Oracle Cloud Infrastructure - Dokumentation

Private Endpunkte verwalten

Private Endpunkte in Resource Manager erstellen, bearbeiten und löschen.

Mit privaten Endpunkten können Sie über Resource Manager auf nicht öffentliche Cloud-Ressourcen in Ihrem Mandanten zugreifen. Beispiel: Konfigurieren Sie eine private Compute-Instanz mit der Remoteausführungsfunktion von Terraform, und greifen Sie auf Terraform-Konfigurationen in einem privaten GitHub-Server zu.

Erforderliche IAM Policy

Um private Endpunkte zu verwalten, benötigen Sie die Berechtigung, private Endpunkte im Mandanten zu verwalten und virtuelle Netzwerkressourcen wie VCNs und Subnetze zu verwenden. Weitere Informationen finden Sie in Private Vorlagen verwalten.

Wenn Sie mit Policys noch nicht vertraut sind, finden Sie weitere Informationen unter Überblick über IAM-Policys.

Szenarios

Prüfen Sie allgemeine Szenarios für die Verwendung privater Endpunkte mit Resource Manager.

Es gibt auch andere Szenarien. Sie können jede private Ressource mit einer privaten IP über einen privaten Endpunkt in Resource Manager erreichen. Beispiel: Stellen Sie eine Verbindung zu einem Kubernetes-Cluster her.

Privater Git-Server

Gewähren Sie Resource Manager Zugriff auf einen Git-Server, auf den nicht über das Internet zugegriffen werden kann. Verwenden Sie diese Anweisungen für einen privaten Server, den Sie in Oracle Cloud Infrastructure oder On Premise hosten.

  1. Wenn der private Server On Premise ist, richten Sie ein Site-to-Site-VPN oder FastConnect ein.
    Weitere Informationen finden Sie unter Site-to-Site-VPN und FastConnect.
  2. Importieren Sie das zugehörige SSL-Zertifikat des privaten Git-Servers in den Certificates-Service.

    Weitere Informationen finden Sie auf der entsprechenden Seite:

  3. Privaten Endpunkt erstellen.
  4. Rufen Sie die erreichbare IP-Adresse für den privaten Endpunkt ab.
  5. Erstellen Sie einen Konfigurationsquellenprovider, der diesen privaten Endpunkt (und das zugehörige SSL-Zertifikat, das Sie in den Certificates-Service importiert haben) referenziert.
  6. Erstellen Sie einen Stack, der diesen Konfigurationsquellenprovider referenziert.

Private Remoteausführung

Greifen Sie mit Remote Exec auf private Instanzen zu.

Hinweis

Beim Zugriff auf eine private Instanz mit Remote Exec müssen Sie eine erreichbare IP-Adresse verwenden.

Siehe auch Erreichbare IP-Adresse für einen privaten Endpunkt abrufen.

  1. Schreiben Sie eine Terraform-Konfiguration, die eine private Instanz erstellt.
  2. Erstellen oder referenzieren Sie in der Terraform-Konfiguration einen privaten Endpunkt:

    Beispiel für Terraform-Konfigurationen, die private Resource Manager-Endpunkte verwenden, finden Sie unter Terraform-Konfigurationsbeispiele für den privaten Endpunkt.

  3. Fügen Sie Ihrer Terraform-Konfiguration Code hinzu, um die private IP-Adresse in eine erreichbare IP-Adresse zu konvertieren.

    Die erreichbare IP-Adresse liegt im Bereich von 240.0.0.0 bis 255.255.255.255 (Klasse E; siehe RFC 1112, Abschnitt 4).

    Informationen zum Abrufen der erreichbaren IP-Adresse finden Sie unter Erreichbare IP-Adresse für einen privaten Endpunkt abrufen.

    Beispielcode
    resource "null_resource" "remote-exec" {
  depends_on = [oci_core_instance.private_endpoint_instance]

  provisioner "remote-exec" {
    connection {
      agent = false
      timeout = "30m"
      host = data.oci_resourcemanager_private_endpoint_reachable_ip.test_private_endpoint_reachable_ips.ip_address
      user = "opc"
      private_key = tls_private_key.public_private_key_pair.private_key_pem
    }

    inline = [
      "echo 'remote exec showcase' > ~/remoteExecTest.txt"
    ]
  }
}

    Beispiel für Terraform-Konfigurationen, die private Resource Manager-Endpunkte verwenden, finden Sie unter Terraform-Konfigurationsbeispiele für den privaten Endpunkt.

  4. Speichern Sie die Terraform-Konfiguration in einem unterstützten Speicherort.
  5. Erstellen Sie einen Stack, der diese Terraform-Konfiguration referenziert.
  6. Führen Sie einen Apply-Job im Stack aus.
    Die private Instanz und der private Endpunkt werden erstellt. Sie können jetzt Remoteausführung verwenden, um auf Ihre private Instanz zuzugreifen.

Sicherheitsattribute verwaltet

Sie können Zero Trust Packet Routing (ZPR) zusammen mit oder anstelle von Netzwerksicherheitsgruppen verwenden, um den Netzwerkzugriff auf OCI-Ressourcen zu verwalten. Definieren Sie dazu ZPR-Policys, die steuern, wie Ressourcen miteinander kommunizieren, und fügen Sie diesen Ressourcen dann Sicherheitsattribute hinzu. Weitere Informationen finden Sie unter Zero Trust Packet Routing.

Achtung

Wenn ein Endpunkt ein Zero Trust Packet Routing-(ZPR-)Sicherheitsattribut aufweist, muss der Traffic zum Endpunkt ZPR-Policys sowie alle NSG- und Sicherheitslistenregeln erfüllen. Beispiel: Wenn Sie bereits NSGs verwenden und einem Endpunkt ein Sicherheitsattribut hinzufügen, wird der gesamte Traffic zum Endpunkt blockiert. Ab diesem Zeitpunkt muss eine ZPR-Policy den Traffic zum Endpunkt explizit zulassen.

Tags werden angewendet

Wenden Sie Tags auf Ressourcen an, um diese entsprechend Ihren Geschäftsanforderungen zu organisieren. Sie können Tags beim Erstellen einer Ressource anwenden und eine Ressource später aktualisieren, um Tags hinzuzufügen, zu ändern oder zu entfernen. Allgemeine Informationen zum Anwenden von Tags finden Sie unter Ressourcentags.