automatiquement à la table de routage un identificateur unique appelé OCID (Oracle Cloud ID). Pour plus d'informations, reportez-vous à Identificateurs de ressource.
Une règle de routage spécifie un bloc CIDR de destination et la cible (le saut suivant) pour tout trafic correspondant à ce CIDR. Voici les types de cible autorisés pour une règle de routage :
- Passerelle de routage dynamique : pour les sous-réseaux nécessitant un accès privé aux réseaux connectés à votre réseau cloud virtuel (par exemple, votre réseau sur site connecté via un VPN site à site ou FastConnect, un réseau cloud virtuel appairé de la même région ou un réseau cloud virtuel appairé d'une autre région).
- Passerelle Internet : pour les sous-réseaux publics qui ont besoin d'un accès direct à Internet.
- Passerelle NAT : pour les sous-réseaux dotés d'instances ne disposant pas d'adresse IP publique mais nécessitant un accès sortant vers Internet.
- Passerelle de service : pour les sous-réseaux nécessitant un accès privé aux services Oracle tels qu'Object Storage.
- Passerelle d'appairage local : pour les sous-réseaux nécessitant un accès privé à un réseau cloud virtuel appairé de la même région.
- Adresse IP privée : pour les sous-réseaux qui doivent acheminer du trafic vers une instance du réseau cloud virtuel. Pour plus d'informations, reportez-vous à Utilisation d'une adresse IP privée comme cible de routage. Reportez-vous également à Présentation du routage du réseau cloud virtuel.
Vous ne pouvez pas supprimer une ressource donnée s'il s'agit de la cible d'une règle de routage. Par exemple, vous ne pouvez pas supprimer une passerelle Internet vers laquelle du trafic est acheminé. Supprimez toutes les règles (dans toutes les tables de routage) ayant cette passerelle Internet en tant que cible avant de tenter de supprimer la passerelle ou une autre ressource.
Lorsque vous ajoutez une règle de routage à une table de routage, vous indiquez le bloc CIDR de destination et la cible (ainsi que le compartiment où réside la cible). Exception : si la cible est une passerelle de service , au lieu d'un bloc CIDR de destination, vous indiquez une chaîne fournie par Oracle qui représente les adresses publiques du service qui vous intéresse. De cette manière, vous n'avez pas besoin de connaître tous les blocs CIDR du service, qui peuvent changer au fil du temps.
Si vous configurez une règle de manière incorrecte (par exemple, saisie d'un bloc CIDR de destination incorrect), le trafic réseau que vous avez prévu d'acheminer peut être supprimé (perdu dans un trou noir) ou envoyé à une cible inattendue.
Vous pouvez déplacer des tables de routage d'un compartiment vers un autre. Le déplacement d'une table de routage n'a aucune incidence sur son attachement aux réseaux cloud virtuels ou aux sous-réseaux. Lorsque vous déplacez une table de routage vers un nouveau compartiment, les stratégies inhérentes s'appliquent immédiatement et influent sur l'accès à la table de routage. Pour plus d'informations, reportez-vous à Contrôle d'accès.
Vous ne pouvez pas supprimer la table de routage par défaut d'un réseau cloud virtuel. Une table de routage personnalisée ne peut être supprimée que si elle n'est pas associée à un sous-réseau ou à une passerelle (de routage dynamique, d'appairage local, Internet, NAT ou de service).
Reportez-vous aux limites de service pour obtenir la liste des limites applicables et des instructions de demande d'augmentation de limite.
Routage intra-réseau cloud virtuel
Le routage intra-réseau cloud virtuel vous permet de remplacer les décisions de routage par défaut appliquées au trafic destiné aux adresses IP contenues dans le bloc CIDR de réseau cloud virtuel. Le routage intra-réseau cloud virtuel offre les fonctionnalités suivantes :
- Routages par défaut : chaque table de routage de réseau cloud virtuel dispose d'un routage local implicite pour le CIDR de réseau cloud virtuel. Il est utilisé dans le routage direct local vers des destinations du réseau cloud virtuel. De même que les routages personnalisés de la table de routage, ce routage local implicite est utilisé dans le cadre de la sélection du meilleur routage.
- Routages intra-réseau cloud virtuel personnalisés : règles de routage que vous créez dans la table de routage pour le trafic intra-réseau cloud virtuel. Tous les routages personnalisés ont une cible (passerelle de routage dynamique, passerelle d'appairage local, adresse IP privée dans le réseau cloud virtuel) et le type de routage statique.
- Sélection de routage : la correspondance de préfixe la plus longue (ou le routage le plus spécifique) est sélectionnée. S'il existe plusieurs routages pour le même préfixe, le meilleur routage est sélectionné en fonction de la priorité de type de routage suivante :
- Statique (défini par l'utilisateur)
- Routages locaux implicites (créés automatiquement par OCI)
- IPv6 : OCI prend en charge le routage intra-réseau cloud virtuel pour les préfixes de réseau cloud virtuel IPv6.
Le routage intra-sous-réseau n'est pas pris en charge. Le trafic avec une adresse IP de destination située dans le même sous-réseau que la carte d'interface réseau virtuelle d'origine est transmis (et non acheminé) directement vers la destination appropriée.
Routage entrant de passerelle
- Passerelle d'appairage local (LPG)
- Passerelles de routage dynamique
- Passerelles Internet
- Passerelles NAT
- Passerelles de service
Si vous associez une table de routage à l'une des passerelles ci-avant, la passerelle doit ensuite toujours comporter une table de routage associée. Les règles de la table de routage associée peuvent être modifiées ou enlevées. Pour les passerelles Internet, la cible doit se trouver dans un sous-réseau public.
Utilisation du routage intra-réseau cloud virtuel
- Créez dans la table de routage de passerelle Internet des règles de routage statiques qui indiquent comme saut suivant 10.0.1.4 (pare-feu) pour le trafic entrant.
- Créez des tables de routage pour les sous-réseaux A, B et C. Le trafic allant d'Internet vers les sous-réseaux B et C doit passer par l'appliance de pare-feu à l'adresse 10.0.1.4 dans le sous-réseau A. Le trafic entre les sous-réseaux B et C doit passer par le même pare-feu.
L'image suivante présente un exemple de routage interne :
| Destination | Cible | Type de routage |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Statique |
| Destination | Cible | Type de routage |
|---|---|---|
| 0.0.0.0/0 | Passerelle Internet (IGW) | Statique |
| Destination | Cible | Type de routage |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Statique |
| 0.0.0.0/0 | 10.0.1.4 | Statique |
| Destination | Cible | Type de routage |
|---|---|---|
| 10.0.0.0/16 | 10.0.1.4 | Statique |
| 0.0.0.0/0 | 10.0.1.4 | Statique |
Stratégie IAM requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès sécurisé dans une stratégie. Cet accès est requis que vous utilisiez la console ou l'API REST avec un kit SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message vous indiquant que vous n'avez pas d'autorisation, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.
Pour les administrateurs : reportez-vous à Stratégies IAM pour Networking.
Cette section concerne les limites des tables de routage de réseau cloud virtuel. Les limites de table de routage de passerelle de routage dynamique sont indiquées dans la section Limites de table de routage de passerelle de routage dynamique.
| Ressource | Portée | Crédits universels Oracle | Paiement à l'utilisation ou version d'évaluation |
|---|---|---|---|
| Tables de routage de réseau cloud virtuel | Réseau cloud virtuel | 300 | 300 |
| Règles de routage | Table de routage de réseau cloud virtuel | 200 | 200 |
Utilisation d'une adresse IP privée comme cible de routage
Si vous ne savez pas bien ce qu'est une adresse IP privée, reportez-vous à Adresses IP privées. En résumé : une adresse IP privée est un objet qui contient une adresse IP privée et des propriétés associées, et qui dispose de son propre OCID.
Cas d'emploi généraux
OCI utilise la table de routage d'un sous-réseau donné pour acheminer le trafic vers une adresse IP de destination qui se trouve en dehors du sous-réseau. Si la destination se trouve en dehors du réseau cloud virtuel, vous configurez généralement une règle de routage pour acheminer le trafic vers une passerelle sur le réseau cloud virtuel (par exemple, une passerelle de routage dynamique connectée au réseau sur site ou à un autre réseau cloud virtuel, ou une passerelle Internet connectée à Internet). Si la destination se trouve dans un autre sous-réseau du réseau cloud virtuel, le trafic est acheminé par défaut à l'aide du routage local du CIDR de réseau cloud virtuel. Toutefois, vous pouvez souhaiter acheminer dans un premier temps ce trafic via une instance du réseau cloud virtuel. Dans ce cas, vous pouvez utiliser une adresse IP privée du réseau cloud virtuel comme cible au lieu d'une passerelle se trouvant dans celui-ci. Voici quelques cas où vous êtes susceptible de procéder ainsi :
- Pour implémenter une appliance virtuelle réseau telle qu'un pare-feu ou un système de détection des intrusions qui filtre le trafic sortant des instances.
- Pour gérer un réseau superposé sur le réseau cloud virtuel, ce qui vous permet d'exécuter des charges globales d'orchestration de conteneurs.
- Pour implémenter NAT (Network Address Translation) dans le réseau cloud virtuel. Oracle recommande d'utiliser une passerelle NAT avec le réseau cloud virtuel. En général, NAT permet aux instances qui ne disposent pas d'une connectivité Internet directe de bénéficier d'un accès Internet sortant.
Pour implémenter ces cas d'emploi, acheminer le trafic vers l'instance ne suffit pas. Une configuration est également requise sur l'instance elle-même.
Vous pouvez activer la haute disponibilité de la cible de routage d'adresse IP privée à l'aide d'une adresse IP privée secondaire. En cas de panne, vous pouvez déplacer l'adresse IP privée secondaire d'une carte d'interface réseau virtuelle existante vers une autre carte située dans le même sous-réseau. Reportez-vous à Déplacement d'une adresse IP privée secondaire vers une autre VNIC (instructions pour la console) et à UpdatePrivateIp (instructions pour l'API).
Exigences relatives à l'utilisation d'une adresse IP privée comme cible
- L'adresse IP privée doit être dans le même réseau cloud virtuel que la table de routage.
- Afin de pouvoir transmettre du trafic, la carte d'interface réseau virtuelle de l'adresse IP privée doit être configurée de manière à ignorer la vérification de source/destination. Par défaut, les cartes d'interface réseau virtuelles sont configurées pour effectuer la vérification. Pour plus d'informations, reportez-vous à Présentation des cartes d'interface réseau virtuelles et des cartes d'interface réseau physiques.
- Vous devez configurer l'instance pour qu'elle transfère des paquets.
-
La règle de routage doit indiquer l'OCID de l'adresse IP privée en tant que cible, et non l'adresse IP proprement dite. Exception : si vous utilisez la console, vous pouvez directement indiquer l'adresse IP privée comme cible. La console détermine l'OCID correspondant et l'emploie dans la règle.
Important
Une règle de routage avec une cible d'adresse IP privée peut entraîner une perte dans un trou noir dans les cas suivants :- L'instance à laquelle l'adresse IP privée est affectée est arrêtée ou prend fin
- La carte d'interface réseau virtuelle à laquelle l'adresse IP privée est affectée est mise à jour afin d'activer la vérification de source/destination, ou supprimée
- L'affectation de l'adresse IP privée à la carte d'interface réseau virtuelle est annulée
Lorsqu'une adresse IP privée cible prend fin, dans la console, la règle de routage affiche une remarque indiquant que l'OCID cible n'existe plus.
Pour le basculement en cas d'incident : si l'instance cible prend fin avant que vous ne puissiez déplacer l'adresse IP privée secondaire vers une instance de secours, vous devez mettre à jour la règle de routage de façon à utiliser l'OCID de la nouvelle adresse IP privée cible sur l'instance de secours. La règle utilise l'OCID de la cible et non l'adresse IP privée elle-même.
Processus de configuration général
- Déterminez quelle instance va recevoir et transmettre le trafic.
- Choisissez une adresse IP privée sur l'instance (peut se trouver sur la carte d'interface réseau virtuelle principale de l'instance ou sur une carte secondaire). Si vous souhaitez implémenter le basculement, configurez une adresse IP privée secondaire sur l'une des cartes d'interface réseau virtuelles de l'instance.
- Désactivez la vérification de source/destination sur la carte d'interface réseau virtuelle de l'adresse IP privée. Reportez-vous à Présentation des cartes d'interface réseau virtuelles et des cartes d'interface réseau physiques.
- Obtenez l'OCID de l'adresse IP privée. Si vous utilisez la console, vous pouvez obtenir l'OCID ou l'adresse IP privée elle-même, avec le nom du compartiment de cette dernière.
- Affichez la table de routage du sous-réseau qui doit acheminer le trafic vers l'adresse IP privée. Si elle comporte déjà une règle avec le même CIDR de destination mais avec une autre cible, supprimez cette règle.
-
Ajoutez une règle de routage avec les éléments suivants :
- Type de cible : reportez-vous à la liste des types de cible dans Présentation du routage du réseau cloud virtuel. Si le type de cible est une passerelle de routage dynamique, la passerelle de routage dynamique attachée du réseau cloud virtuel est automatiquement sélectionnée en tant que cible. Vous n'avez pas besoin d'indiquer de cible. Si la cible est un objet IP privé, vous devez, avant de la spécifier, désactiver la vérification de source/destination sur la carte d'interface réseau virtuelle qui l'utilise. Pour plus d'informations, reportez-vous à Utilisation d'une adresse IP privée comme cible de routage.
- Bloc CIDR de destination : disponible uniquement si la cible n'est pas une passerelle de service. La valeur correspond au bloc CIDR de destination du trafic. Vous pouvez fournir un bloc CIDR de destination spécifique ou utiliser 0.0.0.0/0 si l'ensemble du trafic quittant le sous-réseau doit être acheminé vers la cible indiquée dans la règle.
- Service de destination : disponible uniquement si la cible est une passerelle de service. La valeur correspond au libellé CIDR de service qui vous intéresse.
- Compartiment : compartiment dans lequel se trouve la cible.
- Cible : cible. Si la cible est un objet IP privé, entrez son OCID. Vous pouvez également entrer l'adresse IP privée, auquel cas la console détermine l'OCID correspondant et l'utilise en tant que cible pour la règle de routage.
- Description : description facultative de la règle.
Comme mentionné précédemment, vous devez configurer l'instance pour qu'elle transfère des paquets.