Gateway de internet
En este tema se explica cómo configurar y gestionar un gateway de internet para proporcionar acceso a internet a una VCN.
Oracle también ofrece un gateway de NAT, que se recomienda para las subredes de la VCN que NO requieren conexiones externas desde Internet.
Aspectos destacados
- Una puerta de enlace de internet es una puerta de enlace opcional que puede agregar a una VCN para permitir la conectividad directa a internet.
- El gateway soporta conexiones desde la VCN (salida) y conexiones desde Internet (salida).
- Los recursos que tengan que utilizar el gateway para el acceso a internet deben estar en una subred pública y tener direcciones IP públicas. Los recursos que tengan direcciones IP privadas pueden utilizar un gateway de NAT para comenzar conexiones a Internet.
- Cada subred pública que tenga que utilizar el gateway de internet debe tener una regla de tabla de rutas que especifique el gateway como destino.
- Se utilizan reglas de seguridad para controlar los tipos de tráfico entrante y saliente permitidos en los recursos de esa subred. Asegúrese de que las reglas solo permiten los tipos adecuados de tráfico de Internet.
- El gateway de internet solo lo pueden utilizar los recursos de la VCN del gateway. Los hosts de la red local conectada o en una VCN con peer no puede utilizar ese gateway de Internet.
- No puede agregar ni mover un gateway de Internet a una VCN dentro de una zona de seguridad. Las zonas de seguridad no utilizan subredes públicas.
- Solo se necesita un gateway de Internet para cada VCN. Todas las subredes públicas de una VCN tienen acceso al gateway de Internet, siempre que las reglas de seguridad y las reglas de tabla de rutas permitan ese acceso.
Visión general de los gateways de internet
Antes de continuar, lea Acceso a Internet y comprende también cómo configurar las reglas del sistema de seguridad para los recursos de una subred.
Un gateway de internet es un enrutador virtual opcional que conecta el perímetro de la VCN a internet. Para utilizar el gateway, los hosts de ambos extremos de la conexión deben tener direcciones IP públicas para el enrutamiento. Las conexiones que son originadas en una VCN y están destinadas a una dirección IP pública (ya sea dentro o fuera de la VCN) pasan por el Gateway de Internet. Las conexiones que se originan fuera de la VCN y se dirigen a una dirección IP pública dentro de la VCN pasan por el gateway de internet.
Una VCN específica solo puede tener una puerta de enlace de Internet. Controla qué subredes públicas de la VCN pueden utilizar el gateway configurando la tabla de rutas asociada de la subred. Utiliza reglas de seguridad para controlar los tipos de tráfico entrante y saliente permitidos en los recursos de esas subredes públicas.
El diagrama siguiente ilustra una configuración de VCN con una única subred pública. La VCN tiene un gateway de internet y la subred pública está configurada para utilizar la tabla de rutas por defecto de la VCN. La tabla tiene una regla de ruta que envía todo el tráfico saliente de las subredes al gateway de internet. El gateway permite cualquier conexión de entrada desde internet con una dirección IP de destino igual a la dirección IP pública de un recurso en la VCN. Sin embargo, las reglas del listado de seguridad de la subred pública determinan los tipos específicos de tráfico que se permiten dentro y fuera de los recursos de la subred. Estas reglas de seguridad específicas no se muestran.
CIDR de destino | Destino de ruta |
---|---|
0.0.0.0/0 | Gateway de internet |
El tráfico entre una VCN y una dirección IP pública dentro de Oracle Cloud Infrastructure (como Object Storage) se debe enrutar a través de un gateway de servicio en lugar de un gateway de Internet.
Trabajar con gateways de internet
Crea un gateway en el contexto de una VCN específica y el gateway en Internet siempre está asociado a esa VCN. Sin embargo, puede desactivar y volver a habilitar el gateway de Internet en cualquier momento. Compare esto con un gateway de enrutamiento dinámico (DRG), que crea como un objeto autónomo que después asocia a una determinada VCN. Los DRG utilizan un modelo diferente porque están destinados a ser bloques de construcción modulares para conectar de forma privada las redes virtuales en la nube a una red local u otras redes virtuales en la nube.
Para que el tráfico fluya desde una subred pública a internet, debe crear una regla de ruta correspondiente en la tabla de rutas de la subred. Por ejemplo, si el CIDR del destino = 0.0.0.0/0 y la dirección de destino = puerta de enlace de Internet, si desea enrutar el tráfico a través del firewall, el destino puede ser la dirección IP privada del firewall. Luego, la subred de firewall necesita una ruta (por ejemplo, 0.0.0.0/0) para acceder a Internet con el gateway de Internet como destino.
Para el tráfico que fluye de internet a un destino en una subred pública, el gateway de internet enruta el tráfico directamente al destino por defecto. Puede asociar una tabla de rutas al gateway de internet y definir reglas de rutas que enruten el tráfico público de entrada a los destinos en la VCN. Por ejemplo, si desea que el gateway de internet enrute primero el tráfico a un firewall en la VCN, puede crear una regla de ruta para el CIDR de la subred de destino con la dirección IP privada del firewall como destino. No están soportadas las reglas de ruta a destinos fuera de la VCN en una tabla que incluya rutas del gateway.
Solo se necesita un gateway de Internet para cada VCN. Todas las subredes públicas de una VCN tienen acceso al gateway de Internet, siempre que las reglas de seguridad y las reglas de tabla de rutas permitan ese acceso.
Para el control de acceso, debe especificar el compartimiento en el que quiera que se encuentre el gateway de internet. Si no está seguro del compartimiento que desea utilizar, coloque el gateway de internet en el mismo compartimiento que la red en la nube. Para obtener más información, consulte Control de acceso.
Puede asignar un nombre fácil de recordar al gateway de Internet. No tiene que ser único y puede cambiarlo más adelante. Oracle asigna automáticamente al gateway de internet un identificador único denominado ID de Oracle Cloud (OCID). Para obtener más información, consulte Identificadores de recursos.
Para suprimir un gateway de internet, no es necesario desactivarlo, pero no debe haber una tabla de rutas que lo muestre como destino.
Consulte Límites de gateway y Solicitud de aumento del límite de servicio para obtener información relacionada con los límites.
Configuración de gateway de Internet
Previos necesarios:
- Decida qué subredes de la VCN requieren acceso a internet y cree esas subredes públicas.
Solo se necesita un gateway de Internet para cada VCN. Todas las subredes públicas de una VCN tienen acceso al gateway de Internet, siempre que las reglas de seguridad y las reglas de tabla de rutas permitan ese acceso.
- Decida los tipos de tráfico del Internet de entrada y salida que desea activar para los recursos en cada subred pública (ejemplos: conexiones HTTPS, conexiones de ping ICMP, de entrada).
- Existe la política de IAM necesaria para poder trabajar con los recursos del servicio Networking. Para administradores: consulte Políticas de IAM para redes.
Si la subred pública está configurada para utilizar la lista por defecto, recuerde que la lista incluye varias reglas por defecto útiles que permiten al acceso básico necesario (por ejemplo, SSH de entrada, acceso de entrada a todos los destinos). Se recomienda que se familiarice con el acceso básico que proporcionan estas reglas por defecto. Si selecciona no usar la lista por defecto, asegúrese de implementar este acceso básico implementando estas reglas, ya sea en Grupos de seguridad de red (NSG) o Listas de seguridad personalizadas.
El siguiente procedimiento utiliza listas del sistema de seguridad, pero, en cambio, puede implantar las reglas del sistema en un grupo de seguridad del sistema y, a continuación, crear todos los recursos de la subred en ese NSG.
-
Para cada subred pública que tenga que usar el gateway de internet, configure las reglas de lista de seguridad de dicha subred para permitir el tráfico a Internet. Consulte el siguiente ejemplo de configuración:
Imagine que tiene servidores web en la subred pública. En este ejemplo, se muestra cómo agregar una regla de entrada para conexiones HTTPS (puerto TCP 443) provenientes de internet al servidor web. Sin esta regla, no se permiten las conexiones HTTPS entrantes.
- Deje desactivada la casilla Sin estado.
- Tipo de origen: CIDR
- CIDR de origen: 0.0.0.0/0
- Protocolo IP: Dejar como TCP.
- Rango de puertos de origen: déjelo como Todos.
- Rango de puertos de destino: Introducir 443.
- Descripción: descripción opcional de la regla.
-
Cree el gateway de internet de la VCN.
Después de crear el gateway de Internet y mostrarlo en la página Gateways de Internet de la VCN que haya seleccionado, ya está activado, pero aún tiene que agregar una regla de ruta que permita que el tráfico fluya al gateway.
-
Para cada subred pública que tenga que usar el gateway de internet, actualice la tabla de rutas de la subred con la siguiente configuración de ejemplo:
- Tipo de destino: gateway de internet
- Bloque de CIDR de origen: 0.0.0.0/0 (lo que significa que todo lo tráfico no pertenezca a la la VCN ya no está respaldada por otras reglas de la tabla se dirigirá al destino especificado en esta regla)
- Compartimento: compartimento que contiene el gateway de Internet.
- Destino: el gateway de internet que ha creado.
- Descripción: descripción opcional de la regla.
El gateway de internet ahora está activado y funcionando para la red de la nube.