Documentation Oracle Cloud Infrastructure

Configurer une URL personnalisée à l'aide du service Oracle Web Application Firewall V2

Vous pouvez utiliser l'équilibreur de charge et le service Web Application Firewall d'Oracle V2 (WAF V2) pour vous aider à configurer la prise en charge d'une URL personnalisée pour une instance Visual Builder.

Lorsque vous configurez une URL personnalisée pour une instance Visual Builder (par exemple, https://<my-custom-url.com>/ic/builder/), vous pouvez accéder directement à votre instance à l'aide de l'URL personnalisée. Lorsque vous publiez une application à partir de l'URL personnalisée, l'application utilise l'URL personnalisée (par exemple, https://<my-custom-url.com>/ic/builder/rt/).

Vous pouvez également configurer une application Visual Builder pour qu'elle utilise une URL personnalisée, également appelée URL personnalisée, afin que les clients puissent accéder à l'application en utilisant uniquement l'URL personnalisée de base (https://<my-custom-url.com>).

Le service WAF V2 vous permet de définir une stratégie qui mettra en correspondance un nom de domaine personnalisé avec le service WAF en tant que serveur d'origine pour votre service VB. Pour ce faire, vous allez utiliser un équilibreur de charge public pour gérer les certificats dans votre location. Vous pouvez configurer l'équilibreur de charge dans le service Load Balancer d'Oracle.

En utilisant WAF pour mettre en correspondance le nom DNS de votre choix avec un service VB, vous pouvez gérer la mise en correspondance de votre nom DNS et télécharger vous-même le certificat et la clé privée associés au lieu de configurer l'instance VB pour les gérer.

Ces instructions supposent que vous disposez d'un accès direct à une instance Visual Builder et à la console Oracle Cloud Infrastructure (OCI). Pour plus d'informations sur l'utilisation de votre instance derrière une passerelle d'API ou WAF, reportez-vous aux sections suivantes :

Avant de configurer l'URL personnalisée

Avant de commencer à configurer l'URL personnalisée, vous devez connaître certains détails sur votre instance. Vous devez également connaître les limites de l'utilisation d'une URL personnalisée pour une instance Visual Builder.

Ce dont vous aurez besoin pour configurer l'URL personnalisée :

  • Instance Visual Builder : vous devez avoir déjà provisionné une instance Visual Builder (ou Integration) sur Oracle Cloud. L'instance doit être une instance gérée par Oracle basée sur PSM/OCI.
  • Adresse IP publique de l'équilibreur de charge de l'instance de base de données virtuelle : vous pouvez obtenir l'adresse IP de l'équilibreur de charge en saisissant le nom d'hôte à l'aide de l'URL. Par exemple, pour l'URL :

    https://vbmyinst-vb-axdkj3wttbhm.builder.us-ashburn-1.ocp.oraclecloud.com/ic/builder/

    Exécutez la commande suivante à partir du terminal pour obtenir l'adresse IP requise pour configurer les back-ends :

    dig https://vbmyinst-vb-axdkj3wttbhm.builder.us-ashburn-1.ocp.oraclecloud.com

  • Nom DNS : vous devez décider quel nom DNS sera utilisé pour accéder au système, et ce nom doit se trouver dans un domaine DNS que vous possédez.
  • Certificat SSL : vous devez disposer d'un certificat SSL signé par une autorité de certification avec une clé privée pour le nom DNS.

Limitations connues

Les URL personnalisées sont soumises aux limitations suivantes :

  • Une seule application Web à la fois est accessible à l'aide du contexte racine ('/') de l'URL personnalisée.

Création d'un équilibreur de charge et configuration d'un nom d'hôte

Vous pouvez utiliser le service d'équilibreur de charge Oracle pour créer un équilibreur de charge public afin de gérer les certificats dans votre location.

Un équilibreur de charge fournit la répartition automatique du trafic d'un point d'entrée vers des serveurs accessibles depuis votre réseau cloud virtuel. Pour plus d'informations sur l'équilibreur de charge Oracle, reportez-vous à Présentation d'Oracle Load Balancer et à Création d'un équilibreur de charge.

Pour créer un équilibreur de charge, procédez comme suit :

  1. Dans la console OCI, cliquez sur Menu de navigation l'icône Menu, sélectionnez Fonctions de réseau, puis Equilibreur de charge.
  2. Créez un équilibreur de charge :
    1. Sur la page Equéquilibreurs de charge, cliquez sur Créer un équilibreur de charge
    2. Sélectionnez le type Load Balancer, puis cliquez sur Créer un équilibreur de charge pour ouvrir la page Créer un équilibreur de charge afin de définir les détails de l'équilibreur de charge.
    3. Dans la page Ajouter des détails, sélectionnez les valeurs par défaut des formes et des options de mise en réseau.

      Dans la section Choisir un réseau, vous devez sélectionner un réseau cloud virtuel et un sous-réseau, s'ils ne sont pas déjà sélectionnés.


      Description de l'image waf-load-choose-networking.png
      Description de l'illustration waf-load-choose-networking.png et

      Cliquez sur Suivant.

    4. Dans le volet Spécifier la stratégie de vérification de l'état de la page Choisir les back-ends, sélectionnez TCP comme protocole et définissez le port sur 443. Cliquez sur Suivant.
    5. Dans le panneau Certificat SSL de la page Configurer le processus d'écoute, sélectionnez Certificat géré par l'équilibreur de charge dans la liste déroulante Ressource de certificat.
    6. Fournissez votre chaîne de certificats et votre clé privée. Cliquez sur Suivant.
    7. Dans la page Manage Logging, acceptez les paramètres par défaut. Cliquez sur Soumettre pour créer l'équilibreur de charge.
      Remarque

      Le provisionnement de l'équilibreur de charge prend quelques minutes.
  3. Une fois l'équilibreur de charge provisionné, cliquez sur le nom du nouvel équilibreur sur la page Equilibreurs de charge pour ouvrir l'onglet Détails correspondant.
  4. Ouvrez l'onglet Noms d'hôte, puis cliquez sur Créer un nom d'hôte.
  5. Entrez un nom et un nom d'hôte dans la page Create hostname. Cliquez sur Créer.

    Le nom d'hôte sera votre adresse personnalisée.


    Description de l'image waf-load-hostnames-tab.png
    description de l'illustration waf-load-hostnames-tab.png,

  6. Ouvrez l'onglet Processus d'écoute et modifiez le processus d'écoute pour ajouter le nom d'hôte. Cliquez sur Enregistrer les modifications,
  7. Configurez le réseau cloud virtuel (VCN) de l'équilibreur de charge :
    1. Ouvrez l'onglet Détails de l'équilibreur de charge, puis cliquez sur le lien Réseau cloud virtuel (VCN) pour ouvrir l'onglet Détails du VCN :
    2. Ouvrez l'onglet Passerelles du VCN, puis cliquez sur Créer une passerelle Internet.
    3. Sur la page Créer une passerelle Internet, entrez un nom, puis cliquez sur Créer une passerelle Internet pour revenir à l'onglet Passerelles.
    4. Dans l'onglet Passerelles, cliquez sur Créer une passerelle NAT.
    5. Sur la page Créer une passerelle NAT, entrez le nom de la passerelle et sélectionnez Adresse IP publique éphémère. Cliquez sur Créer une passerelle NAT.
    6. Ouvrez l'onglet Routage, puis cliquez sur Créer une table de routage.
    7. Sur la page Créer une table de routage, entrez un nom, puis cliquez sur Créer une table de routage pour revenir à l'onglet Routage.
    8. Cliquez sur la nouvelle table de routage pour ouvrir sa page de détails.
    9. Ouvrez l'onglet Règles de routage, puis cliquez sur Ajouter des règles de routage.
    10. Dans la page Ajouter des règles de routage, entrez les détails suivants pour la règle de routage de passerelle NAT :
      • Type de cible : passerelle NAT.
      • Bloc CIDR de destination : indiquez l'adresse IP publique de l'équilibreur de charge de l'instance Visual Builder (reportez-vous à Configuration ci-dessus pour savoir comment l'obtenir). S'il s'agit d'une seule adresse IP, ajoutez-y /32 pour former un seul bloc CIDR IP.
      • Compartiment : à laisser tel quel.
      • Cible : sélectionnez la passerelle NAT que vous avez créée.
      • Description : description facultative de la règle.

      Description de l'image waf-load-add-route-rules.png
      description de l'illustration waf-load-add-route-rules.png,

      Vous devez créer une règle de routage de passerelle NAT pour chacune de vos adresses IP d'équilibreur de charge publiques d'instance Visual Builder. Pour ajouter une règle de routage, cliquez sur + Une autre règle de routage.

    11. Cliquez sur + Une autre règle de routage, puis entrez les détails suivants pour la règle de routage de passerelle Internet :
      • Type de cible : passerelle Internet.
      • Bloc CIDR de destination : 0.0.0.0/0
      • Compartiment : à laisser tel quel.
      • Passerelle Internet cible : sélectionnez la passerelle Internet que vous avez créée.
      • Description : description facultative de la règle.

      Cliquez sur Ajouter des règles de routage.

    12. Confirmez que le statut de vérification de l'état de votre ensemble de back-ends est OK.
  8. Revenez à l'onglet Details de l'équilibreur de charge.
  9. Configurez le sous-réseau de l'équilibreur de charge :
    1. Dans l'onglet Détails de l'équilibreur de charge, cliquez sur le lien Sous-réseau pour ouvrir sa page de détails.
    2. Ouvrez l'onglet Sécurité du sous-réseau, puis cliquez sur la liste de sécurité par défaut dans la table pour ouvrir son panneau Détails.
    3. Ouvrez l'onglet Règles de sécurité.
    4. Modifiez la règle pour l'entrée 0.0.0.0/0 dans la table Règles entrantes afin de définir la plage de ports de destination sur 443. Cliquez sur Enregistrer les modifications,
  10. Définissez l'option SSL pour le back-end :
    1. Sur la page Back-ends, sélectionnez l'option SSL.
    2. Sélectionnez l'option Certificat géré par l'équilibreur de charge.
    3. Sélectionnez Certificat géré par l'équilibreur de charge et sélectionnez le certificat dans la liste déroulante.
      Remarque

      Si vous obtenez une erreur indiquant qu'un certificat d'autorité de certification est manquant, créez un certificat géré par l'équilibreur de charge et fournissez le certificat de serveur et le certificat intermédiaire séparément au lieu d'une chaîne combinée.
  11. Ajoutez un nouveau back-end :
    1. Ouvrez l'onglet Ensembles de back-ends, puis cliquez sur le lien de l'ensemble de back-ends dans la table pour ouvrir l'onglet Détails correspondant.
    2. Ouvrez l'onglet Back-ends, puis cliquez sur Ajouter un back-end.
    3. Sélectionnez l'option Adresses IP et définissez les détails de back-end suivants :
      • Adresse IP : indiquez l'adresse IP de l'équilibreur de charge. Il s'agit de l'adresse IP obtenue lorsque vous avez utilisé la commande dig sur le nom d'hôte Visual Builder.
      • Port : définissez le port sur 443.

      Description de l'image waf-load-add-backend.png
      description de l'illustration waf-load-add-backend.png,

      Cliquez sur Ajouter.

  12. (Facultatif) Si vous souhaitez restreindre l'accès :
    1. Ouvrez l'onglet Stratégies, puis cliquez sur Créer une stratégie de routage.
    2. Dans la page Créer une stratégie de routage, entrez le nom de la stratégie de routage.
    3. Dans le volet Conditions, configurez la stratégie en définissant les paramètres suivants :
      • Lorsque les conditions suivantes sont remplies : définissez-la sur If All Match
      • Type de condition : défini sur Path
      • Opérateur : défini sur Is
      • Chaîne d'URL : définissez cette valeur sur /.

      Description de l'image waf-load-create-routingpolicy.png
      Description de l'illustration waf-load-create-routingpolicy.png

    4. Dans le volet Action, définissez l'action Acheminer vers le back-end en sélectionnant l'ensemble de back-ends dans la liste déroulante. Cliquez sur Suivant.
    5. Définissez l'ordre dans lequel les stratégies doivent être exécutées, si nécessaire. Cliquez sur Créer une stratégie de routage pour revenir à l'onglet Stratégies.
    6. Dans l'onglet Stratégies, cliquez sur Créer un ensemble de règles.
    7. Dans la page Créer un jeu de règles, entrez le nom du jeu de règles.
    8. Sélectionnez Spécifier les règles d'en-tête de demande, puis entrez les détails suivants :
      • Action : Add Request Header
      • En-tête : Host
      • Valeur : ajoutez votre URL personnalisée (par exemple : myhost.example.com).

      Description de l'image waf-load-create-ruleset.png
      Description de l'illustration waf-load-create-ruleset.png

      Cliquez sur Soumettre pour revenir à l'onglet Stratégies.

Création d'une stratégie WAF

Vous utilisez une stratégie WAF pour configurer les règles d'accès, les règles de limitation de débit et les règles de protection du service Web Application Firewall.

Lorsque vous créez et configurez une stratégie WAF pour votre URL personnalisée, vous devez indiquer l'équilibreur de charge utilisé pour votre instance Visual Builder.

Pour créer une stratégie WAF et indiquer l'équilibreur de charge, procédez comme suit :

  1. Connectez-vous à la console Oracle Cloud Infrastructure et ouvrez Stratégies WAF sous Sécurité.
  2. Sélectionnez le compartiment dans lequel créer la stratégie WAF, puis cliquez sur Créer une stratégie WAF.
  3. Entrez le nom de la stratégie dans la boîte de dialogue Create WAF Policy.
  4. Acceptez toutes les autres valeurs par défaut, puis cliquez sur Suivant jusqu'à ce que vous atteigniez l'étape Sélectionner un point d'application.
  5. A l'étape Sélectionner un point de mise en application, sélectionnez l'équilibreur de charge que vous avez créé et terminez la configuration WAF.
  6. Cliquez sur Créer une stratégie WAF.

Maintenant que la stratégie est créée et que vous l'avez configurée pour utiliser votre équilibreur de charge, vous pouvez la configurer. Vous pouvez modifier la configuration de la stratégie à tout moment. Lors de la configuration de la stratégie, vous pouvez utiliser les actions prédéfinies ou créer vos propres actions personnalisées. Pour plus d'informations sur les stratégies WAF, reportez-vous à Introduction aux stratégies Web Application Firewall.

Configurer le DNS

Inscrivez ou mettez à jour le nom DNS personnalisé avec l'adresse IP publique de l'équilibreur de charge.

Dans la configuration DNS du nom que vous avez choisi pour accéder à l'instance de service VB, modifiez l'enregistrement A pour qu'il pointe vers l'adresse IP publique de l'équilibreur de charge. Dans l'image suivante, la valeur de l'enregistrement A est définie sur l'adresse IP publique de l'équilibreur de charge 152.70.200.184 :


Description de l'image waf-configure-dns.png
Description de l'image waf-configure-dns.png

Remarque

L'adresse IP publique de votre équilibreur de charge figure dans l'onglet Informations sur l'équilibreur de charge de la page Equilibreur de charge :


Description de l'image waf-load-ipaddress.png
Description de l'image waf-load-ipaddress.png