Remarques :

Configurer l'accès au service privé (PSA) dans Oracle Cloud Infrastructure pour accéder en toute sécurité aux services Oracle à partir de votre VCN

Introduction

Oracle Cloud Infrastructure (OCI) introduit Private Service Access (PSA), une nouvelle structure réseau qui fournit une connectivité IP privée aux services OCI (y compris les API, Object Storage et les référentiels Yum) directement au sein de votre réseau cloud virtuel (VCN). Avec PSA, les workloads peuvent atteindre les services OCI en toute sécurité sans passer par le réseau Internet public, tout en continuant à utiliser les mêmes noms de domaine qualifiés complets familiers.

Jusqu'à présent, les clients disposaient de deux options principales pour la connectivité privée. La passerelle de service (SGW) a permis d'accéder à Oracle Services Network (OSN) à partir d'un VCN privé, mais elle s'appuie sur l'adressage IP public et offre un accès large, tout ou rien. D'autre part, de nombreux services ont introduit des adresses privées pour fournir un accès plus isolé, mais celles-ci devaient être configurées par service, ce qui créait de la complexité à grande échelle.

PSA relie ces approches en combinant le meilleur des deux mondes :

Dans ce tutoriel, vous apprendrez à configurer PSA dans votre VCN, à valider la connectivité privée en testant l'accès à une API de service OCI (telle qu'Object Storage, Oracle Yum, l'API ZPR, etc.) et à confirmer que le trafic reste sur des adresses IP privées plutôt que sur le réseau Internet public. A la fin, vous comprendrez comment PSA se compare à la passerelle de service et aux adresses privées, et comment l'adopter dans le cadre d'une stratégie de mise en réseau OCI sécurisée et moderne.

Pourquoi ce tutoriel est-il essentiel ?

La connectivité privée aux services Oracle a toujours été possible dans OCI, mais les options sont venues avec des compromis. La passerelle de service a offert aux clients un moyen simple d'accéder à Oracle Services Network, mais elle s'appuyait toujours sur des adresses IP publiques et ne permettait qu'un accès étendu. Les adresses privées propres au service offraient une isolation plus forte, mais vous deviez les déployer et les gérer individuellement, ce qui ajoutait une surcharge opérationnelle au fur et à mesure du redimensionnement.

Private Service Access (PSA) comble le fossé en fournissant une solution unifiée et native de VCN pour accéder aux API de service OCI. Il garantit que le trafic reste sur des adresses IP privées, applique le contrôle d'accès par service et conserve les mêmes noms de domaine qualifiés complets que vos applications utilisent déjà.

Ce tutoriel est essentiel car il vous montre comment configurer PSA de bout en bout, valider que vos workloads se connectent aux API de service OCI sans toucher à l'Internet public et comprendre comment PSA se compare aux approches existantes. En le complétant, vous obtiendrez les bases nécessaires pour adopter PSA en toute confiance dans vos propres environnements OCI.

Architecture

Cette architecture affiche une machine virtuelle client, appelée instance PSA, exécutée sur un sous-réseau privé sans accès Internet (via IGW ou NAT GW) et sans connectivité aux services OCI via une passerelle de service. Au lieu de cela, la machine virtuelle utilise l'accès au service privé (PSA) pour atteindre les services publics OCI. Un serveur de saut dans un sous-réseau public est utilisé pour se connecter à l'instance PSA via SSH au cours des tests.

Lorsqu'une adresse PSA est créée, le service met automatiquement à jour le résolveur DNS privé du VCN en ajoutant les noms de domaine qualifiés complets des services publics OCI cible aux vues privées et en les mettant en correspondance avec l'adresse IP privée du service PSA. De même, lorsque l'adresse PSA est supprimée, ces noms de domaine qualifiés complets sont supprimés. Par exemple, yum.eu-madrid-1.oci.oraclecloud.com, network-load-balancer-api.eu-madrid-1.oci.oraclecloud.com, et d'autres.

Architecture

Objectifs

A la fin de ce tutoriel, vous allez :

Prérequis

Tâche 1 : déploiement d'un composant réseau (VCN, sous-réseaux et machines virtuelles)

1.- Déployez un réseau cloud virtuel (VCN) avec au moins deux sous-réseaux (sous-réseau public et privé) dans votre location, en utilisant un CIDRIPv4 CIDR IPv4 de votre choix ou en suivant l'architecture recommandée. Pour plus d'informations, reportez-vous aux sections suivantes :

2.- Déployez deux machines virtuelles linux (Serveur de saut en public, instance PSA en privé), une pour chaque sous-réseau. Pour plus d'informations, reportez-vous aux sections suivantes :

Tâche 2 : tester la machine virtuelle Jump Server pour accéder à l'instance PSA

Nous utiliserons la machine virtuelle Linux Jump Server comme point d'accès pour accéder à la machine virtuelle hébergée dans le sous-réseau privé (l'instance PSA). Comme vous le savez, les machines virtuelles des sous-réseaux privés sont accessibles uniquement via leurs adresses IP privées et n'ont aucune connectivité Internet. Pour activer l'accès, vous devez télécharger la clé privée SSH de l'instance PSA vers le serveur Jump Server. A partir de là, vous pouvez lancer des connexions SSH à l'instance PSA. Nous vous recommandons d'utiliser SFTP pour télécharger la clé en toute sécurité.

Une fois que vous avez téléchargé la clé privée pour sauter le serveur via SFTP, vous entrez dans le serveur de saut et :

ssh -i private_PSA_instance_ssh.prv 10.200.20.X ( your vm PSA instace ip)

Remarque : si vous rencontrez des problèmes de compatibilité lors de l'utilisation de la clé privée SSH générée dans OCI, vous pouvez la convertir au format requis à l'aide d'un outil tel que PuTTYgen (pour Windows) ou OpenSSL (pour Linux/macOS). Ces outils vous permettent de transformer la clé entre les formats afin qu'elle puisse être utilisée de manière transparente avec votre client SSH.

Reportez-vous à cette documentation pour puttyGen : PuttyGen

Tâche 3 : installer l'interface de ligne de commande OCI dans l'instance PSA

Maintenant que vous êtes connecté à l'instance PSA, vous devez installer l'interface de ligne de commande OCI

Reportez-vous à cette documentation pour l'installation de l'interface de ligne de commande OCI : installation de l'interface de ligne de commande OCI

Notez que cette machine virtuelle PSA, hébergée dans un sous-réseau privé, nécessite temporairement un accès Internet. Nous vous recommandons d'ajouter une passerelle NAT à votre VCN et de créer un routage 0.0.0.0/0 pointant vers celui-ci.

Reportez-vous à la documentation suivante pour configurer et utiliser la passerelle NAT : OCI NAT Gateway

Après l'installation, il est très important de supprimer la passerelle NAT du sous-réseau privé. L'objectif est de tester le service Oracle à partir d'un sous-réseau strictement privé sans accès public, entrant ou sortant.

Tâche 4 : ajouter les services PSA à tester

Dans cette tâche, nous allons ajouter un ensemble de services PSA à tester ultérieurement à partir de l'instance PSA privée via l'API de l'interface de ligne de commande OCI.

1.- Accédez à la console OCI : Networking-VCN
Configuration PSA réseau 1

2.- Cliquez sur Réseaux cloud virtuels et choisissez le VCN où se trouve l'instance privée PSA.
Configuration PSA réseau 2

3.- Dans VCN, choisissez l'accès au service privé.
Configuration PSA réseau 3

4.- Appuyez sur le bouton Créer un point final PSA.
Configuration PSA réseau 4

5.- Une fois dans le menu Créer un PSA, vous devrez choisir le nom du service PSA, le compartiment dans lequel il sera créé, le type de service PSA à créer, le compartiment et le sous-réseau dans lequel l'adresse sera créée. En outre, vous pouvez choisir une affectation automatique d'adresse IP privée ou manuelle. La dernière option concerne la sécurité. Il est vivement recommandé d'affecter un ou plusieurs groupes de sécurité réseau ZPR pour autoriser le trafic vers cette adresse.
Réseau PSA cnfig 5
Configuration PSA réseau 6
Configuration PSA réseau 7

Une fois créés, les PSA s'affichent dans la liste suivante :
Configuration PSA réseau 8

Une adresse IP privée est affectée au PSA à partir du sous-réseau dans lequel il a été créé. Cette adresse IP privée peut être affectée automatiquement ou choisie manuellement à partir du sous-réseau, et dans la console, elle est affichée en tant qu'adresse IPv4. Le PSA est également associé à un nom de domaine qualifié complet (nom de domaine) pour le service privé, affiché dans la console en tant que nom de domaine qualifié complet IPv4, qui est mis en correspondance avec la même adresse IP privée.

Tâche 5 : test de l'adresse PSA

Nous devons maintenant tester le point de terminaison PSA. Dans cet exemple, nous allons tester le serveur YUM et l'API de plan de contrôle de routage Zero Trust Packer.

1.- Tout d'abord, connectez-vous au serveur Jump via SSH.

2.- A partir du serveur Jump, connectez-vous à l'instance PSA privée.

Remarque : cette instance n'a pas accès à Internet et n'est connectée ni à une passerelle de service ni à une passerelle NAT."

[opc@jumpserver ~]\$ ssh -i private_OCI_v2_ssh.prv 10.200.20.67

[opc@privateinstace-psa-test ~]\$

Lors de la prévérification, nous allons tester si le nom de domaine qualifié complet IPv4 pointe réellement vers son adresse IP privée.

dig +short yum.eu-madrid-1.oci.oraclecloud.com 
10.200.20.172

Si vous voyez une adresse IP publique au lieu d'une adresse IP privée, quelque chose s'est mal passé. Pour plus d'informations sur IPv4, IPv4

Maintenant, appelons yum update

Mise à jour yum

Le service Yum passe par son adresse privée PSA 'yum.eu-madrid-1.oci.oraclecloud.com' à l'adresse 10.200.20.172 ! !

Le ZPR :

dig +short zpr.eu-madrid-1.oci.oraclecloud.com
10.200.20.128

Permet désormais de répertorier le nombre de stratégies ZPR dans une location donnée

oci zpr zpr-policy list  --compartment-id ocid1.tenancy.oc1..aaaaaaaabh2affulc4dt4tqs7lbojyhqi6hzXXXXXX  --region eu-madrid-1

test de liste zpr

Conclusion

Dans ce tutoriel, vous avez appris à utiliser l'accès aux services privés (PSA) pour permettre aux charges de travail des sous-réseaux privés d'atteindre en toute sécurité les services publics Oracle Cloud Infrastructure sans connectivité Internet ou entre passerelles de service. Nous avons parcouru la configuration d'une adresse PSA, le rôle du DNS privé du VCN dans la mise en correspondance des noms de domaine qualifiés complets de service avec des adresses IP privées et comment accéder à l'instance privée via un serveur Jump Server.

PSA est important car il vous donne plus de contrôle et de flexibilité sur les services exposés via des adresses privées. Au lieu d'ouvrir un large accès, vous pouvez définir exactement quels services publics OCI sont accessibles, ce qui rend votre architecture plus sécurisée et plus granulaire en termes de contrôle d'accès.

En effectuant les étapes de configuration et de vérification, vous avez vu comment PSA fournit un moyen simple mais puissant d'améliorer la sécurité tout en gardant le trafic entièrement dans votre VCN. Avec ces fondations en place, vous pouvez désormais intégrer PSA dans des scénarios plus complexes.

Accusés de réception

Ressources de formation supplémentaires

Explorez d'autres ateliers sur le site docs.oracle.com/learn ou accédez à d'autres contenus d'apprentissage gratuits sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, consultez Oracle Help Center.