Observação:
- Este tutorial requer acesso ao Oracle Cloud. Para se inscrever em uma conta gratuita, consulte Conceitos Básicos do Oracle Cloud Infrastructure Free Tier.
- Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.
Adicionar o OCI Load Balancer e o OCI WAF a um Hub com Arquitetura de Roteamento de Hub e VCN Falada
Introdução
Este tutorial o guiará pelas tarefas necessárias para implantar e configurar um Balanceador de Carga do OCI (Oracle Cloud Infrastructure) com o WAF (OCI Web Application Firewall) no OCI e como isso funcionará em um ambiente de roteamento de VCN Hub e Spoke.
A imagem a seguir ilustra os fluxos de tráfego.
Conectividade externa a Spoke usando o Balanceador de Carga e o WAF
Objetivos
- Configuraremos um Balanceador de Carga do OCI com a política do OCI WAF em uma arquitetura de rede Hub e Spoke. Além disso, configuraremos os servidores Web para monitorar e rastrear como o balanceador de carga distribui o tráfego.
Pré-requisitos
-
Certifique-se de concluir os tutoriais a seguir se quiser recriar o conteúdo deste tutorial.
Tarefa 1: Revisar o Hub Atual e a Arquitetura de Rede Falada
Para continuar este tutorial, devemos ter:
- 1 x VCN do Hub (com um firewall, gateway de internet, gateway NAT e um gateway de serviço)
- 3 x VCNs Faladas
- 1 x Local conectado a uma Conexão IPSec VPN
Na VCN do Hub, temos uma instância do Windows que podemos usar para estabelecer conexão com as instâncias spoke. Cada spoke terá uma instância que será configurada como servidor Web. Essas instâncias podem ser usadas como pontos finais para o balanceador de carga que implantaremos neste tutorial.
A imagem a seguir ilustra o ponto de partida.
Tarefa 2: Configurar o Roteamento na Arquitetura de Rede Hub e Spoke entre o OCI WAF e o OCI Load Balancer, o Firewall de Hub e as Instâncias Spoke
A imagem a seguir ilustra a arquitetura de rede Hub e Spoke atual com todas as listas de segurança e tabelas de roteamento.
Antes de adicionarmos o balanceador de Carga do OCI, queremos garantir que o tráfego proveniente da sub-rede do Balanceador de Carga do OCI seja roteado para o firewall de hub para que o tráfego possa ser inspecionado no firewall de hub antes de enviar o tráfego para as instâncias de spoke.
Embora já tenhamos uma regra de roteamento padrão fazendo isso, ainda é melhor adicionar essa regra para chamá-la explicitamente como fizemos com as outras redes também.
-
Adicione a regra de roteamento.
-
Faça log-in na Console do OCI, navegue até Rede, Redes Virtuais na Nuvem e Rede Virtual na Nuvem.
-
Clique em Tabelas de Roteamento.
- Selecione a tabela de roteamento VCN_HUB_RT_DRG_TRANSIT.
-
-
Clique em Adicionar Regras de Roteamento.
- Tipo de Destino: Selecione IP Privado.
- Tipo de Destino: Informe o Bloco CIDR.
- Bloco CIDR de Destino: Digite
0.0.0.0/0
. - Seleção de Destino: Digite
172.16.0.20
, este é o endereço IP do nosso firewall pfSense. - Clique em Adicionar Regras de Roteamento.
-
Observe que a rota
172.16.0.128/25
agora é adicionada à tabela de roteamento VCN_HUB_RT_DRG_TRANSIT.A imagem a seguir ilustra a arquitetura de rede Hub e Spoke atual com todas as listas de segurança e tabelas de roteamento com regras de roteamento.
Tarefa 3: Instalar um Servidor Web nos Servidores de Backend
Instale um servidor Web NGINX em todas as instâncias nas VCNs spoke. Para obter mais informações sobre como instalar um servidor Web NGINX em uma instância do Oracle Linux, consulte Tarefa 6: Instalar um servidor Web na Instância.
Tarefa 4: Criar ou Modificar uma Página Web nos Servidores de Backend
Por padrão, cada servidor Web será configurado com uma página Web padrão. Rastrear onde nosso Balanceador de Carga do OCI redireciona o tráfego para ele é uma boa prática alterar algo na página da Web para que você saiba qual servidor é atingido.
Podemos fazer isso alterando o conteúdo do arquivo NGINX index.html
padrão.
sudo nano /usr/share/nginx/html/index.html
Para a Instância A, altere o cabeçalho:
<h1>Welcome to nginx! This is INSTANCE-A</h1>
Para a Instância B, altere o cabeçalho:
<h1>Welcome to nginx! This is INSTANCE-B</h1>
Para Instance-C, altere o cabeçalho:
<h1>Welcome to nginx! This is INSTANCE-C</h1>
Certifique-se de salvar os arquivos index.html
depois de alterá-los.
Tarefa 5: Instalar um Balanceador de Carga do OCI
Antes de criarmos o Balanceador de Carga do OCI, primeiro precisamos permitir a entrada da porta 80 na lista de segurança da VCN do Hub. Todo o tráfego, incluindo o tráfego proveniente do balanceador de carga na sub-rede pública da VCN do HUB, é roteado para o firewall HUB. As instâncias que o balanceador de carga usará pontos finais estão fazendo listening na porta TCP/80. Por esse motivo, também precisamos permitir a entrada TCP/80 da porta na VCN do Hub para que a sub-rede privada na VCN do Hub em que o tráfego é roteado também permita a comunicação com as VCNs spoke.
-
Adicionar regra de entrada.
- Clique no menu de hambúrguer (≡) no canto superior esquerdo.
- Clique em Rede.
- Clique em Redes virtuais na nuvem.
- Certifique-se de estar na seção Rede virtual na nuvem.
- Clique na VCN da HUB-VCN.
-
Clique em Listas de Segurança.
-
Clique em Lista de Segurança Padrão para a HUB-VCN.
- Verifique se você está na seção Regras de Entrada.
- Clique em Adicionar Regras de Entrada.
- Adicione uma regra de segurança que TCP/80 seja permitida da Origem (
172.16.0.128/25
) para TODOS os destinos.
Observação:
-
Estamos usando a lista de segurança padrão que é aplicada à HUB-VCN e, portanto, aplicada a todas as sub-redes separadas dentro dessa HUB-VCN.
-
Isso também significa que o tráfego que vai da sub-rede pública para a sub-rede privada dentro da HUB-VCN também está sujeito a essa lista de segurança padrão, pois a mesma lista de segurança padrão é aplicada a ambas as sub-redes.
-
Por esse motivo, estamos permitindo a entrada TCP/80 da porta porque, se não fizermos isso, o balanceador de carga não poderá se comunicar com os servidores de backend como todos o tráfego é enviado da sub-rede pública para a sub-rede privada porque estamos usando uma arquitetura HUB-and-Spoke com um firewall dentro da sub-rede privada da HUB-VCN.
-
A imagem a seguir ilustra o que você criou até agora com a regra de segurança adicionada.
-
Crie o balanceador de carga.
- Clique no menu de hambúrguer (≡) no canto superior esquerdo.
- Clique em Rede.
- Clique em Balanceador de Carga.
-
Clique em Criar balanceador de carga.
- Digite um Nome do balanceador de carga.
- Selecione Público para o Tipo de visibilidade.
- Selecione Ephemeral IP address.
- Rolar para Baixo.
-
Mantenha tudo padrão e role para baixo.
- Selecione a VCN à qual você deseja anexar o balanceador de carga.
- Selecione a Sub-rede à qual você deseja anexar o balanceador de carga.
- Clique em Próximo.
- Selecione Revezamento Ponderado como a política de balanceamento de carga.
- Clique em Adicionar backend.
- Selecione todos os backends das instâncias nas VCNs spoke.
- Clique em Adicionar Backends Selecionados.
- Revise os backends e altere a porta, se necessário, neste tutorial, todas as instâncias de backend fazem listening na porta 80.
- Rolar para Baixo.
-
Mantenha a política de verificação de integridade padrão e clique em Próximo.
- Informe um Nome de Listener.
- Selecione HTTP como tipo de tráfego que o listener trata.
- Informe uma Porta do Listener para ser 80.
- Clique em Próximo.
- Selecione um Grupo de logs.
- Clique em Submeter.
-
Observe que o status do balanceador de carga é CREATING.
- Observe que o status do balanceador de carga foi alterado de CREATING para ACTIVE.
- Observe que a Integridade geral está pendente.
- Observe que a integridade dos conjuntos de backend está pendente.
- Anote o Endereço IP público do balanceador de carga.
- Após alguns minutos, a Integridade geral é OK.
- Após alguns minutos, o Integridade dos conjuntos de backend será OK.
-
Role para baixo para ver mais de perto o conjunto de backend.
- Clique em Conjuntos de Backend.
- Clique no conjunto de backend disponível.
- Observe que a Integridade geral é OK.
- Observe que a Integridade dos conjuntos de backend é OK.
- Rolar para Baixo.
- Clique em Backends.
- Observe os backends na seção Backends.
- Abra um novo browser.
- Informe o endereço IP público do balanceador de carga.
- Observe que o balanceador de carga redireciona o tráfego para a instância na VCN B spoke.
- Atualize a página.
- Observe que o balanceador de carga agora redireciona o tráfego para a instância na VCN C spoke.
- Atualize a página.
- Observe que o balanceador de carga agora redireciona o tráfego para a instância na VCN B spoke novamente.
- Atualize a página.
- Observe que o balanceador de carga agora redireciona o tráfego para a instância na VCN A spoke.
-
A imagem a seguir ilustra o que você criou até agora e como o tráfego está fluindo.
-
Certifique-se de que o firewall do hub esteja permitindo a porta TCP/80 do balanceador de carga para os servidores de backend. Neste tutorial, permitimos todo o tráfego no firewall do hub para fins de teste.
Tarefa 6: Instalar e Configurar um Firewall de Aplicativo Web do OCI
-
Configure o Firewall de Aplicativo Web do OCI.
- Clique no menu de hambúrguer (≡) no canto superior esquerdo.
- Clique em Identidade e Segurança.
- Clique em Web Application Firewall.
-
Clique em Criar Política de WAF.
- Digite um Nome para a política de WAF.
- Clique em Próximo.
- Certifique-se de que a opção Ativar controle de acesso esteja ativada.
-
Use um site que seja capaz de recuperar seu endereço IP de ISP. Isso é necessário para configurar seu controle de acesso no OCI Web Application Firewall. Neste tutorial, estamos usando
www.ipchicken.com
para recuperar o endereço IP do ISP. -
Na seção Adicionar regra de acesso, especifique as informações a seguir.
- Clique em Adicionar regra de acesso.
- Informe um Nome para a regra de acesso.
- Tipo de Condição: Selecione Endereço IP de origem.
- Operator: Selecione Na lista.
- Intervalos de IP CIDR: Informe o endereço IP de seu próprio ISP.
- Rolar para Baixo.
- Em Ação da regra, informe o nome da ação e selecione Ação do Código de Resposta 401 Pré-configurada.
- Clique em Adicionar regra de acesso.
- Observe que a regra de acesso foi adicionada.
- Clique em Próximo.
-
Clique em Próximo.
-
Clique em Próximo.
- Selecione o Balanceador de carga no qual você deseja configurar a política de WAF. Use o balanceador de carga criado na Tarefa 5.
- Clique em Próximo.
-
Clique em Criar política de WAF.
-
Observe que a política de WAF é criada.
- Observe que o status da política de WAF é ACTIVE.
- Clique em Políticas para retornar à página de políticas de WAF.
-
Observe a política de WAF que acabamos de configurar.
Tarefa 7: Testar a Conectividade do OCI WAF, do OCI Load Balancer e a Segurança do WAF
-
Abra o navegador usado na Tarefa 5 e atualize a página.
Observação: Se você fechá-lo, informe o endereço IP público do balanceador de carga.
-
Observe que os servidores Web não podem mais ser acessados porque os bloqueamos com a política de WAF.
Confirmações
- Autor - Iwan Hoogendoorn (Especialista em Rede da OCI)
Mais Recursos de Aprendizagem
Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.
Para obter a documentação do produto, visite o Oracle Help Center.
Add OCI Load Balancer and OCI WAF to a Hub with Hub and Spoke VCN Routing Architecture
G12093-01
July 2024