Acesso ao Serviços Oracle: Gateway de Serviço

Este tópico descreve como configurar e gerenciar um gateway de serviço. Um gateway de serviço permite que os recursos de nuvem sem endereços IP públicos acessem de forma privada os serviços Oracle.

Acesso aos Serviços Oracle

A Oracle Services Network é uma rede conceitual no Oracle Cloud Infrastructure reservada para os serviços Oracle. Esses serviços têm endereços IP públicos que você geralmente acessa pela internet. No entanto, você pode acessar a Oracle Services Network sem passar pelo tráfego da internet. Há diferentes maneiras de fazer isso, dependendo de quais os seus hosts precisam de acesso:

Destaques

  • Um gateway de serviço permite que a sua rede virtual na nuvem (VCN) acesse de forma privada serviços Oracle específicos sem expor os dados à internet pública. Não é necessário usar gateway de internet ou NAT para acessar esses serviços específicos. Os recursos da VCN podem estar em uma sub-rede privada e usar somente endereços IP privados. O tráfego da VCN para o serviço Oracle percorre a malha da rede Oracle e nunca atravessa a internet.
  • O gateway de serviço é regional e permite acessar apenas os serviços Oracle suportados na mesma região que a VCN.
  • O gateway de serviço permite acessar os serviços Oracle suportados dentro da região para proteger os seus dados em relação à internet. As suas cargas de trabalho podem requerer acesso a pontos finais públicos ou a serviços não suportados pelo gateway de serviço (por exemplo, para fazer download de atualizações ou de patches). Certifique-se de ter um gateway NAT ou outro acesso à internet, se necessário.

  • Os serviços Oracle suportados são o Oracle Cloud Infrastructure Object Storage e outros na Oracle Services Network. Para obter uma lista, consulte Gateway de Serviço: Serviços de Nuvem Suportados na Oracle Services Network.
  • O gateway de serviço usa o conceito de label CIDR de serviço. Trata-se de uma string que representa todas as faixas de endereços IP públicos regionais do serviço ou do grupo de serviços em questão (por exemplo, OCI PHX Object Storage é a string para Object Storage no Oeste dos EUA (Phoenix)). Você usa esse label CIDR de serviço ao configurar o gateway de serviço e as regras de roteamento relacionadas para controlar o tráfego direcionado ao serviço. Opcionalmente, você pode usá-lo ao configurar regras de segurança. Se os endereços IP públicos do serviço mudarem no futuro, não será necessário ajustar essas regras.
  • Você pode configurar uma VCN de modo que a sua rede local tenha acesso privado aos serviços Oracle por meio da VCN e do gateway de serviço da VCN. Os hosts da sua rede local se comunicam com seus respectivos endereços IP privados, e o tráfego não passa pela internet. Para obter mais informações, consulte Acesso Privado a Serviços Oracle

Visão Geral dos Gateways de Serviço

Um gateway de serviço permite que os recursos da sua VCN acessem de forma privada serviços Oracle específicos, sem expor os dados a um gateway NAT ou de internet. Os recursos da VCN podem estar em uma sub-rede privada e usar somente endereços IP privados. O tráfego da VCN para o serviço em questão percorre a malha da rede Oracle e nunca passa pela internet.

O diagrama simples a seguir ilustra uma VCN que tem uma sub-rede pública e uma sub-rede privada. Os recursos da sub-rede privada só têm endereços IP privados.

A VCN tem três gateways:

  • Gateway de internet: para permitir que a sub-rede pública tenha acesso direto a pontos finais públicos na internet. É possível iniciar conexões pela sub-rede ou pela internet. Os recursos na sub-rede pública devem ter endereços IP públicos. Para obter mais informações, consulte Gateway de Internet.
  • Gateway de serviço: para permitir que a sub-rede privada tenha acesso privado aos serviços Oracle suportados na região. Só é possível iniciar conexões pela sub-rede.
  • Gateway NAT: para permitir que sub-rede privada tenha acesso privado a pontos finais públicos na internet. Só é possível iniciar conexões pela sub-rede. Para obter mais informações, consulte Gateway NAT.

Você controla o roteamento na sua VCN no nível da sub-rede, para que possa especificar quais sub-redes na sua VCN usam cada gateway. No diagrama, a tabela de roteamento da sub-rede pública envia o tráfego não local por meio do gateway de internet. A tabela de roteamento da sub-rede privada envia o tráfego destinado aos serviços Oracle por meio do gateway de serviço. Ela envia todo tráfego restante para o gateway NAT.

Esta imagem mostra o layout básico de uma VCN com um gateway de serviço

Importante

Verifique este problema conhecido para obter informações sobre como configurar regras de roteamento com o gateway de serviço como alvo em tabelas de roteamento associadas a sub-redes públicas.

Um gateway de serviço pode ser usado por recursos na própria VCN do gateway. No entanto, se a VCN for pareada com outra, os recursos da outra VCN não poderão acessar o gateway de serviço, a menos que um gateway de serviço esteja configurado em ambas as VCNs. Você pode configurar o tráfego destinado à Oracle Services Network que se origina em um spoke para passar por um appliance virtual de rede (NVA) no hub e, em seguida, pelo gateway de serviço do hub. Consulte Using a Private IP as a Route Target e Private Access to Oracle Services para obter mais informações.

Os recursos da sua rede local conectada com a VCN do gateway de serviço por meio do FastConnect ou da VPN Site-to-Site também podem usar o gateway de serviço. Para obter mais informações, consulte Acesso Privado a Serviços Oracle.

Observe que sua rede local também pode usar o pareamento público do FastConnect para ter acesso privado a serviços Oracle públicos. Isso significa que a sua rede local pode ter vários caminhos para acessar intervalos de endereços IP públicos dos serviços Oracle. Se esse for o caso, o seu dispositivo de borda receberá a propagação da rota dos intervalos de endereços IP públicos dos serviços Oracle por meio de diversos caminhos. Para obter informações importantes sobre como configurar o seu dispositivo de borda corretamente, consulte Detalhes de Roteamento para Conexões com a Sua Rede Local.

Uma VCN só pode ter um gateway de serviço. Para obter mais informações sobre limites, consulte Limites de Serviço.

Para obter instruções sobre como configurar um gateway de serviço, consulte Configurando um Gateway de Serviço na Console.

Sobre Labels CIDR de Serviço

Cada serviço Oracle tem um ponto final público regional que usa endereços IP públicos para acesso. Ao configurar um gateway de serviço com acesso a um serviço Oracle, você também configura regras de roteamento do serviço Networking e, opcionalmente, regras de segurança que controlam o tráfego com o serviço. Isso significa que você precisa conhecer os endereços IP públicos do serviço para configurar essas regras. Para facilitar, o serviço Networking usa labels CIDR de serviço para representar todos os CIDRs públicos de determinado serviço Oracle ou grupo de serviços Oracle. Se os CIDRs de um serviço mudarem no futuro, não será necessário ajustar as regras de roteamento ou as regras de segurança.

Exemplos:

  • OCI PHX Object Storage é um label CIDR de serviço que representa todos os CIDRs do Object Storage na região Oeste dos EUA (Phoenix).
  • All PHX Services in Oracle Services Network é um label CIDR de serviço que representa todos os CIDRs dos serviços suportados na Oracle Services Network na região Oeste dos EUA (Phoenix). Para obter uma lista dos serviços, consulte Gateway de Serviço: Serviços de Nuvem Suportados na Oracle Services Network.

Como você pode ver, um label CIDR de serviço pode ser associado a um único serviço Oracle (exemplo: Object Storage) ou a vários serviços Oracle.

O termo serviço muitas vezes é usado nesse tópico no lugar de label CIDR de serviço, que é um termo mais preciso. O detalhe importante a ser lembrado é que ao configurar um gateway de serviço (e regras de roteamento relacionadas), você especifica o label CIDR de serviço no qual está interessado. Na Console, você conhecerá os labels CIDR de serviço disponíveis. Se você usar a API REST, a operação ListServices retornará os objetos Service disponíveis. O atributo cidrBlock do objeto Service contém o label CIDR de serviço (exemplo: all-phx-services-in-oracle-services-network).

Labels CIDR de Serviço Disponíveis

Estes são os labels CIDR de serviço disponíveis:

Importante

Verifique este problema conhecido para obter informações sobre como acessar os serviços Oracle YUM por meio do gateway de serviço.

Ativando um Label CIDR de Serviço para um Gateway de Serviço

Para permitir que a VCN acesse determinado label CIDR de serviço, ative esse label CIDR de serviço para o gateway de serviço da VCN. Você pode fazer isso ao criar o gateway de serviço ou quando quiser após tê-lo criado. Você também pode desativar um label CIDR de serviço para o gateway de serviço a qualquer momento.

Importante

Como o Object Storage é abrangido pelo OCI <region> Object Storage e Todos <region> os Serviços da Oracle Services Network, um gateway de serviço só poderá usar um desses labels CIDR de serviço. Da mesma forma, uma tabela de roteamento só pode ter uma única regra para um dos labels CIDR de serviço. Ela não pode ter duas regras separadas, uma para cada label.

Se o gateway de serviço estiver configurado para usar All <region> Services in Oracle Services Network, a regra de roteamento poderá usar os dois labels CIDR. No entanto, se o gateway de serviço estiver configurado para usar OCI <region> Object Storage, e a regra de roteamento usar All <region> Services in Oracle Services Network, o tráfego para os serviços da Oracle Services Network, com exceção de Object Storage será bloqueado. A Console proíbe que você configure o gateway de serviço e a tabela de roteamento correspondente dessa maneira.

Se quiser alternar o gateway de serviço para usar outro label CIDR de serviço, consulte Para alternar para outro label CIDR de serviço .

Bloqueando o Tráfego Por Meio de um Gateway de Serviço

Você cria um gateway de serviço no contexto de uma VCN específica. Em outras palavras, o gateway de serviço sempre está anexado a essa VCN. No entanto, você pode bloquear ou permitir o tráfego por meio do gateway de serviço a qualquer momento. Por padrão, o gateway permite que o tráfego flua ao ser criado. Bloquear o tráfego no gateway de serviço impede que o tráfego todo flua, independentemente de quais labels CIDR de serviço estão ativados ou de haver ou não regras de roteamento ou regras de segurança na sua VCN. Para obter instruções sobre como bloquear o tráfego, consulte Para bloquear ou permitir o tráfego para um gateway de serviço.

Regras de Roteamento e Regras de Segurança para um Gateway de Serviço

Para que o tráfego seja roteado de uma sub-rede na VCN para um gateway de serviço, você deverá adicionar uma regra adequada à tabela de roteamento da sub-rede. A regra deve usar o gateway de serviço como alvo. Para o destino, você deverá usar o label CIDR de serviço ativado para o gateway de serviço. Isso significa que você não precisa conhecer os CIDRs públicos específicos, que podem mudar com o passar do tempo.

Dessa forma, o tráfego de saída da sub-rede destinado a CIDRs públicos do serviço será roteado para o gateway de serviço. Se o tráfego do gateway de serviço estiver bloqueado, nada fluirá por ele, mesmo que exista uma regra de roteamento que corresponda ao tráfego. Para obter instruções sobre como configurar regras de roteamento para um gateway de serviço, consulte Tarefa 2: Atualizar roteamento para a sub-rede.

As regras de segurança da VCN também devem permitir o tráfego desejado. Se desejar, você poderá usar um label CIDR de serviço em vez de um CIDR para a origem ou para o destino do tráfego desejado. Mais uma vez, isso significa que você não precisa conhecer os CIDRs públicos específicos do serviço. Por comodidade, você pode usar um label CIDR de serviço em regras de segurança mesmo que a sua VCN não tenha um gateway de serviço e que o tráfego para os serviços use um gateway de internet.

Você pode usar regras de segurança com monitoramento de estado que tenham um label CIDR de serviço:

  • Para regras com monitoramento de estado: crie uma regra de saída com o serviço de destino = o label CIDR do serviço de interesse. Assim como acontece com qualquer regra de segurança, você pode especificar outros itens como protocolo IP e também portas de origem e de destino.
  • Para regras sem monitoramento de estado: é necessário ter regras de saída e de entrada. Crie uma regra de saída com o serviço de destino = o label CIDR do serviço de interesse. Além disso, crie uma regra de entrada com o serviço de origem = o label CIDR do serviço de interesse. Assim como acontece com qualquer regra de segurança, você pode especificar outros itens como protocolo IP e também portas de origem e de destino.

Para obter instruções sobre como configurar regras de segurança que usam um label CIDR de serviço, consulte Tarefa 3: (Opcional) Atualizar regras de segurança.

Object Storage: Permitindo o Acesso a um Bucket Somente por Meio de uma VCN ou de um Intervalo Específico de CIDRs

Se você usar um gateway de serviço para acessar o Object Storage, poderá criar uma política do IAM que permita acessar um bucket específico do Object Storage somente se estes requisitos forem atendidos:

  • Se a solicitação passar por um gateway de serviço.
  • A solicitação é originada da VCN especificada na política.

Para obter exemplos desse tipo específico de política do IAM e observações importantes sobre seu uso, consulte Tarefa 4: (Opcional) Atualizar Políticas do IAM para Restringir o Acesso a um Bucket do Object Storage.

Como alternativa, você pode usar a filtragem baseada em IP do IAM para restringir o acesso a um endereço IP ou a intervalos de endereços. Para obter mais informações, consulte Gerenciando Origens de Rede.

Excluindo um Gateway de Serviço

Para que seja possível excluir um gateway de serviço, o tráfego desse gateway não precisa estar bloqueado, mas não deve haver uma tabela de roteamento que liste esse gateway como destino. Consulte Para excluir um gateway de serviço.

Política do IAM Necessária

Para usar o Oracle Cloud Infrastructure, você deve receber de um administrador o acesso de segurança em uma política . Esse acesso é necessário, quer você esteja usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Caso receba uma mensagem de que você não tem permissão ou de que não está autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento  deve trabalhar.

Para administradores: consulte Políticas do IAM para Rede.

Configurando um Gateway de Serviço na Console

Veja a seguir o processo de configuração de um gateway de serviço. Presume-se que você já tenha uma VCN com uma sub-rede (seja privada ou pública).

Importante

O gateway de serviço permite o acesso a serviços Oracle suportados dentro da região para proteger os seus dados em relação à internet. Os seus aplicativos podem requerer acesso a pontos finais públicos ou a serviços não suportados pelo gateway de serviço (por exemplo, para fazer download de atualizações ou de patches). Certifique-se de ter um gateway NAT ou outro acesso à internet, se necessário.
Tarefa 1: Criar o gateway de serviço
  1. Na Console, confirme que você está exibindo o compartimento que contém a VCN à qual deseja adicionar o gateway de serviço. Para obter informações sobre compartimentos e controle de acesso, consulte Controle de Acesso.
  2. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
  3. Clique na VCN em que você está interessado.
  4. No lado esquerdo da página, clique em Gateways de Serviço.
  5. Clique em Criar Gateway de Serviço.
  6. Informe os seguintes valores:

    • Nome: um nome descritivo para o gateway de serviço. Ele não precisa ser exclusivo. Evite inserir informações confidenciais.
    • Criar no compartimento: o compartimento no qual você deseja criar o gateway de serviço, se for diferente do compartimento no qual você está trabalhando no momento.
    • Serviços: como opção, você pode selecionar o label CIDR de serviço em que está interessado. Caso não selecione um label agora, você poderá atualizar o gateway de serviço posteriormente e adicionar um label CIDR de serviço. Sem pelo menos um label CIDR de serviço ativado para o gateway, nenhum tráfego flui por ele.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deve aplicar tags, ignore esta opção (você poderá aplicar tags posteriormente) ou pergunte ao administrador.
  7. Clique em Criar Gateway de Serviço.

    O gateway de serviço será criado e exibido na página Gateways de Serviço no compartimento escolhido. Por padrão, o gateway permite que o tráfego passe por ele. A qualquer momento, você pode bloquear ou permitir o tráfego por ele.

Tarefa 2: Atualizar roteamento para a sub-rede

Ao configurar um gateway de serviço para um determinado label de CIDR de serviço, você também deverá criar uma regra de roteamento que especifique esse label como o destino e o alvo como o gateway de serviço. Você deve fazer isso para cada sub-rede que precise acessar o gateway.

  1. Determine quais sub-redes da sua VCN precisam acessar o gateway de serviço.
  2. Para cada uma dessas sub-redes, atualize a tabela de roteamento da sub-rede para incluir uma nova regra:

    1. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
    2. Clique na VCN em que você está interessado.
    3. Em Recursos, clique em Tabelas de Roteamento.
    4. Clique na tabela de roteamento na qual você está interessado.
    5. Clique em Editar Regras de Roteamento
    6. Clique em Adicionar Regra de Roteamento e informe os seguintes valores:

      • Tipo de Destino: Gateway de Serviço.
      • Serviço de Destino: o label CIDR de serviço ativado para o gateway.
      • Compartimento: o compartimento onde o gateway de serviço está localizado.
      • Destino: o gateway de serviço.
      • Descrição: Uma descrição opcional da regra.
    7. Clique em Salvar.

Qualquer tráfego de sub-rede com um destino que corresponda à regra será roteado para o gateway de serviço. Para obter mais informações sobre a configuração de regras de roteamento, consulte Tabelas de Roteamento da VCN.

Posteriormente, se você não precisar mais do gateway de serviço e quiser excluí-lo, primeiro exclua todas as regras de roteamento da sua VCN que especificam o gateway de serviço como alvo.

Dica

Sem o roteamento necessário, o tráfego não flui pelo gateway de serviço. Se ocorrer uma situação em que você deseja interromper temporariamente o fluxo de tráfego no gateway para um serviço específico, poderá simplesmente remover a regra de roteamento que permite o tráfego. Você também pode desativar o label CIDR desse serviço para o gateway. Ou você pode bloquear todo tráfego do gateway de serviço inteiramente. Não é necessário excluir o gateway.

Tarefa 3: (Opcional) Atualizar regras de segurança

Ao configurar um gateway de serviço para acessar um label CIDR de serviço, você também deverá se certificar de que há regras de segurança configuradas de modo a permitir o tráfego desejado. As suas regras de segurança talvez já permitam esse tráfego. É por isso que essa tarefa é opcional. O procedimento a seguir pressupõe que você esteja usando listas de segurança para implementar as suas regras de segurança. O procedimento descreve como configurar uma regra que usa o label CIDR de serviço. Você deve fazer isso para cada sub-rede que precise acessar o gateway.

Dica

As listas de Segurança são uma forma de controlar a entrada e a saída de tráfego dos recursos da VCN. Você também pode usar grupos de segurança de rede. Eles permitem aplicar um conjunto de regras de segurança a um conjunto de recursos que têm a mesma postura de segurança.
  1. Determine quais sub-redes da sua VCN precisam se conectar com os serviços nos quais você está interessado.
  2. Atualize a lista de segurança para cada uma dessas sub-redes de modo a incluir regras que permitam o tráfego de saída ou de entrada desejado com o serviço específico:

    1. Na Console, ao verificar a VCN na qual você está interessado, clique em Listas de Segurança.
    2. Clique na lista de segurança na qual você está interessado.
    3. Clique em Editar Todas as Regras e crie uma ou mais regras, uma para cada tipo específico de tráfego que você deseja permitir. Consulte o exemplo a seguir para obter mais detalhes.

      Exemplo

      Digamos que você deseja adicionar uma regra com monitoramento de estado que permite tráfego HTTPS de saída (porta TCP 443) proveniente da sub-rede para o Object Storage e o repositório Oracle YUM. Estas são as etapas básicas que você executa ao adicionar uma regra:

      1. Na seção Permitir Regras para Saída, clique em +Adicionar Regra.
      2. Deixe a caixa de seleção Sem Monitoramento de Estado desmarcada.
      3. Tipo de Destino: Serviço.
      4. Serviço de Destino: o label CIDR de serviço no qual você está interessado. Para acessar o Object Storage e o repositório Oracle YUM, use All <region> Services in Oracle Services Network.
      5. Protocolo IP: deixe como TCP.
      6. Intervalo de Portas de Origem: deixe como Todos.
      7. Intervalo de Portas de Destino: insira 443.
      8. Descrição: Uma descrição opcional da regra.
    4. Clique em Salvar Regras de Lista de Segurança na parte inferior da caixa de diálogo.

Para obter mais informações sobre a configuração de regras de segurança, consulte Regras de Segurança.

Tarefa 4: (Opcional) Atualizar Políticas do IAM para Restringir o Acesso a um Bucket do Object Storage

Essa tarefa só se aplicará se você estiver usando um gateway de serviço para acessar o Object Storage. Opcionalmente, você pode criar uma origem de rede e criar uma política do IAM para permitir que apenas os recursos de uma VCN específica grave objetos em um bucket específico.

Importante

Se você usar uma das políticas do IAM a seguir para restringir o acesso a um bucket, o bucket não poderá ser acessado pela Console. Ele só pode ser acessado da VCN específica.

Além disso, as políticas do IAM permitem solicitações para o Object Storage apenas se elas saírem da VCN especificada por meio do gateway de serviço. Se passarem pelo gateway de internet, as solicitações serão negadas.

  • Crie uma origem de rede para especificar a VCN permitida. Para obter informações sobre como criar origens de rede, consulte Gerenciando Origens de Rede.
  • Crie a política. O exemplo a seguir permite que recursos do grupo de exemplo ObjectBackup gravem objetos no bucket db-backup que reside no compartimento ABC.
    Allow group ObjectBackup to read buckets in compartment ABC
    
    Allow group ObjectBackup to manage objects in compartment ABC where
       all {target.bucket.name='db-backup', 
            request.networkSource.name='<VCN_NETWORK_SOURCE',
            any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Você pode especificar várias VCNs criando e especificando várias origens de rede na política. O próximo exemplo tem origens de rede para duas VCNs. Você poderá fazer isso se tiver configurado a sua rede local com acesso privado aos serviços Oracle por meio de uma VCN e também tiver configurado uma ou mais outras VCNs com gateways de serviço próprios. Para obter mais informações, consulte Visão Geral de Acesso Privado de Rede Local aos Serviços Oracle.

Allow group ObjectBackup to read buckets in compartment ABC

Allow group ObjectBackup to manage objects in compartment ABC where
   all {target.bucket.name='db-backup', 
        any {request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_1>', request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_2'},
        any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Gerenciando um Gateway de Serviço na Console

Para alternar para outro label CIDR de serviço

Para evitar a interrupção das suas conexões do Object Storage durante a alternância entre os labels CIDR de serviço OCI <region> Object Storage e All <region> Services in Oracle Services Network, use o seguinte processo:

  1. Atualizar o gateway de serviço: remova o label CIDR de serviço existente e, em seguida, adicione aquele para o qual deseja alternar. Não é possível ativar os dois labels do gateway de serviço.
  2. Atualizar regras de roteamento relevantes: para cada regra que utiliza o gateway de serviço como alvo, o serviço de destino da regra terá o label CIDR de serviço existente alternado para aquele que você deseja usar.
  3. Atualizar regras de segurança relevantes: altere as regras de segurança que especificam o label CIDR de serviço existente para usar aquele que você deseja. As regras podem estar em grupos de segurança de rede ou em listas de segurança.

Se, em vez disso, você excluir o gateway de serviço existente e criar um novo, as conexões do Object Storage serão interrompidas. Lembre-se de que antes de excluir um gateway de serviço, você deve excluir as regras de roteamento que especificam esse gateway como alvo.

Para atualizar um gateway de serviço
  1. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Clique em Gateways de Serviço.
  4. Para o gateway de serviço no qual você está interessado, clique no menu Ações e em Editar.
  5. Faça as alterações desejadas e clique em Salvar.
Para bloquear ou permitir o tráfego em um gateway de serviço
  1. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Clique em Gateways de Serviço.
  4. Para o gateway de serviço no qual você está interessado, clique no menu Ações e, em seguida, clique em Block Traffic (ou Permitir Tráfego se você estiver permitindo tráfego no gateway de serviço).

    Quando há bloqueio de tráfego, o ícone do gateway de serviço permanece cinza, e o label muda para BLOCKED. Quando há permissão de tráfego, o ícone do gateway de serviço permanece verde, e o label muda para AVAILABLE.

Para associar uma tabela de roteamento a um gateway de serviço existente

Você só executará essa tarefa se estiver implementando um cenário avançado de roteamento de trânsito.

Um gateway de serviço pode existir sem uma tabela de roteamento associada a ele. No entanto, após você associar uma tabela de roteamento a um gateway de serviço, sempre deverá haver uma tabela de roteamento associada a ele. Mas você pode associar outra tabela de roteamento. Você também pode editar as regras da tabela ou excluir algumas ou todas as regras.

Pré-requisito: a tabela de roteamento deverá existir e pertencer à VCN à qual o gateway de serviço pertence.

  1. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Gateways de Serviço.
  4. Para o gateway de serviço no qual você está interessado, clique no ícone Ações () e, em seguida, clique em uma destas opções:

    • Associar à Tabela de Roteamento: se o gateway de serviço ainda não tiver uma tabela de roteamento associada a ele.
    • Associar Outra Tabela de Roteamento: se você estiver alterando a tabela de roteamento associada ao gateway de serviço.
  5. Selecione o compartimento no qual a tabela de roteamento reside e selecione a respectiva tabela de roteamento.
  6. Clique em Associar.
Para excluir um gateway de serviço

Pré-requisito: o gateway de serviço não precisa bloquear o tráfego, mas não deverá haver uma tabela de roteamento que o liste como destino.

  1. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Clique em Gateways de Serviço.
  4. Para o gateway de serviço do seu interesse, clique no menu Ações e em Excluir.

  5. Confirme quando solicitado.
Para gerenciar as tags de um gateway de serviço
  1. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Para o gateway de serviço do seu interesse, clique em o menu Ações e em Exibir Tags. Nessa página, você pode exibir as tags existentes, editá-las e aplicar novas tags.

Para obter mais informações, consulte: Tags de Recursos.

Para mover um gateway de serviço para outro compartimento

Você pode mover um gateway de serviço de um compartimento para outro. Quando você move um gateway de serviço para um novo compartimento, as políticas inerentes são aplicadas imediatamente.

  1. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Gateways de Serviço.
  4. Localize o gateway de serviço, clique no menu Ações e depois clique em Mover Recurso.
  5. Escolha o compartimento de destino na lista.
  6. Clique em Mover Recurso.

O gateway de serviço será movido para o novo compartimento imediatamente. Dependendo das suas permissões, você poderá selecionar o compartimento no menu à esquerda para exibir o gateway de serviço.

Para obter mais informações sobre o uso de compartimentos e políticas para controlar o acesso à sua rede na nuvem, consulte Controle de Acesso. Para obter informações gerais sobre compartimentos, consulte Gerenciando Compartimentos.

Gerenciando um Gateway de Serviço com a API

Para obter informações sobre o uso da API e de solicitações de assinatura, consulte APIs REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs (Software Development Kits) e CLI (Command Line Interface).

Cuidado

Se qualquer pessoa da sua organização implementar um gateway de serviço, lembre-se de que talvez você precise atualizar códigos de clientes que utilizam regras do serviço Networking e listas de segurança. Há possíveis alterações interruptivas na API. Para obter mais informações, consulte as notas da release sobre gateway de serviço.

Para gerenciar os seus gateways de serviço, use estas operações:

Para gerenciar tabelas de roteamento, consulte Tabelas de Roteamento da VCN. Para gerenciar listas de segurança, consulte Listas de Segurança. Para gerenciar grupos de segurança de rede, consulte Grupos de Segurança de Rede. Para gerenciar políticas do IAM, consulte Gerenciando Políticas.