Acceso privado a los servicios de Oracle
El enrutamiento en tránsito hace referencia a una topología de red en la que la red local utiliza un intermediario para llegar a los recursos, los servicios o las VCN de Oracle. El intermediario puede ser una VCN o un gateway de enrutamiento dinámico (DRG) al que ya está asociada su red local. Conecte la red local a un DRG con FastConnect o una VPN de sitio a sitio y, a continuación, configure el enrutamiento para que el tráfico se transmita a través del intermediario a su destino.
Los tres escenarios principales de enrutamiento en tránsito son:
- Acceso privado a los servicios de Oracle: el escenario que se trata en este tema. Este escenario proporciona al servicio de red local acceso privado a los servicios de Oracle, de modo que los hosts locales puedan utilizar sus direcciones IP privadas y el tráfico no pase a través de la red pública de internet. En su lugar, el tráfico viaja por un circuito virtual privado FastConnect o una VPN de sitio a sitio, pasa por una red virtual en la nube (VCN) y, a continuación, a través de un gateway de servicio hasta el servicio de Oracle deseado. Este escenario está disponible para una implantación mediante un DRG heredado o actualizado.
- Acceso entre varias redes a través de un único DRG con un firewall entre redes: este escenario conecta varias VCN a un único DRG, con todo el enrutamiento configurado para enviar paquetes a través de un firewall de una VCN de hub para que se puedan enviar a otra red. Consulte Routing traffic through a central network virtual appliance. Este escenario solo está disponible para una implantación mediante un DRG actualizado.
- Acceso a varias VCN de la misma región: este escenario permite la comunicación entre una red local y varias VCN de la misma región a través de un único circuito virtual privado de FastConnect o una VPN de sitio a sitio, y utiliza una VCN como hub. Consulte Enrutamiento de tránsito dentro de una VCN de hub. Este escenario está disponible para una implantación mediante un DRG heredado.
Aspectos destacados
- Puede configurar una VCN para que la red local tenga acceso privado a los servicios de Oracle en Oracle Services Network mediante la VCN. Los hosts de la red local se comunican con sus direcciones IP privadas.
- La VCN utiliza un gateway de enrutamiento dinámico (DRG) para comunicarse con la red local. El acceso a los servicios de Oracle se realiza mediante un gateway de servicio en la VCN. El tráfico de la VCN al servicio de Oracle viaja por el tejido de red de Oracle y nunca atraviesa la red pública de internet.
- El gateway de servicio es regional y permite el acceso solo a los servicios de Oracle admitidos en la misma región que la VCN.
- Los servicios de Oracle admitidos son Oracle Cloud Infrastructure Object Storage y otros incluidos en Oracle Services Network. Para obtener una lista, consulte Gateway de servicio: servicios en la nube admitidos en Oracle Services Network.
- El gateway de servicio utiliza el concepto de etiqueta CIDR de servicio, que es una cadena que representa todos los rangos de direcciones IP públicas regionales para el servicio o el grupo de servicios de interés (por ejemplo, OCI PHX Object Storage es la cadena para Object Storage en el Oeste de EE. UU. (Phoenix)). Puede usar esa etiqueta CIDR de servicio al configurar el gateway de servicio y las reglas de ruta relacionadas para controlar el tráfico al servicio. También puede utilizarlo al configurar reglas de seguridad. Si las direcciones IP públicas del servicio cambian en el futuro, no tiene que ajustar esas reglas.
- Para activar el tráfico deseado desde la red local mediante la VCN a los servicios de Oracle, implante reglas de ruta para la asociación de DRG y el gateway de servicio de la VCN.
- Si lo desea, puede configurar el enrutamiento en tránsito mediante una IP privada en la VCN. Por ejemplo, puede que desee filtrar o inspeccionar el tráfico entre la red local y el servicio de Oracle. En ese caso, enrute el tráfico a una IP privada de una instancia en la VCN para inspección y el tráfico resultante continúa hasta su destino. En este tema, se tratan ambas situaciones: enrutamiento en tránsito directamente entre gateways de la VCN y enrutamiento en tránsito mediante una IP privada.
Visión general de Oracle Services Network
Oracle Services Network es una red conceptual que forma parte de Oracle Cloud Infrastructure y solo pueden utilizarla los servicios de Oracle. Estos servicios tienen direcciones IP públicas que normalmente acceden a través de la red pública de internet. Sin embargo, puede acceder a Oracle Services Network sin el tráfico que pasa por la red pública de internet. Existen varias formas, según cuál sea el acceso de los hosts:
-
Hosts en la red local:
- Acceso privado mediante una VCN con intercambio de tráfico privado de FastConnect o una VPN de sitio a sitio: este escenario se trata en este tema. Los hosts locales utilizan direcciones IP privadas y acceden a Oracle Services Network a través de la VCN y el gateway de servicio de la VCN.
- Acceso público con intercambio de tráfico público de FastConnect: los hosts locales utilizan direcciones IP públicas.
- Hosts en la VCN:
- Acceso privado mediante un gateway de servicio: los hosts de la VCN utilizan direcciones IP privadas.
Visión general del acceso privado de la red local a los servicios de Oracle
En el siguiente diagrama, se ilustra el diseño básico para proporcionar a la red local acceso privado a los servicios de Oracle.
La red local se conecta a la VCN mediante un circuito virtual privado de FastConnect o una VPN de sitio a sitio. Cada uno de estos tipos de conexiones termina en un gateway de enrutamiento dinámico (DRG) conectado a la VCN. La VCN también tiene un gateway de servicio, que proporciona a la VCN acceso a Oracle Services Network. El tráfico de la red local se realiza a través de la VCN, a través del gateway de servicio y al servicio de interés de Oracle. Las respuestas devueltas a través del gateway de servicio y de la VCN a la red local.
Cuando configure un gateway de servicio, active una etiqueta CIDR de servicio, que es una cadena que representa todos los rangos de direcciones IP públicas regionales para el servicio o grupo de servicios al que desea acceder a través del gateway de servicio. Por ejemplo, todos los servicios de PHX en Oracle Services Network son la etiqueta CIDR de servicio para los servicios de Oracle disponibles en el Oeste de EE. UU. (Phoenix) a través de un gateway de servicio. Oracle utiliza el protocolo de gateway fronterizo (BGP) en el DRG para anunciar dichos rangos de direcciones IP públicas regionales en el dispositivo perimetral (también denominado equipo local de cliente o CPE) en la red local. Para obtener una lista de los rangos disponibles en el gateway de servicio, consulte Direcciones IP públicas para las VCN y Oracle Services Network.
Varias rutas de conexión a los servicios de Oracle
Puede configurar la red local con varias rutas de conexión a los servicios de Oracle Cloud Infrastructure y Oracle por motivos de redundancia o de otros motivos. Por ejemplo, puede utilizar el intercambio de tráfico público de FastConnect y el intercambio de tráfico privado de FastConnect. Si tiene varias rutas, el dispositivo perimetral recibe un anuncio de ruta de los rangos de direcciones IP públicas de los servicios de Oracle por varias rutas. Para obtener información importante sobre cómo configurar el dispositivo perimetral correctamente, consulte Detalles de enrutamiento para conexiones a la red local.
Varias VCN con acceso privado a los servicios de Oracle
Su organización puede utilizar varias VCN, cada una con un gateway de servicio para dar acceso a los recursos de la VCN a los servicios de Oracle. Por ejemplo, puede tener una VCN diferente para cada departamento de la organización.
Si también desea configurar la red local con acceso privado a los servicios de Oracle mediante una VCN con un gateway de servicio, en esta sección se describen dos diseños de red que puede utilizar.
En el primer diseño, puede configurar un único DRG, con las VCN en un diseño de hub y radios, como se muestra en el siguiente diagrama. La VCN que actúa como hub está dedicada a proporcionar a la red local acceso privado a los servicios de Oracle. Las otras VCN intercambian el tráfico localmente con la VCN de hub. Solo puede configurar la VCN de hub según las instrucciones de Configuración de acceso privado a los servicios de Oracle. Este diseño de hub y radios se recomienda y se describe con más detalle en Enrutamiento de tránsito dentro de una VCN de hub.
En el segundo diseño, hay un DRG independiente para cada VCN, con un circuito virtual privado de FastConnect independiente o una VPN de sitio a sitio desde la red local a cada DRG. Debe dedicar un DRG y una VCN para proporcionar a la red local acceso privado a los servicios de Oracle. En el siguiente diagrama, la VCN está en el centro. Para configurar esa VCN, siga las instrucciones de Configuración de acceso privado a los servicios de Oracle.
Tenga en cuenta que en ambos diseños, la red local puede acceder a los servicios de Oracle solo mediante un único gateway de servicio de la VCN (el específico para este propósito) y no mediante los gateways de servicio de las otras VCN. En el caso de otras VCN, solo los recursos de las VCN pueden acceder a los servicios de Oracle a través del gateway de servicio de la VCN.
Independientemente del diseño que elija, puede crear una política de IAM para restringir el acceso a un bloque de Object Storage de forma que solo se permitan las solicitudes que lleguen a un gateway de servicio de la VCN específico para ese bloque. Con cualquiera de estos diseños, puede que desee crear la política para permitir solicitudes de varias VCN. Para restringir el acceso a VCN específicas, cree un origen de red para especificar la VCN permitida y, a continuación, escriba la política que restringe el acceso solo al origen de red. Un origen de red puede especificar varias VCN, o bien usted puede crear un origen de red para cada VCN. Para obtener información sobre la creación de orígenes de redes, consulte Gestión de orígenes de red.
En la siguiente política de ejemplo se asume que configura un origen de red para cada una de sus VCN. La política permite que los recursos del grupo ObjectBackup del ejemplo escriban objetos en un cubo existente denominado db-backup que reside en un compartimento denominado ABC. Al escribir una política como esta, puede especificar uno o varios orígenes de red. Este ejemplo muestra tres.
Allow group ObjectBackup to read buckets in compartment ABC
Allow group ObjectBackup to manage objects in compartment ABC where
all {target.bucket.name='db-backup',
any {request.networkSource.name='<hub_VCN_network_source>', request.networkSource.name='<spoke_1_VCN_network_source>', request.networkSource.name='<spoke_2_VCN_network_source>'},
any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
Para obtener más información, consulte Configuración de un gateway de servicio en la consola en el procedimiento para configurar un gateway de servicio.
Solicitudes de servicios de Oracle a los clientes
El gateway de servicio no permite las solicitudes de conexión entrantes a la VCN o la red local. Cualquier solicitud de conexión procedente de un servicio de Oracle a la red local debe pasar por una ruta pública, como el intercambio de tráfico público de internet o FastConnect.
Si utiliza Oracle Analytics Cloud para iniciar solicitudes de conexión a clientes y también desea configurar acceso privado a los servicios de Oracle para la red local, consulte este problema conocido.
Opciones de enrutamiento en tránsito para acceso privado a los servicios de Oracle
Existen dos opciones de enrutamiento a través de la VCN para el acceso privado a los servicios de Oracle:
- Enrutamiento en tránsito directamente a través de gateways: el tráfico se dirige directamente a través de la VCN, desde un gateway hacia el otro.
- Enrutamiento en tránsito mediante una IP privada: puede configurar una instancia en la VCN para filtrar o inspeccionar el tráfico entre la red local y Oracle Services Network, y enrutar el tráfico mediante una IP privada en la instancia.
Los ejemplos que se muestran en las siguientes secciones suponen que la VCN no contiene cargas de trabajo que necesiten acceder a la red local o a Oracle Services Network. La VCN se está utilizando solo para el enrutamiento en tránsito del tráfico a través de la VCN.
En este ejemplo, se enruta directamente por los dos gateways de la VCN: el gateway de enrutamiento dinámico (DRG) y el gateway de servicio. Observe el siguiente diagrama.
Las referencias de diagrama muestran dos tablas de rutas, cada una asociada a un recurso diferente:
-
Asociación de DRG:
- La tabla de rutas de VCN está asociada a la asociación del DRG. ¿Por qué la asociación y no el propio DRG? Porque el DRG es un recurso autónomo que puede asociar a cualquier VCN en la misma región y arrendamiento que el DRG. La asociación identifica qué VCN.
- La tabla de rutas de VCN enruta el tráfico entrante que procede de la red local y está destinado a un servicio de Oracle soportado. Configure la regla para enviar ese tráfico al gateway de servicio.
Referencia 1: Tabla de rutas de VCN para la asociación de DRG CIDR de destino Destino de ruta Todos los servicios de OSN de la región Gateway de servicio -
Gateway de servicio:
- Esta tabla de rutas de VCN está asociada al gateway de servicio.
- La tabla de rutas de VCN enruta el tráfico de respuesta que procede de un servicio de Oracle soportado y está destinado a la red local. Configure la regla para enviar el tráfico al DRG.
Referencia 2: Tabla de rutas de VCN para el gateway de servicio Destino de ruta Destino de ruta 172.16.0.0/12 DRG
En este ejemplo, puede configurar una instancia en la VCN para que actúe como un sistema de detección de intrusos o firewall para filtrar o inspeccionar el tráfico entre la red local y Oracle Services Network. Observe el siguiente diagrama.
CIDR de destino | Destino de ruta |
---|---|
172.16.0.0/12 | DRG |
CIDR de destino | Destino de ruta |
---|---|
Todos los servicios de OSN de la región | Gateway de servicio |
CIDR de destino | Destino de ruta |
---|---|
Todos los servicios de OSN de la región | 10.0.4.3 |
CIDR de destino | Destino de ruta |
---|---|
172.16.0.0/12 | 10.0.8.3 |
La instancia tiene dos VNIC, cada una con una IP privada. Una de las VNIC está en una subred que está frente a la red local (denominada aquí como subred de frontend). La otra VNIC está en una subred que está frente a Oracle Services Network (se denomina aquí como subred de backend). La VNIC de frontend tiene una IP privada 10.0.4.3 y la VNIC de backend tiene una IP privada 10.0.8.3.
El diagrama muestra cuatro tablas de rutas, cada una asociada a un recurso diferente:
-
Asociación de DRG:
- Esta tabla de rutas de VCN está asociada a la asociación de DRG. ¿Por qué la asociación y no el propio DRG? Porque el DRG es un recurso autónomo que puede asociar a cualquier VCN en la misma región y arrendamiento que el DRG. La asociación identifica qué VCN.
- La tabla de rutas de VCN enruta el tráfico entrante que procede de la red local y está destinado a un servicio de Oracle soportado. Configure la regla para enviar el tráfico a la IP privada en la subred de frontend.
-
Gateway de servicio:
- Esta tabla de rutas de VCN está asociada al gateway de servicio.
- La tabla de rutas de VCN enruta el tráfico de respuesta que procede de un servicio de Oracle soportado y está destinado a la red local. Configure la regla para enviar ese tráfico a la IP privada en la subred de backend.
-
Subred de frontend:
- Esta tabla de rutas de VCN está asociada a Subnet-frontend.
- Incluye una regla para activar el tráfico con la red local.
-
Subred de backend:
- Esta tabla de rutas de VCN está asociada a Subnet-backend.
- Incluye una regla para activar el tráfico con Oracle Services Network regional.
Restricciones del enrutamiento en tránsito importantes de entender
Esta sección incluye algunos detalles importantes adicionales sobre el enrutamiento:
-
Tabla de rutas para la asociación de DRG:
- Una tabla de rutas de VCN asociada a una asociación de DRG solo puede tener reglas que tengan como destino un gateway de servicio, una IP privada o un gateway de intercambio de tráfico local.
- Una asociación de DRG siempre tiene una tabla de rutas asociada, pero puede asociar una tabla de rutas diferente, editar las reglas de la tabla o suprimir algunas o todas las reglas.
- Tabla de rutas para un gateway de servicio:
- Una tabla de rutas de VCN asociada a un gateway de servicios solo puede tener reglas que tengan como destino un DRG o una IP privada.
- Puede existir un gateway de servicio sin una tabla de rutas asociada a él. Sin embargo, después de asociar una tabla de rutas a un gateway de servicio, siempre debe haber una tabla de rutas asociada. Sin embargo, puede asociar una tabla de rutas diferente. Asimismo, puede editar las reglas de la tabla o suprimir algunas o todas las reglas.
- Tráfico en tránsito a través de la VCN: las tablas de rutas que se analizan aquí están destinadas únicamente a mover el tráfico a través de la VCN entre ubicaciones de la red local y Oracle Services Network. Si utiliza una IP privada en la VCN, configure las tablas de rutas para que la IP privada se coloque en esa ruta de tráfico mediante la VCN.
- Tráfico entrante a la VCN: aunque la sentencia anterior sea verdadera (sobre el tráfico a través de la VCN), siempre se permite el tráfico entrante a subredes dentro de la VCN. No se necesita configurar reglas explícitas para este tráfico entrante en la tabla de rutas de la asociación de DRG o en la tabla de rutas del gateway de servicio. Cuando este tipo de tráfico entrante alcanza el DRG o el gateway de servicio, el tráfico se enruta automáticamente a su destino en la VCN mediante el enrutamiento local de la VCN. Debido al enrutamiento local de la VCN, para cualquier tabla de rutas que pertenezca a una determinada VCN, no puede crear una regla que muestre el CIDR de la VCN (o una subsección) como destino de la regla.
- Tráfico de la VCN cuando se enruta en tránsito mediante una IP privada: la sentencia inmediatamente anterior sobre el enrutamiento local de la VCN significa que debe usar la VCN solo para el tránsito entre la red local y las VCN radiales. No configure cargas de trabajo en la propia VCN. Más explícitamente, si configura el enrutamiento en tránsito mediante una IP privada en la VCN, no puede enrutar el tráfico de la VCN por medio de esa IP privada. En referencia al diagrama anterior, si tuviera que cambiar la regla de ruta en la tabla de rutas del gateway de servicio para que el CIDR de destino sea 0.0.0.0/0 en lugar de 172.16.0.0/12, solo se enrutará a través de la IP privada el tráfico que proceda de Oracle Services Network y que esté destinado a las direcciones que se encuentren fuera del bloque de CIDR de la VCN. Debido al enrutamiento local de la VCN, cualquier tráfico destinado a las direcciones de la VCN se enruta automáticamente a la dirección IP de destino. El enrutamiento local de la VCN tiene prioridad sobre la tabla de rutas del gateway de servicio (en general, sobre cualquiera de las tablas de rutas de la VCN).
Política de IAM necesaria
Para que pueda utilizar Oracle Cloud Infrastructure, un administrador le debe otorgar acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si obtiene un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador el tipo de acceso que posee y en qué compartimento debería trabajar.
Si es miembro del grupo Administradores, ya tiene el acceso necesario para configurar el enrutamiento en tránsito. De lo contrario, necesita acceder al servicio de Networking y necesitará la capacidad de iniciar instancias. Consulte Políticas de IAM para Networking.
Configuración del acceso privado a los servicios de Oracle
En esta sección, se muestra cómo utilizar la consola para configurar el enrutamiento en tránsito con una VCN para proporcionar a la red local acceso privado a los servicios de Oracle.
Es posible que ya tenga varios de los componentes y conexiones necesarios de Networking ya configurados en este escenario avanzado. Por lo tanto, es posible que pueda omitir algunas de las siguientes tareas. Si ya tiene un diseño de red con una VCN conectada a la red local y un gateway de servicio para esa VCN, la tarea 4 es la más importante. Permite el enrutamiento del tráfico entre la red local y Oracle Services Network.
En esta tarea, puede configurar la VCN. Para este ejemplo, no se necesita ninguna subred.
Para obtener más información e instrucciones:
En esta tarea, puede agregar un gateway de servicio a la VCN y activar el gateway para Oracle Services Network regional.
Tenga en cuenta que aún no ha creado la tabla de rutas que se asociará al gateway de servicio. Que viene en una tarea posterior.
- En la consola, vea los detalles de la VCN.
- En Recursos, haga clic en Gateways de servicio.
- Haga clic en Crear gateway de servicio.
-
Introduzca los siguientes valores:
- Nombre: un nombre descriptivo para el gateway de servicio. No tiene que ser único. Evite introducir información confidencial.
- Crear en compartimiento: el compartimiento en el que desea crear el gateway de servicio, si es diferente del compartimiento en el que está trabajando actualmente.
- Servicios: Todos los servicios Oracle Services Network en <region>.
-
Haga clic en Crear gateway de servicio.
El gateway de servicio se crea y se muestra en la página Gateways de servicio en el compartimiento que haya seleccionado.
Si utiliza la VPN de sitio a sitio con enrutamiento estático y la VCN está configurada para otorgar acceso privado de red local a los servicios de Oracle, debe configurar el dispositivo perimetral con las rutas para los rangos de IP públicas de Oracle Services Network que anuncia el DRG a través de la ruta de acceso privada (mediante el gateway de servicio). Para obtener una lista de esos rangos, consulte Direcciones IP públicas para las VCN y Oracle Services Network.
CIDR de destino | Destino de ruta |
---|---|
Todos los servicios de OSN de la región | Gateway de servicio |
CIDR de destino | Destino de ruta |
---|---|
172.16.0.0/12 | DRG |
En esta tarea, puede configurar las tablas de rutas para la asociación de DRG y el gateway de servicio.
Previos necesarios:
- Ya tiene un DRG conectado a la VCN.
- Ya tiene un gateway de servicios.
-
Cree una tabla de rutas para la asociación de DRG:
- En la consola, vea los detalles de la VCN.
- En Recursos, haga clic en Enrutar tablas para ver las tablas de rutas de la VCN.
- Haga clic en Crear tabla de rutas.
-
Introduzca lo siguiente:
- Nombre: un nombre descriptivo para la tabla de rutas. Ejemplo: Tabla de rutas de entrada de VCN. Evite introducir información confidencial.
- Crear en compartimiento: déjelo tal cual.
-
Haga clic en + Regla de ruta adicional e introduzca esta información para la regla de ruta:
- Tipo de destino: gateway de servicio.
- Servicio de destino: Todos los servicios Oracle Services Network en<region>.
- Compartimiento: el compartimiento donde está ubicado el gateway de servicio.
- Destino: el gateway de servicio.
- Descripción: descripción opcional de la regla.
-
Haga clic en Crear tabla de rutas.
La tabla de rutas se crea y se muestra en la lista.
-
Asocie la tabla de rutas (denominada Tabla de rutas de entrada de VCN en este ejemplo) a la asociación de DRG de la VCN:
- Mientras sigue viendo los detalles de la VCN, haga clic en Gateways de enrutamiento dinámico para ver el DRG asociado.
- Haga clic en el y, a continuación, en Asociar a tabla de rutas.
-
Introduzca lo siguiente:
- Compartimiento de tabla de rutas: seleccione el compartimiento de la tabla de rutas para la asociación de DRG.
- Tabla de rutas: seleccione la tabla de rutas para la asociación de DRG.
-
Haga clic en Asociar.
La tabla de rutas está asociada al DRG.
-
Cree una tabla de rutas para el gateway de servicio:
- Mientras sigue viendo los detalles de la VCN, haga clic en Tablas de rutas.
- Haga clic en Crear tabla de rutas.
-
Introduzca lo siguiente:
- Crear en compartimiento: déjelo tal cual.
- Nombre: un nombre descriptivo para la tabla de rutas. Ejemplo: tabla de rutas de gateway de servicio. Evite introducir información confidencial.
-
Haga clic en + Regla de ruta adicional e introduzca esta información para la regla de ruta:
- Tipo de destino: gateway de enrutamiento dinámico. El DRG asociado de la VCN se selecciona automáticamente como destino y no tiene que especificarlo usted mismo.
- Bloque CIDR de destino: el CIDR de la red local (172.16.0.0/12 en el ejemplo anterior).
- Descripción: descripción opcional de la regla.
-
Haga clic en Crear tabla de rutas.
La tabla de rutas se crea y se muestra en la lista.
-
Asocie la tabla de rutas (denominada Tabla de rutas del gateway de servicio en este ejemplo) al gateway de servicio:
- Mientras sigue viendo los detalles de la VCN, haga clic en Gateways de servicio.
- Para el gateway de servicio, haga clic en el menú Actions () y, a continuación, en Associate With Route Table.
-
Introduzca lo siguiente:
- Compartimiento de tabla de rutas: seleccione el compartimiento de la tabla de rutas para el gateway de servicio.
- Tabla de rutas: seleccione la tabla de rutas para el gateway de servicio.
-
Haga clic en Asociar.
La tabla de rutas está asociada al gateway de servicio.
Es posible que ya tenga varios de los componentes y conexiones necesarios de Networking ya configurados en este escenario avanzado. Por lo tanto, es posible que pueda omitir algunas de las siguientes tareas. Si ya tiene un diseño de red con una VCN conectada a la red local y un gateway de servicio para esa VCN, las tareas 4 y 5 son las más importantes. Permiten que el tráfico se enrute entre la red local y la VCN radial.
En esta tarea, puede configurar la VCN. Este ejemplo también tiene dos subredes: una para la VNIC de frontend en la instancia y otra para la VNIC de backend en la instancia. Oracle recomienda utilizar subredes privadas regionales.
Para obtener más información e instrucciones:
En esta tarea, puede agregar un gateway de servicio a la VCN y activar el gateway para Oracle Services Network regional.
Tenga en cuenta que aún no ha creado la tabla de rutas que se asociará al gateway de servicio. Que viene en una tarea posterior.
- En la consola, vea los detalles de la VCN.
- En Recursos, haga clic en Gateways de servicio.
- Haga clic en Crear gateway de servicio.
-
Introduzca los siguientes valores:
- Nombre: un nombre descriptivo para el gateway de servicio. No tiene que ser único. Evite introducir información confidencial.
- Crear en compartimiento: el compartimiento en el que desea crear el gateway de servicio, si es diferente del compartimiento en el que está trabajando actualmente.
- Servicios: Todos los servicios Oracle Services Network en <region>.
-
Haga clic en Crear gateway de servicio.
El gateway de servicio se crea y se muestra en la página Gateways de servicio en el compartimiento que haya seleccionado.
Si utiliza la VPN de sitio a sitio con enrutamiento estático y la VCN está configurada para otorgar acceso privado de red local a los servicios de Oracle, debe configurar el dispositivo perimetral con las rutas para los rangos de IP públicas de Oracle Services Network que anuncia el DRG a través de la ruta de acceso privada (mediante el gateway de servicio). Para obtener una lista de esos rangos, consulte Direcciones IP públicas para las VCN y Oracle Services Network.
- Ya tiene una VCN con dos subredes.
- Revise esta información: Uso de una IP privada como destino de ruta.
- Si aún no lo ha hecho, cree la instancia en la VCN. Consulte Creación de una instancia. Se crea la VNIC principal en la subred que especifique.
- Cree una VNIC secundaria para la otra subred y configure el sistema operativo para utilizarla. Consulte Gestión de VNIC.
- Desactive la comprobación de origen/destino en cada una de las VNIC. Consulte Visión general de las VNIC y las NIC físicas.
- Para cada VNIC, determine qué IP privada desea utilizar como destino de enrutamiento. Si desea utilizar una IP privada secundaria en lugar de la IP privada principal de la VNIC, asigne esa IP privada secundaria y configure el sistema operativo para utilizarla. Consulte Assigning a New Secondary Private IP to a VNIC.
- Para cada una de las IP privadas que ha creado, registre la dirección IP privada (por ejemplo: 10.0.4.3).
- Configure la instancia según sea necesario para el trabajo que realiza (por ejemplo, configure el firewall o el sistema de detección de intrusos en la instancia).
CIDR de destino | Destino de ruta |
---|---|
172.16.0.0/12 | DRG |
CIDR de destino | Destino de ruta |
---|---|
Todos los servicios de OSN de la región | Gateway de servicio |
CIDR de destino | Destino de ruta |
---|---|
Todos los servicios de OSN de la región | 10.0.4.3 |
CIDR de destino | Destino de ruta |
---|---|
172.16.0.0/12 | 10.0.8.3 |
En esta tarea, puede configurar las tablas de rutas para la asociación y el gateway de servicio de DRG.
Previos necesarios:
- Ya tiene un DRG conectado a la VCN.
- Ya tiene un gateway de servicios.
- Ya tiene las dos IP privadas que se utilizarán como destinos de enrutamiento (consulte la tarea anterior).
-
Cree una tabla de rutas para la asociación de DRG:
- En la consola, vea los detalles de la VCN.
- En Recursos, haga clic en Enrutar tablas para ver las tablas de rutas de la VCN.
- Haga clic en Crear tabla de rutas.
-
Introduzca lo siguiente:
- Nombre: un nombre descriptivo para la tabla de rutas. Ejemplo: Tabla de rutas de entrada de VCN. Evite introducir información confidencial.
- Crear en compartimiento: déjelo tal cual.
-
Haga clic en + Regla de ruta adicional e introduzca esta información para la regla de ruta:
- Tipo de destino: IP privada.
- Destino: servicio.
- Servicio de destino: Todos los servicios Oracle Services Network en<region>
- Compartimiento: el compartimiento donde se encuentra la IP privada de la subred de frontend.
- Destino: la IP privada de la subred de frontend, que ha registrado en la tarea anterior (10.0.4.3 en el ejemplo).
- Descripción: descripción opcional de la regla.
-
Haga clic en Crear tabla de rutas.
La tabla de rutas se crea y se muestra en la lista.
-
Asocie la tabla de rutas (denominada Tabla de rutas de entrada de VCN en este ejemplo) a la asociación de DRG de la VCN:
- Mientras sigue viendo los detalles de la VCN, haga clic en Gateways de enrutamiento dinámico para ver el DRG asociado.
- Haga clic en el y, a continuación, en Asociar tabla de rutas.
- Seleccione la tabla de rutas.
-
Haga clic en Asociar tabla de rutas.
La tabla de rutas está asociada al DRG.
-
Cree una tabla de rutas para el gateway de servicio:
- Mientras sigue viendo los detalles de la VCN, haga clic en Tablas de rutas.
- Haga clic en Crear tabla de rutas.
-
Introduzca lo siguiente:
- Crear en compartimiento: déjelo tal cual.
- Nombre: un nombre descriptivo para la tabla de rutas. Ejemplo: tabla de rutas de gateway de servicio. Evite introducir información confidencial.
-
Haga clic en + Regla de ruta adicional e introduzca esta información para la regla de ruta:
- Tipo de destino: IP privada.
- Destino: Bloque de CIDR.
- Bloque CIDR de destino: el CIDR de la red local (172.16.0.0/12 en el ejemplo anterior).
- Compartimiento: el compartimiento donde se encuentra la IP privada.
- Destino: la IP privada de la subred del backend, que ha registrado en la tarea anterior (10.0.8.3 en el ejemplo).
- Descripción: descripción opcional de la regla.
-
Haga clic en Crear tabla de rutas.
La tabla de rutas se crea y se muestra en la lista.
-
Asocie la tabla de rutas (denominada Tabla de rutas del gateway de servicio en este ejemplo) al gateway de servicio:
- Mientras sigue viendo los detalles de la VCN, haga clic en Gateways de servicio.
- Para el gateway de servicio, haga clic en el menú Actions () y, a continuación, en Associate With Route Table.
-
Introduzca lo siguiente:
- Compartimiento de tabla de rutas: seleccione el compartimiento de la tabla de rutas para el gateway de servicio.
- Tabla de rutas: seleccione la tabla de rutas para el gateway de servicio.
-
Haga clic en Asociar.
La tabla de rutas está asociada al gateway de servicio.
Desactivación del enrutamiento en tránsito
Para desactivar el enrutamiento en tránsito, elimine las reglas de:
- La tabla de rutas asociada al DRG.
- La tabla de rutas asociada al gateway de servicio.
Una tabla de rutas se puede asociar a un recurso, pero no tiene reglas. Sin al menos una regla, la tabla de rutas no hace nada.
Puede existir una asociación o gateway de servicio de DRG sin una tabla de rutas asociada a ello. Sin embargo, después de asociar una tabla de rutas a una asociación o gateway de servicio de DRG, siempre debe haber una tabla de rutas asociada a ello. Sin embargo, puede asociar una tabla de rutas diferente. También puede editar reglas de la tabla, o suprimir todas las reglas o algunas de ellas.