Oracle Cloud Infrastructure-Dokumentation

Benutzerdefinierte URL mit Oracle Web Application Firewall Service konfigurieren V2

Sie können den Load Balancer und den Web Application Firewall-Service V2 von Oracle (WAF V2) verwenden, um die Unterstützung für eine benutzerdefinierte URL für eine Visual Builder-Instanz zu konfigurieren.

Wenn Sie eine benutzerdefinierte URL für eine Visual Builder-Instanz konfigurieren (z.B. https://<my-custom-url.com>/ic/builder/), können Sie direkt mit der benutzerdefinierten URL auf Ihre Instanz zugreifen. Wenn Sie eine Anwendung über die benutzerdefinierte URL veröffentlichen, verwendet die Anwendung die benutzerdefinierte URL (z.B. https://<my-custom-url.com>/ic/builder/rt/).

Sie können eine Visual Builder-App auch so konfigurieren, dass sie eine benutzerdefinierte URL (auch Vanity-URL genannt) verwendet, sodass Kunden nur über die benutzerdefinierte Basis-URL (https://<my-custom-url.com>) auf die App zugreifen können.

Mit dem WAF-Service V2 können Sie eine Policy definieren, mit der ein benutzerdefinierter Domainname dem WAF-Service als Frontend für Ihren VB-Service als Ursprungsserver zugeordnet wird. Dazu verwenden Sie einen öffentlichen Load Balancer zur Verwaltung der Zertifikate in Ihrem Mandanten. Sie können den Load Balancer im Load Balancer-Service von Oracle einrichten.

Wenn Sie den ausgewählten DNS-Namen mit WAF einem VB-Service zuordnen, können Sie die Zuordnung Ihres DNS-Namens verwalten und das zugehörige Zertifikat und den zugehörigen Private Key selbst hochladen, anstatt die VB-Instanz für deren Verwaltung zu konfigurieren.

Bei diesen Anweisungen wird davon ausgegangen, dass Sie direkten Zugriff auf eine Visual Builder-Instanz und die Oracle Cloud Infrastructure-(OCI-)Konsole haben. Weitere Informationen zur Verwendung Ihrer Instanz hinter einer WAF oder einem API-Gateway finden Sie unter:

Vor der Konfiguration der benutzerdefinierten URL

Bevor Sie mit der Konfiguration der benutzerdefinierten URL beginnen, müssen Sie einige Details zu Ihrer Instanz kennen. Außerdem sollten Sie sich der Einschränkungen bei der Verwendung einer benutzerdefinierten URL für eine Visual Builder-Instanz bewusst sein.

Was Sie zur Konfiguration der benutzerdefinierten URL benötigen:

  • Visual Builder-Instanz: Sie müssen bereits eine Visual Builder-(oder Integration-)Instanz in Oracle Cloud bereitgestellt haben. Die Instanz muss eine von Oracle verwaltete PSM-/OCI-basierte Instanz sein.
  • IP des öffentlichen Load Balancers der VB-Instanz: Sie können die IP-Adresse des Load Balancers abrufen, indem Sie den Hostnamen mit der URL ausziffern. Beispiel: Für die URL:

    https://vbmyinst-vb-axdkj3wttbhm.builder.us-ashburn-1.ocp.oraclecloud.com/ic/builder/

    Führen Sie den folgenden Befehl vom Terminal aus, um die zur Konfiguration von Backends erforderliche IP-Adresse zu erhalten:

    dig https://vbmyinst-vb-axdkj3wttbhm.builder.us-ashburn-1.ocp.oraclecloud.com

  • DNS-Name: Sie müssen entscheiden, welcher DNS-Name für den Zugriff auf das System verwendet wird. Dieser Name muss sich in einer DNS-Domain befinden, deren Eigentümer Sie sind.
  • SSL-Zertifikat: Für den DNS-Namen muss ein CA-signiertes SSL-Zertifikat mit einem Private Key vorhanden sein.

Bekannte Einschränkungen

Benutzerdefinierte URLs unterliegen den folgenden Einschränkungen:

  • Über den Root-Kontext ('/') der benutzerdefinierten URL kann jeweils nur auf eine Webanwendung zugegriffen werden.

Load Balancer erstellen und Hostnamen konfigurieren

Mit dem Oracle Load Balancer-Service können Sie einen öffentlichen Load Balancer zur Verwaltung der Zertifikate in Ihrem Mandanten erstellen.

Ein Load Balancer stellt eine automatisierte Trafficverteilung von einem Einstiegspunkt auf Server bereit, die über Ihr virtuelles Cloud-Netzwerk erreichbar sind. Weitere Informationen zu Oracle Load Balancer finden Sie unter Überblick über Oracle Load Balancer und Load Balancer erstellen.

So erstellen Sie einen Load Balancer:

  1. Klicken Sie in der OCI-Konsole auf Navigationsmenü Menüsymbol, wählen Sie Networking und dann Load Balancer aus.
  2. Neuen Load Balancer erstellen:
    1. Klicken Sie auf der Seite "Load Balancer" auf Load Balancer erstellen.
    2. Wählen Sie Load Balancer als Typ aus, und klicken Sie auf Load Balancer erstellen, um die Seite "Load Balancer erstellen" zu öffnen und die Load-Balancer-Details zu definieren.
    3. Wählen Sie auf der Seite "Details hinzufügen" die Standardwerte für die Ausprägungen und Netzwerkoptionen aus.

      Im Abschnitt "Netzwerk auswählen" müssen Sie ein virtuelles Cloud-Netzwerk und ein Subnetz auswählen, wenn diese nicht bereits ausgewählt sind.


      Beschreibung von waf-load-choose-networking.png folgt
      Beschreibung der Abbildung waf-load-choose-networking.png

      Klicken Sie auf Weiter.

    4. Wählen Sie im Bereich "Health Check Policy angeben" auf der Seite "Backends auswählen" TCP als Protokoll aus, und setzen Sie den Port auf 443. Klicken Sie auf Weiter.
    5. Wählen Sie auf der Seite "Listener konfigurieren" im Bereich "SSL-Zertifikat" in der Dropdown-Liste "Zertifikatsressource" die Option Von Load Balancer verwaltetes Zertifikat aus.
    6. Geben Sie die Zertifikatskette und den Private Key an. Klicken Sie auf Weiter.
    7. Übernehmen Sie auf der Seite "Logging verwalten" die Standardeinstellungen. Klicken Sie auf Weiterleiten, um den Load Balancer zu erstellen.
      Hinweis

      Das Provisioning des Load Balancers dauert einige Minuten.
  3. Nachdem der Load Balancer bereitgestellt wurde, klicken Sie auf der Seite "Load Balancer" auf den Namen des neuen Load Balancers, um die Registerkarte "Details" zu öffnen.
  4. Öffnen Sie die Registerkarte Hostnamen, und klicken Sie auf Hostnamen erstellen.
  5. Geben Sie auf der Seite "Hostnamen erstellen" einen Namen und einen Hostnamen ein. Klicken Sie auf Erstellen.

    Der Hostname ist Ihr benutzerdefinierter Endpunkt.


    Beschreibung von waf-load-hostnames-tab.png folgt
    Beschreibung der Abbildung waf-load-hostnames-tab.png

  6. Öffnen Sie die Registerkarte Listener, und bearbeiten Sie den Listener, um den Hostnamen hinzuzufügen. Klicken Sie auf Änderungen speichern.
  7. Konfigurieren Sie das virtuelle Cloud-Netzwerk (VCN) des Load Balancers:
    1. Öffnen Sie die Registerkarte "Details" des Load Balancers, und klicken Sie auf den Link "Virtuelles Cloud-Netzwerk (VCN)", um die Registerkarte "Details" des VCN zu öffnen:
    2. Öffnen Sie die Registerkarte Gateways des VCN, und klicken Sie auf Internetgateway erstellen.
    3. Geben Sie auf der Seite "Internetgateway erstellen" einen Namen ein, und klicken Sie auf Internetgateway erstellen, um zur Registerkarte "Gateways" zurückzukehren.
    4. Klicken Sie auf der Registerkarte "Gateways" auf NAT-Gateway erstellen.
    5. Geben Sie auf der Seite "NAT-Gateway erstellen" einen Namen für das Gateway ein, und wählen Sie Ephemere öffentliche IP-Adresse aus. Klicken Sie auf NAT-Gateway erstellen.
    6. Öffnen Sie die Registerkarte Routing, und klicken Sie auf Routentabelle erstellen.
    7. Geben Sie auf der Seite "Routentabelle erstellen" einen Namen ein, und klicken Sie auf Routentabelle erstellen, um zur Registerkarte "Routing" zurückzukehren.
    8. Klicken Sie auf die neue Routentabelle, um die zugehörige Detailseite zu öffnen.
    9. Öffnen Sie die Registerkarte Routingregeln, und klicken Sie auf Routingregeln hinzufügen.
    10. Geben Sie auf der Seite "Routingregeln hinzufügen" die folgenden Details für die Routingregel des NAT-Gateways ein:
      • Zieltyp: NAT-Gateway.
      • Ziel-CIDR-Block: Geben Sie die öffentliche Load-Balancer-IP der Visual Builder-Instanz an (siehe Setup oben, wie Sie sie erhalten). Wenn es sich um eine einzelne IP handelt, hängen Sie /32 an sie an, um einen einzelnen IP-CIDR-Block zu bilden.
      • Compartment: Übernehmen Sie die Vorgabe.
      • Ziel: Wählen Sie das erstellte NAT-Gateway aus.
      • Beschreibung: Eine optionale Beschreibung der Regel.

      Beschreibung von waf-load-add-route-rules.png folgt
      Beschreibung der Abbildung waf-load-add-route-rules.png

      Sie müssen eine NAT-Gateway-Routingregel für jede der öffentlichen Load Balancer-IPs Ihrer Visual Builder-Instanz erstellen. Um eine Routingregel hinzuzufügen, klicken Sie auf + Weitere Routingregel.

    11. Klicken Sie auf + Weitere Routingregel, und geben Sie die folgenden Details für die Routingregel des Internetgateways ein:
      • Zieltyp: Internetgateway.
      • Ziel-CIDR-Block: 0.0.0.0/0
      • Compartment: Übernehmen Sie die Vorgabe.
      • Ziel-Internetgateway: Wählen Sie das von Ihnen erstellte Internetgateway aus.
      • Beschreibung: Eine optionale Beschreibung der Regel.

      Klicken Sie auf Routingregeln hinzufügen.

    12. Vergewissern Sie sich, dass der Health Check-Status für Ihr Backend-Set "OK" lautet.
  8. Kehren Sie zur Registerkarte "Details" des Load Balancers zurück.
  9. Load-Balancer-Subnetz konfigurieren:
    1. Klicken Sie auf der Registerkarte "Details" des Load Balancers auf den Link "Subnetz", um die Detailseite zu öffnen.
    2. Öffnen Sie die Registerkarte Sicherheit des Subnetzes, und klicken Sie dann auf die Standardsicherheitsliste in der Tabelle, um den Bereich "Details" zu öffnen.
    3. Öffnen Sie die Registerkarte Sicherheitsregeln.
    4. Bearbeiten Sie die Regel für den Eintrag 0.0.0.0/0 in der Tabelle "Ingress-Regeln", um den Zielportbereich in 443 zu ändern. Klicken Sie auf Änderungen speichern.
  10. Legen Sie die SSL-Option für das Backend fest:
    1. Wählen Sie auf der Seite "Backends" die Option SSL aus.
    2. Wählen Sie die Option Von Load Balancer verwaltetes Zertifikat aus.
    3. Wählen Sie Von Load Balancer verwaltetes Zertifikat aus, und wählen Sie in der Dropdown-Liste das Zertifikat aus.
      Hinweis

      Wenn ein Fehler auftritt, dass ein CA-Zertifikat fehlt, erstellen Sie ein neues vom Load Balancer verwaltetes Zertifikat, und stellen Sie das Serverzertifikat und das Zwischenzertifikat separat anstelle einer kombinierten Kette bereit.
  11. Neues Backend hinzufügen:
    1. Öffnen Sie die Registerkarte Backend-Sets, und klicken Sie dann auf den Link des Backend-Sets in der Tabelle, um die Registerkarte "Details" zu öffnen.
    2. Öffnen Sie die Registerkarte Backends, und klicken Sie auf Backend hinzufügen.
    3. Wählen Sie die Option IP-Adressen, und legen Sie die folgenden Backend-Details fest:
      • IP-Adresse: Geben Sie die IP-Adresse für den Load Balancer an. Dies ist die IP-Adresse, die Sie erhalten haben, wenn Sie den Befehl dig im Visual Builder-Hostnamen verwendet haben.
      • Port: Stellen Sie den Port auf 443 ein.

      Beschreibung von waf-load-add-backend.png folgt
      Beschreibung der Abbildung waf-load-add-backend.png

      Klicken Sie auf Hinzufügen.

  12. (Optional) Wenn Sie den Zugriff einschränken möchten:
    1. Öffnen Sie die Registerkarte Policys, und klicken Sie auf Routing-Policy erstellen.
    2. Geben Sie auf der Seite Routing-Policy erstellen einen Namen für die Routing-Policy ein.
    3. Konfigurieren Sie die Policy im Bereich "Bedingungen", indem Sie Folgendes festlegen:
      • Wenn die folgenden Bedingungen erfüllt sind: Auf If All Match setzen
      • Bedingungstyp: Auf Path setzen
      • Operator: Auf Is setzen
      • URL-Zeichenfolge: Auf / setzen.

      Beschreibung von waf-load-create-routingpolicy.png folgt
      Beschreibung der Abbildung waf-load-create-routingpolicy.png

    4. Definieren Sie im Aktionsbereich die Aktion "An Backend weiterleiten", indem Sie das Backend-Set aus der Dropdown-Liste auswählen. Klicken Sie auf Weiter.
    5. Legen Sie bei Bedarf die Reihenfolge fest, in der Policys ausgeführt werden sollen. Klicken Sie auf Routing-Policy erstellen, um zur Registerkarte "Policys" zurückzukehren.
    6. Klicken Sie auf der Registerkarte "Policys" auf Regelset erstellen.
    7. Geben Sie auf der Seite "Regelset erstellen" einen Namen für die Regelgruppe ein.
    8. Wählen Sie Anforderungsheaderregeln angeben aus, und geben Sie die folgenden Details ein:
      • Aktion: Add Request Header
      • Kopfzeile: Host
      • Wert: Fügen Sie Ihre benutzerdefinierte URL hinzu (Beispiel: myhost.example.com)

      Beschreibung von waf-load-create-ruleset.png folgt
      Beschreibung der Abbildung waf-load-create-ruleset.png

      Klicken Sie auf Weiterleiten, um zur Registerkarte "Policys" zurückzukehren.

WAF-Policy erstellen

Mit einer WAF-Policy können Sie die Zugriffsregeln, Ratenbegrenzungsregeln und Schutzregeln für Ihren Web Application Firewall-Service konfigurieren.

Wenn Sie eine WAF-Policy für Ihre benutzerdefinierte URL erstellen und konfigurieren, müssen Sie den Load Balancer angeben, der für Ihre Visual Builder-Instanz verwendet wird.

So erstellen Sie eine WAF-Policy und geben den Load Balancer an:

  1. Melden Sie sich bei der Oracle Cloud Infrastructure-Konsole an, und öffnen Sie WAF-Policys unter Sicherheit.
  2. Wählen Sie das Compartment aus, in dem die WAF-Policy erstellt werden soll, und klicken Sie auf WAF-Policy erstellen.
  3. Geben Sie den Policy-Namen im Dialogfeld "WAF-Policy erstellen" ein.
  4. Übernehmen Sie alle anderen Standardwerte, und klicken Sie auf Weiter, bis Sie den Schritt Durchsetzungspunkt auswählen erreichen.
  5. Wählen Sie im Schritt Durchsetzungspunkt auswählen den erstellten Load Balancer aus, und schließen Sie die WAF-Konfiguration ab.
  6. Klicken Sie auf WAF-Policy erstellen.

Nachdem die Policy erstellt wurde und Sie sie für die Verwendung des Load Balancers konfiguriert haben, können Sie die Policy-Regeln konfigurieren. Sie können die Policy-Konfiguration jederzeit bearbeiten. Bei der Konfiguration der Policy können Sie die vordefinierten Aktionen verwenden oder eigene benutzerdefinierte Aktionen erstellen. Weitere Informationen zu WAF-Policys finden Sie unter Erste Schritte mit Web Application Firewall-Policys.

DNS konfigurieren

Registrieren oder aktualisieren Sie den benutzerdefinierten DNS-Namen mit der öffentlichen IP-Adresse des Load Balancers.

Bearbeiten Sie in der DNS-Konfiguration für den Namen, den Sie für den Zugriff auf die VB-Serviceinstanz ausgewählt haben, den A-Datensatz so, dass er auf die öffentliche IP-Adresse des Load Balancers verweist. In der folgenden Abbildung wird der Wert des Datensatzes A auf die öffentliche Load-Balancer-IP-Adresse 152.70.200.184 gesetzt:


Beschreibung von waf-configure-dns.png folgt
Beschreibung der Abbildung waf-configure-dns.png

Hinweis

Die öffentliche IP-Adresse des Load Balancers finden Sie auf der Seite "Load Balancer" auf der Registerkarte "Load Balancer-Informationen":


Beschreibung von waf-load-ipaddress.png folgt
Beschreibung der Abbildung waf-load-ipaddress.png