Acceso privado

• Puede activar el acceso privado a determinados servicios de Oracle Cloud Infrastructure desde una VCN o una red local mediante un punto final privado, un punto final de acceso a servicios privado o un gateway de servicio. Consulte las secciones que aparecen a continuación.

• Estos servicios o tipos de recursos están disponibles para cada opción de acceso privado:

  • Con un punto final privado: servicios disponibles
  • Con un gateway de servicio o un punto final de acceso de servicio privado: servicios disponibles
• Con cualquiera de estas opciones de acceso privado, el tráfico se queda dentro de la red de Oracle Cloud Infrastructure y no atraviesa Internet. Sin embargo, si utiliza un gateway de servicio, las solicitudes al servicio utilizan un punto final público para el servicio.
• Si no desea acceder a un servicio de Oracle concreto a través de un punto final público, le recomendamos que utilice un punto final privado o un punto final de PSA en una VCN (suponiendo que el servicio soporte estos puntos finales).

Un punto final privado es una dirección IP privada de la VCN que puede utilizar para acceder a un servicio determinado de Oracle Cloud Infrastructure. El servicio configura el punto final privado en una subred de la VCN. Puede considerar el punto final privado como otra VNIC en la VCN. Puede controlar el acceso del mismo modo que lo haría para cualquier otra VNIC: mediante reglas de seguridad. Sin embargo, el servicio configura esta VNIC y mantiene su disponibilidad. Solo debe mantener la subred y las reglas de seguridad.

En el siguiente diagrama se ilustra el concepto.

El punto final privado proporciona a los hosts de una VCN y una red local acceso a un único recurso dentro del servicio de interés de Oracle (por ejemplo, una base de datos en Autonomous AI Database Serverless). Compare ese modelo de acceso privado con un gateway de servicio (consulte la siguiente sección): si ha creado cinco bases de datos de IA autónomas para una VCN específica, se podrá acceder a las cinco a través de un único gateway de servicio enviando solicitudes a un punto final público para el servicio. Sin embargo, con el modelo de punto final privado, habría cinco puntos finales privados independientes: uno para cada base de datos de IA autónoma y cada uno con su propia dirección IP privada.

Si tiene un punto final privado para un recurso, los hosts de la VCN pueden utilizar el FQDN o la dirección IP privada del punto final privado para acceder al recurso. El usuario configura las reglas de seguridad para controlar el acceso entre los hosts de la VCN y el punto final privado. Para obtener un ejemplo de cómo hacerlo con Autonomous AI Lakehouse, consulte Configuración del acceso a la red con puntos final privados.

También puede configurar enrutamientos en tránsito con su VCN de modo que los hosts de la red local puedan utilizar el punto final privado. Tiene dos opciones para hacer que los hosts locales utilicen el FQDN del punto final privado en lugar de la dirección IP privada:

• Configurar una instancia en la VCN para que sea un servidor DNS personalizado. Para obtener un ejemplo de implementación de este caso con el proveedor Terraform de Oracle, consulte Configuración híbrida de DNS.
• Gestione usted mismo la resolución de nombres de host manualmente.

Es posible que tenga varias redes virtuales en la nube con hosts que necesitan acceso al recurso específico de interés. Puede peer las redes virtuales en la nube para que los hosts de las otras redes virtuales en la nube también puedan utilizar el punto final privado (el diagrama anterior no muestra ninguna red virtual conectada).

Un gateway de servicio permite que los recursos de su VCN y su red local tengan acceso privado a varios servicios de Oracle Cloud Infrastructure, sin que el tráfico pase por internet.

En el siguiente diagrama se ilustra el concepto. El diagrama hace referencia a Oracle Services Network, que es una red conceptual que forma parte de Oracle Cloud Infrastructure y que reservan los servicios de Oracle.

Para utilizar un gateway de servicio desde una subred concreta de su VCN, configure una regla de ruta en la tabla de rutas de la subred y especifique el gateway de servicio como destino de la regla. Configure también reglas de seguridad para controlar el acceso entre hosts de la VCN y los servicios disponibles a través del gateway de servicio.

Si tiene más de una VCN en su arrendamiento, puede configurar cada una con su propio gateway de servicio.

Consulte Límites de gateway y Solicitud de aumento del límite de servicio para obtener más información relacionada con los límites.

También puede configurar enrutamientos en tránsito para Oracle Services Network de modo que los hosts de su red local puedan utilizar un gateway de servicio de la VCN.

Puede utilizar el acceso al servicio privado de Oracle Cloud Infrastructure para crear puntos finales de acceso al servicio privado (PSA) que proporcionen acceso IP privado a un único servicio OCI. El punto final de PSA utiliza una dirección IP privada dedicada y un FQDN en una VCN y subred especificadas. Un punto final de PSA está disponible en redes IPv4-IPv6 de solo IPv4 o de doble pila.

Puede configurar el punto final de PSA en una subred de la VCN. Puede considerar el punto final de PSA como otra VNIC en la VCN. Puede controlar el acceso a él como lo haría para cualquier otra VNIC: mediante el uso de reglas de seguridad en una lista de seguridad, un NSG o mediante atributos y políticas de seguridad de enrutamiento de paquetes de confianza cero (ZPR) que defina e implemente.

En el siguiente diagrama se ilustra el concepto.

El punto final de PSA proporciona a los hosts de una VCN o de una red local acceso al servicio de interés de Oracle (por ejemplo, Object Storage). El punto final de PSA está disponible para cualquier carga de trabajo de esa VCN, independientemente de la subred de la carga de trabajo, para comunicarse con el servicio correspondiente. Solo puede tener un punto final de PSA en una VCN para un servicio específico. If you have many VCNs, create PSA endpoints in each VCN as needed.

Para acceder al punto final de PSA desde redes locales, tiene dos opciones.

1. En la configuración de DNS local, asigne manualmente el FQDN para el servicio PSA a la IP privada asignada al punto final de PSA.
2. Cree un punto final de recepción de DNS en el solucionador de VCN. Desde los FQDN de reenvío locales para los servicios de OCI que se utilizan hasta el punto final de recepción, que devuelve la IP privada para cualquier punto final de PSA asociado.

Para obtener más información, consulte About PSA Endpoints.