Gateway de internet
En este tema, se explica cómo configurar y gestionar un gateway de internet para permitir que la VCN pueda acceder a internet.
Oracle también ofrece un gateway de NAT, que se recomienda para las subredes de su VCN que no requieran conexiones iniciadas externamente desde internet.
Aspectos destacados
- Un gateway de internet es un gateway opcional que puede agregar a la VCN para permitir la conectividad directa a internet.
- El gateway admite conexiones iniciadas desde la VCN (salida) y conexiones iniciadas desde internet (entrada).
- Los recursos que tengan que utilizar el gateway para el acceso a internet deben estar en una subred pública y tener direcciones IP públicas. Los recursos que tengan direcciones IP privadas pueden utilizar un gateway de NAT para iniciar conexiones a internet.
- Cada subred pública que tenga que utilizar el gateway de internet debe tener una regla de tabla de rutas que especifique el gateway como destino.
- Se utilizan reglas de seguridad para controlar los tipos de tráfico entrante y saliente permitidos en los recursos de esa subred. Asegúrese de permitir solo los tipos deseados de tráfico de internet.
- El gateway de internet solo lo pueden utilizar los recursos de la VCN del gateway. Los hosts de la red local conectada o en una VCN con intercambio de tráfico no pueden utilizar ese gateway de internet.
- No puede agregar ni mover un gateway de Internet a una VCN dentro de una zona de seguridad. Las zonas de seguridad no permiten subredes públicas.
- Solo se necesita un gateway de Internet para cada VCN. Todas las subredes públicas de una VCN tienen acceso al gateway de Internet, siempre que las reglas de seguridad y las reglas de tabla de rutas permitan ese acceso.
Visión general de los gateways de internet
Antes de continuar, asegúrese de que ha leído Acceso a internet y comprende también cómo configurar las reglas de seguridad para los recursos de una subred.
Un gateway de internet es un enrutador virtual opcional que conecta el perímetro de la VCN a internet. Para utilizar el gateway, los hosts de ambos extremos de la conexión deben tener direcciones IP públicas para el enrutamiento. Las conexiones que se originan en su VCN y se dirigen a una dirección IP pública (ya sea dentro o fuera de la VCN) pasan por el gateway de internet. Las conexiones que se originan fuera de la VCN y se dirigen a una dirección IP pública dentro de la VCN pasan por el gateway de internet.
Una determinada VCN solo puede tener un gateway de internet. Controla qué subredes públicas de la VCN pueden utilizar el gateway configurando la tabla de rutas asociada de la subred. Utiliza reglas de seguridad para controlar los tipos de tráfico entrante y saliente permitidos en los recursos de esas subredes públicas.
En el diagrama siguiente se ilustra una configuración simple de VCN con una única subred pública. La VCN tiene un gateway de internet y la subred pública está configurada para utilizar la tabla de rutas por defecto de la VCN. La tabla tiene una regla de ruta que envía todo el tráfico saliente de las subredes al gateway de internet. El gateway permite cualquier conexión de entrada desde internet con una dirección IP de destino igual a la dirección IP pública de un recurso en la VCN. Sin embargo, las reglas de la lista de seguridad de la subred pública determinan, en última instancia, los tipos específicos de tráfico entrante y saliente permitidos en los recursos de la subred. Esas reglas de seguridad específicas no se muestran.
CIDR de destino | Destino de ruta |
---|---|
0.0.0.0/0 | Gateway de internet |
El tráfico entre una VCN y una dirección IP pública que forma parte de Oracle Cloud Infrastructure (como Object Storage) se debe enrutar a través de un gateway de servicio en lugar de a través de un gateway de internet.
Trabajar con gateways de internet
Crea un gateway de internet en el contexto de una VCN específica. Es decir, el gateway de internet siempre se asocia a una VCN. Sin embargo, puede desactivar y volver a activar el gateway de internet en cualquier momento. Compare esto con un gateway de enrutamiento dinámico (DRG), que crea como un objeto autónomo que después asocia a una determinada VCN. Los DRG usan un modelo diferente porque están diseñados para ser bloques de creación modulares para conectar VCN de manera privada a su red local.
Para que el tráfico fluya desde una subred pública a internet, debe crear una regla de ruta correspondiente en la tabla de rutas de la subred. Por ejemplo, el CIDR de destino = 0.0.0.0/0 y el destino = gateway de internet; si desea enrutar el tráfico a través de un firewall, el destino puede ser la dirección IP privada del firewall. A continuación, la subred de firewall necesitará una ruta, normalmente 0.0.0.0/0, para acceder a internet con el gateway de internet como destino.
Para el tráfico que fluye de internet a un destino en una subred pública, el gateway de internet enruta el tráfico directamente al destino por defecto. Puede asociar una tabla de rutas al gateway de internet y definir reglas de rutas que enruten el tráfico público de entrada a los destinos en la VCN. Por ejemplo, si desea que el gateway de internet enrute primero el tráfico a un firewall en la VCN, puede crear una regla de ruta para el CIDR de la subred de destino con la dirección IP privada del firewall como destino. Las reglas de ruta a destinos fuera de la VCN en una tabla de rutas de gateway de internet no están soportadas.
Solo se necesita un gateway de Internet para cada VCN. Todas las subredes públicas de una VCN tienen acceso al gateway de Internet, siempre que las reglas de seguridad y las reglas de tabla de rutas permitan ese acceso.
Para el control de acceso, debe especificar el compartimiento en el que quiera que se encuentre el gateway de internet. Si no está seguro del compartimiento que desea utilizar, coloque el gateway de internet en el mismo compartimiento que la red en la nube. Para obtener más información, consulte Control de acceso.
Opcionalmente, puede asignar un nombre fácil de recordar al gateway de internet. No tiene que ser único y puede cambiarlo más adelante. Oracle asigna automáticamente al gateway de internet un identificador único denominado ID de Oracle Cloud (OCID). Para obtener más información, consulte Identificadores de recursos.
Para suprimir un gateway de internet, no es necesario desactivarlo, pero no debe haber una tabla de rutas que lo muestre como destino.
Consulte Límites de gateway y Solicitud de aumento del límite de servicio para obtener información relacionada con los límites.
Configuración de gateway de Internet
Previos necesarios:
- Debe haber determinado qué subredes de la VCN requieren acceso a internet y haber creado esas subredes públicas.
Solo se necesita un gateway de Internet para cada VCN. Todas las subredes públicas de una VCN tienen acceso al gateway de Internet, siempre que las reglas de seguridad y las reglas de tabla de rutas permitan ese acceso.
- Debe haber determinado los tipos de tráfico de internet de entrada y salida que desea activar para los recursos en cada subred pública (ejemplos: conexiones HTTPS de entrada, conexiones de ping ICMP de entrada).
- La política de IAM necesaria debe estar en vigor para poder trabajar con los recursos del servicio Networking. Para administradores: consulte Políticas de IAM para redes.
Si ha configurado la subred pública para utilizar la lista de seguridad por defecto, recuerde que la lista incluye varias reglas por defecto útiles que permiten el acceso básico necesario (por ejemplo, SSH de entrada, acceso de salida a todos los destinos). Oracle recomienda familiarizarse con el acceso básico que proporcionan estas reglas por defecto. Si elige no usar la lista de seguridad por defecto, asegúrese de proporcionar este acceso básico implementando estas reglas de seguridad en grupos de seguridad de red (NSG) o listas de seguridad personalizadas.
El siguiente procedimiento utiliza listas de seguridad, pero, en cambio, puede implantar las reglas de seguridad en un grupo de seguridad de red y después crear todos los recursos de la subred en ese NSG.
-
Para cada subred pública que tenga que usar el gateway de internet, configure las reglas de la lista de seguridad de la subred para permitir el tráfico de internet deseado. Consulte la siguiente configuración de ejemplo:
Imagine que tiene servidores web en la subred pública. En este ejemplo, se muestra cómo agregar una regla de entrada para conexiones HTTPS (puerto TCP 443) provenientes de internet al servidor web. Sin esta regla, no se permiten las conexiones HTTPS entrantes.
- Deje desactivada la casilla Sin estado.
- Tipo de origen: CIDR
- CIDR de origen: 0.0.0.0/0
- Protocolo IP: Dejar como TCP.
- Rango de puertos de origen: déjelo como Todos.
- Rango de puertos de destino: Introducir 443.
- Descripción: descripción opcional de la regla.
-
Cree el gateway de internet de la VCN.
Después de crear el gateway de Internet y mostrarlo en la página Gateways de Internet de la VCN que haya seleccionado, ya está activado, pero aún tiene que agregar una regla de ruta que permita que el tráfico fluya al gateway.
-
Para cada subred pública que tenga que usar el gateway de internet, actualice la tabla de rutas de la subred con la siguiente configuración de ejemplo:
- Tipo de destino: gateway de internet
- Bloque CIDR de destino: 0.0.0.0/0 (lo que significa que todo el tráfico no perteneciente a la VCN que ya no está respaldado por otras reglas de la tabla de rutas se dirigirá al destino especificado en esta regla).
- Compartimiento: el compartimiento en el que se encuentra el gateway de internet.
- Destino: el gateway de internet que acaba de crear.
- Descripción: descripción opcional de la regla.
El gateway de internet ahora está activado y funciona para su red en la nube.