Documentación de Oracle Cloud Infrastructure

Acceso a Oracle Services: gateway de servicio

En este tema se explica cómo configurar y gestionar un gateway de servicios. Un gateway de servicios permite a los recursos en la nube sin direcciones IP públicas acceder de forma privada a los servicios de Oracle.

Acceso a Oracle Services

Oracle Services Network es una red conceptual que se encuentra en Oracle Cloud Infrastructure reservada para los servicios de Oracle. Estos servicios tienen direcciones IP públicas que normalmente acceden a través de internet. Sin embargo, puede acceder a Oracle Services Network sin el tráfico que pasa por internet. La forma de uso depende de los hosts que necesitan el acceso:

Aspectos destacados

  • Un gateway de servicio permite a una red virtual en la nube (VCN) acceder a servicios específicos de Oracle de forma privada sin exponer los datos a la Red pública de Internet. No se requiere ningún gateway de internet ni gateway de NAT para acceder a esos servicios específicos. Los recursos de la VCN pueden estar en una subred privada y utilizar solo direcciones IP privadas. El tráfico desde la VCN al servicio Oracle recorre el tejido de red de Oracle y no internet.
  • El gateway de servicio es regional y permite el acceso solo a los servicios de Oracle admitidos en la misma región que la VCN.
  • Solo se necesita un gateway de servicio para cada VCN. Todas las subredes de una VCN tienen acceso al gateway de servicio si las reglas de seguridad y las reglas de tabla de rutas permiten ese acceso.

  • El gateway de servicio permite acceder a los servicios de Oracle admitidos dentro de la región para proteger a sus datos de internet. Algunas cargas de trabajo pueden requerir el acceso a los puntos finales o servicios públicos no admitidos por la puerta de enlace de servicio (por ejemplo, para descarga de actualizaciones o parches). Asegúrese de tener un gateway de NAT u otro acceso a Internet.

  • Los servicios de Oracle admitidos son Oracle Cloud Infrastructure Object Storage y otros incluidos en Oracle Services Network. Para obtener una lista, consulte Gateway de servicio: servicios en la nube admitidos en Oracle Services Network.
  • El Gateway de servicio utiliza el concepto de una etiqueta CIDR de servicios, que es una cadena que representa todos los rangos para direcciones IP públicas regionales para el servicio o grupo de servicios de interés (por ejemplo, OCI PHX Object Storage es la cadena para Object Storage en el oeste de EE. UU (Phoenix)). Puede usar esa etiqueta CIDR de servicio al configurar el gateway de servicio y las reglas de ruta relacionadas para controlar el tráfico al servicio. También puede utilizarlo al configurar reglas de seguridad. Si las direcciones IP públicas del servicio cambian en el futuro, no tiene que ajustar esas reglas.
  • Puede configurar una VCN para que la red local tenga acceso privado a los servicios de Oracle mediante la VCN y el gateway de servicio de la VCN. Los hosts de la red local Se comunican con sus direcciones IP privadas y el tráfico No pasa por Internet. Para obtener más información, consulte Acceso privado a los servicios de Oracle.

Visión general de los gateways de servicio

Una puerta de enlace de servicios permite que los recursos de una VCN accedan de forma privada, a servicios específicos de Oracle, sin exponer los datos a una puerta de enlace de Internet o de NAT. Los recursos de la VCN pueden estar en una subred privada y utilizar solo direcciones IP privadas. El tráfico de VCN al servicio de interés viaja por el tejido de red de Oracle y nunca atraviesa internet.

El siguiente diagrama ilustra una VCN que tiene una subred pública y una subred privada. Los recursos de la subred privada solo tienen direcciones IP privadas.

La VCN mostrada tiene tres gateways:

  • Gateway de internet: para proporcionar acceso directo a la subred pública a los puntos finales públicos en internet. Las conexiones se pueden iniciar desde la subred o desde internet. Los recursos de la subred pública deben tener direcciones IP públicas. Para obtener más información, consulte Gateway de internet.
  • Gateway de servicios: para proporcionar a la subred privada acceso privado a los servicios de Oracle admitidos en la región. Las conexiones solo se pueden iniciar desde la subred.
  • Gateway de NAT: para proporcionar la subred privada acceso privado a los puntos finales públicos en internet. Las conexiones solo se pueden iniciar desde la subred. Para obtener más información, consulte Gateway de NAT.

El enrutamiento de una VCN se controla en el nivel de subred, de forma que pueda especificar qué subredes de una VCN utilizan cada gateway. En el diagrama, la Tabla de rutas de la subred pública (Referencia 1) envía tráfico saliente a través del gateway de internet. La tabla de rutas de la subred privada (Referencia 2) envía un tráfico destinado al servicio de Oracle Services Network a través del gateway de servicio. Envía todo el tráfico restante al gateway de NAT.

Esta imagen muestra el diseño básico de una VCN con un gateway de servicios
Referencia 1: Tabla de rutas de subred pública
CIDR de destino Destino de ruta
0.0.0.0/0 Gateway de internet
Referencia 2: Tabla de rutas de subred privada
CIDR de destino Destino de ruta
Servicios de OSN en la región Gateway de servicio
0.0.0.0/0 Gateway de NAT
Importante

Consulte este problema conocido para obtener información sobre la configuración de las reglas de rutas con el gateway de servicios como el destino en las tablas de rutas asociadas a subredes públicas.

Los recursos de un gateway de servicio se pueden utilizar en la propia VCN del gateway. However, if the VCN is peered with another, resources in the other VCN can't access the service gateway unless a service gateway is configured in both VCNs. Puede configurar el tráfico destinado a Oracle Services Network que se origina en un radio para que se desplace a través de un dispositivo de software virtual de red (NVA) en el hub y, posteriormente, a través del gateway de servicio del hub. Consulte Uso de una IP privada como destino de ruta y Acceso privado a los servicios de Oracle para obtener más información.

Los recursos de una red local conectada a la VCN del gateway del servicio con FastConnect o una VPN de sitio a página también pueden utilizar el gateway del servicio. Para obtener más información, consulte Acceso privado a los servicios de Oracle.

Tenga en cuenta que una red local también puede utilizar intercambio de FastConnect público para el acceso privado a los servicios públicos de Oracle. Esto significa que una red local podría tener diversas rutas para acceder a los rangos de direcciones IP públicas de Oracle Services. Si es así, el dispositivo perimetral recibe un anuncio de ruta de los rangos para direcciones IP públicas de las prestaciones de Oracle a través de varias rutas. Para obtener información importante sobre la configuración correcta del dispositivo perimetral, consulte Detalles de enrutamiento para conexiones a las redes locales.

Solo se necesita un gateway de servicio para cada VCN. Todas las subredes de una VCN tienen acceso al gateway de servicio si las reglas de seguridad y las reglas de tabla de rutas permiten ese acceso.

Para obtener instrucciones sobre la configuración de un gateway de servicio, consulte Configuración de un gateway de servicios en la consola.

Acerca de las etiquetas CIDR de servicio

Cada servicio de Oracle tiene un punto final público regional que utiliza direcciones IP públicas para el acceso. Cuando configura un gateway de servicio con acceso a un servicio Oracle, también puede configurar las reglas de la ruta del servicio Networking y, opcionalmente, las reglas de seguridad que controlen el tráfico con el servicio. Normalmente, esto significa que debe conocer las direcciones IP públicas del servicio para configurar esas reglas. Para que sea más fácil, el servicio de redes utiliza etiquetas CIDR de servicio como alias que representa todos los CIDR públicos para un servicio de Oracle concreto o un grupo de servicios de Oracle. Si los CIDR de un servicio cambian en el futuro, no tiene que ajustar las reglas del enrutamiento ni las de seguridad.

Ejemplos:

  • OCI PHX Object Storage es una etiqueta CIDR de servicio que representa todos los CIDR de Object Storage de la región oeste de Estados Unidos (Phoenix).
  • Todos los servicios de PHX en Oracle Services Network son etiquetas CIDR de servicio que representan todos los CIDR de los servicios admitidos en Oracle Services Network de la región oeste de Estados Unidos (Phoenix). Para obtener una lista de los servicios, consulte Gateway de servicios: servicios en la nube admitidos por Oracle Services Network.

Como puede ver, una etiqueta CIDR de servicio se puede asociar a un único servicio de Oracle (por ejemplo: Object Storage) o a varios servicios Oracle. Una vez que haya asignado una etiqueta CIDR de servicio a un gateway de servicio, la consola puede cambiar para utilizar la otra etiqueta, pero el gateway de servicio siempre debe tener una etiqueta CIDR de servicio. Puede utilizar la API y la CLI para eliminar por completo la etiqueta CIDR del servicio.

El término servicio se suele utilizar en este tema en lugar del término más preciso, etiqueta CIDR del servicio. Lo más importante que debe recordar es que al configurar un gateway de servicio (y las reglas de ruta relacionadas) especificará la etiqueta CIDR de servicio que le interesa. En la consola, se le presentan las etiquetas CIDR del servicio disponibles. Si utiliza la API de REST, la operación de ListServices devuelve los objetos Service disponibles. El atributo cidrBlock del objeto Service contiene la etiqueta CIDR del servicio (ejemplo: all-phx-services-in-oracle-services-network).

Etiquetas CIDR de Service disponibles

Estas son las etiquetas CIDR de servicio disponibles:

Importante

Consulte este problema conocido para obtener información sobre el acceso a los servicios YUM de Oracle a través del gateway de servicio.

Activación de etiqueta CIDR de servicio para un gateway de servicio

Para otorgar acceso a una VCN a una etiqueta CIDR del servicio determinado, debe activar la etiqueta CIDR del servicio para el gateway de servicio de la VCN. Puede hacerlo al crear el gateway de servicio o justo después. También puede desactivar una etiqueta CIDR de servicio para el gateway de servicio en cualquier momento.

Importante

Puesto que Object Storage está cubierto por OCI <region> Object Storage y Todos los servicios <region> en Oracle Services Network, un gateway a servicio solo puede utilizar una de esas etiquetas CIDR a servicio. De igual modo, una tabla de rutas puede tener una única regla para una de las etiquetas CIDR de servicio. No se pueden tener dos reglas independientes, sino una para cada etiqueta.

Si el gateway de servicio está configurado para utilizar Todos los servicios Oracle Services Network en <region>, la regla de ruta puede utilizar una etiqueta CIDR. Sin embargo, si el gateway del servicio está configurado para utilizar OCI <region> Object Storage y la regla del enrutamiento utiliza Todos los servicios de<region> en Oracle Services Network, el tráfico a servicios de la red de Oracle Services Network, excepto Object Storage, desaparece sin avisar. La consola prohíbe configurar el gateway de servicio y la tabla del direccionamiento correspondiente de esa manera.

Para cambiar el gateway de servicio para utilizar una etiqueta CIDR diferente de servicio, consulte Al cambiar a una etiqueta CIDR diferente de servicio.

Bloqueo del tráfico a través de un gateway de servicio

Puede crear un gateway de servicios en el contexto de una VCN específica. Por ejemplo, el gateway de servicios siempre se asocia a esa VCN. Sin embargo, puede bloquear o permitir el tráfico a través del gateway de servicio en cualquier momento. De forma predeterminada, el gateway permite el flujo de tráfico al crearse. El bloqueo del tráfico de gateway del servicio evita que todo el tráfico fluya, independientemente de qué etiquetas CIDR del servicio estén activadas, o bien de cualquier regla de ruta o regla de seguridad existente en una VCN. Para obtener instrucciones sobre cómo bloquear el tráfico, consulte Control de tráfico para un gateway de servicio.

Reglas de ruta y reglas de seguridad para un gateway de servicio

Para que el tráfico se dirija desde una subred de una VCN a un gateway de servicio, debe agregar una regla a la tabla de rutas de la subred mediante el gateway de servicio como destino. Para el destino, debe usar la etiqueta CIDR de servicios que esté activada para el gateway de servicios. Esto significa que no tiene que conocer los CIDR públicos específicos, que podrían cambiar con el tiempo.

El tráfico que abandona la subred y que está destinado a los CIDR públicos del servicio se dirige al gateway de servicio. Si el tráfico del gateway de servicio está bloqueado, no fluye en él el tráfico incluso si existe una regla que coincida con el tráfico. Para obtener instrucciones sobre la configuración de reglas de ruta para un gateway de servicio, consulte Tarea 2: actualización del enrutamiento para la subred.

Las reglas de seguridad de la VCN también deben permitir el tráfico previsto. Puede utilizar una etiqueta CIDR del servicio en lugar de un CIDR para el origen o destino del tráfico que desea. De nuevo, esto significa que no tiene que conocer los CIDR públicos específicos para el servicio. Para mayor comodidad, puede utilizar una etiqueta CIDR del servicio en las reglas de seguridad incluso si la VCN no tiene un gateway del servicio, y el tráfico a los servicios utiliza un gateway del Internet.

Puede usar reglas de seguridad con estado o sin estado que usan una etiqueta CIDR de servicio:

  • Para reglas con estado: cree una regla de salida con el servicio de destino = la etiqueta CIDR del servicio deseado. Al igual que con cualquier regla de seguridad, puede especificar otros elementos, como el protocolo IP y los puertos de origen y destino.
  • Para las reglas sin estado: debe tener las reglas de entrada y salida. Cree una regla de salida con el servicio de destino = la etiqueta CIDR del servicio de interés. También puede crear una regla de entrada con el servicio de origen = la etiqueta CIDR del servicio de interés. Al igual que con cualquier regla de seguridad, puede especificar otros elementos, como el protocolo IP y los puertos de origen y destino.

Para obtener instrucciones sobre la configuración de reglas de seguridad que utilizan una etiqueta CIDR de servicio, consulte Tarea 3: (opcional) actualizar reglas de seguridad.

Object Storage: permiso de acceso de bloque solo desde un rango CIDR o VCN particular

Si utiliza un gateway de servicios para acceder al Object Storage, puede crear una política de IAM que permita el acceso a un bloque de Object Storage determinado solo si se cumplen estos requisitos:

  • La solicitud pasa por un gateway de servicio.
  • La solicitud se origina desde la VCN concreta especificada en la política.

Para ver ejemplos de este tipo concreto de política de IAM y las advertencias importantes sobre su uso, consulte Tarea 4: (opcional) actualizar las políticas de IAM para restringir el acceso a un bloque de Object Storage.

O bien, puede utilizar el filtrado basado en IP de IAM para restringir el acceso a una dirección IP o rangos de direcciones. Para obtener más información, consulte Gestión de orígenes de redes.

Supresión de un gateway de servicio

Para suprimir un gateway de servicio, no hay que bloquear su tráfico, pero no debe haber una tabla de rutas que la muestre como destino. Consulte Supresión de un gateway de servicio.

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe ser miembro de un grupo al que se le haya otorgado acceso de seguridad en una política por parte de un administrador de arrendamiento. Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indique que no tiene permiso o no está autorizado, verifique con su administrador de arrendamiento el tipo de acceso y el compartimento en el que funciona su acceso.

Para administradores: consulte Políticas de IAM para redes.

Configuración de un gateway de servicio en la consola

Consulte las instrucciones de Creación de un gateway de servicio.

Tarea 2: actualizar el enrutamiento de la subred

Al configurar un gateway de servicio para una etiqueta CIDR de servicio determinada, también debe crear una regla de ruta que especifique dicha etiqueta como el destino y el destino como la puerta de enlace de servicio. Repita la misma operación para cada subred que necesite acceder al gateway.

  1. Decida qué subredes de la VCN necesitan acceso al gateway de servicio.

  2. Para cada uno de esos subredes, actualice la tabla de rutas de la subred para incluir una nueva regla con los siguientes valores:

    • Tipo de destino: Gateway de servicio.
    • Servicio de destino: la etiqueta CIDR de servicio que esta activada para la puerta de enlace.
    • Compartimento: compartimento que contiene el gateway de servicio.
    • Destino: el gateway de servicio.
    • Descripción: descripción opcional de la regla.

Cualquier tráfico de subred con un destino que coincida con la regla se direcciona al gateway de servicio. Para obtener más información sobre la configuración de reglas de ruta, consulte Tablas de rutas de VCN.

Más adelante, si ya no necesita el gateway de servicio y desea suprimirlo, primero debe suprimir todas las reglas para rutas de la VCN que especifican el gateway de servicio como destino.

Consejo

Sin el enrutamiento necesario, el tráfico no fluye por el gateway de servicios. Si se produce una situación en que desea detener temporalmente el flujo de tráfico por medio del gateway a un servicio concreto, basta con eliminar la regla de ruta que activa el tráfico. También puede desactivar esa etiqueta CIDR de servicio específica para el gateway. También puede bloquear todo el tráfico por completo a través del gateway de servicio. No tiene que suprimir el gateway.

Tarea 3: (opcional) actualizar reglas de seguridad

Al configurar un gateway de servicio para acceder a una etiqueta CIDR del servicio, también debe asegurarse de que las reglas de seguridad estén configuradas para permitir el tráfico necesario. Es posible que las reglas de seguridad ya permitan este tráfico, por lo que esta tarea es opcional. En el siguiente procedimiento se asume que está utilizando listas de seguridad para implantar reglas de seguridad. El procedimiento describe cómo configurar una regla que utiliza la etiqueta CIDR de servicio. Repita la misma operación para cada subred que necesite acceder al gateway.

Consejo

Las listas de seguridad son una forma de controlar el tráfico que entra y sale de los recursos de la VCN. También puede utilizar grupos de seguridad de red
  1. Decida qué subredes de la VCN se deben conectar a los servicios que le interesan.

  2. Actualice la lista del sistema de seguridad para cada uno de esos subredes para incluir reglas que permitan el tráfico necesario de salida o entrada con el servicio concreto.

    Supongamos que desea agregar una regla de estado que permita el tráfico HTTPS (puerto TCP 443) de la subred a la vez que los repositorios de Object Storage y Oracle YUM. Estas son las opciones básicas que se deben seleccionar al agregar una regla:

    1. En la sección Permitir reglas para salida, seleccione Regla +Add.
    2. Deje desactivada la casilla Sin estado.
    3. Tipo de Destino: Servicio.
    4. Servicio de destino: la etiqueta CIDR del servicio que le interesa. Para acceder a los repositorios de Object Storage y Oracle YUM, seleccione Todos los servicios de <region> en Oracle Services Network.
    5. Protocolo IP: Dejar como TCP.
    6. Rango de puertos de origen: déjelo como Todos.
    7. Rango de puertos de destino: Introducir 443.
    8. Descripción: descripción opcional de la regla.

Para obtener más información sobre la configuración de reglas de seguridad, consulte Reglas de seguridad.

Tarea 4: (opcional) actualización de políticas de IAM para restringir el acceso al bloque de Object Storage

Esta tarea solo es aplicable si está utilizando un gateway de servicios para acceder al Object Storage. Si lo desea, puede crear un origen de red y escribir una política de IAM para permitir que solo los recursos de una VCN concreta escriban objetos en un cubo concreto.

Importante

Si utiliza una de las siguientes políticas de IAM para restringir el acceso a un bloque, no se podrá acceder a este desde la consola. Solo es accesible desde dentro de la VCN específica.

Además, las políticas de IAM permiten el envío de solicitudes a Object Storage solo desde la VCN especificada a través del gateway de servicio. Si pasan por el gateway de internet, se deniegan las solicitudes.

  • Cree un origen de red para especificar la VCN permitida. Para obtener información sobre la creación de orígenes de red, consulte Gestión de orígenes de red.
  • Cree la política. El siguiente ejemplo permite que los recursos del grupo de ObjectBackup de ejemplo escriban objetos en un bloque existente denominado db-backup que reside en un compartimiento denominado ABC. 
    Allow group ObjectBackup to read buckets in compartment ABC

Allow group ObjectBackup to manage objects in compartment ABC where
   all {target.bucket.name='db-backup', 
        request.networkSource.name='<VCN_NETWORK_SOURCE',
        any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Puede especificar varias VCN creando y especificando varios orígenes de red en la política. El siguiente ejemplo tiene orígenes de red para dos VCN. Puede hacer esto si ha configurado la red local con acceso privado a los servicios de Oracle mediante la VCN y también ha configurado una o más VCN con sus propios gateways de servicio. Para obtener más información, consulte Visión general del acceso privado de la red local a los servicios de Oracle. 

Allow group ObjectBackup to read buckets in compartment ABC

Allow group ObjectBackup to manage objects in compartment ABC where
   all {target.bucket.name='db-backup', 
        any {request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_1>', request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_2'},
        any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}