Esta página ha sido traducida por una máquina.

Escenario A: subred pública

El escenario A consta de una red virtual en la nube (VCN) con una subred pública regional, que son necesarias para la conectividad de red a instancias informáticas de un arrendamiento. Los servidores públicos se crean en dominios de disponibilidad (AD) independientes para la redundancia, y la VCN utiliza subredes regionales porque son más flexibles y fáciles de dividir eficazmente una VCN en subredes y, al mismo tiempo, tienen en cuenta posibles fallos. La VCN se conecta directamente a internet mediante un gateway de internet. El gateway también se utiliza para conectarse a una red local. Cualquier recurso de una red local que necesite comunicarse con recursos de esta VCN debe tener una dirección IP pública y acceso a internet.

Comenzar a utilizar Oracle Cloud Infrastructure es fácil porque la subred utiliza una lista de seguridad por defecto inicial. Esta lista contiene reglas de seguridad que permiten el acceso necesario típico (por ejemplo, conexiones SSH entrantes y cualquier tipo de conexiones salientes). Recuerde que las reglas de la lista de seguridad solo permiten el tráfico y el tráfico no permitidos explícitamente por una regla de la lista de seguridad se deniega implícitamente. Lo mismo ocurre con las reglas de ruta, que también requieren que el tráfico saliente esté explícitamente permitido y que el tráfico a destinos específicos se envíe al gateway necesario. Se debe poder acceder a los destinos de enrutamiento fuera de la VCN mediante un gateway creado y especificar explícitamente en una tabla de rutas asociada a la subred que utiliza un recurso.

En este escenario, se agrega una nueva regla a la lista de seguridad por defecto. Esta regla es necesaria para proporcionar a las instancias informáticas acceso a Internet. En su lugar, puede crear una lista de seguridad personalizada para esta regla y configurar la subred para que utilice tanto la lista de seguridad por defecto como la lista de seguridad personalizada, pero eso está fuera del ámbito de este escenario.

Consejo

Las listas de seguridad son una forma de controlar el tráfico que entra y sale de los recursos de la VCN. También puede utilizar grupos de seguridad de red

En este escenario, la subred también utiliza la tabla de rutas predeterminada, que se inicia sin reglas cuando se crea la VCN. La tabla solo necesita una única regla para el gateway de Internet.

Este escenario no utiliza un gateway de direccionamiento dinámico (DRG).

En la siguiente figura, se muestran recursos con direcciones IP públicas en una subred pública regional, con recursos redundantes en la misma subred pero en un dominio de disponibilidad diferente. La tabla de rutas de subred pública permite que todo el tráfico entrante introduzca y salga de la subred pública a través del gateway de internet, utiliza la lista de seguridad por defecto y utiliza el enrutamiento local incorporado en la VCN. Los hosts locales deben tener direcciones IP públicas para comunicarse con los recursos de VCN a través de internet.

En esta imagen se muestra el escenario A: una VCN con una subred pública regional y una puerta de enlace de internet.
Referencia 1: Tabla de rutas de subred pública regional
CIDR de destino Destino de ruta
0.0.0.0/0 Gateway de internet

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe ser miembro de un grupo al que un administrador de arrendamiento haya otorgado acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador del arrendamiento el tipo de acceso que tiene y en qué compartimento trabaja el acceso.

Si es miembro del grupo de administradores, es probable que ya tenga el acceso necesario para implantar el escenario A. De lo contrario, deberá acceder a Networking y necesitará la capacidad de crear instancias. Consulte Políticas de IAM para Networking.

Configuración del escenario A en la consola

La configuración resulta sencilla en la consola.

Nota

Si no ha creado una VCN antes, el flujo de trabajo descrito en Creación de una VCN con conexión a Internet es una forma sencilla de crear una VCN con subredes, gateways y reglas de ruta y seguridad públicas y privadas necesarias para proporcionar acceso a Internet a instancias y otros recursos de la VCN. Si utiliza el flujo de trabajo para realizar esta tarea, el flujo de trabajo puede manejar las tareas de la 1 a la 5 en este escenario.

Configuración del escenario A con la API

Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.

Utilice las siguientes operaciones:

  1. CreateVcn: incluya siempre una etiqueta DNS para la VCN si desea que las instancias tengan nombres de host (consulte DNS en su red virtual en la nube).
  2. CreateSubnet: cree una subred pública regional. Incluya una etiqueta de DNS para la subred si desea que las instancias tengan nombres de host. Utilice la tabla de rutas predeterminada, la lista de seguridad predeterminada y el conjunto predeterminado de opciones de DHCP.
  3. CreateInternetGateway
  4. UpdateRouteTable: para activar la comunicación con el gateway de internet, actualice la tabla de rutas predeterminada para incluir una regla de ruta con el destino = 0.0.0.0/0 y el destino final = el gateway de internet. Esta regla dirige todo el tráfico destinado a direcciones fuera de la VCN al gateway de internet. No es necesaria ninguna regla de ruta para enrutar el tráfico dentro de la propia VCN.
  5. UpdateSecurityList: para permitir determinados tipos de conexiones a las instancias de la subred y desde ellas.
Importante

Regla de lista de seguridad para instancias de Windows

Si va a crear instancias de Windows, debe agregar una regla de lista de seguridad para activar el acceso del Protocolo de escritorio remoto (RDP). Para activar RDP, necesita una regla de entrada con estado para el tráfico TCP en el puerto de destino 3389 del origen 0.0.0.0/0 y cualquier puerto de origen. Para obtener más información, consulte Listas de seguridad.

El siguiente paso es crear una o más instancias en la subred. El diagrama del escenario muestra instancias en dos dominios de disponibilidad diferentes. Al crear la instancia, seleccione el AD, la VCN y la subred que desea utilizar, y otras características.

Cada instancia obtiene automáticamente una dirección IP privada. Al crear una instancia en una subred pública, decide si la instancia obtiene una dirección IP pública. Con esta configuración de red del escenario A, debe otorgar a cada instancia una dirección IP pública; de lo contrario, no podrá acceder a ellas a través del gateway de internet. El valor por defecto (para una subred pública) es para que la instancia obtenga una dirección IP pública.

Después de crear una instancia en este escenario, puede conectarse a ella a través de internet con SSH o RDP desde una red local u otra ubicación en internet. Para obtener más información e instrucciones, consulte Creación de una instancia.