Documentación de Oracle Cloud Infrastructure

Configuración de red para instancias de Exadata Cloud Infrastructure

En este tema se describe la configuración recomendada para la VCN y varios requisitos relacionados para la instancia de Exadata Cloud Infrastructure.

Antes de configurar una instancia de Exadata Cloud Infrastructure, debe configurar una red virtual en la nube (VCN) y otros componentes del servicio Networking.

Tema principal: Preparación para Exadata Cloud Infrastructure

VCN y subredes

Para iniciar una instancia de Exadata Cloud Infrastructure, debe tener una red virtual en la nube y al menos dos subredes:

Para iniciar una instancia de Exadata Cloud Infrastructure, debe tener una red virtual en la nube, al menos dos subredes y seleccionar el tipo de solucionador DNS que utilizará:

  • Una VCN en la región en la que desea la instancia de Exadata Cloud Infrastructure.
  • Al menos dos subredes en la VCN. Las dos subredes son:
    • Subred de cliente
    • Subred de copia de seguridad
  • Elija qué método de resolución de nombres DNS utilizará. Consulte Opciones de DNS en la VCN
Nota

Para instancias de Exadata en la nube que utilizan el Nuevo modelo de recursos de Exadata en la nube, la red se configura en el recurso de cluster de VM en la nube.

La subred de cliente se puede configurar con redes de pila doble IPv4 o IPv4/IPv6.

En general, Oracle recomienda el uso de subredes regionales que abarquen todos los dominios de disponibilidad de la región. Para obtener más información, consulte Visión general de las VCN y las subredes.

Creará tablas de rutas personalizadas para cada subred. También creará reglas de seguridad para controlar el tráfico hacia y desde la red de cliente y la red de copia de seguridad de los nodos de cálculo de Exadata (para el Recurso de cluster de VM en la nube, los nodos se denominan máquinas virtuales). A continuación se ofrece más información sobre estos elementos.

Temas relacionados

Tema principal: Configuración de red para instancias de Exadata Cloud Infrastructure

Opción 1: subred de cliente pública con gateway de internet

Esta opción puede ser útil al realizar un trabajo de desarrollo o de prueba de concepto.

Puede utilizar esta configuración en producción si desea utilizar un gateway de internet con la VCN o si tiene servicios que solo se ejecutan en una red pública y requieren acceso a la base de datos. Consulte el siguiente diagrama y descripción.

A continuación se incluye la descripción de network_exa_public_client.png
Descripción de la ilustración network_exa_public_client.png

Debe configurar los siguientes elementos:

Nota

Importante Consulte esta incidencia conocida para obtener información sobre la configuración de reglas de rutas con el gateway de servicio como destino en las tablas de rutas asociadas a subredes públicas.

Tema principal: VCN y subredes

Opción 2: subredes privadas

Oracle recomienda subredes privadas para un sistema de producción.

Ambas redes son privadas y no se puede acceder a ellas desde internet. Consulte el siguiente diagrama y descripción.

A continuación se incluye la descripción de network_exa_private_client.png
Descripción de la ilustración network_exa_private_client.png

Debe configurar los siguientes elementos:

  • Subredes:
    • Subred privada de cliente.
    • Subred de copia de seguridad privada.
  • Gateways para la VCN:
  • Tablas de rutas:
    • Tabla de rutas personalizadas para la subred de cliente privada con las siguientes reglas:
      • Una regla para el CIDR de la red local y target = DRG.
      • Una regla para la etiqueta CIDR de servicio denominada All <region> Services in Oracle Services Network y target = the service gateway. Oracle Services Network es una red conceptual de Oracle Cloud Infrastructure reservada para los servicios de Oracle. La regla permite a la subred de cliente acceder al repositorio regional de Oracle YUM para las actualizaciones del sistema operativo. Consulte también Opción 2: acceso del gateway de servicio a Object Storage y al repositorio de YUM.
      • Opcionalmente, una regla para 0.0.0.0/0 y target = NAT gateway.
    • Separe la tabla de rutas personalizadas para la subred de copia de seguridad privada con una regla:
      • La misma regla que para la subred de cliente para la etiqueta CIDR del servicio denominada All <region> Services in Oracle Services Network y target = the service gateway. Esta regla permite que la subred de copia de seguridad acceda a la instancia de Object Storage regional para copias de seguridad.
  • Reglas de seguridad para activar el tráfico deseado hacia y desde los nodos de Exadata. Consulte Reglas de seguridad para la instancia de Exadata Cloud Service.
  • Opcionalmente, agregue una ruta estática en los nodos de cálculo a otros servicios de OCI (para los clusters de VM, las máquinas virtuales) para activar el acceso, si solo se puede acceder a los servicios en la subred de copia de seguridad y no a través de la subred de cliente, por ejemplo, cuando se utiliza un gateway de NAT.

Tema principal: VCN y subredes

Requisitos para el espacio de direcciones IP

Las direcciones IP no se deben solapar, especialmente cuando los clusters de VM de Exadata Cloud Infrastructure (y, por lo tanto, las VCN) están en más de una región.

Si está configurando clusters de VM de Exadata Cloud Infrastructure (y, por lo tanto, VCN) en más de una región, asegúrese de que el espacio de dirección IP de las VCN no se superponga. Esto es importante si desea configurar la recuperación ante desastres con Oracle Data Guard.

Para Exadata X8 y versiones inferiores, las dos subredes que cree para los clusters de VM de Exadata Cloud Infrastructure no se deben superponer con 192.168.128.0/20.

Para Exadata X8M, X9M y X11M, las direcciones IP 100.64.0.0/10 están reservadas para la interconexión y no se deben utilizar para las redes virtuales en la nube de cliente o de copia de seguridad, ni para los clientes de base de datos.

En la siguiente tabla se muestran los tamaños mínimos de subred necesarios, según la infraestructura de VM de Exadata para cada tamaño de cluster de VM. Para la subred de cliente, cada nodo requiere cuatro direcciones IP y, además, se reservan tres direcciones para los nombres de acceso de cliente únicos (SCAN). Para la subred de copia de seguridad, cada nodo requiere tres direcciones.

Tamaño de rack Subred de cliente: N.º de direcciones IP necesarias Subred de cliente: tamaño mínimo Nota Subred de copia de seguridad: n.º de direcciones IP necesarias Subred de copia de seguridad: tamaño mínimo Nota
Sistema base o cuarto de rack por cluster de VM (4 direcciones * 2 nodos) + 3 para nombres SCAN = 11 /28 (16 direcciones IP) 3 direcciones * 2 nodos = 6 /28 (16 direcciones IP)
Medio rack por cluster de VM (4 * 4 nodos) + 3 = 19 /27 (32 direcciones IP) 3 * 4 nodos = 12 /28 (16 direcciones IP)
Rack completo por cluster de VM (4* 8 nodos) + 3 = 35 /26 (64 direcciones IP) 3 * 8 nodos = 24 /27 (32 direcciones IP)
Sistemas de infraestructura flexibles (X8M y superiores) por cluster de VM 4 direcciones por nodo de base de datos (mínimo de 2 nodos) + 3 para los nombres SCAN Tamaño mínimo determinado por el número total de direcciones IP necesarias para los nodos de base de datos 3 direcciones por nodo de base de datos (un mínimo de 2 nodos) Tamaño mínimo determinado por el número total de direcciones IP necesarias para los nodos de base de datos
Nota

El servicio Redes reserva tres direcciones IP en cada subred. La asignación de un espacio más grande para la subred que el mínimo necesario (por ejemplo, al menos /25 en lugar de /28) puede reducir el impacto relativo de esas direcciones reservadas en el espacio disponible de la subred.

Tema principal: VCN y subredes

Configuración de una ruta estática para acceder al almacén de objetos

Por defecto, todo el tráfico de una instancia de Exadata Cloud Infrastructure se enruta a través de la red de datos. Para enrutar el tráfico de copia de seguridad a la interfaz de copia de seguridad (BONDETH1), se debe configurar una ruta estática en cada uno de los nodos de cálculo del cluster.

Para obtener instrucciones, consulte Acceso del nodo a Object Storage: ruta estática.

Tema principal: VCN y subredes

Configuración de DNS para una instancia de Exadata Cloud Infrastructure

El DNS permite utilizar nombres de host en lugar de direcciones IP para comunicarse con una instancia de Exadata Cloud Infrastructure.

Puede utilizar el Solucionador de internet y VCN (funcionalidad de DNS integrada en la VCN), como se describe en DNS en su red virtual en la nube. Oracle recomienda utilizar un solucionador de VCN para la resolución de nombres de DNS para la subred de cliente. Este resuelve automáticamente los puntos finales de Swift necesarios para realizar copias de seguridad de bases de datos, aplicar parches y actualizar las herramientas en la nube en una instancia de Exadata.

Tema principal: VCN y subredes

DNS: nombres abreviados para las subredes, la VCN y la instancia de Exadata Cloud Infrastructure,

Para que los nodos se comuniquen, la VCN debe utilizar el solucionador de internet y VCN. El solucionador de Internet y VCN permite la asignación de nombre de host a los nodos y la resolución de DNS de esos nombres de host por parte de los recursos de la VCN.

El solucionador de Internet y VCN permite la resolución de asignación en rueda de los SCAN de la base de datos. También permite la resolución de los puntos finales de servicio importantes necesarios para realizar copias de seguridad de bases de datos, aplicar parches y actualizar las herramientas en la nube en una instancia de Exadata Cloud Infrastructure. El solucionador de internet y VCN es la opción por defecto de la VCN para el DNS de la VCN. Para obtener más información, consulte DNS en su red virtual en la nube y también Opciones de DHCP.

Al crear la VCN, las subredes y Exadata, se deben definir cuidadosamente los siguientes identificadores, que están relacionados con el DNS de la VCN:

  • Etiqueta de dominio de la VCN
  • Etiqueta de dominio de la subred
  • Prefijo de nombre de host para el recurso de cluster de VM en la nube o sistema de base de datos de la instancia de Exadata Cloud Infrastructure

Estos valores conforman el nombre de dominio completo (FQDN) del nodo:

<hostname_prefix>-######.<subnet_domain_label>.<vcn_domain_label>.oraclevcn.com

Por ejemplo:

exacs-abcde1.clientpvtad1.acmevcniad.oraclevcn.com

En este ejemplo, se asigna exacs como prefijo del nombre de host al crear el cluster de VM en la nube o el sistema de base de datos. El servicio de base de datos agrega automáticamente un guion y una cadena de cinco letras con el número de nodo al final. Por ejemplo:

  • Nodo 1: exacs-abcde1.clientpvtad1.acmevcniad.oraclevcn.com
  • Nodo 2: exacs-abcde2.clientpvtad1.acmevcniad.oraclevcn.com
  • Nodo 3: exacs-abcde3.clientpvtad1.acmevcniad.oraclevcn.com
  • Y así sucesivamente

Requisitos para el prefijo del nombre de host:

  • Máximo recomendado: 12 caracteres. Para obtener más información, consulte el ejemplo en la siguiente sección, "Requisitos para las etiquetas de la VCN y el dominio de subred".
  • No puede ser la cadena localhost

Requisitos para las etiquetas de la VCN y el dominio de subred:

  • Máximo recomendado: 14 caracteres cada una. El requisito real subyacente es de un total de 28 caracteres en ambas etiquetas de dominio (sin incluir el punto entre las etiquetas). Por ejemplo, las dos siguientes son aceptables: subnetad1.verylongvcnphx o verylongsubnetad1.vcnphx. Para que sea más sencillo, la recomendación es de 14 caracteres cada una.
  • Sin guiones ni guiones bajos.

  • Recomendado: incluya el nombre de región en la etiqueta de dominio de la VCN y el nombre del dominio de disponibilidad en la etiqueta de dominio de la subred.

  • En general, el nombre de dominio completo tiene un límite total máximo de 63 caracteres. Esta es una regla general segura:

    <12_chars_max>-######.<14_chars_max>.<14_chars_max>.oraclevcn.com

Los máximos anteriores no se aplican cuando crea la VCN y las subredes. Sin embargo, si las etiquetas exceden el máximo, fallará el despliegue de Exadata.

Tema principal: VCN y subredes

DNS: entre la red local y la VCN

Oracle recomienda utilizar un solucionador de DNS privado para activar el uso de nombres de host cuando los hosts locales y los recursos de VCN se comuniquen entre sí.

Consulte Solucionadores de DNS privados para obtener información sobre la creación y el uso de solucionadores privados. Para ver una arquitectura de referencia, consulte Uso de DNS privado en la VCN en Oracle Architecture Center.

Tema principal: VCN y subredes

Configuración de DNS privado

Requisitos necesarios para utilizar la DNS privada.

  • Se deben crear la vista privada y la zona privada antes de iniciar el aprovisionamiento del sistema de base de datos. Para obtener más información, consulte Solucionadores de DNS privados.
  • El reenvío a otro servidor DNS se debe configurar de antemano en la consola de DNS. Para ello, vaya al solucionador de la VCN, cree el punto final y, a continuación, las reglas. Para obtener más información, consulte DNS en su red virtual en la nube.
  • El nombre de la zona privada no puede tener más de 4 etiquetas. Por ejemplo, se permite a.b.c.d mientras que a.b.c.d.e no.
  • También es necesario agregar la vista privada al solucionador de la VCN. Para obtener más información, consulte Adición de una vista privada a un solucionador.
  • Al aprovisionar un cluster de VM de Exadata mediante la función de DNS privado, Exadata debe crear zonas de DNS inverso en el compartimento del cluster de VM de Exadata. Si el compartimento ha definido etiquetas o valores por defecto de etiquetas, se necesitan políticas adicionales relacionadas con la gestión de etiquetas. Para obtener información, consulte:

Tema principal: VCN y subredes

Acceso del nodo a Object Storage: ruta estática

Para poder realizar copias de seguridad de bases de datos y aplicar parches y actualizar herramientas en la nube en una instancia de Exadata Cloud Infrastructure, debe configurar el acceso a Oracle Cloud Infrastructure Object Storage. Con independencia de cómo configure la VCN con ese acceso (por ejemplo, con un gateway de servicio), también puede que necesite configurar una ruta estática a Object Storage en cada uno de los nodos de cálculo del cluster. Esto solo es necesario si no utiliza copias de seguridad automáticas. Si utiliza copias de seguridad personalizadas mediante las API de copia de seguridad, debe enrutar el tráfico destinado a Object Storage a través de la interfaz de copia de seguridad (BONDETH1). Esto no es necesario si utiliza las copias de seguridad automáticas creadas con la consola, las API o las CLI.

Atención:

Debe configurar una ruta estática para el acceso a Object Storage en cada nodo de cálculo de una instancia de Exadata Cloud Infrastructure si no crea copias de seguridad automáticas con la consola, las API o las CLI. De lo contrario, es posible que fallen los intentos de realizar copias de seguridad de bases de datos y aplicar parches o actualizar herramientas en el sistema.
Nota

Si activa la primera copia de seguridad automática para una base de datos, la configuración de la ruta estática se realizará automáticamente en el servicio.

Si desea aplicar parches al servicio antes de crear una base de datos, la ruta estática manual es necesaria para poder aplicar parches al directorio raíz de base de datos o a GI.

La ruta estática también puede ser necesaria para acceder a otros servicios (IAM, KMS) si no se puede acceder a ellos a través de la subred de cliente y solo la subred de copia de seguridad utiliza la configuración para acceder a todos los servicios de una región.

Asignaciones de IP de Object Storage

Oracle Cloud Infrastructure Object Storage utiliza el rango de IP de bloque de CIDR 134.70.0.0/16 para todas las regiones.

Desde el 1 de junio de 2018, Object Storage ya no soporta los siguientes rangos de IP interrumpidos. Oracle recomienda eliminar estas direcciones IP antiguas de las listas de control de acceso, las reglas de firewall y otras reglas después de adoptar los nuevos rangos de IP.

Los rangos de IP interrumpidos son:

  • Centro de Alemania (Fráncfort): 130.61.0.0/16
  • Sur de Reino Unido (Londres): 132.145.0.0/16
  • Este de EE. UU. (Ashburn): 129.213.0.0/16
  • Oeste de EE. UU. (Phoenix): 129.146.0.0/16

Configurar una ruta estática para el acceso a Object Storage

  1. Utilice SSH para acceder a un nodo de cálculo en la instancia de Exadata Cloud Infrastructure. 

    ssh -i <private_key_path> opc@<node_ip_address>

  2. Conéctese como opc y, a continuación, utilice sudo para el usuario root. Utilice sudo su - con un guion para llamar al perfil del usuario root. 

    
login as: opc
			
[opc@dbsys ~]$ sudo su -

  3. Identifique el gateway configurado para la interfaz BONDETH1. 

    [root@dbsys ~]# grep GATEWAY /etc/sysconfig/network-scripts/ifcfg-bondeth1 |awk -F"=" '{print $2}'


10.0.4.1

  4. Agregue la siguiente regla estática para BONDETH1 al archivo /etc/sysconfig/network-scripts/route-bondeth1: 

    10.0.X.0/XX dev bondeth1 table 211
default via <gateway> dev bondeth1 table 211
134.70.0.0/17 via <gateway_from_previous_step> dev bondeth1

  5. Reinicie la interfaz. 

    
[root@dbsys ~]# ifdown bondeth1; ifup bondeth1;

    Los cambios en el archivo del paso anterior se aplican inmediatamente después de ejecutarse los comandos ifdown e ifup.

  6. Repita los pasos anteriores en cada nodo de cálculo de la instancia de Exadata Cloud Infrastructure.

Gateway de servicio para la VCN

Asegúrese de que su VCN pueda acceder a Oracle Services Network, específicamente a Object Storage para copias de seguridad, repositorios de Oracle YUM para actualizaciones del sistema operativo, IAM (Identity and Access Management) y OCI Vault (integración de KMS).

Nota

Si la VCN no tiene conectividad con Oracle Services Network, es posible que falle el aprovisionamiento de nuevos clusters de VM y que también se vea afectada la capacidad de gestión de los clusters de VM existentes.

Según si se utiliza Option1: subred de cliente pública con gateway de Internet u Opción 2: subredes privadas, se podrá utilizar el gateway de servicio de diferentes formas. Consulte las dos secciones siguientes.

Temas relacionados

Tema principal: Configuración de red para instancias de Exadata Cloud Infrastructure

Opción 1: acceso de gateway de servicio al servicio de OCI para la subred de copia de seguridad

Configure la subred de copia de seguridad para utilizar el gateway de servicios para acceder solo a Object Storage.

Como recordatorio, este es el diagrama de la opción 1:

En esta imagen se muestra la configuración de red con una subred de cliente pública.

En general, debe:

  • Realizar las tareas de configuración de un gateway de servicio en una VCN y activar específicamente la etiqueta CIDR de servicio denominada OCI <region> Object Storage.
  • En la tarea para actualizar el enrutamiento, agregue una regla de ruta a la tabla de rutas personalizadas de la subred de copia de seguridad. Para el servicio de destino, utilice OCI <region> Object Storage y target = the service gateway.
  • En la tarea para actualizar las reglas de seguridad en la subred, realice la tarea en el grupo de seguridad de red (NSG) de la red de copia de seguridad o en la lista de seguridad personalizada. Configure una regla para seguridad con el servicio de destino definido en OCI <region> Object Storage. Consulte Regla necesaria específicamente para la red de copia de seguridad

Opción 2: Acceso del gateway de servicio al servicio OCI tanto para las subredes de cliente como de copia de seguridad

Puede configurar tanto la subredes del cliente y la de copias de seguridad para utilizar el gateway de servicio para acceder a Oracle Services Network, que incluye Object Storage para copias de seguridad, repositorios Oracle YUM para actualizaciones del sistema operativo, IAM (Gestión de identidad y acceso) y OCI Vault (Integración de KMS).

Nota

Consulte estas incidencias conocidas para obtener información sobre el acceso a los servicios de Oracle YUM a través del gateway de servicio.

Como recordatorio, este es el diagrama de la opción 2:

En esta imagen se muestra la configuración de red con una subred de cliente privada.

En general, debe:

  • Realice las tareas para configurar un gateway en una VCN y active específicamente la etiqueta CIDR del servicio denominada All <region> Services in Oracle Services Network.
  • En la tarea para actualizar el enrutamiento de cada subred, agregue una regla a la tabla de rutas personalizadas de cada subred. Para el servicio de destino, utilice All <region> Services in Oracle Services Network y target = the service gateway.
  • En la tarea para actualizar las reglas de seguridad de la subred, realice la tarea en el grupo de seguridad de red (NSG) de la red de copia de seguridad o en la lista de seguridad personalizada. Configure una regla para seguridad con el servicio de destino definido en OCI <region> Object Storage. Consulte Reglas de seguridad para Oracle Exadata Cloud Service Reglas de seguridad para Oracle Exadata Database Service on Dedicated Infrastructure. Tenga en cuenta que la subred de cliente ya tiene una regla de salida amplia que abarca el acceso a los repositorios de YUM.

Estos son algunos detalles adicionales sobre el uso del gateway de servicio para la opción 2:

  • La subred de cliente y la subred de copia de seguridad utilizan el gateway de servicio, pero para acceder a diferentes servicios. No puede activar la etiqueta OCI <region> Object Storage service CIDR ni la etiqueta All <region> Services in Oracle Services Network para el gateway de servicio. Para cubrir las necesidades de ambas subredes, debe activar All <region> Services in Oracle Services Network para el gateway de servicio. La VCN solo puede tener un único gateway de servicio.
  • Cualquier regla de ruta que tenga el destino en un gateway de servicio determinado debe utilizar una etiqueta CIDR de servicio activada y no un bloque de CIDR como destino de la regla. Esto significa que, para la opción 2, las tablas de rutas de ambas subredes deben utilizar All <region> Services in Oracle Services Network para sus reglas del Gateway de servicio.
  • A diferencia de las reglas de ruta, las reglas de seguridad pueden utilizar cualquier etiqueta CIDR de servicio (tanto si la VCN tiene un gateway de servicio como si no) o un bloque de CIDR como CIDR de origen o de destino para la regla. Por lo tanto, si bien la subred de copia de seguridad tiene una regla del direccionamiento que utiliza All <region> Services in Oracle Services Network, la subred puede tener una regla del orden que utilice OCI <region> Object Storage. Consulte Reglas de seguridad para la instancia de Exadata Cloud Service.

Reglas de seguridad para Oracle Exadata Database Service on Dedicated Infrastructure

En esta sección se enumeran las reglas de seguridad que se deben utilizar con Exadata Cloud Infrastructure.

Las reglas de seguridad controlan los tipos de tráfico permitidos para la red del cliente y la red de copia de seguridad de los nodos de cálculo de Exadata. Las reglas se dividen en tres secciones.

Hay diferentes formas de implantar estas reglas. Para obtener más información, consulte Formas de implantar las reglas de seguridad.
Nota

Para los sistemas X8M y X9M, Oracle recomienda que todos los puertos de la subred de cliente estén abiertos para el tráfico de entrada y salida. Se trata de un requisito para agregar servidores de base de datos adicionales al sistema.
Nota

Si tiene previsto utilizar el enrutamiento de paquetes de confianza cero para controlar las redes de los servicios de base de datos y tiene previsto configurar pares de Data Guard en la misma VCN, todos los clusters de VM de la configuración de VCN y Data Guard deben tener el mismo atributo de seguridad de ZPR. Los peers de Data Guard que estén en una VCN diferente o en una región diferente deben ser especificados por CIDR en la configuración de ZPR.

Reglas necesarias para la red del cliente y la red de copia de seguridad

Esta sección contiene varias reglas generales que permiten la conectividad esencial de los hosts de la VCN.

Si utiliza listas de seguridad para implantar sus reglas de seguridad, tenga en cuenta que las reglas siguientes están incluidas por defecto en la lista de seguridad por defecto. Actualice o reemplace la lista para satisfacer sus necesidades de seguridad específicas. Las dos reglas de ICMP (reglas generales de entrada 2 y 3) son necesarias para el funcionamiento correcto del tráfico de red en el entorno de Oracle Cloud Infrastructure. Ajuste la regla general de entrada 1 (la regla SSH) y la regla general de salida 1 para permitir el tráfico solo hacia y desde los hosts que necesitan comunicarse con los recursos de su VCN.

Regla de entrada general 1: permite el tráfico SSH desde cualquier lugar

  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de origen: CIDR
  • CIDR de origen: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • Protocolo IP: SSH
  • Rango de puertos de origen: Todo
  • Rango de puertos de destino: 22

Regla de entrada general 2: permite mensajes de fragmentación de detección de la MTU de ruta

Esta regla permite a los hosts de la VCN recibir mensajes de fragmentación de detección de la MTU de ruta. Sin acceso a estos mensajes, los hosts de la VCN pueden tener problemas para comunicarse con los hosts fuera de la VCN.

  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de origen: CIDR
  • CIDR de origen: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • Protocolo IP: ICMP
  • Tipo: 3
  • Código: 4

Regla de entrada general 3: permite mensajes de error de conectividad dentro de la VCN

Esta regla permite a los hosts de la VCN recibir mensajes de error de conectividad entre sí.

  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de origen: CIDR
  • Source CIDR: IPv4: your VCN's IPv4 CIDR, IPv6: your VCN's IPv6 CIDR
  • Protocolo IP: ICMP
  • Tipo: TODOS
  • Código: Todos

Regla de salida general 1: permite todo el tráfico de salida

  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de destino: CIDR
  • CIDR de destino: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • Protocolo IP: Todos

Reglas necesarias específicamente para la red del cliente

Las siguientes reglas de seguridad son importantes para la red de cliente.

Nota

  • Las reglas de entrada de cliente 1 y 2 solo cubren las conexiones iniciadas desde la subred de cliente. Si tiene un cliente que reside fuera de la VCN, Oracle recomienda configurar dos reglas similares adicionales que, por el contrario, tengan el CIDR de origen configurado en la dirección IP pública del cliente.
  • Las reglas de salida de cliente 1 y 2 de la configuración de red de cliente permiten el tráfico TCP e ICMP, lo que permite una comunicación segura de nodo a nodo dentro de la red de cliente. Estas reglas son críticas, ya que facilitan la conectividad TCP esencial entre los nodos. Si falla la conectividad TCP entre nodos, el aprovisionamiento del recurso de cluster de VM de Exadata Cloud no se completará correctamente.

Regla de entrada del cliente 1: permite el tráfico de ONS y FAN desde la subred del cliente

Se recomienda la primera regla, que permite a los servicios de notificación de Oracle (ONS) informar sobre los eventos de notificación rápida de aplicación (FAN).

  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de origen: CIDR
  • Source CIDR: IPv4: client subnet's IPv4 CIDR, IPv6: client subnet's IPv6 CIDR
  • Protocolo IP: TCP
  • Rango de puertos de origen: Todo
  • Rango de puertos de destino: 6200
  • Descripción: descripción opcional de la regla.

Regla de entrada del cliente 2: permite el tráfico SQL*NET desde la subred del cliente

Esta regla es para el tráfico SQL*NET y es necesaria en los siguientes casos:

  • Si necesita activar las conexiones de cliente a la base de datos
  • Si planea utilizar Oracle Data Guard.
  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de origen: CIDR
  • Source CIDR: IPv4: client subnet's IPv4 CIDR, IPv6: client subnet's IPv6 CIDR
  • Protocolo IP: TCP
  • Rango de puertos de origen: Todo
  • Rango de puertos de destino: 1521
  • Descripción: descripción opcional de la regla.

Regla de salida del cliente 1: permite el tráfico TCP SSH dentro de la subred del cliente

  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de destino: CIDR
  • CIDR de destino: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • Protocolo IP: TCP
  • Rango de puertos de origen: Todo
  • Rango de puertos de destino: 22
  • Descripción: descripción opcional de la regla.

Regla de salida de cliente 2: permite todo el tráfico de salida (permite las conexiones a los repositorios de Oracle YUM)

La regla de salida del cliente 2 es importante porque permite conexiones a los repositorios de Oracle YUM. Es redundante con la regla de salida general de este tema (y de la lista de seguridad por defecto). Es opcional, pero se recomienda si se cambia la regla de salida general (o la lista de seguridad por defecto) involuntariamente.

  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de destino: CIDR
  • CIDR de destino: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • Protocolo IP: Todos
  • Descripción: descripción opcional de la regla.

Regla necesaria específicamente para la red de copia de seguridad

La siguiente regla de seguridad es importante para la red de copia de seguridad porque permite que el sistema de base de datos se comunique con Object Storage a través del gateway de servicio (y, opcionalmente, con los repositorios de Oracle YUM si la red del cliente no tiene acceso a ellos). Es redundante con la regla de salida general de este tema (y de la lista de seguridad por defecto). Es opcional, pero se recomienda si se cambia la regla de salida general (o la lista de seguridad por defecto) involuntariamente.

Regla de salida de copia de seguridad: permite el acceso a Object Storage

  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de destino: Servicio

  • Servicio de destino:

    • Etiqueta CIDR de servicio denominada OCI <region> Object Storage
    • Si la red del cliente no tiene acceso a los repositorios de Oracle YUM, utilice la etiqueta CIDR de servicio denominada Todos los servicios de <region> en Oracle Services Network.
  • Protocolo IP: TCP
  • Rango de puertos de origen: Todo
  • Rango de puertos de destino: 443 (HTTPS)
  • Descripción: descripción opcional de la regla.

Tema principal: Configuración de red para instancias de Exadata Cloud Infrastructure

Reglas necesarias para la red del cliente y la red de copia de seguridad

Este tema contiene varias reglas generales que permiten la conectividad esencial de los hosts de la VCN.

Si utiliza listas de seguridad para implantar sus reglas de seguridad, tenga en cuenta que las reglas siguientes están incluidas por defecto en la lista de seguridad por defecto. Actualice o reemplace la lista para satisfacer sus necesidades de seguridad específicas. Las dos reglas de ICMP (reglas generales de entrada 2 y 3) son necesarias para el funcionamiento correcto del tráfico de red en el entorno de Oracle Cloud Infrastructure. Ajuste la regla general de entrada 1 (la regla SSH) y la regla general de salida 1 para permitir el tráfico solo hacia y desde los hosts que necesitan comunicarse con los recursos de su VCN.

Regla de entrada general 1: permite el tráfico SSH desde cualquier lugar
  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de origen: CIDR
  • CIDR de origen: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • Protocolo IP: SSH
  • Rango de puertos de origen: Todo
  • Rango de puertos de destino: 22
Regla de entrada general 2: permite mensajes de fragmentación de detección de la MTU de ruta

Esta regla permite a los hosts de la VCN recibir mensajes de fragmentación de detección de la MTU de ruta. Sin acceso a estos mensajes, los hosts de la VCN pueden tener problemas para comunicarse con los hosts fuera de la VCN.

  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de origen: CIDR
  • CIDR de origen: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • Protocolo IP: ICMP
  • Tipo: 3
  • Código: 4
Regla de entrada general 3: permite mensajes de error de conectividad dentro de la VCN

Esta regla permite a los hosts de la VCN recibir mensajes de error de conectividad entre sí.

  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de origen: CIDR
  • Source CIDR: IPv4: your VCN's IPv4 CIDR, IPv6: your VCN's IPv6 CIDR
  • Protocolo IP: ICMP
  • Tipo: todos
  • Código: Todos
Regla de salida general 1: permite todo el tráfico de salida
  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de destino: CIDR
  • CIDR de destino: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • Protocolo IP: Todos

Si el cliente activa la notificación de eventos de VM de invitado de plano de datos, la regla de salida por defecto es suficiente.

Reglas necesarias específicamente para la red del cliente

Las siguientes reglas de seguridad son importantes para la red de cliente.

Nota

  • Para sistemas X8M, Oracle recomienda que todos los puertos de la subred del cliente estén abiertos para el tráfico de entrada y salida. Se trata de un requisito para agregar servidores de base de datos adicionales al sistema.
  • Las reglas de entrada de cliente 1 y 2 solo cubren las conexiones iniciadas desde la subred de cliente. Si tiene un cliente que reside fuera de la VCN, Oracle recomienda configurar dos reglas similares adicionales que, por el contrario, tengan el CIDR de origen configurado en la dirección IP pública del cliente.
  • Las reglas de entrada de cliente 3 y 4 y las reglas de salida de cliente 1 y 2 permiten el tráfico TCP e ICMP dentro de la red de cliente y permiten que los nodos se comuniquen entre sí. Si la conectividad TCP falla en los nodos, el recurso de sistema de base de datos o de cluster de VM de Exadata no se podrá aprovisionar.

Tema principal: Reglas de seguridad para Oracle Exadata Database Service on Dedicated Infrastructure

Regla de entrada del cliente 1: permite el tráfico de ONS y FAN desde la subred del cliente

Se recomienda la primera regla, que permite a los servicios de notificación de Oracle (ONS) informar sobre los eventos de notificación rápida de aplicación (FAN).

  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de origen: CIDR
  • Source CIDR: IPv4: client subnet's IPv4 CIDR, IPv6: client subnet's IPv6 CIDR
  • Protocolo IP: TCP
  • Rango de puertos de origen: Todo
  • Rango de puertos de destino: 6200
  • Descripción: descripción opcional de la regla.
Regla de entrada del cliente 2: permite el tráfico SQL*NET desde la subred del cliente

Esta regla es para el tráfico SQL*NET y es necesaria en los siguientes casos:

  • Si necesita activar las conexiones de cliente a la base de datos
  • Si planea utilizar Oracle Data Guard.
  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de origen: CIDR
  • Source CIDR: IPv4: client subnet's IPv4 CIDR, IPv6: client subnet's IPv6 CIDR
  • Protocolo IP: TCP
  • Rango de puertos de origen: Todo
  • Rango de puertos de destino: 1521
  • Descripción: descripción opcional de la regla.
Regla de salida del cliente 1: permite todo el tráfico TCP dentro de la subred del cliente

Esta regla es para el tráfico SQL*NET, como se ha indicado.

  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de destino: CIDR
  • CIDR de destino: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • Protocolo IP: TCP
  • Rango de puertos de origen: Todo
  • Rango de puertos de destino: 22
  • Descripción: descripción opcional de la regla.
Regla de salida de cliente 2: permite todo el tráfico de salida (permite las conexiones a los repositorios de Oracle YUM)

La regla de salida del cliente 3 es importante porque permite las conexiones a los repositorios de Oracle YUM.

Es redundante con la regla de salida general 1: Permitir todo el tráfico de salida (y en la lista de seguridad por defecto). Es opcional, pero se recomienda si se cambia la regla de salida general (o la lista de seguridad por defecto) involuntariamente.

  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de destino: CIDR
  • CIDR de destino: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • Protocolo IP: Todos
  • Descripción: descripción opcional de la regla.

Regla necesaria específicamente para la red de copia de seguridad

La siguiente regla de seguridad es importante para la red de copia de seguridad porque permite que el sistema de base de datos se comunique con Object Storage a través del gateway de servicio (y, opcionalmente, con los repositorios de Oracle YUM si la red del cliente no tiene acceso a ellos).

Es redundante con la Regla de salida general 1: permite todo el tráfico de salida en (y en ). Es opcional, pero se recomienda si se cambia la regla de salida general (o la lista de seguridad por defecto) involuntariamente.

Regla de salida de copia de seguridad: permite el acceso a Object Storage
  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de destino: Servicio

  • Servicio de destino:

    • Etiqueta CIDR de servicio denominada OCI <region> Object Storage
    • Si la red del cliente no tiene acceso a los repositorios de Oracle YUM, utilice la etiqueta CIDR de servicio denominada Todos los servicios de <region> en Oracle Services Network.
  • Protocolo IP: TCP
  • Rango de puertos de origen: Todo
  • Rango de puertos de destino: 443 (HTTPS)
  • Descripción: descripción opcional de la regla.

Reglas necesarias para el servicio Events

La instancia informática debe tener una dirección IP pública o un gateway de servicio para poder enviar métricas de instancia informática al servicio Events.

Las reglas de salida por defecto son suficientes para permitir que la instancia informática envíe métricas de instancia informática al servicio Events.

Si la instancia no tiene una dirección IP pública, configure un gateway de servicio en la red virtual en la nube (VCN). El gateway de servicio permite que la instancia envíe métricas de instancia informática al servicio Events sin que el tráfico pase por internet. A continuación se incluyen unas notas especiales para configurar el gateway de servicio a fin de acceder al servicio Events:

  • Al crear el gateway de servicio, active la etiqueta de servicio denominada Todos los servicios de <region> en Oracle Services Network. Incluye el servicio Events.

  • Al configurar el enrutamiento para la subred que contiene la instancia, configure una regla de ruta con el Tipo de destino definido en Gateway de servicio y el Servicio de destino definido en Todos los servicios de <region> en Oracle Services Network.

    Para obtener instrucciones detalladas, consulte Acceso a servicios de Oracle: gateway de servicio.

Reglas necesarias para el servicio Monitoring

La instancia informática debe tener una dirección IP pública o un gateway de servicio para poder enviar métricas de instancia informática al servicio Monitoring.

Las reglas de salida por defecto son suficientes para permitir que la instancia informática envíe métricas de instancia informática al servicio Monitoring.

Si la instancia no tiene una dirección IP pública, configure un gateway de servicio en la red virtual en la nube (VCN). El gateway de servicio permite que la instancia envíe métricas de instancia informática al servicio Monitoring sin que el tráfico pase por internet. A continuación se muestran notas especiales para configurar el gateway de servicio para acceder al servicio Monitoring:

  • Al crear el gateway de servicio, active la etiqueta de servicio denominada Todos los servicios de <region> en Oracle Services Network. Incluye el servicio Monitoring.

  • Al configurar el enrutamiento para la subred que contiene la instancia, configure una regla de ruta con el Tipo de destino definido en Gateway de servicio y el Servicio de destino definido en Todos los servicios de <region> en Oracle Services Network.

    Para obtener instrucciones detalladas, consulte Acceso a servicios de Oracle: gateway de servicio.

Formas de implantar las reglas de seguridad

Descubra cómo implantar reglas de seguridad en la VCN mediante el servicio de red.

El servicio Networking ofrece dos formas de implantar reglas de seguridad en la VCN:

Para obtener una comparación de los dos métodos, consulte Comparación de listas de seguridad y grupos de seguridad de red.

Tema principal: Configuración de red para instancias de Exadata Cloud Infrastructure

Si utiliza grupos de seguridad de red

Si elige utilizar grupos de seguridad de red (NSG), este es el proceso recomendado:

  1. Cree un NSG para la red del cliente. Agregue las siguientes reglas de seguridad a ese NSG:

  2. Cree un NSG independiente para la red de copia de seguridad. Agregue las siguientes reglas de seguridad a ese NSG:

  3. Cuando el administrador de base de datos crea una instancia de Exadata Cloud Infrastructure, debe seleccionar varios componentes de red (por ejemplo, qué VCN y subredes se utilizarán):
    • Cuando selecciona la subred del cliente, también puede seleccionar el NSG o los NSG que se usarán. Asegúrese de seleccionar el NSG de la red del cliente.
    • Cuando selecciona la subred de copia de seguridad, también puede seleccionar el NSG o los NSG que se usarán. Asegúrese de seleccionar el NSG de la red de copia de seguridad.

En su lugar, podría crear un NSG independiente para las reglas generales. Posteriormente, cuando el administrador de la base de datos seleccione qué NSG usar para la red del cliente, asegúrese de que seleccione tanto el NSG general como el NSG de la red del cliente. De manera similar, para la red de copia de seguridad, debe seleccionar tanto el NSG general como el NSG de la red de copia de seguridad.

Si utiliza listas de seguridad

Si decide utilizar listas de seguridad, este es el proceso recomendado:

Si decide utilizar listas de seguridad, este es el proceso recomendado:

  1. Configure la subred del cliente para que utilice las reglas de seguridad necesarias:

    1. Cree una lista de seguridad personalizada para la subred del cliente y agregue las reglas que se muestran en Reglas necesarias específicamente para la red del cliente.

    2. Asocie las siguientes dos listas de seguridad a la subred del cliente:

  2. Configure la subred de copia de seguridad para que utilice las reglas de seguridad necesarias:

    1. Cree una lista de seguridad personalizada para la subred de copia de seguridad y agregue las reglas que se enumeran en Regla necesaria específicamente para la red de copia de seguridad.

    2. Asocie las siguientes dos listas de seguridad a la subred de copia de seguridad:

Más adelante, cuando el administrador de la base de datos cree la instancia de Exadata Cloud Service, deberá seleccionar varios componentes de red. Cuando seleccione la subred del cliente y la subred de copia de seguridad que usted ya ha creado y configurado, las reglas de seguridad se aplicarán automáticamente para los nodos creados en esas subredes.

ADVERTENCIA:

No elimine la regla de salida por defecto de la lista de seguridad por defecto. Si lo hace, asegúrese de incluir en su lugar la siguiente regla de salida de sustitución en la lista de seguridad de la subred del cliente:

  • Sin estado: No (todas las reglas deben tener un estado)
  • Tipo de destino: CIDR
  • CIDR de destino: 0.0.0.0/0
  • Protocolo IP: Todos

Requisitos de red para Oracle Database Autonomous Recovery Service

Oracle Database Autonomous Recovery Service requiere una subred del servicio de recuperación registrada dedicada a las operaciones de copia de seguridad y recuperación en la red virtual en la nube (VCN) de la base de datos.

Para utilizar Recovery Service para copias de seguridad, siga los pasos descritos en Configuración de Recovery Service.

Temas relacionados

Tema principal: Configuración de red para instancias de Exadata Cloud Infrastructure

Crear un gateway de servicio para el almacenamiento de objetos

En la consola de OCI, cree un gateway de servicio en Object Storage. El gateway de servicios es necesario para las actualizaciones de automatización y los metadatos de configuración.

  1. Abra el menú de navegación. Haga clic en Red y, a continuación, en Red virtual en la nube.
  2. Seleccione la VCN en la que se encuentran los servicios de base de datos de los que se va a realizar la copia de seguridad.
  3. En la página Detalles de red virtual en la nube resultante, en Recursos, haga clic en Gateways de servicio.
  4. Haga clic en Crear gateway de servicio y proporcione los siguientes detalles.
    1. Nombre: nombre descriptivo para el gateway de servicio. No tiene que ser único. Evite introducir información confidencial.
    2. Compartimento: compartimento en el que desea crear el gateway de servicio, si es diferente del compartimento en el que está trabajando actualmente.
    3. Servicios: seleccione la etiqueta CIDR del servicio, All <region> Services in Oracle Services Network, en la lista desplegable.
    4. Etiquetas: (opción avanzada) si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si deben aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.

  5. Haga clic en Crear gateway de servicio.

    Espere a que se cree la puerta de enlace antes de continuar con el paso siguiente.

  6. En Recursos, haga clic en Tablas de rutas.

    Asociación de tabla de rutas: puede asociar una tabla de rutas de VCN específica a este gateway. Si asocia una tabla de rutas, posteriormente el gateway debe tener siempre una tabla de rutas asociada. Puede modificar las reglas de la tabla de rutas actual o sustituirlas por otra tabla de rutas.

  7. Haga clic en el nombre de la tabla de rutas que está utilizando la subred para Recovery Service.

  8. En la página Detalles de tabla de rutas resultante, haga clic en Agregar reglas de ruta en la sección Reglas de ruta.

    Al configurar un gateway de servicio para una etiqueta CIDR de servicio determinada, también debe crear una regla de ruta que especifique dicha etiqueta como el destino y el destino como gateway de servicio. Haga esto para cada subred que necesite acceder al gateway.

  9. En el cuadro de diálogo Agregar reglas de ruta resultante, introduzca los siguientes detalles:
    1. Tipo de destino: gateway de servicio.
    2. Servicio de destino: etiqueta CIDR del servicio que está activada para la puerta de enlace. All <region> Services in Oracle Services Network
    3. Gateway de servicio de destino: seleccione el nombre que ha proporcionado en el paso 4.
    4. Descripción: descripción opcional de la regla.
  10. Haga clic en Agregar reglas de ruta.