Documentación de Oracle Cloud Infrastructure

Gateway de internet

En este tema, se explica cómo configurar y gestionar un gateway de internet para permitir que la VCN pueda acceder a internet.

Consejo

Oracle también ofrece un gateway de NAT, que se recomienda para las subredes de su VCN que no requieran conexiones iniciadas externamente desde internet.

Aspectos destacados

  • Un gateway de internet es un gateway opcional que puede agregar a la VCN para permitir la conectividad directa a internet.
  • El gateway admite conexiones iniciadas desde la VCN (salida) y conexiones iniciadas desde internet (entrada).
  • Los recursos que tengan que utilizar el gateway para el acceso a internet deben estar en una subred pública y tener direcciones IP públicas. Los recursos que tengan direcciones IP privadas pueden utilizar un gateway de NAT para iniciar conexiones a internet.
  • Cada subred pública que tenga que utilizar el gateway de internet debe tener una regla de tabla de rutas que especifique el gateway como destino.
  • Se utilizan reglas de seguridad para controlar los tipos de tráfico entrante y saliente permitidos en los recursos de esa subred. Asegúrese de permitir solo los tipos deseados de tráfico de internet.
  • El gateway de internet solo lo pueden utilizar los recursos de la VCN del gateway. Los hosts de la red local conectada o en una VCN con intercambio de tráfico no pueden utilizar ese gateway de internet.
  • No puede agregar ni mover un gateway de Internet a una VCN dentro de una zona de seguridad. Las zonas de seguridad no permiten subredes públicas.

Visión general de los gateways de internet

Antes de continuar, asegúrese de que ha leído Acceso a internet y comprende también cómo configurar las reglas de seguridad para los recursos de una subred.

Un gateway de internet es un enrutador virtual opcional que conecta el perímetro de la VCN a internet. Para utilizar el gateway, los hosts de ambos extremos de la conexión deben tener direcciones IP públicas para el enrutamiento. Las conexiones que se originan en su VCN y se dirigen a una dirección IP pública (ya sea dentro o fuera de la VCN) pasan por el gateway de internet. Las conexiones que se originan fuera de la VCN y se dirigen a una dirección IP pública dentro de la VCN pasan por el gateway de internet.

Una determinada VCN solo puede tener un gateway de internet. Controla qué subredes públicas de la VCN pueden utilizar el gateway configurando la tabla de rutas asociada de la subred. Utiliza reglas de seguridad para controlar los tipos de tráfico entrante y saliente permitidos en los recursos de esas subredes públicas.

En el diagrama siguiente se ilustra una configuración simple de VCN con una única subred pública. La VCN tiene un gateway de internet y la subred pública está configurada para utilizar la tabla de rutas por defecto de la VCN. La tabla tiene una regla de ruta que envía todo el tráfico saliente de las subredes al gateway de internet. El gateway permite cualquier conexión de entrada desde internet con una dirección IP de destino igual a la dirección IP pública de un recurso en la VCN. Sin embargo, las reglas de la lista de seguridad de la subred pública determinan, en última instancia, los tipos específicos de tráfico entrante y saliente permitidos en los recursos de la subred. Esas reglas de seguridad específicas no se muestran.

En esta imagen se muestra un diseño sencillo de una VCN con una subred pública que utiliza un gateway de internet.
Referencia 1: Tabla de rutas por defecto de la VCN
CIDR de destino Destino de ruta
0.0.0.0/0 Gateway de internet
Consejo

El tráfico a través de un gateway de internet entre una VCN y una dirección IP pública que forma parte de Oracle Cloud Infrastructure (como Object Storage) se enruta sin enviarse a través de internet.

Trabajar con gateways de internet

Crea un gateway de internet en el contexto de una VCN específica. Es decir, el gateway de internet se asocia automáticamente a una VCN. Sin embargo, puede desactivar y volver a activar el gateway de internet en cualquier momento. Compare esto con un gateway de enrutamiento dinámico (DRG), que crea como un objeto autónomo que después asocia a una determinada VCN. Los DRG usan un modelo diferente porque están diseñados para ser bloques de creación modulares para conectar VCN de manera privada a su red local.

Para que el tráfico fluya desde una subred pública a internet, debe crear una regla de ruta correspondiente en la tabla de rutas de la subred. Por ejemplo, el CIDR de destino = 0.0.0.0/0 y el destino = gateway de internet; si desea enrutar el tráfico a través de un firewall, el destino puede ser la dirección IP privada del firewall. A continuación, la subred de firewall necesitará una ruta, normalmente 0.0.0.0/0, para acceder a internet con el gateway de internet como destino.

Para el tráfico que fluye de internet a un destino en una subred pública, el gateway de internet enruta el tráfico directamente al destino por defecto. Puede asociar una tabla de rutas al gateway de internet y definir reglas de rutas que enruten el tráfico público de entrada a los destinos en la VCN. Por ejemplo, si desea que el gateway de internet enrute primero el tráfico a un firewall en la VCN, puede crear una regla de ruta para el CIDR de la subred de destino con la dirección IP privada del firewall como destino. Las reglas de ruta a destinos fuera de la VCN en una tabla de rutas de gateway de internet no están soportadas.

Para el control de acceso, debe especificar el compartimiento en el que quiera que se encuentre el gateway de internet. Si no está seguro del compartimiento que desea utilizar, coloque el gateway de internet en el mismo compartimiento que la red en la nube. Para obtener más información, consulte Control de acceso.

Opcionalmente, puede asignar un nombre fácil de recordar al gateway de internet. No tiene que ser único y puede cambiarlo más adelante. Oracle asigna automáticamente al gateway de internet un identificador único denominado ID de Oracle Cloud (OCID). Para obtener más información, consulte Identificadores de recursos.

Para suprimir un gateway de internet, no es necesario desactivarlo, pero no debe haber una tabla de rutas que lo muestre como destino.

Uso de la consola

Configuración de un gateway de internet

Previos necesarios:

  • Debe haber determinado qué subredes de la VCN requieren acceso a internet y haber creado esas subredes públicas.
  • Debe haber determinado los tipos de tráfico de internet de entrada y salida que desea activar para los recursos en cada subred pública (ejemplos: conexiones HTTPS de entrada, conexiones de ping ICMP de entrada).
  • La política de IAM necesaria debe estar en vigor para poder trabajar con los recursos del servicio Networking. Para administradores: consulte Políticas de IAM para redes.
Importante

Si ha configurado la subred pública para utilizar la lista de seguridad por defecto, recuerde que la lista incluye varias reglas por defecto útiles que permiten el acceso básico necesario (por ejemplo, SSH de entrada, acceso de salida a todos los destinos). Oracle recomienda familiarizarse con el acceso básico que proporcionan estas reglas por defecto. Si elige no usar la lista de seguridad por defecto, asegúrese de proporcionar este acceso básico implementando estas reglas de seguridad en grupos de seguridad de red (NSG) o listas de seguridad personalizadas.

El siguiente procedimiento utiliza listas de seguridad, pero, en cambio, puede implantar las reglas de seguridad en un grupo de seguridad de red y después crear todos los recursos de la subred en ese NSG.

  1. Para cada subred pública que tenga que usar el gateway de internet, configure las reglas de la lista de seguridad de la subred para permitir el tráfico de internet deseado.

    1. En la consola, mientras visualiza la VCN que le interesa, haga clic en Listas de seguridad.
    2. Haga clic en la lista de seguridad que le interesa (una lista de seguridad asociada a la subred pública).
    3. En Recursos, haga clic en Reglas de entrada o en Reglas de salida según el tipo de regla con la que desee trabajar.

    4. Si desea agregar una nueva regla, haga clic en Agregar regla de entrada (o en Agregar regla de salida).

      Ejemplo

      Imagine que tiene servidores web en la subred pública. En este ejemplo, se muestra cómo agregar una regla de entrada para conexiones HTTPS (puerto TCP 443) provenientes de internet al servidor web. Sin esta regla, no se permiten las conexiones HTTPS entrantes.

      1. Deje sin seleccionar la casilla Sin estado.
      2. Tipo de origen: CIDR
      3. CIDR de origen: 0.0.0.0/0
      4. Protocolo IP: Dejar como TCP.
      5. Rango de puertos de origen: déjelo como Todos.
      6. Rango de puertos de destino: Introducir 443.
      7. Descripción: descripción opcional de la regla.
    5. Si desea suprimir una regla existente, haga clic en el menú Acciones y, a continuación, en Eliminar.
    6. Si desea editar una regla existente, haga clic en el menú Acciones y, a continuación, en Editar.

  2. Cree el gateway de internet de la VCN:

    1. En la consola, mientras visualiza la VCN que le interesa, haga clic en Gateways de internet.
    2. Haga clic en Crear gateway de internet.

    3. Introduzca lo siguiente:

      • Nombre: un nombre fácil de recordar para el gateway de internet. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
      • Crear en compartimiento: compartimiento en el que desea crear el gateway de internet, si es diferente del compartimiento en el que está trabajando actualmente.
      • Asociación de tabla de rutas: (opción avanzada) puede asociar una tabla de rutas de VCN específica a este gateway. Si asocia una tabla de rutas, posteriormente el gateway deberá tener siempre una tabla de rutas asociada. Puede modificar las reglas de la tabla de rutas actual o sustituirla por otra tabla de rutas.
      • Etiquetas: (opción avanzada) si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si deben aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.

    4. Haga clic en Crear gateway de internet.

      El gateway de internet se crea y se muestra en la página Gateways de internet del compartimiento que haya elegido. Ya está activado, pero aún tiene que agregar una regla de ruta que permita que el tráfico fluya al gateway.

  3. Para cada subred pública que tenga que usar el gateway de internet, actualice la tabla de rutas de la subred:

    1. Al visualizar los detalles de la VCN, haga clic en Tablas de rutas.
    2. Haga clic en la tabla de rutas de la subred pública para ver sus detalles.
    3. Haga clic en Agregar regla de ruta.

    4. Introduzca lo siguiente:

      • Tipo de destino: gateway de internet
      • Bloque CIDR de destino: 0.0.0.0/0 (lo que significa que todo el tráfico no perteneciente a la VCN que ya no está respaldado por otras reglas de la tabla de rutas se dirigirá al destino especificado en esta regla).
      • Compartimiento: el compartimiento en el que se encuentra el gateway de internet.
      • Destino: el gateway de internet que acaba de crear.
      • Descripción: descripción opcional de la regla.
    5. Haga clic en Guardar.

Ahora hay un gateway de internet activado y funcionando para su red en la nube.

Desactivación/activación de un gateway de internet

Solo está disponible a través de la API. Si no tiene acceso a la API y tiene que desactivar o activar un gateway de internet, póngase en contacto con los Servicios de Soporte Oracle. También puede suprimir y volver a crear fácilmente el gateway de internet si es necesario. Asegúrese de actualizar las tablas de rutas que hagan referencia al gateway de internet.

Supresión de un gateway de internet

Previo necesario: no es necesario desactivar el gateway de internet, pero no debe haber una tabla de rutas que lo muestre como destino.

  1. Abra el menú de navegación, haga clic en Red y, a continuación, en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Gateways de Internet.
  4. Haga clic en el menú Acciones del gateway de internet y, a continuación, en Terminar.
  5. Confirme cuando se le solicite.
Para gestionar tablas de rutas para un gateway de internet
  1. Abra el menú de navegación, haga clic en Red y, a continuación, en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Gateways de Internet.
  4. Haga clic en el menú Acciones del gateway de internet y, a continuación, en Asociar tabla de rutas distinta. Desde allí puede cambiar la tabla de rutas asociada para este gateway o asociar una tabla de rutas a un gateway que aún no tenga una tabla de rutas asociada. Después de asociar una tabla de rutas a un gateway, el gateway debe tener siempre una tabla de rutas asociada.
Gestión de etiquetas de un gateway de internet
  1. Abra el menú de navegación, haga clic en Red y, a continuación, en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Gateways de Internet.
  4. Haga clic en el menú Acciones del gateway de internet y, a continuación, en Ver etiquetas. Desde allí puede ver las etiquetas existentes, editarlas y aplicar otras nuevas.

Para obtener más información, consulte Etiquetas de recursos.

Movimiento de un gateway de internet a un compartimiento diferente

Puede mover un gateway de internet de un compartimiento a otro. Cuando mueve un gateway de internet a un nuevo compartimiento, las políticas inherentes se aplican inmediatamente.

  1. Abra el menú de navegación, haga clic en Red y, a continuación, en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Gateways de Internet.
  4. Haga clic en el menú Acciones del gateway de internet y, a continuación, en Mover recurso.
  5. Seleccione el compartimiento de destino en la lista.
  6. Haga clic en Mover recurso.

Para obtener más información sobre el uso de compartimientos y políticas para controlar el acceso a su red en la nube, consulte Control de acceso. Para obtener información general sobre compartimientos, consulte Gestión de compartimientos.