Gateway de Internet

• Um gateway da internet é um gateway opcional que você pode adicionar a uma VCN para permitir a conectividade direta com a internet.
• O gateway suporta conexões de dentro da VCN (saída) e conexões da internet (entrada).
• Os recursos que precisam usar o gateway para acesso à internet devem estar em uma sub-rede pública e ter endereços IP públicos. Os recursos que têm endereços IP privados podem, em vez disso, usar um gateway NA para começar conexões com a internet.
• Cada sub-rede pública que precisa usar o gateway de internet deve ter uma regra de tabela de roteamento que especifique o gateway como alvo.
• Use regras de segurança para controlar os tipos de tráfego permitidos dentro e fora dos recursos dessa sub-rede. Certifique-se de que as regras permitam apenas os tipos apropriados de tráfego da internet.
• O gateway de internet só pode ser usado por recursos na VCN do gateway. Os hosts na rede on-premises conectada ou em uma VCN emparelhada não pode usar esse gateway de internet.
• Não é possível adicionar ou mover um gateway de internet para uma VCN dentro de uma zona de segurança. As zonas de segurança não usam sub-redes públicas.
• Somente um gateway de internet é necessário para cada VCN. Todas as sub-redes públicas dentro de uma VCN têm acesso ao gateway de internet, desde que as regras de segurança e as regras da tabela de roteamento permitam esse acesso.

Antes da continuação, leia Acesso à Internet e também entenda como configurar regras e segurança para os recursos em uma sub-rede.

Um gateway de internet como um roteador virtual opcional que conecta a borda da VCN com a internet. Para que seja possível usar o gateway, os hosts em ambas as extremidades da conexão devem ter endereços IP públicos para roteamento. As conexões que se originam em uma VCN e são destinadas para um endereço IP público (quer dentro ou fora da VCN) passam pelo gateway de internet. As conexões originadas fora da VCN e destinadas a um endereço IP público dentro da VCN passam pelo gateway de internet.

Uma VCN específica pode ter apenas um gateway de internet. Você controla quais sub-redes públicas na VCN podem usar o gateway configurando a tabela de roteamento associada à sub-rede. Use regras de segurança para controlar os tipos de tráfego permitidos dentro e fora dos recursos nessas sub-redes públicas.

O diagrama a seguir ilustra a configuração de uma VCN com uma única sub-rede pública. A VCN tem um gateway de internet e a sub-rede pública é configurada para usar a tabela de roteamento padrão da VCN. A tabela tem uma regra de roteamento que envia todo tráfego de saída das sub-redes para o gateway de internet. O gateway permite qualquer conexão de entrada proveniente da internet que tenha um endereço IP de destino igual ao endereço IP público de um recurso na VCN. No entanto, as regras da lista de segurança da sub-rede pública decidem os tipos específicos de tráfego que podem entrar e sair dos recursos da sub-rede. Essas regras de segurança específicas não são mostradas.

Você cria um gateway da internet no contexto de uma VCN específica e o gateway da internet está sempre anexado a essa VCN. No entanto, você pode desativar e reabilitar o gateway de internet a qualquer momento. Compare essa situação com um DRG (gateway de roteamento dinâmico), que você cria como um objeto autônomo e depois anexa a uma VCN específica. Os DRGs usam outro modelo porque se destinam a ser blocos de construção modulares para conectar VCNs de forma privada a uma rede local ou a outras VCNs.

Para que o tráfego flua de uma sub-rede pública para a Internet, crie uma regra de roteamento correspondente na tabela de roteamento da sub-rede. Por exemplo, se o CIDR = 0.0.0.0/0 e o destino = gateway da internet, para rotear o tráfego por meio de um firewall, o destino poderá ser o endereço IP privado do firewall. Em seguida, a sub-rede do firewall precisa de uma rota (por exemplo, 0.0.0.0/0) para acessar a Internet com o gateway de internet como o destino.

Para tráfego que flui da internet para um destino em uma sub-rede pública, por padrão, o gateway de internet roteia o tráfego diretamente para o destino. Você pode associar uma tabela de roteamento ao gateway de internet e definir regras de roteamento que roteiam o tráfego público de entrada para destinos na VCN. Por exemplo, se você quiser que o gateway de internet roteie o tráfego para um firewall na VCN primeiro, poderá criar uma regra de roteamento para o CIDR da sub-rede de destino com o endereço IP privado do firewall como destino. As regras de rota para destinos fora da VCN em uma tabela da rota do gateway de internet não são suportadas.

Somente um gateway de internet é necessário para cada VCN. Todas as sub-redes públicas dentro de uma VCN têm acesso ao gateway de internet, desde que as regras de segurança e as regras da tabela de roteamento permitam esse acesso.

Para fins de controle de acesso, você deve especificar o compartimento onde deseja que o gateway de internet resida. Se você não tiver certeza sobre qual compartimento usar, coloque o gateway de internet no mesmo compartimento da rede na nuvem. Para obter mais informações, consulte Controle de Acesso.

Você pode designar um nome amigável ao gateway de internet. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. O Oracle designa automaticamente ao gateway de internet um identificador exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte: Identificadores de Recurso.

Para excluir um gateway da Internet, não é necessário desativá-lo, mas não deve haver uma tabela da rota que o liste como destino.

Consulte Limites de Gateway e Solicitando um Aumento do Limite do Serviço para obter informações relacionadas a limites.

Pré-requisitos:

• Decida quais sub-redes na VCN precisam de acesso à internet e crie essas sub-redes públicas.

  Somente um gateway de internet é necessário para cada VCN. Todas as sub-redes públicas dentro de uma VCN têm acesso ao gateway de internet, desde que as regras de segurança e as regras da tabela de roteamento permitam esse acesso.

• Decida os tipos de tráfego de entrada e saída da internet que deseja ativar para os recursos em cada sub-rede pública (exemplos: conexões HTTPS de entrada, conexões de ping ICMP de saída).
• A política obrigatória do IAM foi implantada para permitir que você trabalhe com recursos do serviço Networking. Para administradores: consulte Políticas do IAM para Rede.

O procedimento abaixo usa listas de segurança, mas você pode, ao invés disso, implementar as regras em um grupo de segurança da rede e, em seguida, criar todos os recursos da sub-rede nesse NSG.

1. Para cada sub-rede pública que precisa usar o gateway de internet, configure as regras de lista de segurança da sub-rede para permitir o tráfego da internet. Consulte as seguintes definições de exemplo:

   Imagine que você tenha servidores web na sub-rede pública. Esse exemplo mostra como adicionar uma regra de entrada para conexões HTTPS (TCP porta 443) provenientes da internet ao servidor Web. Sem essa regra, as conexões HTTPS de entrada não são permitidas.

   1. Deixe a caixa de seleção Sem Monitoramento de Estado desmarcada.
   2. Tipo de Origem: CIDR
   3. CIDR de Origem: 0.0.0.0/0
   4. Protocolo IP: deixe como TCP.
   5. Intervalo de Portas de Origem: deixe como Todos.
   6. Intervalo de Portas de Destino: insira 443.
   7. Descrição: Uma descrição opcional da regra.

2. Crie o gateway de internet da VCN.

   Depois que o gateway de internet for criado e exibido na página Gateways de Internet da VCN escolhida, ele já estará ativado, mas você ainda precisará adicionar uma regra de roteamento que permita ao tráfego fluir até o gateway.

3. Para cada sub-rede pública que precise usar o gateway de internet, atualize a tabela de roteamento da sub-rede usando as seguintes definições de exemplo:

   • Tipo de Destino: Gateway de Internet
   • Bloco CIDR de Destino: 0.0.0.0/0 (o que significa que todo tráfego não intra-VCN ainda não coberto por outras regras na tabela da rota vai para o destino especificado nesta regra)
   • Compartimento: O compartimento que contém o gateway de internet.
   • Destino: o gateway de internet que você criou.
   • Descrição: Uma descrição opcional da regra.

O gateway da internet agora está ativado e funcionando para a rede em nuvem.