Escenario A: subred pública
En este tema, se explica cómo configurar el escenario A, que consta de una red virtual en la nube (VCN) y una subred pública regional. Los servidores públicos están en dominios de disponibilidad independientes para la redundancia. La VCN se conecta directamente a internet mediante un gateway de internet. El gateway también se utiliza para conectarse a la red local. Cualquier recurso de la red local que necesite comunicarse con los recursos de la VCN debe tener una dirección IP pública y acceso a internet.
La subred utiliza la lista de seguridad predeterminada, que tiene reglas predeterminadas diseñadas para que resulte fácil empezar a utilizar Oracle Cloud Infrastructure. Las reglas permiten el acceso necesario típico (por ejemplo, conexiones SSH entrantes y cualquier tipo de conexión saliente). Recuerde que las reglas de la lista de seguridad solo permiten tráfico. Todo el tráfico que no esté cubierto explícitamente por una regla de la lista de seguridad se rechaza de forma implícita.
Este escenario no utiliza un DRG.
En este escenario, puede agregar más reglas a la lista de seguridad por defecto. En su lugar, podría crear una lista de seguridad personalizada para esas reglas. A continuación, configure la subred para que utilice tanto la lista de seguridad predeterminada como la lista de seguridad personalizada.
Las listas de seguridad son una forma de controlar el tráfico que entra y sale de los recursos de la VCN. También puede utilizar grupos de seguridad de red, lo que le permite aplicar un conjunto de reglas de seguridad a un conjunto de recursos que tengan el mismo poste de seguridad.
La subred utiliza la tabla de rutas predeterminada, que se inicia sin reglas cuando se crea la VCN. En este escenario, la tabla solo tiene una regla para el gateway de internet.
En la siguiente figura, se muestran recursos con direcciones IP públicas en una subred pública regional, con recursos redundantes en la misma subred pero en un dominio de disponibilidad diferente. La tabla de rutas de subred pública permite que todo el tráfico entrante entre y salga de la subred pública a través del gateway de internet, utiliza la lista de seguridad por defecto y utiliza el enrutamiento local incorporado en la VCN. Sus hosts locales deben tener direcciones IP públicas para comunicarse con los recursos de VCN a través de internet.
CIDR de destino | Destino de ruta |
---|---|
0.0.0.0/0 | Gateway de internet |
Política de IAM necesaria
Para que pueda utilizar Oracle Cloud Infrastructure, un administrador le debe otorgar acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si obtiene un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador el tipo de acceso que posee y en qué compartimento debería trabajar.
Si es miembro del grupo Administradores, ya tiene el acceso necesario para implantar el escenario A. De lo contrario, deberá acceder a Networking y necesitará la capacidad de iniciar instancias. Consulte Políticas de IAM para Networking.
Configuración del escenario A en la consola
La configuración resulta sencilla en la consola.
Si es la primera vez que crea una VCN, el asistente descrito en Creación de una VCN con conexión a Internet es una forma sencilla de crear una VCN con subredes, gateways y reglas de ruta y seguridad públicas y privadas necesarias para proporcionar acceso a Internet a instancias y otros recursos de la VCN. Si utiliza el asistente para realizar esta tarea, el asistente puede manejar las tareas 1 a 5 en este escenario.
- Abra el menú de navegación, haga clic en Red y, a continuación, en Redes virtuales en la nube.
- En Ámbito de lista, seleccione un compartimento con permiso para trabajar en las actualizaciones de la página in.The para mostrar solo los recursos de ese compartimento. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Control de acceso. Nota
Para crear cualquier recurso nuevo, el límite de servicio para ese recurso no se debe haberse alcanzado aún. Una vez alcanzado el límite de servicio para un tipo de recurso, puede eliminar los recursos no utilizados de ese tipo o solicitar un aumento del límite de servicio. - Haga clic en Crear red virtual en la nube.
- Introduzca lo siguiente:
- Nombre: un nombre descriptivo para la VCN. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
- Crear en compartimiento: déjelo tal cual.
- Bloques de CIDR IPv4: un máximo de cinco pero al menos un bloque de CIDR IPv4 no solapado para la VCN. Por ejemplo: 172.16.0.0/16. Puede agregar o eliminar bloques de CIDR posteriormente. Consulte Rangos de direcciones y tamaño de VCN permitidos. Como referencia, aquí dispone de una calculadora de CIDR.
- Usar nombres de host de DNS en esta VCN: esta opción es necesaria para asignar nombres de host de DNS a hosts de la VCN, y es necesario si desea utilizar la función de DNS por defecto de la VCN (denominada Solucionador de internet y la VCN). Si selecciona esta opción, puede especificar una etiqueta DNS para la VCN o puede permitir que la consola le genere una. El cuadro de diálogo muestra automáticamente el nombre de dominio de DNS correspondiente para la VCN (
<VCN_DNS_label>.oraclevcn.com
). Para obtener más información, consulte DNS en su red virtual en la nube. - Prefijos IPv6: puede solicitar que se asigne un único prefijo IPv6 /56 asignado por Oracle a esta VCN. También puede asignar un prefijo BYOIPv6 o un prefijo ULA a la VCN. Esta opción está disponible para todas las regiones comerciales y gubernamentales. Para obtener más información sobre IPv6, consulte Direcciones IPv6.
- Etiquetas: si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
-
Haga clic en Crear red virtual en la nube.
A continuación, la VCN se crea y se muestra en la página Redes virtuales en la nube en el compartimiento que haya seleccionado.
- Mientras sigue viendo la VCN, haga clic en Crear subred.
-
Introduzca lo siguiente:
- Nombre: nombre fácil de recordar para la subred (por ejemplo, Subred pública regional). No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
- Específico de dominio de disponibilidad o regional: seleccione Regional (recomendado), lo que significa que la subred abarca todos los dominios de disponibilidad de la región. Posteriormente, cuando inicie una instancia, puede crearla en cualquier dominio de disponibilidad de la región. Para obtener más información, consulte Visión general de las VCN y las subredes.
- Bloque de CIDR: un único bloque de CIDR contiguo dentro del bloque de CIDR de la VCN. Por ejemplo: 172.16.0.0/24. No puede cambiar este valor más adelante. Como referencia, aquí dispone de una calculadora de CIDR.
- Activar asignación de direcciones IPv6: esta opción solo está disponible si la VCN está activada para IPv6. Las direcciones IPv6 están soportadas para todas las regiones comerciales y gubernamentales. Para obtener más información, consulte Direcciones IPv6.
- Tabla de rutas: seleccione la tabla de rutas por defecto.
- Subred privada o pública: seleccione Subred pública, lo que significa que las instancias de la subred pueden tener opcionalmente direcciones IP públicas. Para obtener más información, consulte Acceso a internet.
- Usar nombres de host de DNS en esta subred: esta opción está disponible solo si se ha proporcionado una etiqueta de DNS para la VCN cuando se creó. La opción es necesaria para la asignación de nombres de host de DNS a hosts de la subred y también si planea utilizar la función de DNS por defecto de la VCN (denominada Solucionador de internet y VCN). Si activa la casilla de control, puede especificar una etiqueta DNS para la subred o permitir que la consola le genere una. El cuadro de diálogo muestra automáticamente el nombre de dominio de DNS correspondiente para la subred como FQDN. Para obtener más información, consulte DNS en su red virtual en la nube.
- Opciones de DHCP: seleccione el conjunto por defecto de opciones de DHCP.
- Listas de seguridad: asegúrese de que está seleccionada la lista de seguridad por defecto.
- Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante. Para obtener más información, consulte Etiquetas de recursos.
-
Haga clic en Crear subred.
A continuación, la subred se crea y se muestra en la página Subredes.
- En Recursos, haga clic en Gateways de internet.
- Haga clic en Crear gateway de internet.
-
Introduzca lo siguiente:
- Nombre: un nombre fácil de recordar para el gateway de internet. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
- Crear en compartimiento: déjelo tal cual.
- Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante. Para obtener más información, consulte Etiquetas de recursos.
-
Haga clic en Crear gateway de internet.
El gateway de internet se crea y muestra en la página Gateways de internet. El gateway ya está activado, pero debe agregar una regla de ruta que permita que el tráfico fluya al gateway.
La tabla de rutas por defecto se inicia sin reglas. Aquí puede agregar una regla que dirija todo el tráfico destinado a las direcciones de fuera de la VCN al gateway de internet. La existencia de esta regla también permite que las conexiones entrantes vayan de internet a la subred a través del gateway de internet. Las reglas de la lista de seguridad se utilizan para controlar los tipos de tráfico que se permiten dentro y fuera de las instancias de la subred (consulte la siguiente tarea).
No es necesaria ninguna regla de ruta para enrutar el tráfico dentro de la propia VCN.
- En Recursos, haga clic en Tablas de rutas.
- Haga clic en la tabla de rutas por defecto para ver los detalles.
- Haga clic en Agregar regla de ruta.
-
Introduzca lo siguiente:
- Tipo de destino: gateway de internet
- Bloque de CIDR de destino: 0.0.0.0/0 (lo que significa que todo el tráfico no perteneciente a la VCN ya no está respaldado por otras reglas de la tabla de rutas se dirigirá al destino especificado)
- Compartimiento: el compartimiento en el que se encuentra el gateway de internet.
- Destino: el gateway de internet que ha creado.
- Descripción: descripción opcional de la regla.
- Haga clic en Agregar regla de ruta.
La tabla de rutas predeterminada tiene ahora una regla para el gateway de internet. Dado que la subred se configuró para utilizar la tabla de rutas por defecto, los recursos de la subred ahora pueden utilizar el gateway de internet. El siguiente paso es especificar los tipos de tráfico que desea permitir dentro y fuera de las instancias que crea posteriormente en la subred.
Antes de configurar la subred, utilice la lista de seguridad por defecto de la VCN. A continuación, agregue reglas de lista de seguridad que permitan los tipos de conexiones que necesitan las instancias de la VCN.
Por ejemplo: para una subred pública con un gateway de internet, las instancias (servidor web) que inicie pueden necesitar recibir conexiones HTTPS entrantes desde internet. A continuación, se muestra cómo agregar otra regla a la lista de seguridad por defecto para activar ese tráfico:
- En Recursos, haga clic en Listas de seguridad.
- Haga clic en la lista de seguridad por defecto para ver los detalles. Por defecto, accederá a la página Reglas de entrada.
- Haga clic en Agregar regla de entrada.
-
Para activar las conexiones entrantes para HTTPS (puerto TCP 443), introduzca lo siguiente:
- Sin estado: no seleccionado (es una regla con estado)
- Tipo de origen: CIDR
- CIDR de origen: 0.0.0.0/0
- Protocolo IP: TCP
- Rango de puertos de origen: Todos
- Rango de puertos de destino: 443
- Descripción: descripción opcional de la regla.
- Haga clic en Agregar regla de entrada.
Regla de lista de seguridad para instancias de Windows
Si va a iniciar instancias de Windows, debe agregar una regla de lista de seguridad para activar el acceso del Protocolo de escritorio remoto (RDP). En concreto, necesita una regla de entrada con estado para el tráfico TCP en el puerto de destino 3389 del origen 0.0.0.0/0 y cualquier puerto de origen. Para obtener más información, consulte Listas de seguridad.
Para una VCN de producción, normalmente se configuran una o más listas de seguridad personalizadas para cada subred. Si lo desea, puede editar la subred para utilizar diferentes listas de seguridad. Si decide no utilizar la lista de seguridad por defecto, hágalo solo después de evaluar cuidadosamente qué reglas por defecto desea duplicar en la lista de seguridad personalizada. Por ejemplo, las reglas de ICMP predeterminadas de la lista de seguridad predeterminada son importantes para recibir mensajes de conectividad.
El siguiente paso es crear una o más instancias en la subred. El diagrama del escenario muestra instancias en dos dominios de disponibilidad diferentes. Al crear la instancia, seleccione el dominio de disponibilidad, la VCN y la subred que desea utilizar, y otras características.
Cada instancia obtiene automáticamente una dirección IP privada. Al crear una instancia en una subred pública, se selecciona si la instancia obtiene una dirección IP pública. Con esta configuración de red del escenario A, debe otorgar a cada instancia una dirección IP pública; de lo contrario, no podrá acceder a ellas a través del gateway de internet. El valor por defecto (para una subred pública) es para que la instancia obtenga una dirección IP pública.
Después de crear una instancia en este escenario, puede conectarse a ella a través de internet con SSH o RDP desde su red local u otra ubicación en internet. Para obtener más información e instrucciones, consulte Inicio de una instancia.
Configuración del escenario A con la API
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Utilice las siguientes operaciones:
- CreateVcn: incluya siempre una etiqueta DNS para la VCN si desea que las instancias tengan nombres de host (consulte DNS en su red virtual en la nube).
- CreateSubnet: cree una subred pública regional. Incluya una etiqueta de DNS para la subred si desea que las instancias tengan nombres de host. Utilice la tabla de rutas predeterminada, la lista de seguridad predeterminada y el conjunto predeterminado de opciones de DHCP.
- CreateInternetGateway
- UpdateRouteTable: para activar la comunicación con el gateway de internet, actualice la tabla de rutas predeterminada para incluir una regla de ruta con el destino = 0.0.0.0/0 y el destino final = el gateway de internet. Esta regla dirige todo el tráfico destinado a direcciones fuera de la VCN al gateway de internet. No es necesaria ninguna regla de ruta para enrutar el tráfico dentro de la propia VCN.
- UpdateSecurityList: para permitir determinados tipos de conexiones a las instancias de la subred y desde ellas.
Regla de lista de seguridad para instancias de Windows
El siguiente paso es crear una o más instancias en la subred. El diagrama del escenario muestra instancias en dos dominios de disponibilidad diferentes. Al crear la instancia, seleccione el dominio de disponibilidad, la VCN y la subred que desea utilizar, y otras características.
Cada instancia obtiene automáticamente una dirección IP privada. Al crear una instancia en una subred pública, se selecciona si la instancia obtiene una dirección IP pública. Con esta configuración de red del escenario A, debe otorgar a cada instancia una dirección IP pública; de lo contrario, no podrá acceder a ellas a través del gateway de internet. El valor por defecto (para una subred pública) es para que la instancia obtenga una dirección IP pública.
Después de crear una instancia en este escenario, puede conectarse a ella a través de internet con SSH o RDP desde su red local u otra ubicación en internet. Para obtener más información e instrucciones, consulte Inicio de una instancia.