Documentazione dell'infrastruttura Oracle Cloud

Scenario A: subnet pubblica

Lo scenario A è costituito da una rete cloud virtuale (VCN) con una subnet pubblica regionale , necessaria per la connettività di rete alle istanze di computazione in una tenancy. I server pubblici vengono creati in domini di disponibilità (AD) separati per la ridondanza e la VCN utilizza subnet regionali perché sono più flessibili e più facili da dividere in modo efficiente una VCN in subnet, tenendo conto anche di potenziali errori. La VCN è connessa direttamente a Internet tramite un gateway Internet . Il gateway viene utilizzato anche per la connettività a una rete in locale. Qualsiasi risorsa in una rete on premise che deve comunicare con le risorse in questa VCN deve disporre di un indirizzo IP pubblico e di un accesso a Internet.

Iniziare a utilizzare Oracle Cloud Infrastructure è semplice perché la subnet utilizza una lista di sicurezza predefinita iniziale. Questa lista contiene regole di sicurezza che consentono l'accesso richiesto tipico, ad esempio le connessioni SSH in entrata e qualsiasi tipo di connessione in uscita. Tenere presente che le regole della lista di sicurezza consentono solo il traffico e il traffico non esplicitamente consentiti da una regola della lista di sicurezza sono implicitamente negati. Lo stesso vale per le regole di instradamento, che richiedono anche che il traffico in uscita sia esplicitamente consentito e che il traffico verso destinazioni specifiche venga inviato al gateway necessario. Le destinazioni di instradamento al di fuori della VCN devono essere raggiungibili tramite un gateway creato e specificato in modo esplicito in una tabella di instradamento associata alla subnet utilizzata da una risorsa.

In questo scenario, si aggiunge una nuova regola all'elenco di sicurezza predefinito. Questa regola è necessaria per concedere alle istanze di computazione l'accesso a Internet. È invece possibile creare una lista di sicurezza personalizzata per questa regola e impostare la subnet in modo che utilizzi sia la lista di sicurezza predefinita che la lista di sicurezza personalizzata, ma questo non rientra nell'ambito di questo scenario.

Suggerimento

Gli elenchi di sicurezza sono un modo per controllare il traffico in entrata e in uscita dalle risorse della VCN. È anche possibile utilizzare gruppi di sicurezza di rete

In questo scenario, la subnet utilizza anche la tabella di instradamento predefinita, che viene avviata senza regole quando viene creata la VCN. La tabella richiede una sola regola per il gateway Internet.

Questo scenario non utilizza un gateway di instradamento dinamico (DRG).

La figura seguente mostra le risorse con indirizzi IP pubblici in una subnet pubblica regionale, con risorse ridondanti nella stessa subnet ma in un dominio di disponibilità diverso. La tabella di instradamento della subnet pubblica consente a tutto il traffico in entrata di immettere e uscire dalla subnet pubblica tramite il gateway Internet, utilizza la lista di sicurezza predefinita e utilizza l'instradamento locale integrato nella VCN. Gli host in locale devono disporre di indirizzi IP pubblici per comunicare con le risorse VCN tramite Internet.

Questa immagine mostra lo scenario A: una VCN con una subnet pubblica regionale e un gateway Internet.
Callout 1: Tabella di instradamento della subnet pubblica regionale
CIDR di destinazione Destinazione instradamento
0.0.0.0/0 Gateway Internet

Criterio IAM necessario

Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere un membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.

Se si è membri del gruppo di amministratori, probabilmente si dispone già dell'accesso necessario per implementare lo scenario A. In caso contrario, è necessario accedere alla rete ed è necessaria la possibilità di creare istanze. Vedere Criteri IAM per il networking.

Impostazione dello scenario A nella console

L'impostazione è semplice nella console.

Nota

Se non è stata ancora creata una VCN, il workflow descritto in Crea una VCN con connettività Internet rappresenta un modo semplice per creare una VCN con subnet pubbliche e private, gateway e regole di instradamento e sicurezza necessarie per fornire l'accesso a Internet alle istanze e ad altre risorse nella VCN. Se si utilizza il flusso di lavoro per eseguire questo task, in questo scenario il flusso di lavoro può gestire i task da 1 a 5.
Task 1: Creare la VCN
  1. Aprire il menu di navigazione , selezionare Networking, quindi selezionare Reti cloud virtuali.
  2. In Ambito lista, selezionare un compartimento per il quale si dispone dell'autorizzazione per utilizzare gli aggiornamenti delle pagine in.The per visualizzare solo le risorse in tale compartimento. Se non si è certi del compartimento da utilizzare, contattare un amministratore. Per ulteriori informazioni, vedere Controllo accesso.
    Nota

    Per creare una nuova risorsa, il limite di servizio per tale risorsa non deve essere già stato raggiunto. Una volta raggiunto il limite del servizio per un tipo di risorsa, è possibile rimuovere le risorse inutilizzate di quel tipo o richiedere un aumento del limite del servizio.
  3. Selezionare Crea VCN.
  4. Immettere quanto riportato di seguito.
    • Nome: nome descrittivo per la VCN. Non deve essere univoco e non può essere modificato in un secondo momento nella console (anche se è possibile modificarlo con l'API). Evitare di fornire informazioni riservate.
    • Crea nel compartimento: lasciare invariato.
    • Blocchi CIDRIPv4 CIDR IPv4: immettere almeno un blocco CIDRIPv4 CIDR e fino a cinque blocchi IPv4 per la VCN. Non è consentito sovrapporre i blocchi CIDR. Ad esempio: 172.16.0.0/16. È possibile aggiungere o rimuovere i blocchi CIDR in un secondo momento. Vedere Intervalli di dimensioni e indirizzi della VCN consentiti. Per riferimento, ecco un calcolatore CIDR.
    • Usa i nomi host DNS in questa VCN: questa opzione è necessaria per assegnare i nomi host DNS agli host nella VCN e necessaria se si prevede di utilizzare la funzione DNS predefinita della VCN (denominata resolver Internet e VCN). Se si seleziona questa opzione, è possibile specificare un'etichetta DNS per la VCN oppure lasciare che la console ne generi una automaticamente. Nella finestra di dialogo viene visualizzato automaticamente il nome di dominio DNS corrispondente per la VCN (<VCN_DNS_label>.oraclevcn.com). Per ulteriori informazioni, vedi DNS nella tua rete cloud virtuale.
    • Prefissi IPv6: è possibile richiedere che a questa VCN venga assegnato un singolo prefisso IPv6 /56 allocato da Oracle. In alternativa, puoi assegnare un prefisso BYOIPv6 o un prefisso ULA alla VCN. Questa opzione è disponibile per tutte le aree commerciali e governative. Per ulteriori informazioni su IPv6, vedere IPv6 Indirizzi.
    • Tag: se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.

  5. Selezionare Crea rete cloud virtuale.

    La VCN viene quindi creata e visualizzata nella pagina Reti cloud virtuali del compartimento scelto.

Task 2: creare la subnet pubblica regionale
  1. Durante la visualizzazione della VCN, selezionare Crea subnet.

  2. Immettere quanto riportato di seguito.

    • Nome: un nome descrittivo per la subnet (ad esempio, Subnet pubblica regionale). Non deve essere univoco e non può essere modificato in un secondo momento nella console (ma è possibile modificarlo con l'API). Evitare di fornire informazioni riservate.
    • Regionale o specifico del dominio di disponibilità: selezionare Regionale (consigliato), ovvero la subnet si estende su tutti i domini di disponibilità nell'area. Successivamente, quando crei un'istanza, puoi crearla in qualsiasi dominio di disponibilità nell'area. Per ulteriori informazioni, consulta la sezione relativa ai domini di disponibilità e VCN.
    • Blocco CIDRIPv4 CIDR IPv4: un singolo blocco CIDR contiguo all'interno del blocco CIDR della VCN. Ad esempio: 172.16.0.0/24. Non è possibile modificare questo valore in un secondo momento. Per riferimento, ecco un calcolatore CIDR.
    • IPv6 Prefissi: è possibile richiedere un prefisso IPv6 /64 allocato da Oracle o immettere BYOIPv6 o prefissi ULA. In una subnet puoi avere al massimo tre prefissi IPv6. Dopo aver assegnato un prefisso IPv6 a una VCN, deve sempre essere assegnato almeno un prefisso IPv6. Questa opzione è disponibile per le reti VCN in tutte le aree commerciali e governative, se la VCN è già abilitata per IPv6. Per ulteriori informazioni, vedere IPv6 Indirizzi.
    • Tabella di instradamento: selezionare la tabella di instradamento predefinita.
    • Subnet pubblica o privata: selezionare Subnet pubblica, ovvero le istanze nella subnet possono facoltativamente avere indirizzi IP pubblici. Per ulteriori informazioni, vedere Accesso a Internet.
    • Usa nomi host DNS in questa subnet: questa opzione è disponibile solo se è stata fornita un'etichetta DNS per la VCN al momento della creazione. L'opzione è necessaria per l'assegnazione dei nomi host DNS agli host nella subnet e anche quando si prevede di utilizzare la funzione DNS predefinita della VCN (denominata resolver Internet e VCN). Se si seleziona la casella di controllo, è possibile specificare un'etichetta DNS per la subnet o lasciare che la console ne generi una automaticamente. Nella finestra di dialogo viene visualizzato automaticamente il nome di dominio DNS corrispondente per la subnet come nome FQDN. Per ulteriori informazioni, vedi DNS nella tua rete cloud virtuale.
    • Opzioni DHCP: selezionare il set di opzioni DHCP da associare alla subnet. Se la selezione del compartimento è già stata abilitata, specificare innanzitutto il compartimento che contiene il set di opzioni DHCP.
    • Elenchi di sicurezza: assicurarsi che sia selezionata la lista di sicurezza predefinita.
    • Mostra opzioni di applicazione tag: selezionare questo collegamento per visualizzare le opzioni per l'aggiunta di tag alla subnet. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare le tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.

  3. Selezionare Crea subnet.

    La subnet viene quindi creata e visualizzata nella pagina Subnet.

Task 3: creare il gateway Internet
  1. Durante la visualizzazione della VCN, in Risorse selezionare Gateway Internet.
  2. Selezionare Crea gateway Internet.

  3. Immettere quanto riportato di seguito.

    • Nome: un nome descrittivo per il gateway Internet. Non deve essere univoco e non può essere modificato in un secondo momento nella console (ma è possibile modificarlo con l'API). Evitare di fornire informazioni riservate.
    • Crea nel compartimento: lasciare invariato.
    • È possibile selezionare Mostra opzioni avanzate per impostare le seguenti opzioni:
      • Associazione tabella di instradamento: (opzione avanzata) non modificare le impostazioni. È possibile associare una tabella di instradamento VCN specifica a questo gateway. Dopo aver associato una tabella di instradamento, al gateway deve essere sempre associata una tabella di instradamento. È possibile modificare le regole nella tabella di instradamento corrente o sostituirla con un'altra tabella di instradamento.
      • Tag: (opzione avanzata) Lasciare invariato. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare le tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.

  4. Selezionare Crea gateway Internet.

    Il gateway Internet viene creato e visualizzato nella pagina Gateway Internet. Il gateway è già abilitato, ma è necessario aggiungere una regola di instradamento che consenta al traffico di passare al gateway.

Task 4: aggiornare la tabella di instradamento predefinita per utilizzare il gateway Internet

La tabella di instradamento predefinita viene avviata senza regole. Qui è possibile aggiungere una regola che instrada tutto il traffico destinato agli indirizzi esterni alla VCN al gateway Internet. L'esistenza di questa regola consente anche alle connessioni in entrata di provenire da Internet alla subnet, tramite il gateway Internet. Le regole della lista di sicurezza vengono utilizzate per controllare i tipi di traffico consentiti all'interno e all'esterno delle istanze nella subnet (vedere il task successivo).

Non è necessaria alcuna regola di instradamento per instradare il traffico all'interno della VCN stessa.

  1. In Risorse selezionare Tabelle di instradamento.
  2. Selezionare la tabella di instradamento predefinita per visualizzarne i dettagli.
  3. Selezionare Aggiungi regola di instradamento.

  4. Immettere quanto riportato di seguito.

    • Tipo di destinazione: gateway Internet
    • Blocco CIDR di destinazione: 0.0.0.0/0 (il che significa che tutto il traffico dalla VCN a una destinazione esterna alla VCN che non è già coperto da altre regole nella tabella di instradamento passa alla destinazione specificata in questa regola).
    • Compartimento: compartimento contenente il gateway Internet.
    • Destinazione: il gateway Internet creato.
    • Descrizione: una descrizione facoltativa della regola.
  5. Selezionare Aggiungi regole di instradamento.

La tabella di instradamento predefinita ora dispone di una regola per il gateway Internet. Poiché la subnet è stata impostata per l'uso della tabella di instradamento predefinita, le risorse nella subnet possono ora utilizzare il gateway Internet. Il passo successivo consiste nel specificare i tipi di traffico che si desidera consentire all'interno e all'esterno delle istanze create in seguito nella subnet.

Task 5: aggiornare la lista di sicurezza predefinita

In precedenza, hai impostato la subnet per utilizzare la lista di sicurezza predefinita della VCN. Ora aggiungi le regole della lista di sicurezza che consentono i tipi di connessioni di cui le istanze nella VCN hanno bisogno.

Ad esempio: per una subnet pubblica con un gateway Internet, le istanze (server Web) create potrebbero dover ricevere connessioni HTTPS in entrata da Internet. Di seguito viene descritto come aggiungere un'altra regola alla lista di sicurezza predefinita per abilitare tale traffico.

  1. In Risorse selezionare Elenchi di sicurezza.
  2. Selezionare la lista di sicurezza predefinita per visualizzarne i dettagli. Per impostazione predefinita, si accede alla pagina Regole di entrata.
  3. Selezionare Aggiungi regole di entrata.

  4. Per abilitare le connessioni in entrata per HTTPS (porta TCP 443), immettere il comando indicato di seguito.

    • senza conservazione dello stato: non selezionato (regola con conservazione dello stato)
    • Tipo di origine: CIDR
    • CIDR di origine: 0.0.0.0/0
    • Protocollo IP: TCP
    • Intervallo porte di origine: tutto
    • Intervallo di porte di destinazione: 443
    • Descrizione: una descrizione facoltativa della regola.
  5. Selezionare Aggiungi regola di ingresso.
Importante

Regola lista di sicurezza per le istanze di Windows

Se si intende creare istanze di Windows, è necessario aggiungere una regola della lista di sicurezza per abilitare l'accesso RDP (Remote Desktop Protocol). Per abilitare RDP, è necessaria una regola di entrata con conservazione dello stato per il traffico TCP sulla porta di destinazione 3389 dall'origine 0.0.0.0/0 e da qualsiasi porta di origine. Per ulteriori informazioni, consulta gli elenchi di sicurezza.

Per una VCN di produzione, in genere imposti una o più liste di sicurezza personalizzate per ogni subnet. Facoltativamente, è possibile modificare la sottorete in utilizzare liste di sicurezza diverse. Se si decide di non utilizzare l'elenco di sicurezza predefinito, farlo solo dopo aver valutato attentamente le regole predefinite da duplicare in un elenco di sicurezza personalizzato. Ad esempio, le regole ICMP predefinite nell'elenco di sicurezza predefinito sono importanti per la ricezione di messaggi di connettività.

Task 6: creare istanze in domini di disponibilità separati

Il passo successivo consiste nel creare una o più istanze nella subnet. Il diagramma dello scenario mostra le istanze in due domini di disponibilità diversi. Quando crei l'istanza, selezioni il dominio di disponibilità, quale VCN e subnet utilizzare e diverse altre caratteristiche.

Ogni istanza ottiene automaticamente un indirizzo IP privato. Quando crei un'istanza in una subnet pubblica, decidi se l'istanza ottiene un indirizzo IP pubblico. Con questa impostazione di rete nello scenario A, devi assegnare a ogni istanza un indirizzo IP pubblico, altrimenti non puoi accedervi tramite il gateway Internet. L'impostazione predefinita (per una subnet pubblica) è che l'istanza ottenga un indirizzo IP pubblico.

Dopo aver creato un'istanza in questo scenario, è possibile connettersi ad essa tramite Internet con SSH o RDP da una rete in locale o da un'altra posizione su Internet. Per ulteriori informazioni e istruzioni, vedere Creazione di un'istanza.

Impostazione dello scenario A con l'API

Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.

Utilizzare le operazioni descritte di seguito.

  1. CreateVcn: includere sempre un'etichetta DNS per la VCN se si desidera che le istanze dispongano di nomi host (vedere DNS nella rete cloud virtuale).
  2. CreateSubnet: crea una subnet pubblica regionale. Includere un'etichetta DNS per la subnet se si desidera che le istanze dispongano di nomi host. Utilizzare la tabella di instradamento predefinita, l'elenco di sicurezza predefinito e l'insieme di opzioni DHCP predefinite.
  3. CreateInternetGateway
  4. UpdateRouteTable: per abilitare la comunicazione con il gateway Internet, aggiornare la tabella di instradamento predefinita in modo che includa una regola di instradamento con destinazione = 0.0.0.0/0 e destinazione = gateway Internet. Questa regola instrada tutto il traffico destinato agli indirizzi esterni alla VCN al gateway Internet. Non è necessaria alcuna regola di instradamento per instradare il traffico all'interno della VCN stessa.
  5. UpdateSecurityList: consente tipi specifici di connessioni da e verso le istanze nella subnet.
Importante

Regola lista di sicurezza per le istanze di Windows

Se si desidera creare istanze di Windows, è necessario aggiungere una regola della lista di sicurezza per abilitare l'accesso RDP (Remote Desktop Protocol). Per abilitare RDP, è necessaria una regola di entrata con conservazione dello stato per il traffico TCP sulla porta di destinazione 3389 dall'origine 0.0.0.0/0 e da qualsiasi porta di origine. Per ulteriori informazioni, vedere gli elenco di sicurezza.

Il passo successivo consiste nel creare una o più istanze nella subnet. Il diagramma dello scenario mostra le istanze in due domini di disponibilità diversi. Quando crei l'istanza, selezioni il dominio di disponibilità, quale VCN e subnet utilizzare e diverse altre caratteristiche.

Ogni istanza ottiene automaticamente un indirizzo IP privato. Quando crei un'istanza in una subnet pubblica, decidi se l'istanza ottiene un indirizzo IP pubblico. Con questa impostazione di rete nello scenario A, devi assegnare a ogni istanza un indirizzo IP pubblico, altrimenti non puoi accedervi tramite il gateway Internet. L'impostazione predefinita (per una subnet pubblica) è che l'istanza ottenga un indirizzo IP pubblico.

Dopo aver creato un'istanza in questo scenario, è possibile connettersi ad essa tramite Internet con SSH o RDP da una rete in locale o da un'altra posizione su Internet. Per ulteriori informazioni e istruzioni, vedere Creazione di un'istanza.