Escenario A: subred pública
El escenario A consta de una red virtual en la nube (VCN) con una subred pública regional, que son necesarias para la conectividad de red a instancias informáticas de un arrendamiento. Los servidores públicos se crean en dominios de disponibilidad (AD) independientes para la redundancia, y la VCN utiliza subredes regionales porque son más flexibles y fáciles de dividir eficazmente una VCN en subredes y, al mismo tiempo, tienen en cuenta posibles fallos. La VCN se conecta directamente a internet mediante un gateway de internet. El gateway también se utiliza para conectarse a una red local. Cualquier recurso de una red local que necesite comunicarse con recursos de esta VCN debe tener una dirección IP pública y acceso a internet.
Comenzar a utilizar Oracle Cloud Infrastructure es fácil porque la subred utiliza una lista de seguridad por defecto inicial. Esta lista contiene reglas de seguridad que permiten el acceso necesario típico (por ejemplo, conexiones SSH entrantes y cualquier tipo de conexiones salientes). Recuerde que las reglas de la lista de seguridad solo permiten el tráfico y el tráfico no permitidos explícitamente por una regla de la lista de seguridad se deniega implícitamente. Lo mismo ocurre con las reglas de ruta, que también requieren que el tráfico saliente esté explícitamente permitido y que el tráfico a destinos específicos se envíe al gateway necesario. Se debe poder acceder a los destinos de enrutamiento fuera de la VCN mediante un gateway creado y especificar explícitamente en una tabla de rutas asociada a la subred que utiliza un recurso.
En este escenario, se agrega una nueva regla a la lista de seguridad por defecto. Esta regla es necesaria para proporcionar a las instancias informáticas acceso a Internet. En su lugar, puede crear una lista de seguridad personalizada para esta regla y configurar la subred para que utilice tanto la lista de seguridad por defecto como la lista de seguridad personalizada, pero eso está fuera del ámbito de este escenario.
Las listas de seguridad son una forma de controlar el tráfico que entra y sale de los recursos de la VCN. También puede utilizar grupos de seguridad de red
En este escenario, la subred también utiliza la tabla de rutas predeterminada, que se inicia sin reglas cuando se crea la VCN. La tabla solo necesita una única regla para el gateway de Internet.
Este escenario no utiliza un gateway de direccionamiento dinámico (DRG).
En la siguiente figura, se muestran recursos con direcciones IP públicas en una subred pública regional, con recursos redundantes en la misma subred pero en un dominio de disponibilidad diferente. La tabla de rutas de subred pública permite que todo el tráfico entrante introduzca y salga de la subred pública a través del gateway de internet, utiliza la lista de seguridad por defecto y utiliza el enrutamiento local incorporado en la VCN. Los hosts locales deben tener direcciones IP públicas para comunicarse con los recursos de VCN a través de internet.
| CIDR de destino | Destino de ruta |
|---|---|
| 0.0.0.0/0 | Gateway de internet |
Política de IAM necesaria
Para utilizar Oracle Cloud Infrastructure, un administrador debe ser miembro de un grupo al que un administrador de arrendamiento haya otorgado acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador del arrendamiento el tipo de acceso que tiene y en qué compartimento trabaja el acceso.
Si es miembro del grupo de administradores, es probable que ya tenga el acceso necesario para implantar el escenario A. De lo contrario, deberá acceder a Networking y necesitará la capacidad de crear instancias. Consulte Políticas de IAM para Networking.
Configuración del escenario A en la consola
La configuración resulta sencilla en la consola.
Si no ha creado una VCN antes, el flujo de trabajo descrito en Creación de una VCN con conexión a Internet es una forma sencilla de crear una VCN con subredes, gateways y reglas de ruta y seguridad públicas y privadas necesarias para proporcionar acceso a Internet a instancias y otros recursos de la VCN. Si utiliza el flujo de trabajo para realizar esta tarea, el flujo de trabajo puede manejar las tareas de la 1 a la 5 en este escenario.
- Abra el menú de navegación , seleccione Red y, a continuación, seleccione Redes virtuales en la nube.
- En Ámbito de lista, seleccione un compartimento con permiso para trabajar en las actualizaciones de la página in.The para mostrar solo los recursos de ese compartimento. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Control de acceso. Nota
Para crear cualquier recurso nuevo, el límite de servicio para ese recurso no se debe haberse alcanzado aún. Una vez alcanzado el límite de servicio para un tipo de recurso, puede eliminar los recursos no utilizados de ese tipo o solicitar un aumento del límite de servicio. - Seleccione Create VCN.
- Introduzca lo siguiente:
- Nombre: un nombre descriptivo para la VCN. No es necesario que sea único y no se puede cambiar posteriormente en la consola (aunque puede cambiarlo con la API). Evite introducir información confidencial.
- Crear en compartimiento: déjelo tal cual.
- Bloques de CIDRIPv4 CIDR IPv4: introduzca al menos uno y hasta cinco bloques de CIDRIPv4 CIDR IPv4 para la VCN. No se permite que los bloques de CIDR se solapen. Por ejemplo: 172.16.0.0/16. Puede agregar o eliminar bloques de CIDR posteriormente. Consulte Rangos de direcciones y tamaño de VCN permitidos. Como referencia, aquí dispone de una calculadora de CIDR.
- Usar nombres de host de DNS en esta VCN: esta opción es necesaria para asignar nombres de host de DNS a hosts de la VCN, y es necesario si tiene previsto utilizar la función de DNS por defecto de la VCN (denominada Solucionador de internet y la VCN). Si selecciona esta opción, puede especificar una etiqueta DNS para la VCN o puede permitir que la consola genere una para usted. El cuadro de diálogo muestra automáticamente el nombre de dominio de DNS correspondiente para la VCN (
<VCN_DNS_label>.oraclevcn.com). Para obtener más información, consulte DNS en su red virtual en la nube. - Prefijos IPv6: puede solicitar que se asigne un único prefijo IPv6 /56 asignado por Oracle a esta VCN. También puede asignar un prefijo BYOIPv6 o un prefijo ULA a la VCN. Esta opción está disponible para todas las regiones comerciales y gubernamentales. Para obtener más información sobre IPv6, consulte Direcciones IPv6.
- Etiquetas: si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
-
Seleccione Crear red virtual en la nube.
A continuación, la VCN se crea y se muestra en la página Redes virtuales en la nube en el compartimiento que haya seleccionado.
- Mientras sigue viendo la VCN, seleccione Crear subred.
-
Introduzca lo siguiente:
- Nombre: nombre fácil de recordar para la subred (por ejemplo, Subred pública regional). No es necesario que sea único y no se puede cambiar posteriormente en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
- Específico del dominio de disponibilidad o regional: seleccione Regional (recomendado), lo que significa que la subred abarca todos los dominios de disponibilidad de la región. Posteriormente, cuando cree una instancia, puede crearla en cualquier dominio de disponibilidad de la región. Para obtener más información, consulte Dominios de disponibilidad y redes virtuales en la nube.
- Grupo de CIDRIPv4 CIDR IPv4: un único bloque de CIDR contiguo dentro del bloque de CIDR de la VCN. Por ejemplo: 172.16.0.0/24. No puede cambiar este valor más adelante. Como referencia, aquí dispone de una calculadora de CIDR.
- IPv6 Prefijos: puede solicitar un prefijo IPv6 /64 asignado por Oracle o introducir prefijos BYOIPv6 o ULA. Puede tener un máximo de tres prefijo IPv6 en una subred. Después de asignar un prefijo IPv6 a una VCN, esta siempre debe tener al menos un prefijo IPv6 asignado. Esta opción está disponible para las VCN de todas las regiones comerciales y gubernamentales, si la VCN ya está activada para IPv6. Para obtener más información, consulte Direcciones IPv6.
- Tabla de rutas: seleccione la tabla de rutas por defecto.
- Subred privada o pública: seleccione Subred pública, lo que significa que las instancias de la subred pueden tener opcionalmente direcciones IP públicas. Para obtener más información, consulte Acceso a internet.
- Usar nombres de host de DNS en esta subred: esta opción está disponible solo si se ha proporcionado una etiqueta de DNS para la VCN cuando se creó. La opción es necesaria para la asignación de nombres de host de DNS a hosts de la subred y también si planea utilizar la función de DNS por defecto de la VCN (llamada Solucionador de internet y VCN). Si selecciona esta casilla de control, puede especificar una etiqueta DNS para la subred o permitir que la consola genere una. El cuadro de diálogo muestra automáticamente el nombre de dominio de DNS correspondiente para la subred como FQDN. Para obtener más información, consulte DNS en su red virtual en la nube.
- Opciones de DHCP: seleccione el conjunto de opciones de DHCP que se asociarán a la subred. Si ya ha activado la selección de compartimento, especifique primero el compartimento que contiene el juego de opciones de DHCP.
- Listas de seguridad: asegúrese de que está seleccionada la lista de seguridad por defecto.
- Mostrar opciones de etiquetado: seleccione este enlace para mostrar las opciones para agregar etiquetas a la subred. Si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
-
Seleccione Create Subnet.
A continuación, la subred se crea y se muestra en la página Subredes.
- Mientras sigue viendo la VCN, en Recursos, seleccione Gateways de Internet.
- Seleccione Create Internet Gateway.
-
Introduzca lo siguiente:
- Nombre: un nombre fácil de recordar para el gateway de internet. No es necesario que sea único y no se puede cambiar posteriormente en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
- Crear en compartimiento: déjelo tal cual.
- Puede seleccionar Mostrar opciones avanzadas para definir las siguientes opciones:
- Asociación de tabla de rutas: (opción avanzada) déjela tal cual. Puede asociar una tabla de rutas de VCN específica a este gateway. Después de asociar una tabla de rutas, el gateway debe tener siempre una tabla de rutas asociada. Puede cambiar las reglas de la tabla de rutas actual o sustituirla por otra tabla de rutas.
- Etiquetas: (opción avanzada) déjelas tal cual. Si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
-
Seleccione Create Internet Gateway.
El gateway de internet se crea y muestra en la página Gateways de internet. El gateway ya está activado, pero debe agregar una regla de ruta que permita que el tráfico fluya al gateway.
La tabla de rutas por defecto se inicia sin reglas. Aquí puede agregar una regla que dirija todo el tráfico destinado a las direcciones de fuera de la VCN al gateway de internet. La existencia de esta regla también permite que las conexiones entrantes vayan de internet a la subred a través del gateway de internet. Las reglas de la lista de seguridad se utilizan para controlar los tipos de tráfico que se permiten dentro y fuera de las instancias de la subred (consulte la siguiente tarea).
No es necesaria ninguna regla de ruta para enrutar el tráfico dentro de la propia VCN.
- En Recursos, seleccione Tablas de rutas.
- Seleccione la tabla de rutas por defecto para ver los detalles.
- Seleccione Agregar regla de ruta.
-
Introduzca lo siguiente:
- Tipo de destino: gateway de internet
- Bloque CIDR de destino: 0.0.0.0/0 (lo que significa que todo el tráfico de la VCN a un destino fuera de la VCN que aún no esté cubierto por otras reglas de la tabla de rutas va al destino especificado en esta regla).
- Compartimento: compartimento que contiene el gateway de Internet.
- Destino: el gateway de internet que ha creado.
- Descripción: descripción opcional de la regla.
- Seleccione Agregar reglas de ruta.
La tabla de rutas predeterminada tiene ahora una regla para el gateway de internet. Dado que la subred se configuró para utilizar la tabla de rutas por defecto, los recursos de la subred ahora pueden utilizar el gateway de internet. El siguiente paso es especificar los tipos de tráfico que desea permitir dentro y fuera de las instancias que crea posteriormente en la subred.
Antes de configurar la subred, utilice la lista de seguridad por defecto de la VCN. A continuación, agregue reglas de lista de seguridad que permitan los tipos de conexiones que necesitan las instancias de la VCN.
Por ejemplo: para una subred pública con un gateway de internet, las instancias (servidor web) que cree pueden necesitar recibir conexiones HTTPS entrantes desde internet. A continuación, se muestra cómo agregar otra regla a la lista de seguridad por defecto para activar ese tráfico:
- En Recursos, seleccione Listas de seguridad.
- Seleccione la lista de seguridad predeterminada para ver los detalles. Por defecto, accede a la página Reglas de entrada.
- Seleccione Add Ingress Rules.
-
Para activar las conexiones entrantes para HTTPS (puerto TCP 443), introduzca lo siguiente:
- Sin estado: no seleccionado (es una regla con estado)
- Tipo de origen: CIDR
- CIDR de origen: 0.0.0.0/0
- Protocolo IP: TCP
- Rango de puertos de origen: Todos
- Rango de puerto de destino: 443
- Descripción: descripción opcional de la regla.
- Seleccione Add Ingress Rule.
Regla de lista de seguridad para instancias de Windows
Si va a crear instancias de Windows, debe agregar una regla de lista de seguridad para activar el acceso del Protocolo de escritorio remoto (RDP). Para activar RDP, necesita una regla de entrada con estado para el tráfico TCP en el puerto de destino 3389 del origen 0.0.0.0/0 y cualquier puerto de origen. Para obtener más información, consulte Listas de seguridad.
Para una VCN de producción, normalmente se configuran una o más listas de seguridad personalizadas para cada subred. Opcionalmente, puede editar la subred para utilizar diferentes listas de seguridad. Si decide no utilizar la lista de seguridad por defecto, hacerlo solo después de evaluar cuidadosamente qué reglas por defecto desea duplicar en una lista de seguridad personalizada. Por ejemplo, las reglas de ICMP predeterminadas de la lista de seguridad predeterminada son importantes para recibir mensajes de conectividad.
El siguiente paso es crear una o más instancias en la subred. El diagrama del escenario muestra instancias en dos dominios de disponibilidad diferentes. Al crear la instancia, seleccione el AD, la VCN y la subred que desea utilizar, y otras características.
Cada instancia obtiene automáticamente una dirección IP privada. Al crear una instancia en una subred pública, decide si la instancia obtiene una dirección IP pública. Con esta configuración de red del escenario A, debe otorgar a cada instancia una dirección IP pública; de lo contrario, no podrá acceder a ellas a través del gateway de internet. El valor por defecto (para una subred pública) es para que la instancia obtenga una dirección IP pública.
Después de crear una instancia en este escenario, puede conectarse a ella a través de internet con SSH o RDP desde una red local u otra ubicación en internet. Para obtener más información e instrucciones, consulte Creación de una instancia.
Configuración del escenario A con la API
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Utilice las siguientes operaciones:
- CreateVcn: incluya siempre una etiqueta DNS para la VCN si desea que las instancias tengan nombres de host (consulte DNS en su red virtual en la nube).
- CreateSubnet: cree una subred pública regional. Incluya una etiqueta de DNS para la subred si desea que las instancias tengan nombres de host. Utilice la tabla de rutas predeterminada, la lista de seguridad predeterminada y el conjunto predeterminado de opciones de DHCP.
- CreateInternetGateway
- UpdateRouteTable: para activar la comunicación con el gateway de internet, actualice la tabla de rutas predeterminada para incluir una regla de ruta con el destino = 0.0.0.0/0 y el destino final = el gateway de internet. Esta regla dirige todo el tráfico destinado a direcciones fuera de la VCN al gateway de internet. No es necesaria ninguna regla de ruta para enrutar el tráfico dentro de la propia VCN.
- UpdateSecurityList: para permitir determinados tipos de conexiones a las instancias de la subred y desde ellas.
Regla de lista de seguridad para instancias de Windows
El siguiente paso es crear una o más instancias en la subred. El diagrama del escenario muestra instancias en dos dominios de disponibilidad diferentes. Al crear la instancia, seleccione el AD, la VCN y la subred que desea utilizar, y otras características.
Cada instancia obtiene automáticamente una dirección IP privada. Al crear una instancia en una subred pública, decide si la instancia obtiene una dirección IP pública. Con esta configuración de red del escenario A, debe otorgar a cada instancia una dirección IP pública; de lo contrario, no podrá acceder a ellas a través del gateway de internet. El valor por defecto (para una subred pública) es para que la instancia obtenga una dirección IP pública.
Después de crear una instancia en este escenario, puede conectarse a ella a través de internet con SSH o RDP desde una red local u otra ubicación en internet. Para obtener más información e instrucciones, consulte Creación de una instancia.