Nota
- Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriverti a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
- Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.
Aggiungi il load balancer OCI e il WAF OCI a un hub con l'architettura di instradamento della VCN spoke e l'hub
Introduzione
Questa esercitazione descrive i task necessari per distribuire e configurare un load balancer Oracle Cloud Infrastructure (OCI) con OCI Web Application Firewall (WAF) in OCI e le modalità di funzionamento in un ambiente di instradamento VCN hub e spoke.
L'immagine seguente illustra i flussi di traffico.
Connettività esterna allo spoke mediante il load balancer e il WAF
Obiettivi
- Verrà configurato un load balancer OCI con il criterio WAF OCI in un'architettura di rete hub e spoke. Inoltre, imposteremo i server Web per monitorare e tenere traccia del modo in cui il load balancer distribuisce il traffico.
Prerequisiti
-
Assicurarsi di completare le seguenti esercitazioni se si desidera ricreare il contenuto di questa esercitazione.
Task 1: Revisione dell'architettura di rete hub e spoke corrente
Per continuare questo tutorial dovremmo avere:
- 1 x VCN hub (con un firewall, un gateway Internet, un gateway NAT e un gateway di servizi)
- 3 VCN spoke
- 1 x On-premises attached with an IPSec VPN Connection
Nella VCN dell'hub è disponibile un'istanza Windows che può essere utilizzata per connettersi alle istanze spoke. Ogni spoke avrà un'istanza che verrà configurata come server Web. Queste istanze possono essere utilizzate come endpoint per il load balancer che verrà distribuito in questa esercitazione.
La seguente immagine illustra il punto di partenza.
Task 2: configurare l'instradamento nell'architettura di rete hub e spoke tra OCI WAF e OCI Load Balancer, il firewall hub e le istanze spoke
L'immagine seguente illustra l'architettura di rete Hub e spoke corrente con tutte le liste di sicurezza e le tabelle di instradamento.
Prima di aggiungere il load balancer OCI, vogliamo assicurarci che il traffico proveniente dalla subnet del load balancer OCI venga instradato al firewall dell'hub in modo che il traffico possa essere ispezionato sul firewall dell'hub prima che invii il traffico alle istanze spoke.
Sebbene sia già presente una regola di instradamento predefinita, è comunque consigliabile aggiungere questa regola per richiamarla in modo esplicito come abbiamo fatto anche con le altre reti.
-
Aggiungere la regola di instradamento.
-
Eseguire il login alla console OCI, passare a Networking, Reti cloud virtuali e Rete cloud virtuale.
-
Fare clic su Tabelle di instradamento.
- Selezionare la tabella di instradamento VCN_HUB_RT_DRG_TRANSIT.
-
-
Fare clic su Aggiungi regole di instradamento.
- Tipo di destinazione: selezionare IP privato.
- Tipo di destinazione: immettere Blocco CIDR.
- Blocco CIDR di destinazione: immettere
0.0.0.0/0
. - Selezione destinazione: immettere
172.16.0.20
, ovvero l'indirizzo IP del firewall pfSense. - Fare clic su Aggiungi regole di instradamento.
-
Si noti che l'instradamento
172.16.0.128/25
viene ora aggiunto alla tabella di instradamento VCN_HUB_RT_DRG_TRANSIT.L'immagine seguente illustra l'architettura di rete Hub e spoke corrente con tutte le liste di sicurezza e le tabelle di instradamento con regole di instradamento.
Task 3: Installare un server Web sui server backend
Installare un server Web NGINX su tutte le istanze nei VCN spoke. Per ulteriori informazioni su come installare un server Web NGINX su un'istanza Oracle Linux, vedere Task 6: installare un server Web sull'istanza.
Task 4: Creare o modificare una pagina Web sui server backend
Per impostazione predefinita, ogni server Web verrà configurato con una pagina Web predefinita. Per tenere traccia della posizione in cui il nostro load balancer OCI reindirizza il traffico ad esso, è buona norma modificare qualcosa nella pagina Web in modo da sapere quale server viene colpito.
Possiamo farlo modificando il contenuto del file index.html
NGINX predefinito.
sudo nano /usr/share/nginx/html/index.html
Per l'istanza A, modificare l'intestazione:
<h1>Welcome to nginx! This is INSTANCE-A</h1>
Per l'istanza B, modificare l'intestazione:
<h1>Welcome to nginx! This is INSTANCE-B</h1>
Per Instance-C, modificare l'intestazione:
<h1>Welcome to nginx! This is INSTANCE-C</h1>
Assicurarsi di salvare i file index.html
dopo averli modificati.
Task 5: installare un load balancer OCI
Prima di creare il load balancer OCI, è necessario consentire l'ingresso della porta 80 nella lista di sicurezza della VCN hub. Tutto il traffico, incluso il traffico che proviene dal load balancer nella subnet pubblica della VCN HUB, viene instradato al firewall HUB. Le istanze che il load balancer utilizzerà gli endpoint sono in ascolto sulla porta TCP/80. Per questo motivo, dobbiamo anche consentire l'ingresso della porta TCP/80 nella VCN dell'hub in modo che la subnet privata nella VCN dell'hub in cui viene instradato il traffico consenta anche la comunicazione verso le VCN spoke.
-
Aggiungi regola di entrata.
- Clicca sul menu hamburger (≡) dall'angolo in alto a sinistra.
- Fare clic su Networking.
- Fare clic su Reti cloud virtuali.
- Assicurati di essere nella sezione Rete cloud virtuale.
- Fare clic sulla VCN HUB-VCN.
-
Fare clic su Elenchi di sicurezza.
-
Fare clic su Lista di sicurezza predefinita per HUB-VCN.
- Assicurarsi di trovarsi nella sezione Regole di entrata.
- Fare clic su Aggiungi regole di entrata.
- Aggiungere una regola di sicurezza che consenta l'uso di TCP/80 dall'origine (
172.16.0.128/25
) a Tutte le destinazioni.
Nota:
-
Stiamo utilizzando la lista di sicurezza predefinita applicata alla rete HUB-VCN e quindi applicata a tutte le subnet separate all'interno di questa rete HUB-VCN.
-
Ciò significa anche che il traffico che va dalla subnet pubblica alla subnet privata all'interno della rete HUB-VCN è soggetto a questa lista di sicurezza predefinita poiché a entrambe le subnet viene applicato lo stesso elenco di sicurezza predefinito.
-
Per questo motivo stiamo consentendo l'ingresso della porta TCP/80 perché se non lo facciamo il load balancer non è in grado di comunicare con i server backend come tutti il traffico viene inviato dalla subnet pubblica alla subnet privata perché stiamo utilizzando un'architettura HUB-and-Spoke con un firewall all'interno della subnet privata della VCN HUB.
-
L'immagine seguente illustra gli elementi creati finora con l'aggiunta della regola di sicurezza.
-
Creare il load balancer.
- Clicca sul menu hamburger (≡) dall'angolo in alto a sinistra.
- Fare clic su Networking.
- Fare clic su Load balancer.
-
Fare clic su Crea load balancer.
- Immettere un nome di load balancer.
- Selezionare Pubblico per il tipo di visibilità.
- Selezionare Indirizzo IP temporaneo.
- Scorrere in basso.
-
Mantieni tutto predefinito e scorri verso il basso.
- Selezionare la VCN in cui collegare il load balancer.
- Selezionare la subnet in cui collegare il load balancer.
- Fare clic su Avanti.
- Selezionare Ponderato round robin come criterio di bilanciamento del carico.
- Fare clic su Aggiungi backend.
- Selezionare tutti i backend delle istanze nei VCN spoke.
- Fare clic su Aggiungi backend selezionati.
- Rivedere i backend e modificare la porta, se necessario, in questa esercitazione tutte le istanze backend ascoltano la porta 80.
- Scorrere in basso.
-
Mantenere l'impostazione predefinita del criterio di controllo dello stato e fare clic su Avanti.
- Immettere un nome di listener.
- Selezionare HTTP come tipo di traffico gestito dal listener.
- Immettere una porta del listener da 80.
- Fare clic su Avanti.
- Selezionare un gruppo di log.
- Fare clic su Sottometti.
-
Tenere presente che lo stato del load balancer è CREATING.
- Lo stato del load balancer è stato modificato da CREATING a ACTIVE.
- Si noti che l'integrità generale è in sospeso.
- Si noti che l'integrità del set backend è in sospeso.
- Prendere nota dell'indirizzo IP pubblico del load balancer.
- Dopo alcuni minuti, l'integrità generale è impostata su OK.
- Dopo alcuni minuti, l'opzione Backend imposta l'integrità è impostata su OK.
-
Scorrere verso il basso per esaminare più da vicino il set backend.
- Fare clic su Set backend.
- Fare clic sul set backend disponibile.
- Si noti che l'integrità generale è OK.
- Si noti che l'integrità del backend è OK.
- Scorrere in basso.
- Fare clic su Backend.
- Prendere nota dei backend nella sezione Backend.
- Aprire un nuovo browser.
- Immettere l'indirizzo IP pubblico del load balancer.
- Tenere presente che il load balancer reindirizza il traffico all'istanza nella VCN B spoke.
- Aggiornare la pagina.
- Tenere presente che il load balancer ora reindirizza il traffico all'istanza nella VCN C spoke.
- Aggiornare la pagina.
- Tenere presente che il load balancer ora reindirizza il traffico all'istanza nella VCN B spoke di nuovo.
- Aggiornare la pagina.
- Tenere presente che il load balancer ora reindirizza il traffico all'istanza nella VCN A spoke.
-
La seguente immagine illustra ciò che hai creato finora e come scorre il traffico.
-
Assicurarsi che il firewall dell'hub consenta la porta TCP/80 dal load balancer ai server backend. In questo tutorial, abbiamo consentito tutto il traffico nel firewall hub per scopi di test.
Task 6: installare e configurare un Web Application Firewall OCI
-
Configurare OCI Web Application Firewall.
- Clicca sul menu hamburger (≡) dall'angolo in alto a sinistra.
- Fare clic su identità e sicurezza.
- Fare clic su Web Application Firewall.
-
Fare clic su Crea criterio WAF.
- Immettere il nome per il criterio WAF.
- Fare clic su Avanti.
- Assicurarsi che l'opzione Abilita controllo di accesso sia abilitata.
-
Utilizza un sito web in grado di recuperare il tuo indirizzo IP ISP. Questa operazione è necessaria per configurare il controllo dell'accesso in OCI Web Application Firewall. In questo tutorial, stiamo utilizzando
www.ipchicken.com
per recuperare l'indirizzo IP ISP. -
Nella sezione Aggiungi regola di accesso, immettere le informazioni riportate di seguito.
- Fare clic su Aggiungi regola di accesso.
- Immettere un nome per la regola di accesso.
- Tipo di condizione: selezionare indirizzo IP di origine.
- Operatore: selezionare In elenco.
- Intervalli IP CIDR: immettere l'indirizzo IP del proprio ISP.
- Scorrere in basso.
- In Azione regola, immettere il nome dell'azione e selezionare Azione codice risposta 401 preconfigurata.
- Fare clic su Aggiungi regola di accesso.
- La regola di accesso è stata aggiunta.
- Fare clic su Avanti.
-
Fare clic su Avanti.
-
Fare clic su Avanti.
- Selezionare il load balancer su cui si desidera configurare il criterio WAF. Utilizzare il load balancer creato nel task 5.
- Fare clic su Avanti.
-
Fare clic su Crea criterio WAF.
-
Tenere presente che il criterio WAF viene creato.
- Tenere presente che lo stato del criterio WAF è ACTIVE.
- Fare clic su Criteri per tornare alla pagina dei criteri WAF.
-
Prendere nota del criterio WAF appena configurato.
Task 7: eseguire il test della connettività WAF, del load balancer OCI e della sicurezza WAF OCI
-
Aprire il browser utilizzato nel task 5 e aggiornare la pagina.
Nota: se è stata chiusa, immettere l'indirizzo IP pubblico del load balancer.
-
Si noti che non è più possibile accedere ai server Web perché sono stati bloccati con il criterio WAF.
Conferme
- Autore - Iwan Hoogendoorn (esperto di rete OCI)
Altre risorse di apprendimento
Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.
Per la documentazione del prodotto, visita l'Oracle Help Center.
Add OCI Load Balancer and OCI WAF to a Hub with Hub and Spoke VCN Routing Architecture
G12090-01
July 2024