Accesso privato
Questo argomento offre una panoramica delle opzioni per abilitare l'accesso privato ai servizi all'interno di Oracle Cloud Infrastructure. Accesso privato significa che il traffico non passa attraverso Internet. L'accesso può essere effettuato dagli host all'interno della rete cloud virtuale (VCN) o della rete on premise.
In questo argomento non viene descritto l'accesso ai servizi tramite un gateway Internet. Tuttavia, ricorda che il traffico attraverso un gateway Internet tra una VCN e un indirizzo IP pubblico che fa parte di Oracle Cloud Infrastructure viene instradato senza essere inviato tramite Internet.
Evidenziazioni
- Puoi abilitare l'accesso privato a determinati servizi all'interno di Oracle Cloud Infrastructure dalla tua VCN o dalla rete on premise utilizzando un endpoint privato o un gateway di servizi. Vedere le sezioni che seguono.
-
Per ogni opzione di accesso privato sono disponibili i seguenti servizi o tipi di risorsa:
- Con un endpoint privato:
- Con un gateway di servizi: servizi disponibili
- Con entrambe le opzioni di accesso privato, il traffico rimane all'interno della rete Oracle Cloud Infrastructure e non attraversa Internet. Tuttavia, se si utilizza un gateway di servizi, le richieste al servizio utilizzano un endpoint pubblico per il servizio.
- Se non si desidera accedere a un determinato servizio Oracle tramite un endpoint pubblico, Oracle consiglia di utilizzare un endpoint privato nella VCN (supponendo che il servizio supporti gli endpoint privati). Un endpoint privato viene rappresentato come indirizzo IP privato all'interno di una subnet nella VCN.
Informazioni sugli endpoint privati
Un endpoint privato è un indirizzo IP privato all'interno della tua VCN che puoi utilizzare per accedere a un determinato servizio all'interno di Oracle Cloud Infrastructure. Il servizio imposta l'endpoint privato in una subnet di tua scelta all'interno della VCN. Puoi considerare l'endpoint privato come un'altra VNIC nella tua VCN. Puoi controllarne l'accesso come faresti per qualsiasi altra VNIC: utilizzando le regole di sicurezza. Tuttavia, il servizio imposta questa VNIC e ne mantiene la disponibilità per conto dell'utente. Devi solo gestire la subnet e le regole di sicurezza.
Il seguente diagramma descrive il concetto.
L'endpoint privato fornisce agli host all'interno della VCN e della rete in locale l'accesso a una singola risorsa all'interno del servizio Oracle di interesse (ad esempio, un database in Autonomous Database Serverless). Confrontare tale modello di accesso privato con un gateway di servizi (vedere la sezione successiva): se sono stati creati cinque database autonomi per una determinata VCN, tutti e cinque sarebbero accessibili tramite un singolo gateway di servizi inviando richieste a un endpoint pubblico per il servizio. Tuttavia, con il modello di endpoint privato, ci sarebbero cinque endpoint privati separati: uno per ogni Autonomous Database e ciascuno con il proprio indirizzo IP privato.
Il servizio che imposta l'endpoint privato nella VCN potrebbe fornire un nome DNS (nome di dominio completo o FQDN) per l'endpoint privato e non l'indirizzo IP privato stesso. Se è stata configurata l'impostazione di rete per DNS, gli host possono accedere all'endpoint privato utilizzando il nome FQDN. Se il servizio supporta l'uso dei gruppi di sicurezza di rete (NSG) con le relative risorse, è possibile richiedere che il servizio imposti l'endpoint privato in un gruppo NSG di propria scelta all'interno della VCN. I gruppi NSG consentono di scrivere regole di sicurezza per controllare l'accesso all'endpoint privato senza conoscere l'indirizzo IP privato assegnato all'endpoint privato.
Se si dispone di un endpoint privato per una risorsa, gli host all'interno della VCN possono utilizzare il nome FQDN o l'indirizzo IP privato dell'endpoint privato per accedere alla risorsa. È possibile impostare le regole di sicurezza per controllare l'accesso tra gli host nella VCN e l'endpoint privato. Per un esempio di come eseguire questa operazione con Autonomous Database for Analytics and Data Warehousing, vedere Configurazione dell'accesso di rete con endpoint privati.
Puoi anche impostare l'instradamento di transito con la tua VCN in modo che gli host nella rete in locale possano utilizzare l'endpoint privato. Per consentire agli host in locale di utilizzare il nome FQDN dell'endpoint privato anziché il relativo indirizzo IP privato, sono disponibili due opzioni:
- Impostare un'istanza nella VCN come server DNS personalizzato. Per un esempio di implementazione di questo scenario con il provider di Oracle Terraform, consulta la configurazione del DNS ibrido.
- Gestire manualmente la risoluzione del nome host.
È possibile che si disponga di più VCN con host che devono accedere alla risorsa di interesse specifica. È possibile eseguire il peer delle VCN in modo che anche gli host nelle altre VCN possano utilizzare l'endpoint privato (il diagramma precedente non mostra alcuna VCN peer).
Informazioni sui gateway dei servizi
Un gateway di servizi fornisce risorse nella tua rete VCN e on-premise accesso privato a più servizi all'interno di Oracle Cloud Infrastructure, senza che il traffico vada su Internet.
Il seguente diagramma descrive il concetto. Il diagramma fa riferimento a Oracle Services Network, una rete concettuale in Oracle Cloud Infrastructure riservata ai servizi Oracle.
Per utilizzare un gateway di servizi da una subnet specifica all'interno della VCN, impostare una regola di instradamento nella tabella di instradamento della subnet e specificare il gateway di servizio come destinazione della regola. Inoltre, è possibile impostare le regole di sicurezza per controllare l'accesso tra gli host nella VCN e i servizi disponibili tramite il gateway del servizio.
Se hai più di una VCN nella tua tenancy, puoi configurarne ognuna con il proprio gateway di servizi.
Per ulteriori informazioni relative ai limiti, vedere Limiti gateway e Richiesta di aumento del limite del servizio.
È inoltre possibile impostare l'instradamento di transito per Oracle Services Network in modo che gli host nella rete in locale possano utilizzare un gateway di servizi della VCN.