Documentación de Oracle Cloud Infrastructure

Escenario B: subred privada con una VPN

En este tema, se explica cómo configurar el escenario B, que consta de una red virtual en la nube (VCN) con una subred privada  regional. Otros servidores están en dominios de disponibilidad independientes para la redundancia. La VCN tiene un gateway de enrutamiento dinámico (DRG) y una VPN de sitio a sitio para conectarse a la red local. La VCN no tiene conexión directa a internet. Cualquier conexión a internet deberá entrar de forma indirecta a través de la red local.

La subred utiliza la lista de seguridad predeterminada, que tiene reglas predeterminadas diseñadas para que resulte fácil empezar a utilizar Oracle Cloud Infrastructure. Las reglas permiten el acceso necesario típico (por ejemplo, conexiones SSH entrantes y cualquier tipo de conexión saliente). Recuerde que las reglas de la lista de seguridad solo permiten tráfico. Se rechaza cualquier tráfico que no esté cubierto explícitamente por una regla de la lista de seguridad.

Este escenario puede utilizar un DRG heredado o actualizado.

En este escenario, puede agregar reglas a la lista de seguridad por defecto. En su lugar, podría crear una lista de seguridad personalizada para esas reglas. A continuación, configure la subred para que utilice tanto la lista de seguridad predeterminada como la lista de seguridad personalizada.

Consejo

Las listas de seguridad son una forma de controlar el tráfico que entra y sale de los recursos de la VCN. También puede utilizar grupos de seguridad de red, lo que le permite aplicar un conjunto de reglas de seguridad a un conjunto de recursos que tengan el mismo poste de seguridad.

La subred utiliza la tabla de rutas predeterminada, que se inicia sin reglas cuando se crea la VCN. En este escenario, la tabla solo tiene una regla para el DRG. No es necesaria ninguna regla de ruta para enrutar el tráfico dentro de la propia VCN. La subred utiliza la lista de seguridad por defecto. Consulte la siguiente figura.

En esta imagen se muestra el escenario B: una VCN con una subred privada regional y una conexión de VPN de IPSec.
Referencia 1: Tabla de rutas de subred privada regional
CIDR de destino Destino de ruta
0.0.0.0/0 DRG
Consejo

El escenario utiliza la VPN de sitio a sitio para la conectividad. Sin embargo, en su lugar, se podría utilizar Oracle Cloud Infrastructure FastConnect.

Requisitos

Para configurar la VPN en este escenario, necesita obtener la siguiente información de un administrador de red:

  • La dirección IP pública del equipo local de cliente  (CPE) de su extremo de la VPN
  • Rutas estáticas para su red local (este escenario utiliza el enrutamiento estático para los túneles de la VPN, pero en su lugar puede utilizar el enrutamiento dinámico BGP)

Deberá proporcionar a Oracle esta información y, a cambio, recibirá la información que debe tener su administrador de red para configurar el CPE en su extremo de la VPN.

Política de IAM necesaria

Para que pueda utilizar Oracle Cloud Infrastructure, un administrador le debe otorgar acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si obtiene un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador el tipo de acceso que posee y en qué compartimento  debería trabajar.

Si es miembro del grupo Administradores, ya tiene el acceso necesario para implantar el escenario B. De lo contrario, deberá acceder a Networking y necesitará la capacidad de iniciar instancias. Consulte Políticas de IAM para Networking.

Configuración del escenario B

La configuración resulta sencilla en la consola. También puede utilizar la API de Oracle Cloud Infrastructure, que le permite realizar las operaciones individuales por sí mismo.

Importante

La mayor parte de este proceso implica trabajar con la consola o la API (la que elija) durante un período corto para configurar los componentes de Networking necesarios. Sin embargo, también existe un paso crítico que requiere que un administrador de red de la organización tome la información que usted reciba de la configuración de los componentes y la utilice para configurar el CPE en su extremo de la VPN. Por lo tanto, no puede completar este proceso en una sesión breve. Planifique una pausa mientras el administrador de la red completa la configuración y regrese después para confirmar la comunicación con sus instancias a través de la VPN.

Uso de la Consola

Tarea 1: configuración de la VCN y la subred

  1. Cree la VCN:

    1. Abra el menú de navegación, haga clic en Red y, a continuación, en Redes virtuales en la nube.
    2. En Ámbito de lista, seleccione un compartimento en el que tenga permiso para trabajar. La página se actualiza para mostrar solo los recursos de ese compartimento. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Control de acceso.
    3. Haga clic en Crear red virtual en la nube.

    4. Introduzca lo siguiente:

      • Nombre: un nombre descriptivo para la VCN. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
      • Crear en compartimiento: déjelo tal cual.
      • Bloque de CIDR: uno o más bloques de CIDR no solapados para la VCN. Por ejemplo: 172.16.0.0/16. Puede agregar o eliminar bloques de CIDR posteriormente. Consulte Rangos de direcciones y tamaño de VCN permitidos. Como referencia, aquí dispone de una calculadora de CIDR.
      • Activar asignación de direcciones IPv6: las direcciones IPv6 están soportadas para todas las regiones comerciales y gubernamentales. Para obtener más información, consulte Direcciones IPv6.
      • Usar nombres de host de DNS en esta VCN: esta opción es necesaria para asignar nombres de host de DNS a hosts de la VCN, y es necesaria si tiene previsto utilizar la función DNS por defecto de la VCN (llamada Solucionador de Internet y VCN). Si selecciona esta opción, puede especificar una etiqueta DNS para la VCN o puede permitir que la consola genere una. El cuadro de diálogo muestra automáticamente el nombre de dominio de DNS correspondiente para la VCN (<VCN_DNS_label>.oraclevcn.com). Para obtener más información, consulte DNS en su red virtual en la nube.
      • Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante si lo desea. Para obtener más información, consulte Etiquetas de recursos.

    5. Haga clic en Crear red virtual en la nube.

      A continuación, la VCN se crea y se muestra en la página Redes virtuales en la nube en el compartimiento que haya seleccionado.

  2. Cree la subred privada regional:

    1. Mientras sigue viendo la VCN, haga clic en Crear subred.

    2. Introduzca lo siguiente:

      • Nombre: nombre fácil de recordar para la subred (por ejemplo, Subred privada regional). No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
      • Regional o específica del Dominio de disponibilidad: seleccione Regional (recomendado), lo que significa que la subred abarca todos los dominios de disponibilidad de la región. Posteriormente, cuando inicie una instancia, puede crearla en cualquier dominio de disponibilidad de la región. Para obtener más información, consulte Visión general de las VCN y las subredes.
      • Bloque de CIDR: un único bloque de CIDR contiguo dentro del bloque de CIDR de la VCN. Por ejemplo: 172.16.0.0/24. No puede cambiar este valor más adelante. Como referencia, aquí dispone de una calculadora de CIDR.
      • Activar asignación de direcciones IPv6: esta opción solo está disponible si la VCN está en Government Cloud de EE. UU. Para obtener más información, consulte Direcciones IPv6.
      • Tabla de rutas: seleccione la tabla de rutas por defecto.
      • Subred privada o pública: seleccione Subred privada, lo que significa que las instancias de la subred no pueden tener direcciones IP públicas. Para obtener más información, consulte Acceso a internet.
      • Utilizar nombres de host DNS en esta subred: esta opción está disponible solo si se ha proporcionado una etiqueta de DNS para la VCN cuando se creó. La opción es necesaria para la asignación de nombres de host de DNS a hosts de la subred y también si planea utilizar la función de DNS por defecto de la VCN (denominada Solucionador de internet y VCN). Si activa la casilla de control, puede especificar una etiqueta DNS para la subred o permitir que la consola le genere una. El cuadro de diálogo muestra automáticamente el nombre de dominio de DNS correspondiente para la subred como un FQDN. Para obtener más información, consulte DNS en su red virtual en la nube.
      • Opciones de DHCP: seleccione el conjunto por defecto de opciones de DHCP.
      • Listas de seguridad: seleccione la lista de seguridad predeterminada.
      • Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante si lo desea. Para obtener más información, consulte Etiquetas de recursos.

    3. Haga clic en Crear subred.

      A continuación, la subred se crea y se muestra en la página Subredes.

  3. Actualice la lista de seguridad por defecto para incluir reglas que permitan los tipos de conexiones que necesitan sus instancias de la VCN:

    1. En la misma página que muestra las subredes de su VCN, haga clic en Listas de Seguridad y, a continuación, en la lista de seguridad predeterminada.
    2. En Recursos, haga clic en Reglas de entrada o Reglas de salida según el tipo de regla con la que desee trabajar. Puede agregar una regla cada vez haciendo clic en Agregar regla de entrada o en Agregar regla de salida.

    3. Agregue las reglas que desee. A continuación, se indican las que sugerimos que agregue a las predeterminadas que ya están en la lista de seguridad predeterminada:

      Ejemplo: Acceso de HTTP de entrada
      • Tipo: entrada
      • Sin estado: no seleccionado (es una regla con estado)
      • Tipo de origen: CIDR
      • CIDR de origen: 0.0.0.0/0
      • Protocolo IP: TCP
      • Rango de puertos de origen: Todos
      • Rango de puerto de destino: 80
      • Descripción: descripción opcional de la regla.
      Ejemplo: Acceso de HTTPS de entrada
      • Tipo: entrada
      • Sin estado: no seleccionado (es una regla con estado)
      • Tipo de origen: CIDR
      • CIDR de origen: 0.0.0.0/0
      • Protocolo IP: TCP
      • Rango de puertos de origen: Todos
      • Rango de puertos de destino: 443
      • Descripción: descripción opcional de la regla.
      Ejemplo: acceso a SQL*Net de entrada para bases de datos de Oracle
      • Tipo: entrada
      • Sin estado: no seleccionado (es una regla con estado)
      • Tipo de origen: CIDR
      • CIDR de origen: 0.0.0.0/0
      • Protocolo IP: TCP
      • Rango de puertos de origen: Todos
      • Rango de puerto de destino: 1521
      • Descripción: descripción opcional de la regla.
      Ejemplo: acceso a RDP de entrada necesario para las instancias de Windows
      • Tipo: entrada
      • Sin estado: no seleccionado (es una regla con estado)
      • Tipo de origen: CIDR
      • CIDR de origen: 0.0.0.0/0
      • Protocolo IP: TCP
      • Rango de puertos de origen: Todos
      • Rango de puerto de destino: 3389
      • Descripción: descripción opcional de la regla.
Consejo

Para una mayor seguridad, podría modificar todas las reglas de entrada con estado para permitir el tráfico solo dentro de su VCN y su red local. Cree reglas independientes para cada una, una con el CIDR de la VCN como origen, y otra con el CIDR de la red local como origen.

Para una VCN de producción, normalmente se configuran una o más listas de seguridad personalizadas para cada subred. Si lo desea, puede editar la subred para utilizar diferentes listas de seguridad. Si decide no utilizar la lista de seguridad por defecto, hágalo solo después de evaluar cuidadosamente qué reglas por defecto desea duplicar en la lista de seguridad personalizada. Por ejemplo, las reglas de ICMP predeterminadas de la lista de seguridad predeterminada son importantes para recibir mensajes de conectividad.

Tarea 2: crear instancias en dominios de disponibilidad independientes

Ahora puede crear una o más instancias en la subred (consulte Inicio de una instancia). El diagrama del escenario muestra instancias en dos dominios de disponibilidad diferentes. Al crear la instancia, seleccione el dominio de disponibilidad, la VCN y la subred que desea utilizar, y otras características.

Sin embargo, aún no puede comunicarse con las instancias porque no hay ningún gateway que conecte la VCN con la red local. El siguiente procedimiento le guiará a través de la configuración de la VPN de sitio a sitio para activar esa comunicación.

Tarea 3: agregar una VPN de sitio a sitio a la VCN

  1. Crear un objeto de equipo local de cliente (CPE):

    1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Equipo local de cliente.

    2. Haga clic en Crear equipo local del cliente.
    3. Introduzca lo siguiente:
      • Crear en compartimiento: Deje el valor predeterminado (el compartimiento en el que está trabajando actualmente).
      • Nombre: nombre fácil de recordar para el objeto de equipo local del cliente. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
      • Dirección IP: la dirección IP pública del CPE en su extremo de la VPN (consulte Previos necesarios).
    4. Haga clic en Crear.

    El objeto CPE tiene el estado "Aprovisionamiento" durante un período corto.

  2. Cree un gateway de enrutamiento dinámico (DRG):

    1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico.

    2. Haga clic en Crear gateway de enrutamiento dinámico.
    3. Para Crear en compartimiento: deje el valor predeterminado (el compartimiento en el que está trabajando actualmente).
    4. Introduzca un nombre fácil de recordar para el DRG. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
    5. Haga clic en Crear.

    El DRG tendrá el estado "Aprovisionando" durante un período corto. Espere hasta que el DRG esté totalmente aprovisionado antes de continuar.

  3. Conecte el DRG a su VCN:

    1. Haga clic en el DRG que ha creado.
    2. En Recursos, haga clic en Redes virtuales en la nube.
    3. Haga clic en Asociar a red virtual en la nube.
    4. Seleccione la VCN. Ignore la sección para las opciones avanzadas, que solo es para un caso de enrutamiento avanzado denominado enrutamiento en tránsito, que no es relevante aquí.
    5. Haga clic en Asociar.

    La asociación tendrá el estado "Asociando" durante un período corto. Espere a que termine este proceso.

  4. Actualizar la tabla de rutas predeterminada (que aún no tiene reglas):

    1. Abra el menú de navegación, haga clic en Red y, a continuación, en Redes virtuales en la nube.
    2. Haga clic en su VCN.
    3. En Recursos, haga clic en Tablas de rutas y, a continuación, haga clic en la tabla de rutas por defecto.
    4. Haga clic en Agregar regla de ruta.

    5. Introduzca lo siguiente:

      • Tipo de destino: gateway de enrutamiento dinámico. El DRG asociado de la VCN se selecciona automáticamente como destino y no tiene que especificarlo usted mismo.
      • Bloque de CIDR de destino: 0.0.0.0/0 (lo que significa que todo el tráfico que no sea interno de la VCN y que ya no esté respaldado por otras reglas de la tabla de rutas se dirigirá al destino especificado en esta regla).
      • Descripción: descripción opcional de la regla.

    6. Haga clic en Agregar regla de ruta.

      La tabla de rutas predeterminada de la VCN ahora dirige el tráfico saliente al DRG y, en última instancia, a la red local.

  5. Crear una conexión de IPSec:

    1. Abra el menú de navegación y haga clic en Redes. En Conectividad con el cliente, haga clic en VPN de sitio a sitio.

    2. Haga clic en Crear conexión IPSec.

    3. Introduzca lo siguiente:

      • Crear en compartimiento: Deje el valor predeterminado (el compartimiento en el que está trabajando actualmente).
      • Nombre: introduzca un nombre fácil de recordar para la conexión de IPSec. No tiene que ser único. Evite introducir información confidencial.
      • Compartimiento del equipo local del cliente: déjelo tal cual (compartimiento de la VCN).
      • Equipo local del cliente: seleccione el objeto de CPE que ha creado anteriormente.
      • Compartimiento de gateway de enrutamiento dinámico: déjelo tal cual (compartimiento de la VCN).
      • Gateway de enrutamiento dinámico: seleccione el DRG creado anteriormente.
      • CIDR de ruta estática: introduzca al menos una ruta estática CIDR (consulte Previos necesarios). Si necesita agregar otra ruta, haga clic en Agregar ruta estática. Puede introducir hasta 10 rutas estáticas y, posteriormente, puede cambiar estas rutas estáticas si lo desea.
    4. Haga clic en Mostrar opciones avanzadas y, opcionalmente, proporcione los siguientes elementos:
      • CPE IKE Identifier (Identificador IKE de CPE): Oracle utiliza de forma predeterminada la dirección IP pública del CPE. Pero si su CPE está detrás de un dispositivo NAT, es posible que deba introducir un valor diferente. Puede introducir el nuevo valor aquí o cambiarlo más adelante.
      • Túnel 1 y Túnel 2: déjelas tal cual. Más adelante, si desea utilizar el enrutamiento dinámico de BGP en lugar del enrutamiento estático para los túneles de la VPN, consulte Cambio de enrutamiento estático a enrutamiento dinámico de BGP.
      • Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante. Para obtener más información, consulte Etiquetas de recursos.

    5. Haga clic en Crear conexión IPSec.

      La conexión de IPSec se crea y se muestra en la página. La conexión tendrá el estado Aprovisionando durante un período corto.

      La información del túnel mostrada incluye la dirección IP del encabezado de la VPN y el estado de IPSec del túnel (los valores posibles son Activo, Inactivo e Inactivo para mantenimiento). En este punto, el estado es Inactivo. Para ver el secreto compartido del túnel, haga clic en el menú Acciones (Menú Acciones) y, a continuación, en Ver secreto compartido.

    6. Copie la dirección IP de la VPN de Oracle y el secreto compartido de cada uno de los túneles y compártalos con el ingeniero de redes que configura el enrutador local.

      Para obtener más información, consulte Configuración de CPE. Puede ver la información de este túnel aquí en la consola en cualquier momento.

Ya ha creado todos los componentes necesarios para la VPN de sitio a sitio. A continuación, el administrador de red debe configurar el dispositivo CPE para que el tráfico de red pueda fluir entre la red local y la VCN.

Tarea 4: configuración de su CPE

Estas instrucciones son para el administrador de red.

  1. Asegúrese de tener la información de configuración del túnel proporcionada por Oracle durante la configuración de VPN Connect. Consulte Tarea 3: agregar una VPN de sitio a sitio a la VCN.
  2. Configure su CPE según la información de configuración de CPE.

Si las instancias ya están en la subred, puede confirmar que la conexión IPSec está activa y en ejecución conectándose a las instancias desde la red local.

Uso de la API

Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.

Utilice las siguientes operaciones:

  1. CreateVcn: incluya siempre una etiqueta DNS para la VCN si desea que las instancias tengan nombres de host (consulte DNS en su red virtual en la nube).
  2. CreateSubnet: cree una subred privada regional. Incluya una etiqueta de DNS para la subred si desea que las instancias tengan nombres de host. Utilice la tabla de rutas predeterminada, la lista de seguridad predeterminada y el conjunto predeterminado de opciones de DHCP.
  3. CreateDrg: crea un gateway de enrutamiento dinámico (DRG)
  4. CreateDrgAttachment: asocia el DRG a la VCN.
  5. CreateCpe: proporcione la dirección IP pública del CPE de su extremo de la VPN (consulte Requisitos).
  6. CreateIPSecConnection: proporcione las rutas estáticas para su red local (consulte Requisitos). El comando devuelve la información de configuración que el administrador de red necesita para configurar su CPE. Si necesita esa información más adelante, puede obtenerla con GetIPSecConnectionDeviceConfig. Para obtener más información sobre la configuración, consulte Configuración de CPE.
  7. UpdateRouteTable: para activar la comunicación a través de la VPN, actualice la tabla de rutas por defecto para incluir esta ruta: una regla de ruta con destino = 0.0.0.0/0 y el destino final = el DRG que ha creado anteriormente.

  8. En primer lugar, llame a GetSecurityList para obtener la lista de seguridad por defecto y, a continuación, llame a UpdateSecurityList para agregar reglas para los tipos de conexiones que necesitan sus instancias de la VCN. Tenga en cuenta que UpdateSecurityList sobrescribe todo el conjunto de reglas. A continuación, se sugieren algunas reglas para agregar:

    • Entrada con estado: tipo de origen =CIDR, CIDR de origen =0.0.0.0/0, protocolo=TCP, puerto de origen = todo, puerto de destino =80 (para HTTP).
    • Entrada con estado: tipo de origen =CIDR, CIDR de origen =0.0.0.0/0, protocolo=TCP, puerto de origen = todo, puerto de destino =443 (para HTTPS).
    • Entrada con estado: tipo de origen =CIDR, CIDR de origen =0.0.0.0/0, protocolo=TCP, puerto de origen = todo, puerto de destino =1521 (para el acceso SQL*Net a las bases de datos de Oracle).
    • Entrada con estado: tipo de origen =CIDR, CIDR de origen =0.0.0.0/0, protocolo=TCP, puerto de origen =todo, puerto de destino =3389 (para RDP; requerido solo si utiliza instancias de Windows).
  9. LaunchInstance: crea una o más instancias en la subred. El diagrama del escenario muestra instancias en dos dominios de disponibilidad diferentes. Al crear la instancia, seleccione el dominio de disponibilidad, la VCN y la subred que desea utilizar, y otras características. Para obtener más información, consulte Creación de una instancia.
Consejo

Para una mayor seguridad, podría modificar todas las reglas de entrada con estado para permitir el tráfico solo dentro de su VCN y su red local. Cree reglas independientes para cada una, una con el CIDR de la VCN como origen, y otra con el CIDR de la red local como origen.
Importante

Aunque puede crear instancias en la subred, no podrá comunicarse con ellas desde la red local hasta que el administrador de red configure su CPE (consulte Configuración de CPE). Después, la VPN de sitio a sitio debe estar activa y en ejecución. Puede confirmar su estado mediante GetIPSecConnectionDeviceStatus. También puede confirmar que la VPN de sitio a sitio está activa conectándose a las instancias desde su red local.