Gateway Internet

• Un gateway Internet è un gateway facoltativo che puoi aggiungere alla tua VCN per abilitare la connettività diretta a Internet.
• Il gateway supporta le connessioni avviate dall'interno della VCN (uscita) e le connessioni avviate da Internet (ingresso).
• Le risorse che devono utilizzare il gateway per l'accesso a Internet devono trovarsi in una subnet pubblica e avere indirizzi IP pubblici. Le risorse con indirizzi IP privati possono invece utilizzare un gateway NAT per avviare le connessioni a Internet.
• Ogni subnet pubblica che deve utilizzare il gateway Internet deve avere una regola della tabella di instradamento che specifica il gateway come destinazione.
• Le regole di sicurezza consentono di controllare i tipi di traffico consentiti verso e dalle risorse in tale subnet. Accertarsi di consentire solo i tipi di traffico Internet desiderati.
• Il gateway Internet può essere utilizzato solo dalle risorse nella VCN del gateway. Gli host nella rete on premise connessa o in una VCN su peer non possono utilizzare tale gateway Internet.
• Non è possibile aggiungere o spostare un gateway Internet in una VCN all'interno di una zona di sicurezza. Le zone di sicurezza non consentono sottoreti pubbliche.
• Per ogni VCN è necessario un solo gateway Internet. Tutte le subnet pubbliche all'interno di una VCN hanno accesso al gateway Internet, a condizione che le regole di sicurezza e le regole della tabella di instradamento lo consentano.

Prima di continuare, assicurarsi di aver letto l'accesso a Internet e di aver compreso anche come impostare le regole di sicurezza per le risorse in una subnet.

Un gateway Internet come router virtuale facoltativo che connette il perimetro della VCN a Internet. Per utilizzare il gateway, gli host di entrambe le estremità della connessione devono avere indirizzi IP pubblici per l'instradamento. Le connessioni che hanno origine nella tua VCN e sono destinate a un indirizzo IP pubblico (all'interno o all'esterno della VCN) passano attraverso il gateway Internet. Le connessioni che hanno origine al di fuori della VCN e sono destinate a un indirizzo IP pubblico all'interno della VCN passano attraverso il gateway Internet.

Una VCN specificata può avere un solo gateway Internet. Puoi controllare quali subnet pubbliche nella VCN possono utilizzare il gateway configurando la tabella di instradamento associata della subnet. Le regole di sicurezza vengono utilizzate per controllare i tipi di traffico consentito in entrata e in uscita dalle risorse in tali subnet pubbliche.

Il diagramma riportato di seguito illustra una semplice impostazione della VCN con una singola subnet pubblica. La VCN dispone di un gateway Internet e la subnet pubblica è configurata per utilizzare la tabella di instradamento predefinita della VCN. La tabella dispone di una regola di instradamento che invia tutto il traffico in uscita dalle subnet al gateway Internet. Il gateway consente qualsiasi connessione in entrata da Internet con un indirizzo IP di destinazione uguale all'indirizzo IP pubblico di una risorsa nella VCN. Tuttavia, le regole della lista di sicurezza della subnet pubblica determinano in ultima analisi i tipi specifici del traffico consentiti all'interno e all'esterno delle risorse nella subnet. Queste regole di sicurezza specifiche non vengono visualizzate.

Puoi creare un gateway Internet nel contesto di una VCN specifica. In altre parole, il gateway Internet è sempre collegato a una VCN. Tuttavia, è possibile disabilitare e riabilitare il gateway Internet in qualsiasi momento. Confrontarlo con un gateway di instradamento dinamico (DRG), che viene creato come oggetto standalone, quindi attacca a una determinata VCN. I DRG utilizzano un modello diverso perché sono progettati per essere elementi di base modulari per la connessione privata di VCN alla rete on-premise.

Per il traffico da una subnet pubblica a Internet, è necessario creare una regola di instradamento corrispondente nella tabella di instradamento della subnet. Ad esempio, CIDR di destinazione = 0.0.0.0/0 e target = gateway Internet; se si desidera instradare il traffico tramite un firewall, la destinazione può essere l'indirizzo IP privato del firewall. La subnet del firewall avrà quindi bisogno di un percorso, in genere 0.0.0.0/0, per raggiungere Internet con il gateway Internet come destinazione.

Per il traffico che proviene da Internet a una destinazione in una subnet pubblica, il gateway Internet instrada il traffico direttamente alla destinazione per impostazione predefinita. Puoi associare una tabella di instradamento al gateway Internet e definire le regole di instradamento che instradano il traffico pubblico in entrata alle destinazioni nella VCN. Ad esempio, se si desidera che il gateway Internet instrada prima il traffico a un firewall nella VCN, è possibile creare una regola di instradamento per il CIDR della subnet di destinazione con l'indirizzo IP privato del firewall come destinazione. Le regole di instradamento alle destinazioni esterne alla VCN in una tabella di instradamento del gateway Internet non sono supportate.

Per ogni VCN è necessario un solo gateway Internet. Tutte le subnet pubbliche all'interno di una VCN hanno accesso al gateway Internet a condizione che le regole di sicurezza e le regole della tabella di instradamento lo consentano.

Ai fini del controllo dell'accesso, è necessario specificare il compartimento in cui si desidera che risieda il gateway Internet. Se non si è certi del compartimento da utilizzare, inserire il gateway Internet nello stesso compartimento della rete cloud. Per ulteriori informazioni, vedere Controllo accesso.

Facoltativamente, è possibile assegnare un nome descrittivo al gateway Internet. Non deve essere unico e puoi cambiarlo in seguito. Oracle assegna automaticamente al gateway Internet un identificativo univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi delle risorse.

Per eliminare un gateway Internet, non è necessario disabilitarlo, ma non deve esistere una tabella di instradamento in cui sia elencato come destinazione.

Per informazioni relative ai limiti, vedere Limiti gateway e Richiesta di un aumento del limite del servizio.

Requisiti indispensabili:

• Hai determinato quali subnet nella VCN devono accedere a Internet e hai creato tali subnet pubbliche.

  Per ogni VCN è necessario un solo gateway Internet. Tutte le subnet pubbliche all'interno di una VCN hanno accesso al gateway Internet a condizione che le regole di sicurezza e le regole della tabella di instradamento lo consentano.

• Hai determinato i tipi di traffico Internet in entrata e in uscita che desideri abilitare per le risorse in ogni subnet pubblica (ad esempio: connessioni HTTPS in entrata, connessioni ping ICMP in entrata).
• Il criterio IAM richiesto è in vigore per consentire di utilizzare le risorse del servizio di networking. Per gli amministratori, vedere Criteri IAM per il networking.

La procedura riportata di seguito utilizza elenchi di sicurezza, ma è possibile implementare le regole di sicurezza in un gruppo di sicurezza di rete e quindi creare tutte le risorse della subnet in tale gruppo NSG.

1. Per ogni subnet pubblica che deve utilizzare il gateway Internet, impostare le regole della lista di sicurezza della subnet per consentire il traffico Internet desiderato. Vedere le seguenti impostazioni di esempio:

   Immagina di avere server web nella subnet pubblica. Questo esempio mostra come aggiungere una regola di entrata per le connessioni HTTPS (porta TCP 443) provenienti da Internet al server Web. Senza questa regola, le connessioni HTTPS in entrata non sono consentite.

   1. Lasciare deselezionata la casella di controllo senza conservazione dello stato.
   2. Tipo di origine: CIDR
   3. CIDR di origine: 0.0.0.0/0
   4. Protocollo IP: lasciare come TCP.
   5. Intervallo porte di origine: lasciare tutto.
   6. Intervallo di porte di destinazione: immettere 443.
   7. Descrizione: una descrizione facoltativa della regola.

2. Crea il gateway Internet della VCN.

   Una volta creato e visualizzato nella pagina Gateway Internet della VCN scelta, il gateway Internet è già abilitato, ma devi comunque aggiungere una regola di instradamento che consenta il flusso del traffico verso il gateway.

3. Per ogni subnet pubblica che deve utilizzare il gateway Internet, aggiornare la tabella di instradamento della subnet utilizzando le impostazioni di esempio riportate di seguito.

   • Tipo di destinazione: gateway Internet
   • Blocco CIDR di destinazione: 0.0.0.0/0 (il che significa che tutto il traffico non intra-VCN che non è già coperto da altre regole nella tabella di instradamento passerà alla destinazione specificata in questa regola)
   • Compartimento: compartimento in cui si trova il gateway Internet.
   • Destinazione: il gateway Internet appena creato.
   • Descrizione: una descrizione facoltativa della regola.

Il gateway Internet è ora abilitato e funziona per la rete cloud.