Acceso privado
En este tema se proporciona una visión general de las opciones para permitir el acceso privado a los servicios de Oracle Cloud Infrastructure. El acceso privado significa que el tráfico no se realiza mediante internet. El acceso se puede realizar desde los hosts de su red virtual en la nube (VCN) o de su red local.
En este tema no se analiza el acceso a los servicios a través de un gateway de internet. Sin embargo, recuerde que el tráfico a través de un gateway de internet entre una VCN y una dirección IP pública que forma parte de Oracle Cloud Infrastructure se enruta sin enviarse a través de Internet.
Aspectos destacados
- Puede activar el acceso privado a determinados servicios de Oracle Cloud Infrastructure desde la VCN o la red local mediante un punto final privado o un gateway de servicios. Consulte las secciones que aparecen a continuación.
-
Estos servicios o tipos de recursos están disponibles para cada opción de acceso privado:
- Con un punto final privado:
- Con un gateway de servicio: servicios disponibles
- Con cualquiera de las opciones de acceso privado, el tráfico se mantiene dentro de la red de Oracle Cloud Infrastructure y no pasa a través de internet. Sin embargo, si utiliza un gateway de servicio, las solicitudes al servicio utilizan un punto final público para el servicio.
- Si no quiere acceder a un servicio de Oracle determinado a través de un punto final público, Oracle recomienda que utilice un punto final privado en su VCN (suponiendo que el servicio admite los puntos finales privados). Un punto final privado se representa como una dirección IP privada dentro de una subred de su VCN.
Acerca de los puntos finales privados
Un punto final privado es una dirección IP privada de su VCN que puede utilizar para acceder a un servicio determinado de Oracle Cloud Infrastructure. El servicio configura el punto final privado en una subred de VCN de su elección. Puede considerar el punto final privado simplemente como otra VNIC de su VCN. Puede controlar el acceso del mismo modo que lo haría con cualquier otra VNIC: mediante reglas de seguridad. Sin embargo, el servicio configura esta VNIC y mantiene la disponibilidad en su nombre. Solo debe mantener la subred y las reglas de seguridad.
En el siguiente diagrama se ilustra el concepto.
El punto final privado proporciona a los hosts de su VCN y su red local acceso a un solo recurso del servicio de interés de Oracle (por ejemplo, una base de datos en Autonomous Database Serverless). Compare ese modelo de acceso privado con un gateway de servicio (consulte la siguiente sección): si ha creado cinco Autonomous Databases para una VCN determinada, se podrá acceder a los cinco mediante un único gateway de servicio enviando solicitudes a un punto final público para el servicio. Sin embargo, con el modelo de punto final privado, habría cinco puntos finales privados independientes, uno para cada Autonomous Database, y cada uno tendría su propia dirección IP privada.
El servicio que configura el punto final privado en su VCN puede proporcionar un nombre de DNS (nombre de dominio completo o FQDN) para el punto final privado y no la dirección IP privada en sí. Si ha ajustado la configuración de red para DNS, los hosts pueden acceder al punto final privado mediante el uso de FQDN. Si el servicio admite el uso de grupos de seguridad de red (NSG) con sus recursos, puede solicitar que el servicio configure el punto final privado en un NSG de su elección dentro de su VCN. Los NSG le permiten escribir reglas de seguridad para controlar el acceso al punto final privado sin conocer la dirección IP privada asignada al punto final privado.
Si tiene un punto final privado para un recurso, los hosts de la VCN pueden utilizar el FQDN o la dirección IP privada del punto final privado para acceder al recurso. El usuario configura las reglas de seguridad para controlar el acceso entre los hosts de la VCN y el punto final privado. Para obtener un ejemplo de cómo llevarlo a cabo con Autonomous Database para análisis y almacenamiento de datos, consulte Configuración del acceso de red con puntos finales privados.
También puede configurar enrutamientos en tránsito con su VCN de modo que los hosts de la red local puedan utilizar el punto final privado. Tiene dos opciones para hacer que los hosts locales utilicen el FQDN del punto final privado en lugar de la dirección IP privada:
- Configurar una instancia en la VCN para que sea un servidor DNS personalizado. Para obtener un ejemplo de implementación de este caso con el proveedor Terraform de Oracle, consulte Configuración híbrida de DNS.
- Gestione usted mismo la resolución de nombres de host manualmente.
Puede que tenga varias VCN con hosts que necesiten acceder al recurso específico de interés. Puede emparejar las VCN de manera que los hosts de las otras VCN también puedan usar el punto final privado (el diagrama anterior no muestra ninguna VCN con intercambio de tráfico).
Acerca de los gateways de servicio
Un gateway de servicio permite que los recursos de su VCN y su red local tengan acceso privado a varios servicios de Oracle Cloud Infrastructure, sin que el tráfico pase por internet.
En el siguiente diagrama se ilustra el concepto. El diagrama hace referencia a Oracle Services Network, que es una red conceptual que forma parte de Oracle Cloud Infrastructure y que solo pueden utilizar los servicios de Oracle.
Para utilizar un gateway de servicio desde una subred concreta de su VCN, configure una regla de ruta en la tabla de rutas de la subred y especifique el gateway de servicio como destino de la regla. Configure también reglas de seguridad para controlar el acceso entre hosts de la VCN y los servicios disponibles a través del gateway de servicio.
Si tiene más de una VCN en su arrendamiento, puede configurar cada una con su propio gateway de servicio.
Consulte Límites de gateway y Solicitud de aumento del límite de servicio para obtener más información relacionada con los límites.
También puede configurar enrutamientos en tránsito para Oracle Services Network de modo que los hosts de su red local puedan utilizar un gateway de servicio de la VCN.