Documentação do Oracle Cloud Infrastructure

Configurar um URL Personalizado Usando o Oracle Web Application Firewall Service V2

Você pode usar o Load Balancer da Oracle e o Web Application Firewall Service V2 (WAF V2) para ajudar a configurar o suporte para um URL personalizado para uma instância do Visual Builder.

Quando você configura um URL personalizado para uma instância do Visual Builder (por exemplo, https://<my-custom-url.com>/ic/builder/), pode acessar sua instância diretamente usando o URL personalizado. Quando você publicar um aplicativo a partir do URL personalizado, o aplicativo usará o URL personalizado (por exemplo, https://<my-custom-url.com>/ic/builder/rt/).

Você também pode configurar um aplicativo Visual Builder para usar um URL personalizado, também chamado de URL personalizado, para que os clientes possam acessar o aplicativo usando apenas o URL personalizado base (https://<my-custom-url.com>).

O serviço WAF V2 permite que você defina uma política que mapeará um nome de domínio personalizado para o serviço WAF como o front-end do seu serviço VB como o servidor de origem. Para fazer isso, você usará um balanceador de carga público para gerenciar os certificados em sua tenancy. Você pode configurar o balanceador de carga no serviço Load Balancer da Oracle.

Usando o WAF para mapear seu nome de DNS escolhido para um serviço VB, você pode gerenciar o mapeamento do seu nome de DNS e fazer upload do certificado associado e da chave privada por conta própria, em vez de configurar a instância do VB para gerenciá-los.

Essas instruções pressupõem que você tenha acesso direto a uma instância do Visual Builder e à Console do Oracle Cloud Infrastructure (OCI). Para obter mais detalhes sobre como usar sua instância por trás de um WAF ou de um Gateway de API, consulte:

Antes de Configurar o URL Personalizado

Antes de começar a configurar o URL personalizado, você precisará saber alguns detalhes sobre sua instância e também deverá estar ciente das limitações de usar um URL personalizado para uma instância do Visual Builder.

O que você precisará para configurar o URL personalizado:

  • Instância do Visual Builder: Você precisará já ter provisionado uma instância do Visual Builder (ou Integration) no Oracle Cloud. A instância deve ser uma instância gerenciada pela Oracle baseada em PSM/OCI.
  • IP do balanceador de carga público da instância do VB: Você pode obter o endereço IP do balanceador de carga executando um dig no nome do host usando o URL. Por exemplo, para a URL:

    https://vbmyinst-vb-axdkj3wttbhm.builder.us-ashburn-1.ocp.oraclecloud.com/ic/builder/

    Execute o seguinte comando no terminal para obter o endereço IP necessário para configurar backends:

    dig https://vbmyinst-vb-axdkj3wttbhm.builder.us-ashburn-1.ocp.oraclecloud.com

  • Nome DNS: Você deve decidir qual nome DNS será usado para acessar o sistema e esse nome deve estar em um domínio DNS que você possui.
  • Certificado SSL: Você deve ter um certificado SSL assinado pela CA com uma chave privada para o nome DNS.

Limitações conhecidas

Os URLs personalizados estão sujeitos às seguintes limitações:

  • Somente um aplicativo da Web por vez pode ser acessado usando o contexto raiz ('/') do URL personalizado.

Criar um Balanceador de Carga e Configurar um Nome de Host

Você pode usar o serviço do Oracle Load Balancer para criar um balanceador de carga público para gerenciar os certificados em sua tenancy.

Um balanceador de carga fornece distribuição de tráfego automatizada de um ponto para os servidores que podem ser acessados pela sua rede virtual da nuvem. Para obter mais informações sobre o Oracle Load Balancer, consulte Visão Geral do Oracle Load Balancer e Criando um Balanceador de Carga.

Para criar um balanceador de carga:

  1. Na Console do OCI, clique em Menu de Navegação o ícone Menu, selecione Networking e, em seguida, selecione Load Balancer.
  2. Crie um novo balanceador de carga:
    1. Na página Balanceadores de Carga, clique em Criar balanceador de carga.
    2. Selecione Load Balancer como tipo e clique em Criar Balanceador de Carga para abrir a página Criar Balanceador de Carga para definir os detalhes do balanceador de carga.
    3. Na página Adicionar Detalhes, selecione os padrões para as formas e opções de rede.

      Na seção Escolher rede, você precisará selecionar uma Rede virtual na nuvem e uma Sub-rede, se ainda não estiverem selecionadas.


      Segue a descrição da waf-load-choose-networking.png
      Descrição da ilustração waf-load-choose-networking.png

      Clique em Próximo.

    4. No painel Especificar Política de Verificação de Integridade na página Escolher Backends, selecione TCP como Protocolo e defina a porta como 443. Clique em Avançar.
    5. No painel Certificado SSL da página Configurar Listener, selecione Certificado Gerenciado pelo Balanceador de Carga na lista drop-down Recurso do Certificado.
    6. Forneça sua cadeia de certificados e chave privada. Clique em Próximo.
    7. Na página Gerenciar Registro em Log, aceite as definições padrão. Clique em Submeter para criar o balanceador de carga.
      Observação

      O provisionamento do balanceador de carga levará alguns minutos
  3. Depois que o balanceador de carga for provisionado, clique no nome do novo balanceador de carga na página Balanceadores de Carga para abrir sua guia Detalhes.
  4. Abra a guia Nomes de Host e clique em Criar nome de host.
  5. Informe um Nome e um Nome de Host na página Criar nome de host. Clique em Criar.

    O nome do host será seu ponto final personalizado.


    A descrição da ilustração waf-load-hostnames-tab.png segue
    Descrição da ilustração waf-load-hostnames-tab.png

  6. Abra a guia Listeners e edite seu listener para adicionar o nome do host. Clique em Salvar alterações.
  7. Configure a Rede Virtual na Nuvem (VCN) do balanceador de carga:
    1. Abra a guia Detalhes do balanceador de carga e clique no link VCN (Rede Virtual na Nuvem) para abrir a guia Detalhes da VCN:
    2. Abra a guia Gateways da VCN e clique em Criar Gateway de Internet.
    3. Na página Criar Gateway de Internet, informe um nome e clique em Criar Gateway de Internet para retornar à guia Gateways.
    4. Na guia Gateways, clique em Criar Gateway NAT.
    5. Na página Criar Gateway NAT, informe um nome para o gateway e selecione Endereço IP Público Efêmero. Clique em Criar Gateway NAT.
    6. Abra a guia Roteamento e clique em Criar Tabela de Roteamento.
    7. Na página Criar Tabela de Roteamento, informe um nome e clique em Criar Tabela de Roteamento para retornar à guia Roteamento.
    8. Clique na nova tabela de roteamento para abrir a página de detalhes.
    9. Abra a guia Regras de Roteamento e clique em Adicionar Regras de Roteamento.
    10. Na página Adicionar Regras de Roteamento, informe estes detalhes para a regra de roteamento do gateway NAT:
      • Tipo de Destino: Gateway NAT.
      • Bloco CIDR de Destino: Forneça o IP do balanceador de carga público da instância do Visual Builder (consulte Configuração acima sobre como obtê-lo). Se for um único IP, anexe /32 a ele para formar um único Bloco CIDR IP.
      • Compartimento: Do estado em que se encontra.
      • Destino: Selecione o gateway NAT que você criou.
      • Descrição: Uma descrição opcional da regra.

      A descrição da waf-load-add-route-rules.png segue
      Descrição da ilustração waf-load-add-route-rules.png

      Você precisa criar uma regra de roteamento de gateway NAT para cada um dos IPs públicos do balanceador de carga da instância do Visual Builder. Para adicionar uma regra de roteamento, clique em + Outra Regra de Roteamento.

    11. Clique em + Outra Regra de Roteamento e informe estes detalhes para a regra de roteamento do gateway de internet:
      • Target Type: Gateway da Internet.
      • Bloco CIDR de destino: 0.0.0.0/0
      • Compartimento: Do estado em que se encontra.
      • Gateway de Internet de Destino: Selecione o gateway de internet que você criou.
      • Descrição: Uma descrição opcional da regra.

      Clique em Adicionar Regras de Roteamento.

    12. Confirme se o status da verificação de integridade do Conjunto de Backend está OK.
  8. Retorne à guia Detalhes do balanceador de carga.
  9. Configure a sub-rede do balanceador de carga:
    1. Na guia Detalhes do balanceador de carga, clique no link Sub-rede para abrir sua página de detalhes.
    2. Abra a guia Segurança da sub-rede e clique na lista de segurança padrão na tabela para abrir seu painel Detalhes.
    3. Abra a guia Regras de segurança.
    4. Edite a regra para a entrada 0.0.0.0/0 na tabela Regras de Entrada para alterar o Intervalo de Portas de Destino para 443. Clique em Salvar alterações.
  10. Defina a opção SSL para o backend:
    1. Na página Backends, selecione a opção SSL.
    2. Selecione a opção Certificado Gerenciado pelo Balanceador de Carga.
    3. Selecione Certificado gerenciado pelo Balanceador de Carga e selecione o certificado na lista drop-down.
      Observação

      Se você receber um erro de que um certificado de CA está ausente, crie um novo Certificado Gerenciado pelo Balanceador de Carga e forneça o certificado do servidor e o certificado intermediário separadamente, em vez de uma cadeia combinada.
  11. Adicione um novo backend:
    1. Abra a guia Conjuntos de Backend e, em seguida, clique no link do conjunto de backend na tabela para abrir sua guia Detalhes.
    2. Abra a guia Backends e clique em Adicionar Backend.
    3. Selecione a opção Endereços IP e defina os seguintes detalhes de backend:
      • Endereço IP: Forneça o endereço IP do balanceador de carga. Esse é o endereço IP que você obteve quando usou o comando dig no nome do host do Visual Builder.
      • Porta: Defina a porta como 443.

      A descrição da waf-load-add-backend.png segue
      Descrição da ilustração waf-load-add-backend.png

      Clique em Adicionar.

  12. (Opcional) Se você quiser restringir o acesso:
    1. Abra a guia Políticas e clique em Criar política de roteamento.
    2. Na página Criar política de roteamento, informe um nome para a política de roteamento.
    3. No painel Condições, configure a política definindo o seguinte:
      • Quando as seguintes condições forem atendidas: Defina como If All Match
      • Tipo de Condição: Definir como Path
      • Operador: Definir como Is
      • String de URL: Defina como / .

      A descrição da waf-load-create-routingpolicy.png segue
      Descrição da ilustração waf-load-create-routingpolicy.png

    4. No painel Ação, defina a ação "Rotear para backend" selecionando o conjunto de backend na lista drop-down. Clique em Próximo.
    5. Defina a ordem em que as políticas devem ser executadas, se necessário. Clique em Criar política de roteamento para retornar à guia Políticas.
    6. Na guia Políticas, clique em Criar conjunto de regras.
    7. Na página Criar Conjunto de Regras, informe um nome para o conjunto de regras.
    8. Selecione Especificar regras de cabeçalho de solicitação e informe os detalhes:
      • Ação: Add Request Header
      • Cabeçalho: Host
      • Valor: Adicione seu URL personalizado (por exemplo: myhost.example.com)

      A descrição da waf-load-create-ruleset.png segue
      Descrição da ilustração waf-load-create-ruleset.png

      Clique em Submeter para retornar à guia Políticas.

Criar uma Política de WAF

Você usa uma política de WAF para configurar as regras de acesso, as regras de limitação de taxa e as regras de proteção para seu serviço Web Application Firewall.

Ao criar e configurar uma política de WAF para seu URL personalizado, você precisará especificar o balanceador de carga usado para sua instância do Visual Builder.

Para criar uma política de WAF e especificar o balanceador de carga:

  1. Acesse a Console do Oracle Cloud Infrastructure e abra Políticas do Serviço WAF em Segurança.
  2. Selecione o compartimento no qual deseja que a política de WAF seja criada e clique em Criar Política de WAF.
  3. Informe o nome da política na caixa de diálogo Criar Política de WAF.
  4. Aceite todos os outros padrões e clique em Próximo até chegar à etapa Selecionar Ponto de Imposição.
  5. Na etapa Selecionar Ponto de Imposição, selecione o balanceador de carga que você criou e conclua a configuração do WAF.
  6. Clique em Criar Política de WAF.

Agora que a política foi criada e você a configurou para usar seu balanceador de carga, poderá configurar as regras de política. Você pode editar a configuração da política a qualquer momento. Ao configurar a política, você pode usar as ações predefinidas ou criar suas próprias ações personalizadas. Para obter mais informações sobre políticas de WAF, consulte Conceitos Básicos de Políticas do Serviço Web Application Firewall.

Configurar o DNS

Registre ou atualize o nome de DNS personalizado com o endereço IP público do balanceador de carga.

Na configuração de DNS do nome escolhido para acessar a instância de serviço do VB, edite o registro A para apontar para o endereço IP público do balanceador de carga. Na imagem a seguir, o valor do registro A é definido como o endereço IP público do balanceador de carga 152.70.200.184:


A descrição da waf-configure-dns.png segue
Descrição da ilustração waf-configure-dns.png

Observação

Você pode encontrar o endereço IP público do seu balanceador de carga na guia Informações do Balanceador de Carga na página Balanceador de Carga:


Descrição da ilustração waf-load-ipaddress.png a seguir
Descrição da ilustração waf-load-ipaddress.png