Acceso a Oracle Services: gateway de servicio

En este tema se explica cómo configurar y gestionar un gateway de servicios. Un gateway de servicios permite que los recursos de nube sin direcciones IP públicas accedan de forma privada a los servicios Oracle.

Acceso a Oracle Services

Oracle Services Network es una red conceptual que forma parte de Oracle Cloud Infrastructure y solo pueden utilizarla los servicios de Oracle. Estos servicios tienen direcciones IP públicas que normalmente acceden a través de internet. Sin embargo, puede acceder a Oracle Services Network sin el tráfico que pasa por internet. Existen varias formas, según cuál sea el acceso de los hosts:

Aspectos destacados

  • Un gateway de servicios permite a la red virtual en la nube (VCN) acceder de forma privada a servicios de Oracle específicos sin exponer los datos a la red pública de internet. No se requiere ningún gateway de internet ni gateway de NAT para acceder a esos servicios específicos. Los recursos de la VCN pueden estar en una subred privada y utilizar solo direcciones IP privadas. El tráfico desde la VCN al servicio Oracle recorre el tejido de red de Oracle y no internet.
  • El gateway de servicio es regional y permite el acceso solo a los servicios de Oracle admitidos en la misma región que la VCN.
  • Solo se necesita un gateway de servicio para cada VCN. Todas las subredes de una VCN tienen acceso al gateway de servicio si las reglas de seguridad y las reglas de tabla de rutas permiten ese acceso.
  • El gateway de servicio permite acceder a los servicios de Oracle admitidos dentro de la región para proteger a sus datos de internet. Puede que las cargas de trabajo necesiten acceder a los puntos finales públicos o a servicios que no admite el gateway de servicios (por ejemplo, para descargar actualizaciones o parches). Asegúrese de tener un gateway de NAT u otro acceso a internet si es necesario.

  • Los servicios de Oracle admitidos son Oracle Cloud Infrastructure Object Storage y otros incluidos en Oracle Services Network. Para obtener una lista, consulte Gateway de servicio: servicios en la nube admitidos en Oracle Services Network.
  • El gateway de servicio utiliza el concepto de etiqueta CIDR de servicio, que es una cadena que representa todos los rangos de direcciones IP públicas regionales para el servicio o el grupo de servicios de interés (por ejemplo, OCI PHX Object Storage es la cadena para Object Storage en el Oeste de EE. UU. (Phoenix)). Puede usar esa etiqueta CIDR de servicio al configurar el gateway de servicio y las reglas de ruta relacionadas para controlar el tráfico al servicio. También puede utilizarlo al configurar reglas de seguridad. Si las direcciones IP públicas del servicio cambian en el futuro, no tiene que ajustar esas reglas.
  • Puede configurar la VCN para que su red local tenga acceso privado a los servicios de Oracle mediante la VCN y el gateway de servicios de la VCN. Los hosts de la red local se comunican con sus direcciones IP privadas y el tráfico no pasa por internet. Para obtener más información, consulte Acceso privado a los servicios de Oracle.

Visión general de los gateways de servicio

Un gateway de servicios permite a los recursos de la VCN acceder de forma privada a servicios de Oracle concretos, sin exponer los datos a un gateway de internet o de NAT. Los recursos de la VCN pueden estar en una subred privada y utilizar solo direcciones IP privadas. El tráfico de VCN al servicio de interés viaja por el tejido de red de Oracle y nunca atraviesa internet.

En el siguiente diagrama simple se ilustra una VCN que tiene una subred pública y una subred privada. Los recursos de la subred privada solo tienen direcciones IP privadas.

La VCN mostrada tiene tres gateways:

  • Gateway de internet: para proporcionar acceso directo a la subred pública a los puntos finales públicos en internet. Las conexiones se pueden iniciar desde la subred o desde internet. Los recursos de la subred pública deben tener direcciones IP públicas. Para obtener más información, consulte Gateway de internet.
  • Gateway de servicios: para proporcionar a la subred privada acceso privado a los servicios de Oracle admitidos en la región. Las conexiones solo se pueden iniciar desde la subred.
  • Gateway de NAT: para proporcionar la subred privada acceso privado a los puntos finales públicos en internet. Las conexiones solo se pueden iniciar desde la subred. Para obtener más información, consulte Gateway de NAT.

Puede controlar el enrutamiento de la VCN en el nivel de subred, de modo que pueda especificar qué subredes de la VCN utilizan cada gateway. En el diagrama, la tabla de rutas de la subred pública (Referencia 1) envía el tráfico no local a través del gateway de internet. La tabla de rutas de la subred privada (Referencia 2) envía el tráfico destinado a los servicios de Oracle a través del gateway de servicios. Envía todo el tráfico restante al gateway de NAT.

Esta imagen muestra el diseño básico de una VCN con un gateway de servicios
Referencia 1: Tabla de rutas de subred pública
CIDR de destino Destino de ruta
0.0.0.0/0 Gateway de internet
Referencia 2: Tabla de rutas de subred privada
CIDR de destino Destino de ruta
Servicios de OSN en la región Gateway de servicio
0.0.0.0/0 Gateway de NAT
Importante

Consulte este problema conocido para obtener información sobre la configuración de las reglas de rutas con el gateway de servicios como el destino en las tablas de rutas asociadas a subredes públicas.

Los recursos de un gateway de servicio se pueden utilizar en la propia VCN del gateway. Sin embargo, si la VCN intercambia tráfico con otra, los recursos de la otra VCN no pueden acceder al gateway de servicio a menos que se configure un gateway de servicio en ambas VCN. Puede configurar el tráfico destinado a Oracle Services Network que se origina en un radio para que se desplace a través de un dispositivo de software virtual de red (NVA) en el hub y, posteriormente, a través del gateway de servicio del hub. Consulte Uso de una IP privada como destino de ruta y Acceso privado a los servicios de Oracle para obtener más información.

Los recursos de la red local que están conectados a la VCN del gateway de servicio con FastConnect o una VPN de sitio a sitio también pueden utilizar el gateway de servicio. Para obtener más información, consulte Acceso privado a los servicios de Oracle.

Tenga en cuenta que su red local también puede utilizar el intercambio de tráfico público de FastConnect para el acceso privado a los servicios públicos de Oracle. Esto significa que su red local podría tener varias rutas para acceder a los rangos de direcciones IP públicas de los servicios de Oracle. En ese caso, el dispositivo perimetral recibe un anuncio de ruta de direcciones IP públicas de los servicios de Oracle a través de varias rutas. Para obtener información importante sobre cómo configurar el dispositivo perimetral correctamente, consulte Detalles de enrutamiento para conexiones a la red local.

Solo se necesita un gateway de servicio para cada VCN. Todas las subredes de una VCN tienen acceso al gateway de servicio si las reglas de seguridad y las reglas de tabla de rutas permiten ese acceso.

Para obtener instrucciones sobre la configuración de un gateway de servicio, consulte Configuración de un gateway de servicios en la consola.

Acerca de las etiquetas CIDR de servicio

Cada servicio de Oracle tiene un punto final público regional que utiliza direcciones IP públicas para el acceso. Cuando configura un gateway de servicios con acceso a un servicio Oracle, también puede configurar las reglas de la ruta de servicio de Networking y, opcionalmente, las reglas de seguridad que controlan el tráfico con el servicio. Esto normalmente significaría que debe conocer las direcciones IP públicas del servicio para configurar esas reglas. Para facilitarle el trabajo, el servicio de redes utiliza etiquetas CIDR de servicio como alias que representa todos los CIDR públicos para un determinado servicio de Oracle o un grupo de servicios de Oracle. Si los CIDR de un servicio cambian en el futuro, no tiene que ajustar las reglas de rutas ni las reglas de seguridad.

Ejemplos:

  • OCI PHX Object Storage es una etiqueta CIDR de servicio que representa todos los CIDR de Object Storage de la región oeste de EE. UU. (Phoenix).
  • Todos los servicios de PHX en Oracle Services Network son etiquetas CIDR de servicio que representan todos los CIDR de los servicios admitidos en Oracle Services Network de la región oeste de EE. UU. (Phoenix). Para obtener una lista de los servicios, consulte Gateway de servicios: servicios en la nube admitidos por Oracle Services Network.

Como puede ver, una etiqueta CIDR de servicio se puede asociar a un único servicio Oracle (por ejemplo: Object Storage) o a varios servicios de Oracle. Una vez que haya asignado una etiqueta CIDR de servicio a un gateway de servicio, la consola le permitirá cambiar a la otra etiqueta, pero el gateway de servicio siempre debe tener una etiqueta CIDR de servicio. La API y la CLI le permitirán eliminar por completo la etiqueta CIDR del servicio.

El término servicio se suele utilizar en este tema en lugar del términos más preciso etiqueta CIDR de servicio. Lo más importante que debe recordar es que al configurar un gateway de servicio (y las reglas de ruta relacionadas) especificará la etiqueta CIDR de servicio que le interesa. En la consola, se le presentan las etiquetas CIDR de servicio disponibles. Si utiliza la API de REST, la operación de ListServices devuelve los objetos Service disponibles. El atributo cidrBlock del objeto Service contiene la etiqueta CIDR del servicio (ejemplo: all-phx-services-in-oracle-services-network).

Etiquetas CIDR de Service disponibles

Estas son las etiquetas CIDR de servicio disponibles:

Importante

Consulte este problema conocido para obtener información sobre el acceso a los servicios YUM de Oracle a través del gateway de servicio.

Activación de etiqueta CIDR de servicio para un gateway de servicio

Para otorgar a la VCN el acceso a una etiqueta CIDR de servicio determinada, debe activar la etiqueta CIDR de servicio para el gateway de servicio de la VCN. Puede hacerlo al crear el gateway de servicio o justo después. También puede desactivar una etiqueta CIDR de servicio para el gateway de servicio en cualquier momento.

Importante

Puesto que Object Storage está cubierto por OCI <region> Object Storage y Todos los servicios de Oracle Services Network en <region>, un gateway de servicio solo puede utilizar una de esas etiquetas CIDR de servicio. De igual modo, una tabla de rutas puede tener una única regla para una de las etiquetas CIDR de servicio. No puede tener dos reglas independientes, sino una para cada etiqueta.

Si el gateway de servicio está configurado para utilizar Todos los servicios Oracle Services Network en <region>, la regla de ruta puede utilizar una etiqueta CIDR. Sin embargo, si el gateway de servicio está configurado para utilizar OCI <region> Object Storage y la regla de ruta utiliza Todos los servicios de Oracle Services Network en <region>, desaparecerá sin avisar el tráfico a los servicios de Oracle Services Network, excepto Object Storage. La consola prohíbe configurar el gateway de servicio y la tabla de rutas correspondiente de esa manera.

Si desea cambiar el gateway de servicio para utilizar una etiqueta CIDR de servicio diferente, consulte When You Switch to a Different Service CIDR Label.

Bloqueo del tráfico a través de un gateway de servicio

Puede crear un gateway de servicios en el contexto de una VCN específica. Es decir, el gateway de servicios siempre se asocia a esa VCN. Sin embargo, puede bloquear o permitir el tráfico a través del gateway de servicio en cualquier momento. De forma predeterminada, el gateway permite el flujo de tráfico al crearse. El bloqueo del tráfico de gateway de servicio evita que este fluya, independientemente de qué etiquetas CIDR de servicio estén activadas o de que existan las reglas de ruta o de seguridad en la VCN. Para obtener instrucciones sobre cómo bloquear el tráfico, consulte Control de tráfico para un gateway de servicio.

Reglas de ruta y reglas de seguridad para un gateway de servicio

Para que el tráfico se dirija desde una subred de VCN a un gateway de servicio, debe agregar una regla según corresponda a la tabla de rutas de la subred. La regla debe utilizar el gateway de servicio como destino. Para el destino, debe usar la etiqueta CIDR de servicio que está activada para el gateway de servicio. Esto significa que no tiene que conocer los CIDR públicos específicos, que podrían cambiar con el tiempo.

El tráfico que abandona la subred y que está destinado a los CIDR públicos del servicio se dirige al gateway de servicio. Si el tráfico de gateway de servicio está bloqueado, no fluye el tráfico a través de él, incluso si hay una regla de enrutamiento que coincida con el tráfico. Para obtener instrucciones sobre la configuración de reglas de ruta para un gateway de servicio, consulte Tarea 2: actualización del enrutamiento para la subred.

Las reglas de seguridad de la VCN también deben permitir el tráfico deseado. Si lo desea, puede utilizar una etiqueta CIDR de servicio en lugar de un CIDR para el origen o el destino del tráfico deseado. De nuevo, esto significa que no tiene que conocer los CIDR públicos específicos para el servicio. Para mayor comodidad, puede utilizar una etiqueta CIDR de servicio en las reglas de seguridad aunque la VCN no tenga un gateway de servicio, y el tráfico a los servicios utiliza un gateway de internet.

Puede usar reglas de seguridad con estado o sin estado que usan una etiqueta CIDR de servicio:

  • Para reglas con estado: cree una regla de salida con el servicio de destino = la etiqueta CIDR del servicio deseado. Al igual que con cualquier regla de seguridad, puede especificar otros elementos, como el protocolo IP y los puertos de origen y destino.
  • Para las reglas sin estado: debe tener las reglas de entrada y salida. Cree una regla de salida con el servicio de destino = la etiqueta CIDR del servicio de interés. También puede crear una regla de entrada con el servicio de origen = la etiqueta CIDR del servicio de interés. Al igual que con cualquier regla de seguridad, puede especificar otros elementos, como el protocolo IP y los puertos de origen y destino.

Para obtener instrucciones sobre la configuración de reglas de seguridad que utilizan una etiqueta CIDR de servicio, consulte Tarea 3: (opcional) actualizar reglas de seguridad.

Object Storage: permiso de acceso de bloque solo desde un rango CIDR o VCN particular

Si utiliza un gateway de servicios para acceder al Object Storage, puede crear una política de IAM que permita el acceso a un bloque de Object Storage determinado solo si se cumplen estos requisitos:

  • La solicitud pasa por un gateway de servicio.
  • La solicitud se origina desde una VCN particular especificada en la política.

Para ver ejemplos de este tipo concreto de política de IAM y las advertencias importantes sobre su uso, consulte Tarea 4: (opcional) actualizar las políticas de IAM para restringir el acceso a un bloque de Object Storage.

Como alternativa, puede utilizar el filtrado basado en IP de IAM para restringir el acceso a una dirección IP o a rangos de direcciones. Para obtener más información, consulte Gestión de orígenes de redes.

Supresión de un gateway de servicio

Para suprimir un gateway de servicio, no es necesario bloquear su tráfico, aunque no debe haber una tabla de rutas que la muestre como destino. Consulte Supresión de un gateway de servicio.

Política de IAM necesaria

Para que pueda utilizar Oracle Cloud Infrastructure, un administrador le debe otorgar acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si obtiene un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador el tipo de acceso que posee y en qué compartimento  debería trabajar.

Para administradores: consulte Políticas de IAM para redes.

Configuración de un gateway de servicio en la consola

Consulte las instrucciones de Creación de un gateway de servicio.

Tarea 2: actualizar el enrutamiento de la subred

Al configurar un gateway de servicio para una etiqueta CIDR de servicio determinada, también debe crear una regla de ruta que especifique dicha etiqueta como el destino y el destino como la puerta de enlace de servicio. Repita la misma operación para cada subred que necesite acceder al gateway.

  1. Determine qué subredes de la VCN necesitan acceder al gateway de servicios.
  2. Para cada una de esas subredes, actualice la tabla de rutas de la subred para incluir una nueva regla con los siguientes valores:

    • Tipo de destino: Gateway de servicio.
    • Servicio de destino: la etiqueta CIDR del servicio que está activada para la puerta de enlace.
    • Compartimiento: el compartimiento donde está ubicado el gateway de servicio.
    • Destino: el gateway de servicio.
    • Descripción: descripción opcional de la regla.

Cualquier tráfico de subred con un destino que coincida con la regla se direcciona al gateway de servicio. Para obtener más información sobre la configuración de reglas de ruta, consulte Tablas de rutas de VCN.

Más adelante, si ya no necesita el gateway de servicios y desea suprimirlo, primero debe suprimir todas las reglas de rutas de la VCN que especifican el gateway de servicios como destino.

Consejo

Sin el enrutamiento necesario, el tráfico no fluye por el gateway de servicios. Si se produce una situación en la que desea detener temporalmente el flujo de tráfico por medio del gateway a un servicio concreto, basta con eliminar la regla de ruta que activa el tráfico. También puede desactivar esa etiqueta CIDR de servicio específica para el gateway. También puede bloquear todo el tráfico por completo a través del gateway de servicio. No tiene que suprimir el gateway.

Tarea 3: (opcional) actualizar reglas de seguridad

Al configurar un gateway de servicio para acceder a una etiqueta CIDR de servicio, también debe asegurarse de que las reglas de seguridad estén configuradas para permitir el tráfico deseado. Es posible que sus reglas de seguridad ya permitan este tráfico, por lo que esta tarea es opcional. En el siguiente procedimiento, se asume que está utilizando listas de seguridad para implementar las reglas de seguridad. El procedimiento describe cómo configurar una regla que utiliza la etiqueta CIDR de servicio. Repita la misma operación para cada subred que necesite acceder al gateway.

Consejo

Las listas de seguridad son una forma de controlar el tráfico que entra y sale de los recursos de la VCN. También puede utilizar grupos de seguridad de red, lo que le permite aplicar un conjunto de reglas de seguridad a un conjunto de recursos que tengan el mismo poste de seguridad.
  1. Determine qué subredes de la VCN se deben conectar a los servicios que le interesan.
  2. Actualice la lista de seguridad de cada una de esas subredes para incluir reglas y permitir el tráfico de salida o entrada deseado con el servicio concreto.

    Supongamos que desea agregar una regla con estado que permite el tráfico de egreso HTTPS (puerto TCP 443) de la subred a los repositorios de Oracle YUM y de Object Storage. A continuación, se muestran las opciones básicas que se pueden elegir al agregar una regla:

    1. En la sección Permitir reglas para salida, haga clic en Regla +Add.
    2. Deje desactivada la casilla Sin estado.
    3. Tipo de Destino: Servicio.
    4. Servicio de destino: la etiqueta CIDR del servicio que le interesa. Para acceder al almacenamiento de objetos y a los repositorios de Oracle YUM, seleccione Todos los servicios <region> en Oracle Services Network.
    5. Protocolo IP: Dejar como TCP.
    6. Rango de puertos de origen: déjelo como Todos.
    7. Rango de puertos de destino: Introducir 443.
    8. Descripción: descripción opcional de la regla.

Para obtener más información sobre la configuración de reglas de seguridad, consulte Reglas de seguridad.

Tarea 4: (opcional) actualización de políticas de IAM para restringir el acceso al bloque de Object Storage

Esta tarea solo es aplicable si está utilizando un gateway de servicios para acceder al Object Storage. Si lo desea, puede crear un origen de red y escribir una política de IAM para permitir que solo los recursos de una VCN concreta escriban objetos en un cubo concreto.

Importante

Si utiliza una de las siguientes políticas de IAM para restringir el acceso a un cubo. No se podrá acceder al cubo desde la consola. Solo es accesible desde dentro de la VCN específica.

Además, las políticas de IAM permiten el envío de solicitudes a Object Storage solo desde la VCN especificada a través del gateway de servicio. Si pasan por el gateway de internet, se deniegan las solicitudes.

  • Cree un origen de red para especificar la VCN permitida. Para obtener información sobre la creación de orígenes de red, consulte Gestión de orígenes de red.
  • Cree la política. El siguiente ejemplo permite que los recursos del grupo de ObjectBackup de ejemplo escriban objetos en un bloque existente denominado db-backup que reside en un compartimiento denominado ABC.
    Allow group ObjectBackup to read buckets in compartment ABC
    
    Allow group ObjectBackup to manage objects in compartment ABC where
       all {target.bucket.name='db-backup', 
            request.networkSource.name='<VCN_NETWORK_SOURCE',
            any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Puede especificar varias VCN creando y especificando varios orígenes de red en la política. El siguiente ejemplo tiene orígenes de red para dos VCN. Puede hacer esto si ha configurado la red local con acceso privado a los servicios de Oracle mediante la VCN y también ha configurado una o más VCN con sus propios gateways de servicio. Para obtener más información, consulte Visión general del acceso privado de la red local a los servicios de Oracle.

Allow group ObjectBackup to read buckets in compartment ABC

Allow group ObjectBackup to manage objects in compartment ABC where
   all {target.bucket.name='db-backup', 
        any {request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_1>', request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_2'},
        any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}