Accès aux services Oracle : adresses d'accès aux services privés

A propos des adresses PSA

Vous pouvez utiliser l'accès au service privé Oracle Cloud Infrastructure pour créer des adresses d'accès au service privé qui fournissent un accès IP privé à un seul service OCI. L'adresse PSA utilise une adresse IP privée dédiée et un nom de domaine qualifié complet dans un VCN et un sous-réseau spécifiés. Une adresse PSA est disponible dans les réseaux IPv4-IPv6 à double pile ou IPv4 uniquement.

Vous configurez l'adresse PSA dans un sous-réseau au sein du VCN. Vous pouvez considérer l'adresse PSA comme une autre carte d'interface réseau virtuelle du VCN. Vous pouvez contrôler l'accès à cette carte d'interface réseau virtuelle comme vous le feriez pour n'importe quelle autre carte d'interface réseau virtuelle : utilisez des règles de sécurité dans une liste de sécurité, un groupe de sécurité réseau ou utilisez des stratégies et des attributs de sécurité de routage de paquets ZPR que vous définissez et implémentez.

Le diagramme suivant illustre ce concept.

L'adresse PSA donne aux hôtes d'un VCN ou d'un réseau sur site un accès au service Oracle d'intérêt (par exemple, Autonomous AI Database Serverless). Le modèle d'accès privé est similaire à une passerelle de service : si vous avez créé cinq bases de données d'IA autonomes pour un VCN spécifique, les cinq seront accessibles via une seule adresse PSA en envoyant des demandes à l'adresse PSA pour le service. Avec le modèle d'adresse privée, il y aurait cinq adresses privées distinctes : une pour chaque base de données d'IA autonome et chacune avec sa propre adresse IP privée.

Pour permettre aux hôtes sur site d'utiliser le nom de domaine qualifié complet de l'adresse privée au lieu de son adresse IP privée, vous avez deux options :

• Configurez une adresse d'écoute DNS. Pour obtenir un exemple d'implémentation de ce scénario avec le fournisseur Oracle Terraform, reportez-vous à Configuration DNS hybride.
• Gérez la résolution de nom d'hôte manuellement.

Vous pouvez disposer de différents réseaux cloud virtuels avec des hôtes ayant besoin d'accéder à la ressource voulue. Vous pouvez appairer les réseaux Cloud virtuels afin que les hôtes des autres réseaux Cloud virtuels puissent également utiliser l'adresse privée (le diagramme précédent n'affiche aucun réseau cloud cloud virtuel appairé).

Remarques spécifiques au service

Object Storage

• L'adresse PSA pour Object Storage bloque les demandes pré-authentifiées inter-locations, les informations d'identification étrangères et l'accès anonyme à Object Storage.
• L'adresse PSA pour Object Storage fournit un débit allant jusqu'à 25 Gbits/s.

Quand utiliser une adresse PSA pour Object Storage au lieu d'une adresse privée

PSA est recommandé dans la plupart des cas d'utilisation d'Object Storage car il crée un accès privé transparent à l'échelle de la région sans modification du code ni dépendance à l'égard des adresses publiques. Il inclut des fonctionnalités de sécurité améliorées (par exemple, bloque les informations d'identification inter-locations/demandes pré-authentifiées, offre des mesures de trafic et des attributs de confiance nulles). Les adresses privées sont idéales lorsque vous devez restreindre l'accès à des espaces de noms, des compartiments ou des buckets spécifiques pour certains clients, ce qui est idéal pour un contrôle affiné et les scénarios nécessitant des noms de domaine qualifiés complets dédiés. Service Gateway reste une option lorsque vous avez besoin d'une bande passante plus élevée ou lorsque vous souhaitez un accès facile et étendu à tous les services OCI, mais avec moins de granularité et de contrôles de sécurité.

Gestion des adresses PSA

Les actions de gestion de base suivantes sont disponibles pour les endpoints PSA :

• Liste des adresses PSA
• Créer une adresse PSA
• Obtention des détails d'adresse PSA
• Modification d'une adresse PSA
• Déplacement d'une adresse PSA vers un autre compartiment
• Suppression d'une adresse PSA