Documentação do Oracle Cloud Infrastructure

Cenário A: Sub-rede Pública

O cenário A consiste em uma rede virtual na nuvem (VCN) com uma sub-rede pública regional, que são necessárias para conectividade de rede com instâncias do serviço Compute em uma tenancy. Os servidores públicos são criados em domínios de disponibilidade (ADs) separados para redundância, e a VCN usa sub-redes regionais porque são mais flexíveis e fáceis de dividir com eficiência uma VCN em sub-redes e, ao mesmo tempo, contabilizar possíveis falhas. A VCN é diretamente conectada com a internet por meio de um gateway de internet. O gateway também é usado para conectividade com uma rede local. Qualquer recurso de uma rede local que precise se comunicar com recursos dessa VCN deve ter um endereço IP público e acesso à internet.

É fácil começar a usar o Oracle Cloud Infrastructure porque a sub-rede usa uma lista de segurança padrão inicial. Esta lista contém regras de segurança que permitem acesso obrigatório típico (por exemplo, conexões SSH de entrada e qualquer tipo de conexões de saída). Lembre-se de que as regras da lista de segurança somente permitem o tráfego e o tráfego não explicitamente permitido por uma regra da lista de segurança é implicitamente negado. O mesmo vale para regras de roteamento, que também exigem que o tráfego de saída seja explicitamente permitido e que o tráfego para destinos específicos seja enviado para o gateway necessário. Os destinos de roteamento fora da VCN devem ser acessíveis por meio de um gateway que você cria e especifica explicitamente em uma tabela de roteamento associada à sub-rede que um recurso usa.

Nesse cenário, você adiciona uma nova regra à lista de segurança padrão. Essa regra é necessária para conceder às instâncias do serviço Compute acesso à internet. Em vez disso, você pode criar uma lista de segurança personalizada para essa regra e configurar a sub-rede para usar a lista de segurança padrão e a lista de segurança personalizada, mas isso está fora do escopo desse cenário.

Dica

As listas de Segurança são uma forma de controlar o tráfego dentro e fora dos recursos da VCN. Também é possível usar grupos de segurança de rede

Nesse cenário, a sub-rede também usa a tabela de roteamento padrão, que começa com nenhuma regra quando a VCN é criada. A tabela só precisa de uma única regra para o gateway de internet.

Esse cenário não usa um Gateway de Roteamento Dinâmico (DRG).

A figura a seguir mostra recursos com endereços IP públicos em uma sub-rede pública regional, com recursos redundantes na mesma sub-rede, mas em outro Domínio de Disponibilidade. A tabela de roteamento de sub-rede pública permite que todo tráfego de entrada informe e deixe a sub-rede pública por meio do gateway de internet, use a lista de segurança padrão e o roteamento local incorporado à VCN. Os hosts on-premises devem ter endereços IP públicos para se comunicar com recursos da VCN pela internet.

Esta imagem mostra o Cenário A: uma VCN com uma sub-rede pública regional e um gateway de internet.
Callout 1: Tabela de roteamento de sub-rede pública regional
CIDR de Destino Destino da rota
0.0.0.0/0 Gateway de Internet

Política do IAM Necessária

Para usar o Oracle Cloud Infrastructure, um administrador deve ser membro de um grupo com acesso de segurança concedido em uma política por um administrador da tenancy. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem de que não tem permissão ou que não está autorizado, verifique com o administrador da tenancy qual tipo de acesso você tem e em qual compartimento seu acesso funciona.

Se você for membro do grupo de administradores, provavelmente já terá o acesso necessário para implementar o Cenário A. Caso contrário, você precisará de acesso ao Networking e precisará ter a capacidade de criar instâncias. Consulte Políticas do IAM para Redes

Configurando o Cenário A na Console

A configuração é fácil na Console.

Observação

Se você ainda não tiver criado uma VCN, o workflow discutido em Criar uma VCN com Conectividade de Internet será uma maneira fácil de criar uma VCN com sub-redes públicas e privadas, gateways e as regras de roteamento e regras de segurança necessárias para fornecer acesso à internet para instâncias e outros recursos na VCN. Se você usar o workflow para executar esta tarefa, o workflow poderá substituir as Tarefas 1 a 5 nesse cenário.
Tarefa 1: Criar a VCN
  1. Abra o menu de navegação , selecione Rede e selecione Redes virtuais na nuvem.
  2. Em Escopo da Lista, selecione um compartimento que você tenha permissão para trabalhar com atualizações da página in.The para exibir apenas os recursos desse compartimento. Se você não tiver certeza sobre qual compartimento usar, entre em contato com um administrador. Para obter mais informações, consulte Controle de Acesso.
    Observação

    Para criar qualquer novo recurso, o limite de serviço ainda não deve ter sido atingido. Depois que o limite de serviço de um tipo de recurso for atingido, você poderá remover recursos não utilizados desse tipo ou solicitar um limite de serviço.
  3. Selecione Criar VCN.
  4. Informe o seguinte:
    • Nome: um nome descritivo para a VCN. Ele não precisa ser exclusivo e não pode ser alterado posteriormente na Console (embora você possa alterá-lo com a API). Evite inserir informações confidenciais.
    • Criar no Compartimento: deixe como está.
    • Blocos IPv4 CIDR: Digite pelo menos um e até cinco blocos IPv4 CIDR para a VCN. Os blocos CIDR não têm permissão para se sobrepor. Por exemplo, 172.16.0.0/16. Você pode adicionar ou remover blocos CIDR posteriormente. Consulte Tamanho da VCN e Intervalos de Endereços Permitidos. Para referência, verifique a calculadora de CIDR.
    • Usar nomes do host de DNS nesta VCN: Essa opção é necessária para designar nomes do host de DNS a hosts na VCN e é necessária se você planeja usar o recurso de DNS padrão daVCN (chamado de Resolvedor de Internet e VCN). Se você selecionar essa opção, poderá especificar um Label de DNS para a VCN ou permitir que a Console gere um para você. A caixa de diálogo exibe automaticamente o Nome de Domínio do DNS correspondente para a VCN (<VCN_DNS_label>.oraclevcn.com). Para obter mais informações, consulte DNS em uma Rede de Nuvem Virtual.
    • Prefixos IPv6: Você pode solicitar que um único prefixo IPv6 /56 alocado pela Oracle seja designado a essa VCN. Se preferir, designe um prefixo BYOIPv6 ou ULA à VCN. Esta opção está disponível para todas as regiões comerciais e governamentais. Para obter mais informações sobre IPv6, consulte Endereços IPv6.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deverá ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.

  5. Selecione Create Virtual Cloud Network.

    A VCN é criada e exibida na página Redes Virtuais na Nuvem no compartimento escolhido.

Tarefa 2: Criar a sub-rede pública regional
  1. Enquanto ainda estiver exibindo a VCN, selecione Criar Sub-rede.

  2. Informe o seguinte:

    • Nome: um nome amigável para a sub-rede (por exemplo, Sub-rede Pública Regional). Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    • Específico do Domínio de Disponibilidade ou Regional: selecione Regional (recomendado). Isso significa que a sub-rede abrange todos os domínios de disponibilidade da região. Depois, ao criar uma instância, você poderá criá-la em qualquer domínio de Disponibilidade na região. Para obter mais informações, consulte Domínios de Disponibilidade e VCNs.
    • Bloco CIDRIPv4 CIDR IPv4: um único bloco CIDR ininterrupto dentro do bloco CIDR da VCN. Por exemplo: 172.16.0.0/24. Você não pode alterar esse valor. Para referência, verifique a calculadora de CIDR.
    • IPv6 Prefixos: Você pode solicitar um prefixo IPv6 /64 alocado pela Oracle ou informar BYOIPv6 ou prefixos ULA. Você pode ter no máximo três prefixos IPv6 em uma sub-rede. Depois que você designar um prefixo IPv6 a uma VCN, ela sempre terá pelo menos um prefixo IPv6 designado a ela. Essa opção estará disponível para VCNs em todas as regiões comerciais e governamentais, se a VCN já estiver ativada para IPv6. Para obter mais informações, consulte Endereços IPv6.
    • Tabela de Roteamento: selecione a tabela de roteamento padrão.
    • Sub-rede privada ou pública: Selecione Sub-rede pública, o que significa que as instâncias da sub-rede podem ter endereços IP públicos. Para obter mais informações, consulte Acesso à Internet.
    • Usar Nomes do Host DNS nesta Sub-rede: Esta opção estará disponível somente se um label DNS tiver sido fornecido para a VCN quando ela foi criada. A opção é necessária para designar nomes do host DNS a hosts na sub-rede e também quando você planeja usar a funcionalidade de DNS padrão da VCN (chamada de Resolvedor da Internet e da VCN). Se você marcar a caixa de seleção, poderá especificar um rótulo de DNS para a sub-rede ou permitir que a Console gere um para você. A caixa de diálogo exibe automaticamente o nome de domínio DNS correspondente para a sub-rede como um FQDN. Para obter mais informações, consulte DNS em uma Rede de Nuvem Virtual.
    • Opções de DHCP: Selecione o conjunto de opções de DHCP a serem associadas à sub-rede. Se você já tiver ativado a seleção de compartimento, primeiro especifique o compartimento que contém o conjunto de opções de DHCP.
    • Listas de Segurança: Certifique-se de que a lista de segurança padrão esteja selecionada.
    • Mostrar Opções de Tag: Selecione este link para exibir opções para adicionar tags à sub-rede. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deverá ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.

  3. Selecione Criar Sub-rede.

    A sub-rede é criada e exibida na página Sub-redes.

Tarefa 3: Criar o gateway de internet
  1. Enquanto ainda estiver exibindo a VCN, em Recursos, selecione Gateways de Internet.
  2. Selecione Criar Gateway de Internet.

  3. Informe o seguinte:

    • Nome: um nome amigável para o gateway de internet. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    • Criar no Compartimento: deixe como está.
    • Você pode selecionar Mostrar opções avançadas para definir as seguintes opções:
      • Associação da Tabela de Roteamento: (opção Avançada) Deixe como está. Você pode associar uma tabela de roteamento de VCN específica a esse gateway. Depois que você associar uma tabela de roteamento, o gateway sempre deverá ter uma tabela de roteamento associada a ele. Você pode alterar as regras na tabela de roteamento atual ou substituí-la.
      • Tags: (opção Avançada) Deixe como está. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deverá ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.

  4. Selecione Criar Gateway de Internet.

    O gateway de internet é criado e exibido na página Gateways de Internet. O gateway já está ativado, mas você deverá adicionar uma regra de roteamento que permita ao tráfego fluir para o gateway.

Tarefa 4: Atualizar a tabela de roteamento padrão para usar o gateway de internet

A tabela de roteamento padrão começa sem regras. Aqui você adiciona uma regra que roteia todo tráfego destinado a endereços fora da VCN para o gateway de internet. A existência dessa regra também permite que conexões de entrada venham da internet para a sub-rede por meio do gateway de internet. Use regras de lista de segurança para controlar os tipos de tráfego permitidos dentro e fora das instâncias da sub-rede (consulte a próxima tarefa).

Nenhuma regra de roteamento é necessária para rotear o tráfego dentro da própria VCN.

  1. Em Recursos, selecione Tabelas de Roteamento.
  2. Selecione a tabela de roteamento padrão para exibir seus detalhes.
  3. Selecione Adicionar Regra de Rota.

  4. Informe o seguinte:

    • Tipo de Destino: Gateway de Internet
    • Bloco CIDR de destino: 0.0.0.0/0 (o que significa que todo o tráfego da VCN para um destino fora da VCN que ainda não está coberto por outras regras na tabela de roteamento vai para o destino especificado nessa regra).
    • Compartimento: O compartimento que contém o gateway de internet.
    • Destino: o gateway de internet que você criou.
    • Descrição: Uma descrição opcional da regra.
  5. Selecione Adicionar Regras de Rota.

A tabela de roteamento padrão agora tem uma regra para o gateway de internet. Como a sub-rede foi configurada para usar a tabela de roteamento padrão, os recursos da sub-rede agora podem usar o gateway de internet. A próxima etapa é especificar os tipos de tráfego que você deseja permitir para dentro e para fora das instâncias a serem criadas posteriormente na sub-rede.

Tarefa 5: Atualizar a lista de segurança padrão

Anteriormente, você configurou a sub-rede para usar a lista de segurança padrão da VCN. Agora você adiciona regras de lista de segurança que permitem os tipos de conexões de que as instâncias da VCN precisam.

Por exemplo: Para uma sub-rede pública com um gateway de internet, as instâncias (servidor web) que você criar poderão precisar receber conexões HTTPS provenientes da internet. Veja como adicionar outra regra à lista de segurança padrão para permitir esse tráfego:

  1. Em Recursos, selecione Listas de Segurança.
  2. Selecione a lista de segurança padrão para exibir seus detalhes. Por padrão, você irá para a página Regras de Entrada.
  3. Selecione Add Ingress Rules.

  4. Para ativar conexões de entrada para HTTPS (porta 443 para TCP), informe o seguinte:

    • Sem monitoramento de estado : opção desmarcada (essa é uma regra com monitoramento de estado)
    • Tipo de Origem: CIDR
    • CIDR de Origem: 0.0.0.0/0
    • Protocolo IP: TCP
    • Intervalo de Portas de Origem: todos
    • Faixa de Portas de Destino: 443
    • Descrição: Uma descrição opcional da regra.
  5. Selecione Add Ingress Rule.
Importante

Regra de Lista de Segurança para Instâncias do Windows

Caso pretenda criar instâncias do Windows, você precisará adicionar uma regra de lista de segurança para permitir acesso RDP. Para ativar o RDP, você precisa de uma regra de entrada com monitoramento de estado para tráfego TCP na porta de destino 3389 da origem 0.0.0.0/0 e de qualquer porta de origem. Para obter mais informações, consulte Listas de Segurança.

Para uma VCN de produção, você normalmente configura uma ou mais listas de segurança personalizadas para cada sub-rede. Opcionalmente, você pode editar a sub-rede para usar diferentes listas de segurança. Se decidir não usar a lista de segurança padrão, faça isso somente após avaliar cuidadosamente quais das regras padrão você deseja duplicar em uma lista de segurança personalizada. Por exemplo: as regras ICMP padrão da lista de segurança padrão são importantes para receber mensagens de conectividade.

Tarefa 6: Criar instâncias em domínios de disponibilidade separados

A próxima etapa é criar uma ou mais instâncias na sub-rede. O diagrama do cenário mostra instâncias em dois domínios de disponibilidade diferentes. Quando cria a instância, você seleciona o AD, qual VCN e qual sub-rede usar, além de várias outras características.

Cada instância obtém automaticamente um endereço IP privado. Quando cria uma instância em uma rede pública, você decide se a instância obterá um endereço IP público. Com essa configuração de rede no Cenário A, você deve fornecer a cada instância um endereço IP público ou não conseguirá acessá-los pelo gateway de internet. O padrão (para uma sub-rede pública) é que a instância tenha um endereço IP público.

Após criar uma instância nesse cenário, você poderá se conectar com ela pela internet usando SSH ou RDP por meio de uma rede local ou de outro local na internet. Para obter mais informações e instruções, consulte Criando uma Instância.

Configurando o Cenário A com a API

Para obter informações sobre o uso da API e solicitações de assinatura, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Use as seguintes operações:

  1. CreateVcn: Sempre inclua um label de DNS para a VCN se quiser que as instâncias tenham nomes de host (consulte DNS em uma Rede Virtual em Nuvem).
  2. CreateSubnet: cria uma sub-rede pública regional. Inclua um label DNS para a sub-rede se quiser que as instâncias tenham nomes de host. Use a tabela de roteamento padrão, a lista de segurança padrão e o conjunto padrão de opções de DHCP.
  3. CreateInternetGateway
  4. UpdateRouteTable: para permitir a comunicação com o gateway de internet, atualize a tabela de roteamento padrão para incluir uma regra de roteamento com destino = 0.0.0.0/0 e alvo de destino = o gateway de internet. Essa regra roteia todo tráfego destinado a endereços fora da VCN para o gateway de internet. Nenhuma regra de roteamento é necessária para rotear o tráfego dentro da própria VCN.
  5. UpdateSecurityList: para permitir tipos específicos de conexões entre instâncias da sub-rede.
Importante

Regra de Lista de Segurança para Instâncias do Windows

Caso pretenda criar instâncias do Windows, você precisará adicionar uma regra de lista de segurança para permitir acesso RDP ( Remote Desktop Protocol). Para ativar o RDP, você precisa de uma regra de entrada com monitoramento de estado para tráfego TCP na porta de destino 3389 da origem 0.0.0.0/0 e de qualquer porta de origem. Para obter mais informações, consulte Listas de Segurança.

A próxima etapa é criar uma ou mais instâncias na sub-rede. O diagrama do cenário mostra instâncias em dois domínios de disponibilidade diferentes. Quando cria a instância, você seleciona o AD, qual VCN e qual sub-rede usar, além de várias outras características.

Cada instância obtém automaticamente um endereço IP privado. Quando cria uma instância em uma rede pública, você decide se a instância obterá um endereço IP público. Com essa configuração de rede no Cenário A, você deve fornecer a cada instância um endereço IP público ou não conseguirá acessá-los pelo gateway de internet. O padrão (para uma sub-rede pública) é que a instância tenha um endereço IP público.

Após criar uma instância nesse cenário, você poderá se conectar com ela pela internet usando SSH ou RDP por meio de uma rede local ou de outro local na internet. Para obter mais informações e instruções, consulte Criando uma Instância.