Escenario C: subredes públicas y privadas con una VPN

En este tema, se explica cómo configurar el escenario C, que es un ejemplo sencillo de una configuración de varios niveles. Consta de una red virtual en la nube (VCN) con una subred pública  regional para contener servidores públicos (como servidores web) y una subred privada  regional para mantener servidores privados (como servidores de base de datos). Los servidores están en dominios de disponibilidad independientes para la redundancia.

La VCN tiene un gateway de enrutamiento dinámico (DRG) y una VPN de sitio a sitio para conectarse a la red local. Las instancias de la subred pública tienen acceso directo a internet mediante un gateway de internet. Las instancias de la subred privada pueden iniciar conexiones a internet por medio de un gateway de NAT (por ejemplo, para obtener actualizaciones de software), pero no pueden recibir conexiones entrantes de internet a través de ese gateway.

Cada subred utiliza la lista de seguridad por defecto, que tiene reglas predeterminadas diseñadas para que sea fácil de empezar a utilizar Oracle Cloud Infrastructure. Las reglas permiten el acceso necesario típico (por ejemplo, conexiones SSH entrantes y cualquier tipo de conexión saliente). Recuerde que las reglas de la lista de seguridad solo permiten tráfico. Se rechaza cualquier tráfico que no esté cubierto explícitamente por una regla de la lista de seguridad.

Consejo

Las listas de seguridad son una forma de controlar el tráfico que entra y sale de los recursos de la VCN. También puede utilizar grupos de seguridad de red, lo que le permite aplicar un conjunto de reglas de seguridad a un conjunto de recursos que tengan el mismo poste de seguridad.

Este escenario puede utilizar un DRG heredado o actualizado.

Cada subred también tiene su propia lista de seguridad personalizada y tabla de rutas personalizada con reglas específicas a las necesidades de las instancias de la subred. En este caso, no se utiliza la tabla de rutas por defecto de la VCN (que siempre está vacía para empezar).

Consulte la siguiente figura.

Esta imagen muestra el escenario C: una VCN con una subred pública y privada, un gateway de internet, un gateway de NAT y una conexión VPN de IPSec.
Referencia 1: Tabla de rutas de subred privada regional
CIDR de destino Destino de ruta
0.0.0.0/0 Gateway de NAT
10.0.0.0/16 DRG
Referencia 2: Tabla de rutas de subred pública regional
CIDR de destino Destino de ruta
0.0.0.0/0 Gateway de internet
Consejo

El escenario utiliza la VPN de sitio a sitio para la conectividad. Sin embargo, en su lugar, se podría utilizar Oracle Cloud Infrastructure FastConnect.

Requisitos

Para configurar la VPN en este escenario, necesita obtener la siguiente información de un administrador de red:

  • La dirección IP pública del equipo local de cliente  (CPE) de su extremo de la VPN
  • Rutas estáticas para su red local (este escenario utiliza el enrutamiento estático para los túneles de la VPN, pero en su lugar puede utilizar el enrutamiento dinámico BGP)

Debe proporcionar a Oracle esta información y, a cambio, recibirá la información que el administrador de red necesita para configurar el enrutador local en su extremo de la VPN.

Política de IAM necesaria

Para que pueda utilizar Oracle Cloud Infrastructure, un administrador le debe otorgar acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si obtiene un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador el tipo de acceso que posee y en qué compartimento  debería trabajar.

Si es miembro del grupo Administradores, ya tiene el acceso necesario para implantar el escenario C. De lo contrario, deberá acceder a Networking y necesitará la capacidad de iniciar instancias. Consulte Políticas de IAM para Networking.

Configuración del escenario C

La configuración resulta sencilla en la consola. También puede utilizar la API de Oracle Cloud Infrastructure, que le permite implantar las operaciones individuales por sí mismo.

Importante

La mayor parte de este proceso implica trabajar con la consola o la API (la que elija) durante un período corto para configurar los componentes de Networking necesarios. También hay un paso crítico que requiere que un administrador de red de la organización tome la información que usted reciba durante la configuración de los componentes y la utilice para configurar el enrutador local en su extremo de la VPN. Por lo tanto, no puede completar este proceso en una sesión breve. Realice una pausa mientras el administrador de la red completa la configuración y, a continuación, confirme la comunicación con sus instancias a través de la VPN.

Uso de la Consola

Tarea 1: configurar la VCN y subredes
  1. Cree la VCN:

    1. Abra el menú de navegación, haga clic en Red y, a continuación, en Redes virtuales en la nube.
    2. En Ámbito de lista, seleccione un compartimento en el que tenga permiso para trabajar. La página se actualiza para mostrar solo los recursos de ese compartimento. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Control de acceso.
    3. Haga clic en Crear red virtual en la nube.
    4. Introduzca lo siguiente:

      • Nombre: un nombre fácil de recordar para la VCN. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
      • Crear en compartimiento: déjelo tal cual.
      • Bloque de CIDR: uno o más bloques de CIDR no solapados para la VCN. Por ejemplo: 172.16.0.0/16. Puede agregar o eliminar bloques de CIDR posteriormente. Consulte Rangos de direcciones y tamaño de VCN permitidos. Como referencia, aquí dispone de una calculadora de CIDR.
      • Activar asignación de direcciones IPv6: las direcciones IPv6 están soportadas para todas las regiones comerciales y gubernamentales. Para obtener más información, consulte Direcciones IPv6.
      • Usar nombres de host de DNS en esta VCN: esta opción es necesaria para asignar nombres de host de DNS a hosts de la VCN, y es necesaria si tiene previsto utilizar la función DNS por defecto de la VCN (llamada Solucionador de Internet y VCN). Si selecciona esta opción, puede especificar una etiqueta DNS para la VCN o puede permitir que la consola genere una. El cuadro de diálogo muestra automáticamente el nombre de dominio de DNS correspondiente para la VCN (<VCN_DNS_label>.oraclevcn.com). Para obtener más información, consulte DNS en su red virtual en la nube.
      • Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante si lo desea. Para obtener más información, consulte Etiquetas de recursos.
    5. Haga clic en Crear red virtual en la nube.

      A continuación, la VCN se crea y se muestra en la página Redes virtuales en la nube en el compartimiento que haya seleccionado.

  2. Cree un gateway de internet para la VCN:

    1. En Recursos, haga clic en Gateways de internet.
    2. Haga clic en Crear gateway de internet.
    3. Introduzca lo siguiente:

      • Nombre: un nombre fácil de recordar para el gateway de internet. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
      • Crear en compartimiento: déjelo tal cual.
      • Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante si lo desea. Para obtener más información, consulte Etiquetas de recursos.
    4. Haga clic en Crear gateway de internet.

      El gateway de internet se crea y se muestra en la página.

  3. Cree un gateway de NAT para la VCN:

    1. En Recursos, haga clic en Gateways de NAT.
    2. Haga clic en Crear gateway de NAT.
    3. Introduzca lo siguiente:

      • Nombre: Nombre fácil de recordar para el gateway de NAT. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
      • Crear en compartimiento: déjelo tal cual.
      • Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante si lo desea. Para obtener más información, consulte Etiquetas de recursos.
    4. Haga clic en Crear gateway de NAT.

      El gateway NAT se crea y se muestra en la página.

  4. Cree la tabla de rutas personalizada para la subred pública (que creará más adelante):

    1. En Recursos, haga clic en Tablas de rutas.
    2. Haga clic en Crear tabla de rutas.
    3. Introduzca lo siguiente:

      • Nombre: un nombre fácil de recordar para la tabla de rutas (por ejemplo, Tabla de rutas de subred pública). No tiene que ser único y no se puede cambiar posteriormente en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
      • Crear en compartimiento: Deje el valor predeterminado (el compartimiento en el que está trabajando actualmente).
      • Haga clic en + Regla de ruta adicional e introduzca lo siguiente:

        • Tipo de destino: gateway de internet.
        • Bloque de CIDR de destino: 0.0.0.0/0 (lo que significa que todo el tráfico que no sea interno de la VCN y que ya no esté respaldado por otras reglas de la tabla de rutas se dirigirá al destino especificado en esta regla).
        • Compartimiento: déjelo tal cual.
        • Destino: el gateway de internet que ha creado.
        • Descripción: descripción opcional de la regla.
    4. Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante. Para obtener más información, consulte Etiquetas de recursos.
    5. Haga clic en Crear tabla de rutas.

      La tabla de rutas se crea y se muestra en la página.

  5. Cree la tabla de rutas personalizada para la subred privada (que creará más adelante):

    1. Haga clic en Crear tabla de rutas.
    2. Introduzca lo siguiente:

      • Nombre: un nombre fácil de recordar para la tabla de rutas (por ejemplo, Tabla de rutas de subred privada). No tiene que ser único y no se puede cambiar posteriormente en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
      • Crear en compartimiento: Deje el valor predeterminado (el compartimiento en el que está trabajando actualmente).
      • Haga clic en + Regla de ruta adicional e introduzca lo siguiente:

        • Tipo de destino: gateway de NAT.
        • Bloque de CIDR de destino: 0.0.0.0/0 (lo que significa que todo el tráfico que no sea interno de la VCN y que ya no esté respaldado por otras reglas de la tabla de rutas se dirigirá al destino especificado en esta regla).
        • Compartimiento: déjelo tal cual.
        • Destino: el gateway de NAT que ha creado.
        • Descripción: descripción opcional de la regla.
    3. Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante. Para obtener más información, consulte Etiquetas de recursos.
    4. Haga clic en Crear tabla de rutas.

      La tabla de rutas se crea y se muestra en la página. Después de configurar la VPN de sitio a sitio, actualice la tabla de rutas de subred privada para que enrute el tráfico de la subred privada a la red local mediante el DRG.

  6. Actualice la lista de seguridad por defecto para incluir reglas que permitan los tipos de conexiones que necesitan sus instancias de la VCN:

    1. En Recursos, haga clic en Listas de seguridad.
    2. Haga clic en la lista de seguridad predeterminada para ver sus detalles. Por defecto, se incluye en la página Reglas de entrada.
    3. Edite cada una de las reglas de entrada con estado existentes para que el CIDR de origen sea el CIDR para la red local (10.0.0.0/16 en este ejemplo) y no 0.0.0.0/0. Para editar una regla existente, haga clic en el menú Acciones (Menú Acciones) de la regla y, a continuación, en Editar.
    4. Si tiene previsto iniciar instancias de Windows, agregue una regla para activar el acceso a RDP:

  7. Cree una lista de seguridad personalizada para la subred pública:

    1. Vuelva a la página Listas de seguridad para la VCN.
    2. Haga clic en Crear lista de seguridad.
    3. Introduzca lo siguiente:

      • Nombre: introduzca un nombre fácil de recordar para la lista (por ejemplo, Lista de seguridad de subred pública). No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
      • Crear en compartimiento: Deje el valor predeterminado (el compartimiento en el que está trabajando actualmente).
    4. Agregue las siguientes reglas de entrada:

      Ejemplo: Acceso de HTTP de entrada
      • Tipo: entrada
      • Sin estado: no seleccionado (es una regla con estado)
      • Tipo de origen: CIDR
      • CIDR de origen: 0.0.0.0/0
      • Protocolo IP: TCP
      • Rango de puertos de origen: Todos
      • Rango de puerto de destino: 80
      • Descripción: descripción opcional de la regla.
      Ejemplo: Acceso de HTTPS de entrada
      • Tipo: entrada
      • Sin estado: no seleccionado (es una regla con estado)
      • Tipo de origen: CIDR
      • CIDR de origen: 0.0.0.0/0
      • Protocolo IP: TCP
      • Rango de puertos de origen: Todos
      • Rango de puertos de destino: 443
      • Descripción: descripción opcional de la regla.
    5. Agregue la siguiente regla de salida:

    6. Haga clic en Crear lista de seguridad.

      La lista de seguridad personalizada para la subred pública se crea y se muestra en la página.

  8. Cree una lista de seguridad personalizada para la subred privada:

    1. Haga clic en Crear lista de seguridad.
    2. Introduzca lo siguiente:

      • Nombre: introduzca un nombre fácil de recordar para la lista (por ejemplo, Lista de seguridad de subred privada). No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
      • Crear en compartimiento: Deje el valor predeterminado (el compartimiento en el que está trabajando actualmente).
    3. Agregue las siguientes reglas de entrada:

      Ejemplo: acceso a SQL*Net de entrada desde clientes de la subred pública
      • Tipo: entrada
      • Sin estado: no seleccionado (es una regla con estado)
      • Tipo de origen: CIDR
      • CIDR de origen: CIDR para la subred pública (172.16.1.0/24 en este ejemplo)
      • Protocolo IP: TCP
      • Rango de puertos de origen: Todos
      • Rango de puerto de destino: 1521
      • Descripción: descripción opcional de la regla.
      Ejemplo: acceso de SQL*Net de entrada de clientes en la subred privada
      • Tipo: entrada
      • Sin estado: no seleccionado (es una regla con estado)
      • Tipo de origen: CIDR
      • CIDR de origen: CIDR para la subred privada (172.16.2.0/24 en este ejemplo)
      • Protocolo IP: TCP
      • Rango de puertos de origen: Todos
      • Rango de puerto de destino: 1521
      • Descripción: descripción opcional de la regla.
    4. Agregue las siguientes reglas de salida:

    5. Haga clic en Crear lista de seguridad.

      La lista de seguridad personalizada para la subred privada se crea y se muestra en la página.

  9. Cree las subredes en la VCN:

    1. En Recursos, haga clic en Subredes.
    2. Haga clic en Crear subred.
    3. Introduzca lo siguiente:

      • Nombre: un nombre fácil de recordar para la subred pública regional (por ejemplo, Subred privada regional). No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
      • Regional o específica del Dominio de disponibilidad: seleccione Regional (recomendado), lo que significa que la subred abarca todos los dominios de disponibilidad de la región. Posteriormente, cuando inicie una instancia, puede crearla en cualquier dominio de disponibilidad de la región. Para obtener más información, consulte Visión general de las VCN y las subredes.
      • Bloque de CIDR: un único bloque de CIDR contiguo dentro del bloque de CIDR de la VCN. Por ejemplo: 172.16.1.0/24. No puede cambiar este valor más adelante. Como referencia, aquí dispone de una calculadora de CIDR.
      • Activar asignación de direcciones IPv6: esta opción solo está disponible si la VCN está activada para IPv6. Las direcciones IPv6 están soportadas para todas las regiones comerciales y gubernamentales. Para obtener más información, consulte Direcciones IPv6.
      • Tabla de rutas: seleccione la tabla de rutas de subred privada que creó anteriormente.
      • Subred pública o privada: seleccione Subred privada, lo que significa que las VNIC de la subred no pueden tener direcciones IP públicas. Para obtener más información, consulte Acceso a internet.
      • Utilizar nombres de host DNS en esta subred: esta opción está disponible solo si se ha proporcionado una etiqueta de DNS para la VCN cuando se creó. La opción es necesaria para la asignación de nombres de host de DNS a hosts de la subred y también si planea utilizar la función de DNS por defecto de la VCN (denominada Solucionador de internet y VCN). Si activa la casilla de control, puede especificar una etiqueta DNS para la subred o permitir que la consola le genere una. El cuadro de diálogo muestra automáticamente el nombre de dominio de DNS correspondiente para la subred como un FQDN. Para obtener más información, consulte DNS en su red virtual en la nube.
      • Opciones de DHCP: seleccione el conjunto por defecto de opciones de DHCP.
      • Listas de seguridad: seleccione dos listas de seguridad: la lista de seguridad por defecto y la lista de seguridad de subred privada que creó anteriormente.
    4. Haga clic en Crear subred.

      A continuación, se crea la subred privada y se muestra en la página Subredes.

    5. Repita los pasos del A al D anteriores para crear la subred pública regional. En lugar de utilizar un nombre como Subred pública regional, seleccione Subred pública en lugar de Subred privada, utilice la Tabla de rutas de subred pública y utilice la lista de seguridad por defecto y la lista de seguridad de subred pública que creó anteriormente.
Ejemplo: acceso a RDP de entrada necesario para las instancias de Windows
  • Tipo: entrada
  • Sin estado: no seleccionado (es una regla con estado)
  • Tipo de origen: CIDR
  • CIDR de origen: la red local (10.0.0.0/16 en este ejemplo)
  • Protocolo IP: TCP
  • Rango de puertos de origen: Todos
  • Rango de puerto de destino: 3389
  • Descripción: descripción opcional de la regla.
Ejemplo: acceso a SQL*Net de salida a las bases de datos de Oracle
  • Tipo: salida
  • Sin estado: no seleccionado (es una regla con estado)
  • Tipo de destino: CIDR
  • CIDR de destino: CIDR para la subred privada (172.16.1.0/24 en este ejemplo)
  • Protocolo IP: TCP
  • Rango de puertos de origen: Todos
  • Rango de puerto de destino: 1521
  • Descripción: descripción opcional de la regla.
Ejemplo: acceso SQL*Net de salida a las instancias de la subred privada
  • Tipo: salida
  • Sin estado: no seleccionado (es una regla con estado)
  • Tipo de destino: CIDR
  • CIDR de destino: CIDR para la subred privada (172.16.1.0/24 en este ejemplo)
  • Protocolo IP: TCP
  • Rango de puertos de origen: Todos
  • Rango de puerto de destino: 1521
  • Descripción: descripción opcional de la regla.
Tarea 2: crear instancias en dominios de disponibilidad independientes

Ahora puede crear una o más instancias en la subred (consulte Inicio de una instancia). El diagrama del escenario muestra instancias en dos dominios de disponibilidad diferentes. Al crear la instancia, seleccione el dominio de disponibilidad, la VCN y la subred que desea utilizar, y otras características.

Para cada instancia de la subred pública, debe asignar una dirección IP pública. De lo contrario, la instancia no estará disponible desde su red local.

Aún no puede acceder a las instancias de la subred privada porque no hay ningún gateway que conecte la VCN a la red local. El siguiente procedimiento le guiará a través de la configuración de la VPN de sitio a sitio para activar esa comunicación.

Tarea 3: agregar una VPN de sitio a sitio a la VCN
  1. Cree un objeto de equipo local del cliente:

    1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Equipo local de cliente.

    2. Haga clic en Crear equipo local del cliente.
    3. Introduzca lo siguiente:

      • Crear en compartimiento: Deje el valor predeterminado (el compartimiento en el que está trabajando actualmente).
      • Nombre: nombre fácil de recordar para el objeto de equipo local del cliente. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
      • Dirección IP: la dirección IP del enrutador local al final de la VPN (consulte Previos necesarios).
    4. Haga clic en Crear.

    El objeto CPE tiene el estado "Aprovisionamiento" durante un período corto.

  2. Cree un gateway de enrutamiento dinámico (DRG):

    1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico.

    2. Haga clic en Crear gateway de enrutamiento dinámico.
    3. Para Crear en compartimiento: deje el valor predeterminado (el compartimiento en el que está trabajando actualmente).
    4. Introduzca un nombre fácil de recordar para el DRG. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
    5. Haga clic en Crear.

    El DRG tendrá el estado "Aprovisionando" durante un período corto. Espere hasta que esté totalmente aprovisionada antes de continuar.

  3. Conecte el DRG a su VCN:

    1. Haga clic en el DRG que ha creado.
    2. En Recursos, haga clic en Redes virtuales en la nube.
    3. Haga clic en Asociar a red virtual en la nube.
    4. Seleccione la VCN. Ignore la sección para las opciones avanzadas, que solo es para un caso de enrutamiento avanzado denominado enrutamiento en tránsito, que no es relevante aquí.
    5. Haga clic en Asociar.

    La asociación tendrá el estado "Asociando" durante un período corto.

  4. Actualice la tabla de rutas de la subred privada (que ya tiene una regla para el gateway de NAT):

    1. Abra el menú de navegación, haga clic en Red y, a continuación, en Redes virtuales en la nube.
    2. Haga clic en su VCN.
    3. Haga clic en Tablas de rutas y, a continuación, haga clic en la tabla de rutas de subred privada que creó anteriormente.
    4. Haga clic en Agregar regla de ruta.
    5. Introduzca lo siguiente:

      • Tipo de destino: gateway de enrutamiento dinámico. El DRG asociado de la VCN se selecciona automáticamente como destino y no tiene que especificarlo usted mismo.
      • Bloque de CIDR de destino: 0.0.0.0/0 (lo que significa que todo el tráfico que no sea interno de la VCN y que ya no esté respaldado por otras reglas de la tabla de rutas se dirigirá al destino especificado en esta regla).
      • Descripción: descripción opcional de la regla.
    6. Haga clic en Agregar regla de ruta.

      La tabla se actualiza para enrutar todo el tráfico destinado a la red local al DRG. La regla original para 0.0.0.0/0 enrutar el tráfico restante que deja la subred al gateway de NAT.

  5. Crear una conexión de IPSec:

    1. Abra el menú de navegación y haga clic en Redes. En Conectividad con el cliente, haga clic en VPN de sitio a sitio.

    2. Haga clic en Crear conexión IPSec.
    3. Introduzca lo siguiente:

      • Crear en compartimiento: Deje el valor predeterminado (el compartimiento en el que está trabajando actualmente).
      • Nombre: introduzca un nombre fácil de recordar para la conexión de IPSec. No tiene que ser único. Evite introducir información confidencial.
      • Compartimiento del equipo local del cliente: déjelo tal cual (compartimiento de la VCN).
      • Equipo local del cliente: seleccione el objeto de CPE que ha creado anteriormente.
      • Compartimiento de gateway de enrutamiento dinámico: déjelo tal cual (compartimiento de la VCN).
      • Gateway de enrutamiento dinámico: seleccione el DRG creado anteriormente.
      • CIDR de ruta estática: introduzca al menos una ruta estática CIDR (consulte Previos necesarios). Si necesita agregar otra ruta, haga clic en Agregar ruta estática. Puede introducir hasta 10 rutas estáticas y, posteriormente, puede cambiar estas rutas estáticas si lo desea.
    4. Haga clic en Mostrar opciones avanzadas y, opcionalmente, proporcione los siguientes elementos:
      • CPE IKE Identifier (Identificador IKE de CPE): Oracle utiliza de forma predeterminada la dirección IP pública del CPE. Pero si su CPE está detrás de un dispositivo NAT, es posible que deba introducir un valor diferente. Puede introducir el nuevo valor aquí o cambiarlo más adelante.
      • Túnel 1 y Túnel 2: déjelas tal cual. Más adelante, si desea utilizar el enrutamiento dinámico de BGP en lugar del enrutamiento estático para los túneles de la VPN, consulte Cambio de enrutamiento estático a enrutamiento dinámico de BGP.
      • Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante. Para obtener más información, consulte Etiquetas de recursos.
    5. Haga clic en Crear conexión IPSec.

      La conexión de IPSec se crea y se muestra en la página. La conexión tendrá el estado Aprovisionando durante un período corto.

      La información del túnel mostrada incluye la dirección IP del encabezado de la VPN y el estado de IPSec del túnel (los valores posibles son Activo, Inactivo e Inactivo para mantenimiento). En este punto, el estado es Inactivo. Para ver el secreto compartido del túnel, haga clic en el menú Acciones (Menú Acciones) y, a continuación, en Ver secreto compartido.

    6. Copie la dirección IP de la VPN de Oracle y el secreto compartido para cada uno de los túneles en un correo electrónico o en otra ubicación, para que pueda entregarla al ingeniero de redes que configura el enrutador local.

      Para obtener más información, consulte Configuración de CPE. Puede ver la información de este túnel aquí en la consola en cualquier momento.

Ya ha creado todos los componentes necesarios para la VPN de sitio a sitio. A continuación, el administrador de red debe configurar el enrutador local para que el tráfico de red pueda fluir entre su red local y la VCN.

Tarea 4: configurar el enrutador local (CPE)

Estas instrucciones son para el administrador de red.

  1. Obtenga la información de configuración de túnel proporcionada por Oracle durante la configuración de la VPN. Consulte Tarea 3: agregar una VPN de sitio a sitio a la VCN.
  2. Configure el enrutador local según la información de configuración de CPE.

Si las instancias informáticas ya están en una de las subredes, puede confirmar que la conexión de IPSec está activa y en ejecución conectándose a las instancias desde su red local. Para conectarse a instancias de la subred pública, debe conectarse a la dirección IP pública de la instancia.

Uso de la API

Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.

Utilice las siguientes operaciones:

  • CreateVcn: incluya siempre una etiqueta DNS si desea que la VCN utilice el solucionador de la VCN (consulte DNS en su red virtual en la nube).
  • CreateInternetGateway
  • CreateNatGateway
  • CreateRouteTable: utilícela para crear la tabla de rutas de subred pública. Para activar la comunicación mediante el gateway de internet, agregue una regla de ruta con el destino = 0.0.0.0/0 y el destino final = el gateway de internet que creó anteriormente.
  • CreateRouteTable: utilícela para crear la tabla de rutas de subred privada. Para activar la comunicación mediante el gateway de NAT, agregue una regla de ruta con el destino = 0.0.0.0/0 y el destino final = el gateway de NAT que creó anteriormente.
  • Primero llame a GetSecurityList para obtener la lista de seguridad por defecto y, a continuación, llame a UpdateSecurityList:

    • Cambie las reglas de entrada con estado existentes para utilizar el CIDR de la red local como el CIDR de origen, en lugar de 0.0.0.0/0.
    • Si tiene previsto iniciar instancias de Windows, agregue esta regla de entrada con estado: tipo de origen = CIDR, CIDR de origen = la red local en TCP, puerto de origen = todo, puerto de destino = 3389 (para RDP).
  • CreateSecurityList: utilícela para crear la lista de seguridad de subred pública con estas reglas:

    • Entrada con estado: tipo de origen = CIDR, origen 0.0.0.0/0 en TCP, puerto de origen = todo, puerto de destino = 80 (HTTP)
    • Entrada con estado: tipo de origen = CIDR, origen 0.0.0.0/0 en TCP, puerto de origen = todo, puerto de destino = 443 (HTTPS)
    • Salida con estado: tipo de destino = CIDR, bloques CIDR de destino de subredes privadas en TCP, puerto de origen = todo, puerto de destino = 1521 (para bases de datos Oracle)
  • CreateSecurityList: utilícela para crear la lista de seguridad de subred privada con estas reglas:

    • Entrada con estado: tipo de origen = CIDR, bloques CIDR de origen de subredes públicas en TCP, puerto de origen = todo, puerto de destino = 1521 (para bases de datos Oracle)
    • Entrada con estado: tipo de origen = CIDR, bloques CIDR de origen de subredes privadas en TCP, puerto de origen = todo, puerto de destino = 1521 (para bases de datos Oracle)
    • Salida con estado: tipo de destino = CIDR, bloques CIDR de destino de subredes privadas en TCP, puerto de origen = todo, puerto de destino = 1521 (para bases de datos Oracle)
  • CreateSubnet: utilícela para crear una subred pública regional. Incluya una etiqueta DNS para la subred si desea que el solucionador de VCN resuelva los nombres de host de las VNIC en la subred. Utilice la tabla de rutas de subred pública que creó anteriormente. Utilice la lista de seguridad por defecto y la lista de seguridad de subred pública que creó anteriormente. Utilice el conjunto predeterminado de opciones de DHCP.
  • CreateSubnet: utilícela para crear la subred privada regional. Incluya una etiqueta DNS para la subred si desea que el solucionador de VCN resuelva los nombres de host de las VNIC en la subred. Utilice la tabla de rutas de subred privada que creó anteriormente. Utilice la lista de seguridad por defecto y la lista de seguridad de subred privada que creó anteriormente. Utilice el conjunto predeterminado de opciones de DHCP.
  • CreateDrg: crea un gateway de enrutamiento dinámico (DRG).
  • CreateDrgAttachment: asocia el DRG a la VCN.
  • CreateCpe: aquí proporcionará la dirección IP del enrutador al final de la VPN (consulte Previos necesarios).
  • CreateIPSecConnection: aquí proporcionará las rutas estáticas para la red local (consulte Previos necesarios). A cambio, recibirá la información de configuración que el administrador de red necesita para configurar el enrutador. Si necesita esa información más adelante, puede obtenerla con GetIPSecConnectionDeviceConfig. Para obtener más información sobre la configuración, consulte Configuración de CPE.
  • Primero llame a GetRouteTable para obtener la tabla de rutas de subred privada. A continuación, utilice UpdateRouteTable para agregar una regla de ruta con el destino = el CIDR de la red local (10.0.0.0/16 en este ejemplo) y el destino final = el DRG que creó anteriormente.
  • LaunchInstance: inicia al menos una instancia en cada subred. De manera predeterminada, a las instancias de las subredes públicas se les asignan direcciones IP públicas. Para obtener más información, consulte Creación de una instancia.

Ahora puede comunicarse desde la red local con las instancias en la subred pública a través del gateway de internet.

Importante

Aunque puede iniciar instancias en subredes privadas, no puede comunicarse con ellas desde la red local hasta que el administrador de red configure el enrutador local (consulte Configuración de CPE). Después, la conexión de IPSec estará activa y en ejecución. Puede confirmar su estado mediante GetIPSecConnectionDeviceStatus. También puede confirmar que la conexión de IPSec está activa conectándose a las instancias desde su red local.