Documentación de Oracle Cloud Infrastructure

Activación de la comunicación de red

Se necesita una configuración de red específica para permitir la comunicación entre Ops Insights y las bases de datos de Oracle Cloud.

Debe activar la comunicación entre Ops Insights y la base de datos de Oracle Cloud agregando las reglas de seguridad de entrada y salida a un NSG o una lista de seguridad en la VCN en la que se pueda acceder a la base de datos de Oracle Cloud.

Antes de activar la comunicación entre Ops Insights y la base de datos de Oracle Cloud, debe:

  • Asegurarse de estar familiarizado con las reglas de seguridad. Para obtener más información, consulte Reglas de seguridad.
  • En función de si desea utilizar NSG o listas de seguridad para agregar las reglas de entrada y salida, debe tener los permisos necesarios y estar familiarizado con cómo agregar reglas de seguridad.
    Nota

    • Debe haber un NSG disponible para crear un punto final privado de Ops Insights. Para obtener más información, consulte Grupos de seguridad de red.
    • Se aplica la regla de lista de seguridad que permite el acceso a través del número de puerto de base de datos al NSG para la entrada dentro del bloque CIDR de la VCN o de la subred. Para obtener más información, consulte Listas de seguridad.
  • Anote las direcciones IP privadas y los detalles de puerto de la base de datos de Oracle Cloud y las direcciones IP privadas de Ops Insights. Estos son los detalles que puede tener que introducir al agregar reglas de seguridad y la siguiente información sobre dónde puede encontrarlas:
    • Para obtener información sobre los puertos de la base de datos de Oracle Cloud, consulte la sección Información de sistema de base de datos de la página Detalles del sistema de base de datos para bases de datos Oracle en sistemas de base de datos con hardware dedicado y de máquina virtual. Para bases de datos Oracle en Exadata Cloud Service, consulte los detalles de Red en la página Detalles de cluster de VM de Exadata.
    • Para conocer las direcciones IP privadas de la base de datos de Oracle Cloud, consulte la sección Nodos de la página Detalles del sistema de base de datos para bases de datos de instancia única en sistemas de base de datos con hardware dedicado y de máquina virtual. Para bases de datos RAC, utilice Dirección IP de SCAN, que está disponible en la página Detalles del sistema de base de datos para el sistema de base de datos de máquina virtual y en la página Detalles de cluster de VM de Exadata para Exadata Cloud Service.

Para que Ops Insights se comunique con la base de datos de Oracle Cloud, debe agregar reglas de seguridad de entrada y salida mediante grupos de seguridad de red (NSG) o listas de seguridad. En los siguientes ejemplos se muestra cómo activar la comunicación entre un punto final privado de Ops Insights y las bases de datos Oracle en un sistema de base de datos de máquina virtual mediante NSG y listas de seguridad.

Crear un NSG para activar la comunicación entre el punto final privado de Ops Insights y un sistema de base de datos de máquina virtual

En el siguiente ejemplo, se crea un NSG y se agrega a:

  • Un sistema de base de datos de máquina virtual
  • Un punto final privado de Ops Insights para bases de datos de Oracle Cloud de instancia única (que ya se hayan creado)

Al finalizar las tareas enumeradas en este ejemplo, el punto final privado de Ops Insights tendrá acceso a todas las bases de datos de instancia única de la VCN del sistema de base de datos de máquina virtual sin afectar a la arquitectura de subred de la VCN.

Para obtener información sobre la creación de un NSG en la VCN del sistema de base de datos de máquina virtual, consulte Creación de un grupo de seguridad de red.

Al crear el NSG, agregue las siguientes reglas de seguridad con estado. Estas reglas de seguridad se agregarán a la VCN del sistema de base de datos de máquina virtual:
Nota

El puerto de VCN del sistema de base de datos de máquina virtual está configurado por el usuario. Introduzca el número de puerto que ha configurado anteriormente.
  • Regla de entrada para la VCN del sistema de base de datos de máquina virtual: la VCN del sistema de base de datos de máquina virtual puede recibir tráfico entrante de la subred del punto final privado de Ops Insights (10.0.0.0/24) desde cualquier puerto.
  • Regla de salida para el punto final privado de Ops Insights: la subred del punto final privado de Ops Insights (desde cualquier puerto) puede enviar solicitudes a la VCN del sistema de base de datos de máquina virtual (10.0.0.0/16) en el puerto 1521.
Nota

Introduzca el puerto que ha configurado para la base de datos con TCPS activado si el puerto es diferente de 1521.

Reglas de seguridad en un NSG

Después de crear el NSG, debe agregarlo al sistema de base de datos de máquina virtual y al punto final privado de Ops Insights.

Para obtener información sobre cómo agregar el NSG al sistema de base de datos de máquina virtual, consulte Adición o eliminación de un recurso de un NSG.

Para agregar el NSG al punto final privado de Ops Insights, vaya a la página Administración de punto final privado de Ops Insights (Administración > Puntos finales privados) y haga clic en el punto final privado al que desea agregar el NSG. En la página Detalles del punto final privado, haga clic en Editar en Grupos de seguridad de red y agregue el NSG recién creado.

Agregar reglas de seguridad a una lista de seguridad para permitir la comunicación entre un punto final privado de Ops Insights y un sistema de base de datos de máquina virtual

En el siguiente ejemplo, se agregan reglas de seguridad con estado a una lista de seguridad existente en la VCN del sistema de base de datos de máquina virtual para permitir la comunicación entre un punto final privado de Ops Insights para bases de datos de Oracle Cloud de instancia única y todas las subredes de la VCN. Esto garantiza que el punto final privado de Ops Insights pueda acceder a todas las bases de datos de instancia única de la VCN.

Para obtener información sobre la actualización de una lista de seguridad existente, consulte Actualización de reglas en una lista de seguridad existente.

Agregue las siguientes reglas de seguridad con estado a la lista de seguridad:
Nota

El puerto de VCN del sistema de base de datos de máquina virtual está configurado por el usuario. Introduzca el número de puerto que ha configurado anteriormente.
  • Regla de entrada para la VCN del sistema de base de datos de máquina virtual: la VCN del sistema de base de datos de máquina virtual puede recibir tráfico entrante de la dirección IP privada de Ops Insights (10.0.0.6/32) desde cualquier puerto.
  • Regla de salida para el punto final privado de Ops Insights: la dirección IP privada de Ops Insights (desde cualquier puerto) puede enviar solicitudes a la VCN del sistema de base de datos de máquina virtual (10.0.0.0/16) en el puerto 1521.
Nota

Introduzca el puerto que ha configurado para la base de datos con TCPS activado si el puerto es diferente de 1521.

Reglas de seguridad de una lista de seguridad.

Obtención de valores de bloque de CIDR

Los valores de bloque CIDR utilizados para definir reglas serán específicos de su entorno y no de los que se muestran en los ejemplos anteriores. Puede obtener los valores de regla de entrada/salida de CIDR correctos para el entorno de Ops Insights de la siguiente forma:

  • Reglas de entrada

    La regla de entrada que debe crear depende de la subred especificada al crear el punto final privado. Puede encontrar el bloque CIDR en la página VCN/Subred. Ops Insights también proporciona un enlace práctico a la página VCN/Subred directamente desde la página Detalles de punto final privado.


    En el gráfico se muestra el enlace de la página VCN/Subred de la página Detalles de punto final privado.

  • Reglas de salida

    La regla de salida que debe crear depende de la VCN en la que residan las bases de datos de Oracle Cloud. Para buscar el bloque CIDR, vaya a la página de detalles de la base de datos, donde encontrará un enlace a la VCN asociada.


    En el gráfico se muestra la página de detalles de la base de datos.


    En el gráfico se muestra la página de detalles de la VCN.

    Nota

    Debe escribir la regla utilizando todo el bloque CIDR para que el punto final privado se pueda utilizar para todas las bases de datos de la VCN.

Permisos de activación de TCPS

Si opta por utilizar TCP/IP con protocolo de Seguridad de Capa de Transporte (TCPS) para conectarse de forma segura a la base de datos Oracle Cloud, debe introducir el número de puerto y cargar la cartera de la base de datos al activar Database Management.

Las credenciales de autenticación y firma, incluidas las claves privadas, los certificados y los certificados de confianza utilizados por la Seguridad de Capa de Transporte (TLS) se almacenan en una cartera. Esta cartera debe guardarse como un secreto con una clave de cifrado en el servicio Vault. Los formatos de cartera de base de datos soportados son:
  • Java Keystore (JKS): para guardar una cartera de almacén de claves Java como secreto, debe introducir la contraseña del almacén de claves, el contenido del almacén de claves (archivo .JKS), la contraseña del almacén de confianza, el contenido del almacén de confianza (archivo .JKS) y el nombre distintivo del certificado (DN) para la cartera.
  • Public-Key Cryptography Standards (PKCS) # 12: para guardar una cartera PKCS#12 como secreto, debe introducir la contraseña de la cartera, el contenido de la cartera ( archivo.p12) y el DN de certificado para la cartera.

Para obtener información sobre cómo configurar la autenticación de TLS, consulte Configuración de Autenticación de Seguridad de Capa de Transporte.