Gateway de Internet

Este tópico descreve como configurar e gerenciar um gateway de internet para permitir que a sua VCN acesse a internet.

Dica

O sistema Oracle também oferece um Gateway NAT, que é recomendado para sub-redes da sua VCN que não exigem conexões de entrada da internet.

Destaques

  • Um gateway de internet é um roteador virtual opcional que você pode adicionar à sua VCN para permitir conectividade direta com a internet.
  • O gateway suporta conexões iniciadas na VCN (saída) e conexões iniciadas na internet (entrada).
  • Os recursos que precisam usar o gateway para acesso à internet devem estar em uma sub-rede pública e ter endereços IP públicos. Os recursos com endereços IP privados podem, em vez disso, usar um gateway NAT para iniciar conexões com a internet.
  • Cada sub-rede pública que precisa usar o gateway de internet deve ter uma regra de tabela de roteamento que especifique o gateway como alvo.
  • Use regras de segurança para controlar os tipos de tráfego permitidos dentro e fora dos recursos dessa sub-rede. Certifique-se de permitir somente os tipos desejados de tráfego da internet.
  • O gateway de internet só pode ser usado por recursos na VCN do gateway. Os hosts na rede local conectada ou em uma VCN pareada não podem usar esse gateway de internet.
  • Não é possível adicionar ou mover um gateway de internet para uma VCN dentro de uma zona de segurança. As zonas de segurança não permitem sub-redes públicas.

Visão Geral dos Gateways de Internet

Antes de continuar, certifique-se ter lido Acesso à Internet e também de ter entendido como configurar regras de segurança para os recursos de uma sub-rede.

Um gateway de internet como um roteador virtual opcional que conecta a borda da VCN com a internet. Para que seja possível usar o gateway, os hosts em ambas as extremidades da conexão devem ter endereços IP públicos para roteamento. As conexões originadas na sua VCN e destinadas a um endereço IP público (dentro ou fora da VCN) passam pelo gateway de internet. As conexões originadas fora da VCN e destinadas a um endereço IP público dentro da VCN passam pelo gateway de internet.

Uma VCN só pode ter um gateway de internet. Você controla quais sub-redes públicas na VCN podem usar o gateway configurando a tabela de roteamento associada à sub-rede. Use regras de segurança para controlar os tipos de tráfego permitidos dentro e fora dos recursos nessas sub-redes públicas.

O diagrama a seguir ilustra uma configuração de VCN simples com duas sub-redes públicas. A VCN tem um gateway de internet, e as duas sub-redes públicas são configuradas para usar a tabela de roteamento padrão da VCN. A tabela tem uma regra de roteamento que envia todo tráfego de saída das sub-redes para o gateway de internet. O gateway permite qualquer conexão de entrada proveniente da internet que tenha um endereço IP de destino igual ao endereço IP público de um recurso na VCN. No entanto, as regras da lista de segurança da sub-rede pública determinam basicamente os tipos específicos de tráfego permitidos dentro e fora dos recursos da sub-rede. Essas regras de segurança específicas não são mostradas no diagrama.

Esta imagem mostra um layout simples de uma VCN com duas sub-redes públicas que usam um gateway de internet.

Dica

O tráfego através de um gateway da Internet entre uma VCN e um endereço IP público que faz parte do Oracle Cloud Infrastructure (como Object Storage) é roteado sem ser enviado pela Internet.

Como Trabalhar com Gateways de Internet

Você cria um gateway de internet no contexto de uma VCN específica. Em outras palavras, o gateway de internet é automaticamente anexado a uma VCN. No entanto, você pode desativar e reativar o gateway de internet a qualquer momento. Compare essa situação com um DRG (gateway de roteamento dinâmico), que você cria como um objeto autônomo e depois anexa a uma VCN específica. Os DRGs usam outro modelo porque se destinam a blocos de construção modulares para conectar VCNs de forma privada com a sua rede local.

Para que o tráfego flua entre uma sub-rede e um gateway de internet, você deverá criar uma regra de roteamento adequada na tabela de roteamento da sub-rede (por exemplo, CIDR de destino = 0.0.0.0/0 e alvo = gateway de internet). Se o gateway da internet estiver desativado, isso significa que nenhum tráfego fluirá proveniente ou direcionado à internet, mesmo que haja uma regra de roteamento que permita esse tráfego. Para obter mais informações, consulte Tabelas de Roteamento.

Para fins de controle de acesso, você deve especificar o compartimento onde deseja que o gateway de internet resida. Se você não tiver certeza sobre qual compartimento usar, coloque o gateway de internet no mesmo compartimento da rede na nuvem. Para obter mais informações, consulte Controle de Acesso.

Opcionalmente, você pode designar um nome amigável ao gateway de internet. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. O Oracle designa automaticamente ao gateway de internet um identificador exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte: Identificadores de Recurso.

Para que seja possível excluir um gateway de internet, ele não precisa estar desativado, mas não deve haver uma tabela de roteamento que lista esse gateway como destino.

Usando a Console

Advertência

Evite inserir informações confidenciais ao designar descrições, tags ou nomes amigáveis aos seus recursos na nuvem por meio da Console, da API ou da CLI do Oracle Cloud Infrastructure.
Para configurar um gateway de internet

Pré-requisitos:

  • Você determinou quais sub-redes na VCN precisam de acesso à internet e criou essas sub-redes públicas.
  • Você determinou os tipos de tráfego de entrada e saída da internet que deseja permitir para os recursos em cada sub-rede pública (exemplos: conexões HTTPS de entrada, conexões de ping ICMP de entrada).
  • A política do IAM necessária foi implementada para permitir que você trabalhe com recursos do serviço Networking. Para administradores: consulte Políticas do IAM para Rede.
Importante

Se você tiver configurado a sub-rede pública para usar a lista de segurança padrão, lembre-se de que a lista inclui várias regras padrão úteis que permitem o acesso básico necessário (exemplos: entrada SSH, acesso de saída a todos os destinos). A Oracle recomenda que você se familiarize com o acesso básico permitido por essas regras. Se optar por não usar a lista de segurança padrão, certifique-se de permitir esse acesso básico implementando essas regras de segurança em grupos de segurança de rede (NSGs) ou em listas de segurança personalizadas.

O procedimento a seguir usa listas de segurança, mas você pode, em vez disso, implementar as regras de segurança em um grupo de segurança de rede e criar todos os recursos da sub-rede nesse NSG.

  1. Para cada sub-rede pública que precise usar o gateway de internet, configure as regras da lista de segurança da sub-rede para permitir o tráfego de internet desejado.

    1. Na Console, ao verificar a VCN na qual você está interessado, clique em Listas de Segurança.
    2. Clique na lista de segurança na qual você está interessado (uma lista de segurança associada à sub-rede pública).
    3. Em Recursos, clique em Regras de Entrada ou Regras de Saída dependendo do tipo de regra com a qual você deseja trabalhar.
    4. Se quiser adicionar uma nova regra, clique em Adicionar Regra de Entrada (ou Adicionar Regra de Saída).

      Exemplo

      Imagine que você tenha servidores web na sub-rede pública. Esse exemplo mostra como adicionar uma regra de entrada para conexões HTTPS (TCP porta 443) provenientes da internet ao servidor Web. Sem essa regra, as conexões HTTPS de entrada não são permitidas.

      1. Deixe a caixa de seleção Sem Monitoramento de Estado desmarcada.
      2. Tipo de Origem: CIDR
      3. CIDR de Origem: 0.0.0.0/0
      4. Protocolo IP: deixe como TCP.
      5. Intervalo de Portas de Origem: deixe como Todos.
      6. Intervalo de Portas de Destino: insira 443.
      7. Descrição: Uma descrição opcional da regra.
    5. Se quiser excluir uma regra existente, clique no ícone Ações (três pontos) e clique em Remover.
    6. Se você quiser editar uma regra existente, clique no ícone Ações (três pontos) e clique em Editar.
  2. Crie o gateway de internet da VCN:

    1. Na Console, ao verificar a VCN na qual você está interessado, clique em Gateways de Internet
    2. Clique em Criar Gateway de Internet.
    3. Informe o seguinte:

      • Nome: um nome amigável para o gateway de internet. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
      • Criar no Compartimento: o compartimento no qual você deseja criar o gateway de internet, se ele for diferente do compartimento no qual você está trabalhando no momento.
      • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não estiver certo de que deve aplicar tags, ignore esta opção (é possível aplicar tags posteriormente) ou peça ao administrador.
    4. Clique em Criar Gateway de Internet.

      O seu gateway de internet é criado e exibido na página Gateways de Internet do compartimento escolhido. Já está ativado, mas você ainda precisa adicionar uma regra de roteamento que permita ao tráfego fluir até o gateway.

  3. Para cada sub-rede pública que precise usar o gateway de internet, atualize a tabela de roteamento da sub-rede:

    1. Ao verificar os detalhes da VCN, clique em Tabelas de Roteamento.
    2. Clique na tabela de roteamento da sub-rede pública para exibir os detalhes.
    3. Clique em Adicionar Regra de Roteamento.
    4. Informe o seguinte:

      • Tipo de Destino: Gateway de Internet
      • Bloco CIDR de destino: 0.0.0.0/0 (significa que todo tráfego não local da VCN ainda não contemplado por outras regras da tabela de roteamento irá para o destino especificado nessa regra)
      • Compartimento: o compartimento onde o gateway de internet está localizado.
      • Destino: o gateway de internet que você acabou de criar.
      • Descrição: Uma descrição opcional da regra.
    5. Clique em Salvar.

Um gateway de internet agora está ativado e funcionando para a sua rede na nuvem.

Para desativar/ativar um gateway de internet

Essa operação só está disponível por meio da API. Se você não tiver acesso à API e precisar desativar ou ativar um gateway de internet, entre em contato com o Suporte Técnico Oracle. Você também pode excluir e recriar facilmente o gateway de internet, se necessário. Apenas se certifique de atualizar as tabelas de roteamento que fazem referência ao gateway de internet.

Para excluir um gateway de internet

Pré-requisito: o gateway de internet não precisa estar desativado, mas não deverá haver uma tabela de roteamento que o lista como destino.

  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Gateways de Internet.
  4. Clique no ícone Ações (três pontos) do gateway de internet e, em seguida, clique em Encerrar.
  5. Confirme quando solicitado.
Para gerenciar as tags de um gateway de internet
  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Gateways de Internet.
  4. Clique no ícone Ações (três pontos) do gateway de internet e, em seguida, clique em Exibir Tags. Nessa página, você pode exibir as tags existentes, editá-las e aplicar novas tags.

Para obter mais informações, consulte: Tags de Recursos.

Para mover um gateway de internet para outro compartimento

Você pode mover um gateway de internet de um compartimento para outro. Quando você move um gateway de internet para um novo compartimento, as políticas inerentes são aplicadas imediatamente.

  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Gateways de Internet.
  4. Clique no ícone Ações (três pontos) do gateway de internet e clique em Mover Recurso.
  5. Escolha o compartimento de destino na lista.
  6. Clique em Mover Recurso.

Para obter mais informações sobre o uso de compartimentos e políticas para controlar o acesso à sua rede na nuvem, consulte Controle de Acesso. Para obter informações gerais sobre compartimentos, consulte Gerenciando Compartimentos.