Gateway de Internet

Este tópico descreve como configurar e gerenciar um gateway de internet para permitir que a sua VCN acesse a internet.

Dica

A Oracle também oferece um gateway NAT, que é recomendado para as sub-redes da VCN que não exigem conexões da internet iniciadas externamente.

Destaques

  • Um gateway de internet é aquele que é opcional e que você pode adicionar à sua VCN para ativar a conectividade direta com a internet.
  • O gateway suporta conexões iniciadas na VCN (saída) e conexões iniciadas na internet (entrada).
  • Os recursos que precisam usar o gateway para acesso à internet devem estar em uma sub-rede pública e ter endereços IP públicos. Os recursos com endereços IP privados podem, em vez disso, usar um gateway NAT para iniciar conexões com a internet.
  • Cada sub-rede pública que precisa usar o gateway de internet deve ter uma regra de tabela de roteamento que especifique o gateway como alvo.
  • Use regras de segurança para controlar os tipos de tráfego permitidos dentro e fora dos recursos dessa sub-rede. Certifique-se de permitir somente os tipos desejados de tráfego da internet.
  • O gateway de internet só pode ser usado por recursos na VCN do gateway. Os hosts na rede local conectada ou em uma VCN pareada não podem usar esse gateway de internet.
  • Não é possível adicionar ou mover um gateway de internet para uma VCN dentro de uma zona de segurança. As zonas de segurança não permitem sub-redes públicas.
  • Somente um gateway de internet é necessário para cada VCN. Todas as sub-redes públicas dentro de uma VCN têm acesso ao gateway de internet, desde que as regras de segurança e as regras da tabela de roteamento permitam esse acesso.

Visão Geral dos Gateways de Internet

Antes de continuar, certifique-se ter lido Acesso à Internet e também de ter entendido como configurar regras de segurança para os recursos de uma sub-rede.

Um gateway de internet como um roteador virtual opcional que conecta a borda da VCN com a internet. Para que seja possível usar o gateway, os hosts em ambas as extremidades da conexão devem ter endereços IP públicos para roteamento. As conexões originadas na sua VCN e destinadas a um endereço IP público (dentro ou fora da VCN) passam pelo gateway de internet. As conexões originadas fora da VCN e destinadas a um endereço IP público dentro da VCN passam pelo gateway de internet.

Uma VCN só pode ter um gateway de internet. Você controla quais sub-redes públicas na VCN podem usar o gateway configurando a tabela de roteamento associada à sub-rede. Use regras de segurança para controlar os tipos de tráfego permitidos dentro e fora dos recursos nessas sub-redes públicas.

O diagrama a seguir ilustra uma configuração de VCN simples com uma única sub-rede pública. A VCN tem um gateway de internet e a sub-rede pública é configurada para usar a tabela de roteamento padrão da VCN. A tabela tem uma regra de roteamento que envia todo tráfego de saída das sub-redes para o gateway de internet. O gateway permite qualquer conexão de entrada proveniente da internet que tenha um endereço IP de destino igual ao endereço IP público de um recurso na VCN. No entanto, as regras da lista de segurança da sub-rede pública determinam basicamente os tipos específicos de tráfego permitidos dentro e fora dos recursos da sub-rede. Essas regras de segurança específicas não são mostradas.

Essa imagem mostra um layout simples de uma VCN com uma sub-rede pública que usa um gateway de internet.
Callout 1: Tabela de Roteamento Padrão da VCN
CIDR de Destino Destino da Rota
0.0.0.0/0 Gateway de Internet
Dica

O tráfego entre uma VCN e um endereço IP público que faz parte do Oracle Cloud Infrastructure (como o Object Storage) deve ser roteado por meio de um gateway de serviço em vez de um gateway de internet.

Como Trabalhar com Gateways de Internet

Você cria um gateway de internet no contexto de uma VCN específica. Em outras palavras, o gateway de internet sempre está anexado a uma VCN. No entanto, você pode desativar e reativar o gateway de internet a qualquer momento. Compare essa situação com um DRG (gateway de roteamento dinâmico), que você cria como um objeto autônomo e depois anexa a uma VCN específica. Os DRGs usam outro modelo porque se destinam a blocos de construção modulares para conectar VCNs de forma privada com a sua rede local.

Para que o tráfego flua de uma sub-rede pública para a Internet, crie uma regra de roteamento correspondente na tabela de roteamento da sub-rede. Por exemplo, CIDR de destino = 0.0.0.0/0 e destino = gateway de internet; se você quiser rotear o tráfego por meio de um firewall, o destino poderá ser o endereço IP privado do firewall. A sub-rede de firewall precisará de uma rota, geralmente 0.0.0.0/0, para acessar a Internet com o gateway de internet como destino.

Para tráfego que flui da internet para um destino em uma sub-rede pública, por padrão, o gateway de internet roteia o tráfego diretamente para o destino. Você pode associar uma tabela de roteamento ao gateway de internet e definir regras de roteamento que roteiam o tráfego público de entrada para destinos na VCN. Por exemplo, se você quiser que o gateway de internet roteie o tráfego para um firewall na VCN primeiro, poderá criar uma regra de roteamento para o CIDR da sub-rede de destino com o endereço IP privado do firewall como destino. Não há suporte para regras de roteamento para destinos fora da VCN em uma tabela de roteamento de gateway de internet.

Somente um gateway de internet é necessário para cada VCN. Todas as sub-redes públicas dentro de uma VCN têm acesso ao gateway de internet, desde que as regras de segurança e as regras da tabela de roteamento permitam esse acesso.

Para fins de controle de acesso, você deve especificar o compartimento onde deseja que o gateway de internet resida. Se você não tiver certeza sobre qual compartimento usar, coloque o gateway de internet no mesmo compartimento da rede na nuvem. Para obter mais informações, consulte Controle de Acesso.

Opcionalmente, você pode designar um nome amigável ao gateway de internet. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. O Oracle designa automaticamente ao gateway de internet um identificador exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte: Identificadores de Recurso.

Para que seja possível excluir um gateway de internet, ele não precisa estar desativado, mas não deve haver uma tabela de roteamento que lista esse gateway como destino.

Consulte Limites de Gateway e Solicitando um Aumento do Limite do Serviço para obter informações relacionadas a limites.

Configuração do Gateway de Internet

Pré-requisitos:

  • Você determinou quais sub-redes na VCN precisam de acesso à internet e criou essas sub-redes públicas.

    Somente um gateway de internet é necessário para cada VCN. Todas as sub-redes públicas dentro de uma VCN têm acesso ao gateway de internet, desde que as regras de segurança e as regras da tabela de roteamento permitam esse acesso.

  • Você determinou os tipos de tráfego de entrada e saída da internet que deseja permitir para os recursos em cada sub-rede pública (exemplos: conexões HTTPS de entrada, conexões de ping ICMP de entrada).
  • A política obrigatória do IAM foi implantada para permitir que você trabalhe com recursos do serviço Networking. Para administradores: consulte Políticas do IAM para Rede.
Importante

Se você tiver configurado a sub-rede pública para usar a lista de segurança padrão, lembre-se de que a lista inclui várias regras padrão úteis que permitem o acesso básico necessário (exemplos: entrada SSH, acesso de saída a todos os destinos). A Oracle recomenda que você se familiarize com o acesso básico permitido por essas regras. Se optar por não usar a lista de segurança padrão, certifique-se de permitir esse acesso básico implementando essas regras de segurança em grupos de segurança de rede (NSGs) ou em listas de segurança personalizadas.

O procedimento a seguir usa listas de segurança, mas você pode, em vez disso, implementar as regras de segurança em um grupo de segurança de rede e criar todos os recursos da sub-rede nesse NSG.

  1. Para cada sub-rede pública que precise usar o gateway de internet, configure as regras da lista de segurança da sub-rede para permitir o tráfego de internet desejado. Consulte as seguintes configurações de exemplo:

    Imagine que você tenha servidores web na sub-rede pública. Esse exemplo mostra como adicionar uma regra de entrada para conexões HTTPS (TCP porta 443) provenientes da internet ao servidor Web. Sem essa regra, as conexões HTTPS de entrada não são permitidas.

    1. Deixe a caixa de seleção Sem Monitoramento de Estado desmarcada.
    2. Tipo de Origem: CIDR
    3. CIDR de Origem: 0.0.0.0/0
    4. Protocolo IP: deixe como TCP.
    5. Intervalo de Portas de Origem: deixe como Todos.
    6. Intervalo de Portas de Destino: insira 443.
    7. Descrição: Uma descrição opcional da regra.
  2. Crie o gateway de internet da VCN.

    Depois que o gateway de internet for criado e exibido na página Gateways de Internet da VCN escolhida, ele já estará ativado, mas você ainda precisará adicionar uma regra de roteamento que permita ao tráfego fluir até o gateway.

  3. Para cada sub-rede pública que precise usar o gateway de internet, atualize a tabela de roteamento da sub-rede usando as seguintes definições de exemplo:

    • Tipo de Destino: Gateway de Internet
    • Bloco CIDR de destino: 0.0.0.0/0 (significa que todo tráfego não local da VCN ainda não contemplado por outras regras da tabela de roteamento irá para o destino especificado nessa regra)
    • Compartimento: o compartimento onde o gateway de internet está localizado.
    • Destino: o gateway de internet que você acabou de criar.
    • Descrição: Uma descrição opcional da regra.

O gateway de internet agora está ativado e funcionando para a sua rede na nuvem.