Configuración de una URL personalizada mediante el servicio Oracle Web Application Firewall V2

Puede utilizar el servicio de firewall de aplicaciones web y el equilibrador de carga de Oracle V2 (WAF V2) para ayudarle a configurar el soporte para una URL personalizada para una instancia de Visual Builder.

Al configurar una URL personalizada para una instancia de Visual Builder (por ejemplo, https://<my-custom-url.com>/ic/builder/), puede acceder a la instancia directamente mediante la URL personalizada. Al publicar una aplicación a partir de la URL personalizada, la aplicación utilizará la URL personalizada (por ejemplo, https://<my-custom-url.com>/ic/builder/rt/).

También puede configurar una aplicación de Visual Builder para que utilice una URL personalizada, también denominada URL personalizada, de modo que los clientes puedan acceder a la aplicación utilizando solo la URL personalizada base (https://<my-custom-url.com>).

El servicio V2 de WAF permite definir una política que asignará un nombre de dominio personalizado al servicio WAF como front-end para el servicio de VB como servidor de origen. Para ello, utilizará un equilibrador de carga público para gestionar los certificados de su arrendamiento. Puede configurar el equilibrador de carga en el servicio de equilibrador de carga de Oracle.

Mediante el uso de WAF para asignar el nombre de DNS seleccionado a un servicio de VB, puede gestionar la asignación del nombre de DNS y cargar el certificado asociado y la clave privada usted mismo en lugar de configurar la instancia de VB para gestionarlos.

En estas instrucciones se supone que tiene acceso directo a una instancia de Visual Builder y a la consola de Oracle Cloud Infrastructure (OCI). Para obtener más información sobre el uso de su instancia con un WAF o un gateway de API, consulte:

Antes de configurar la URL personalizada

Antes de empezar a configurar la URL personalizada, necesitará conocer algunos detalles sobre su instancia y también debe tener en cuenta las limitaciones del uso de una URL personalizada para una instancia de Visual Builder.

Qué necesitará para configurar la URL personalizada:

Instancia de Visual Builder: tendrá que haber aprovisionado ya una instancia de Visual Builder (o Integration) en Oracle Cloud. La instancia debe ser una instancia gestionada por Oracle basada en PSM/OCI.
IP de equilibrador de carga público de instancia de VB: puede obtener la dirección IP del equilibrador de carga realizando una exploración en el nombre de host mediante la URL. Por ejemplo, para la dirección URL:
https://vbmyinst-vb-axdkj3wttbhm.builder.us-ashburn-1.ocp.oraclecloud.com/ic/builder/

Ejecute el siguiente comando desde el terminal para obtener la dirección IP necesaria para configurar backends:

dig https://vbmyinst-vb-axdkj3wttbhm.builder.us-ashburn-1.ocp.oraclecloud.com
Nombre de DNS: debe decidir qué nombre de DNS se utilizará para acceder al sistema y ese nombre debe estar en un dominio de DNS del que sea propietario.
Certificado SSL: debe tener un certificado SSL firmado por una CA con una clave privada para el nombre de DNS.

Limitaciones conocidas

Las URL personalizadas están sujetas a las siguientes limitaciones:

Solo se puede acceder a una aplicación web a la vez mediante el contexto raíz ('/') de la URL personalizada.

Creación de un equilibrador de carga y configuración de un nombre de host

Puede utilizar el servicio Oracle Load Balancer para crear un equilibrador de carga público para gestionar los certificados de su arrendamiento.

Un equilibrador de carga proporciona la distribución automatizada de tráfico desde un punto de entrada a los servidores a los que puede acceder desde su red virtual de nube. Para obtener más información sobre el equilibrador de carga de Oracle, consulte Visión general de Oracle Load Balancer y Creación de un equilibrador de carga.

Para crear un equilibrador de carga:

En la consola de OCI, haga clic en Menú de navegación , seleccione Red y, a continuación, seleccione Equilibrador de carga.

Descripción de la ilustración waf-load-console.png
Crear un nuevo equilibrador de carga:
1. En la página Equilibrios de carga, haga clic en Crear equilibrador de carga
2. Seleccione Load Balancer como tipo y, a continuación, haga clic en Crear equilibrador de carga para abrir la página Crear equilibrador de carga para definir los detalles del equilibrador de carga.
3. En la página Add Details, seleccione los valores por defecto para las unidades y opciones de red.
  
  En la sección Choose networking, debe seleccionar una red virtual en la nube y una subred, si aún no están seleccionadas.
  
  Descripción de la ilustración waf-load-choose-networking.png
  
  Haga clic en Siguiente.
4. En el panel Especificar política de comprobación del sistema de la página Seleccionar backends, seleccione TCP como protocolo y defina el puerto en 443. Haga clic en Siguiente.
  
  Descripción de la ilustración waf-load-health-check.png
5. En el panel Certificado SSL de la página Configurar listener, seleccione Certificado gestionado por equilibrador de carga en la lista desplegable Recurso de certificado.
6. Proporcione la cadena de certificados y la clave privada. Haga clic en Siguiente.
  
  Descripción de la ilustración waf-load-ssl-certificate.png
7. En la página Manage Logging, acepte la configuración por defecto. Haga clic en Ejecutar para crear el equilibrador de carga.
  
  Nota
  
  El aprovisionamiento del equilibrador de carga tardará unos minutos.
Una vez aprovisionado el equilibrador de carga, haga clic en el nombre del nuevo equilibrador de carga en la página Load Balancers para abrir su separador Details.
Abra el separador Nombres de host y, a continuación, haga clic en Crear nombre de host.
Introduzca un nombre y un nombre de host en la página Create hostname. Haga clic en Crear.

El nombre de host será el punto final personalizado.

Descripción de la ilustración waf-load-hostnames-tab.png
Abra el separador Listeners y edite el listener para agregar el nombre de host. Haga clic en Guardar cambios,

Descripción de la ilustración waf-load-edit-listener.png
Configure la red virtual en la nube (VCN) del equilibrador de carga:
1. Abra el separador Detalles del equilibrador de carga y, a continuación, haga clic en el enlace Red virtual en la nube (VCN) para abrir el separador Detalles de la VCN:
  
  Descripción de la ilustración waf-load-details-tab.png
2. Abra el separador Gateways de la VCN y, a continuación, haga clic en Crear gateway de Internet.
3. En la página Crear gateway de Internet, introduzca un nombre y, a continuación, haga clic en Crear gateway de Internet para volver al separador Gateways.
4. En el separador Gateways, haga clic en Crear gateway de NAT.
5. En la página Crear gateway de NAT, introduzca un nombre para el gateway y seleccione Dirección IP pública efímera. Haga clic en Crear gateway de NAT.
  
  Descripción de la ilustración waf-load-create-nat-gateway.png
6. Abra el separador Enrutamiento y, a continuación, haga clic en Crear tabla de rutas.
7. En la página Crear Tabla de Rutas, introduzca un nombre y, a continuación, haga clic en Crear Tabla de Rutas para volver al separador Direccionamiento.
8. Haga clic en la nueva tabla de rutas para abrir su página de detalles.
9. Abra el separador Reglas de ruta y, a continuación, haga clic en Agregar reglas de ruta.
10. En la página Agregar reglas de ruta, introduzca estos detalles para la regla de ruta del gateway de NAT:
  - Tipo de destino: gateway de NAT.
  - Bloque CIDR de destino: proporcione la IP del equilibrador de carga público de la instancia de Visual Builder (consulte la configuración anterior sobre cómo obtenerla). Si se trata de una única IP, agregue /32 para formar un único bloque CIDR de IP.
  - Compartimiento: déjelo tal cual.
  - Destino: seleccione el gateway de NAT que ha creado.
  - Descripción: descripción opcional de la regla.
  Descripción de la ilustración waf-load-add-route-rules.png
  
  Debe crear una regla de ruta de gateway de NAT para cada una de las IP del equilibrador de carga público de la instancia de Visual Builder. Para agregar una regla de ruta, haga clic en + Otra regla de ruta.
11. Haga clic en + Otra regla de ruta e introduzca estos detalles para la regla de ruta del gateway de Internet:
  - Tipo de destino: gateway de Internet.
  - Bloque de CIDR de Destino: 0.0.0.0/0
  - Compartimiento: déjelo tal cual.
  - Gateway de Internet de destino: seleccione el gateway de Internet que ha creado.
  - Descripción: descripción opcional de la regla.
  Haga clic en Agregar reglas de ruta.
12. Confirme que el estado de comprobación del sistema del conjunto de backends sea correcto.
Vuelva al separador Details del equilibrador de carga.
Configurar la subred del equilibrador de carga:
1. En el separador Detalles del equilibrador de carga, haga clic en el enlace Subred para abrir su página de detalles.
2. Abra el separador Seguridad de la subred y, a continuación, haga clic en la lista de seguridad por defecto de la tabla para abrir el panel Detalles.
  
  Descripción de la ilustración waf-load-subnet-security.png
3. Abra el separador Reglas de seguridad.
  
  Descripción de la ilustración waf-load-subnet-securityrules.png
4. Edite la regla para la entrada 0.0.0.0/0 en la tabla Reglas de entrada para cambiar el rango de puertos de destino a 443. Haga clic en Guardar cambios,
  
  Descripción de la ilustración waf-load-subnet-ingress.png
Defina la opción SSL para el backend:
1. En la página Backends, seleccione la opción SSL.
2. Seleccione la opción Certificado gestionado por equilibrador de carga.
3. Seleccione Certificado gestionado de equilibrador de carga y seleccione el certificado en la lista desplegable.
  
  Nota
  
  Si aparece un error de que falta un certificado de CA, cree un nuevo certificado gestionado por equilibrador de carga y proporcione el certificado del servidor y el certificado intermedio por separado en lugar de una cadena combinada.
Agregue un nuevo backend:
1. Abra el separador Juegos de backends y, a continuación, haga clic en el enlace de juego de backends de la tabla para abrir el separador Detalles.
2. Abra el separador Backends y, a continuación, haga clic en Agregar backend.
3. Seleccione la opción Direcciones IP y defina los siguientes detalles de backend:
  - Dirección IP: proporcione la dirección IP para el equilibrador de carga. Esta es la dirección IP que ha obtenido al utilizar el comando dig en el nombre de host de Visual Builder.
  - Puerto: establezca el puerto en 443.
  Descripción de la ilustración waf-load-add-backend.png
  
  Haga clic en Agregar.
(Opcional) Si desea restringir el acceso:
1. Abra el separador Políticas y, a continuación, haga clic en Crear política de enrutamiento.
2. En la página Crear política de enrutamiento, introduzca un nombre para la política de enrutamiento.
3. En el panel Conditions, configure la política mediante los siguientes valores:
  - Cuando se cumplan las siguientes condiciones: defínalo en If All Match
  - Tipo de condición: definir en Path
  - Operador: establecer en Is
  - Cadena URL: establecida en / .
  Descripción de la ilustración waf-load-create-routingpolicy.png
4. En el panel Acción, defina la acción "Enrutar a backend" seleccionando el juego de backends en la lista desplegable. Haga clic en Siguiente.
5. Defina el orden en el que se deben realizar las políticas, si es necesario. Haga clic en Crear política de enrutamiento para volver al separador Políticas.
6. En el separador Políticas, haga clic en Crear juego de reglas.
7. En la página Crear conjunto de reglas, introduzca un nombre para el conjunto de reglas.
8. Seleccione Especificar reglas de cabecera de solicitud y, a continuación, introduzca los detalles:
  - Acción: Add Request Header
  - Cabecera: Host
  - Valor: agregue su URL personalizada (por ejemplo: myhost.example.com)
  Descripción de la ilustración waf-load-create-ruleset.png
  
  Haga clic en Enviar para volver al separador Políticas.

Crear una política de WAF

Puede utilizar una política de WAF para configurar las reglas de acceso, las reglas de limitación de frecuencia y las reglas de protección para el servicio Web Application Firewall.

Al crear y configurar una política de WAF para la URL personalizada, deberá especificar el equilibrador de carga utilizado para la instancia de Visual Builder.

Para crear una política de WAF y especificar el equilibrador de carga:

Conéctese a la consola de Oracle Cloud Infrastructure y abra Políticas de WAF en Seguridad.
Seleccione el compartimento en el que desea crear la política de WAF y haga clic en Crear política de WAF.
Introduzca el nombre de la política en el cuadro de diálogo Crear política de WAF.
Acepte todos los demás valores predeterminados y, a continuación, haga clic en Siguiente hasta llegar al paso Seleccionar punto de aplicación.
En el paso Seleccionar punto de aplicación, seleccione el equilibrador de carga que ha creado y complete la configuración de WAF.
Haga clic en Crear política de WAF.

Ahora que la política se ha creado y la ha configurado para utilizar el equilibrador de carga, puede configurar las reglas de política. Puede editar la configuración de la política en cualquier momento. Al configurar la política, puede utilizar las acciones predefinidas o crear sus propias acciones personalizadas. Para obtener más información sobre las políticas de WAF, consulte Introducción a las políticas de Web Application Firewall.

Configurar el DNS

Registre o actualice el nombre de DNS personalizado con la dirección IP pública del equilibrador de carga.

En la configuración de DNS para el nombre que ha elegido para acceder a la instancia de servicio de VB, edite el registro A para que apunte a la dirección IP pública del equilibrador de carga. En la siguiente imagen, el valor del registro A se define en la dirección IP pública del equilibrador de carga 152.70.200.184:

A continuación se describe waf-configure-dns.png

Descripción de la ilustración waf-configure-dns.png

Nota

Puede encontrar la dirección IP pública del equilibrador de carga en el separador Información del equilibrador de carga de la página Equilibrador de carga:

A continuación se describe waf-load-ipaddress.png

Descripción de la ilustración waf-load-ipaddress.png

Documentación de Oracle Cloud Infrastructure