Gateway Internet

• Un gateway Internet è un gateway facoltativo che puoi aggiungere a una VCN per abilitare la connettività diretta a Internet.
• Il gateway supporta le connessioni dall'interno della VCN (ad es. in entrata) e le connessioni da Internet (in uscita).
• Le risorse che devono utilizzare il gateway per l'accesso a Internet devono trovarsi in una subnet pubblica e disporre di indirizzi IP pubblici. Le risorse che dispongono di indirizzi IP privati possono invece utilizzare un gateway NAT per avviare connessioni a Internet.
• Ogni subnet pubblica che deve utilizzare il gateway Internet deve avere una regola della tabella di instradamento che specifica il gateway come destinazione.
• Utilizzare le regole di sicurezza per controllare i tipi di traffico consentiti all'interno e all'esterno delle risorse in tale subnet. Assicurarsi che le regole consentano solo i tipi appropriati di traffico Internet.
• Il gateway Internet può essere utilizzato solo dalle risorse nella VCN del gateway. Gli host nella rete on premise connessa o in una VCN in peer non possono utilizzare tale gateway Internet.
• Non è possibile aggiungere o spostare un gateway Internet in una VCN all'interno di una zona di sicurezza. Le zone di sicurezza non utilizzano le reti secondarie pubbliche.
• Per ogni VCN è necessario un solo gateway Internet. Tutte le subnet pubbliche all'interno di una VCN hanno accesso al gateway Internet, a condizione che le regole di sicurezza e le regole della tabella di instradamento lo consentano.

Prima di continuare, leggere Accesso a Internet e comprendere anche come impostare le regole di sicurezza per le risorse in una subnet.

Un gateway Internet come router virtuale facoltativo che connette l'edge della VCN con Internet. Per utilizzare il gateway, gli host su entrambe le estremità della connessione devono avere indirizzi IP pubblici per l'instradamento. Le connessioni che hanno origine in una VCN e sono destinate a un indirizzo IP pubblico (all'interno o all'esterno della VCN) passano attraverso il gateway Internet. Le connessioni che hanno origine al di fuori della VCN e sono destinate a un indirizzo IP pubblico all'interno della VCN passano attraverso il gateway Internet.

Una VCN specifica può avere un solo gateway Internet. Puoi controllare quali subnet pubbliche nella VCN possono utilizzare il gateway configurando la tabella di instradamento associata della subnet. Le regole di sicurezza vengono utilizzate per controllare i tipi di traffico consentito in entrata e in uscita dalle risorse in tali subnet pubbliche.

Il diagramma riportato di seguito illustra un'impostazione della VCN con una singola subnet pubblica. La VCN dispone di un gateway Internet e la subnet pubblica è configurata per utilizzare la tabella di instradamento predefinita della VCN. La tabella dispone di una regola di instradamento che invia tutto il traffico in uscita dalle subnet al gateway Internet. Il gateway consente qualsiasi connessione in entrata da Internet con un indirizzo IP di destinazione uguale all'indirizzo IP pubblico di una risorsa nella VCN. Tuttavia, le regole della lista di sicurezza della subnet pubblica decidono i tipi specifici di traffico consentiti all'interno e all'esterno delle risorse nella subnet. Queste regole di sicurezza specifiche non vengono visualizzate.

Puoi creare un gateway Internet nel contesto di una VCN specifica e il gateway Internet è sempre collegato a tale VCN. Tuttavia, è possibile disabilitare e riabilitare il gateway Internet in qualsiasi momento. Confrontalo con un gateway di instradamento dinamico (DRG), che crei come oggetto standalone e quindi attacca a una particolare VCN. I DRG utilizzano un modello diverso perché sono destinati a essere modelli modulari per la connessione privata di VCN a una rete on-premise o ad altre VCN.

Affinché il traffico passi da una subnet pubblica a Internet, è necessario creare una regola di instradamento corrispondente nella tabella di instradamento della subnet. Ad esempio, se CIDR di destinazione = 0.0.0.0/0 e target = gateway Internet, per instradare il traffico attraverso un firewall, la destinazione può essere l'indirizzo IP privato del firewall. La subnet del firewall richiede quindi un percorso (ad esempio 0.0.0.0/0) per raggiungere Internet con il gateway Internet come destinazione.

Per il traffico che scorre da Internet a una destinazione in una subnet pubblica, il gateway Internet instrada il traffico direttamente alla destinazione per impostazione predefinita. È possibile associare una tabella di instradamento al gateway Internet e definire regole di instradamento che instradano il traffico pubblico in entrata alle destinazioni nella VCN. Ad esempio, se si desidera che il gateway Internet instrada prima il traffico a un firewall nella VCN, è possibile creare una regola di instradamento per il CIDR della subnet di destinazione con l'indirizzo IP privato del firewall come destinazione. Le regole di instradamento alle destinazioni esterne alla VCN in una tabella di instradamento del gateway Internet non sono supportate.

Per ogni VCN è necessario un solo gateway Internet. Tutte le subnet pubbliche all'interno di una VCN hanno accesso al gateway Internet a condizione che le regole di sicurezza e le regole della tabella di instradamento lo consentano.

Ai fini del controllo dell'accesso, è necessario specificare il compartimento in cui si desidera che risieda il gateway Internet. Se non si è certi del compartimento da utilizzare, inserire il gateway Internet nello stesso compartimento della rete cloud. Per ulteriori informazioni, vedere Controllo accesso.

È possibile assegnare un nome descrittivo al gateway Internet. Non deve essere unico, e si può cambiare in seguito. Oracle assegna automaticamente al gateway Internet un identificativo univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi risorse.

Per eliminare un gateway Internet, non è necessario disabilitarlo, ma non deve esistere una tabella di instradamento che la elenchi come destinazione.

Per informazioni relative ai limiti, vedere Limiti gateway e Richiesta di un aumento del limite del servizio.

Requisiti indispensabili:

• Decidere quali subnet nella VCN devono accedere a Internet e creare tali subnet pubbliche.

  Per ogni VCN è necessario un solo gateway Internet. Tutte le subnet pubbliche all'interno di una VCN hanno accesso al gateway Internet a condizione che le regole di sicurezza e le regole della tabella di instradamento lo consentano.

• Decidere i tipi di traffico Internet in entrata e in uscita che si desidera abilitare per le risorse in ogni subnet pubblica (ad esempio: connessioni HTTPS in entrata, connessioni ping ICMP in entrata).
• Il criterio IAM richiesto è in vigore per consentire di utilizzare le risorse del servizio di networking. Per gli amministratori, vedere Criteri IAM per il networking.

La procedura riportata di seguito utilizza le liste di sicurezza, ma è possibile implementare le regole di sicurezza in un gruppo di sicurezza di rete e quindi creare tutte le risorse della subnet in tale gruppo NSG.

1. Per ogni subnet pubblica che deve utilizzare il gateway Internet, impostare le regole della lista di sicurezza della subnet per consentire il traffico Internet. Vedere le impostazioni di esempio riportate di seguito.

   Immagina di avere server web nella subnet pubblica. Questo esempio mostra come aggiungere una regola di entrata per le connessioni HTTPS (porta TCP 443) provenienti da Internet al server Web. Senza questa regola, le connessioni HTTPS in entrata non sono consentite.

   1. Lasciare deselezionata la casella di controllo senza conservazione dello stato.
   2. Tipo di origine: CIDR
   3. CIDR di origine: 0.0.0.0/0
   4. Protocollo IP: lasciare come TCP.
   5. Intervallo porte di origine: lasciare tutto.
   6. Intervallo di porte di destinazione: immettere 443.
   7. Descrizione: una descrizione facoltativa della regola.

2. Crea il gateway Internet della VCN.

   Una volta creato e visualizzato nella pagina Gateway Internet della VCN scelta, il gateway Internet è già abilitato, ma devi comunque aggiungere una regola di instradamento che consenta il flusso del traffico verso il gateway.

3. Per ogni subnet pubblica che deve utilizzare il gateway Internet, aggiornare la tabella di instradamento della subnet utilizzando le impostazioni di esempio riportate di seguito.

   • Tipo di destinazione: gateway Internet
   • Blocco CIDR di destinazione: 0.0.0.0/0 (il che significa che tutto il traffico non intra-VCN non già coperto da altre regole nella tabella di instradamento va alla destinazione specificata in questa regola)
   • Compartimento: compartimento contenente il gateway Internet.
   • Destinazione: il gateway Internet creato.
   • Descrizione: una descrizione facoltativa della regola.

Il gateway Internet è ora abilitato e funziona per la rete cloud.