Hinweis:
- Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
- Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte nach Abschluss der Übung durch Werte, die für Ihre Cloud-Umgebung spezifisch sind.
OCI Load Balancer und OCI WAF mit Hub- und Spoke-VCN-Routingarchitektur zu einem Hub hinzufügen
Einführung
Dieses Tutorial führt Sie durch die Aufgaben, die zum Bereitstellen und Konfigurieren eines Oracle Cloud Infrastructure (OCI) Load Balancers mit OCI Web Application Firewall (WAF) in OCI erforderlich sind. Außerdem erfahren Sie, wie dieser Vorgang in einer Hub- und Spoke-VCN-Routingumgebung ausgeführt wird.
Die folgende Abbildung veranschaulicht die Verkehrswerte.
Konnektivität von extern zu Spoke mit Load Balancer und WAF
Ziele
- Wir konfigurieren einen OCI Load Balancer mit OCI WAF-Policy in einer Hub- und Spoke-Netzwerkarchitektur. Darüber hinaus richten wir die Webserver ein, um zu überwachen und zu verfolgen, wie der Load Balancer Traffic verteilt.
Voraussetzungen
-
Stellen Sie sicher, dass Sie die folgenden Tutorials abgeschlossen haben, wenn Sie den Inhalt in diesem Tutorial neu erstellen möchten.
Aufgabe 1: Aktuelle Hub- und Spoke-Netzwerkarchitektur prüfen
Um dieses Tutorial fortzusetzen, sollten wir Folgendes haben:
- 1 x Hub-VCN (mit einer Firewall, einem Internetgateway, NAT-Gateway und einem Servicegateway)
- 3 x Spoke-VCNs
- 1 x On-Premise-Verbindung mit einer IPSec-VPN-Verbindung
Im Hub-VCN befindet sich eine Windows-Instanz, mit der wir eine Verbindung zu den Spoke-Instanzen herstellen können. Jeder Spoke verfügt über eine Instanz, die als Webserver konfiguriert wird. Diese Instanzen können als Endpunkte für den Load Balancer verwendet werden, den wir in diesem Tutorial bereitstellen.
Die folgende Abbildung veranschaulicht den Ausgangspunkt.
Aufgabe 2: Routing im Hub und in der Spoke-Netzwerkarchitektur zwischen OCI WAF und OCI Load Balancer, der Hubfirewall und den Spokeinstanzen konfigurieren
Die folgende Abbildung zeigt die aktuelle Hub- und Spoke-Netzwerkarchitektur mit allen Sicherheitslisten und Routingtabellen.
Bevor Sie den OCI Load Balancer hinzufügen, müssen Sie sicherstellen, dass der Traffic aus dem OCI-Load-Balancer-Subnetz an die Hubfirewall weitergeleitet wird, damit der Traffic auf der Hubfirewall geprüft werden kann, bevor er den Traffic an die Spoke-Instanzen sendet.
Obwohl wir bereits eine Standardroutingregel haben, ist es immer noch Best Practice, diese Regel hinzuzufügen, um sie explizit aufzurufen, wie wir es auch bei den anderen Netzwerken getan haben.
-
Fügen Sie die Weiterleitungsregel hinzu.
-
Melden Sie sich bei der OCI-Konsole an, und navigieren Sie zu Networking, Virtuelle Cloud-Netzwerke und Virtuelles Cloud-Netzwerk.
-
Klicken Sie auf Routentabellen.
- Wählen Sie die Routentabelle VCN_HUB_RT_DRG_TRANSIT aus.
-
-
Klicken Sie auf Routingregeln hinzufügen.
- Zieltyp: Wählen Sie Private IP aus.
- Zieltyp: Geben Sie einen CIDR-Block ein.
- Ziel-CIDR-Block: Geben Sie
0.0.0.0/0
ein. - Zielauswahl: Geben Sie
172.16.0.20
ein. Dies ist die IP-Adresse unserer pfSense-Firewall. - Klicken Sie auf Routingregeln hinzufügen.
-
Beachten Sie, dass die Route
172.16.0.128/25
jetzt der Routentabelle VCN_HUB_RT_DRG_TRANSIT hinzugefügt wird.Die folgende Abbildung zeigt die aktuelle Hub- und Spoke-Netzwerkarchitektur mit allen Sicherheitslisten und Routingtabellen mit Routingregeln.
Aufgabe 3: Webserver auf den Backend-Servern installieren
Installieren Sie einen NGINX-Webserver auf allen Instanzen in den Spoke-VCNs. Weitere Informationen zur Installation eines NGINX-Webservers auf einer Oracle Linux-Instanz finden Sie unter Aufgabe 6: Webserver auf Instanz installieren.
Aufgabe 4: Webseite auf den Backend-Servern erstellen oder ändern
Standardmäßig wird jeder Webserver mit einer Standardwebseite konfiguriert. Um zu verfolgen, wo unser OCI Load Balancer den Traffic umleitet, ist es empfehlenswert, etwas auf der Webseite zu ändern, damit Sie wissen, auf welchen Server zugegriffen wird.
Dazu können Sie den Inhalt der NGINX-Standarddatei index.html
ändern.
sudo nano /usr/share/nginx/html/index.html
Ändern Sie für Instance-A den Header:
<h1>Welcome to nginx! This is INSTANCE-A</h1>
Ändern Sie für Instance-B den Header:
<h1>Welcome to nginx! This is INSTANCE-B</h1>
Ändern Sie für Instance-C den Header:
<h1>Welcome to nginx! This is INSTANCE-C</h1>
Stellen Sie sicher, dass Sie die index.html
-Dateien speichern, nachdem Sie sie geändert haben.
Aufgabe 5: OCI Load Balancer installieren
Bevor Sie den OCI Load Balancer erstellen, müssen Sie zunächst den Ingress von Port 80 in der Hub-VCN-Sicherheitsliste zulassen. Der gesamte Traffic, einschließlich des Traffics, der vom Load Balancer im öffentlichen Subnetz des HUB-VCN geleitet wird, wird an die HUB-Firewall weitergeleitet. Die Instanzen, die der Load Balancer Endpunkte verwenden soll, horchen auf Port TCP/80. Aus diesem Grund müssen Sie auch den Port-TCP/80-Ingress im Hub-VCN zulassen, damit das private Subnetz im Hub-VCN, in dem der Traffic weitergeleitet wird, auch die Kommunikation zu den Spoke-VCNs ermöglicht.
-
Ingress-Regel hinzufügen.
- Klicken Sie in der oberen linken Ecke auf das Hamburger-Menü (≡).
- Klicken Sie auf Networking.
- Klicken Sie auf Virtuelle Cloud-Netzwerke.
- Stellen Sie sicher, dass Sie sich im Abschnitt Virtuelles Cloud-Netzwerk befinden.
- Klicken Sie auf das HUB-VCN-VCN.
-
Klicken Sie auf Sicherheitslisten.
-
Klicken Sie auf Standardsicherheitsliste für HUB-VCN.
- Stellen Sie sicher, dass Sie sich im Abschnitt Ingress-Regeln befinden.
- Klicken Sie auf Ingress-Regeln hinzufügen.
- Fügen Sie eine Sicherheitsregel hinzu, die TCP/80 von der Quelle (
172.16.0.128/25
) an ALLE Ziele zulässt.
Hinweis:
-
Wir verwenden die Standardsicherheitsliste, die auf das HUB-VCN angewendet wird und daher auf alle separaten Subnetze in diesem HUB-VCN angewendet wird.
-
Dies bedeutet auch, dass der Traffic, der vom öffentlichen Subnetz zum privaten Subnetz innerhalb des HUB-VCN geleitet wird, dieser Standardsicherheitsliste unterliegt, da dieselbe Standardsicherheitsliste auf beide Subnetze angewendet wird.
-
Aus diesem Grund erlauben wir den TCP/80-Ingress-Port, da der Load Balancer nicht mit den Backend-Servern kommunizieren kann, wenn dies nicht der Fall ist. Der Traffic wird aus dem öffentlichen Subnetz an das private Subnetz gesendet, weil wir eine HUB-and-Spoke-Architektur mit einer Firewall innerhalb des privaten Subnetzes des HUB-VCN verwenden.
-
Die folgende Abbildung veranschaulicht, was Sie bisher mit der hinzugefügten Sicherheitsregel erstellt haben.
-
Erstellen Sie den Load Balancer.
- Klicken Sie in der oberen linken Ecke auf das Hamburger-Menü (≡).
- Klicken Sie auf Networking.
- Klicken Sie auf Load Balancer.
-
Klicken Sie auf Load Balancer erstellen.
- Geben Sie einen Load-Balancer-Namen ein.
- Wählen Sie Öffentlich als Sichtbarkeitstyp aus.
- Wählen Sie Ephemere IP-Adresse.
- Bildlauf nach unten.
-
Behalten Sie alle Standardeinstellungen bei, und scrollen Sie nach unten.
- Wählen Sie das VCN aus, an das Sie den Load Balancer anhängen möchten.
- Wählen Sie das Subnetz aus, an das Sie den Load Balancer anhängen möchten.
- Klicken Sie anschließend auf Weiter.
- Wählen Sie Gewichtetes Robin als Load Balancing Policy aus.
- Klicken Sie auf Backends hinzufügen.
- Wählen Sie alle Backends der Instanzen in den Spoke-VCNs aus.
- Klicken Sie auf Ausgewählte Backends hinzufügen.
- Prüfen Sie die Backends, und ändern Sie gegebenenfalls den Port. In diesem Tutorial horchen alle Backend-Instanzen auf Port 80.
- Bildlauf nach unten.
-
Behalten Sie die Standardeinstellung für die Health Check Policy bei, und klicken Sie auf Weiter.
- Listener-Name eingeben.
- Wählen Sie HTTP als Vom Listener verarbeiteten Traffictyp aus.
- Geben Sie unter Listener-Port den Wert 80 ein.
- Klicken Sie anschließend auf Weiter.
- Wählen Sie eine Loggruppe aus.
- Klicken Sie auf Weiterleiten.
-
Beachten Sie, dass der Load Balancer-Status Wird verarbeitet lautet.
- Beachten Sie, dass der Load-Balancer-Status von Wird erstellt in Aktiv geändert wurde.
- Beachten Sie, dass der Gesamtzustand ausstehend ist.
- Beachten Sie, dass der Zustand von Backend-Sets ausstehend ist.
- Notieren Sie sich die öffentliche IP-Adresse des Load Balancers.
- Nach einigen Minuten ist der Gesamtzustand OK.
- Nach einigen Minuten ist der Zustand von Backend-Sets OK.
-
Scrollen Sie nach unten, um das Backend-Set genauer zu betrachten.
- Klicken Sie auf Backend-Sets.
- Klicken Sie auf das verfügbare Backend-Set.
- Beachten Sie, dass der Gesamtzustand OK lautet.
- Beachten Sie, dass der Zustand von Backend-Sets OK lautet.
- Bildlauf nach unten.
- Klicken Sie auf Backends.
- Beachten Sie die Backends im Abschnitt Backends.
- Öffnen Sie einen neuen Browser.
- Geben Sie die öffentliche IP-Adresse des Load Balancers ein.
- Beachten Sie, dass der Load Balancer den Traffic zur Instanz im Spoke-VCN B umleitet.
- Aktualisieren Sie die Seite.
- Beachten Sie, dass der Load Balancer den Traffic jetzt an die Instanz im Spoke-VCN C umleitet.
- Aktualisieren Sie die Seite.
- Beachten Sie, dass der Load Balancer den Traffic jetzt erneut an die Instanz im Spoke-VCN B umleitet.
- Aktualisieren Sie die Seite.
- Beachten Sie, dass der Load Balancer den Traffic jetzt an die Instanz im Spoke-VCN A umleitet.
-
Die folgende Abbildung zeigt, was Sie bisher erstellt haben und wie der Traffic fließt.
-
Stellen Sie sicher, dass die Hubfirewall den Port TCP/80 vom Load Balancer zu den Backend-Servern zulässt. In diesem Tutorial haben wir den gesamten Traffic in der Hubfirewall zu Testzwecken zugelassen.
Aufgabe 6: OCI Web Application Firewall installieren und konfigurieren
-
Konfigurieren Sie die OCI Web Application Firewall.
- Klicken Sie in der oberen linken Ecke auf das Hamburger-Menü (≡).
- Klicken Sie auf Identität und Sicherheit.
- Klicken Sie auf Web Application Firewall.
-
Klicken Sie auf WAF-Policy erstellen.
- Geben Sie einen Namen für die WAF-Policy ein.
- Klicken Sie anschließend auf Weiter.
- Stellen Sie sicher, dass Zugriffskontrolle aktivieren aktiviert ist.
-
Verwenden Sie eine Website, die in der Lage ist, Ihre ISP-IP-Adresse abzurufen. Dies ist erforderlich, um Ihre Zugriffskontrolle in der OCI Web Application Firewall zu konfigurieren. In diesem Tutorial verwenden wir
www.ipchicken.com
, um die ISP-IP-Adresse abzurufen. -
Geben Sie im Abschnitt Zugriffsregel hinzufügen die folgenden Informationen ein.
- Klicken Sie auf Zugriffsregel hinzufügen.
- Geben Sie einen Namen für die Zugriffsregel ein.
- Bedingungstyp: Wählen Sie Quell-IP-Adresse aus.
- Operator: Wählen Sie In Liste aus.
- CIDR-IP-Bereiche: Geben Sie die IP-Adresse Ihres eigenen ISPs ein.
- Bildlauf nach unten.
- Geben Sie unter Regelaktion den Aktionsnamen ein, und wählen Sie Vorkonfigurierte Aktion für 401-Antwortcode aus.
- Klicken Sie auf Zugriffsregel hinzufügen.
- Beachten Sie, dass die Zugriffsregel hinzugefügt wurde.
- Klicken Sie anschließend auf Weiter.
-
Klicken Sie anschließend auf Weiter.
-
Klicken Sie anschließend auf Weiter.
- Wählen Sie den Load Balancer aus, für den Sie die WAF-Policy konfigurieren möchten. Verwenden Sie den in Aufgabe 5 erstellten Load Balancer.
- Klicken Sie anschließend auf Weiter.
-
Klicken Sie auf WAF-Policy erstellen.
-
Beachten Sie, dass die WAF-Policy erstellt wird.
- Beachten Sie, dass der Status der WAF-Policy ACTIVE lautet.
- Klicken Sie auf Policys, um zur Seite "WAF-Policys" zurückzukehren.
-
Notieren Sie sich die gerade konfigurierte WAF-Policy.
Aufgabe 7: OCI WAF, OCI Load Balancer-Konnektivität und WAF-Sicherheit testen
-
Öffnen Sie den in Aufgabe 5 verwendeten Browser, und aktualisieren Sie die Seite.
Hinweis: Wenn Sie ihn geschlossen haben, geben Sie die öffentliche IP-Adresse des Load Balancers ein.
-
Beachten Sie, dass auf die Webserver nicht mehr zugegriffen werden kann, weil sie mit der WAF-Policy blockiert wurden.
Danksagungen
- Autor - Iwan Hoogendoorn (OCI Network Specialist)
Weitere Lernressourcen
Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.
Die Produktdokumentation finden Sie im Oracle Help Center.
Add OCI Load Balancer and OCI WAF to a Hub with Hub and Spoke VCN Routing Architecture
G12086-01
July 2024