Remarques :
- Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction au niveau gratuit d'Oracle Cloud Infrastructure.
- Il utilise des exemples de valeurs pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.
Ajout d'un équilibreur de charge OCI et d'OCI WAF à un hub avec une architecture de routage VCN hub et satellite
Introduction
Ce tutoriel vous guidera tout au long des tâches nécessaires pour déployer et configurer un équilibreur de charge Oracle Cloud Infrastructure (OCI) avec OCI Web Application Firewall (WAF) dans OCI et expliquera comment cela fonctionnera dans un environnement de routage VCN Hub et Spoke.
L'image suivante illustre les flux de trafic.
Connectivité externe au satellite à l'aide de l'équilibreur de charge et de WAF
Objectifs
- Nous configurerons un équilibreur de charge OCI avec la stratégie OCI WAF dans une architecture réseau Hub et Spoke. En outre, nous allons configurer les serveurs Web pour surveiller et suivre la façon dont l'équilibreur de charge distribue le trafic.
Prérequis
-
Veillez à suivre les tutoriels suivants si vous souhaitez recréer le contenu de ce tutoriel.
-
Permet de déployer une instance Windows dans Oracle Cloud Infrastructure
-
Installation d'un pare-feu pfSense dans Oracle Cloud Infrastructure
-
Routage du hub et du VCN satellite avec le pare-feu pfSense dans le VCN du hub
-
Connexion sur site à OCI à l'aide d'un VPN IPSec avec une architecture de routage VCN Hub et Spoke
-
Tâche 1 : examiner l'architecture actuelle du hub et du réseau satellite
Pour poursuivre ce tutoriel, nous devrions avoir :
- 1 x Hub VCN (avec un pare-feu, une passerelle Internet, une passerelle NAT et une passerelle de service)
- 3 réseaux cloud virtuels spoke
- 1 x connexion VPN sur site associée à une connexion VPN IPSec
Dans le VCN Hub, nous avons une instance Windows que nous pouvons utiliser pour nous connecter aux instances spoke. Chaque spoke a une instance qui sera configurée en tant que serveur Web. Ces instances peuvent être utilisées en tant qu'adresses pour l'équilibreur de charge que nous allons déployer dans ce tutoriel.
L'image suivante illustre le point de départ.
Tâche 2 : configuration du routage dans l'architecture de hub et de réseau satellite entre OCI WAF et OCI Load Balancer, le pare-feu Hub et les instances satellite
L'image suivante illustre l'architecture réseau Hub et Spoke actuelle avec toutes les listes de sécurité et les tables de routage.
Avant d'ajouter l'équilibreur de charge OCI, nous voulons nous assurer que le trafic provenant du sous-réseau OCI Load Balancer est acheminé vers le pare-feu hub afin que le trafic puisse être inspecté sur le pare-feu hub avant d'envoyer le trafic aux instances spoke.
Bien que nous ayons déjà une règle de routage par défaut faisant cela, il est toujours recommandé d'ajouter cette règle pour l'appeler explicitement comme nous l'avons fait avec les autres réseaux.
-
Ajoutez la règle d'acheminement.
-
Connectez-vous à la console OCI, accédez à Fonctions de réseau, à Réseaux cloud virtuels et à Réseau cloud virtuel.
-
Cliquez sur Tables de routage.
- Sélectionnez la table de routage VCN_HUB_RT_DRG_TRANSIT.
-
-
Cliquez sur Ajouter des règles de routage.
- Type de cible : sélectionnez Adresse IP privée.
- Type de destination : entrez Bloc CIDR.
- Bloc CIDR de destination : entrez
0.0.0.0/0
. - Sélection de cible : entrez
172.16.0.20
. Il s'agit de l'adresse IP de notre pare-feu pfSense. - Cliquez sur Ajouter des règles de routage.
-
Notez que le routage
172.16.0.128/25
est désormais ajouté à la table de routage VCN_HUB_RT_DRG_TRANSIT.L'image suivante illustre l'architecture réseau Hub et Spoke actuelle avec toutes les listes de sécurité et les tables de routage avec les règles de routage.
Tâche 3 : installer un serveur Web sur les serveurs back-end
Installez un serveur Web NGINX sur toutes les instances des réseaux cloud virtuels spoke. Pour plus d'informations sur l'installation d'un serveur Web NGINX sur une instance Oracle Linux, reportez-vous à Tâche 6 : installation d'un serveur Web sur une instance.
Tâche 4 : créer ou modifier une page Web sur les serveurs back-end
Par défaut, chaque serveur Web est configuré avec une page Web par défaut. Pour savoir où notre équilibreur de charge OCI redirige le trafic vers celui-ci, il est recommandé de modifier quelque chose sur la page Web afin de savoir quel serveur est touché.
Pour ce faire, nous pouvons modifier le contenu du fichier index.html
NGINX par défaut.
sudo nano /usr/share/nginx/html/index.html
Pour l'instance A, modifiez l'en-tête :
<h1>Welcome to nginx! This is INSTANCE-A</h1>
Pour Instance-B, modifiez l'en-tête :
<h1>Welcome to nginx! This is INSTANCE-B</h1>
Pour Instance-C, modifiez l'en-tête :
<h1>Welcome to nginx! This is INSTANCE-C</h1>
Veillez à enregistrer les fichiers index.html
après les avoir modifiés.
Tâche 5 : installation d'un équilibreur de charge OCI
Avant de créer l'équilibreur de charge OCI, nous devons d'abord autoriser l'entrée du port 80 sur la liste de sécurité du hub VCN. Tout le trafic, y compris le trafic provenant de l'équilibreur de charge dans le sous-réseau public du VCN HUB, est acheminé vers le pare-feu HUB. Les instances que l'équilibreur de charge va utiliser avec des adresses écoutent sur le port TCP/80. Pour cette raison, nous devons également autoriser l'entrée du port TCP/80 sur le VCN du hub afin que le sous-réseau privé dans le VCN du hub où le trafic est acheminé autorise également la communication vers les réseaux cloud virtuels spoke.
-
Ajouter une règle entrante.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Fonctions de réseau.
- Cliquez sur Réseaux cloud virtuels.
- Assurez-vous que vous êtes dans la section Réseau cloud virtuel.
- Cliquez sur le VCN HUB-VCN.
-
Cliquez sur Listes de sécurité.
-
Cliquez sur la liste de sécurité par défaut pour HUB-VCN.
- Assurez-vous que vous êtes dans la section Règles entrantes.
- Cliquez sur Ajouter des règles entrantes.
- Ajoutez une règle de sécurité autorisant TCP/80 à partir de la source (
172.16.0.128/25
) vers toutes les destinations.
Remarque :
-
Nous utilisons la liste de sécurité par défaut qui est appliquée au HUB-VCN et donc appliquée à tous les sous-réseaux distincts à l'intérieur de ce HUB-VCN.
-
Cela signifie également que le trafic allant du sous-réseau public vers le sous-réseau privé à l'intérieur du HUB-VCN est également soumis à cette liste de sécurité par défaut car la même liste de sécurité par défaut est appliquée aux deux sous-réseaux.
-
Pour cette raison, nous autorisons l'entrée du port TCP/80, car si nous ne le faisons pas, l'équilibreur de charge ne peut pas communiquer avec les serveurs back-end comme tous les autres. le trafic est envoyé du sous-réseau public au sous-réseau privé car nous utilisons une architecture HUB-et-Spoke avec un pare-feu dans le sous-réseau privé du HUB-VCN.
-
L'image suivante illustre ce que vous avez créé jusqu'à présent avec la règle de sécurité ajoutée.
-
Créez l'équilibreur de charge.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Fonctions de réseau.
- Cliquez sur Equipement de chargement.
-
Cliquez sur Créer un équilibreur de charge.
- Entrez un nom d'équilibreur de charge.
- Sélectionnez Publique pour le type de visibilité.
- Sélectionnez Adresse IP éphémère.
- Défiler vers le bas.
-
Conservez toutes les valeurs par défaut et faites défiler vers le bas.
- Sélectionnez le VCN auquel vous souhaitez attacher l'équilibreur de charge.
- Sélectionnez le sous-réseau auquel attacher l'équilibreur de charge.
- Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
- Sélectionnez Tour de rôle pondéré comme stratégie d'équilibrage de charge.
- Cliquez sur Ajouter des backends.
- Sélectionnez tous les back-ends des instances dans les réseaux cloud virtuels spoke.
- Cliquez sur Ajouter les back-ends sélectionnés.
- Vérifiez les back-ends et modifiez le port si nécessaire. Dans ce tutoriel, toutes les instances de back-end écoutent le port 80.
- Défiler vers le bas.
-
Conservez les valeurs par défaut de la stratégie de vérification de l'état et cliquez sur Suivant.
- Entrez un nom de processus d'écoute.
- Sélectionnez HTTP comme type de trafic géré par le processus d'écoute.
- Entrez un port de processus d'écoute de type 80.
- Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
- Sélectionnez un groupe de journaux.
- Cliquez sur Soumettre.
-
Le statut de l'équilibreur de charge est CREATING.
- Le statut de l'équilibreur de charge est passé de CREATING à ACTIVE.
- Notez que l'état général est en attente.
- L'état des ensembles de back-ends est en attente.
- Notez l'adresse IP publique de l'équilibreur de charge.
- Au bout de quelques minutes, l'état général est OK.
- Au bout de quelques minutes, l'état des ensembles de back-ends est OK.
-
Faites défiler l'affichage vers le bas pour examiner de plus près l'ensemble de back-ends.
- Cliquez sur Jeux de back-ends.
- Cliquez sur l'ensemble de back-ends disponible.
- Notez que l'état général est OK.
- Notez que l'état des ensembles de back-ends est OK.
- Défiler vers le bas.
- Cliquez sur Back-ends.
- Notez les back-ends dans la section Back-ends.
- Ouvrez une nouvelle fenêtre de navigateur.
- Entrez l'adresse IP publique de l'équilibreur de charge.
- Notez que l'équilibreur de charge redirige le trafic vers l'instance dans le VCN B spoke.
- Actualisez la page.
- Notez que l'équilibreur de charge redirige désormais le trafic vers l'instance dans le VCN C spoke.
- Actualisez la page.
- Notez que l'équilibreur de charge redirige désormais le trafic vers l'instance dans le VCN B spoke à nouveau.
- Actualisez la page.
- Notez que l'équilibreur de charge redirige désormais le trafic vers l'instance dans le VCN A spoke.
-
L'image suivante illustre ce que vous avez créé jusqu'à présent et le flux du trafic.
-
Assurez-vous que le pare-feu hub autorise le port TCP/80 de l'équilibreur de charge vers les serveurs back-end. Dans ce tutoriel, nous avons autorisé tout le trafic dans le pare-feu hub à des fins de test.
Tâche 6 : installation et configuration d'un pare-feu OCI Web Application Firewall
-
Configurez OCI Web Application Firewall.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Identité et sécurité.
- Cliquez sur Web Application Firewall.
-
Cliquez sur Créer une stratégie WAF.
- Entrez le nom de la stratégie WAF.
- Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
- Assurez-vous que l'option Activer le contrôle d'accès est activée.
-
Utilisez un site Web capable de récupérer votre adresse IP de FAI. Cette opération est requise pour configurer le contrôle d'accès dans le pare-feu d'applications Web OCI. Dans ce tutoriel, nous utilisons
www.ipchicken.com
pour extraire l'adresse IP du fournisseur de services Internet. -
Dans la section Ajouter une règle d'accès, entrez les informations suivantes.
- Cliquez sur Ajouter une règle d'accès.
- Entrez un nom pour la règle d'accès.
- Type de condition : sélectionnez Adresse IP source.
- Opérateur : sélectionnez Dans la liste.
- Plages d'adresses IP CIDR : entrez l'adresse IP de votre propre fournisseur de services Internet.
- Défiler vers le bas.
- Dans Action de règle, entrez le nom de l'action et sélectionnez Action de code de réponse 401 préconfigurée.
- Cliquez sur Ajouter une règle d'accès.
- Notez que la règle d'accès a été ajoutée.
- Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
-
Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
-
Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
- Sélectionnez l'équilibreur de charge sur lequel configurer la stratégie WAF. Utilisez l'équilibreur de charge créé dans la tâche 5.
- Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
-
Cliquez sur Créer une stratégie WAF.
-
Notez que la stratégie WAF est créée.
- Notez que le statut de la stratégie WAF est ACTIVE.
- Cliquez sur Stratégies pour revenir à la page des stratégies WAF.
-
Notez la stratégie WAF que nous venons de configurer.
Tâche 7 : test d'OCI WAF, de la connectivité de l'équilibreur de charge OCI et de la sécurité WAF
-
Ouvrez le navigateur utilisé dans la tâche 5 et actualisez la page.
Remarque : si vous l'avez fermée, entrez l'adresse IP publique de l'équilibreur de charge.
-
Notez que les serveurs Web ne sont plus accessibles car nous les avons bloqués avec la stratégie WAF.
Remerciements
- Auteur - Iwan Hoogendoorn (Spécialiste réseau OCI)
Ressources de formation supplémentaires
Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.
Pour obtenir la documentation produit, consultez le site Oracle Help Center.
Add OCI Load Balancer and OCI WAF to a Hub with Hub and Spoke VCN Routing Architecture
G12089-01
July 2024