附註：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
• 其使用 Oracle Cloud Infrastructure 證明資料、租用戶以及區間的範例值。完成實驗室時，請將這些值替代為雲端環境特定的值。

設定 Oracle Cloud Infrastructure 中的專用服務存取 (PSA)，以便從您的 VCN 安全地存取 Oracle 服務

簡介

Oracle Cloud Infrastructure (OCI) 引進了專用服務存取 (PSA)，這是一個新的網路建構，可直接在您的虛擬雲端網路 (VCN) 內提供與 OCI 服務 (包括 API、物件儲存及 Yum 儲存區域) 的專用 IP 連線。透過 PSA，工作負載可以在不周遊公用網際網路的情況下安全地連線 OCI 服務，同時繼續使用相同的熟悉 FQDN。

到目前為止，客戶有兩個主要的專用連線選項。服務閘道 (SGW) 讓它能夠從專用 VCN 存取 Oracle Services Network (OSN)，但它仰賴公用 IP 位址，並提供廣泛的全方位存取。另一方面，許多服務引進了專用端點來提供更隔離的存取，但這些服務必須根據每個服務進行設定，才能大規模建立複雜性。

PSA 結合了世界上最好的方法來橋接這些方法：

• 統一的 VCN 原生模型，供專用存取多個 OCI 服務 API。

• VCN 中的專用 IP 會通透地對應至您已經使用的服務 FQDN。

• 根據服務存取控制，無須變更應用程式，即可符合安全性與規範需求。

在本教學課程中，您將瞭解如何在 VCN 中設定 PSA、透過測試對 OCI 服務 API 的存取 (例如物件儲存、Oracle Yum、ZPR API 等) 來驗證專用連線，並確認流量保持在專用 IP 上，而不是使用公用網際網路。最後，您將瞭解 PSA 與服務閘道和專用端點的比較，以及如何將其作為安全現代化 OCI 網路策略的一部分來加以採用。

為何此教學課程必備？

在 OCI 中，Oracle 服務的專用連線一直是可能的，但選項已有權衡取捨。服務閘道為客戶提供了簡單的方式來連線 Oracle Services Network，但仍仰賴公用 IP，而且只允許廣泛存取。服務特定專用端點提供更強的隔離功能，但需要個別部署及管理這些端點，並隨著調整而增加營運負荷。

專用服務存取 (PSA) 提供統一的 VCN 原生解決方案來存取 OCI 服務 API，進而填補缺口。它可確保流量保持在專用 IP 上、強制執行每項服務存取控制，並保留與應用系統已經使用的相同 FQDN。

本教學課程非常重要，因為它顯示如何從端到端設定 PSA、驗證您的工作負載是否連線至 OCI 服務 API 而無須接觸公用網際網路，以及瞭解 PSA 與現有方法的比較。完成後，您將獲得在自己的 OCI 環境中自信採用 PSA 的基礎。

架構

此架構顯示從屬端虛擬機器 (VM) (稱為 PSA 執行處理)，在沒有網際網路存取 (透過 IGW 或 NAT GW) 的專用子網路中執行，而且無法透過服務閘道連線至 OCI 服務。VM 會改用專用服務存取 (PSA) 來連線 OCI 公用服務。公用子網路中的跳躍點伺服器用於在測試期間透過 ssh 連線至「PSA 執行處理」。

建立 PSA 端點時，服務會自動更新 VCN 的專用 DNS 解析器，方法是將目標 OCI 公用服務的完整網域名稱 (FQDN) 新增至專用視觀表，然後將它們對應至 PSA 服務的專用 IP 位址。同樣地，刪除 PSA 端點時，也會移除這些 FQDN。範例包括 yum.eu-madrid-1.oci.oraclecloud.com、net-load-balancer-api.eu-madrid-1.oci.oraclecloud.com 及其他。

目標

在本教學課程結束之前，您將：

• 瞭解專用服務存取 (PSA) 如何讓專用子網路工作負載安全地連線至 OCI 公用服務。
• 瞭解 PSA 如何與 VCN 專用 DNS 整合，以自動將服務 FQDN 對應至專用 IP。
• 在 Oracle Cloud Infrastructure 中部署及設定 PSA 端點。
• 驗證從專用 VM 到 PSA 到所選 OCI 服務的連線。

必備條件

• 作用中 OCI 租用戶。您必須具備建立及管理 OCI 中網路資源的必要權限。

• 對 Linux 作業系統、OCI、Oracle Linux 的基本瞭解，包括如何在 Linux 中安裝與設定軟體。

• 深入瞭解如何使用 OCI 主控台來建立及管理網路資源。

• 深入瞭解 OCI CLI 工具。

工作 1：部署網路元件 (VCN、子網路及 VM)

1.- 使用您選擇的 IPv4 CIDR 或遵循建議的架構，在您的租用戶中部署至少有兩個子網路 (公用和專用子網路) 的虛擬雲端網路 (VCN)。請參閱下列主題以取得詳細資訊：

• 建立及設定虛擬雲端網路
• VCN 和子網路概述

2.- 部署兩個 linux VM (Jump Server in public、PSA instance in private)，每個子網路各一個。請參閱下列主題以取得詳細資訊：

• 部署 OCI 執行處理

工作 2：測試跳躍伺服器 VM 以存取 PSA 執行處理

我們將使用 Linux 跳躍伺服器 VM 作為存取點，以連線到專用子網路 (PSA 執行處理) 中代管的 VM。如您所知，專用子網路中的 VM 只能透過其專用 IP 連線，且沒有網際網路連線。若要啟用存取，您必須將「PSA 執行處理」的 SSH 私密金鑰上傳至「Jump 伺服器」。您可以從該處起始 PSA 執行處理的 SSH 連線。建議您使用 SFTP 來安全地上傳金鑰。

上傳私密金鑰以透過 SFTP 跳至伺服器之後，您就會看到跳至跳至伺服器，然後：

ssh -i private_PSA_instance_ssh.prv 10.200.20.X ( your vm PSA instace ip)

注意：使用 OCI 中產生的 SSH 私密金鑰時若發生相容性問題，您可以使用 PuTTYgen (Windows) 或 OpenSSL (Linux/macOS) 等工具將它轉換成所需的格式。這些工具可讓您轉換不同格式的金鑰，以便與 SSH 從屬端順暢地使用。

請參閱本文件以瞭解 puttyGen：PuttyGen

作業 3：將 OCI cli 安裝到 PSA 執行處理中

您現在已登入 PSA 執行處理，必須安裝 OCI CLI

請參閱此文件以瞭解如何安裝 OCI CLI： OCI CLI install

請注意，此由專用子網路代管的 PSA VM 暫時需要網際網路存取。建議您新增 NAT 閘道至您的 VCN，並建立指向它的 0.0.0.0/0 路由。

請參閱本文件以瞭解如何設定及使用 NAT 閘道： OCI NAT Gateway

安裝之後，請務必從專用子網路中移除 NAT 閘道。目標是從嚴格的專用子網路測試 Oracle 服務，而無需公用存取 (包括傳入或傳出)。

任務 4：新增要測試的 PSA 服務

在這項任務中，我們將新增大量 PSA 服務，稍後透過 OCI CLI api 從專用 PSA 執行處理進行測試。

1.- 前往 OCI 主控台：網路 - VCN

2.- 按一下「虛擬雲端網路」，然後選擇 PSA 專用執行處理所在的 VCN。

3.- 在 VCN 中選擇專用服務存取。

4.- 按下「建立 PSA 端點」按鈕。

5.- 在建立 PSA 功能表中之後，您必須選擇 PSA 服務的名稱、將建立 PSA 的區間、要建立的服務 PSA 類型、將建立端點的子網路區間和子網路。此外，您也可以選擇自動指定專用 IP 或手動指定。最後一個選項是關於安全性。強烈建議您指派 ZPR 安全屬性或 NSG，以允許向該端點傳送流量。

建立之後，PSA 將會顯示在下列清單中：

PSA 會從建立它的子網路中指定一個專用 IP 位址。您可以自動指定或手動從子網路選擇此專用 IP，而主控台中的此專用 IP 則會顯示為「IPv4 位址」。PSA 也具有專用服務的相關 FQDN (網域名稱)，在主控台中會顯示為「IPv4 FQDN」，此 FQDN 對應至相同的專用 IP。

工作 5：測試 PSA 端點

現在我們需要測試 PSA 端點。在此範例中，我們將測試 YUM 伺服器與 Zero Trust Packer Routing Control Plane API。

1.- 首先，透過 SSH 連線至跳躍伺服器。

2.- 從跳躍伺服器，SSH 進入專用 PSA 執行處理。

注意：此執行處理沒有網際網路存取權，而且未連線至服務閘道或 NAT 閘道。

[opc@jumpserver ~]\$ ssh -i private_OCI_v2_ssh.prv 10.200.20.67

[opc@privateinstace-psa-test ~]\$

預先檢查將測試 IPv4 FQDN 是否確實指向其專用 IP

dig +short yum.eu-madrid-1.oci.oraclecloud.com 
10.200.20.172

如果您看到公用 IP 而非專用 IP，則發生錯誤。如需 IPv4 的進一步資訊，請參閱 IPv4

現在，請撥打 yum 更新

Yum 服務正在通過其位於 10.200.20.172 的 PSA 專用端點 'yum.eu-madrid-1.oci.oraclecloud.com'！！

現在 ZPR 一個：

dig +short zpr.eu-madrid-1.oci.oraclecloud.com
10.200.20.128

現在，允許列出指定租用戶中的 ZPR 原則數目

oci zpr zpr-policy list  --compartment-id ocid1.tenancy.oc1..aaaaaaaabh2affulc4dt4tqs7lbojyhqi6hzXXXXXX  --region eu-madrid-1

結論

在本教學課程中，您將瞭解專用服務存取 (PSA) 如何讓專用子網路中的工作負載安全地連線 Oracle Cloud Infrastructure 公用服務，而不需要網際網路或服務閘道連線。我們逐步介紹 PSA 端點的配置、將服務 FQDN 對應至專用 IP 時 VCN 專用 DNS 的角色，以及如何透過跳躍伺服器存取專用執行處理。

PSA 很重要，因為它可讓您更有效地控制和靈活地控制透過專用端點公開哪些服務。您可以定義可連線的 OCI 公用服務，讓您的架構在存取控制方面更加安全且更精細，而不是開啟廣泛的存取。

完成設定和驗證步驟後，您將瞭解 PSA 如何提供簡單但強大的方法來增強安全性，同時將流量完全保存在您的 VCN 中。藉由這些基礎，您現在可以將 PSA 整合至更複雜的案例中。

相關連結

• PSA 文件

• 使用專用服務存取存取存取的 Oracle Linux YUM 服務存取

確認

• 作者 - Luis Catalán Hernández (Cloud Infrastructure Networking Black Belt)，Cristian Sarafoleanu (Cloud Infrastructure Networking Black Belt)

其他學習資源

在 docs.oracle.com/learn 上探索其他實驗室，或在 Oracle Learning YouTube 頻道上存取更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與著作權資訊

Configure Private Service Access (PSA) in Oracle Cloud Infrastructure to Securely Access Oracle Services from Your VCN

G51466-01

Copyright ©2026,

Oracle 和 (或) 其關係企業。