Accesso privato ai servizi Oracle
Il instradamento del transito si riferisce a una topologia di rete in cui una rete on premise utilizza un intermediario per raggiungere risorse o servizi Oracle o VCN. L'intermediario può essere una VCN o un gateway di instradamento dinamico (DRG) a cui è già collegata la rete in locale. È possibile connettere la rete in locale a un DRG con FastConnect o VPN da sito a sito, quindi configurare l'instradamento in modo che il traffico trasferisca tramite l'intermediario alla relativa destinazione.
I tre scenari principali di instradamento del transito sono:
- Accesso privato ai servizi Oracle: lo scenario trattato in questo argomento. Questo scenario offre l'accesso privato alla rete on premise per i servizi Oracle, in modo che gli host on premise possano utilizzare i propri indirizzi IP privati e il traffico non passi attraverso la rete Internet pubblica. Invece, il traffico viaggia su un circuito virtuale privato FastConnect o su una VPN da sito a sito, passa attraverso una rete cloud virtuale (VCN), quindi attraverso un gateway di servizi al servizio Oracle di interesse. Questo scenario è disponibile per un'implementazione che utilizza un DRG legacy o aggiornato.
- Accesso tra più reti tramite un singolo DRG con un firewall tra le reti: questo scenario connette diverse VCN a un singolo DRG, con tutti gli instradamenti configurati per l'invio di pacchetti tramite un firewall in una VCN hub prima che possano essere inviati a un'altra rete. Vedere Instradamento del traffico tramite un'appliance virtuale di rete centrale. Questo scenario è disponibile solo per un'implementazione che utilizza un DRG aggiornato.
- Accesso a più VCN nella stessa area: questo scenario consente la comunicazione tra una rete in locale e più VCN nella stessa area su un singolo circuito virtuale privato FastConnect o VPN da sito a sito e utilizza una VCN come hub. Vedere Instradamento del transito all'interno di una VCN hub. Questo scenario è disponibile per un'implementazione che utilizza un DRG precedente.
Evidenziazioni
- Puoi impostare una rete VCN in modo che la tua rete on premise disponga dell'accesso privato ai servizi Oracle in Oracle Services Network tramite la rete VCN. Gli host nella rete in locale comunicano con gli indirizzi IP privati.
- La VCN utilizza un gateway di instradamento dinamico (DRG) per comunicare con la rete in locale. L'accesso ai servizi Oracle avviene tramite un gateway del servizio sulla VCN. Il traffico dalla VCN al servizio Oracle viaggia sul fabric di rete Oracle e non attraversa mai la rete Internet pubblica.
- Il gateway di servizi è regionale e consente l'accesso solo ai servizi Oracle supportati nella stessa area della VCN.
- I servizi Oracle supportati sono Oracle Cloud Infrastructure Object Storage e altri in Oracle Services Network. Per un elenco, vedere Gateway di servizi: Servizi cloud supportati in Oracle Services Network.
- Il gateway di servizi utilizza il concetto di etichetta CIDR del servizio, ovvero una stringa che rappresenta tutti gli intervalli di indirizzi IP pubblici regionali per il servizio o il gruppo di servizi di interesse (ad esempio, OCI PHX Object Storage è la stringa per lo storage degli oggetti nell'area occidentale degli Stati Uniti (Phoenix). Puoi utilizzare tale etichetta CIDR del servizio quando configuri il gateway di servizi e le regole di instradamento correlate per controllare il traffico verso il servizio. Facoltativamente, è possibile utilizzarla durante la configurazione delle regole di sicurezza. Se gli indirizzi IP pubblici del servizio cambieranno in futuro, non sarà necessario modificare tali regole.
- Per abilitare il traffico previsto dalla rete in locale tramite la VCN ai servizi Oracle, è necessario implementare le regole di instradamento per il collegamento DRG della VCN e il gateway di servizi.
- Se lo desideri, puoi impostare l'instradamento del transito tramite un IP privato nella VCN. Ad esempio, potresti voler filtrare o ispezionare il traffico tra la rete in locale e il servizio Oracle. In questo caso, instrada il traffico a un IP privato su un'istanza della VCN per l'ispezione e il traffico risultante continua fino alla destinazione. Questo argomento riguarda entrambe le situazioni: l'instradamento del transito direttamente tra i gateway nella VCN e l'instradamento del transito tramite un IP privato.
Panoramica su Oracle Services Network
Oracle Services Network è una rete concettuale in Oracle Cloud Infrastructure riservata ai servizi Oracle. Questi servizi dispongono di indirizzi IP pubblici che in genere si raggiungono tramite la rete Internet pubblica. Tuttavia, puoi accedere a Oracle Services Network senza che il traffico passi attraverso la rete Internet pubblica. Esistono diversi modi, a seconda di quale host richiede l'accesso:
-
Host nella rete in locale:
- Accesso privato tramite una VCN con peering privato FastConnect o VPN da sito a sito: questo scenario viene trattato in questo argomento. Gli host in locale utilizzano indirizzi IP privati e raggiungono Oracle Services Network tramite la VCN e il gateway di servizi della VCN.
- Accesso pubblico con peering pubblico FastConnect: gli host in locale utilizzano indirizzi IP pubblici.
- Host nella VCN:
- Accesso privato tramite un gateway di servizi: gli host della VCN utilizzano indirizzi IP privati.
Panoramica dell'accesso privato di rete in locale ai servizi Oracle
Il diagramma riportato di seguito illustra il layout di base per concedere all'utente l'accesso privato alla rete in locale ai servizi Oracle.
La rete on-premise si connette alla VCN tramite un circuito virtuale privato FastConnect o una VPN site-to-site. Ciascuno di questi tipi di connessioni termina in un gateway di instradamento dinamico (DRG) collegato alla VCN. La VCN dispone anche di un gateway di servizi che consente alla VCN di accedere a Oracle Services Network. Il traffico proveniente dalla rete in locale passa attraverso la VCN, il gateway di servizi e il servizio Oracle di interesse. Le risposte vengono restituite tramite il gateway del servizio e la VCN alla rete in locale.
Quando si imposta un gateway di servizi, è possibile abilitare un'etichetta CIDR del servizio, ovvero una stringa che rappresenta tutti gli intervalli di indirizzi IP pubblici regionali per il servizio o il gruppo di servizi a cui si desidera accedere tramite il gateway del servizio. Ad esempio, Tutti i servizi PHX in Oracle Services Network è l'etichetta CIDR del servizio per i servizi Oracle disponibili nell'area occidentale degli Stati Uniti (Phoenix) tramite un gateway di servizi. Oracle utilizza il protocollo BGP (Border Gateway Protocol) sul DRG per comunicare tali intervalli di indirizzi IP pubblici regionali al dispositivo perimetrale (denominato anche CPE (Customer-premise Equipment) nella tua rete on premise. Per un elenco di questi intervalli disponibili tramite il gateway del servizio, vedere Indirizzi IP pubblici per VCN e Oracle Services Network.
Più percorsi di connessione ai servizi Oracle
Puoi configurare la tua rete on premise con più percorsi di connessione a Oracle Cloud Infrastructure e ai servizi Oracle per ridondanza o per altri motivi. Ad esempio, è possibile utilizzare sia il peering pubblico FastConnect che il peering privato FastConnect. Se hai più percorsi, il tuo dispositivo perimetrale riceve la pubblicità di instradamento degli intervalli di indirizzi IP pubblici dei servizi Oracle su più percorsi. Per informazioni importanti sulla configurazione corretta del dispositivo perimetrale, vedere Dettagli di instradamento per le connessioni alla rete in locale.
Più VCN con accesso privato ai servizi Oracle
La tua organizzazione potrebbe scegliere di utilizzare più VCN, ognuna con un gateway di servizi per concedere alle risorse della VCN l'accesso ai servizi Oracle. Ad esempio, è possibile disporre di una VCN diversa per ogni reparto dell'organizzazione.
Se anche desideri impostare la rete in locale con accesso privato ai servizi Oracle tramite una rete VCN con un gateway di servizi, questa sezione descrive due layout di rete diversi che è possibile utilizzare.
Nel primo layout, è possibile impostare un singolo DRG, con le reti VCN in un layout hub e spoke come mostrato nel diagramma successivo. La VCN che funge da hub è dedicata a fornire alla rete on premise l'accesso privato ai servizi Oracle. Le altre VCN sono peering locale con la VCN hub. È possibile configurare solo la VCN hub in base alle istruzioni fornite nella sezione Impostazione dell'accesso privato ai servizi Oracle. Questo layout hub e spoke è consigliato e descritto ulteriormente nel instradamento del transito all'interno di una VCN hub.
Nel secondo layout, è disponibile un DRG separato per ogni VCN, con un circuito virtuale privato FastConnect separato o una VPN da sito a sito dalla rete on premise a ogni DRG. Puoi dedicare un DRG e una VCN per fornire alla tua rete on premise l'accesso privato ai servizi Oracle. Nel diagramma successivo, si tratta della VCN al centro. Per configurare la VCN, seguire le istruzioni riportate in Impostazione dell'accesso privato ai servizi Oracle.
In entrambi i layout, la rete in locale può raggiungere i servizi Oracle solo tramite un singolo gateway di servizi della VCN (quello dedicato a questo scopo) e non tramite i gateway di servizi delle altre VCN. Per queste altre VCN, solo le risorse all'interno di tali VCN possono raggiungere i servizi Oracle tramite il gateway di servizi della propria VCN.
Indipendentemente dal layout scelto, puoi scrivere un criterio IAM per limitare l'accesso a un bucket di storage degli oggetti in modo che per tale bucket siano consentite solo le richieste provenienti da un gateway di servizi di una VCN specifica. Con uno di questi layout, potrebbe essere necessario scrivere il criterio per consentire le richieste da più VCN. Per limitare l'accesso a VCN specifiche, creare un'origine di rete per specificare la VCN consentita, quindi scrivere il criterio che limita l'accesso solo all'origine di rete. Un'origine di rete può specificare più VCN oppure è possibile creare un'origine di rete per ogni VCN. Per informazioni sulla creazione di origini di rete, vedere Gestione delle origini di rete.
Il criterio di esempio riportato di seguito presuppone l'impostazione di un'origine di rete per ciascuna rete VCN. Il criterio consente alle risorse del gruppo ObjectBackup di esempio di scrivere oggetti in un bucket esistente denominato db-backup che risiede in un compartimento denominato ABC. Quando si scrive un criterio come questo, è possibile specificare una o più origini di rete. Questo esempio ne mostra tre.
Allow group ObjectBackup to read buckets in compartment ABC
Allow group ObjectBackup to manage objects in compartment ABC where
all {target.bucket.name='db-backup',
any {request.networkSource.name='<hub_VCN_network_source>', request.networkSource.name='<spoke_1_VCN_network_source>', request.networkSource.name='<spoke_2_VCN_network_source>'},
any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}Per ulteriori informazioni, vedere Impostazione di un gateway di servizi nella console nella procedura di impostazione di un gateway di servizi.
Richieste dai servizi Oracle ai tuoi clienti
Il gateway di servizi non consente le richieste di connessione in entrata alla VCN o alla rete in locale. Tutte le richieste di connessione provenienti da un servizio Oracle alla rete on premise devono provenire da un percorso pubblico come Internet o il peering pubblico FastConnect.
Se si utilizza Oracle Analytics Cloud in modo che avvii le richieste di connessione ai client e si anche si desidera impostare l'accesso privato ai servizi Oracle per la rete in locale, vedere questo problema noto.
Opzioni di instradamento del transito per l'accesso privato ai servizi Oracle
Sono disponibili due opzioni per l'instradamento tramite la VCN per l'accesso privato ai servizi Oracle:
- Instradamento del transito direttamente tramite i gateway: il traffico viene instradato direttamente tramite la VCN da un gateway all'altro.
- Instradamento del transito tramite un IP privato: imposti un'istanza nella VCN per filtrare o ispezionare il traffico tra la rete in locale e Oracle Services Network e instradare il traffico tramite un IP privato nell'istanza.
Gli esempi mostrati nelle sezioni seguenti presuppongono che la VCN non contenga carichi di lavoro necessari per accedere alla rete in locale o a Oracle Services Network. La VCN viene utilizzata solo per l'instradamento del transito del traffico attraverso la VCN.
In questo esempio, l'instradamento avviene direttamente tramite i due gateway nella VCN: il gateway di instradamento dinamico (DRG) e il gateway di servizi . Vedere il diagramma seguente.
I callout del diagramma mostrano due tabelle di instradamento, ciascuna associata a una risorsa diversa:
-
Collegamento DRG:
- La tabella di instradamento VCN è associata al collegamento DRG. Perché il collegamento e non il DRG stesso? Poiché il gateway DRG è una risorsa standalone che puoi collegare a qualsiasi rete VCN nella stessa area e tenancy del gateway DRG. Il collegamento stesso identifica la VCN.
- La tabella di instradamento della VCN instrada il traffico in entrata proveniente dalla rete in locale e destinato a un servizio Oracle supportato. È possibile configurare la regola per l'invio del traffico al gateway del servizio.
Callout 1: tabella di instradamento VCN per il collegamento DRG CIDR di destinazione Destinazione instradamento Tutti i servizi OSN nell'area Gateway del servizio -
Gateway del servizio:
- Questa tabella di instradamento VCN è associata al gateway del servizio.
- La tabella di instradamento VCN instrada il traffico di risposta proveniente da un servizio Oracle supportato e destinato alla rete in locale. Configurare la regola per inviare tale traffico al DRG.
Callout 2: tabella di instradamento VCN per il gateway del servizio Destinazione instradamento Destinazione instradamento 172.16.0.0/12 DRG
In questo esempio, si imposta un'istanza nella VCN in modo che funga da firewall o da sistema di rilevamento delle intrusioni per filtrare o ispezionare il traffico tra la rete in locale e Oracle Services Network. Vedere il seguente diagramma.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| Tutti i servizi OSN nell'area | Gateway del servizio |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| Tutti i servizi OSN nell'area | 10.0.4.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | 10.0.8.3 |
L'istanza dispone di due VNIC, ciascuna con un IP privato. Una delle VNIC si trova in una subnet che deve affrontare la rete in locale (qui denominata subnet frontend). L'altra VNIC si trova in una subnet che deve affrontare Oracle Services Network (qui denominata subnet backend). La VNIC frontend dispone di un IP privato 10.0.4.3 e la VNIC backend dispone di un IP privato 10.0.8.3.
Il diagramma mostra quattro tabelle di instradamento, ciascuna associata a una risorsa diversa:
-
Collegamento DRG:
- Questa tabella di instradamento VCN è associata al collegamento DRG. Perché il collegamento e non il DRG stesso? Poiché il gateway DRG è una risorsa standalone che puoi collegare a qualsiasi rete VCN nella stessa area e tenancy del gateway DRG. Il collegamento stesso identifica la VCN.
- La tabella di instradamento della VCN instrada il traffico in entrata proveniente dalla rete in locale e destinato a un servizio Oracle supportato. Configura la regola per l'invio del traffico all'IP privato nella subnet frontend.
-
Gateway del servizio:
- Questa tabella di instradamento VCN è associata al gateway del servizio.
- La tabella di instradamento VCN instrada il traffico di risposta proveniente da un servizio Oracle supportato e destinato alla rete in locale. Configura la regola per l'invio del traffico all'IP privato nella subnet backend.
-
Frontend della sottorete:
- Questa tabella di instradamento VCN è associata al frontend della subnet.
- Include una regola per abilitare il traffico con la rete in locale.
-
Backend subnet:
- Questa tabella di instradamento VCN è associata al backend subnet.
- Include una regola per abilitare il traffico con Oracle Services Network regionale.
Importanti restrizioni di instradamento del transito da comprendere
Questa sezione include alcuni dettagli importanti aggiuntivi sul routing:
-
Tabella di instradamento per il collegamento DRG:
- Una tabella di instradamento VCN associata a un collegamento DRG può avere solo regole destinate a un gateway di servizi, a un IP privato o a un gateway di peering locale.
- A un collegamento DRG è sempre associata una tabella di instradamento, ma è possibile associare una tabella di instradamento diversa, modificare le regole della tabella o eliminare alcune o tutte le regole.
- Tabella di instradamento per un gateway di servizio:
- Una tabella di instradamento VCN associata a un gateway di servizi può avere solo regole che hanno come destinazione un DRG o un IP privato.
- Un gateway di servizio può esistere senza una tabella di instradamento associata. Tuttavia, dopo aver associato una tabella di instradamento a un gateway di servizio, deve essere sempre associata a una tabella di instradamento. È tuttavia possibile associare una tabella di instradamento diversa. È inoltre possibile modificare le regole della tabella oppure eliminare alcune o tutte le regole.
- Traffico in transito nella VCN: le tabelle di instradamento descritte qui sono destinate solo allo spostamento del traffico attraverso la VCN tra le posizioni nella rete in locale e in Oracle Services Network. Se si utilizza un IP privato nella VCN, configurare le tabelle di instradamento in modo che l'IP privato venga posizionato nel percorso del traffico attraverso la VCN.
- Traffico in entrata verso la VCN: anche se l'istruzione precedente è vera (in merito al traffico attraverso la VCN), il traffico in entrata verso le subnet all'interno della VCN è sempre consentito. Non è necessario impostare regole esplicite per questo traffico in entrata nella tabella di instradamento del collegamento DRG o nella tabella di instradamento del gateway di servizio. Quando questo tipo di traffico in entrata raggiunge il gateway DRG o del servizio, il traffico viene instradato automaticamente alla destinazione nella VCN dall'instradamento locale della VCN. A causa dell'instradamento locale della VCN, per qualsiasi tabella di instradamento appartenente a una determinata VCN, non è possibile creare una regola che elenca il CIDR (o una sottosezione) della VCN come destinazione della regola.
- Traffico della VCN durante il transito tramite un IP privato: l'istruzione immediatamente precedente sull'instradamento locale della VCN indica che si utilizza la VCN solo per il transito tra la rete in locale e le VCN spoke. Non impostare i carichi di lavoro nella VCN stessa. Più esplicitamente, se imposti l'instradamento del transito tramite un IP privato nella VCN, non puoi anche instradare il traffico della VCN tramite tale IP privato. Facendo riferimento al diagramma precedente, se si dovesse modificare la regola di instradamento nella tabella di instradamento del gateway di servizio in modo che il CIDR di destinazione sia 0.0.0.0/0 anziché 172.16.0.0/12, solo il traffico proveniente da Oracle Services Network e destinato a indirizzi esterni al blocco CIDR della VCN verrà instradato tramite l'IP privato. A causa dell'instradamento locale della VCN, qualsiasi traffico destinato agli indirizzi all'interno della VCN viene instradato automaticamente direttamente all'indirizzo IP di destinazione. L'instradamento locale della VCN ha la precedenza sulla tabella di instradamento del gateway di servizio (in generale, su qualsiasi tabella di instradamento della VCN).
Criterio IAM necessario
Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o unaltro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.
Se si è membri del gruppo Administrators, si dispone già dell'accesso necessario per impostare l'instradamento del transito. In caso contrario, è necessario accedere al servizio di networking e disporre della possibilità di avviare le istanze. Vedere Criteri IAM per il networking.
Impostazione dell'accesso privato ai servizi Oracle
In questa sezione viene descritto come utilizzare la console per impostare l'instradamento del transito con una VCN per concedere all'utente l'accesso privato della rete in locale ai servizi Oracle.
In questo scenario avanzato potrebbero essere già stati impostati molti dei componenti e delle connessioni di rete necessari. È quindi possibile saltare alcune delle attività seguenti. Se si dispone già di un layout di rete con una VCN connessa alla rete in locale e di un gateway di servizi per la VCN specifica, il task 4 è il più importante. Abilita l'instradamento del traffico tra la rete in locale e Oracle Services Network.
In questo task è possibile impostare la VCN. Per questo esempio, non è richiesta alcuna subnet.
Per ulteriori informazioni e istruzioni:
In questo task è possibile aggiungere un gateway di servizi alla VCN e abilitare il gateway per la rete Oracle Services Network regionale.
Si noti che non si è ancora creata la tabella di instradamento che verrà associata al gateway del servizio. Questo avviene in un compito successivo.
- Nella console, visualizzare i dettagli della VCN.
- In Risorse, fare clic su Gateway di servizio.
- Fare clic su Crea gateway del servizio.
-
Immettere i valori seguenti:
- Nome: un nome descrittivo per il gateway del servizio. Non deve essere unico. Evitare di inserire informazioni riservate.
- Crea nel compartimento: il compartimento in cui si desidera creare il gateway del servizio, se diverso dal compartimento in cui si sta attualmente lavorando.
- Servizi: tutti i servizi <region> in Oracle Services Network.
-
Fare clic su Crea gateway del servizio.
Il gateway di servizio viene quindi creato e visualizzato nella pagina dei gateway di servizio nel compartimento scelto.
Se si utilizza una VPN da sito a sito con instradamento statico e la VCN è configurata per fornire l'accesso privato alla rete in locale ai servizi Oracle, è necessario configurare un dispositivo perimetrale con gli instradamenti per gli intervalli IP pubblici di Oracle Services Network pubblicati dal DRG sul percorso privato (tramite il gateway di servizi). Per un elenco di questi intervalli, vedere Indirizzi IP pubblici per VCN e Oracle Services Network.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| Tutti i servizi OSN nell'area | Gateway del servizio |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
In questo task è possibile impostare le tabelle di instradamento per il collegamento DRG e il gateway del servizio.
Requisiti indispensabili:
- Hai già un DRG collegato alla VCN.
- Si dispone già di un gateway di servizi.
-
Creare una tabella di instradamento per il collegamento DRG:
- Nella console, visualizzare i dettagli della VCN.
- In Risorse, fare clic su Tabelle di instradamento per visualizzare le tabelle di instradamento della VCN.
- Fare clic su Crea tabella di instradamento.
-
Immettere quanto riportato di seguito.
- Nome: un nome descrittivo per la tabella di instradamento. Esempio: tabella di instradamento in entrata VCN. Evitare di inserire informazioni riservate.
- Crea nel compartimento: non modificare le impostazioni.
-
Fare clic su + Regola di instradamento aggiuntiva e immettere le informazioni riportate di seguito per la regola di instradamento.
- Tipo di destinazione: gateway del servizio.
- Servizio di destinazione: tutti i servizi <region> in Oracle Services Network.
- Compartimento: compartimento in cui si trova il gateway del servizio.
- Destinazione: il gateway di servizio.
- Descrizione: una descrizione facoltativa della regola.
-
Fare clic su Crea tabella di instradamento.
La tabella di instradamento viene creata e visualizzata nella lista.
-
Associare la tabella di instradamento (chiamata tabella di instradamento in entrata VCN in questo esempio) al collegamento DRG della VCN:
- Durante la visualizzazione dei dettagli della VCN, fare clic su Gateway di instradamento dinamico per visualizzare il DRG collegato.
- Fare clic sul menu , quindi fare clic su Associa a tabella di instradamento.
-
Immettere quanto riportato di seguito.
- Compartimento tabella di instradamento: selezionare il compartimento della tabella di instradamento per il collegamento DRG.
- Tabella di instradamento: selezionare la tabella di instradamento per il collegamento DRG.
-
Fare clic su Associazione.
La tabella di instradamento è associata al collegamento DRG.
-
Creare una tabella di instradamento per il gateway del servizio:
- Durante la visualizzazione dei dettagli della VCN, fare clic su Tabelle di instradamento.
- Fare clic su Crea tabella di instradamento.
-
Immettere quanto riportato di seguito.
- Crea nel compartimento: non modificare le impostazioni.
- Nome: un nome descrittivo per la tabella di instradamento. Esempio: Tabella di instradamento del gateway del servizio. Evitare di inserire informazioni riservate.
-
Fare clic su + Regola di instradamento aggiuntiva e immettere le informazioni riportate di seguito per la regola di instradamento.
- Tipo di destinazione: gateway di instradamento dinamico. Il gateway DRG collegato della VCN viene selezionato automaticamente come destinazione e non è necessario specificare manualmente la destinazione.
- Blocco CIDR di destinazione: il CIDR della rete in locale (172.16.0.0/12 nell'esempio precedente).
- Descrizione: una descrizione facoltativa della regola.
-
Fare clic su Crea tabella di instradamento.
La tabella di instradamento viene creata e visualizzata nella lista.
-
Associare la tabella di instradamento (chiamata Tabella di instradamento del gateway del servizio in questo esempio) al gateway del servizio:
- Durante la visualizzazione dei dettagli della VCN, fare clic su Gateway di servizio.
- Per il gateway di servizi, fare clic sul menu Azioni (tre punti), quindi fare clic su Associa a tabella di instradamento.
-
Immettere quanto riportato di seguito.
- Compartimento tabella di instradamento: selezionare il compartimento della tabella di instradamento per il gateway del servizio.
- Tabella di instradamento: selezionare la tabella di instradamento per il gateway del servizio.
-
Fare clic su Associazione.
La tabella di instradamento è associata al gateway del servizio.
In questo scenario avanzato potrebbero essere già stati impostati molti dei componenti e delle connessioni di rete necessari. È quindi possibile saltare alcune delle attività seguenti. Se si dispone già di un layout di rete con una VCN connessa alla rete in locale e di un gateway di servizi per la VCN specifica, i task 4 e 5 sono i più importanti. Consentono l'instradamento del traffico tra la rete on premise e la VCN spoke.
In questo task è possibile impostare la VCN. In questo esempio sono inoltre disponibili due subnet: una per la VNIC frontend nell'istanza e una per la VNIC backend nell'istanza. Oracle consiglia di utilizzare subnet private regionali.
Per ulteriori informazioni e istruzioni:
In questo task è possibile aggiungere un gateway di servizi alla VCN e abilitare il gateway per la rete Oracle Services Network regionale.
Si noti che non si è ancora creata la tabella di instradamento che verrà associata al gateway del servizio. Questo avviene in un compito successivo.
- Nella console, visualizzare i dettagli della VCN.
- In Risorse, fare clic su Gateway di servizio.
- Fare clic su Crea gateway del servizio.
-
Immettere i valori seguenti:
- Nome: un nome descrittivo per il gateway del servizio. Non deve essere unico. Evitare di inserire informazioni riservate.
- Crea nel compartimento: il compartimento in cui si desidera creare il gateway del servizio, se diverso dal compartimento in cui si sta attualmente lavorando.
- Servizi: tutti i servizi <region> in Oracle Services Network.
-
Fare clic su Crea gateway del servizio.
Il gateway di servizio viene quindi creato e visualizzato nella pagina dei gateway di servizio nel compartimento scelto.
Se si utilizza una VPN da sito a sito con instradamento statico e la VCN è configurata per fornire l'accesso privato alla rete in locale ai servizi Oracle, è necessario configurare un dispositivo perimetrale con gli instradamenti per gli intervalli IP pubblici di Oracle Services Network pubblicati dal DRG sul percorso privato (tramite il gateway di servizi). Per un elenco di questi intervalli, vedere Indirizzi IP pubblici per VCN e Oracle Services Network.
- Si dispone già di una VCN con due subnet.
- Consultare queste informazioni: Using a Private IP as a Route Target.
- Se non lo hai già fatto, crea l'istanza nella VCN. Vedere Creazione di un'istanza. La VNIC primaria viene creata nella subnet specificata.
- Creare una VNIC secondaria per l'altra subnet e configurare il sistema operativo in modo che la utilizzi. Vedere Gestione delle VNIC.
- Disabilitare il controllo di origine/destinazione su ciascuna VNIC. Vedere Panoramica delle VNIC e delle NIC fisiche.
- Per ogni VNIC, determinare l'IP privato che si desidera utilizzare come destinazione di instradamento. Se si desidera utilizzare un IP privato secondario anziché l'IP privato primario della VNIC, assegnare tale IP privato secondario e configurare il sistema operativo in modo che lo utilizzi. Vedere Assegnazione di un nuovo IP privato secondario a una VNIC.
- Per ciascuno degli IP privati creati, registrare l'indirizzo IP privato (ad esempio: 10.0.4.3).
- Configurare l'istanza in base alle esigenze per il job eseguito, ad esempio configurare il firewall o il sistema di rilevamento delle intrusioni nell'istanza.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | DRG |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| Tutti i servizi OSN nell'area | Gateway del servizio |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| Tutti i servizi OSN nell'area | 10.0.4.3 |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 172.16.0.0/12 | 10.0.8.3 |
In questo task è possibile impostare le tabelle di instradamento per il collegamento DRG e il gateway di servizi.
Requisiti indispensabili:
- Hai già un DRG collegato alla VCN.
- Si dispone già di un gateway di servizi.
- Si dispone già dei due IP privati da utilizzare come destinazioni di instradamento (vedere il task precedente).
-
Creare una tabella di instradamento per il collegamento DRG:
- Nella console, visualizzare i dettagli della VCN.
- In Risorse, fare clic su Tabelle di instradamento per visualizzare le tabelle di instradamento della VCN.
- Fare clic su Crea tabella di instradamento.
-
Immettere quanto riportato di seguito.
- Nome: un nome descrittivo per la tabella di instradamento. Esempio: tabella di instradamento in entrata VCN. Evitare di inserire informazioni riservate.
- Crea nel compartimento: non modificare le impostazioni.
-
Fare clic su + Regola di instradamento aggiuntiva e immettere le informazioni riportate di seguito per la regola di instradamento.
- Tipo di destinazione: IP privato.
- Destinazione: servizio.
- Servizio di destinazione: tutti i servizi <region> in Oracle Services Network
- Compartimento: compartimento in cui si trova l'IP privato della subnet frontend.
- Destinazione: l'IP privato della subnet frontend, registrato nell'attività precedente (10.0.4.3 nell'esempio).
- Descrizione: una descrizione facoltativa della regola.
-
Fare clic su Crea tabella di instradamento.
La tabella di instradamento viene creata e visualizzata nella lista.
-
Associare la tabella di instradamento (chiamata tabella di instradamento in entrata VCN in questo esempio) al collegamento DRG della VCN:
- Durante la visualizzazione dei dettagli della VCN, fare clic su Gateway di instradamento dinamico per visualizzare il DRG collegato.
- Fare clic sul menu , quindi fare clic su Associa tabella di instradamento.
- Selezionare la tabella di instradamento.
-
Fare clic su Associa tabella di instradamento.
La tabella di instradamento è associata al collegamento DRG.
-
Creare una tabella di instradamento per il gateway del servizio:
- Durante la visualizzazione dei dettagli della VCN, fare clic su Tabelle di instradamento.
- Fare clic su Crea tabella di instradamento.
-
Immettere quanto riportato di seguito.
- Crea nel compartimento: non modificare le impostazioni.
- Nome: un nome descrittivo per la tabella di instradamento. Esempio: Tabella di instradamento del gateway del servizio. Evitare di inserire informazioni riservate.
-
Fare clic su + Regola di instradamento aggiuntiva e immettere le informazioni riportate di seguito per la regola di instradamento.
- Tipo di destinazione: IP privato.
- Destinazione: blocco CIDR.
- Blocco CIDR di destinazione: il CIDR della rete in locale (172.16.0.0/12 nell'esempio precedente).
- Compartimento: compartimento in cui si trova l'IP privato.
- Destinazione: l'IP privato della subnet backend, registrato nel task precedente (10.0.8.3 nell'esempio).
- Descrizione: una descrizione facoltativa della regola.
-
Fare clic su Crea tabella di instradamento.
La tabella di instradamento viene creata e visualizzata nella lista.
-
Associare la tabella di instradamento (chiamata Tabella di instradamento del gateway del servizio in questo esempio) al gateway del servizio:
- Durante la visualizzazione dei dettagli della VCN, fare clic su Gateway di servizio.
- Per il gateway di servizi, fare clic sul menu Azioni (tre punti), quindi fare clic su Associa a tabella di instradamento.
-
Immettere quanto riportato di seguito.
- Compartimento tabella di instradamento: selezionare il compartimento della tabella di instradamento per il gateway del servizio.
- Tabella di instradamento: selezionare la tabella di instradamento per il gateway del servizio.
-
Fare clic su Associazione.
La tabella di instradamento è associata al gateway del servizio.
Disattivazione instradamento transito
Per disattivare l'instradamento del transito, rimuovere le regole da:
- Tabella di instradamento associata al collegamento DRG.
- Tabella di instradamento associata al gateway del servizio.
Una tabella di instradamento può essere associata a una risorsa ma non dispone di regole. Senza almeno una regola, una tabella di instradamento non fa nulla.
Un collegamento DRG o un gateway di servizi può esistere senza una tabella di instradamento associata. Tuttavia, dopo aver associato una tabella di instradamento a un collegamento DRG o a un gateway di servizi, deve essere sempre associata una tabella di instradamento. È tuttavia possibile associare una tabella di instradamento diversa. È inoltre possibile modificare le regole della tabella oppure eliminare alcune o tutte le regole.