Note :
- Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, voir Introduction à l' niveau gratuit d'Oracle Cloud Infrastructure.
- Il utilise des exemples de valeurs pour les données d'identification, la location et les compartiments Oracle Cloud Infrastructure. À la fin de votre laboratoire, remplacez ces valeurs par celles propres à votre environnement en nuage.
Ajouter l'équilibreur de charge OCI et le service WAF OCI à un concentrateur avec une architecture de routage de VCN hub et satellite
Présentation
Ce tutoriel vous guidera tout au long des tâches nécessaires pour déployer et configurer un équilibreur de charge Oracle Cloud Infrastructure (OCI) avec pare-feu d'application Web OCI (WAF) dans OCI et comment cela fonctionnera dans un environnement de routage de VCN hub et satellite.
L'image suivante illustre les flux de trafic.
Connectivité externe à satellite à l'aide de l'équilibreur de charge et du service WAF
Objectifs
- Nous configurerons un équilibreur de charge OCI avec une politique WAF OCI dans une architecture de réseau hub et satellite. En outre, nous configurerons les serveurs Web pour surveiller et suivre la façon dont l'équilibreur de charge répartit le trafic.
Préalables
-
Assurez-vous de suivre les tutoriels suivants si vous souhaitez recréer le contenu de ce tutoriel.
Tâche 1 : Vérifier l'architecture actuelle du concentrateur et du réseau satellite
Pour continuer ce tutoriel, nous devrions avoir :
- 1 x VCN hub (avec un pare-feu, une passerelle Internet, une passerelle NAT et une passerelle de service)
- 3 x réseaux en nuage virtuels satellite
- 1 x sur place attaché avec une connexion RPV IPSec
Dans le VCN hub, nous avons une instance Windows que nous pouvons utiliser pour nous connecter aux instances satellite. Chaque satellite aura une instance qui sera configurée en tant que serveur Web. Ces instances peuvent être utilisées comme points d'extrémité pour l'équilibreur de charge que nous allons déployer dans ce tutoriel.
L'image suivante illustre le point de départ.
Tâche 2 : Configurer le routage dans l'architecture de réseau de concentrateur et de satellite entre le service WAF pour OCI et l'équilibreur de charge OCI, le pare-feu de concentrateur et les instances de satellite
L'image suivante illustre l'architecture réseau Hub et satellite actuelle avec toutes les listes de sécurité et les tables de routage.
Avant d'ajouter l'équilibreur de charge OCI, nous voulons nous assurer que le trafic provenant du sous-réseau de l'équilibreur de charge OCI est acheminé vers le pare-feu du concentrateur afin que le trafic puisse être inspecté sur le pare-feu du concentrateur avant qu'il n'envoie le trafic aux instances satellite.
Bien que nous ayons déjà une règle de routage par défaut faisant cela, il est toujours préférable d'ajouter cette règle pour l'appeler explicitement comme nous l'avons fait avec les autres réseaux.
-
Ajoutez la règle d'acheminement.
-
Connectez-vous à la console OCI, naviguez jusqu'à Réseau, Réseaux en nuage virtuels et Réseau en nuage virtuel.
-
Cliquez sur Tables de routage.
- Sélectionnez la table de routage VCN_HUB_RT_DRG_TRANSIT.
-
-
Cliquez sur Ajouter des règles de routage.
- Type de cible : Sélectionnez IP privée.
- Type de destination : Entrez Bloc CIDR.
- Bloc CIDR de destination : Entrez
0.0.0.0/0
. - Sélection de cible : Entrez
172.16.0.20
, il s'agit de l'adresse IP de notre pare-feu pfSense. - Cliquez sur Ajouter des règles de routage.
-
Notez que la route
172.16.0.128/25
est maintenant ajoutée à la table de routage VCN_HUB_RT_DRG_TRANSIT.L'image suivante illustre l'architecture réseau Hub et satellite actuelle avec toutes les listes de sécurité et les tables de routage avec des règles de routage.
Tâche 3 : Installer un serveur Web sur les serveurs dorsaux
Installez un serveur Web NGINX sur toutes les instances des réseaux en nuage virtuels satellite. Pour plus d'informations sur l'installation d'un serveur Web NGINX sur une instance Oracle Linux, voir Tâche 6 : Installer un serveur Web sur une instance.
Tâche 4 : Créer ou modifier une page Web sur les serveurs dorsaux
Par défaut, chaque serveur Web est configuré avec une page Web par défaut. Pour suivre où notre équilibreur de charge OCI redirige le trafic vers celui-ci, il est recommandé de modifier quelque chose sur la page Web afin de savoir quel serveur est touché.
Pour ce faire, nous pouvons modifier le contenu du fichier NGINX index.html
par défaut.
sudo nano /usr/share/nginx/html/index.html
Pour Instance-A, modifiez l'en-tête :
<h1>Welcome to nginx! This is INSTANCE-A</h1>
Pour Instance-B, modifiez l'en-tête :
<h1>Welcome to nginx! This is INSTANCE-B</h1>
Pour Instance-C, modifiez l'en-tête :
<h1>Welcome to nginx! This is INSTANCE-C</h1>
Assurez-vous d'enregistrer les fichiers index.html
après les avoir modifiés.
Tâche 5 : Installer un équilibreur de charge OCI
Avant de créer l'équilibreur de charge OCI, nous devons d'abord autoriser le trafic entrant du port 80 sur la liste de sécurité du VCN central. Tout le trafic, y compris celui qui provient de l'équilibreur de charge dans le sous-réseau public du VCN central, est acheminé vers le pare-feu HUB. Les instances que l'équilibreur de charge va utiliser des points d'extrémité sont à l'écoute sur le port TCP/80. Pour cette raison, nous devons également autoriser le trafic entrant TCP/80 sur le VCN central afin que le sous-réseau privé dans le VCN central où le trafic est acheminé permette également la communication vers les réseaux en nuage virtuels satellite.
-
Ajouter une règle entrante.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Réseau.
- Cliquez sur Réseaux en nuage virtuels.
- Assurez-vous que vous êtes dans la section Réseau en nuage virtuel.
- Cliquez sur le réseau VCN HUB-VCN.
-
Cliquez sur Listes de sécurité.
-
Cliquez sur Liste de sécurité par défaut pour le VCN HUB.
- Assurez-vous que vous êtes dans la section Règles de trafic entrant.
- Cliquez sur Ajouter des règles de trafic entrant.
- Ajoutez une règle de sécurité que TCP/80 est autorisé à partir de la source (
172.16.0.128/25
) vers toutes les destinations.
Note :
-
Nous utilisons la liste de sécurité par défaut qui est appliquée au HUB-VCN et donc à tous les sous-réseaux distincts de ce HUB-VCN.
-
Cela signifie également que le trafic allant du sous-réseau public vers le sous-réseau privé dans le réseau HUB-VCN est également soumis à cette liste de sécurité par défaut, car la même liste de sécurité par défaut est appliquée aux deux sous-réseaux.
-
Pour cette raison, nous autorisons le trafic entrant du port TCP/80 car, si nous ne le faisons pas, l'équilibreur de charge ne peut pas communiquer avec les serveurs dorsaux comme tous le trafic est envoyé du sous-réseau public au sous-réseau privé, car nous utilisons une architecture HUB-and-Spoke avec un pare-feu à l'intérieur du sous-réseau privé du VCN HUB.
-
L'illustration suivante illustre ce que vous avez créé jusqu'à présent avec la règle de sécurité ajoutée.
-
Créez l'équilibreur de charge.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Réseau.
- Cliquez sur équilibreur de charge.
-
Cliquez sur Créer un équilibreur de charge.
- Entrez un nom d'équilibreur de charge.
- Sélectionnez Public pour le type de vue.
- Sélectionnez Adresse IP éphémère.
- Descendre.
-
Conservez toutes les valeurs par défaut et faites défiler l'affichage vers le bas.
- Sélectionnez le VCN auquel vous voulez attacher l'équilibreur de charge.
- Sélectionnez le sous-réseau auquel vous voulez attacher l'équilibreur de charge.
- Cliquez sur Suivant.
- Sélectionnez Service en cascade pondéré comme politique d'équilibrage de charge.
- Cliquez sur Ajouter des dorsales.
- Sélectionnez tous les serveurs dorsaux des instances dans les réseaux en nuage virtuels satellite.
- Cliquez sur Ajouter les serveurs dorsaux sélectionnés.
- Vérifiez les serveurs dorsaux et modifiez le port si nécessaire, dans ce tutoriel, toutes les instances dorsales écoutent le port 80.
- Descendre.
-
Conservez la politique de vérification de l'état par défaut, puis cliquez sur Suivant.
- Entrez un nom de module d'écoute.
- Sélectionnez HTTP comme type de trafic que gère le module d'écoute.
- Entrez le port du module d'écoute à 80.
- Cliquez sur Suivant.
- Sélectionnez un groupe de journaux.
- Cliquez sur Soumettre.
-
Notez que le statut de l'équilibreur de charge est Création.
- Notez que le statut de l'équilibreur de charge est passé de Création à Actif.
- Notez que l'état général est en attente.
- Notez que l'état des jeux dorsaux est en attente.
- Notez l'adresse IP publique de l'équilibreur de charge.
- Après quelques minutes, l'état général est OK.
- Après quelques minutes, l'état des jeux dorsaux est OK.
-
Faites défiler l'affichage vers le bas pour examiner de plus près le jeu dorsal.
- Cliquez sur Jeux dorsaux.
- Cliquez sur le jeu dorsal disponible.
- Notez que l'état général est OK.
- Notez que l'état des jeux dorsaux est OK.
- Descendre.
- Cliquez sur Serveurs dorsaux.
- Notez les serveurs dorsaux dans la section Serveurs dorsaux.
- Ouvrez un nouveau navigateur.
- Entrez l'adresse IP publique de l'équilibreur de charge.
- Notez que l'équilibreur de charge redirige le trafic vers l'instance dans le VCN spoke B.
- Actualisez la page.
- Notez que l'équilibreur de charge redirige maintenant le trafic vers l'instance du VCN satellite C.
- Actualisez la page.
- Notez que l'équilibreur de charge redirige maintenant le trafic vers l'instance du VCN satellite B.
- Actualisez la page.
- Notez que l'équilibreur de charge redirige maintenant le trafic vers l'instance dans le VCN spoke A.
-
L'image suivante illustre ce que vous avez créé jusqu'à présent et la façon dont le trafic circule.
-
Assurez-vous que le pare-feu du concentrateur autorise le port TCP/80 de l'équilibreur de charge vers les serveurs dorsaux. Dans ce tutoriel, nous avons autorisé tout le trafic dans le pare-feu hub à des fins de test.
Tâche 6 : Installer et configurer un pare-feu d'application Web OCI
-
Configurez le pare-feu d'application Web OCI.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Identité et sécurité.
- Cliquez sur Pare-feu d'application Web.
-
Cliquez sur Créer une politique WAF.
- Entrez un nom pour la politique WAF.
- Cliquez sur Suivant.
- Assurez-vous que l'option Activer le contrôle d'accès est activée.
-
Utilisez un site Web capable de récupérer votre adresse IP de fournisseur de services Internet. Vous devez configurer votre contrôle d'accès dans le pare-feu d'application Web OCI. Dans ce tutoriel, nous utilisons
www.ipchicken.com
pour extraire l'adresse IP du fournisseur de services Internet. -
Dans la section Ajouter une règle d'accès, entrez les informations suivantes.
- Cliquez sur Ajouter une règle d'accès.
- Entrez un nom pour la règle d'accès.
- Type de condition : Sélectionnez Adresse IP source.
- Opérateur : Sélectionnez Dans la liste.
- Intervalles d'adresses IP CIDR : Entrez l'adresse IP de votre propre fournisseur de services Internet.
- Descendre.
- Dans Action de règle, entrez le nom de l'action et sélectionnez Action de code de réponse 401 préconfigurée.
- Cliquez sur Ajouter une règle d'accès.
- Notez que la règle d'accès a été ajoutée.
- Cliquez sur Suivant.
-
Cliquez sur Suivant.
-
Cliquez sur Suivant.
- Sélectionnez l'équilibreur de charge sur lequel configurer la politique WAF. Utilisez l'équilibreur de charge créé lors de la tâche 5.
- Cliquez sur Suivant.
-
Cliquez sur Créer une politique WAF.
-
Notez que la politique WAF est créée.
- Notez que le statut de la politique WAF est ACTIVE.
- Cliquez sur Politiques pour retourner à la page des politiques WAF.
-
Notez la politique WAF que nous venons de configurer.
Tâche 7 : Tester le service WAF pour OCI, la connectivité de l'équilibreur de charge OCI et la sécurité WAF
-
Ouvrez le navigateur utilisé dans la tâche 5 et actualisez la page.
Note : Si vous l'avez fermée, entrez l'adresse IP publique de l'équilibreur de charge.
-
Notez que les serveurs Web ne sont plus accessibles car nous les avons bloqués avec la politique WAF.
Confirmation
- Auteur - Iwan Hoogendoorn (spécialiste du réseau OCI)
Autres ressources d'apprentissage
Explorez d'autres laboratoires sur la page docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal YouTube d'Oracle Learning. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.
Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.
Add OCI Load Balancer and OCI WAF to a Hub with Hub and Spoke VCN Routing Architecture
G12088-01
July 2024