Documentação do Oracle Cloud Infrastructure

Cenário C: Sub-redes Públicas e Privadas com uma VPN

Este tópico explica como configurar o Cenário C, que é um exemplo simples de uma configuração de várias camadas. Esse cenário consiste em uma rede virtual na nuvem (VCN) com uma sub-rede pública regional, que contém servidores públicos (como servidores web), e uma sub-rede privada, que contém servidores privados (como servidores de banco de dados). Os servidores ficam em domínios de disponibilidade  distintos para fins de redundância.

A VCN tem um gateway de roteamento dinâmico  (DRG) e uma VPN Site a Site para conectividade com a rede on-premises. As instâncias da sub-rede pública têm acesso direto à internet por meio de um gateway de internet. As instâncias na sub-rede privada podem iniciar conexões pela internet por meio de um gateway NAT  (por exemplo, para obter atualizações de software), mas não podem receber conexões da internet por meio desse gateway.

Cada sub-rede usa a lista de segurança padrão, que tem regras padrão projetadas para facilitar rápida utilização do Oracle Cloud Infrastructure. As regras permitem o acesso típico necessário (por exemplo, conexões SSH de entrada e qualquer tipo de conexões de saída). Lembre-se de que a função das regras de lista de segurança é somente permitir o tráfego. Qualquer tráfego não contemplado explicitamente por uma regra de lista de segurança é negado.

Dica

As listas de Segurança são uma forma de controlar a entrada e a saída de tráfego dos recursos da VCN. Você também pode usar grupos de segurança de rede. Eles permitem aplicar um conjunto de regras de segurança a um conjunto de recursos que têm a mesma postura de segurança.

Esse cenário pode usar um DRG legado ou atualizado.

Cada sub-rede também tem uma lista de segurança personalizada e uma tabela de roteamento personalizada próprias que dispõem de regras específicas para as necessidades das instâncias da sub-rede. Nesse cenário, a tabela de roteamento padrão da VCN (que inicialmente está sempre vazia) não é usada.

Verifique a figura a seguir.

Esta imagem mostra o Cenário C: uma VCN com uma sub-rede pública e uma sub-rede privada, um gateway de internet, um gateway NAT e uma conexão VPN IPSec.
Callout 1: Tabela de roteamento de sub-rede privada regional
CIDR de Destino Destino da rota
0.0.0.0/0 Gateway NAT
10.0.0.0/16 DRG
Callout 2: Tabela de roteamento de sub-rede pública regional
CIDR de Destino Destino da rota
0.0.0.0/0 Gateway de Internet
Dica

O cenário usa VPN Site a Site para conectividade. No entanto, em vez disso, você pode usar o Oracle Cloud Infrastructure FastConnect.

Pré-requisitos

Para configurar a VPN nesse cenário, é necessário obter as seguintes informações de um administrador de rede:

  • Endereço IP Público do CPE (customer-premises equipment) na sua extremidade da VPN
  • Rotas estáticas para a sua rede local (esse cenário usa roteamento estático para os túneis de VPN, mas você pode, em vez disso, usar roteamento dinâmico BGP)

Você fornece essas informações à Oracle e, em seguida, recebe as informações de que o seu administrador de rede precisa para configurar o roteador on-premises na sua extremidade da VPN.

Política Necessária do Serviço IAM

Para usar o Oracle Cloud Infrastructure, você deve receber acesso de segurança em uma política  por um administrador. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Caso receba uma mensagem de que você não tem permissão ou de que não está autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento  deve trabalhar.

Se você for membro do grupo Administradores, já terá o acesso necessário para implementar o Cenário C. Caso contrário, você precisará de acesso ao Networking e precisará ter a capacidade de iniciar instâncias. Consulte Políticas do IAM para Redes

Configurando o Cenário C

É fácil realizar a configuração na Console. Se preferir, poderá usar a API do Oracle Cloud Infrastructure, que permite que você mesmo implemente as operações individuais.

Importante

A maior parte desse processo envolve trabalhar com a Console ou a API (a que você preferir) por pouco tempo para configurar os componentes necessários do serviço Networking. Há também uma etapa crítica que exige que um administrador de rede da sua organização colete as informações que você obtém da configuração dos componentes e as utilize para configurar o roteador on-premises na sua extremidade da VPN. Portanto, não é possível concluir esse processo em uma sessão curta. Faça uma interrupção enquanto o administrador da rede conclui a configuração e, em seguida, confirme a comunicação com suas instâncias por meio da VPN.

Usando a Console

Tarefa 1: Configurar a VCN e sub-redes

  1. Crie a VCN:

    1. Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
    2. Em Escopo da Lista, selecione um compartimento no qual você tenha permissão para trabalhar. A página é atualizada para exibir apenas os recursos desse compartimento. Se você não tiver certeza sobre qual compartimento usar, entre em contato com um administrador. Para obter mais informações, consulte Controle de Acesso.
    3. Clique em Criar Rede Virtual na Nuvem

    4. Informe o seguinte:

      • Nome: um nome amigável para a VCN. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
      • Criar no Compartimento: deixe como está.
      • Bloco CIDR: Um ou mais blocos CIDR não sobrepostos para a VCN. Por exemplo, 172.16.0.0/16. Você pode adicionar ou remover blocos CIDR posteriormente. Consulte Tamanho da VCN e Intervalos de Endereços Permitidos. Para referência, verifique a calculadora de CIDR.
      • Ativar Designação de Endereço IPv6: O endereço IPv6 é suportado para todas as regiões comerciais e do governo. Para obter mais informações, consulte Endereços IPv6.
      • Usar Nomes de Host do DNS nesta VCN: Essa opção é necessária para designar nomes de host do DNS a hosts na VCN e será necessária se você planeja usar a funcionalidade de DNS padrão da VCN (chamada de Resolvedor de Internet e VCN). Se você selecionar essa opção, poderá especificar um label DNS para a VCN ou permitir que a Console gere um label para você. The dialog box automatically displays the corresponding DNS Domain Name for the VCN (<VCN_DNS_label>.oraclevcn.com). Para obter mais informações, consulte DNS na Sua Rede Virtual na Nuvem.
      • Tags: deixe como está. Você poderá adicionar tags posteriormente, se quiser. Para obter mais informações, consulte: Tags de Recursos.

    5. Clique em Criar Rede Virtual na Nuvem

      A VCN é criada e exibida na página Redes Virtuais na Nuvem no compartimento escolhido.

  2. Crie um gateway de internet para a sua VCN:

    1. Em Recursos, clique em Gateways de Internet.
    2. Clique em Criar Gateway de Internet.

    3. Informe o seguinte:

      • Nome: um nome amigável para o gateway de internet. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
      • Criar no Compartimento: deixe como está.
      • Tags: deixe como está. Você poderá adicionar tags posteriormente, se quiser. Para obter mais informações, consulte: Tags de Recursos.

    4. Clique em Criar Gateway de Internet.

      Em seguida, o gateway de internet é criado e listado na página.

  3. Crie um gateway NAT para a sua VCN:

    1. Em Recursos, clique em Gateways NAT.
    2. Clique em Criar Gateway NAT.

    3. Informe o seguinte:

      • Nome: um nome amigável para o gateway NAT. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
      • Criar no Compartimento: deixe como está.
      • Tags: deixe como está. Você poderá adicionar tags posteriormente, se quiser. Para obter mais informações, consulte: Tags de Recursos.

    4. Clique em Criar Gateway NAT.

      O gateway NAT é criado e listado na página.

  4. Crie a tabela de roteamento personalizada para a sub-rede pública (que você cria posteriormente):

    1. Em Recursos, clique em Tabelas de Roteamento.
    2. Clique em Criar Tabela de Roteamento.

    3. Informe o seguinte:

      • Nome: um nome amigável para a tabela de roteamento (por exemplo, Tabela de Roteamento de Sub-rede Pública). Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
      • Criar no Compartimento: deixe o valor padrão (o compartimento no qual você está trabalhando no momento).

      • Clique em + Regra de Roteamento Adicional e informe o seguinte:

        • Tipo de Destino: Gateway de Internet.
        • Bloco CIDR de Destino: 0.0.0.0/0 (significa que todo tráfego que não ocorrer intra-VCN e que ainda não estiver sob outras regras na tabela de roteamento irá para o destino especificado nessa regra).
        • Compartimento: deixe como está.
        • Destino: o gateway de internet que você criou.
        • Descrição: Uma descrição opcional da regra.
    4. Tags: deixe como está. Você pode adicionar tags posteriormente. Para obter mais informações, consulte: Tags de Recursos.

    5. Clique em Criar Tabela de Roteamento.

      A tabela de roteamento é criada e listada na página.

  5. Crie a tabela roteamento personalizada para a sub-rede privada (que você cria posteriormente):

    1. Clique em Criar Tabela de Roteamento.

    2. Informe o seguinte:

      • Nome: um nome amigável para a tabela de roteamento (por exemplo, Tabela de Roteamento de Sub-rede Privada). Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
      • Criar no Compartimento: deixe o valor padrão (o compartimento no qual você está trabalhando no momento).

      • Clique em + Regra de Roteamento Adicional e informe o seguinte:

        • Tipo de Destino: Gateway NAT.
        • Bloco CIDR de Destino: 0.0.0.0/0 (significa que todo tráfego que não ocorrer intra-VCN e que ainda não estiver sob outras regras na tabela de roteamento irá para o destino especificado nessa regra).
        • Compartimento: deixe como está.
        • Destino: O gateway NAT que você criou.
        • Descrição: Uma descrição opcional da regra.
    3. Tags: deixe como está. Você pode adicionar tags posteriormente. Para obter mais informações, consulte: Tags de Recursos.

    4. Clique em Criar Tabela de Roteamento.

      A tabela de roteamento é criada e listada na página. Depois de configurar a VPN Site a Site, você atualiza a Tabela de Roteamento de Sub-rede Privada para que ela encaminhe o tráfego da sub-rede privada para a rede on-premises por meio do DRG.

  6. Atualize a lista de segurança padrão de modo a incluir regras para permitir os tipos de conexões de que as suas instâncias na VCN precisam:

    1. Em Recursos, clique em Listas de Segurança.
    2. Clique na lista de segurança padrão para exibir detalhes. Por padrão, você é direcionado para a página Regras de Entrada.
    3. Edite cada uma das regras de entrada com monitoramento de estado para que o CIDR de Origem seja o CIDR da sua rede local (10.0.0.0/16 nesse exemplo) e não 0.0.0.0/0. Para editar uma regra existente, clique no menu Ações (Menu Ações) da regra e depois clique em Editar.

    4. Caso você pretenda iniciar instâncias do Windows, adicione uma regra para permitir o acesso ao RDP:

  7. Crie uma lista de segurança personalizada para a sub-rede pública:

    1. Retorne à página Listas de Segurança da VCN.
    2. Clique em Criar Lista de Segurança.

    3. Informe o seguinte:

      • Nome: informe um nome amigável para a lista (por exemplo, Lista de Segurança da Sub-rede Pública). Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
      • Criar no Compartimento: deixe o valor padrão (o compartimento no qual você está trabalhando no momento).

    4. Adicione as seguintes regras de entrada:

      Exemplo: acesso de entrada por HTTP
      • Tipo: Entrada
      • Sem monitoramento de estado : opção desmarcada (essa é uma regra com monitoramento de estado)
      • Tipo de Origem: CIDR
      • CIDR de Origem: 0.0.0.0/0
      • Protocolo IP: TCP
      • Intervalo de Portas de Origem: todos
      • Intervalo de Portas de Destino: 80
      • Descrição: Uma descrição opcional da regra.
      Exemplo: acesso de entrada por HTTPS
      • Tipo: Entrada
      • Sem monitoramento de estado : opção desmarcada (essa é uma regra com monitoramento de estado)
      • Tipo de Origem: CIDR
      • CIDR de Origem: 0.0.0.0/0
      • Protocolo IP: TCP
      • Intervalo de Portas de Origem: todos
      • Intervalo de Portas de Destino: 443
      • Descrição: Uma descrição opcional da regra.

    5. Adicione a seguinte regra de entrada:

    6. Clique em Criar Lista de Segurança.

      Em seguida, a lista de segurança personalizada para a sub-rede pública é criada e listada na página.

  8. Crie uma lista de segurança personalizada para a sub-rede privada:

    1. Clique em Criar Lista de Segurança.

    2. Informe o seguinte:

      • Nome: informe um nome amigável para a lista (por exemplo, Lista de Segurança da Sub-rede Privada). Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
      • Criar no Compartimento: deixe o valor padrão (o compartimento no qual você está trabalhando no momento).

    3. Adicione as seguintes regras de entrada:

      Exemplo: acesso de entrada por SQL*Net para clientes da sub-rede pública
      • Tipo: Entrada
      • Sem monitoramento de estado : opção desmarcada (essa é uma regra com monitoramento de estado)
      • Tipo de Origem: CIDR
      • CIDR de Origem: o CIDR da sub-rede pública (172.16.1.0/24 nesse exemplo)
      • Protocolo IP: TCP
      • Intervalo de Portas de Origem: todos
      • Intervalo de Portas de Destino: 1521
      • Descrição: Uma descrição opcional da regra.
      Exemplo: acesso de entrada por SQL*Net para clientes da sub-rede privada
      • Tipo: Entrada
      • Sem monitoramento de estado : opção desmarcada (essa é uma regra com monitoramento de estado)
      • Tipo de Origem: CIDR
      • CIDR de Origem: o CIDR da sub-rede privada (172.16.2.0/24 nesse exemplo)
      • Protocolo IP: TCP
      • Intervalo de Portas de Origem: todos
      • Intervalo de Portas de Destino: 1521
      • Descrição: Uma descrição opcional da regra.

    4. Adicione as seguintes regras de saída:

    5. Clique em Criar Lista de Segurança.

      Em seguida, a lista de segurança personalizada para a sub-rede privada é criada e listada na página.

  9. Crie as sub-redes na VCN:

    1. Em Recursos, clique em Sub-redes.
    2. Clique em Criar Sub-rede.

    3. Informe o seguinte:

      • Nome: um nome amigável para a sub-rede pública regional (por exemplo, Sub-rede Privada Regional). Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
      • Regional ou Específica do Domínio de Disponibilidade: Selecione Regional (recomendado). Isso significa que a sub-rede abrange todos os domínios de disponibilidade da região. Posteriormente, ao iniciar uma instância, você poderá criá-la em qualquer domínio de disponibilidade na região. Para obter mais informações, consulte Visão Geral de VCNs e Sub-redes.
      • Bloco CIDR: um único bloco CIDR contíguo dentro do bloco CIDR da VCN. Por exemplo, 172.16.1.0/24. Você não pode alterar esse valor. Para referência, verifique a calculadora de CIDR.
      • Ativar Designação de Endereço IPv6: Essa opção só estará disponível se a VCN estiver ativada para IPv6. Há suporte para o endereçamento IPv6 em todas as regiões comerciais e do setor governamental. Para obter mais informações, consulte Endereços IPv6.
      • Tabela de Roteamento: selecione a Tabela de Roteamento de Sub-rede Privada criada anteriormente.
      • Sub-rede privada ou pública: selecione Sub-rede Privada. Isso significa que as VNICs na sub-rede não podem ter endereços IP públicos. Para obter mais informações, consulte Acesso à Internet.
      • Usar Nomes de Host DNS nesta Sub-rede: Essa opção só estará disponível se um label DNS tiver sido fornecido para a VCN quando ela foi criada. A opção é obrigatória para designação de nomes de host de DNS a hosts da sub-rede e também quando você planeja usar a funcionalidade de DNS padrão da VCN (chamada Resolvedor de Internet e VCN). Se marcar a caixa de seleção, você poderá especificar um label DNS para a sub-rede ou deixar que a Console gere um label para você. A caixa de diálogo exibe automaticamente o nome do domínio DNS correspondente para a sub-rede como um FQDN. Para obter mais informações, consulte DNS na Sua Rede Virtual na Nuvem.
      • Opções de DHCP: selecione o conjunto padrão de opções de DHCP.
      • Listas de Segurança: selecione duas listas de segurança: a lista de segurança padrão e a Lista de Segurança de Sub-rede Privada criada anteriormente.

    4. Clique em Criar Sub-rede.

      A sub-rede privada é criada e exibida na página Sub-redes.

    5. Repita as etapas anteriores de a d para criar a sub-rede pública regional. Em vez disso, use um nome como Sub-rede Pública Regional, selecione Sub-rede Pública em vez de Sub-rede Privada, use a Tabela de Roteamento de Sub-rede Pública e use a lista de segurança padrão e a Lista de Segurança de Sub-rede Pública criada anteriormente.
Exemplo: acesso de entrada por RDP necessário para instâncias do Windows
  • Tipo: Entrada
  • Sem monitoramento de estado : opção desmarcada (essa é uma regra com monitoramento de estado)
  • Tipo de Origem: CIDR
  • CIDR de origem: a sua rede local (10.0.0.0/16 neste exemplo)
  • Protocolo IP: TCP
  • Intervalo de Portas de Origem: todos
  • Intervalo de Portas de Destino: 3389
  • Descrição: Uma descrição opcional da regra.
Exemplo: acesso de saída por SQL*Net aos bancos de dados Oracle
  • Tipo: Saída
  • Sem monitoramento de estado : opção desmarcada (essa é uma regra com monitoramento de estado)
  • Tipo de Destino: CIDR
  • CIDR de Destino: o CIDR da sub-rede privada (172.16.1.0/24 nesse exemplo)
  • Protocolo IP: TCP
  • Intervalo de Portas de Origem: todos
  • Intervalo de Portas de Destino: 1521
  • Descrição: Uma descrição opcional da regra.
Exemplo: acesso de saída por SQL*Net para instâncias na sub-rede privada
  • Tipo: Saída
  • Sem monitoramento de estado : opção desmarcada (essa é uma regra com monitoramento de estado)
  • Tipo de Destino: CIDR
  • CIDR de Destino: o CIDR da sub-rede privada (172.16.1.0/24 nesse exemplo)
  • Protocolo IP: TCP
  • Intervalo de Portas de Origem: todos
  • Intervalo de Portas de Destino: 1521
  • Descrição: Uma descrição opcional da regra.
Tarefa 2: Criar instâncias em domínios de disponibilidade separados

Agora você pode criar uma ou mais instâncias na sub-rede (consulte Iniciando uma Instância). O diagrama do cenário mostra instâncias em dois diferentes domínios de disponibilidade. Quando cria a instância, você escolhe o AD, qual VCN e qual sub-rede usar, além de várias outras características.

Para cada instância na sub-rede pública, designe um endereço IP público à instância. Caso contrário, a instância não estará disponível na sua rede on-premises.

Você ainda não pode acessar as instâncias da sub-rede privada porque não há gateway conectando a VCN à sua rede local. O próximo procedimento orienta você na configuração da VPN Site a Site para permitir essa comunicação.

Tarefa 3: Adicionar VPN Site a Site à sua VCN

  1. Crie um objeto CPE:

    1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em Equipamento local do cliente.

    2. Clique em Criar CPE (Customer Premises Equipment).

    3. Informe o seguinte:

      • Criar no Compartimento: deixe o valor padrão (o compartimento no qual você está trabalhando no momento).
      • Nome: um nome amigável para o objeto CPE. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
      • Endereço IP: o endereço IP do roteador local na sua extremidade da VPN (consulte Pré-requisitos).
    4. Clique em Criar.

    O objeto CPE permanece no estado "Provisionando" por pouco tempo.

  2. Crie um gateway de roteamento dinâmico (DRG):

    1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em Gateway de roteamento dinâmico.

    2. Clique em Criar Gateway de Roteamento Dinâmico.
    3. Para Criar no Compartimento: deixe o valor padrão (o compartimento no qual você está trabalhando no momento).
    4. Informe um nome amigável para o DRG. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    5. Clique em Criar.

    O DRG fica no estado "Provisionando" por pouco tempo. Aguarde até que ela seja totalmente provisionada antes de continuar.

  3. Anexe o DRG à sua VCN.

    1. Clique no DRG que você criou.
    2. Em Recursos, clique em Redes Virtuais na Nuvem.
    3. Clique em Anexar à Rede Virtual na Nuvem.
    4. Selecione a VCN. Ignore a seção para opções avançadas, que se destina somente a um cenário de roteamento avançado denominado roteamento de trânsito, que não é relevante aqui.
    5. Clique em Anexar.

    O anexo fica no estado "Anexando" por um curto período.

  4. Atualize a tabela de roteamento da sub-rede privada (que já tem uma regra para o gateway NAT):

    1. Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
    2. Clique na sua VCN.
    3. Clique em Tabelas de Roteamento e, em seguida, clique na Tabela de Roteamento de Sub-rede Privada criada anteriormente.
    4. Clique em Adicionar Regra de Roteamento.

    5. Informe o seguinte:

      • Tipo de Destino: Gateway de Roteamento Dinâmico. O DRG anexado à VCN é selecionado automaticamente como alvo e você não precisa especificar o alvo.
      • Bloco CIDR de Destino: 0.0.0.0/0 (significa que todo tráfego que não ocorrer intra-VCN e que ainda não estiver sob outras regras na tabela de roteamento irá para o destino especificado nessa regra).
      • Descrição: Uma descrição opcional da regra.

    6. Clique em Adicionar Regra de Roteamento.

      A tabela é atualizada de modo a rotear o tráfego destinado à sua rede local para o DRG. A regra original para 0.0.0.0/0 roteia o tráfego restante, deixando a sub-rede para o gateway NAT.

  5. Crie uma Conexão IPSec:

    1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em VPN site a site.

    2. Clique em Criar Conexão IPSec.

    3. Informe o seguinte:

      • Criar no Compartimento: deixe o valor padrão (o compartimento no qual você está trabalhando no momento).
      • Nome: informe um nome amigável para a conexão IPSec. Ele não precisa ser exclusivo. Evite inserir informações confidenciais.
      • Compartimento do CPE (Customer Premises Equipment): deixe como está (o compartimento da VCN).
      • CPE (Customer Premises Equipment): selecione o objeto CPE criado anteriormente.
      • Compartimento do Gateway de Roteamento Dinâmico: deixe como está (o compartimento da VCN).
      • Gateway de Roteamento Dinâmico: selecione o DRG criado anteriormente.
      • CIDR de Rota Estática: insira pelo menos um CIDR de rota estática (consulte Pré-requisitos). Se você precisar adicionar outra regra, clique em Adicionar Rota Estática. Você pode digitar até 10 rotas estáticas e poderá alterar as rotas estáticas posteriormente.
    4. Clique em Mostrar Opções Avançadas e, opcionalmente, forneça os seguintes itens:

    5. Clique em Criar Conexão IPSec.

      A conexão IPSec é criada e exibida na página. A conexão fica no estado Provisionando por pouco tempo.

      As informações de túnel exibidas incluem o endereço IP do headend da VPN e o status do IPSec do túnel (os possíveis valores são Ativo, Inativo e Indisponível para Manutenção). Nesse ponto, o status é Inativo. Para exibir o segredo compartilhado do túnel, clique no menu Ações (Menu Ações) e, em seguida, clique em Exibir Segredo Compartilhado.

    6. Copie o endereço IP da VPN da Oracle e o segredo compartilhado de cada túnel para um e-mail ou para outro local de modo que possa fornecê-lo ao engenheiro de rede que configura o roteador on-premises.

      Para obter mais informações, consulte Configuração do CPE. Você pode verificar essas informações sobre o túnel na Console a qualquer momento.

Agora você criou todos os componentes necessários para a VPN Site a Site. Em seguida, o administrador da rede deverá configurar o roteador on-premises para que o tráfego da rede possa fluir entre a sua rede on-premises e a VCN.

Tarefa 4: Configurar o seu roteador local (CPE)

Essas instruções se destinam ao administrador da rede.

  1. Obtenha as informações de configuração de túnel fornecidas pela Oracle durante a configuração da VPN. Consulte Tarefa 3: Adicionar VPN Site a Site à sua VCN.
  2. Configure o seu roteador local de acordo com as informações na Configuração do CPE.

Se já houver instâncias de computação em uma das sub-redes, você poderá confirmar se a conexão IPSec está funcionando, estabelecendo conexão com as instâncias da sua rede on-premises. Para estabelecer conexão com instâncias na sub-rede pública, você deverá se conectar com o endereço IP público da instância.

Usando a API

Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Use as seguintes operações:

  • CreateVcn: Inclua sempre um label de DNS se quiser que a VCN use o Resolvedor de VCN (consulte DNS na Sua Rede Virtual na Nuvem).
  • CreateInternetGateway
  • CreateNatGateway
  • CreateRouteTable: chame essa operação para criar a Tabela de Roteamento de Sub-rede Pública. Para permitir a comunicação por meio do gateway de internet, adicione uma regra de roteamento com o destino = 0.0.0.0/0 e o alvo de destino = o gateway de internet criado anteriormente.
  • CreateRouteTable: chame essa operação para criar a Tabela de Roteamento de Sub-rede Privada. Para permitir a comunicação por meio do gateway NAT, adicione uma regra de roteamento com o destino = 0.0.0.0/0 e o alvo de destino = o gateway NAT criado anteriormente.

  • Primeiramente, chame GetSecurityList para obter a lista de segurança padrão e, em seguida, chame UpdateSecurityList:

    • Altere as regras de entrada com monitoramento de estado existentes de modo a usar o CIDR da sua rede local como o CIDR de origem, em vez de 0.0.0.0/0.
    • Se você pretende iniciar instâncias do Windows, adicione essa regra de entrada com monitoramento de estado: tipo de origem = CIDR, CIDR de origem = sua rede local no TCP, porta de origem = todas, porta de destino = 3389 (para RDP).

  • CreateSecurityList: chame essa operação para criar a Lista de Segurança de Sub-rede Pública com estas regras:

    • Entrada com monitoramento de estado: tipo de origem = CIDR, origem 0.0.0.0/0 em TCP, porta de origem = todas, porta de destino = 80 (HTTP)
    • Entrada com monitoramento de estado: tipo de origem = CIDR, origem 0.0.0.0/0 em TCP, porta de origem = todas, porta de destino = 443 (HTTPS)
    • Saída com monitoramento de estado: tipo de destino = CIDR, blocos de CIDR de destino de sub-redes privadas em TCP, porta de origem = todas, porta de destino = 1521 (para bancos de dados Oracle)

  • CreateSecurityList: chame essa operação para criar a Lista de Segurança de Sub-rede Privada com estas regras:

    • Entrada com monitoramento de estado: tipo de origem = CIDR, blocos CIDR de origem de sub-redes públicas em TCP, porta de origem = todas, porta de destino = 1521 (para bancos de dados Oracle)
    • Entrada com monitoramento de estado: tipo de origem = CIDR, blocos CIDR de origem de sub-redes privadas em TCP, porta de origem = todas, porta de destino = 1521 (para bancos de dados Oracle)
    • Saída com monitoramento de estado: tipo de destino = CIDR, blocos de CIDR de destino de sub-redes privadas em TCP, porta de origem = todas, porta de destino = 1521 (para bancos de dados Oracle)
  • CreateSubnet: chame essa operação para criar uma sub-rede pública regional. Inclua um label DNS para a sub-rede se quiser que o Resolvedor de VCN resolva os nomes de host das VNICs na sub-rede. Use a Tabela de Roteamento de Sub-rede Pública criada anteriormente. Use a lista de segurança padrão e a Lista de Segurança de Sub-rede Pública criada anteriormente. Utilize o conjunto padrão de opções de DHCP.
  • CreateSubnet: chame essa operação para criar uma sub-rede privada regional. Inclua um label DNS para a sub-rede se quiser que o Resolvedor de VCN resolva os nomes de host das VNICs na sub-rede. Use a Tabela de Roteamento de Sub-rede Privada criada anteriormente. Use a lista de segurança padrão e a Lista de Segurança de Sub-rede Privada criada anteriormente. Utilize o conjunto padrão de opções de DHCP.
  • CreateDrg: Cria um gateway de roteamento dinâmico (DRG).
  • CreateDrgAttachment: Anexa o DRG à VCN.
  • CreateCpe: nessa operação, você fornece o endereço IP do roteador na sua extremidade da VPN (consulte Pré-requisitos).
  • CreateIPSecConnection: nessa operação, você fornece as rotas estáticas para a sua rede local (consulte Pré-requisitos). Em troca, você recebe as informações de configuração de que o seu administrador de rede precisa para configurar o roteador. Se precisar dessas informações mais tarde, você poderá obtê-las com GetIPSecConnectionDeviceConfig. Para obter mais informações sobre a configuração, consulte Configuração do CPE.
  • Primeiramente, chame GetRouteTable para obter a Tabela de Roteamento de Sub-rede Privada. Em seguida, chame UpdateRouteTable para adicionar uma regra de roteamento com destino = o CIDR de rede local (10.0.0.0/16 nesse exemplo) e o alvo de destino = o DRG criado anteriormente
  • LaunchInstance: inicia pelo menos uma instância em cada sub-rede. Por padrão, as instâncias nas sub-redes públicas recebem endereços IP públicos. Para obter mais informações, consulte Criando uma Instância.

Agora você pode se comunicar da sua rede local com as instâncias da sub-rede pública no gateway de internet.

Importante

Embora possa iniciar instâncias nas sub-redes privadas, você não poderá se comunicar com elas por meio da sua rede local até que o administrador da rede configure o seu roteador local (consulte Configuração de CPE). Depois disso, a sua conexão IPSec estará funcionando. Você pode confirmar o status da conexão usando GetIPSecConnectionDeviceStatus. Você também pode confirmar se a conexão IPSec está ativa estabelecendo conexão com as instâncias por meio da sua rede local.