Documentação do Oracle Cloud Infrastructure

Acesso Privado

Este tópico fornece uma visão geral das opções para permitir o acesso privado aos serviços na Oracle Cloud Infrastructure. Acesso privado significa que o tráfego não passa pela internet. O acesso pode ser de hosts dentro de uma rede virtual na nuvem (VCN) ou de uma rede on-premises.

Dica

Este tópico é sobre o acesso aos serviços por meio de um gateway de internet. No entanto, lembre-se de que O tráfego por meio de um gateway de internet entre uma VCN e um endereço IP público que é parte do Oracle Cloud Infrastructure é roteado sem ser enviado pela Internet.

Destaques

  • Você pode ativar o acesso privado a determinados serviços no Oracle Cloud Infrastructure por meio de uma VCN ou rede local usando um ponto final privado, um ponto final de Acesso ao Serviço Privado ou um gateway de serviços. Consulte as seções a seguir.

  • Para cada opção de acesso privado, esses serviços ou tipos de recursos estão disponíveis:

  • Com qualquer uma dessas opções de acesso privado, o tráfego permanece dentro da rede da Oracle Cloud Infrastructure e não atravessa a internet. No entanto, se você usar um gateway de serviço, as solicitações para o serviço usarão um ponto final público para o serviço.
  • Se você não quiser acessar um serviço Oracle específico por meio de um ponto final público, recomendamos o uso de um ponto final privado ou de um ponto final PSA em uma VCN (supondo que o serviço suporte esses pontos finais).

Sobre Pontos Finais Privados

Um ponto final privado é um endereço IP privado dentro de uma VCN que você pode usar para acessar um serviço específico no Oracle Cloud Infrastructure. O serviço configura o ponto final privado em uma sub-rede dentro da VCN. Você pode pensar no ponto final privado como outra VNIC na VCN. Você pode controlar o acesso a ela como faria para qualquer outra VNIC: usando regras de segurança. No entanto, o serviço configura essa VNIC e mantém sua disponibilidade para você. Você só precisa manter a sub-rede e as regras de segurança.

O diagrama a seguir ilustra o conceito.

Este diagrama mostra uma VCN com um ponto final privado para um recurso.

O ponto final privado fornece aos hosts dentro de uma VCN e uma rede local acesso a um único recurso dentro do serviço de interesse da Oracle (por exemplo, um banco de dados no Autonomous AI Database Serverless). Compare esse modelo de acesso privado com um gateway de serviço (consulte a próxima seção): se você tivesse criado cinco Autonomous AI Databases para uma VCN específica, todos os cinco poderiam ser acessados por meio de um único gateway de serviço enviando solicitações a um ponto final público para o serviço. No entanto, com o modelo do ponto final privado, haveria cinco pontos finais privados separados: um para cada Autonomous AI Database e cada uma com seu próprio endereço IP privado.

Observação

O serviço que configura o ponto final privado na VCN pode fornecer um nome de DNS (nome do domínio totalmente qualificado ou FQDN) para o ponto final privado, e não o próprio endereço IP privado. Se você tiver configurado a configuração de rede para DNS, os hosts poderão acessar o ponto final privado usando o FQDN. Se o serviço suportar o uso de Grupos de Segurança de Rede (NSGs) com seus recursos, você poderá solicitar que o serviço configure o ponto final privado em um NSG na VCN. NSGs permitem que você grave regras de segurança para controlar o acesso ao ponto final privado sem saber o endereço IP privado designado ao ponto final privado.

Se você tiver um ponto final privado para um recurso, os hosts dentro da VCN poderão usar o FQDN do ponto final privado ou o endereço IP privado para acessar o recurso. Você configura regras de segurança para controlar o acesso entre hosts na VCN e no ponto final privado. Para obter um exemplo de como fazer isso com o Autonomous AI Lakehouse, consulte Configuring Network Access with Private Endpoints.

Você também pode configurar o roteamento de trânsito com sua VCN para que os hosts na rede local possam usar o ponto final privado. Para ativar hosts locais para usar o FQDN do ponto final privado em vez de seu endereço IP privado, você tem duas opções:

  • Configurar uma instância na VCN para ser um servidor DNS personalizado. Para ver um exemplo de implementação desse cenário com o provedor Oracle Terraform, consulte Configuração de DNS Híbrido.
  • Gerenciar a resolução do nome do host manualmente.

Você pode ter diversas VCNs com hosts que precisam acessar o recurso específico de interesse. Você pode parear as VCNs para que os hosts das outras VCNs também possam usar o ponto final privado (o diagrama anterior Não mostra VCNs pareadas).

Sobre Gateways de Serviço

Um gateway de Serviço dá aos recursos da sua VCN e acesso privado da rede local a vários serviços no Oracle Cloud Infrastructure, sem que o tráfego passe pela internet.

O diagrama a seguir ilustra o conceito. O diagrama refere-se ao Oracle Services Network, que é uma rede conceitual no Oracle Cloud Infrastructure reservada para os serviços Oracle.

Este diagrama mostra uma VCN com um gateway de serviço para acesso ao Oracle Services Network.

Para usar um gateway de serviço de uma sub-rede específica dentro da sua VCN, configure uma regra de roteamento na tabela de roteamento da sub-rede e especifique o gateway de serviço como o destino da regra. Você também pode configurar regras de segurança para controlar o acesso entre hosts na VCN e os serviços disponíveis por meio do gateway de serviço.

Se você tiver mais de uma VCN em sua tenancy, poderá configurar cada uma com seu próprio gateway de serviço.

Consulte Limites do Gateway e Criando uma Solicitação de Aumento de Limite para obter mais informações relacionadas a limites.

Você também pode configurar o roteamento de trânsito do Oracle Services Network para que os hosts da sua rede local possam usar um gateway de serviço da VCN.

Sobre o Acesso ao Serviço Privado

Você pode usar o Acesso ao Serviço Privado do Oracle Cloud Infrastructure para criar pontos finais de Acesso ao Serviço Privado (PSA) que forneçam acesso IP privado a um único serviço do OCI. O ponto final do PSA usa um endereço IP privado dedicado e um FQDN em uma VCN e sub-rede especificadas. Um ponto final PSA está disponível em redes IPv4-IPv6 de pilha dupla ou somente IPv4.

Você configura o ponto final PSA em uma sub-rede dentro da VCN. Você pode pensar no ponto final do PSA como outra VNIC na VCN. Você pode controlar o acesso a ele como faria para qualquer outra VNIC: usando regras de segurança em uma lista de segurança, um NSG ou usando atributos e políticas de segurança ZPR (Zero-trust Packet Routing) que você define e implementa.

O diagrama a seguir ilustra o conceito.

Este diagrama mostra uma VCN com um ponto final PSA para um serviço.

O ponto final PSA fornece aos hosts dentro de uma VCN ou de uma rede local acesso ao serviço Oracle de interesse (por exemplo, Object Storage). O ponto final PSA está disponível para qualquer carga de trabalho nessa VCN, independentemente da sub-rede da carga de trabalho, para comunicação com o respectivo serviço. Você só pode ter um ponto final PSA em uma VCN para um serviço específico. Se você tiver muitas VCNs, crie pontos finais PSA em cada VCN, conforme necessário.

Para acessar o ponto final do PSA em redes locais, você tem duas opções.

  1. Na configuração de DNS on-premises, mapeie manualmente o FQDN do serviço PSA para o IP privado designado ao ponto final PSA.
  2. Crie um ponto final de listening de DNS no resolvedor de VCN. De FQDNs de encaminhamento locais para os serviços do OCI que estão sendo usados para o ponto final de listening, que retorna o IP Privado para qualquer ponto final PSA associado.

Para obter mais informações, consulte Sobre Pontos Finais PSA.