Documentation sur Oracle Cloud Infrastructure

Configurer une URL personnalisée à l'aide du service Oracle Web Application Firewall V2

Vous pouvez utiliser l'équilibreur de charge et le service de pare-feu d'application Web d'Oracle V2 (WAF V2) pour vous aider à configurer la prise en charge d'une URL personnalisée pour une instance Visual Builder.

Lorsque vous configurez une URL personnalisée pour une instance Visual Builder (par exemple, https://<my-custom-url.com>/ic/builder/), vous pouvez accéder à votre instance directement à l'aide de l'URL personnalisée. Lorsque vous publiez une application à partir de l'URL personnalisée, l'application utilise l'URL personnalisée (par exemple, https://<my-custom-url.com>/ic/builder/rt/).

Vous pouvez également configurer une application Visual Builder pour qu'elle utilise une URL personnalisée, également appelée URL personnalisée, afin que les clients puissent accéder à l'application à l'aide de l'URL personnalisée de base (https://<my-custom-url.com>).

Le service V2 du service WAF vous permet de définir une politique qui mappera un nom de domaine personnalisé au service WAF en tant qu'élément frontal pour votre service VB en tant que serveur d'origine. Pour ce faire, vous utiliserez un équilibreur de charge public pour gérer les certificats de votre location. Vous pouvez configurer l'équilibreur de charge dans le service d'équilibreur de charge d'Oracle.

En utilisant le service WAF pour mapper le nom DNS sélectionné à un service VB, vous pouvez gérer le mappage du nom DNS et charger vous-même le certificat et la clé privée associés, au lieu de configurer l'instance VB pour la gérer.

Ces instructions supposent que vous ayez un accès direct à une instance Visual Builder et à la console Oracle Cloud Infrastructure (OCI). Pour plus de détails sur l'utilisation de votre instance derrière un service WAF ou une passerelle d'API, voir :

Avant de configurer l'URL personnalisée

Avant de commencer à configurer l'URL personnalisée, vous devez connaître les détails de votre instance et connaître les limites d'utilisation d'une URL personnalisée pour une instance Visual Builder.

Ce dont vous aurez besoin pour configurer l'URL personnalisée :

  • Instance Visual Builder : Vous devez avoir déjà provisionné une instance Visual Builder (ou Integration) sur Oracle Cloud. L'instance doit être une instance gérée par Oracle basée sur PSM/OCI.
  • Adresse IP publique de l'équilibreur de charge de l'instance de VB : Vous pouvez obtenir l'adresse IP de l'équilibreur de charge en effectuant une fouille sur le nom d'hôte à l'aide de l'URL. Par exemple, pour l'URL :

    https://vbmyinst-vb-axdkj3wttbhm.builder.us-ashburn-1.ocp.oraclecloud.com/ic/builder/

    Exécutez la commande suivante à partir du terminal pour obtenir l'adresse IP requise pour configurer les serveurs dorsaux :

    dig https://vbmyinst-vb-axdkj3wttbhm.builder.us-ashburn-1.ocp.oraclecloud.com

  • Nom DNS : Vous devez décider quel nom DNS sera utilisé pour accéder au système et ce nom doit se trouver dans un domaine DNS dont vous êtes responsable.
  • Certificat SSL : Vous devez avoir un certificat SSL signé par une autorité de certification avec une clé privée pour le nom DNS.

Limites connues

Les URL personnalisées sont soumises aux limitations suivantes :

  • Une seule application Web à la fois est accessible à l'aide du contexte racine ('/') de l'URL personnalisée.

Créer un équilibreur de charge et configurer un nom d'hôte

Vous pouvez utiliser le service Oracle Load Balancer pour créer un équilibreur de charge public pour gérer les certificats de votre location.

Un équilibreur de charge assure la répartition automatique du trafic d'un point d'entrée vers des serveurs accessibles à partir de votre réseau en nuage virtuel. Pour plus d'informations sur l'équilibreur de charge d'Oracle, voir Aperçu d'Oracle Load Balancer et Création d'un équilibreur de charge.

Pour créer un équilibreur de charge :

  1. Dans la console OCI, cliquez sur Menu de navigation icône de menu, sélectionnez Réseau, puis Équilibreur de charge.
  2. Créez un nouvel équilibreur de charge :
    1. Dans la page Équilibreurs de charge, cliquez sur Créer un équilibreur de charge.
    2. Sélectionnez Load Balancer comme type, puis cliquez sur Créer un équilibreur de charge pour ouvrir la page Créer un équilibreur de charge afin de définir les détails de l'équilibreur de charge.
    3. Dans la page Add Details, sélectionnez les valeurs par défaut des formes et des options de réseau.

      Dans la section Sélectionner un réseau, vous devez sélectionner un réseau en nuage virtuel et un sous-réseau, s'ils ne sont pas déjà sélectionnés.


      Description de waf-load-choose-networking.png :
      Description de l'illustration waf-load-choose-networking.png

      Cliquez sur Suivant.

    4. Dans le volet Spécifier la politique de vérification de l'état de la page Sélectionner des serveurs dorsaux, sélectionnez TCP comme protocole et réglez le port à 443. Cliquez sur Suivant.
    5. Dans le volet Certificat SSL de la page Configurer le module d'écoute, sélectionnez Certificat géré par l'équilibreur de charge dans la liste déroulante Ressource de certificat.
    6. Indiquez votre chaîne de certificats et votre clé privée. Cliquez sur Suivant.
    7. Dans la page Manage Logging, acceptez les paramètres par défaut. Cliquez sur Soumettre pour créer l'équilibreur de charge.
      Note

      Le provisionnement de l'équilibreur de charge prendra quelques minutes
  3. Une fois l'équilibreur de charge provisionné, cliquez sur le nom du nouvel équilibreur de charge dans la page Équilibreurs de charge pour ouvrir l'onglet Détails.
  4. Ouvrez l'onglet Noms d'hôte, puis cliquez sur Créer un nom d'hôte.
  5. Entrez un nom et un nom d'hôte dans la page Create hostname. Cliquez sur Créer.

    Le nom d'hôte sera votre point d'extrémité personnalisé.


    Description de waf-load-hostnames-tab.png :
    Description de l'illustration waf-load-hostnames-tab.png

  6. Ouvrez l'onglet Modules d'écoute et modifiez votre module d'écoute pour ajouter le nom d'hôte. Cliquez sur enregistrer les modifications.
  7. Configurez le réseau en nuage virtuel (VCN) de l'équilibreur de charge :
    1. Ouvrez l'onglet Détails de l'équilibreur de charge, puis cliquez sur le lien Réseau en nuage virtuel (VCN) pour ouvrir l'onglet Détails du VCN :
    2. Ouvrez l'onglet Passerelles du VCN, puis cliquez sur Créer une passerelle Internet.
    3. Dans la page Créer une passerelle Internet, entrez un nom, puis cliquez sur Créer une passerelle Internet pour retourner à l'onglet Passerelles.
    4. Dans l'onglet Passerelles, cliquez sur Créer une passerelle NAT.
    5. Dans la page Créer une passerelle NAT, entrez un nom pour la passerelle et sélectionnez Adresse IP publique éphémère. Cliquez sur Créer une passerelle NAT.
    6. Ouvrez l'onglet Gamme d'opérations, puis cliquez sur Créer une table de routage.
    7. Dans la page Créer une table de routage, entrez un nom, puis cliquez sur Créer une table de routage pour retourner à l'onglet Gamme d'opérations.
    8. Cliquez sur la nouvelle table de routage pour ouvrir sa page de détails.
    9. Ouvrez l'onglet Règles de routage, puis cliquez sur Ajouter des règles de routage.
    10. Dans la page Ajouter des règles de routage, entrez les détails suivants pour la règle de routage de passerelle NAT :
      • Type de cible : Passerelle NAT.
      • Bloc CIDR de destination : Fournissez l'adresse IP publique de l'équilibreur de charge de l'instance Visual Builder (voir Configuration ci-dessus pour savoir comment l'obtenir). S'il s'agit d'une seule adresse IP, ajoutez /32 à celle-ci pour former un seul bloc CIDR IP.
      • compartiment : Laissez tel quel.
      • Cible : Sélectionnez la passerelle NAT que vous avez créée.
      • Description : Description facultative de la règle.

      Description de waf-load-add-route-rules.png :
      Description de l'illustration waf-load-add-route-rules.png

      Vous devez créer une règle de routage de passerelle NAT pour chacune des adresses IP publiques de vos équilibreurs de charge d'instance Visual Builder. Pour ajouter une règle de routage, cliquez sur + Une autre règle de routage.

    11. Cliquez sur + Une autre règle de routage et entrez les détails suivants pour la règle de routage de passerelle Internet :
      • Type de cible : Passerelle Internet.
      • Bloc CIDR de destination : 0.0.0.0/0
      • compartiment : Laissez tel quel.
      • Passerelle Internet cible : Sélectionnez la passerelle Internet que vous avez créée.
      • Description : Description facultative de la règle.

      Cliquez sur Ajouter des règles de routage.

    12. Vérifiez que le statut de vérification de l'état de votre jeu dorsal est OK.
  8. Retournez à l'onglet Détails de l'équilibreur de charge.
  9. Configurez le sous-réseau de l'équilibreur de charge :
    1. Dans l'onglet Détails de l'équilibreur de charge, cliquez sur le lien Sous-réseau pour ouvrir la page de détails correspondante.
    2. Ouvrez l'onglet Sécurité du sous-réseau, puis cliquez sur la liste de sécurité par défaut dans le tableau pour ouvrir son volet Détails.
    3. Ouvrez l'onglet Règles de sécurité.
    4. Modifiez la règle pour l'entrée 0.0.0.0/0 dans la table Règles de trafic entrant pour remplacer l'intervalle de ports de destination par 443. Cliquez sur enregistrer les modifications.
  10. Définissez l'option SSL pour le serveur dorsal :
    1. Dans la page Serveurs dorsaux, sélectionnez l'option SSL.
    2. Sélectionnez l'option Certificat géré par l'équilibreur de charge.
    3. Sélectionnez Certificat géré par l'équilibreur de charge et sélectionnez le certificat dans la liste déroulante.
      Note

      Si vous obtenez une erreur indiquant qu'un certificat AC est manquant, créez un nouveau certificat géré par l'équilibreur de charge et fournissez le certificat du serveur et le certificat intermédiaire séparément au lieu d'une chaîne combinée.
  11. Ajouter un nouveau serveur dorsal :
    1. Ouvrez l'onglet Jeux dorsaux, puis cliquez sur le lien du jeu dorsal dans la table pour ouvrir l'onglet Détails.
    2. Ouvrez l'onglet Serveurs dorsaux, puis cliquez sur Ajouter un serveur dorsal.
    3. Sélectionnez l'option Adresses IP et définissez les détails suivants sur le serveur dorsal :
      • Adresse IP : Indiquez l'adresse IP de l'équilibreur de charge. Il s'agit de l'adresse IP obtenue lorsque vous avez utilisé la commande dig sur le nom d'hôte Visual Builder.
      • Port : Réglez le port à 443.

      Description de waf-load-add-backend.png :
      Description de l'illustration waf-load-add-backend.png

      Cliquez sur Ajouter.

  12. (Facultatif) Pour restreindre l'accès :
    1. Ouvrez l'onglet Politiques, puis cliquez sur Créer une politique d'acheminement.
    2. Dans la page Créer une politique d'acheminement, entrez un nom pour la politique d'acheminement.
    3. Dans le volet Conditions, configurez la stratégie en définissant les éléments suivants :
      • Lorsque les conditions suivantes sont remplies : Réglez à If All Match
      • Type de condition : Régler à Path
      • Opérateur : Régler à Is
      • Chaîne d'URL : Réglez à /.

      Description de waf-load-create-routingpolicy.png :
      Description de l'illustration waf-load-create-routingpolicy.png

    4. Dans le volet Action, définissez l'action "Route to backend" en sélectionnant le jeu dorsal dans la liste déroulante. Cliquez sur Suivant.
    5. Définissez l'ordre dans lequel les politiques doivent être exécutées, si nécessaire. Cliquez sur Créer une politique d'acheminement pour retourner à l'onglet Politiques.
    6. Dans l'onglet Politiques, cliquez sur Créer un jeu de règles.
    7. Dans la page Create rule set, entrez un nom pour le jeu de règles.
    8. Sélectionnez Spécifier les règles d'en-tête de demande, puis entrez les détails :
      • Action : Add Request Header
      • En-tête : Host
      • Valeur : Ajoutez votre URL personnalisée (par exemple : myhost.example.com)

      Description de waf-load-create-ruleset.png :
      Description de l'illustration waf-load-create-ruleset.png

      Cliquez sur Soumettre pour retourner à l'onglet Politiques.

Créer une politique WAF

Vous utilisez une politique WAF pour configurer les règles d'accès, les règles de limitation de débit et les règles de protection pour votre service de pare-feu d'application Web.

Lors de la création et de la configuration d'une politique WAF pour votre URL personnalisée, vous devez spécifier l'équilibreur de charge utilisé pour votre instance Visual Builder.

Pour créer une politique WAF et spécifier l'équilibreur de charge :

  1. Connectez-vous à la console Oracle Cloud Infrastructure et ouvrez les politiques WAF sous Sécurité.
  2. Sélectionnez le compartiment dans lequel vous voulez créer la politique WAF, puis cliquez sur Créer une politique WAF.
  3. Entrez le nom de la politique dans la boîte de dialogue Créer une politique WAF.
  4. Acceptez toutes les autres valeurs par défaut, puis cliquez sur Suivant jusqu'à ce que vous atteigniez l'étape Sélectionner un point d'application.
  5. À l'étape Sélectionner un point d'application, sélectionnez l'équilibreur de charge que vous avez créé et terminez la configuration WAF.
  6. Cliquez sur Créer une politique WAF.

Maintenant que la politique est créée et que vous l'avez configurée pour utiliser votre équilibreur de charge, vous pouvez configurer les règles de politique. Vous pouvez modifier la configuration de la politique à tout moment. Lors de la configuration de la politique, vous pouvez utiliser les actions prédéfinies ou créer vos propres actions personnalisées. Pour plus d'informations sur les politiques WAF, voir Introduction aux politiques de pare-feu d'application Web.

Configurer le DNS

Enregistrez ou mettez à jour le nom DNS personnalisé avec l'adresse IP publique de l'équilibreur de charge.

Dans la configuration DNS pour le nom que vous avez choisi pour accéder à l'instance de service VB, modifiez l'enregistrement A pour pointer vers l'adresse IP publique de l'équilibreur de charge. Dans l'image suivante, la valeur de l'enregistrement A est réglée à l'adresse IP publique de l'équilibreur de charge 152.70.200.184 :


Description de waf-configure-dns.png :
Description de l'illustration waf-configure-dns.png

Note

L'adresse IP publique de votre équilibreur de charge se trouve dans l'onglet Informations sur l'équilibreur de charge de la page Équilibreur de charge :


Description de waf-load-ipaddress.png :
Description de l'illustration waf-load-ipaddress.png