Acesso Privado
Este tópico apresenta uma visão geral das opções para permitir acesso privado a serviços dentro do Oracle Cloud Infrastructure. Acesso privado significa que o tráfego não passa pela Internet. O acesso pode ser feito de hosts dentro da sua rede virtual na nuvem (VCN) ou em sua rede local.
Este tópico não discute o acesso a serviços por meio de um gateway de Internet. No entanto, lembre-se de que o tráfego por meio de um gateway de Internet entre uma VCN e um endereço IP público que faz parte do Oracle Cloud Infrastructure é roteado sem ser enviado pela Internet.
Destaques
- Você pode permitir o acesso privado a determinados serviços no Oracle Cloud Infrastructure de sua VCN ou rede local usando um ponto final privado ou um gateway de serviço. Consulte as seções a seguir.
-
Para cada opção de acesso privado, esses serviços ou tipos de recursos estão disponíveis:
- Com um ponto final privado:
- Com um gateway de serviço: Serviços disponíveis
- Com qualquer opção de acesso privado, o tráfego permanece dentro da rede do Oracle Cloud Infrastructure e não passa pela Internet. No entanto, se você usar um gateway de serviço, as solicitações para o serviço usarão um ponto final público para o serviço.
- Se você não quiser acessar um determinado serviço Oracle por meio de um ponto final público, a Oracle recomenda o uso de um ponto final privado em sua VCN (supondo que o serviço suporte pontos finais privados). Um ponto final privado é representado como um endereço IP privado dentro de uma sub-rede em sua VCN.
Sobre Pontos Finais Privados
Um ponto final privado é um endereço IP privado dentro da sua VCN que você pode usar para acessar um determinado serviço no Oracle Cloud Infrastructure. O serviço configura o ponto final privado em uma sub-rede de sua escolha dentro da VCN. Pense no ponto final privado como apenas outra VNIC na sua VCN. Você pode controlar o acesso a ele como faria para qualquer outra VNIC: usando regras de segurança. No entanto, o serviço configura essa VNIC e mantém sua disponibilidade em seu nome. Você só precisa manter a sub-rede e as regras de segurança.
O diagrama a seguir ilustra o conceito.
O ponto final privado fornece hosts dentro da sua VCN e seu acesso à rede local a um único recurso dentro do serviço de interesse do Oracle (por exemplo, um banco de dados no Autonomous Database Serverless). Compare esse modelo de acesso privado com um gateway de serviço (consulte a próxima seção): Se você criou cinco Autonomous Databases para uma determinada VCN, todos os cinco estariam acessíveis por meio de um gateway de serviço único enviando solicitações a um ponto final público para o serviço. No entanto, com o modelo de ponto final privado, deveria haver cinco pontos finais privados separados: um para cada Autonomous Database e cada um com seu próprio endereço IP privado.
O serviço que configura o ponto final privado na sua VCN pode fornecer um nome DNS (nome de domínio totalmente qualificado ou FQDN) para o ponto final privado, e não o endereço IP privado. Se você tiver definido sua configuração de rede para DNS, seus hosts poderão acessar o ponto final privado usando o FQDN. Se o serviço suportar o uso de NSGs (grupos de segurança de rede) com seus recursos, você poderá solicitar que o serviço configure o ponto final privado em um NSG de sua escolha na VCN. NSGs permitem que você grave regras de segurança para controlar o acesso ao ponto final privado sem saber o endereço IP privado designado ao ponto final privado.
Se você tiver um ponto final privado para um recurso, os hosts dentro da VCN poderão usar o FQDN do ponto final privado ou o endereço IP privado para acessar o recurso. Você configura regras de segurança para controlar o acesso entre hosts na VCN e no ponto final privado. Para obter um exemplo de como fazer essa configuração com o Autonomous Database for Analytics and Data Warehousing, consulte Configurando o Acesso à Rede com Pontos Finais Privados.
Você também pode configurar o roteamento de trânsito com sua VCN para que os hosts na rede local possam usar o ponto final privado. Para ativar hosts locais para usar o FQDN do ponto final privado em vez de seu endereço IP privado, você tem duas opções:
- Configurar uma instância na VCN para ser um servidor DNS personalizado. Para ver um exemplo de implementação desse cenário com o provedor Oracle Terraform, consulte Configuração de DNS Híbrido.
- Gerenciar a resolução do nome do host manualmente.
Você pode ter várias VCNs com hosts que precisam de acesso ao recurso específico de interesse. Você pode parear as VCNs de forma que os hosts das outras VCNs também possam usar o ponto final privado (o diagrama anterior não mostra as VCNs pareadas).
Sobre Gateways de Serviço
Um gateway de serviço oferece recursos na sua VCN e acesso privado à rede local a vários serviços dentro do Oracle Cloud Infrastructure, sem o tráfego passar pela Internet.
O diagrama a seguir ilustra o conceito. O diagrama refere-se ao Oracle Services Network, que é uma rede conceitual no Oracle Cloud Infrastructure reservada para os serviços Oracle.
Para usar um gateway de serviço de uma sub-rede específica dentro da sua VCN, configure uma regra de roteamento na tabela de roteamento da sub-rede e especifique o gateway de serviço como o destino da regra. Você também pode configurar regras de segurança para controlar o acesso entre hosts na VCN e os serviços disponíveis por meio do gateway de serviço.
Se você tiver mais de uma VCN em sua tenancy, poderá configurar cada uma com seu próprio gateway de serviço.
Consulte Limites de Gateway e Solicitando um Aumento do Limite do Serviço para obter mais informações relacionadas a limites.
Você também pode configurar o roteamento de trânsito do Oracle Services Network para que os hosts da sua rede local possam usar um gateway de serviço da VCN.