Note:

• Este tutorial requiere acceso a Oracle Cloud. Para registrarse para obtener una cuenta gratuita, consulte Introducción a la cuenta gratuita de Oracle Cloud Infrastructure.
• Utiliza valores de ejemplo para credenciales, arrendamiento y compartimentos de Oracle Cloud Infrastructure. Al finalizar la práctica, sustituya estos valores por otros específicos de su entorno en la nube.

Configuración del enrutamiento por recurso en Oracle Cloud Infrastructure

Introducción

El enrutamiento por recurso hace referencia a la capacidad de definir reglas de enrutamiento directamente en una VNIC específica o una dirección IP individual asociada con esa tarjeta de interfaz de red virtual (VNIC). Esto ofrece un control de enrutamiento mejorado adaptado a cada recurso de una sola subred, en caso de que tengan requisitos diferentes, en lugar de depender únicamente de la tabla de rutas de nivel de subred. Esto permite a las organizaciones optimizar el tráfico de red y garantizar un mejor rendimiento mediante el enrutamiento de datos al recurso de destino adecuado en función del origen.

Con el enrutamiento por recurso, los usuarios de Oracle Cloud Infrastructure (OCI) pueden configurar políticas de enrutamiento que se aplican a recursos individuales, lo que garantiza que el tráfico se dirija de forma que soporte de forma óptima la arquitectura de la aplicación. Mejora el control de red, lo que facilita la gestión de entornos complejos en la nube. Este método de enrutamiento ayuda a mejorar el flujo de tráfico al definir cómo se debe enrutar el tráfico a recursos específicos.

Objetivos

En este tutorial, proporcionaremos una comprensión completa del enrutamiento por recurso en OCI.

• Descripción del concepto de enrutamiento por recurso: descubra cómo se pueden aplicar políticas de enrutamiento a recursos de OCI específicos para mejorar la gestión del tráfico y la optimización del rendimiento.

• Configurar reglas de enrutamiento: obtenga experiencia práctica en la creación y configuración de reglas de enrutamiento por recurso en OCI para dirigir el tráfico de red de forma eficaz a diferentes recursos según la VNIC de origen.

Requisitos

• Acceso a un arrendamiento de OCI y permisos para gestionar los servicios de red, recursos informáticos y almacenamiento necesarios.

• Conocimientos básicos de enrutamiento y seguridad de red de OCI y sus funcionalidades: red virtual en la nube (VCN), tabla de rutas, lista de seguridad y servicio Bastion. Además, será útil contar con algunos conocimientos sobre políticas y grupos dinámicos de Oracle Cloud Infrastructure Identity and Access Management (OCI IAM).

• Revise los siguientes documentos para obtener una sólida comprensión del enrutamiento de OCI, con un enfoque en el enrutamiento por recurso. Esto proporcionará un contexto valioso antes de pasar a la aplicación práctica.

  • Tablas de rutas de VCN.
  • Presentamos el enrutamiento por recurso para OCI Networking.
  • Mejora del control de tráfico con enrutamiento basado en origen en OCI.

Nota: Cada ejemplo se prepara independientemente del otro. Puede trabajar en ellos en cualquier orden.

Ejemplo 1: inspección del tráfico de Internet para una sola máquina virtual (VM) a través de OCI Network Firewall

Objetivos de ejemplo:

En este ejemplo, nos centramos en enrutar el tráfico saliente de Internet de una máquina virtual específica a través de un firewall de red de OCI para inspeccionarlo y protegerlo antes de que llegue al gateway de NAT, y omitir el firewall de la segunda máquina virtual en la misma subred. Sin el enrutamiento por recurso, tendrá que colocar cada instancia en una subred diferente para lograr este escenario.

Requisitos previos de ejemplo:

Configure algunos componentes esenciales para alinearse con este diseño. Básicamente se trata de dos instancias informáticas en una subred privada, además de un firewall de red en una subred independiente en la misma VCN.

• Cree una red virtual en la nube (por ejemplo, MyVCN (192.168.0.0/16)). Para obtener más información, consulte Creación de una VCN.

• Cree dos subredes privadas. Para obtener más información, consulte Creación de una subred.

  • Application-Private-Subnet (192.168.0.0/24): en este tutorial, asignamos la tabla de rutas y la lista de seguridad por defecto a la subred.
  • Firewall-Private-Subnet (192.168.1.0/24).

• Cree un gateway de NAT en una VCN. Un gateway de NAT permite que los recursos en la nube sin direcciones IP públicas accedan a Internet, proporcionando solo conectividad saliente sin exponer esos recursos a conexiones de Internet entrantes. Para obtener más información, consulte Creación de un gateway de NAT.

• Cree dos instancias informáticas Linux-VM-1 y Linux-VM-2. Para obtener más información, consulte Tarea 2: aprovisionamiento de una instancia informática de OCI. Tenga en cuenta los siguientes puntos:

  • Nombre de cada instancia de OCI Compute.
  • Utilizar Oracle Linux como sistema operativo (SO).
  • Coloque ambas instancias en Application-Private-Subnet y asigne las IP manualmente según el diseño.
  • Active el plugin de OCI Bastion.

• Cree un servicio OCI Bastion y una sesión, lo necesitará para acceder de forma segura a las instancias, ya que residen en una subred privada y, a continuación, realice la prueba al final de la configuración. Tenga en cuenta las diferencias, como la red de destino y la instancia, para adaptarse a los componentes que ha creado para este tutorial. Para obtener más información, consulte Tarea 6.1: acceso a la instancia informática FE-VM mediante Bastion y prueba.

• Aprovisione una solución de firewall que puede ser:

  • Un firewall de OCI (lo estamos utilizando en el tutorial).
  • Una instancia de firewall de terceros (FortiGate, Palo Alto, etc.). Otro buen ejemplo es el firewall pfSense. Para realizar la instalación, consulte Tarea 3: Instalación y configuración del firewall pfSense.
  • Cualquier instancia de firewall basada en Linux.

Tarea 1: Preparación de OCI Network Firewall para inspeccionar el tráfico de Linux-VM-2 a Internet

• Con la lista de seguridad por defecto, permitiremos que todo el tráfico pase por el firewall para una evaluación exhaustiva, lo que garantiza un control total sobre él con el firewall en lugar de reglas de seguridad de OCI, lo que incluye permitir, denegar o supervisar a través de Identity Services.
• Tabla de rutas por defecto para MyVCN: vacía, no utilizada.
• Con la tabla de rutas de subred de firewall, enrutaremos todo el tráfico a Internet (unidireccional) a través del gateway de NAT.
• Con la tabla de rutas NAT, para enrutar el tráfico de respuesta procedente de Internet al firewall que se inspeccionará antes de enviarlo de vuelta al origen (Linux-VM-2).

Tarea 1.1: Configuración de enrutamiento y seguridad de subred de firewall

• Conéctese a la consola de OCI y vaya a la página Detalles de red virtual en la nube.

  

• Desplazar hacia abajo.

  1. Haga clic en Listas de seguridad.
  2. Haga clic en la lista de seguridad por defecto.

  

  1. Permitir todo el tráfico de entrada.
  2. Permitir todo el tráfico de salida.

  

  1. Vaya a la página Detalles de red virtual en la nube.
  2. Desplazar hacia abajo.
  3. Haga clic en Tablas de rutas.
  4. Haga clic en Crear tabla de rutas.

  

  1. Introduzca un nombre para la tabla de rutas.
  2. Haga clic en + Otra regla de rutas.

  

• En Regla, introduzca la siguiente información.

  1. En Tipo de destino, seleccione Gateway de NAT.
  2. En bloque de CIDR de destino, introduzca 0.0.0.0/0.
  3. En Gateway de NAT de destino, seleccione el gateway de NAT creado en los requisitos.
  4. Haga clic en Crear.

  

• Firewall Subnet Route Table se ha creado correctamente.

  

• Ahora, asignemos la tabla de rutas a la subred del firewall. Vaya a la página Detalles de red virtual en la nube.

  1. Haga clic en Subnets.
  2. Haga clic en Firewall-Private-Subnet.

  

• Haga clic en Editar.

  

  1. Utilice la tabla de rutas creada anteriormente.
  2. Haga clic en Guardar cambios.

  

• La tabla de rutas se ha cambiado correctamente.

  

En esta tarea, hemos creado y asignado una tabla de rutas de nivel de subred, lo que significa que todos los recursos desplegados en esta subred se regirán por las reglas de enrutamiento definidas.

Tarea 1.2: Creación y asignación de tabla de rutas de gateway de NAT

• Asegúrese de crear un gateway de NAT antes de continuar. Vaya a la página Detalles de red virtual en la nube.

  1. Haga clic en Tablas de rutas.
  2. Haga clic en Crear tabla de rutas.

  

  1. Introduzca un nombre para la tabla de rutas.
  2. Haga clic en +Another Rule.

  

• En Regla, introduzca la siguiente información.

  1. En Tipo de objetivo, seleccione IP privada.
  2. En Tipo de destino, introduzca 192.168.0.0/24, que es el CIDR de subred privada de aplicación, que tiene la VM de origen.
  3. En Selección de destino, introduzca la IP privada del firewall 192.168.1.100.
  4. Haga clic en Crear.

  

• NAT Route Table se ha creado correctamente.

  

• Asignemos la tabla de rutas al gateway de NAT. Vaya a la página Detalles de red virtual en la nube.

  1. Haga clic en NAT Gateways.
  2. Haga clic en los tres puntos del gateway de la derecha.
  3. Haga clic en Asociar tabla de rutas.

  

  1. Seleccione Tabla de rutas NAT.
  2. Haga clic en Asociar tabla de rutas.

  

• La tabla de rutas se ha asociado correctamente.

  

Tarea 1.3: Activación de logs de firewall y comprobación de la política

Nota: En este tutorial, utilizamos OCI Network Firewall, pero puede replicar el mismo escenario con cualquier firewall de terceros.

• Vaya a la página Detalles de Network Firewall.

  

• Desplazar hacia abajo.

  1. Haga clic en Logs.
  2. Active Log de tráfico (el log de tráfico proporciona detalles sobre el tráfico que pasa por el firewall).

  

  1. Seleccione Grupo de logs, si no tiene ninguno, cree uno.
  2. Introduzca Log name.
  3. Haga clic en Activar log.

  

  1. El log de tráfico se ha activado correctamente.
  2. Haga clic en la política de firewall de red asociada.

  

• Estamos utilizando la política network_firewall_policy_v1.

  

• Desplácese hacia abajo y compruebe la configuración existente de la política.

  1. Haga clic en Reglas de seguridad.
  2. Haga clic en los tres puntos situados a la derecha de la regla IPS_VM2_Internet.
  3. Haga clic en Ver detalles.

  

• Observe los detalles de la regla de seguridad utilizada.

  1. Cualquier tráfico que venga de Linux-VM-2 a cualquier lugar, independientemente del protocolo o puerto utilizado.
  2. Utilice Prevención de intrusiones como Acción de regla para supervisar el tráfico en busca de actividad maliciosa. Registre información, informe sobre la actividad o bloquéela.

  

Tarea 2: Creación de tablas de rutas personalizadas

• Vaya a la página Detalles de red virtual en la nube.

  

• Desplazar hacia abajo.

  1. Haga clic en Tablas de rutas.
  2. Tenga en cuenta que tenemos una tabla de rutas por defecto que se crea automáticamente con la VCN. Esta tabla se asigna a Application-Private-Subnet y todas las máquinas virtuales de la subred la utilizarán (en este ejemplo, esta tabla de rutas está vacía).
  3. Sin embargo, para este tutorial, vamos a crear tablas de rutas personalizadas y asignar cada una de ellas a la VNIC de su VM respectiva. Este método ofrece un control más granular sobre el enrutamiento, evitando la dependencia en la tabla de rutas de subred. Haga clic en Crear tabla de rutas.

  

• Cree la segunda tabla (Custom Route Table 1), que se asignará a Linux-VM-1 para enrutar el tráfico al gateway de NAT directamente sin inspeccionar el tráfico a través del firewall.

  1. Introduzca un nombre para la tabla de rutas.
  2. Haga clic en +Another Rule.

  

• En Regla, introduzca la siguiente información.

  1. En Tipo de destino, seleccione Gateway de NAT.
  2. En bloque de CIDR de destino, introduzca 0.0.0.0/0.
  3. En Gateway de NAT de destino, seleccione el gateway de NAT creado en los requisitos
  4. Haga clic en Crear.

  

• Custom Route Table 1 se ha creado correctamente.

  

• Para crear la segunda tabla (Custom Route Table 2), haga clic en Crear tabla de rutas.

  

• Custom Route Table 2 se asignará a Linux-VM-2 para enrutar el tráfico al firewall que se inspeccionará primero antes de enviarlo al gateway de NAT.

  1. Introduzca un nombre para la tabla de rutas.
  2. Haga clic en +Another Rule.

  

• En Regla, introduzca la siguiente información.

  1. En Tipo de objetivo, seleccione IP privada.
  2. En bloque de CIDR de destino, introduzca 0.0.0.0/0.
  3. En Selección de destino, introduzca la IP privada del firewall 192.168.1.100.
  4. Haga clic en Crear.

  

• Custom Route Table 2 se ha creado correctamente.

  

Tarea 3: Asignación de tablas de rutas personalizadas a las VNIC

• Empecemos por Linux-VM-1.

  

  1. Tenga en cuenta que, por defecto, la VNIC de la instancia utilizará la tabla de rutas asociada a la subred en la que reside la máquina virtual. En este tutorial, es Default Route Table for MyVCN. Nuestro objetivo aquí es cambiar la tabla de rutas a Enrutamiento por recurso, donde la instancia (VNIC) tendrá su propia tabla de rutas.
  2. Desplazar hacia abajo.
  3. Haga clic en VNIC asociadas.
  4. Haga clic en los tres puntos situados a la derecha de la VNIC principal.
  5. Haga clic en Editar VNIC.

  

  1. Por defecto, cada VNIC utilizará la tabla de rutas asociada a la subred.
  2. Haga clic en Seleccionar tabla de rutas personalizada para la VNIC.

  

  1. En Tabla de rutas, seleccione Tabla de rutas personalizadas 1.
  2. Tenga en cuenta que la tabla de rutas por defecto no se verá al tomar decisiones de enrutamiento una vez que guarde la configuración aquí.
  3. Haga clic en Guardar cambios.

  

• Custom Route Table 1 se ha asignado correctamente a la VNIC principal de Linux-VM-1.

  

• Ahora, asigne Linux-VM-2.

  

  1. Tenga en cuenta que, por defecto, la VNIC de la instancia utilizará la tabla de rutas asociada a la subred en la que reside la máquina virtual. En este tutorial, es Default Route Table for MyVCN. Nuestro objetivo aquí es cambiar la tabla de rutas aquí para que sea Enrutamiento por recurso, donde la instancia (VNIC) tendrá su propia tabla de rutas.
  2. Desplazar hacia abajo.
  3. Haga clic en VNIC asociadas.
  4. Haga clic en los tres puntos situados a la derecha de la VNIC principal.
  5. Haga clic en Editar VNIC.

  

  1. Por defecto, cada VNIC utilizará la tabla de rutas asociada a la subred.
  2. Haga clic en Seleccionar tabla de rutas personalizada para la VNIC.

  

  1. En Tabla de rutas, seleccione Tabla de rutas personalizadas 2.
  2. Tenga en cuenta que la tabla de rutas por defecto no se verá al tomar decisiones de enrutamiento una vez que guarde la configuración aquí.
  3. Haga clic en Guardar cambios.

  

• Custom Route Table 2 se ha asignado correctamente a la VNIC principal de Linux-VM-2.

  

Tarea 4: Prueba y validación

• Prueba 1: pruebe Linux-VM-1 al acceso a Internet sin inspección de firewall

  • Inicie sesión en Linux-VM-1.

    Nota: hemos utilizado el servicio OCI Bastion para acceder a la instancia, ya que se encuentra en una subred privada. Puede utilizar cualquier otro método, como un cuadro de salto tradicional (Windows, Linux), VPN de sitio a sitio u otras alternativas.

  • Ping 8.8.8.8, que es la IP pública del servidor DNS de Google. Según la configuración que configuramos, el tráfico se enrutará a través del gateway de NAT directamente sin que el firewall lo inspeccione.

    

  • Vaya a la página Detalles de Network Firewall.

    1. Haga clic en Logs.
    2. Haga clic en el nombre del log.

    

  • Configure el filtro para comprobar el tráfico de ping en la prueba anterior.

    1. La dirección IP de Linux-VM-1 es 192.168.0.10.
    2. Protocol es ICMP.
    3. Haga clic en Buscar.
    4. Tenga en cuenta que no hay ninguna indicación del tráfico de Linux-VM-1 que pasa por el firewall, que es el resultado esperado, ya que configuramos la tabla de rutas personalizada para enrutar el tráfico directamente al gateway de NAT.

    

• Prueba 2: pruebe Linux-VM-2 a Internet Access con Firewall Inspection

  • Inicie sesión en Linux-VM-2.

    Nota: hemos utilizado el servicio OCI Bastion para acceder a la instancia, ya que se encuentra en una subred privada. Puede utilizar cualquier otro método, como un cuadro de salto tradicional (Windows, Linux), VPN de sitio a sitio u otras alternativas.

  • Ping 8.8.8.8, que es la IP pública del servidor DNS de Google. Según la configuración que configuramos, el tráfico se enrutará a través del gateway de NAT después de que el firewall lo inspeccione.

    

  • Vaya a la página Detalles de Network Firewall.

    1. Haga clic en Logs.
    2. Haga clic en el nombre del log.

    

  • Configure el filtro para comprobar el tráfico de ping en la prueba anterior.

    1. La dirección IP de Linux-VM-2 es 192.168.0.20.
    2. Protocol es ICMP.
    3. Haga clic en Buscar.

    

  • Puede ver en los logs que el tráfico a Internet pasa a través del firewall.

    1. Destination IP Address (Dirección IP de destino) es 8.8.8.8.
    2. Protocol es ICMP.
    3. Source IP Address (Dirección IP de origen) es 192.168.0.20.

    

  Esto muestra cómo logramos proporcionar a cada máquina virtual una configuración de enrutamiento diferente con el enrutamiento por recurso, aunque estén dentro de la misma subred, lo que proporciona un control detallado sobre el flujo de tráfico y optimiza la gestión de la red.

Ejemplo 2: Separación del tráfico de Internet solo del tráfico de Oracle Services Network

Objetivos de ejemplo:

En este ejemplo, vamos a demostrar cómo se pueden configurar dos recursos dentro de la misma subred con diferentes rutas, dirigiendo el tráfico a la red de servicios de Oracle e Internet a través de gateways independientes. Linux-VM-1 solo requiere acceso a la red de servicios de Oracle, especialmente OCI Object Storage, sin enrutamiento a través de la red pública de Internet, restringido al centro de datos de Oracle Jeddah, mientras que Linux-VM-2 requiere acceso a Internet saliente, lo que significa acceso a cualquier dirección IP pública, incluidas las de la red de servicios de Oracle. Sin el enrutamiento por recurso, tendrá que colocar cada instancia en una subred diferente para lograr este escenario.

Requisitos previos de ejemplo:

Configure algunos componentes esenciales para alinearse con este diseño. Se trata básicamente de dos instancias informáticas en una subred privada.

• Cree una red virtual en la nube (por ejemplo, MyVCN (192.168.0.0/16)). Para obtener más información, consulte Creación de una VCN.

• Creación de una subred privada. Para obtener más información, consulte Creación de una subred.

  • Application-Private-Subnet (192.168.0.0/24). En este tutorial, vamos a asignar la tabla de rutas por defecto y la lista de seguridad por defecto a la subred.

• Cree un gateway de NAT en una VCN. Un gateway de NAT permite que los recursos en la nube sin direcciones IP públicas accedan a Internet, proporcionando solo conectividad saliente sin exponer dichos recursos a conexiones de Internet entrantes. Para obtener más información, consulte Creación de un gateway de NAT.

• Cree un gateway de servicios en una VCN. Un gateway de servicio permite a la VCN acceder de forma privada a determinados servicios de Oracle sin exponer los datos en la Internet pública. No se requiere ningún gateway de internet ni gateway de NAT para acceder a esos servicios específicos. Para obtener más información, consulte Creación de un gateway de servicios.

• Cree dos instancias informáticas Linux-VM-1 y Linux-VM-2. Para obtener más información, consulte Tarea 2: aprovisionamiento de una instancia informática de OCI. Tenga en cuenta los siguientes puntos:

  • Nombre de cada instancia.
  • Utilice Oracle Linux como sistema operativo.
  • Coloque ambas instancias en la misma subred que creó anteriormente y asigne las IP manualmente según el diseño.
  • Active el plugin de OCI Bastion.

• Cree un servicio OCI Bastion y una sesión, lo necesitará para acceder de forma segura a las instancias, ya que residen en una subred privada y, a continuación, realice la prueba al final de la configuración. Tenga en cuenta las diferencias, como la red de destino y la instancia, para adaptarse a los componentes que ha creado para este tutorial. Para obtener más información, consulte Tarea 6.1: acceso a la instancia informática FE-VM mediante Bastion y prueba.

Tarea 1: Creación de tablas de rutas personalizadas

• Vaya a la consola de OCI.

  1. Navegue a la VCN.
  2. Desplazar hacia abajo.
  3. Haga clic en Tablas de rutas.
  4. Tenga en cuenta que tenemos una tabla de rutas por defecto que se crea automáticamente con la VCN. Esta tabla se asigna a Application-Private-Subnet y todas las máquinas virtuales de la subred la utilizarán.

  

• Sin embargo, para este tutorial, vamos a crear tablas de rutas personalizadas y asignar cada una de ellas a la VNIC de su VM respectiva. Este método ofrece un control más granular sobre el enrutamiento, evitando la dependencia en la tabla de rutas de subred. Haga clic en Crear tabla de rutas.

  

• Cree la primera tabla (Custom Route Table 1), que se asignará a Linux-VM-1 para enrutar el tráfico a través del gateway de servicio, lo que permite la conectividad a la red de servicios de Oracle, específicamente para acceder a OCI Object Storage.

  1. Introduzca un nombre para la tabla de rutas.
  2. Haga clic en +Another Rule.

  

• En Regla, introduzca la siguiente información.

  1. En Tipo de destino, seleccione Gateway de servicio.
  2. En Bloque de CIDR de destino, seleccione Todos los servicios de JED en Oracle Services Network. Esto garantiza el acceso a todos los servicios de Oracle, incluido OCI Object Storage, que probaremos al final. Además, si utiliza OCI Bastion para conectarse a las máquinas virtuales, debe seleccionar la opción de todos los servicios que mencionamos en lugar de limitarla a OCI Object Storage.
  3. En Gateway de servicio de destino, seleccione el gateway de servicio creado en Requisitos.
  4. Haga clic en Crear.

  

• Custom Route Table 1 se ha creado correctamente.

  

• Para crear la segunda tabla (Custom Route Table 2), haga clic en Crear tabla de rutas.

  

• Custom Route Table 2 se asignará a Linux-VM-2 para enrutar el tráfico a través del gateway de NAT, lo que permitirá la conectividad unidireccional a Internet, incluido el punto final de OCI Object Storage.

  1. Introduzca un nombre para la tabla de rutas.
  2. Haga clic en +Another Rule.

  

• En Regla, introduzca la siguiente información.

  1. En Tipo de destino, seleccione Gateway de NAT.
  2. En bloque de CIDR de destino, introduzca 0.0.0.0/0.
  3. En Gateway de NAT de destino, seleccione el gateway de NAT creado en los requisitos.
  4. Haga clic en Crear.

  

• Custom Route Table 2 se ha creado correctamente.

  

Tarea 2: Asignación de tablas de rutas personalizadas a las VNIC

• Empecemos por Linux-VM-1.

  

  1. Tenga en cuenta que, por defecto, la VNIC de la instancia utilizará la tabla de rutas asociada a la subred en la que reside la máquina virtual. En este tutorial, es Default Route Table for MyVCN. Nuestro objetivo aquí es cambiar la tabla de rutas a Enrutamiento por recurso, donde la instancia (VNIC) tendrá su propia tabla de rutas.
  2. Desplazar hacia abajo.
  3. Haga clic en VNIC asociadas.
  4. Haga clic en los tres puntos situados a la derecha de la VNIC principal.
  5. Haga clic en Editar VNIC.

  

  1. Por defecto, cada VNIC utilizará la tabla de rutas asociada a la subred.
  2. Haga clic en Seleccionar tabla de rutas personalizada para la VNIC.

  

  1. En Tabla de rutas, seleccione Custom Route Table 1.
  2. Tenga en cuenta que la tabla de rutas por defecto no se verá al tomar decisiones de enrutamiento una vez que guarde la configuración aquí.
  3. Haga clic en Guardar cambios.

  

• Custom Route Table 1 se ha asignado correctamente a la VNIC principal de Linux-VM-1.

  

• Ahora, asigne Linux-VM-2.

  

  1. Tenga en cuenta que, por defecto, la VNIC de la instancia utilizará la tabla de rutas asociada a la subred en la que reside la máquina virtual. En este tutorial, es Default Route Table for MyVCN. Nuestro objetivo aquí es cambiar la tabla de rutas a Enrutamiento por recurso, donde la instancia (VNIC) tendrá su propia tabla de rutas.
  2. Desplazar hacia abajo.
  3. Haga clic en VNIC asociadas.
  4. Haga clic en los tres puntos situados a la derecha de la VNIC principal.
  5. Haga clic en Editar VNIC.

  

  1. Por defecto, cada VNIC utilizará la tabla de rutas asociada a la subred.
  2. Haga clic en Seleccionar tabla de rutas personalizada para la VNIC.

  

  1. En Tabla de rutas, seleccione Custom Route Table 2.
  2. Tenga en cuenta que la tabla de rutas por defecto no se verá al tomar decisiones de enrutamiento una vez que guarde la configuración aquí.
  3. Haga clic en Guardar cambios.

  

• Custom Route Table 2 se ha asignado correctamente a la VNIC principal de Linux-VM-2.

  

Tarea 3: Creación de un cubo de OCI Object Storage

Un cubo de OCI Object Storage es un contenedor lógico utilizado para almacenar y organizar objetos (archivos y datos) en OCI.

• Vaya a la consola de OCI, haga clic en el menú de hamburguesa (≡) en la esquina superior izquierda.

  

  1. Haga clic en Storage.
  2. Haga clic en Cubos.

  

• Haga clic en Crear cubo.

  

  1. Introduzca Bucket Name.
  2. Haga clic en Crear.

  

• El cubo Test-Bucket se ha creado correctamente. Ahora, haga clic en el cubo.

  

  

• Como el cubo sigue siendo nuevo, notará que está vacío.

  

Tarea 4: Prueba y validación

Tarea 4.1: Preparación de las máquinas virtuales para que tengan acceso a Oracle Services Network

• El principal de instancia es la capacidad del servicio OCI IAM que permite realizar llamadas de servicio desde una instancia. Utilizaremos principales de instancia para acceder a OCI Object Storage desde una instancia informática sin credenciales. Para obtener más información, consulte Llamada a la CLI de OCI mediante el principal de instancia.

  Pasos para hacer:

  1. Cree un grupo dinámico (TestDG) para incluir todas las instancias en un compartimento específico (Linux-VM-1 y Linux-VM-2).

     Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaaaaacmshv5fxxxxxxxxxxxxxxxykxgy3qvetychowq'}
     

  2. Cree una política de OCI IAM.

     Allow dynamic-group TestDG to manage object-family in compartment AnasAbdallah
     

  Nota: Asegúrese de utilizar el nombre de grupo dinámico, el nombre de compartimento y el OCID en las políticas anteriores.

• Repita los siguientes pasos después de conectarse a ambas instancias, Linux-VM-1 y Linux-VM-2.

  • Ejecute el siguiente comando para instalar la CLI de OCI en Oracle Linux 8. Para obtener más información, consulte Installing the CLI.

    sudo dnf -y install oraclelinux-developer-release-el8
    sudo dnf install python36-oci-cli
    

  • Para que la CLI de OCI le guíe por el proceso de configuración inicial, ejecute el comando oci setup config.

    

    1. Pulse Intro.
    2. Introduzca el OCID de nombre de usuario.
    3. Introduzca el OCID de arrendamiento.
    4. Introduzca el índice de región. Estamos desplegando este entorno en la región de Jeddah, que es 49.
    5. Escriba Y y pulse Intro.
    6. Pulse Intro.

    

    1. Pulse Intro.
    2. La clave de API pública se guarda en esta ruta. La usaremos en breve.
    3. Escriba una nueva frase de contraseña.
    4. Repita la frase de contraseña.

    

    1. Ejecute el comando cat /home/opc/.oci/oci_api_key_public.pem para mostrar la clave pública.
    2. Copie la clave pública.

    

    1. Vaya a la consola de OCI y navegue a su perfil.
    2. Desplazar hacia abajo.
    3. Haga clic en Claves de API.
    4. Haga clic en Agregar clave de API.

    

    1. Seleccione Pegar una clave pública.
    2. Pegue la clave pública.
    3. Haga clic en Agregar.

    

  • La clave API se ha agregado correctamente.

    

Tarea 4.2: Probar Linux-VM-1 en Oracle Services Network Access

• Según la configuración, Linux-VM-1 solo debe tener acceso a OCI Object Storage, sin acceso a Internet, y utilizará el gateway de servicio.

  1. Para comprobar el nombre del espacio de nombres de OCI Object Storage, ejecute el comando oci os ns get.
  2. Tome nota del espacio de nombres, ya que lo utilizará en el siguiente comando.
  3. Ejecute el comando oci os object list --bucket-name <bucket-name> --namespace <namespace> para mostrar los objetos en Test-Bucket.
  4. El cubo está vacío.

  

  Nota: El espacio de nombres de OCI Object Storage sirve como contenedor de nivel superior para todos los cubos y objetos del arrendamiento. En el momento de la creación de la cuenta, a cada arrendamiento de OCI se le asigna un nombre de espacio de nombres único generado por el sistema e inmutable de OCI Object Storage.

  1. Cree un archivo de texto denominado object1.txt y escriba abc en él.
  2. Muestra el contenido del archivo.
  3. Podemos ver abc como la salida.

  

  1. Para cargar object1.txt en Test-Bucket, ejecute el comando oci os object put -ns <namespace> -bn <bucket-name> --file <file-path>.
  2. La carga ha finalizado.

  

• Para comprobar si el archivo se carga, vaya a la página Detalles de cubo.

  

• Desplazar hacia abajo.

  1. Haga clic en Objetos.
  2. Tenga en cuenta que el archivo object1.txt se ha cargado correctamente en Test-Bucket. Puede verificar el contenido del archivo descargándolo.

  

• Una cosa más a probar es la conectividad a Internet de Linux-VM-1.

  1. Ping 8.8.8.8, que es la IP pública del servidor DNS de Google. Según la configuración que hemos configurado, Linux-VM-1 no debe tener conectividad a Internet.
  2. Como ves, el ping está fallando.

  

Tarea 4.3: Probar Linux-VM-2 en Acceso a Internet

• Según la configuración, Linux-VM-2 debe tener conectividad a Internet, lo que incluye el acceso a OCI Object Storage, que se realiza a través del gateway de NAT. Aunque ambas máquinas virtuales están en la misma subred, el enrutamiento por recurso les permite utilizar diferentes rutas de red, que es el concepto clave detrás de esta configuración.

  1. Para comprobar el nombre del espacio de nombres de OCI Object Storage, ejecute el comando oci os ns get.
  2. Tome nota del espacio de nombres, ya que lo utilizará en el siguiente comando.
  3. Ejecute el comando oci os object list --bucket-name <bucket-name> --namespace <namespace> para mostrar los objetos en Test-Bucket.
  4. Podemos ver el archivo object1.txt almacenado en el bloque que hemos cargado en la tarea 4.2.

  

  Nota: El espacio de nombres de OCI Object Storage sirve como contenedor de nivel superior para todos los cubos y objetos del arrendamiento. En el momento de la creación de la cuenta, a cada arrendamiento de OCI se le asigna un nombre de espacio de nombres único generado por el sistema e inmutable de OCI Object Storage.

  1. Cree un archivo de texto denominado object2.txt y escriba def en él.
  2. Muestra el contenido del archivo.
  3. Podemos ver def como la salida.

  

  1. Para cargar object2.txt en Test-Bucket, ejecute el comando oci os object put -ns <namespace> -bn <bucket-name> --file <file-path>.
  2. La carga ha finalizado.

  

• Para comprobar si el archivo se carga, vaya a Detalles de cubo.

  

• Desplazar hacia abajo.

  1. Haga clic en Objetos.
  2. Tenga en cuenta que el archivo object2.txt se ha cargado correctamente en Test-Bucket. Puede verificar el contenido del archivo descargándolo.

  

• Una cosa más a probar es la conectividad a Internet de Linux-VM-2.

  1. Ping 8.8.8.8, que es la IP pública del servidor DNS de Google. Según la configuración que hemos configurado, Linux-VM-2 también debe tener conectividad a Internet.
  2. El ping se ha realizado correctamente.

  

Conclusión

Con dos ejemplos técnicos detallados, en este tutorial se muestra cómo el enrutamiento por recurso en OCI proporciona un control preciso del tráfico de red al permitir que las tablas de rutas personalizadas se apliquen directamente a VNIC individuales dentro de la misma subred. También destacó las diferencias clave entre el enrutamiento por recurso y las tablas de rutas a nivel de subred tradicionales, enfatizando la flexibilidad y la eficiencia que esta función aporta al diseño moderno de la red en la nube.

Agradecimientos

• Autores: Anas Abdallah (especialista en redes en la nube), Sachin Sharma (especialista en redes en la nube)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de formación gratuita en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Configure Per-resource Routing in Oracle Cloud Infrastructure

G31562-02

Copyright ©2025, Oracle and/or its affiliates.