附註:
- 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶,請參閱 Oracle Cloud Infrastructure Free Tier 入門。
- 它使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時,請將這些值取代為您雲端環境特定的值。
使用 Hub 和 Spoke VCN 路由架構將 OCI 負載平衡器和 OCI WAF 新增至 Hub
簡介
本教學課程將引導您完成在 OCI 中使用 OCI Web 應用程式防火牆 (WAF) 部署及設定 Oracle Cloud Infrastructure (OCI) 負載平衡器的必要作業,以及在 Hub 和 Spoke VCN 路由環境中運作的方式。
下圖說明流量。
使用負載平衡器和 WAF 軸輻式連線外部
目標
- 我們將在 Hub 和 Spoke 網路架構中使用 OCI WAF 原則設定 OCI 負載平衡器。此外,我們將設定 Web 伺服器來監控和追蹤負載平衡器如何分配流量。
必要條件
-
如果您要重新建立此教學課程中的內容,請務必完成下列教學課程。
作業 1:複查目前的中樞和網輻網路架構
若要繼續本教學課程,我們應該具備:
- 1 x 中心 VCN (使用防火牆、網際網路閘道、NAT 閘道和服務閘道)
- 3 x 軸輻條 VCN
- 連附 IPSec VPN 連線的 1 個內部部署
在 Hub VCN 中,我們有一個可以用來連線至網輻執行處理的 Windows 執行處理。每個網輻都會有一個將設定為 Web 伺服器的執行處理,這些執行處理可作為將在本教學課程中部署之負載平衡器的端點使用。
下圖說明起點。
作業 2:在 OCI WAF 和 OCI 負載平衡器、Hub 防火牆和網輻執行處理之間的 Hub 和網輻網路架構中設定路由
下圖說明包含所有安全清單和路由表的目前 Hub 和 Spoke 網路架構。
新增 OCI 負載平衡器之前,請先確定來自 OCI 負載平衡器子網路的流量已遞送至中樞防火牆,以便在將流量傳送至網輻執行處理之前,先在中樞防火牆檢查流量。
雖然我們已經有預設路由規則執行這項作業,但還是最好將此規則加入,以便與其他網路一起明確地呼叫它。
-
新增路由規則。
-
登入 OCI 主控台,瀏覽至網路、虛擬雲端網路和虛擬雲端網路。
-
按一下路由表。
- 選取 VCN_HUB_RT_DRG_TRANSIT 路由表。
-
-
按一下新增路由規則。
- 目標類型:選取專用 IP 。
- 目的地類型: 輸入 CIDR 區塊。
- 目的地 CIDR 區塊:輸入
0.0.0.0/0
。 - 選擇目標:輸入
172.16.0.20
,這是我們 pfSense 防火牆的 IP 位址。 - 按一下新增路由規則。
-
請注意,
172.16.0.128/25
路由現在已新增至 VCN_HUB_RT_DRG_TRANSIT 路由表。下圖說明目前的 Hub 和 Spoke 網路架構以及所有安全清單和路由規則的路由表。
作業 3:在後端伺服器上安裝 Web 伺服器
在軸輻 VCN 中的所有例證上安裝 NGINX Web 伺服器。如需有關如何在 Oracle Linux 執行處理上安裝 NGINX Web 伺服器的詳細資訊,請參閱工作 6:在執行處理上安裝 Web 伺服器。
工作 4:建立或修改後端伺服器上的網頁
根據預設,每個 Web 伺服器都會設定一個預設網頁。追蹤 OCI 負載平衡器將流量重新導向至流量的位置,是變更網頁上某些項目的良好做法,讓您知道遇到的伺服器。
您可以變更預設 NGINX index.html
檔案的內容來執行此操作。
sudo nano /usr/share/nginx/html/index.html
若為「執行處理 A」,請變更標頭:
<h1>Welcome to nginx! This is INSTANCE-A</h1>
針對「執行處理 -B」,變更標頭:
<h1>Welcome to nginx! This is INSTANCE-B</h1>
若為 Instance-C,請變更標頭:
<h1>Welcome to nginx! This is INSTANCE-C</h1>
請確定在變更 index.html
檔案之後儲存這些檔案。
作業 5:安裝 OCI 負載平衡器
在建立 OCI 負載平衡器之前,我們首先需要允許 Hub VCN 安全清單上的連接埠 80 輸入。所有流量 (包括來自 HUB VCN 公用子網路中負載平衡器的流量) 都會路由至 HUB 防火牆。負載平衡器將使用端點的執行處理在連接埠 TCP/80 上進行監聽。因此,我們還需要允許 Hub VCN 上的連接埠 TCP/80 輸入,以便路由流量之 Hub VCN 中的專用子網路也允許對支點 VCN 進行通訊。
-
新增傳入規則。
- 按一下左上角的漢堡功能表 ()。
- 按一下網路。
- 按一下虛擬雲端網路。
- 確定您位於虛擬雲端網路區段。
- 按一下 HUB-VCN VCN。
-
按一下安全清單。
-
按一下 HUB-VCN 的預設安全清單。
- 確定您在傳入規則區段中。
- 按一下新增傳入規則。
- 新增 TCP/80 從來源 (
172.16.0.128/25
) 到所有目的地的安全規則。
注意:
-
我們使用的是套用至 HUB-VCN 的預設安全清單,因此會套用至此 HUB-VCN 內的所有個別子網路。
-
這也表示從公用子網路到 HUB-VCN 內專用子網路的流量也會受到此預設安全清單的約束,因為相同的預設安全清單會套用至這兩個子網路。
-
基於這個原因,我們允許輸入連接埠 TCP/80,因為如果不這麼做,負載平衡器將無法與後端伺服器通訊為全部系統會使用軸輻式 (HUB-and-Spoke) 架構搭配 HUB-VCN 專用子網路內的防火牆,因此會將流量從公用子網路傳送至專用子網路。
-
下圖說明到目前為止,已新增安全規則。
-
建立負載平衡器。
- 按一下左上角的漢堡功能表 ()。
- 按一下網路。
- 按一下負載平衡器。
-
按一下建立負載平衡器。
- 輸入負載平衡器名稱。
- 選取可見度類型的公用。
- 選取臨時 IP 位址。
- 向下捲動。
-
保留所有預設值並向下捲動。
- 選取要連附負載平衡器的 VCN 。
- 選取要連附負載平衡器的子網路。
- 按下一步。
- 選取加權循環作為負載平衡原則。
- 按一下新增後端。
- 選取軸輻 VCN 中實例的所有後端。
- 按一下新增選取的後端。
- 複查後端並視需要變更連接埠,在本教學課程中,所有後端執行處理都會監聽連接埠 80。
- 向下捲動。
-
保留狀況檢查原則預設值,然後按一下下一步。
- 輸入監聽器名稱。
- 選取 HTTP 作為監聽器處理的流量類型。
- 輸入一個監聽器連接埠 (Listener port) 以 80 。
- 按下一步。
- 請選取日誌群組。
- 按一下送出。
-
請注意,負載平衡器狀態為 CREATING 。
- 請注意,負載平衡器狀態已從 CREATING 變更為 ACTIVE 。
- 請注意,整體狀況為待處理。
- 請注意,後端集狀況擱置中。
- 記下負載平衡器的公用 IP 位址。
- 在幾分鐘之後,整體狀況即為確定。
- 在幾分鐘之後,後端集狀況會確定。
-
向下捲動以更進一步瞭解後端集。
- 按一下後端集。
- 按一下可用的後端集。
- 請注意,整體狀況為確定。
- 請注意,後端集狀況為確定。
- 向下捲動。
- 按一下後端。
- 請記下後端區段中的後端。
- 開啟新的瀏覽器。
- 輸入負載平衡器的公用 IP 位址。
- 請注意,負載平衡器會將流量重新導向至支點 VCN B 中的執行處理。
- 重新整理頁面。
- 請注意,負載平衡器現在會將流量重新導向至支點 VCN C 中的執行處理。
- 重新整理頁面。
- 請注意,負載平衡器現在會再次將流量重新導向至支點 VCN B 中的執行處理。
- 重新整理頁面。
- 請注意,負載平衡器現在會將流量重新導向至支點 VCN A 中的執行處理。
-
下圖說明到目前為止所建立的項目,以及流量的流動方式。
-
確定中樞防火牆允許將負載平衡器連接埠 TCP/80 從後端伺服器移到後端伺服器。本教學課程允許集線器防火牆中的所有流量供測試之用。
作業 6:安裝並設定 OCI Web 應用程式防火牆
-
設定 OCI Web Application Firewall。
- 按一下左上角的漢堡功能表 ()。
- 按一下識別與安全。
- 按一下 Web Application Firewall 。
-
按一下建立 WAF 原則。
- 輸入 WAF 原則的名稱。
- 按下一步。
- 確定已啟用啟用存取控制。
-
使用能夠擷取您的 ISP IP 位址的網站。這是在 OCI Web 應用程式防火牆中設定您的存取控制是必要的。在本教學課程中,我們使用
www.ipchicken.com
擷取 ISP IP 位址。 -
在新增存取規則區段中,輸入下列資訊。
- 按一下新增存取規則。
- 輸入存取規則的名稱。
- 條件類型:選取來源 IP 位址。
- 運算子:選取在清單中。
- CIDR IP 範圍:輸入您自己的 ISP IP 位址。
- 向下捲動。
- 在規則動作中,輸入動作名稱並選取預先設定的 401 回應代碼動作。
- 按一下新增存取規則。
- 請注意,已新增存取規則。
- 按下一步。
-
按下一步。
-
按下一步。
- 選取要設定 WAF 原則的負載平衡器。使用在任務 5 中建立的負載平衡器。
- 按下一步。
-
按一下建立 WAF 原則。
-
請注意,已建立 WAF 原則。
- 請注意,WAF 原則的狀態為 ACTIVE 。
- 按一下原則,即可返回 WAF 原則頁面。
-
請注意我們剛才設定的 WAF 原則。
作業 7:測試 OCI WAF、OCI 負載平衡器連線和 WAF 安全
-
開啟任務 5 中使用的瀏覽器,然後重新整理頁面。
注意: 如果將它關閉,請輸入負載平衡器的公用 IP 位址。
-
請注意,我們已使用 WAF 原則封鎖 Web 伺服器,因此無法再存取 Web 伺服器。
認可
- 作者 - Iwan Hoogendoorn (OCI 網路專家)
其他學習資源
探索 docs.oracle.com/learn 上的其他實驗室,或存取 Oracle Learning YouTube 頻道上的更多免費學習內容。此外,請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。
如需產品文件,請造訪 Oracle Help Center 。
Add OCI Load Balancer and OCI WAF to a Hub with Hub and Spoke VCN Routing Architecture
G12095-01
July 2024