Documentazione dell'infrastruttura Oracle Cloud

Scenario B: subnet privata con una VPN

Questo argomento spiega come impostare lo scenario B, costituito da una rete cloud virtuale (VCN) con una subnet privata regionale . Altri server si trovano in domini di disponibilità separati per la ridondanza. La VCN dispone di un gateway di instradamento dinamico (DRG) e una VPN da sito a sito per la connettività alla tua rete on premise. La VCN non dispone di una connessione diretta a Internet. Qualsiasi connessione a Internet dovrebbe venire indirettamente tramite la rete on-premise.

La subnet utilizza la lista di sicurezza predefinita, che dispone di regole predefinite progettate per semplificare l'utilizzo di Oracle Cloud Infrastructure. Le regole consentono l'accesso richiesto tipico, ad esempio le connessioni SSH in entrata e qualsiasi tipo di connessione in uscita. Tenere presente che le regole della lista di sicurezza consentono solo il traffico. Qualsiasi traffico non esplicitamente coperto da una regola della lista di sicurezza viene negato.

Questo scenario può utilizzare un DRG precedente o aggiornato.

In questo scenario è possibile aggiungere regole all'elenco di sicurezza predefinito. È invece possibile creare una lista di sicurezza personalizzata per tali regole. Successivamente, imposterai la subnet in modo che utilizzi sia la lista di sicurezza predefinita che la lista di sicurezza personalizzata.

Suggerimento

Gli elenchi di sicurezza sono un modo per controllare il traffico in entrata e in uscita dalle risorse della VCN. È anche possibile utilizzare gruppi di sicurezza di rete

La subnet utilizza la tabella di instradamento predefinita, che inizia senza regole quando viene creata la VCN. In questo scenario, la tabella dispone di una sola regola per il DRG. Non è necessaria alcuna regola di instradamento per instradare il traffico all'interno della VCN stessa. La subnet utilizza la lista di sicurezza predefinita. Vedere la figura seguente.

Questa immagine mostra lo scenario B: una VCN con una subnet privata regionale e una connessione VPN IPSec.
Callout 1: Tabella di instradamento subnet privata regionale
CIDR di destinazione Destinazione instradamento
0.0.0.0/0 DRG
Suggerimento

Lo scenario utilizza la VPN da sito a sito per la connettività. Tuttavia, potresti invece utilizzare Oracle Cloud Infrastructure FastConnect.

Requisiti indispensabili

Per configurare la VPN in questo scenario, è necessario ottenere le seguenti informazioni da un amministratore di rete:

  • Indirizzo IP pubblico dell'apparecchiatura (CPE) in locale del cliente alla fine della VPN
  • Instradamenti statici per la rete in locale (questo scenario utilizza l'instradamento statico per i tunnel VPN, ma è possibile utilizzare l'instradamento dinamico BGP)

Fornisci queste informazioni a Oracle e ricevi in cambio le informazioni che l'amministratore di rete deve avere per configurare il CPE alla fine della VPN.

Criterio IAM necessario

Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere un membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.

Se si è membri del gruppo Amministratori, si dispone già dell'accesso necessario per implementare lo scenario B. In caso contrario, è necessario accedere alla rete e disporre della possibilità di avviare le istanze. Vedere Criteri IAM per il networking.

Impostazione dello scenario B

L'impostazione è semplice nella console. In alternativa, puoi utilizzare l'API di Oracle Cloud Infrastructure, che ti consente di eseguire autonomamente le singole operazioni.

Importante

La maggior parte di questo processo prevede l'utilizzo della console o dell'API (a seconda di quale scelta) per un breve periodo per impostare i componenti di networking necessari. Ma c'è anche un passo critico che richiede che un amministratore di rete nella tua organizzazione prenda le informazioni che ricevi dall'impostazione dei componenti e le utilizzi per configurare il CPE alla fine della VPN. Pertanto, non è possibile completare questo processo in una breve sessione. Pianifica un'interruzione mentre l'amministratore di rete completa la configurazione e torna successivamente per confermare la comunicazione con le tue istanze tramite la VPN.

Utilizzo di Console

Task 1: impostare la VCN e la subnet

  1. Creare la VCN:

    1. Aprire il menu di navigazione , selezionare Networking, quindi selezionare Reti cloud virtuali.
    2. In Ambito lista, selezionare un compartimento per il quale si dispone dell'autorizzazione per utilizzare gli aggiornamenti delle pagine in.The per visualizzare solo le risorse in tale compartimento. Se non si è certi del compartimento da utilizzare, contattare un amministratore. Per ulteriori informazioni, vedere Controllo accesso.
    3. Fare clic su Crea rete cloud virtuale.

    4. Immettere quanto riportato di seguito.

      • Nome: nome descrittivo per la VCN. Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
      • Crea nel compartimento: non modificare le impostazioni.
      • Blocco CIDR: uno o più blocchi CIDR non sovrapposti per la VCN. Ad esempio: 172.16.0.0/16. È possibile aggiungere o rimuovere i blocchi CIDR in un secondo momento. Vedere Intervalli di dimensioni e indirizzi della VCN consentiti. Per riferimento, ecco un calcolatore CIDR.
      • Abilita assegnazione indirizzo IPv6: l'indirizzamento IPv6 è supportato per tutte le aree commerciali e governative. Per maggiori informazioni, vedere IPv6 Indirizzi.
      • Utilizzare i nomi host DNS in questa VCN: questa opzione è necessaria per assegnare i nomi host DNS agli host nella VCN ed è necessaria se si prevede di utilizzare la funzione DNS predefinita della VCN (denominata resolver Internet e VCN). Se si seleziona questa opzione, è possibile specificare un'etichetta DNS per la VCN oppure lasciare che la console ne generi una automaticamente. Nella finestra di dialogo viene visualizzato automaticamente il nome dominio DNS corrispondente per la VCN (<VCN_DNS_label>.oraclevcn.com). Per ulteriori informazioni, vedere DNS in una rete cloud virtuale.
      • Tag: lasciare così com'è. Se si desidera, è possibile aggiungere le tag in un secondo momento. Per ulteriori informazioni, vedere Tag delle risorse.

    5. Fare clic su Crea rete cloud virtuale.

      La VCN viene quindi creata e visualizzata nella pagina Reti cloud virtuali del compartimento scelto.

  2. Creare la subnet privata regionale:

    1. Durante la visualizzazione della VCN, fare clic su Crea subnet.

    2. Immettere quanto riportato di seguito.

      • Nome: un nome descrittivo per la subnet, ad esempio Subnet privata regionale. Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
      • Regionale o specifico del dominio di disponibilità: selezionare Regionale (consigliato), ovvero la subnet si estende su tutti i domini di disponibilità nell'area. Successivamente, quando avvii un'istanza, puoi crearla in qualsiasi dominio di disponibilità nell'area. Per ulteriori informazioni, vedere Panoramica di VCN e subnet.
      • Blocco CIDR: un singolo blocco CIDR contiguo all'interno del blocco CIDR della VCN. Ad esempio: 172.16.0.0/24. Impossibile modificare questo valore in un secondo momento. Per riferimento, ecco un calcolatore CIDR.
      • Abilita assegnazione indirizzo IPv6: questa opzione è disponibile solo se la VCN si trova nel cloud del governo degli Stati Uniti. Per maggiori informazioni, vedere IPv6 Indirizzi.
      • Tabella di instradamento: selezionare la tabella di instradamento predefinita.
      • Subnet pubblica oprivata: selezionare Subnet privata, ovvero le istanze nella subnet non possono avere indirizzi IP pubblici. Per ulteriori informazioni, vedere Accesso a Internet.
      • Usa nomi host DNS in questa subnet: questa opzione è disponibile solo se è stata fornita un'etichetta DNS per la VCN al momento della creazione. L'opzione è necessaria per l'assegnazione dei nomi host DNS agli host nella subnet e anche quando si prevede di utilizzare la funzione DNS predefinita della VCN (chiamata resolver Internet e VCN). Se selezioni la casella di controllo, puoi specificare un'etichetta DNS per la subnet o lasciare che la console ne generi una per te. La finestra di dialogo visualizza automaticamente il nome di dominio DNS corrispondente per la subnet come FQDN. Per ulteriori informazioni, vedere DNS in una rete cloud virtuale.
      • Opzioni DHCP: selezionare il set predefinito di opzioni DHCP.
      • Elenchi di sicurezza: selezionare la lista di sicurezza predefinita.
      • Tag: lasciare invariato. Se si desidera, è possibile aggiungere le tag in un secondo momento. Per ulteriori informazioni, vedere Tag delle risorse.

    3. Fare clic su Crea subnet.

      La subnet viene quindi creata e visualizzata nella pagina Subnet.

  3. Aggiornare la lista di sicurezza predefinita in modo da includere le regole per consentire i tipi di connessioni di cui le istanze nella VCN hanno bisogno:

    1. Sempre nella pagina che visualizza le subnet della VCN, fare clic su Elenchi di sicurezza, quindi sulla lista di sicurezza predefinita.
    2. In Risorse, fare clic su Regole di entrata o Regole di uscita a seconda del tipo di regola che si desidera utilizzare. È possibile aggiungere una regola alla volta facendo clic su Aggiungi regola di entrata o su Aggiungi regola di uscita.

    3. Aggiungere le regole desiderate. Di seguito sono riportati i suggerimenti da aggiungere a quelli predefiniti già presenti nella lista di sicurezza predefinita:

      Esempio: accesso HTTP in entrata
      • Tipo: entrata
      • senza conservazione dello stato: non selezionato (regola con conservazione dello stato)
      • Tipo di origine: CIDR
      • CIDR di origine: 0.0.0.0/0
      • Protocollo IP: TCP
      • Intervallo porte di origine: tutte
      • Intervallo di porte di destinazione: 80
      • Descrizione: una descrizione facoltativa della regola.
      Esempio: accesso HTTPS in entrata
      • Tipo: entrata
      • senza conservazione dello stato: non selezionato (regola con conservazione dello stato)
      • Tipo di origine: CIDR
      • CIDR di origine: 0.0.0.0/0
      • Protocollo IP: TCP
      • Intervallo porte di origine: tutte
      • Intervallo di porte di destinazione: 443
      • Descrizione: una descrizione facoltativa della regola.
      Esempio: accesso SQL*Net in entrata per i database Oracle
      • Tipo: entrata
      • senza conservazione dello stato: non selezionato (regola con conservazione dello stato)
      • Tipo di origine: CIDR
      • CIDR di origine: 0.0.0.0/0
      • Protocollo IP: TCP
      • Intervallo porte di origine: tutte
      • Intervallo di porte di destinazione: 1521
      • Descrizione: una descrizione facoltativa della regola.
      Esempio: accesso RDP in entrata richiesto per le istanze di Windows
      • Tipo: entrata
      • senza conservazione dello stato: non selezionato (regola con conservazione dello stato)
      • Tipo di origine: CIDR
      • CIDR di origine: 0.0.0.0/0
      • Protocollo IP: TCP
      • Intervallo porte di origine: tutte
      • Intervallo di porte di destinazione: 3389
      • Descrizione: una descrizione facoltativa della regola.
Suggerimento

Per una maggiore sicurezza, puoi modificare tutte le regole di entrata con conservazione dello stato per consentire il traffico solo all'interno della tua VCN e della tua rete on premise. Crea regole separate per ciascuna, una con il CIDR della VCN come origine e una con il CIDR della rete in locale come origine.

Per una VCN di produzione, in genere imposti una o più liste di sicurezza personalizzate per ogni subnet. Se lo desideri, puoi modificare la subnet in utilizzare liste di sicurezza diverse. Se si sceglie di non utilizzare l'elenco di sicurezza predefinito, farlo solo dopo aver valutato attentamente le regole predefinite da duplicare nell'elenco di sicurezza personalizzato. Ad esempio, le regole ICMP predefinite nell'elenco di sicurezza predefinito sono importanti per la ricezione di messaggi di connettività.

Task 2: creare istanze in domini di disponibilità separati

Ora puoi creare una o più istanze nella subnet (vedere Avvio di un'istanza). Il diagramma dello scenario mostra le istanze in due domini di disponibilità diversi. Quando crei l'istanza, scegli il dominio di disponibilità, quale VCN e subnet utilizzare e diverse altre caratteristiche.

Tuttavia, non puoi ancora comunicare con le istanze perché non esiste un gateway che connette la VCN alla tua rete on premise. La procedura successiva ti guida nell'impostazione della VPN da sito a sito per abilitare tale comunicazione.

Task 3: aggiungere una VPN da sito a sito alla VCN

  1. Creare un oggetto CPE (Customer-premise Equipment):

    1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare Attrezzatura cliente-premise.
    2. Fare clic su Crea Customer-Premises Equipment.
    3. Immettere quanto riportato di seguito.
      • Crea nel compartimento: lasciare il valore predefinito (il compartimento in cui si sta attualmente lavorando).
      • Nome: nome riconoscibile dall'utente per l'oggetto attrezzatura cliente-premise. Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
      • Indirizzo IP: l'indirizzo IP pubblico del CPE alla fine della VPN (vedere Prerequisiti).
    4. Fare clic su Crea.

    L'oggetto CPE si trova nello stato "Provisioning" per un breve periodo.

  2. Creare un gateway di instradamento dinamico (DRG):

    1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare Gateway di instradamento dinamico.
    2. Fare clic su Crea gateway di instradamento dinamico.
    3. Per Crea nel compartimento: lasciare il valore predefinito (il compartimento in cui si sta attualmente lavorando).
    4. Immettere un nome descrittivo per il DRG. Non deve essere univoco e non può essere modificato in seguito nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
    5. Fare clic su Crea.

    Il DRG si trova nello stato "Provisioning" per un breve periodo. Attendere il completamento del provisioning del DRG prima di continuare.

  3. Collega il gateway DRG alla tua VCN:

    1. Fare clic sul DRG creato.
    2. In Risorse, fare clic su Reti cloud virtuali.
    3. Fare clic su Collega a rete cloud virtuale.
    4. Selezionare la VCN. Ignorare la sezione per le opzioni avanzate, che si riferisce solo a uno scenario di instradamento avanzato denominato instradamento di transito, che non è rilevante qui.
    5. Fare clic su Allega.

    L'allegato si trova nello stato "Allegato" per un breve periodo. Attendere che termini questo processo.

  4. Aggiornare la tabella di instradamento predefinita (che non dispone ancora di regole):

    1. Aprire il menu di navigazione , selezionare Networking, quindi selezionare Reti cloud virtuali.
    2. Fare clic sulla VCN.
    3. In Risorse fare clic su Tabelle di instradamento, quindi fare clic sulla tabella di instradamento predefinita.
    4. Fare clic su Add Route Rule.

    5. Immettere quanto riportato di seguito.

      • Tipo di destinazione: gateway di instradamento dinamico. Il gateway DRG collegato della VCN viene selezionato automaticamente come destinazione e non è necessario specificare manualmente la destinazione.
      • Blocco CIDR di destinazione: 0.0.0.0/0 (il che significa che tutto il traffico non intra-VCN che non è già coperto da altre regole nella tabella di instradamento va alla destinazione specificata in questa regola).
      • Descrizione: una descrizione facoltativa della regola.

    6. Fare clic su Add Route Rule.

      La tabella di instradamento predefinita della VCN ora indirizza il traffico in uscita al gateway DRG e in ultima analisi alla rete on premise.

  5. Creare una connessione IPSec:

    1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.
    2. Fare clic su Crea connessione IPSec.

    3. Immettere quanto riportato di seguito.

      • Crea nel compartimento: lasciare il valore predefinito (il compartimento in cui si sta attualmente lavorando).
      • Nome: immettere un nome riconoscibile per la connessione IPSec. Non deve essere unico. Evitare di inserire informazioni riservate.
      • Comparto Customer-Premises Equipment: lasciare così com'è (compartimento della VCN).
      • Customer-Premises Equipment: selezionare l'oggetto CPE creato in precedenza.
      • Compartimento del gateway di instradamento dinamico: lasciare invariato (il compartimento della VCN).
      • Gateway di instradamento dinamico: selezionare il DRG creato in precedenza.
      • CIDR di instradamento statico: immettere almeno un CIDR di instradamento statico (vedere Prerequisiti). Se è necessario aggiungerne un altro, fare clic su Aggiungi instradamento statico. È possibile immettere fino a 10 instradamenti statici ed è possibile modificare gli instradamenti statici in un secondo momento.
    4. Fare clic su Mostra opzioni avanzate e, facoltativamente, fornire i seguenti elementi:

    5. Fare clic su Crea connessione IPSec.

      La connessione IPSec viene creata e visualizzata nella pagina. La connessione si trova nello stato Provisioning per un breve periodo.

      Le informazioni visualizzate sul tunnel includono l'indirizzo IP dell'headend VPN e lo stato IPSec del tunnel (possibili valori sono Up, Down e Down for Maintenance). A questo punto, lo stato è Inattivo. Per visualizzare il segreto condiviso del tunnel, fare clic sul menu Azioni Menu Azioni, quindi su Visualizza segreto condiviso.

    6. Copiare l'indirizzo IP VPN Oracle e il segreto condiviso per ciascuno dei tunnel e condividerli con il tecnico di rete che configura il router on premise.

      Per ulteriori informazioni, vedere Configurazione CPE. È possibile visualizzare queste informazioni sul tunnel qui nella console in qualsiasi momento.

Ora sono stati creati tutti i componenti necessari per la VPN da sito a sito. Successivamente, l'amministratore di rete deve configurare il dispositivo CPE prima che il traffico di rete possa fluire tra la rete on premise e la VCN.

Task 4: Configurare il CPE

Le istruzioni sono destinate all'amministratore di rete.

  1. Assicurarsi di disporre delle informazioni di configurazione del tunnel fornite da Oracle durante l'impostazione di VPN Connect. Vedere Task 3: Aggiungere una VPN da sito a sito alla VCN.
  2. Configurare il CPE in base alle informazioni contenute nella sezione Configurazione CPE.

Se le istanze si trovano già nella subnet, è possibile confermare che la connessione IPSec è attiva e in esecuzione connettendosi alle istanze dalla rete in locale.

Uso dell'API

Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.

Utilizzare le operazioni descritte di seguito.

  1. CreateVcn: includere sempre un'etichetta DNS per la VCN se si desidera che le istanze dispongano di nomi host (vedere DNS in una rete cloud virtuale).
  2. CreateSubnet: crea una subnet privata regionale. Includere un'etichetta DNS per la subnet se si desidera che le istanze dispongano di nomi host. Utilizzare la tabella di instradamento predefinita, l'elenco di sicurezza predefinito e l'insieme di opzioni DHCP predefinite.
  3. CreateDrg: crea un gateway di instradamento dinamico (DRG)
  4. CreateDrgAttachment: collega il gateway DRG alla VCN.
  5. CreateCpe: fornire l'indirizzo IP pubblico del CPE alla fine della VPN (vedere Prerequisiti).
  6. CreateIPSecConnection: fornire gli instradamenti statici per la rete in locale (vedere Prerequisiti). Il comando restituisce le informazioni di configurazione necessarie all'amministratore di rete per configurare il CPE. Se queste informazioni saranno necessarie in un secondo momento, è possibile utilizzarle con GetIPSecConnectionDeviceConfig. Per ulteriori informazioni sulla configurazione, vedere Configurazione CPE.
  7. UpdateRouteTable: per abilitare la comunicazione tramite la VPN, aggiornare la tabella di instradamento predefinita in modo che includa questo instradamento: una regola di instradamento con destinazione = 0.0.0.0/0 e una destinazione di destinazione = il DRG creato in precedenza.

  8. Prima chiamare l'indirizzo GetSecurityList per ottenere la lista di sicurezza predefinita, quindi chiamare l'indirizzo UpdateSecurityList per aggiungere regole per i tipi di connessioni necessarie per le istanze nella VCN. Tenere presente che UpdateSecurityList sovrascrive l'intero set di regole. Di seguito sono riportate alcune regole consigliate da aggiungere.

    • Ingresso con conservazione dello stato: tipo di origine=CIDR, CIDR di origine=0.0.0.0/0, protocollo=TCP, porta di origine=tutto, porta di destinazione=80 (per HTTP).
    • Ingresso con conservazione dello stato: tipo di origine=CIDR, CIDR di origine=0.0.0.0/0, protocollo=TCP, porta di origine=all, porta di destinazione=443 (per HTTPS).
    • Ingresso con conservazione dello stato: tipo di origine=CIDR, CIDR di origine=0.0.0.0/0, protocollo=TCP, porta di origine=tutto, porta di destinazione=1521 (per l'accesso SQL*Net ai database Oracle).
    • Ingresso con conservazione dello stato: tipo di origine=CIDR, CIDR di origine=0.0.0.0/0, protocollo=TCP, porta di origine=tutto, porta di destinazione=3389 (per RDP; richiesto solo se si utilizzano istanze Windows).
  9. LaunchInstance: crea una o più istanze nella subnet. Il diagramma dello scenario mostra le istanze in due domini di disponibilità diversi. Quando crei l'istanza, scegli il dominio di disponibilità, quale VCN e subnet utilizzare e diverse altre caratteristiche. Per ulteriori informazioni, vedere Creazione di un'istanza.
Suggerimento

Per maggiore sicurezza, puoi modificare tutte le regole di entrata con conservazione dello stato per consentire il traffico solo all'interno della tua VCN e della tua rete on premise. Crea regole separate per ciascuna, una con il CIDR della VCN come origine e una con il CIDR della rete in locale come origine.
Importante

Sebbene sia possibile creare istanze nella subnet, non è possibile comunicare con esse dalla rete in locale fino a quando l'amministratore di rete non configura il CPE (vedere Configurazione del CPE). Successivamente, la VPN da sito a sito dovrebbe essere operativa. È possibile confermarne lo stato utilizzando GetIPSecConnectionDeviceStatus. Puoi anche verificare che la VPN da sito a sito sia attiva connettendoti alle istanze dalla tua rete on premise.