Acceso a servicios de Oracle: puntos finales de acceso a servicios privados

Acerca de los puntos finales de PSA

Puede utilizar el acceso al servicio privado de Oracle Cloud Infrastructure para crear puntos finales de acceso al servicio privado (PSA) que proporcionen acceso IP privado a un único servicio OCI. El punto final de PSA utiliza una dirección IP privada dedicada y un FQDN en una VCN y subred especificadas. Un punto final de PSA está disponible en redes IPv4-IPv6 de solo IPv4 o de doble pila.

Puede configurar el punto final de PSA en una subred de la VCN. Puede considerar el punto final de PSA como otra VNIC en la VCN. Puede controlar el acceso a él como lo haría para cualquier otra VNIC: mediante el uso de reglas de seguridad en una lista de seguridad, un NSG o mediante atributos y políticas de seguridad de enrutamiento de paquetes de confianza cero (ZPR) que defina e implemente.

En el siguiente diagrama se ilustra el concepto.

El punto final de PSA proporciona a los hosts de una VCN o una red local acceso al servicio de Oracle de interés (por ejemplo, Autonomous AI Database Serverless). El modelo de acceso privado es similar a un gateway de servicio: si ha creado cinco bases de datos de IA autónomas para una VCN específica, se podrá acceder a las cinco a través de un único punto final de PSA enviando solicitudes al punto final de PSA para el servicio. Con el modelo de punto final privado, habría cinco puntos finales privados independientes: uno para cada base de datos de IA autónoma, y cada uno con su propia dirección IP privada.

Tiene dos opciones para hacer que los hosts locales utilicen el FQDN del punto final privado en lugar de la dirección IP privada:

• Configurar un punto final de recepción de DNS. Para obtener un ejemplo de implementación de este caso con el proveedor Terraform de Oracle, consulte Configuración híbrida de DNS.
• Gestione usted mismo la resolución de nombres de host manualmente.

Es posible que tenga varias redes virtuales en la nube con hosts que necesitan acceso al recurso específico de interés. Puede peer las redes virtuales en la nube para que los hosts de las otras redes virtuales en la nube también puedan utilizar el punto final privado (el diagrama anterior no muestra ninguna red virtual conectada).

Consideraciones específicas del servicio

Almacenamiento de objetos

• El punto final de PSA del almacenamiento de objetos bloquea las solicitudes autenticadas previamente entre arrendamientos, las credenciales ajenas y el acceso anónimo al almacenamiento de objetos.
• El punto final de PSA para Object Storage proporciona un rendimiento de hasta 25 Gbps.

Cuándo utilizar un punto final de PSA para Object Storage en lugar de un punto final privado

Se recomienda PSA para la mayoría de los casos de uso de Object Storage, ya que crea un acceso privado perfecto en toda la región sin cambios de código ni dependencia de puntos finales públicos, e incluye funciones de seguridad mejoradas (por ejemplo, bloquea las credenciales de arrendamiento/solicitudes autenticadas previamente, ofrece métricas de tráfico y atributos de confianza cero). Los puntos finales privados son mejores cuando necesita restringir el acceso a espacios de nombres, compartimentos o cubos específicos para determinados clientes, lo que es ideal para controles detallados y escenarios que necesiten FQDN dedicados. Service Gateway sigue siendo una opción cuando se requiere un mayor ancho de banda o cuando se desea un acceso fácil y amplio a todos los servicios de OCI, aunque con menos granularidad y controles de seguridad.

Gestión de puntos finales de PSA

Las siguientes acciones básicas de gestión están disponibles para los puntos finales de PSA:

• Listado de puntos finales de PSA
• Creación de un punto final de PSA
• Obtención de detalles de punto final de PSA
• Edición de un punto final de PSA
• Traslado de un punto final de PSA a un compartimento diferente
• Supresión de un punto final de PSA