Acceso a Oracle Services: gateway de servicio

En este tema se explica cómo configurar y gestionar un gateway de servicios. Un gateway de servicios permite que los recursos de nube sin direcciones IP públicas accedan de forma privada a los servicios Oracle.

Acceso a Oracle Services

Oracle Services Network es una red conceptual que forma parte de Oracle Cloud Infrastructure y solo pueden utilizarla los servicios de Oracle. Estos servicios tienen direcciones IP públicas que normalmente acceden a través de internet. Sin embargo, puede acceder a Oracle Services Network sin el tráfico que pasa por internet. Existen varias formas, según cuál sea el acceso de los hosts:

Aspectos destacados

  • Un gateway de servicios permite a la red virtual en la nube (VCN) acceder de forma privada a servicios de Oracle concretos sin exponer los datos a la red pública de internet. No se requiere un gateway de internet ni un gateway de NAT para acceder a esos servicios específicos. Los recursos de la VCN pueden estar en una subred privada y utilizar solo direcciones IP privadas. El tráfico desde la VCN al servicio Oracle recorre el tejido de red de Oracle y no internet.
  • El gateway de servicio es regional y permite el acceso solo a los servicios de Oracle admitidos en la misma región que la VCN.
  • El gateway de servicio permite acceder a los servicios de Oracle admitidos dentro de la región para proteger a sus datos de internet. Puede que las cargas de trabajo necesiten acceder a los puntos finales públicos o a servicios que no admite el gateway de servicios (por ejemplo, para descargar actualizaciones o parches). Asegúrese de tener un gateway de NAT u otro acceso a internet si es necesario.

  • Los servicios de Oracle admitidos son Oracle Cloud Infrastructure Object Storage y otros incluidos en Oracle Services Network. Para obtener una lista, consulte Gateway de servicio: servicios en la nube admitidos en Oracle Services Network.
  • El gateway de servicio utiliza el concepto de etiqueta CIDR de servicio, que es una cadena que representa todos los rangos de direcciones IP públicas regionales para el servicio o el grupo de servicios de interés (por ejemplo, OCI PHX Object Storage es la cadena para Object Storage en el Oeste de EE. UU. (Phoenix)). Puede usar esa etiqueta CIDR de servicio al configurar el gateway de servicio y las reglas de ruta relacionadas para controlar el tráfico al servicio. También puede utilizarlo al configurar reglas de seguridad. Si las direcciones IP públicas del servicio cambian en el futuro, no tiene que ajustar esas reglas.
  • Puede configurar la VCN para que su red local tenga acceso privado a los servicios de Oracle mediante la VCN y el gateway de servicios de la VCN. Los hosts de la red local se comunican con sus direcciones IP privadas y el tráfico no pasa por internet. Para obtener más información, consulte Acceso privado a los servicios de Oracle

Visión general de los gateways de servicio

Un gateway de servicios permite a los recursos de la VCN acceder de forma privada a servicios de Oracle concretos, sin exponer los datos a un gateway de internet o de NAT. Los recursos de la VCN pueden estar en una subred privada y utilizar solo direcciones IP privadas. El tráfico de VCN al servicio de interés viaja por el tejido de red de Oracle y nunca atraviesa internet.

En el siguiente diagrama simple se ilustra una VCN que tiene una subred pública y una subred privada. Los recursos de la subred privada solo tienen direcciones IP privadas.

La VCN tiene tres gateways:

  • Gateway de internet: para proporcionar acceso directo a la subred pública a los puntos finales públicos en internet. Las conexiones se pueden iniciar desde la subred o desde internet. Los recursos de la subred pública deben tener direcciones IP públicas. Para obtener más información, consulte Gateway de internet.
  • Gateway de servicios: para proporcionar a la subred privada acceso privado a los servicios de Oracle admitidos en la región. Las conexiones solo se pueden iniciar desde la subred.
  • Gateway de NAT: para proporcionar la subred privada acceso privado a los puntos finales públicos en internet. Las conexiones solo se pueden iniciar desde la subred. Para obtener más información, consulte Gateway de NAT.

Puede controlar el enrutamiento de la VCN en el nivel de subred, de modo que pueda especificar qué subredes de la VCN utilizan cada gateway. En el diagrama, la tabla de rutas de la subred pública (Callout 1) envía tráfico no local a través del gateway de Internet. La tabla de rutas de la subred privada (Callout 2) envía el tráfico destinado a los servicios de Oracle a través del gateway de servicios. Envía todo el tráfico restante al gateway de NAT.

Esta imagen muestra el diseño básico de una VCN con un gateway de servicios
Llamada 1: Tabla de rutas de subred pública
CIDR de destino Destino de Ruta
0.0.0.0/0 Gateway de internet
Llamada 1: tabla de rutas de subred privada
CIDR de destino Destino de Ruta
Servicios OSN en región Gateway de servicio
0.0.0.0/0 Gateway de NAT
Importante

Consulte este problema conocido para obtener información sobre la configuración de las reglas de rutas con el gateway de servicios como el destino en las tablas de rutas asociadas a subredes públicas.

Los recursos de un gateway de servicio se pueden utilizar en la propia VCN del gateway. Sin embargo, si la VCN intercambia tráfico con otra, los recursos de la otra VCN no pueden acceder al gateway de servicio a menos que se configure un gateway de servicio en ambas VCN. Puede configurar el tráfico destinado a Oracle Services Network que se origina en un radio para que se desplace a través de un dispositivo de software virtual de red (NVA) en el hub y, posteriormente, a través del gateway de servicio del hub. Consulte Using a Private IP as a Route Target y Private Access to Oracle Services para obtener más información.

Los recursos de la red local que están conectados a la VCN del gateway de servicio con FastConnect o VPN de sitio a sitio también pueden utilizar el gateway de servicio. Para obtener más información, consulte Acceso privado a los servicios de Oracle.

Tenga en cuenta que su red local también puede utilizar el intercambio de tráfico público de FastConnect para el acceso privado a los servicios públicos de Oracle. Esto significa que su red local podría tener varias rutas para acceder a los rangos de direcciones IP públicas de los servicios de Oracle. En ese caso, el dispositivo perimetral recibe un anuncio de ruta de direcciones IP públicas de los servicios de Oracle a través de varias rutas. Para obtener información importante sobre cómo configurar el dispositivo perimetral correctamente, consulte Detalles de enrutamiento para conexiones a la red local.

Una VCN solo puede tener un gateway de servicios. Para obtener más información sobre los límites, consulte la sección sobre Límites de servicio.

Para obtener instrucciones sobre la configuración de un gateway de servicio, consulte Configuración de un gateway de servicios en la consola.

Acerca de las etiquetas CIDR de servicio

Cada servicio de Oracle tiene un punto final público regional que utiliza direcciones IP públicas para el acceso. Cuando configura un gateway de servicios con acceso a un servicio Oracle, también puede configurar las reglas de la ruta de servicio de Networking y, opcionalmente, las reglas de seguridad que controlan el tráfico con el servicio. Esto significa que debe conocer las direcciones IP públicas del servicio para configurar esas reglas. Para que le resulte más fácil, el servicio de Networking utiliza etiquetas CIDR de servicio para representar todos los CIDR de servicios de Oracle para un determinado servicio de Oracle o un grupo de servicios de Oracle. Si los CIDR de un servicio cambian en el futuro, no tiene que ajustar las reglas de rutas ni las reglas de seguridad.

Ejemplos:

  • OCI PHX Object Storage es una etiqueta CIDR de servicio que representa todos los CIDR de Object Storage de la región oeste de EE. UU. (Phoenix).
  • Todos los servicios de PHX en Oracle Services Network son etiquetas CIDR de servicio que representan todos los CIDR de los servicios admitidos en Oracle Services Network de la región oeste de EE. UU. (Phoenix). Para obtener una lista de los servicios, consulte Gateway de servicios: servicios en la nube admitidos por Oracle Services Network.

Como puede ver, una etiqueta CIDR de servicio se puede asociar a un único servicio Oracle (por ejemplo: Object Storage) o a varios servicios de Oracle.

En este tema, se suele utilizar el término servicio en lugar del término más preciso etiqueta CIDR de servicio. Lo más importante que debe recordar es que al configurar un gateway de servicio (y las reglas de ruta relacionadas) especificará la etiqueta CIDR de servicio que le interesa. En la consola, se le presentan las etiquetas CIDR de servicio disponibles. Si utiliza la API de REST, la operación de ListServices devuelve los objetos Service disponibles. El atributo cidrBlock del objeto Service contiene la etiqueta CIDR del servicio (ejemplo: all-phx-services-in-oracle-services-network).

Etiquetas CIDR de Service disponibles

Estas son las etiquetas CIDR de servicio disponibles:

Importante

Consulte este problema conocido para obtener información sobre el acceso a los servicios YUM de Oracle a través del gateway de servicio.

Activación de etiqueta CIDR de servicio para un gateway de servicio

Para otorgar a la VCN el acceso a una etiqueta CIDR de servicio determinada, debe activar la etiqueta CIDR de servicio para el gateway de servicio de la VCN. Puede hacerlo al crear el gateway de servicio o justo después. También puede desactivar una etiqueta CIDR de servicio para el gateway de servicio en cualquier momento.

Importante

Puesto que Object Storage está cubierto por OCI <region> Object Storage y Todos los servicios de Oracle Services Network en <region>, un gateway de servicio solo puede utilizar una de esas etiquetas CIDR de servicio. De igual modo, una tabla de rutas puede tener una única regla para una de las etiquetas CIDR de servicio. No puede tener dos reglas independientes, sino una para cada etiqueta.

Si el gateway de servicio está configurado para utilizar Todos los servicios Oracle Services Network en <region>, la regla de ruta puede utilizar una etiqueta CIDR. Sin embargo, si el gateway de servicio está configurado para utilizar OCI <region> Object Storage y la regla de ruta utiliza Todos los servicios de Oracle Services Network en <region>, desaparecerá sin avisar el tráfico a los servicios de Oracle Services Network, excepto Object Storage. La consola prohíbe configurar el gateway de servicio y la tabla de rutas correspondiente de esa manera.

Si desea cambiar el gateway de servicio para utilizar una etiqueta CIDR diferente de servicio, consulte Cambio a una etiqueta CIDR de servicio diferente.

Bloqueo del tráfico a través de un gateway de servicio

Puede crear un gateway de servicios en el contexto de una VCN específica. Es decir, el gateway de servicios siempre se asocia a esa VCN. Sin embargo, puede bloquear o permitir el tráfico a través del gateway de servicio en cualquier momento. De forma predeterminada, el gateway permite el flujo de tráfico al crearse. El bloqueo del tráfico de gateway de servicio evita que este fluya, independientemente de qué etiquetas CIDR de servicio estén activadas o de que existan las reglas de ruta o de seguridad en la VCN. Para obtener instrucciones sobre cómo bloquear el tráfico, consulte Bloqueo o flujo tráfico para un gateway de servicio.

Reglas de ruta y reglas de seguridad para un gateway de servicio

Para que el tráfico se dirija desde una subred de VCN a un gateway de servicio, debe agregar una regla según corresponda a la tabla de rutas de la subred. La regla debe utilizar el gateway de servicio como destino. Para el destino, debe usar la etiqueta CIDR de servicio que está activada para el gateway de servicio. Esto significa que no tiene que conocer los CIDR públicos específicos, que podrían cambiar con el tiempo.

El tráfico que abandona la subred y que está destinado a los CIDR públicos del servicio se dirige al gateway de servicio. Si el tráfico de gateway de servicio está bloqueado, no fluye el tráfico a través de él, incluso si hay una regla de enrutamiento que coincida con el tráfico. Para obtener instrucciones sobre la configuración de reglas de ruta para un gateway de servicio, consulte Tarea 2: actualización del enrutamiento para la subred.

Las reglas de seguridad de la VCN también deben permitir el tráfico deseado. Si lo desea, puede utilizar una etiqueta CIDR de servicio en lugar de un CIDR para el origen o el destino del tráfico deseado. De nuevo, esto significa que no tiene que conocer los CIDR públicos específicos para el servicio. Para mayor comodidad, puede utilizar una etiqueta CIDR de servicio en las reglas de seguridad aunque la VCN no tenga un gateway de servicio, y el tráfico a los servicios utiliza un gateway de internet.

Puede usar reglas de seguridad con estado o sin estado que usan una etiqueta CIDR de servicio:

  • Para reglas con estado: cree una regla de salida con el servicio de destino = la etiqueta CIDR del servicio deseado. Al igual que con cualquier regla de seguridad, puede especificar otros elementos, como el protocolo IP y los puertos de origen y destino.
  • Para las reglas sin estado: debe tener las reglas de entrada y salida. Cree una regla de salida con el servicio de destino = la etiqueta CIDR del servicio de interés. También puede crear una regla de entrada con el servicio de origen = la etiqueta CIDR del servicio de interés. Al igual que con cualquier regla de seguridad, puede especificar otros elementos, como el protocolo IP y los puertos de origen y destino.

Para obtener instrucciones sobre la configuración de reglas de seguridad que utilizan una etiqueta CIDR de servicio, consulte Tarea 3: (opcional) actualizar reglas de seguridad.

Object Storage: permiso de acceso de bloque solo desde un rango CIDR o VCN particular

Si utiliza un gateway de servicios para acceder al Object Storage, puede crear una política de IAM que permita el acceso a un bloque de Object Storage determinado solo si se cumplen estos requisitos:

  • La solicitud pasa por un gateway de servicio.
  • La solicitud se origina desde una VCN particular especificada en la política.

Para ver ejemplos de este tipo concreto de política de IAM y las advertencias importantes sobre su uso, consulte Tarea 4: (opcional) actualizar las políticas de IAM para restringir el acceso a un bloque de Object Storage.

Como alternativa, puede utilizar el filtrado basado en IP de IAM para restringir el acceso a una dirección IP o a rangos de direcciones. Para obtener más información, consulte Gestión de orígenes de redes.

Supresión de un gateway de servicio

Para suprimir un gateway de servicio, no es necesario bloquear su tráfico, aunque no debe haber una tabla de rutas que la muestre como destino. Consulte Supresión de un gateway de servicio.

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso está requerido tanto si está utilizando la consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con su administrador qué tipo de acceso tiene y en qué compartimento  debe trabajar.

Para administradores: consulte Políticas de IAM para redes.

Configuración de un gateway de servicio en la consola

A continuación se muestra el proceso para configurar un gateway de servicios. Se asume que ya tiene una VCN con una subred (privada o pública).

Importante

El gateway de servicio permite acceder a servicios de Oracle admitidos en la región para proteger sus datos desde internet. Su aplicación puede requerir el acceso a los puntos finales o servicios no admitidos por el gateway de servicio (por ejemplo, para descargar actualizaciones o parches). Asegúrese de tener un gateway de NAT u otro acceso a internet si es necesario.
Tarea 1: creación del gateway de servicio
  1. En la consola, confirme que está viendo el compartimiento que contiene la VCN al que desea agregar el gateway de servicio. Para obtener más información sobre compartimientos y control de acceso, consulte Control de acceso.
  2. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  3. Haga clic en la VCN que le interesa.
  4. En la parte izquierda de la página, haga clic en Gateways de servicio.
  5. Haga clic en Crear gateway de servicio.
  6. Introduzca los siguientes valores:

    • Nombre: un nombre descriptivo para el gateway de servicio. No tiene que ser único. Evite introducir información confidencial.
    • Crear en compartimiento: el compartimiento en el que desea crear el gateway de servicio, si es diferente del compartimiento en el que está trabajando actualmente.
    • Servicios: si lo desea, puede seleccionar la etiqueta CIDR del servicio que le interesa. Si no selecciona una ahora, más adelante puede actualizar el gateway de servicio y agregar una etiqueta CIDR justo después. Sin al menos una etiqueta CIDR de servicio activada para la puerta de enlace, no hay flujos de tráfico a través de ella.
    • Asociación de tablas de rutas: (opción avanzada) puede asociar una tabla de rutas de VCN específica a este gateway. Si asocia una tabla de rutas, el gateway debe tener siempre una tabla de rutas asociada. Puede modificar las reglas de la tabla de rutas actual o sustituirla por otra tabla de rutas.
    • Etiquetas: (opción avanzada) si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si deben aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.
  7. Haga clic en Crear gateway de servicio.

    El gateway de servicio se crea y se muestra en la página Gateways de servicio en el compartimiento que haya seleccionado. El gateway permite el tráfico por defecto. En cualquier momento, puede bloquear o permitir el tráfico a través de él.

Tarea 2: actualizar el enrutamiento de la subred

Al configurar un gateway de servicio para una etiqueta CIDR de servicio determinada, también debe crear una regla de ruta que especifique dicha etiqueta como el destino y el destino como la puerta de enlace de servicio. Repita la misma operación para cada subred que necesite acceder al gateway.

  1. Determine qué subredes de la VCN necesitan acceder al gateway de servicios.
  2. Para cada una de esas subredes, actualice la tabla de rutas de la subred para incluir una nueva regla:

    1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
    2. Haga clic en la VCN que le interesa.
    3. En Recursos, haga clic en Tablas de rutas.
    4. Haga clic en la tabla de rutas que le interesa.
    5. Haga clic en Editar reglas de ruta.
    6. Haga clic en Agregar regla de ruta e introduzca los siguientes valores:

      • Tipo de destino: Gateway de servicio.
      • Servicio de destino: la etiqueta CIDR del servicio que está activada para la puerta de enlace.
      • Compartimiento: el compartimiento donde está ubicado el gateway de servicio.
      • Destino: el gateway de servicio.
      • Descripción: descripción opcional de la regla.
    7. Haga clic en Guardar.

Cualquier tráfico de subred con un destino que coincida con la regla se direcciona al gateway de servicio. Para obtener más información sobre la configuración de reglas de ruta, consulte Tablas de rutas de VCN.

Más adelante, si ya no necesita el gateway de servicios y desea suprimirlo, primero debe suprimir todas las reglas de rutas de la VCN que especifican el gateway de servicios como destino.

Consejo

Sin el enrutamiento necesario, el tráfico no fluye por el gateway de servicios. Si se produce una situación en la que desea detener temporalmente el flujo de tráfico por medio del gateway a un servicio concreto, basta con eliminar la regla de ruta que activa el tráfico. También puede desactivar esa etiqueta CIDR de servicio específica para el gateway. También puede bloquear todo el tráfico por completo a través del gateway de servicio. No tiene que suprimir el gateway.

Tarea 3: (opcional) actualizar reglas de seguridad

Al configurar un gateway de servicio para acceder a una etiqueta CIDR de servicio, también debe asegurarse de que las reglas de seguridad estén configuradas para permitir el tráfico deseado. Es posible que sus reglas de seguridad ya permitan este tráfico, por lo que esta tarea es opcional. En el siguiente procedimiento, se asume que está utilizando listas de seguridad para implementar las reglas de seguridad. El procedimiento describe cómo configurar una regla que utiliza la etiqueta CIDR de servicio. Repita la misma operación para cada subred que necesite acceder al gateway.

Consejo

Las listas de seguridad son una forma de controlar el tráfico que entra y sale de los recursos de la VCN. También puede utilizar grupos de seguridad de red, lo que le permite aplicar un conjunto de reglas de seguridad a un conjunto de recursos que tengan el mismo poste de seguridad.
  1. Determine qué subredes de la VCN se deben conectar a los servicios que le interesan.
  2. Actualice la lista de seguridad de cada una de esas subredes para incluir reglas y permitir el tráfico de salida o entrada deseado con el servicio concreto:

    1. En la consola, mientras visualiza la VCN que le interesa, haga clic en Listas de seguridad.
    2. Haga clic en la lista de seguridad en la que está interesado.
    3. Haga clic en Editar todas las reglas y cree una o más reglas, cada una para el tipo de tráfico específico que desea permitir. Observe el siguiente ejemplo para más detalles.

      Ejemplo

      Supongamos que desea agregar una regla con estado que permite el tráfico de egreso HTTPS (puerto TCP 443) de la subred a los repositorios de Oracle YUM y de Object Storage. A continuación, se muestran los pasos básicos que debe realizar al agregar una regla:

      1. En la sección Permitir reglas para salida, haga clic en +Agregar regla.
      2. Deje sin seleccionar la casilla Sin estado.
      3. Tipo de Destino: Servicio.
      4. Servicio de destino: la etiqueta CIDR del servicio que le interesa. Para acceder al Object Storage y a los repositorios de Oracle YUM, es Todos los servicios Oracle Services Network en <region>.
      5. Protocolo IP: Dejar como TCP.
      6. Rango de puertos de origen: déjelo como Todos.
      7. Rango de puertos de destino: Introducir 443.
      8. Descripción: descripción opcional de la regla.
    4. Haga clic en Guardar reglas de la lista de seguridad en la parte inferior del cuadro de diálogo.

Para obtener más información sobre la configuración de reglas de seguridad, consulte Reglas de seguridad.

Tarea 4: (opcional) actualización de políticas de IAM para restringir el acceso al bloque de Object Storage

Esta tarea solo es aplicable si está utilizando un gateway de servicios para acceder al Object Storage. Opcionalmente, puede crear un origen de red y escribir una política de IAM para permitir que solo los recursos de una VCN concreta escriban objetos en un bloque concreto.

Importante

Si utiliza una de las siguientes políticas de IAM para restringir el acceso a un bloque, no se podrá acceder desde la consola. Solo es accesible desde dentro de la VCN específica.

Además, las políticas de IAM permiten solicitudes a Object Storage solo si van desde la VCN especificada mediante el gateway de servicio. Si pasan por el gateway de internet, se deniegan las solicitudes.

  • Cree un origen de red para especificar la VCN permitida. Para obtener información sobre la creación de orígenes de red, consulte Gestión de orígenes de red.
  • Cree la política. El siguiente ejemplo permite que los recursos del grupo de ObjectBackup de ejemplo escriban objetos en un bloque existente denominado db-backup que reside en un compartimiento denominado ABC.
    Allow group ObjectBackup to read buckets in compartment ABC
    
    Allow group ObjectBackup to manage objects in compartment ABC where
       all {target.bucket.name='db-backup', 
            request.networkSource.name='<VCN_NETWORK_SOURCE',
            any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Puede especificar varias VCN creando y especificando varios orígenes de red en la política. El siguiente ejemplo tiene orígenes de red para dos VCN. Puede hacer esto si ha configurado la red local con acceso privado a los servicios de Oracle mediante la VCN y también ha configurado una o más VCN con sus propios gateways de servicio. Para obtener más información, consulte Visión general del acceso privado de la red local a los servicios de Oracle.

Allow group ObjectBackup to read buckets in compartment ABC

Allow group ObjectBackup to manage objects in compartment ABC where
   all {target.bucket.name='db-backup', 
        any {request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_1>', request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_2'},
        any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Gestión de un gateway de servicio en la consola

Cambio a una etiqueta CIDR de servicio diferente

Para evitar interrumpir las conexiones de Object Storage al cambiar entre la etiqueta CIDR del servicio de OCI <region> Object Storage y Todos los servicios Oracle Services Network en <region>, utilice el siguiente proceso:

  1. Actualizar el gateway de servicio: elimine la etiqueta CIDR del servicio existente y, a continuación, agregue la que desea cambiar. No puede activar ambas etiquetas para el gateway de servicio.
  2. Actualizar las reglas de ruta relevantes: para cada regla que utiliza el gateway de servicio como destino, cambie el servicio de destino de la regla de la etiqueta CIDR de servicio existente a la que desea cambiar.
  3. Actualizar las reglas de seguridad relevantes: cambie cualquier regla de seguridad que especifique la etiqueta CIDR del servicio existente para usar en su lugar la que desea cambiar. Las reglas pueden estar en grupos de seguridad de red o listas de seguridad.

Si, en cambio, suprime el gateway de servicio existente y crea uno nuevo, las conexiones de Object Storage se interrumpirán. Recuerde que antes de suprimir un gateway de servicio, debe suprimir cualquier regla de ruta que especifique ese gateway como destino.

Actualización de un gateway de servicio
  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. Haga clic en Gateways de servicio.
  4. Para el gateway de servicio en el que está interesado, haga clic en el menú Acciones y, a continuación, en Editar.
  5. Realice los cambios y haga clic en Guardar.
Bloqueo o flujo de tráfico de un gateway de servicios
  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. Haga clic en Gateways de servicio.
  4. Para el gateway de servicio en el que está interesado, haga clic en el menú Acciones y, a continuación, haga clic en Bloquear tráfico (o en Permitir tráfico si desea activar el tráfico para el gateway de servicio).

    Cuando el tráfico está bloqueado, el icono del gateway de servicio cambia a gris y la etiqueta cambia a BLOQUEADO. Cuando se permite el tráfico, el icono del gateway de servicio cambia a verde y la etiqueta cambia a DISPONIBLE.

Asociación de una tabla de rutas a un gateway de servicio existente

Realizará esta tarea solo si está implementando un caso de enrutamiento en tránsito avanzado.

Puede existir un gateway de servicio sin una tabla de rutas asociada a él. Sin embargo, después de asociar una tabla de rutas a un gateway de servicio, siempre debe haber una tabla de rutas asociada. Sin embargo, puede asociar una tabla de rutas diferente. Asimismo, puede editar las reglas de la tabla o suprimir algunas o todas las reglas.

Previo necesario: debe existir una tabla de rutas perteneciente a la VCN donde se encuentra el gateway de servicio.

  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Gateways de servicio.
  4. Para el gateway de servicio en el que está interesado, haga clic en el icono Acciones () y, a continuación, haga clic en:

    • Asociar a tabla de rutas: si el gateway de servicio todavía no tiene una tabla de rutas asociada.
    • Asociar tabla de rutas distinta: si va a cambiar la tabla de rutas asociada al gateway de servicio.
  5. Seleccione el compartimiento donde se encuentra la tabla de rutas y selecciónela.
  6. Haga clic en Asociar.
Supresión de un gateway de servicios

Previo necesario: el gateway de servicio no tiene que bloquear el tráfico, pero no debe haber una tabla de rutas que lo incluya como destino.

  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. Haga clic en Gateways de servicio.
  4. Para el gateway de servicio en el que está interesado, haga clic en el menú Acciones y, a continuación, en Suprimir.

  5. Confirme cuando se le solicite.
Gestión de etiquetas de un gateway de servicios
  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. Para el gateway de servicio en el que está interesado, haga clic en el menú Acciones y, a continuación, haga clic en Ver etiquetas. Desde allí puede ver las etiquetas existentes, editarlas y aplicar otras nuevas.

Para obtener más información, consulte Etiquetas de recursos.

Movimiento de un gateway de servicio a un compartimiento diferente

Puede mover un gateway de servicio de un compartimiento a otro. Cuando mueve un gateway de servicio a un nuevo compartimiento, las políticas inherentes se aplican inmediatamente.

  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Gateways de servicio.
  4. Busque el gateway de servicio en la lista, haga clic en el menú Acciones y, a continuación, haga clic en Mover recurso.
  5. Seleccione el compartimiento de destino en la lista.
  6. Haga clic en Mover recurso.

El gateway de servicio se mueve al nuevo compartimiento de inmediato. Según los permisos, puede seleccionar el compartimiento en el menú de la izquierda para ver el gateway de servicio.

Para obtener más información sobre el uso de compartimientos y políticas para controlar el acceso a su red en la nube, consulte Control de acceso. Para obtener información general sobre compartimientos, consulte Gestión de compartimientos.

Para gestionar tablas de rutas para un gateway de servicio
  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. Para el gateway de servicio en el que está interesado, haga clic en el menú Acciones y, a continuación, en Asociar tabla de rutas diferente. Desde allí puede cambiar la tabla de rutas asociada a este gateway o asociar una tabla de rutas a un gateway que aún no tenga una tabla de rutas asociada. Después de asociar una tabla de rutas a un gateway, este debe tener siempre una tabla de rutas asociada.

Para obtener más información, consulte Etiquetas de recursos.

Gestión de un gateway de servicio con la API

Para obtener más información sobre el uso de la API y las solicitudes de firma, consulte API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.

Precaución

Si alguien en su organización implementa un gateway de servicios, tenga en cuenta que puede que necesite actualizar cualquier código de cliente que funcione con las reglas de rutas de servicios de Networking y las listas de seguridad. Existen posibles cambios importantes en la API. Para obtener más información, consulte las notas de la versión del gateway de servicio.

Para gestionar los gateways de servicio, utilice estas operaciones:

Para gestionar tablas de rutas, consulte Tablas de rutas de VCN. Para gestionar listas de seguridad, consulte Listas de seguridad. Para gestionar grupos de seguridad de red, consulte Network Security Groups. Para gestionar las políticas de IAM, consulte Gestión de políticas.