Documentazione dell'infrastruttura Oracle Cloud

Configurare un URL personalizzato utilizzando Oracle Web Application Firewall Service V2

È possibile utilizzare il load balancer e il servizio Web Application Firewall di Oracle V2 (WAF V2) per configurare il supporto per un URL personalizzato per un'istanza di Visual Builder.

Quando si configura un URL personalizzato per un'istanza di Visual Builder, ad esempio https://<my-custom-url.com>/ic/builder/, è possibile accedere all'istanza direttamente utilizzando l'URL personalizzato. Quando si pubblica un'applicazione dall'URL personalizzato, l'applicazione utilizzerà l'URL personalizzato (ad esempio, https://<my-custom-url.com>/ic/builder/rt/).

È inoltre possibile configurare un'applicazione Visual Builder in modo che utilizzi un URL personalizzato, chiamato anche URL univoco, in modo che i clienti possano accedere all'applicazione utilizzando solo l'URL personalizzato di base (https://<my-custom-url.com>).

Il servizio WAF V2 consente di definire un criterio che mapperà un nome di dominio personalizzato al servizio WAF come front end per il servizio VB come server di origine. A tale scopo, potrai utilizzare un load balancer pubblico per gestire i certificati nella tua tenancy. Puoi impostare il load balancer nel servizio Load Balancer di Oracle.

Utilizzando WAF per mappare il nome DNS scelto a un servizio VB, puoi gestire il mapping del nome DNS e caricare il certificato e la chiave privata associati personalmente invece di configurare l'istanza VB per gestirli.

Queste istruzioni presuppongono l'accesso diretto a un'istanza di Visual Builder e alla console di Oracle Cloud Infrastructure (OCI). Per ulteriori dettagli sull'uso dell'istanza dietro un gateway WAF o API, vedere:

Prima di configurare l'URL personalizzato

Prima di iniziare a configurare l'URL personalizzato, è necessario conoscere alcuni dettagli sull'istanza e tenere presente anche le limitazioni dell'uso di un URL personalizzato per un'istanza di Visual Builder.

Per configurare l'URL personalizzato, effettuare le operazioni riportate di seguito.

  • Istanza di Visual Builder: sarà necessario aver già eseguito il provisioning di un'istanza di Visual Builder (o Integration) su Oracle Cloud. L'istanza deve essere un'istanza gestita da Oracle basata su PSM/OCI.
  • IP del load balancer pubblico dell'istanza VB: è possibile ottenere l'indirizzo IP del load balancer eseguendo un dig nel nome host utilizzando l'URL. Ad esempio, per l'URL:

    https://vbmyinst-vb-axdkj3wttbhm.builder.us-ashburn-1.ocp.oraclecloud.com/ic/builder/

    Eseguire il comando seguente dal terminale per ottenere l'indirizzo IP necessario per configurare i backend:

    dig https://vbmyinst-vb-axdkj3wttbhm.builder.us-ashburn-1.ocp.oraclecloud.com

  • nome DNS: è necessario decidere quale nome DNS verrà utilizzato per accedere al sistema e tale nome deve trovarsi in un dominio DNS di proprietà dell'utente.
  • Certificato SSL: è necessario disporre di un certificato SSL firmato dalla CA con una chiave privata per il nome DNS.

Limiti noti

Gli URL personalizzati sono soggetti alle seguenti limitazioni:

  • È possibile accedere a una sola applicazione Web alla volta utilizzando il contesto radice ('/') dell'URL personalizzato.

Creare un load balancer e configurare un nome host

Puoi utilizzare il servizio Oracle Load Balancer per creare un load balancer pubblico per la gestione dei certificati nella tua tenancy.

Un load balancer fornisce una distribuzione automatica del traffico da un punto di accesso ai server raggiungibili dalla tua rete cloud virtuale. Per ulteriori informazioni su Oracle Load Balancer, vedere Panoramica di Oracle Load Balancer e Creazione di un load balancer.

Per creare un load balancer, procedere come segue.

  1. In OCI Console, fare clic su Menu di navigazione l'icona Menu, selezionare Networking, quindi selezionare Load balancer.
  2. Creare un nuovo load balancer:
    1. Nella pagina Load balancer fare clic su Crea load balancer.
    2. Selezionare Load Balancer come tipo, quindi fare clic su Crea load balancer per aprire la pagina Crea load balancer e definire i dettagli del load balancer.
    3. Nella pagina Aggiungi dettagli selezionare le impostazioni predefinite per le forme e le opzioni di rete.

      Nella sezione Scegli networking, è necessario selezionare una rete cloud virtuale e una subnet, se non sono già selezionate.


      Segue la descrizione dell'immagine waf-load-choose-networking.png
      Descrizione dell'illustrazione waf-load-choose-networking.png

      Fare clic su Avanti.

    4. Nel riquadro Specifica criterio di controllo dello stato della pagina Scegli backend, selezionare TCP come protocollo e impostare la porta su 443. Fare clic su Avanti.
    5. Nel riquadro Certificato SSL della pagina Configura listener, selezionare Certificato gestito dal load balancer nell'elenco a discesa Risorsa certificato.
    6. Fornire la catena di certificati e la chiave privata. Fare clic su Avanti.
    7. Nella pagina Gestisci log accettare le impostazioni predefinite. Per creare il load balancer, fare clic su Sottometti.
      Nota

      Il provisioning del load balancer richiederà alcuni minuti
  3. Dopo aver eseguito il provisioning del load balancer, fare clic sul nome del nuovo load balancer nella pagina Load balancer per aprirne la scheda Dettagli.
  4. Aprire la scheda Nomi host, quindi fare clic su Crea nome host.
  5. Immettere un nome e un nome host nella pagina Crea nome host. Fare clic su Crea.

    Il nome host sarà l'endpoint personalizzato.


    Segue la descrizione dell'immagine waf-load-hostnames-tab.png
    Descrizione dell'illustrazione waf-load-hostnames-tab.png

  6. Aprire la scheda Listeners e modificare il listener per aggiungere il nome host. Fare clic su Salva modifiche.
  7. Configurare la rete cloud virtuale (VCN) del load balancer:
    1. Aprire la scheda Dettagli del load balancer, quindi fare clic sul collegamento Rete cloud virtuale (VCN) per aprire la scheda Dettagli della VCN:
    2. Aprire la scheda Gateways della VCN, quindi fare clic su Crea gateway Internet.
    3. Nella pagina Crea gateway Internet immettere un nome, quindi fare clic su Crea gateway Internet per tornare alla scheda Gateway.
    4. Nella scheda Gateway fare clic su Crea gateway NAT.
    5. Nella pagina Crea gateway NAT, immettere un nome per il gateway e selezionare Indirizzo IP pubblico effimero. Fare clic su Crea gateway NAT.
    6. Aprire la scheda Ciclo, quindi fare clic su Crea tabella di instradamento.
    7. Nella pagina Crea tabella di instradamento immettere un nome, quindi fare clic su Crea tabella di instradamento per tornare alla scheda Instradamento.
    8. Fare clic sulla nuova tabella di instradamento per aprirne la pagina dei dettagli.
    9. Aprire la scheda Regole instradamento, quindi fare clic su Aggiungi regole instradamento.
    10. Nella pagina Aggiungi regole di instradamento immettere i dettagli riportati di seguito per la regola di instradamento del gateway NAT.
      • Tipo di destinazione: Gateway NAT.
      • Blocco CIDR di destinazione: fornire l'IP del load balancer pubblico dell'istanza di Visual Builder (vedere Impostazione sopra su come ottenerlo). Se si tratta di un singolo IP, aggiungere /32 per formare un singolo blocco CIDR IP.
      • Compartimento: lasciare invariato.
      • Destinazione: selezionare il gateway NAT creato.
      • Descrizione: una descrizione facoltativa della regola.

      Segue la descrizione dell'immagine waf-load-add-route-rules.png
      Descrizione dell'illustrazione waf-load-add-route-rules.png

      È necessario creare una regola di instradamento del gateway NAT per ogni IP di load balancer pubblico dell'istanza di Visual Builder. Per aggiungere una regola di instradamento, fare clic su + Altra regola di instradamento.

    11. Fare clic su + Altra regola di instradamento e immettere i dettagli seguenti per la regola di instradamento del gateway Internet:
      • Tipo di destinazione: Gateway Internet.
      • Blocco CIDR della destinazione: 0.0.0.0/0
      • Compartimento: lasciare invariato.
      • Gateway Internet di destinazione: selezionare il gateway Internet creato.
      • Descrizione: una descrizione facoltativa della regola.

      Fare clic su Aggiungi regole di instradamento.

    12. Verificare che lo stato del controllo dello stato per il set backend sia corretto.
  8. Tornare alla scheda Dettagli del load balancer.
  9. Configurare la subnet del load balancer:
    1. Nella scheda Dettagli del load balancer, fare clic sul collegamento Subnet per aprire la relativa pagina dei dettagli.
    2. Aprire la scheda Sicurezza della subnet, quindi fare clic sulla lista di sicurezza predefinita nella tabella per aprirne il riquadro Dettagli.
    3. Aprire la scheda Regole di sicurezza.
    4. Modificare la regola per la voce 0.0.0.0/0 nella tabella Regole di entrata per modificare l'intervallo di porte di destinazione in 443. Fare clic su Salva modifiche.
  10. Impostare l'opzione SSL per il backend:
    1. Nella pagina Backend selezionare l'opzione SSL.
    2. Selezionare l'opzione Certificato gestito load balancer.
    3. Selezionare Certificato gestito dal load balancer e selezionare il certificato dall'elenco a discesa.
      Nota

      Se viene visualizzato un errore che indica la mancanza di un certificato CA, creare un nuovo certificato gestito dal load balancer e fornire il certificato server e il certificato intermedio separatamente anziché una catena combinata.
  11. Aggiungi un nuovo backend:
    1. Aprire la scheda Set backend, quindi fare clic sul collegamento del set backend nella tabella per aprire la relativa scheda Dettagli.
    2. Aprire la scheda Backend, quindi fare clic su Aggiungi backend.
    3. Selezionare l'opzione Indirizzi IP e impostare i dettagli backend riportati di seguito.
      • Indirizzo IP: fornire l'indirizzo IP per il load balancer. Questo è l'indirizzo IP ottenuto quando si utilizza il comando dig nel nome host di Visual Builder.
      • Porta: impostare la porta su 443.

      Segue la descrizione dell'immagine waf-load-add-backend.png
      Descrizione dell'illustrazione waf-load-add-backend.png

      Fare clic su Aggiungi.

  12. (Facoltativo) Se si desidera limitare l'accesso:
    1. Aprire la scheda Criteri, quindi fare clic su Crea criterio di instradamento.
    2. Nella pagina Crea criterio di instradamento immettere un nome per il criterio di instradamento.
    3. Nel riquadro Condizioni configurare il criterio impostando quanto riportato di seguito.
      • Quando vengono soddisfatte le seguenti condizioni: impostare su If All Match
      • Tipo di condizione: impostato su Path
      • Operatore: impostare su Is
      • Stringa URL: impostata su /.

      Segue la descrizione dell'immagine waf-load-create-routingpolicy.png
      Descrizione dell'illustrazione waf-load-create-routingpolicy.png

    4. Nel riquadro Azione, definire l'azione "Passa al backend" selezionando il set backend dall'elenco a discesa. Fare clic su Avanti.
    5. Impostare l'ordine di esecuzione dei criteri, se necessario. Fare clic su Crea criterio di instradamento per tornare alla scheda Criteri.
    6. Nella scheda Criteri fare clic su Crea set di regole.
    7. Nella pagina Crea set di regole immettere un nome per il set di regole.
    8. Selezionare Specifica regole intestazione richiesta, quindi immettere i dettagli riportati di seguito.
      • Azione: Add Request Header
      • Intestazione: Host
      • Valore: aggiungere l'URL personalizzato (ad esempio: myhost.example.com)

      Segue la descrizione dell'immagine waf-load-create-ruleset.png
      Descrizione dell'illustrazione waf-load-create-ruleset.png

      Fare clic su Sottometti per tornare alla scheda Criteri.

Creazione di un criterio WAF

È possibile utilizzare un criterio WAF per configurare le regole di accesso, le regole di limitazione di frequenza e le regole di protezione per il servizio Web Application Firewall.

Quando crei e configuri un criterio WAF per l'URL personalizzato, dovrai specificare il load balancer utilizzato per l'istanza di Visual Builder.

Per creare un criterio WAF e specificare il load balancer, procedere come segue.

  1. Accedi alla console di Oracle Cloud Infrastructure e apri WAF Policies in Sicurezza.
  2. Selezionare il compartimento in cui si desidera creare il criterio WAF e fare clic su Crea criterio WAF.
  3. Immettere il nome del criterio nella finestra di dialogo Crea criterio WAF.
  4. Accettare tutti gli altri valori predefiniti, quindi fare clic su Successivo fino a raggiungere il passo Seleziona punto di applicazione.
  5. Nel passo Seleziona punto di applicazione selezionare il load balancer creato e completare la configurazione WAF.
  6. Fare clic su Crea criterio WAF.

Dopo aver creato il criterio e averlo configurato per utilizzare il load balancer, è possibile configurare le regole dei criteri. È possibile modificare la configurazione dei criteri in qualsiasi momento. Durante la configurazione del criterio, è possibile utilizzare le azioni predefinite o creare azioni personalizzate. Per ulteriori informazioni sui criteri WAF, vedere Introduzione ai criteri Web Application Firewall.

Configurare il DNS

Registrare o aggiornare il nome DNS personalizzato con l'indirizzo IP pubblico del load balancer.

Nella configurazione DNS per il nome scelto per accedere all'istanza del servizio VB, modificare il record A per puntare all'indirizzo IP pubblico del load balancer. Nell'immagine seguente, il valore del record A è impostato sull'indirizzo IP del load balancer pubblico 152.70.200.184:


Segue la descrizione dell'immagine waf-configure-dns.png
Descrizione dell'illustrazione waf-configure-dns.png

Nota

È possibile trovare l'indirizzo IP pubblico del load balancer nella scheda Informazioni sul load balancer nella pagina Load balancer:


Segue la descrizione del file waf-load-ipaddress.png
Descrizione dell'illustrazione waf-load-ipaddress.png