Acesso aos Serviços Oracle: Pontos Finais de Acesso ao Serviço Privado

Sobre Pontos Finais PSA

Você pode usar o Acesso ao Serviço Privado do Oracle Cloud Infrastructure para criar pontos finais de Acesso ao Serviço Privado (PSA) que forneçam acesso IP privado a um único serviço do OCI. O ponto final do PSA usa um endereço IP privado dedicado e um FQDN em uma VCN e sub-rede especificadas. Um ponto final PSA está disponível em redes IPv4-IPv6 de pilha dupla ou somente IPv4.

Você configura o ponto final PSA em uma sub-rede dentro da VCN. Você pode pensar no ponto final do PSA como outra VNIC na VCN. Você pode controlar o acesso a ele como faria para qualquer outra VNIC: usando regras de segurança em uma lista de segurança, um NSG ou usando atributos e políticas de segurança ZPR (Zero-trust Packet Routing) que você define e implementa.

O diagrama a seguir ilustra o conceito.

O ponto final do PSA fornece aos hosts dentro de uma VCN ou de uma rede local acesso ao serviço Oracle de interesse (por exemplo, Autonomous AI Database Serverless). O modelo de acesso privado é semelhante a um gateway de serviço: se você tivesse criado cinco Autonomous AI Databases para uma VCN específica, todos os cinco seriam acessíveis por meio de um único ponto final PSA enviando solicitações ao ponto final PSA para o serviço. Com o modelo dos pontos finais privados, haveria cinco pontos finais privados separados: um para cada Autonomous AI Database e cada uma com seu próprio endereço IP privado.

Para ativar hosts locais para usar o FQDN do ponto final privado em vez de seu endereço IP privado, você tem duas opções:

• Configure um ponto final de listening de DNS. Para ver um exemplo de implementação desse cenário com o provedor Oracle Terraform, consulte Configuração de DNS Híbrido.
• Gerenciar a resolução do nome do host manualmente.

Você pode ter diversas VCNs com hosts que precisam acessar o recurso específico de interesse. Você pode parear as VCNs para que os hosts das outras VCNs também possam usar o ponto final privado (o diagrama anterior Não mostra VCNs pareadas).

Considerações Específicas do Serviço

Armazenamento de Objetos

• O ponto final PSA do serviço Object Storage bloqueia solicitações pré-autenticadas entre tenancies, credenciais externas e acesso anônimo ao serviço Object Storage.
• O ponto final PSA para o Object Storage fornece throughput de até 25 Gbps.

Quando usar um ponto final PSA para o serviço Object Storage em vez de um ponto final privado

O PSA é recomendado para a maioria dos casos de uso do Object Storage, pois cria acesso privado contínuo em toda a região, sem alterações de código ou dependência de pontos finais públicos, e inclui recursos de segurança aprimorados (por exemplo, bloqueia credenciais entre tenancies/solicitações pré-autenticadas, oferece métricas de tráfego e atributos de confiança zero). Os Pontos Finais Privados são melhores quando você precisa restringir o acesso a namespaces, compartimentos ou buckets específicos para determinados clientes, o ideal para controle detalhado e cenários que precisam de FQDNs dedicados. O Service Gateway continua sendo uma opção ao exigir maior largura de banda ou quando você deseja acesso fácil e amplo a todos os serviços da OCI, embora com controles de segurança e menos granularidade.

Gerenciamento de Pontos Finais PSA

As seguintes ações básicas de gerenciamento estão disponíveis para pontos finais PSA:

• Listando Pontos Finais PSA
• Criando um Ponto Final PSA
• Obtendo Detalhes do Ponto Final PSA
• Editando um Ponto Final PSA
• Movendo um Ponto Final PSA para Outro Compartimento
• Excluindo um Ponto Final PSA