Note:
- Este tutorial requiere acceso a Oracle Cloud. Para registrarse para obtener una cuenta gratuita, consulte Introducción a la cuenta gratuita de Oracle Cloud Infrastructure.
- Utiliza valores de ejemplo para credenciales, arrendamiento y compartimentos de Oracle Cloud Infrastructure. Al finalizar la práctica, sustituya estos valores por otros específicos de su entorno en la nube.
Adición de OCI Load Balancer y OCI WAF a un hub con arquitectura de enrutamiento de VCN de hub y Spoke
Introducción
Este tutorial le guiará a través de las tareas necesarias para desplegar y configurar un equilibrador de carga de Oracle Cloud Infrastructure (OCI) con OCI Web Application Firewall (WAF) en OCI y cómo funcionará en un entorno de enrutamiento de VCN de hub y Spoke.
La siguiente imagen ilustra los flujos de tráfico.
Conectividad externa a Spoke mediante el equilibrador de carga y WAF
Objetivos
- Configuraremos un equilibrador de carga de OCI con la política de OCI WAF en una arquitectura de red de hub y Spoke. Además, configuraremos los servidores web para supervisar y realizar un seguimiento de cómo el equilibrador de carga distribuye el tráfico.
Requisitos
-
Asegúrese de completar los siguientes tutoriales si desea volver a crear el contenido de este tutorial.
Tarea 1: Revisar el hub actual y la arquitectura de red Spoke
Para continuar con este tutorial debemos tener:
- 1 VCN de hub (con firewall, gateway de Internet, gateway de NAT y gateway de servicios)
- 3 x VCN de radio
- 1 entorno local conectado con una conexión VPN IPSec
En la VCN del hub, tenemos una instancia de Windows que podemos utilizar para conectar a las instancias de radio. Cada radio tendrá una instancia que se configurará como servidor web. Estas instancias se pueden utilizar como puntos finales para el equilibrador de carga que desplegaremos en este tutorial.
La siguiente imagen ilustra el punto de partida.
Tarea 2: Configurar el enrutamiento en el hub y la arquitectura de red Spoke entre OCI WAF y OCI Load Balancer, Hub Firewall y las instancias Spoke
La siguiente imagen ilustra la arquitectura de red de Hub y Spoke actual con todas las listas de seguridad y tablas de enrutamiento.
Antes de agregar el equilibrador de carga de OCI, queremos asegurarnos de que el tráfico procedente de la subred del equilibrador de carga de OCI se enrute al firewall del hub para que el tráfico se pueda inspeccionar en el firewall del hub antes de enviar el tráfico a las instancias radiales.
Si bien ya tenemos una regla de enrutamiento por defecto que hace esto, sigue siendo la mejor práctica agregar esta regla para llamarla explícitamente como lo hicimos con las otras redes también.
-
Agregue la regla de remisión.
-
Conéctese a la consola de OCI y vaya a Networking, Virtual Cloud Networks y Virtual Cloud Network.
-
Haga clic en Tablas de rutas.
- Seleccione la tabla de rutas VCN_HUB_RT_DRG_TRANSIT.
-
-
Haga clic en Agregar reglas de ruta.
- Tipo de objetivo: seleccione IP privada.
- Destination Type: introduzca CIDR Block.
- bloque de CIDR de destino: introduzca
0.0.0.0/0
. - Selección de destino: introduzca
172.16.0.20
, que es la dirección IP de nuestro firewall pfSense. - Haga clic en Agregar reglas de ruta.
-
Tenga en cuenta que la ruta
172.16.0.128/25
ahora se agrega a la tabla de rutas VCN_HUB_RT_DRG_TRANSIT.En la siguiente imagen se muestra la arquitectura de red de hub y Spoke actual con todas las listas de seguridad y tablas de enrutamiento con reglas de ruta.
Tarea 3: Instalación de un servidor web en los servidores backend
Instale un servidor web NGINX en todas las instancias de las VCN radiales. Para obtener más información sobre cómo instalar un servidor web NGINX en una instancia de Oracle Linux, consulte Tarea 6: Instalación de un servidor web en una instancia.
Tarea 4: Creación o modificación de una página web en los servidores backend
Por defecto, cada servidor web se configurará con una página web por defecto. Para realizar un seguimiento de dónde redirige el tráfico a OCI Load Balancer, se recomienda cambiar algo en la página web para saber a qué servidor se ha alcanzado.
Para ello, podemos cambiar el contenido del archivo index.html
de NGINX por defecto.
sudo nano /usr/share/nginx/html/index.html
Para la instancia A, cambie la cabecera:
<h1>Welcome to nginx! This is INSTANCE-A</h1>
Para la instancia-B, cambie la cabecera:
<h1>Welcome to nginx! This is INSTANCE-B</h1>
En Instance-C, cambie la cabecera:
<h1>Welcome to nginx! This is INSTANCE-C</h1>
Asegúrese de guardar los archivos index.html
después de cambiarlos.
Tarea 5: Instalación de un equilibrador de carga de OCI
Antes de crear el equilibrador de carga de OCI, primero debemos permitir la entrada del puerto 80 en la lista de seguridad de la VCN del hub. Todo el tráfico, incluido el tráfico que va desde el equilibrador de carga en la subred pública de la VCN del HUB, se enruta al firewall de HUB. Las instancias que el equilibrador de carga va a utilizar puntos finales reciben en el puerto TCP/80. Por este motivo, también necesitamos permitir la entrada del puerto TCP/80 en la VCN de hub para que la subred privada de la VCN de hub donde se enruta el tráfico también permita la comunicación con las VCN radiales.
-
Agregar regla de entrada.
- Haga clic en el menú de hamburguesa (≡) en la esquina superior izquierda.
- Haga clic en Redes.
- Haga clic en Redes virtuales en la nube.
- Asegúrese de que está en la sección Red virtual en la nube.
- Haga clic en la VCN de HUB-VCN.
-
Haga clic en Listas de seguridad.
-
Haga clic en Lista de seguridad por defecto para HUB-VCN.
- Asegúrese de que está en la sección Reglas de entrada.
- Haga clic en Agregar reglas de entrada.
- Agregue una regla de seguridad que permita TCP/80 desde el origen (
172.16.0.128/25
) hasta TODOS los destinos.
Nota:
-
Estamos utilizando la lista de seguridad por defecto que se aplica a la VCN de HUB y, por lo tanto, se aplica a todas las subredes independientes dentro de esta VCN de HUB.
-
Esto también significa que el tráfico que va desde la subred pública hacia la subred privada dentro de la VCN de HUB también está sujeto a esta lista de seguridad por defecto, ya que se aplica la misma lista de seguridad por defecto a ambas subredes.
-
Por este motivo, permitimos la entrada del puerto TCP/80 porque, si no lo hacemos, el equilibrador de carga no podrá comunicarse con los servidores backend como todos el tráfico se envía desde la subred pública a la subred privada porque estamos utilizando una arquitectura de HUB y radios con un firewall dentro de la subred privada de la VCN de HUB.
-
La siguiente imagen ilustra lo que ha creado hasta ahora con la regla de seguridad agregada.
-
Cree el equilibrador de carga.
- Haga clic en el menú de hamburguesa (≡) en la esquina superior izquierda.
- Haga clic en Redes.
- Haga clic en Equilibrador de carga.
-
Haga clic en Crear equilibrador de carga.
- Introduzca un nombre de equilibrador de carga.
- Seleccione Público para el Tipo de visibilidad.
- Seleccione Ephemeral IP address.
- Bajar.
-
Mantenga todo por defecto y desplácese hacia abajo.
- Seleccione la VCN a la que desea asociar el equilibrador de carga.
- Seleccione la subred donde desea asociar el equilibrador de carga.
- Haga clic en Siguiente.
- Seleccione Weighted Round Robin como la política de equilibrio de carga.
- Haga clic en Agregar backends.
- Seleccione todos los backends de las instancias en las VCN radiales.
- Haga clic en Add Selected backends.
- Revise los backends y cambie el puerto si es necesario. En este tutorial, todas las instancias backend reciben el puerto 80.
- Bajar.
-
Mantenga la política de comprobación del sistema por defecto y haga clic en Siguiente.
- Introduzca un nombre de listener.
- Seleccione HTTP como tipo de tráfico que gestiona el listener.
- Introduzca un puerto de listener para que sea 80.
- Haga clic en Siguiente.
- Seleccione un grupo de logs.
- Haga clic en Ejecutar.
-
Tenga en cuenta que el estado del equilibrador de carga es CREANDO.
- Tenga en cuenta que el estado del equilibrador de carga cambió de CREATING a ACTIVE.
- Tenga en cuenta que el estado general es pendiente.
- Tenga en cuenta que el estado de juegos de backends está pendiente.
- Tome nota de la dirección IP pública del equilibrador de carga.
- Después de unos minutos, el estado general es Correcto.
- Después de unos minutos, el backend define el estado es Aceptar.
-
Desplácese hacia abajo para ver más de cerca el juego de backends.
- Haga clic en Juegos de backends.
- Haga clic en el juego de backends disponible.
- Tenga en cuenta que el estado general es Correcto.
- Tenga en cuenta que el estado de juegos de backends es Aceptar.
- Bajar.
- Haga clic en Backends.
- Observe los backends en la sección Backends.
- Abra una nueva sesión del explorador.
- Introduzca la dirección IP pública del equilibrador de carga.
- Tenga en cuenta que el equilibrador de carga redirige el tráfico a la instancia de la VCN radial B.
- Refresque la página.
- Observe que el equilibrador de carga ahora redirige el tráfico a la instancia de la VCN radial C.
- Refresque la página.
- Tenga en cuenta que el equilibrador de carga ahora redirige el tráfico a la instancia de la VCN radial B de nuevo.
- Refresque la página.
- Tenga en cuenta que el equilibrador de carga ahora redirige el tráfico a la instancia de la VCN radial A.
-
La siguiente imagen ilustra lo que ha creado hasta ahora y cómo fluye el tráfico.
-
Asegúrese de que el firewall de hub permite el puerto TCP/80 del equilibrador de carga a los servidores backend. En este tutorial, permitimos todo el tráfico en el firewall del hub para fines de prueba.
Tarea 6: Instalación y configuración de OCI Web Application Firewall
-
Configure el firewall de aplicación web de OCI.
- Haga clic en el menú de hamburguesa (≡) en la esquina superior izquierda.
- Haga clic en Identidad y seguridad.
- Haga clic en Web Application Firewall.
-
Haga clic en Crear política de WAF.
- Introduzca un nombre para la política de WAF.
- Haga clic en Siguiente.
- Asegúrese de que Activar control de acceso esté activado.
-
Utilice un sitio web que sea capaz de recuperar su dirección IP de ISP. Es necesario para configurar el control de acceso en OCI Web Application Firewall. En este tutorial, estamos utilizando
www.ipchicken.com
para recuperar la dirección IP del ISP. -
En la sección Agregar regla de acceso, introduzca la siguiente información.
- Haga clic en Agregar regla de acceso.
- Introduzca un nombre para la regla de acceso.
- Tipo de condición: seleccione Dirección IP de origen.
- Operador: seleccione En lista.
- Rangos de IP de CIDR: introduzca la dirección IP de su propio ISP.
- Bajar.
- En Acción de regla, introduzca el nombre de la acción y seleccione Acción de código de respuesta 401 preconfigurada.
- Haga clic en Agregar regla de acceso.
- Tenga en cuenta que se ha agregado la regla de acceso.
- Haga clic en Siguiente.
-
Haga clic en Siguiente.
-
Haga clic en Siguiente.
- Seleccione el equilibrador de carga en el que desea configurar la política de WAF. Utilice el equilibrador de carga creado en la tarea 5.
- Haga clic en Siguiente.
-
Haga clic en Crear política de WAF.
-
Tenga en cuenta que se crea la política de WAF.
- Tenga en cuenta que el estado de la política de WAF es ACTIVE.
- Haga clic en Políticas para volver a la página de políticas de WAF.
-
Observe la política de WAF que acabamos de configurar.
Tarea 7: Prueba de OCI WAF, OCI Load Balancer Connectivity y WAF Security
-
Abra el explorador utilizado en la tarea 5 y refresque la página.
Nota: Si lo ha cerrado, introduzca la dirección IP pública del equilibrador de carga.
-
Tenga en cuenta que ya no se puede acceder a los servidores web porque los hemos bloqueado con la política de WAF.
Agradecimientos
- Autor: Iwan Hoogendoorn (especialista en red de OCI)
Más recursos de aprendizaje
Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de formación gratuita en el canal YouTube de Oracle Learning. Además, visita education.oracle.com/learning-explorer para convertirte en un Oracle Learning Explorer.
Para obtener documentación sobre el producto, visite Oracle Help Center.
Add OCI Load Balancer and OCI WAF to a Hub with Hub and Spoke VCN Routing Architecture
G12087-01
July 2024