为专用子网提供安全规则

您必须提供安全规则以允许访问专用子网中的远程数据网关 (RDG)、Oracle GoldenGate 和自治数据仓库

远程数据网关 (RDG) 和 Oracle GoldenGate 使用分配给安全列表的规则。自治数据仓库使用分配给网络安全组 (NSG) 的规则。

  • 安全列表:定义一组适用于整个子网中所有 VNIC 的安全规则。要将给定的安全列表与特定子网一起使用,可以在子网创建期间或以后将安全列表与子网关联。在该子网中创建的任何 VNIC 都受与该子网关联的安全列表的约束。
  • 网络安全组 (NSG):定义一组适用于您选择的一组 VNIC(资源,例如自治数据仓库)的安全规则。要使用给定的 NSG,请将感兴趣的 VNIC 添加到组中,或者在预配服务时分配 NSG。并非所有服务都支持 NSG。添加到该组的任何 VNIC 都受该组的安全规则的约束。

创建安全列表

安全列表使用一组入站和出站安全规则充当虚拟防火墙,这些安全规则应用于与安全列表关联的任何子网中的所有虚拟网络接口卡 (VNIC)。

  1. 打开导航菜单。在核心基础结构下,转到网络,然后单击虚拟云网络
  2. 单击您感兴趣的 VCN。
  3. 资源下,单击安全列表
  4. 单击创建安全列表
  5. 请输入以下信息:
    • 名称:安全列表的说明性名称。例如:my-domain-sec-list。名称不必唯一,并且以后不能在控制台中对其进行更改(但可以使用 API 进行更改)。请避免输入机密信息。
    • 在区间中创建:要在其中创建安全列表的区间(如果不同于当前使用的区间)。
  6. 添加入站或出站安全规则。您还可以在创建安全列表后添加、修订和删除安全规则。
  7. 单击创建安全列表

为远程数据网关添加入站规则

安全规则允许特定类型的虚拟网络接口卡 (NVIC) 进出通信。

远程数据网关(RDG)要求端口22用于安全shell访问(SSH)到Linux ,端口8080用于HTTP访问。

要将入站规则添加到安全列表以允许访问远程数据网关,请执行以下操作:

  1. 打开导航菜单。在核心基础结构下,转到网络,然后单击虚拟云网络
  2. 单击您感兴趣的 VCN。
  3. 资源下,单击安全列表
  4. 单击您感兴趣的安全列表。
  5. 要添加允许使用安全 shell (SSH) 进行公共访问的规则,例如将内部部署数据源迁移到云中的数据库:
    1. 单击添加配料规则
    2. 指定 0.0.0.0/0 作为源 CIDR (0.0.0.0/0 表示所有 IP 地址)。
    3. 选择 SSH 作为 IP 协议。
    4. 指定 22 作为目标端口范围。
  6. 要添加允许从不同 VCN 中的服务器或应用程序访问 TCP 的规则,请执行以下操作:
    1. 单击添加配料规则
    2. 指定 VCN CIDR 块作为源 CIDR。
    3. 选择 TCP 作为 IP 协议。
    4. 指定 8080 作为目标端口范围。

Oracle GoldenGate 添加入站规则

安全规则允许特定类型的虚拟网络接口卡 (NVIC) 进出通信。

Oracle GoldenGate 需要端口 443 才能访问 TCP。

  1. 打开导航菜单。在核心基础结构下,转到网络,然后单击虚拟云网络
  2. 单击您感兴趣的 VCN。
  3. 资源下,单击安全列表
  4. 单击您感兴趣的安全列表。
  5. 要添加允许 TCP 从不同 VCN 中的服务器或应用程序访问 Oracle GoldenGate 的规则,请执行以下操作:
    1. 单击添加配料规则
    2. 指定 VCN CIDR 块作为源 CIDR。
    3. 选择 TCP 作为 IP 协议。
    4. 指定 443 作为目标端口范围。

将安全列表添加到专用子网

您可以将安全列表添加到现有虚拟云网络 (VCN) 子网或从中删除安全列表。

  1. 打开导航菜单。在核心基础结构下,转到网络,然后单击虚拟云网络
  2. 单击子网
  3. 单击您感兴趣的 VCN。
  4. 单击子网
  5. 单击感兴趣的专用子网。通过检查子网访问下列出的值,验证它是否为专用子网。
  6. 资源下,单击安全列表
  7. 如果要添加安全列表,请单击添加安全列表,然后选择您希望子网使用的安全列表。

    如果要删除安全列表,请单击操作图标(三个点),然后单击删除。请记住,子网必须始终有一个相关联的安全列表。

    更改将在几秒钟内生效。

为专用端点访问创建网络安全组 (NSG)

使用网络安全组 (NSG) 可以定义一组适用于所选一组 VNIC(或资源)的安全规则。

预配资源(例如 Oracle Autonomous Data Warehouse)时,可以分配网络安全组。并非所有服务都支持 NSG。

  1. 打开导航菜单。在核心基础结构下,转到网络,然后单击虚拟云网络
  2. 单击您感兴趣的 VCN。
  3. 资源下,单击网络安全组
  4. 单击创建网络安全组
  5. 请输入以下信息:
    • 名称:网络安全组的描述性名称。名称不必唯一,您可以在以后更改名称。请避免输入机密信息。
    • 在区间中创建:要在其中创建安全列表的区间(如果不同于当前使用的区间)。
  6. 单击下一步。
  7. 对于第一个安全规则,输入以下项目:
    • 无状态:保留未选中状态。连接跟踪用于匹配规则的流量。
    • 方向:选择 Ingress(VNIC 的入站流量)。
    • 来源类型:选择 CIDR
    • 源 CIDR:为包含服务的专用子网(如 Oracle Autonomous Data Warehouse)指定 CIDR 块。
    • IP 协议:选择 TCP
    • 源端口范围:指定 1522
    • 目标端口范围:保留为空白(表示所有端口)。
  8. 完成后,单击创建