Documentazione dell'infrastruttura Oracle Cloud

Accesso ai servizi Oracle: gateway del servizio

Questo argomento descrive come impostare e gestire un gateway di servizi. Un gateway di servizi consente alle risorse cloud senza indirizzi IP pubblici di accedere in privato ai servizi Oracle.

Accesso ai servizi Oracle

Oracle Services Network è una rete concettuale in Oracle Cloud Infrastructure riservata ai servizi Oracle. Questi servizi dispongono di indirizzi IP pubblici che in genere si raggiungono tramite Internet. Tuttavia, puoi accedere a Oracle Services Network senza che il traffico passi a Internet. Esistono diversi modi, a seconda di quale host richiede l'accesso:

Evidenziazioni

  • Un gateway del servizio consente alla tua rete cloud virtuale (VCN) di accedere in privato a servizi Oracle specifici senza esporre i dati alla rete Internet pubblica. Per raggiungere tali servizi specifici non è necessario alcun gateway Internet o NAT. Le risorse nella VCN possono trovarsi in una subnet privata e utilizzare solo indirizzi IP privati. Il traffico dalla VCN al servizio Oracle viaggia sul fabric di rete Oracle e non passa mai attraverso Internet.
  • Il gateway di servizi è regionale e consente l'accesso solo ai servizi Oracle supportati nella stessa area della VCN.
  • Per ogni VCN è necessario un solo gateway di servizi. Tutte le subnet all'interno di una VCN hanno accesso al gateway del servizio se le regole di sicurezza e le regole della tabella di instradamento lo consentono.

  • Il gateway di servizi consente l'accesso ai servizi Oracle supportati all'interno dell'area per proteggere i tuoi dati da Internet. I tuoi carichi di lavoro potrebbero richiedere l'accesso agli endpoint pubblici o ai servizi non supportati dal gateway di servizi (ad esempio, per scaricare aggiornamenti o patch). Verificare di disporre di un gateway NAT o di altro accesso a Internet, se necessario.

  • I servizi Oracle supportati sono Oracle Cloud Infrastructure Object Storage e altri in Oracle Services Network. Per un elenco, vedere Gateway di servizi: Servizi cloud supportati in Oracle Services Network.
  • Il gateway di servizi utilizza il concetto di etichetta CIDR del servizio, ovvero una stringa che rappresenta tutti gli intervalli di indirizzi IP pubblici regionali per il servizio o il gruppo di servizi di interesse (ad esempio, OCI PHX Object Storage è la stringa per lo storage degli oggetti nell'area occidentale degli Stati Uniti (Phoenix). Puoi utilizzare tale etichetta CIDR del servizio quando configuri il gateway di servizi e le regole di instradamento correlate per controllare il traffico verso il servizio. Facoltativamente, è possibile utilizzarlo durante la configurazione delle regole di sicurezza. Se gli indirizzi IP pubblici del servizio cambieranno in futuro, non sarà necessario modificare tali regole.
  • Puoi impostare una rete VCN in modo che la tua rete on premise disponga dell'accesso privato ai servizi Oracle tramite la VCN e il gateway di servizi della VCN. Gli host della rete in locale comunicano con gli indirizzi IP privati e il traffico non passa attraverso Internet. Per ulteriori informazioni, vedere Accesso privato ai servizi Oracle

Panoramica dei gateway del servizio

Un gateway del servizio consente alle risorse nella tua VCN di accedere in privato a servizi Oracle specifici, senza esporre i dati a un gateway Internet o NAT. Le risorse nella VCN possono trovarsi in una subnet privata e utilizzare solo indirizzi IP privati. Il traffico dalla VCN al servizio di interesse si sposta sul fabric di rete Oracle e non attraversa mai Internet.

Il seguente diagramma semplice illustra una VCN che dispone sia di una subnet pubblica che di una subnet privata . Le risorse nella subnet privata hanno solo indirizzi IP privati.

La VCN mostrata dispone di tre gateway:

  • Gateway Internet: per fornire alla subnet pubblica l'accesso diretto agli endpoint pubblici su Internet. Le connessioni possono essere avviate dalla subnet o da Internet. Le risorse nella subnet pubblica devono avere indirizzi IP pubblici. Per ulteriori informazioni, vedere Gateway Internet.
  • Gateway di servizi: per fornire alla subnet privata l'accesso privato ai servizi Oracle supportati all'interno dell'area. Le connessioni possono essere avviate solo dalla subnet.
  • Gateway NAT: per fornire alla subnet privata l'accesso privato agli endpoint pubblici su Internet. Le connessioni possono essere avviate solo dalla subnet. Per ulteriori informazioni, vedere Gateway NAT.

Puoi controllare l'instradamento nella tua VCN a livello di subnet, in modo da poter specificare quali subnet nella tua VCN utilizzano ogni gateway. Nel diagramma, la tabella di instradamento per la subnet pubblica (Callout 1) invia traffico non locale tramite il gateway Internet. La tabella di instradamento per la subnet privata (Callout 2) invia il traffico destinato ai servizi Oracle tramite il gateway del servizio. Invia tutto il traffico rimanente al gateway NAT.

Questa immagine mostra il layout di base di una VCN con un gateway di servizi
Callout 1: Tabella di instradamento della subnet pubblica
CIDR di destinazione Destinazione instradamento
0.0.0.0/0 Gateway Internet
Callout 2: tabella di instradamento della subnet privata
CIDR di destinazione Destinazione instradamento
Servizi OSN nell'area Gateway del servizio
0.0.0.0/0 Gateway NAT
Importante

Per informazioni sulla configurazione delle regole di instradamento con il gateway del servizio come destinazione nelle tabelle di instradamento associate alle subnet pubbliche, vedere questo problema noto.

Un gateway di servizi può essere utilizzato dalle risorse nella VCN del gateway. Tuttavia, se la VCN è in peer con un'altra, le risorse nell'altra VCN non possono accedere al gateway di servizi a meno che non sia configurato un gateway di servizi in entrambe le VCN. È possibile configurare il traffico destinato a Oracle Services Network che ha origine su uno spoke in modo da poter viaggiare attraverso un'appliance virtuale di rete (NVA) nell'hub e quindi attraverso il gateway di servizi dell'hub. Per ulteriori informazioni, vedere Utilizzo di un IP privato come destinazione di instradamento e Accesso privato ai servizi Oracle.

Anche le risorse della rete in locale connesse alla VCN del gateway di servizi con FastConnect o VPN da sito a sito possono utilizzare il gateway di servizi. Per ulteriori informazioni, vedere Accesso privato ai servizi Oracle.

Si noti che la rete on-premise può anche utilizzare FastConnect peering pubblico per l'accesso privato ai servizi Oracle pubblici. Ciò significa che la tua rete on-premise potrebbe avere più percorsi per accedere agli intervalli di indirizzi IP pubblici dei servizi Oracle. In questo caso, il dispositivo edge riceve la pubblicità di instradamento degli intervalli di indirizzi IP pubblici dei servizi Oracle su più percorsi. Per informazioni importanti sulla configurazione corretta del dispositivo perimetrale, vedere Dettagli di instradamento per le connessioni alla rete in locale.

Per ogni VCN è necessario un solo gateway di servizi. Tutte le subnet all'interno di una VCN hanno accesso al gateway del servizio se le regole di sicurezza e le regole della tabella di instradamento lo consentono.

Per istruzioni sull'impostazione di un gateway di servizi, vedere Impostazione di un gateway di servizi nella console.

Informazioni sulle etichette CIDR del servizio

Ogni servizio Oracle dispone di un endpoint pubblico regionale che utilizza gli indirizzi IP pubblici per l'accesso. Quando si imposta un gateway di servizi con accesso a un servizio Oracle, è anche possibile impostare le regole di instradamento del servizio di networking e, facoltativamente, le regole di sicurezza che controllano il traffico con il servizio. Ciò normalmente significa che è necessario conoscere gli indirizzi IP pubblici del servizio per impostare tali regole. Per semplificare le operazioni, il servizio di networking utilizza le etichette CIDR del servizio come alias che rappresentano tutti i CIDR pubblici per un determinato servizio Oracle o un gruppo di servizi Oracle. Se i CIDR di un servizio cambieranno in futuro, non sarà necessario modificare le regole di instradamento o di sicurezza.

Esempi:

  • OCI PHX Object Storage è un'etichetta CIDR del servizio che rappresenta tutti i CIDR di storage degli oggetti nell'area occidentale degli Stati Uniti (Phoenix).
  • Tutti i servizi PHX in Oracle Services Network sono un'etichetta CIDR del servizio che rappresenta tutti i CIDR per i servizi supportati in Oracle Services Network nell'area occidentale degli Stati Uniti (Phoenix). Per un elenco dei servizi, vedere Gateway di servizi: Servizi cloud supportati in Oracle Services Network.

Come puoi vedere, un'etichetta CIDR del servizio può essere associata a un singolo servizio Oracle (ad esempio, Storage degli oggetti) o a più servizi Oracle. Dopo aver assegnato un'etichetta CIDR del servizio a un gateway del servizio, la console consentirà di passare all'altra etichetta, ma il gateway del servizio deve sempre disporre di un'etichetta CIDR del servizio. L'API e l'interfaccia CLI ti permetteranno di rimuovere completamente l'etichetta CIDR del servizio.

Il termine servizio viene spesso utilizzato in questo argomento al posto del termine più accurato etichetta CIDR del servizio. L'importante è ricordare che quando si imposta un gateway di servizi (e le regole di instradamento correlate), è necessario specificare l'etichetta CIDR del servizio a cui si è interessati. Nella console vengono visualizzate le etichette CIDR dei servizi disponibili. Se si utilizza l'interfaccia API REST, l'operazione ListServices restituisce gli oggetti Service disponibili. L'attributo cidrBlock dell'oggetto Service contiene l'etichetta CIDR del servizio (ad esempio, all-phx-services-in-oracle-services-network).

Etichette CIDR servizio disponibili

Di seguito sono riportate le etichette CIDR del servizio disponibili.

Importante

Per informazioni sull'accesso ai servizi Oracle YUM tramite il gateway di servizi, vedere questo problema noto.

Abilitazione di un'etichetta CIDR del servizio per un gateway del servizio

Per concedere alla tua VCN l'accesso a una determinata etichetta CIDR del servizio, devi abilitare tale etichetta CIDR del servizio per il gateway del servizio della VCN. È possibile eseguire questa operazione quando si crea il gateway del servizio o in un secondo momento dopo la sua creazione. Puoi anche disabilitare un'etichetta CIDR del servizio per il gateway del servizio in qualsiasi momento.

Importante

Poiché lo storage degli oggetti è coperto sia da OCI <region> Object Storage che da Tutti i servizi <region> in Oracle Services Network, un gateway di servizi può utilizzare solo una di queste etichette CIDR di servizio. Allo stesso modo, una tabella di instradamento può avere una singola regola per una delle etichette CIDR del servizio. Non può avere due regole separate, una per ogni etichetta.

Se il gateway di servizi è configurato per utilizzare Tutti i servizi <region> in Oracle Services Network, la regola di instradamento può utilizzare un'etichetta CIDR. Tuttavia, se il gateway di servizi è configurato per l'uso di OCI <region> Object Storage e la regola di instradamento utilizza Tutti i servizi <region> in Oracle Services Network, il traffico verso i servizi in Oracle Services Network, ad eccezione dello storage degli oggetti, verrà bloccato. La console impedisce di configurare in questo modo il gateway di servizio e la tabella di instradamento corrispondente.

Se si desidera cambiare il gateway del servizio per utilizzare un'etichetta CIDR del servizio diversa, vedere Quando si passa a un'etichetta CIDR del servizio diversa.

Blocco del traffico tramite un gateway di servizio

Puoi creare un gateway di servizi nel contesto di una VCN specifica. In altre parole, il gateway di servizi è sempre collegato a una VCN specifica. Tuttavia, puoi bloccare o consentire il traffico attraverso il gateway del servizio in qualsiasi momento. Per impostazione predefinita, il gateway consente il flusso di traffico al momento della creazione. Il blocco del traffico del gateway di servizi impedisce il flusso di tutto il traffico, indipendentemente dalle etichette CIDR del servizio abilitate o da qualsiasi regola di instradamento o di sicurezza esistente nella VCN. Per istruzioni su come bloccare il traffico, vedere Controllo del traffico per un gateway di servizi.

Regole di instradamento e regole di sicurezza per un gateway di servizio

Affinché il traffico venga instradato da una subnet nella VCN a un gateway di servizi, è necessario aggiungere una regola di conseguenza alla tabella di instradamento della subnet. La regola deve utilizzare il gateway del servizio come destinazione. Per la destinazione, è necessario utilizzare l'etichetta CIDR del servizio abilitata per il gateway del servizio. Ciò significa che non è necessario conoscere i CIDR pubblici specifici, che potrebbero cambiare nel tempo.

Qualsiasi traffico che esce dalla subnet e destinato ai CIDR pubblici del servizio viene quindi instradato al gateway del servizio. Se il traffico del gateway del servizio è bloccato, non vi è traffico che lo attraversa anche se esiste una regola di instradamento che corrisponde al traffico. Per istruzioni sull'impostazione delle regole di instradamento per un gateway di servizi, vedere Task 2: aggiornamento dell'instradamento per la subnet.

Anche le regole di sicurezza della VCN devono consentire il traffico desiderato. Se lo desideri, puoi utilizzare un'etichetta CIDR del servizio anziché un CIDR per l'origine o la destinazione del traffico desiderato. Anche in questo caso, ciò significa che non è necessario conoscere i CIDR pubblici specifici per il servizio. Per comodità, puoi utilizzare un'etichetta CIDR del servizio nelle regole di sicurezza anche se la tua VCN non dispone di un gateway di servizi e il traffico verso i servizi utilizza un gateway Internet.

È possibile utilizzare regole di sicurezza con conservazione dello stato o senza conservazione dello stato che utilizzano un'etichetta CIDR del servizio:

  • Per le regole con conservazione dello stato: creare una regola di uscita con il servizio di destinazione = l'etichetta CIDR del servizio di interesse. Come con qualsiasi regola di sicurezza, è possibile specificare altri elementi come il protocollo IP e le porte di origine e destinazione.
  • Per le regole senza conservazione dello stato: è necessario disporre sia di regole di uscita che di entrata. Creare una regola di uscita con il servizio di destinazione = l'etichetta CIDR del servizio di interesse. Creare inoltre una regola di entrata con il servizio di origine = l'etichetta CIDR del servizio di interesse. Come con qualsiasi regola di sicurezza, è possibile specificare altri elementi come il protocollo IP e le porte di origine e destinazione.

Per istruzioni sull'impostazione delle regole di sicurezza che utilizzano un'etichetta CIDR del servizio, vedere Task 3: (Facoltativo) Aggiornare le regole di sicurezza.

Storage degli oggetti: consenso all'accesso al bucket solo da un intervallo VCN o CIDR specifico

Se utilizzi un gateway di servizi per accedere allo storage degli oggetti, puoi scrivere un criterio IAM che consente l'accesso a un determinato bucket di storage degli oggetti solo se vengono soddisfatti i seguenti requisiti:

  • La richiesta passa attraverso un gateway di servizi.
  • La richiesta proviene dalla VCN specifica specificata nel criterio.

Per esempi di questo particolare tipo di criterio IAM e importanti avvertenze sul relativo utilizzo, vedere Task 4: (facoltativo) aggiornamento dei criteri IAM per limitare l'accesso al bucket di storage degli oggetti.

In alternativa, è possibile utilizzare il filtro basato su IP IAM per limitare l'accesso a uno o più indirizzi IP. Per ulteriori informazioni, vedere Gestione delle origini di rete.

Eliminazione di un gateway del servizio

Per eliminare un gateway di servizi, il relativo traffico non deve essere bloccato, ma non deve esistere una tabella di instradamento in cui sia elencato come destinazione. Vedere Eliminazione di un gateway di servizi.

Criterio IAM necessario

Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere un membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.

Per gli amministratori, vedere Criteri IAM per il networking.

Impostazione di un gateway di servizi nella console

Vedere le istruzioni nella sezione Creazione di un gateway di servizio.

Task 2: Aggiorna instradamento per la subnet

Quando configuri un gateway di servizi per una determinata etichetta CIDR del servizio, devi anche creare una regola di instradamento che specifichi tale etichetta come destinazione e la destinazione come gateway di servizi. Questa operazione viene eseguita per ogni subnet che deve accedere al gateway.

  1. Determina quali subnet nella tua VCN devono accedere al gateway del servizio.

  2. Per ciascuna di queste subnet, aggiornare la tabella di instradamento della subnet in modo da includere una nuova regola utilizzando i valori indicati di seguito.

    • Tipo di destinazione: gateway del servizio.
    • Servizio di destinazione: l'etichetta CIDR del servizio abilitata per il gateway.
    • Compartimento: compartimento in cui si trova il gateway del servizio.
    • Destinazione: il gateway di servizio.
    • Descrizione: una descrizione facoltativa della regola.

Qualsiasi traffico della subnet con una destinazione che corrisponde alla regola viene instradato al gateway del servizio. Per ulteriori informazioni sull'impostazione delle regole di instradamento, consulta le tabelle di instradamento VCN.

In seguito, se non è più necessario il gateway di servizi e si desidera eliminarlo, è necessario prima eliminare tutte le regole di instradamento nella VCN che specificano il gateway di servizio come destinazione.

Suggerimento

Senza l'instradamento richiesto, il traffico non fluisce sul gateway del servizio. Se si verifica una situazione in cui si desidera arrestare temporaneamente il flusso di traffico sul gateway per un determinato servizio, è sufficiente rimuovere la regola di instradamento che abilita il traffico. È inoltre possibile disabilitare tale etichetta CIDR di servizio specifica per il gateway. In alternativa, puoi bloccare completamente tutto il traffico attraverso il gateway di servizi. Non è necessario eliminare il gateway.

Task 3: (Facoltativo) Aggiornare le regole di sicurezza

Quando configuri un gateway di servizi per l'accesso a un'etichetta CIDR del servizio, devi anche assicurarti che le regole di sicurezza siano configurate per consentire il traffico desiderato. Le regole di sicurezza potrebbero già consentire questo traffico, motivo per cui questo task è facoltativo. La procedura riportata di seguito presuppone che l'utente utilizzi liste di sicurezza per implementare le regole di sicurezza. La procedura descrive come impostare una regola che utilizza l'etichetta CIDR del servizio. Questa operazione viene eseguita per ogni subnet che deve accedere al gateway.

Suggerimento

Gli elenchi di sicurezza sono un modo per controllare il traffico in entrata e in uscita dalle risorse della VCN. È anche possibile utilizzare gruppi di sicurezza di rete
  1. Determina quali subnet nella tua VCN devono connettersi ai servizi che ti interessano.

  2. Aggiornare la lista di sicurezza per ciascuna subnet in modo da includere regole per consentire il traffico in uscita o in entrata desiderato con il servizio specifico.

    Si supponga di voler aggiungere una regola con conservazione dello stato che abilita il traffico HTTPS (porta TCP 443) in uscita dalla subnet ai repository Object Storage e Oracle YUM. Di seguito sono riportate le opzioni di base da scegliere quando si aggiunge una regola.

    1. Nella sezione Consenti regole per uscita fare clic su +Add Regola.
    2. Lasciare deselezionata la casella di controllo senza conservazione dello stato.
    3. Tipo destinazione: servizio.
    4. Servizio di destinazione: l'etichetta CIDR del servizio a cui si è interessati. Per accedere sia ai repository di storage degli oggetti che ai repository Oracle YUM, scegliere Tutti i servizi <region> in Oracle Services Network.
    5. Protocollo IP: lasciare il campo TCP.
    6. Intervallo porte di origine: lasciare il campo Tutto.
    7. Intervallo di porte di destinazione: immettere 443.
    8. Descrizione: una descrizione facoltativa della regola.

Per ulteriori informazioni sull'impostazione delle regole di sicurezza, vedere Regole di sicurezza.

Task 4: (facoltativo) aggiornare i criteri IAM per limitare l'accesso al bucket di storage degli oggetti

Questo task è applicabile solo se si utilizza un gateway di servizi per accedere allo storage degli oggetti. Facoltativamente, puoi creare un'origine di rete e scrivere un criterio IAM per consentire solo alle risorse di una VCN specifica di scrivere oggetti in un bucket specifico.

Importante

Se si utilizza uno dei criteri IAM riportati di seguito per limitare l'accesso a un bucket, il bucket non è accessibile dalla console. È accessibile solo dall'interno della VCN specifica.

Inoltre, i criteri IAM consentono le richieste allo storage degli oggetti solo se passano dalla VCN specificata tramite il gateway di servizi. Se passano attraverso il gateway Internet, le richieste vengono negate.

  • Creare un'origine di rete per specificare la VCN consentita. Per informazioni sulla creazione di origini di rete, vedere Gestione delle origini di rete.
  • Creare il criterio. L'esempio riportato di seguito consente alle risorse del gruppo ObjectBackup di esempio di scrivere oggetti in un bucket esistente denominato db-backup che risiede in un compartimento denominato ABC. 
    Allow group ObjectBackup to read buckets in compartment ABC

Allow group ObjectBackup to manage objects in compartment ABC where
   all {target.bucket.name='db-backup', 
        request.networkSource.name='<VCN_NETWORK_SOURCE',
        any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

È possibile specificare più VCN creando e specificando più origini di rete nel criterio. L'esempio successivo prevede origini di rete per due VCN. Puoi eseguire questa operazione se hai impostato la tua rete on premise con accesso privato ai servizi Oracle tramite una VCN e hai anche impostato una o più altre VCN con i propri gateway di servizi. Per ulteriori informazioni, vedere Panoramica dell'accesso privato di rete in locale ai servizi Oracle. 

Allow group ObjectBackup to read buckets in compartment ABC

Allow group ObjectBackup to manage objects in compartment ABC where
   all {target.bucket.name='db-backup', 
        any {request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_1>', request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_2'},
        any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}