Cenário A: Sub-rede Pública

Este tópico explica como configurar o Cenário A, que consiste em uma rede virtual na nuvem (VCN) e uma sub-rede pública regional. Os servidores públicos estão em domínios de disponibilidade distintos para fins de redundância. A VCN é diretamente conectada com a internet por meio de um gateway de internet. O gateway também é usado para conectividade com a sua rede local. Qualquer recurso da rede local que precise se comunicar com recursos da VCN deve ter um endereço IP público e acesso à internet.

A sub-rede usa a lista de segurança padrão, que tem regras padrão projetadas para facilitar a rápida utilização do Oracle Cloud Infrastructure. As regras permitem o acesso típico necessário (por exemplo, conexões SSH de entrada e qualquer tipo de conexões de saída). Lembre-se de que a função das regras de lista de segurança é somente permitir o tráfego. Qualquer tráfego não contemplado explicitamente por uma regra de lista de segurança é implicitamente negado.

Este cenário não usa um DRG.

Neste cenário, você adiciona mais regras à lista de segurança padrão. Em vez disso, você poderia criar uma lista de segurança personalizada para essas regras. Em seguida, você configuraria a sub-rede para usar a lista de segurança padrão e a lista de segurança personalizada.

Dica

As listas de Segurança são uma forma de controlar a entrada e a saída de tráfego dos recursos da VCN. Você também pode usar grupos de segurança de rede. Eles permitem aplicar um conjunto de regras de segurança a um conjunto de recursos que têm a mesma postura de segurança.

A sub-rede usa a tabela de roteamento padrão, que começa sem regras quando a VCN é criada. Nesse cenário, a tabela só tem uma regra para o gateway de internet.

A figura a seguir mostra recursos com endereços IP públicos em uma sub-rede pública regional, com recursos redundantes na mesma sub-rede, mas em outro Domínio de Disponibilidade. A tabela de roteamento de sub-rede pública permite que todo tráfego de entrada entre e saia da sub-rede pública por meio do gateway de internet; além disso, usa a lista de segurança padrão e o roteamento local incorporado à VCN. Seus hosts on-premises devem ter endereços IP públicos para se comunicar com recursos da VCN pela internet.

Esta imagem mostra o Cenário A: uma VCN com uma sub-rede pública regional e um gateway de internet.
Callout 1: Tabela de roteamento de sub-rede pública regional
CIDR de Destino Destino da rota
0.0.0.0/0 Gateway de Internet

Política do IAM Necessária

Para usar o Oracle Cloud Infrastructure, você deve receber acesso de segurança em uma política  por um administrador. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Caso receba uma mensagem de que você não tem permissão ou de que não está autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento  deve trabalhar.

Se você for membro do grupo Administradores, já terá o acesso necessário para implementar o Cenário A. Caso contrário, você precisará de acesso ao Networking e precisará ter a capacidade de iniciar instâncias. Consulte Políticas do IAM para Redes

Configurando o Cenário A na Console

É fácil realizar a configuração na Console.

Tarefa 1: Criar a VCN
  1. Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
  2. Em Escopo da Lista, selecione um compartimento no qual você tenha permissão para trabalhar. A página é atualizada para exibir apenas os recursos desse compartimento. Se você não tiver certeza sobre qual compartimento usar, entre em contato com um administrador. Para obter mais informações, consulte Controle de Acesso.
    Observação

    Para criar qualquer novo recurso, o limite de serviço desse recurso ainda não deve ter sido atingido. Depois que o limite de serviço de um tipo de recurso for atingido, você poderá remover recursos não utilizados desse tipo ou solicitar um aumento no limite de serviço.
  3. Clique em Criar Rede Virtual na Nuvem
  4. Informe o seguinte:
    • Nome: um nome descritivo para a VCN. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    • Criar no Compartimento: deixe como está.
    • Blocos CIDR IPv4: Até cinco, mas pelo menos um bloco CIDR IPv4 não sobreposto para a VCN. Por exemplo, 172.16.0.0/16. Você pode adicionar ou remover blocos CIDR posteriormente. Consulte Tamanho da VCN e Intervalos de Endereços Permitidos. Para referência, verifique a calculadora de CIDR.
    • Usar Nomes de Host de DNS nesta VCN: Esta opção é necessária para designar nomes de host de DNS a hosts na VCN e será obrigatória se você planejar usar o recurso de DNS padrão da VCN (denominado Resolvedor de Internet e VCN). Se você marcar a caixa de seleção, poderá especificar um label DNS para a VCN ou poderá permitir que a Console gere um label para você. A caixa de diálogo exibe automaticamente o Nome do Domínio DNS correspondente para a VCN (<VCN_DNS_label>.oraclevcn.com). Para obter mais informações, consulte DNS na Sua Rede Virtual na Nuvem.
    • Prefixos IPv6: Você pode solicitar que um único prefixo IPv6 /56 alocado pela Oracle seja designado a essa VCN. Se preferir, designe um prefixo BYOIPv6 ou ULA à VCN. Esta opção está disponível para todas as regiões comerciais e governamentais. Para obter mais informações sobre IPv6, consulte Endereços IPv6.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
  5. Clique em Criar Rede Virtual na Nuvem

    A VCN é criada e exibida na página Redes Virtuais na Nuvem no compartimento escolhido.

Tarefa 2: Criar a sub-rede pública regional
  1. Enquanto ainda estiver verificando a VCN, clique em Criar Sub-rede.
  2. Informe o seguinte:

    • Nome: um nome amigável para a sub-rede (por exemplo, Sub-rede Pública Regional). Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    • Regional ou Específica do Domínio de Disponibilidade: Selecione Regional (recomendado). Isso significa que a sub-rede abrange todos os domínios de disponibilidade da região. Posteriormente, ao iniciar uma instância, você poderá criá-la em qualquer domínio de disponibilidade na região. Para obter mais informações, consulte Visão Geral de VCNs e Sub-redes.
    • Bloco CIDR: um único bloco CIDR contíguo dentro do bloco CIDR da VCN. Por exemplo: 172.16.0.0/24. Você não pode alterar esse valor. Para referência, verifique a calculadora de CIDR.
    • Ativar Designação de Endereço IPv6: Essa opção só estará disponível se a VCN estiver ativada para IPv6. Há suporte para o endereçamento IPv6 em todas as regiões comerciais e do setor governamental. Para obter mais informações, consulte Endereços IPv6.
    • Tabela de Roteamento: selecione a tabela de roteamento padrão.
    • Sub-rede privada ou pública: Selecione Sub-rede Pública, o que significa que as instâncias da sub-rede podem ter endereços IP públicos Para obter mais informações, consulte Acesso à Internet.
    • Usar Nomes de Host DNS nesta Sub-rede: Essa opção só estará disponível se um label DNS tiver sido fornecido para a VCN quando ela tiver sido criada. A opção é obrigatória para designação de nomes de host de DNS a hosts da sub-rede e também quando você planeja usar a funcionalidade de DNS padrão da VCN (chamada Resolvedor de Internet e VCN). Se marcar a caixa de seleção, você poderá especificar um label DNS para a sub-rede ou permitir que a Console gere um label para você. A caixa de diálogo exibe automaticamente o nome de domínio DNS correspondente da sub-rede como um FQDN. Para obter mais informações, consulte DNS na Sua Rede Virtual na Nuvem.
    • Opções de DHCP: selecione o conjunto padrão de opções de DHCP.
    • Listas de Segurança: Certifique-se de que a lista de segurança padrão esteja selecionada.
    • Tags: deixe como está. Você pode adicionar tags posteriormente. Para obter mais informações, consulte: Tags de Recursos.
  3. Clique em Criar Sub-rede.

    A sub-rede é criada e exibida na página Sub-redes.

Tarefa 3: Criar o gateway de internet
  1. Em Recursos, clique em Gateways de Internet.
  2. Clique em Criar Gateway de Internet.
  3. Informe o seguinte:

    • Nome: um nome amigável para o gateway de internet. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    • Criar no Compartimento: deixe como está.
    • Tags: deixe como está. Você pode adicionar tags posteriormente. Para obter mais informações, consulte: Tags de Recursos.
  4. Clique em Criar Gateway de Internet.

    O seu gateway de internet é criado e exibido na página Gateways de Internet. O gateway já está ativado, mas você deverá adicionar uma regra de roteamento que permita ao tráfego fluir para o gateway.

Tarefa 4: Atualizar a tabela de roteamento padrão para usar o gateway de internet

A tabela de roteamento padrão começa sem regras. Aqui você adiciona uma regra que roteia todo tráfego destinado a endereços fora da VCN para o gateway de internet. A existência dessa regra também permite que conexões de entrada venham da internet para a sub-rede por meio do gateway de internet. Use regras de lista de segurança para controlar os tipos de tráfego permitidos dentro e fora das instâncias da sub-rede (consulte a próxima tarefa).

Nenhuma regra de roteamento é necessária para rotear o tráfego dentro da própria VCN.

  1. Em Recursos, clique em Tabelas de Roteamento.
  2. Clique na tabela de roteamento padrão para exibir seus detalhes.
  3. Clique em Adicionar Regra de Roteamento.
  4. Informe o seguinte:

    • Tipo de Destino: Gateway de Internet
    • Bloco CIDR de destino: 0.0.0.0/0 (significa que todo tráfego não local da VCN e ainda não contemplado por outras regras na tabela de roteamento vai para o destino especificado nessa regra)
    • Compartimento: o compartimento onde o gateway de internet está localizado.
    • Destino: o gateway de internet que você criou.
    • Descrição: Uma descrição opcional da regra.
  5. Clique em Adicionar Regra de Roteamento.

A tabela de roteamento padrão agora tem uma regra para o gateway de internet. Como a sub-rede foi configurada para usar a tabela de roteamento padrão, os recursos da sub-rede agora podem usar o gateway de internet. A próxima etapa é especificar os tipos de tráfego que você deseja permitir para dentro e para fora das instâncias a serem criadas posteriormente na sub-rede.

Tarefa 5: Atualizar a lista de segurança padrão

Anteriormente, você configurou a sub-rede para usar a lista de segurança padrão da VCN. Agora você adiciona regras de lista de segurança que permitem os tipos de conexões de que as instâncias da VCN precisam.

Por exemplo: Para uma sub-rede pública com um gateway de internet, as instâncias (servidor web) que você iniciar poderão precisar receber conexões HTTPS provenientes da internet. Veja como adicionar outra regra à lista de segurança padrão para permitir esse tráfego:

  1. Em Recursos, clique em Listas de Segurança.
  2. Clique na lista de segurança padrão para exibir seus detalhes. Por padrão, você irá para a página Regras de Entrada.
  3. Clique em Adicionar Regra de Entrada.
  4. Para ativar conexões de entrada para HTTPS (porta 443 para TCP), informe o seguinte:

    • Sem monitoramento de estado : opção desmarcada (essa é uma regra com monitoramento de estado)
    • Tipo de Origem: CIDR
    • CIDR de Origem: 0.0.0.0/0
    • Protocolo IP: TCP
    • Intervalo de Portas de Origem: todos
    • Faixa de Portas de Destino: 443
    • Descrição: Uma descrição opcional da regra.
  5. Clique em Adicionar Regra de Entrada.
Importante

Regra de Lista de Segurança para Instâncias do Windows

Caso pretenda iniciar instâncias do Windows, você precisará adicionar uma regra de lista de segurança para permitir acesso RDP (Remote Desktop Protocol). Especificamente, você precisa de uma regra de entrada com monitoramento de estado para tráfego TCP na porta de destino 3389 da origem 0.0.0.0/0 e de qualquer porta de origem. Para obter mais informações, consulte Listas de Segurança.

Para uma VCN de produção, você normalmente configura uma ou mais listas de segurança personalizadas para cada sub-rede. Se quiser, você pode editar a sub-rede para usar diferentes listas de segurança. Se optar por não usar a lista de segurança padrão, faça isso somente após avaliar cuidadosamente quais das regras padrão você deseja duplicar na sua lista de segurança personalizada. Por exemplo: as regras ICMP padrão da lista de segurança padrão são importantes para receber mensagens de conectividade.

Tarefa 6: Criar instâncias em domínios de disponibilidade separados

A sua próxima etapa é criar uma ou mais instâncias na sub-rede. O diagrama do cenário mostra instâncias em dois diferentes domínios de disponibilidade. Quando cria a instância, você escolhe o AD, qual VCN e qual sub-rede usar, além de várias outras características.

Cada instância obtém automaticamente um endereço IP privado. Quando cria uma instância em uma sub-rede pública, você escolhe se a instância obterá um endereço IP público. Com essa configuração de rede no Cenário A, você deve fornecer a cada instância um endereço IP público ou não conseguirá acessá-los pelo gateway de internet. O padrão (para uma sub-rede pública) é que a instância tenha um endereço IP público.

Após criar uma instância nesse cenário, você poderá se conectar com ela pela internet usando SSH ou RDP por meio da sua rede local ou de outro local na internet. Para obter mais informações e instruções, consulte Iniciando uma Instância.

Configurando o Cenário A com a API

Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Use as seguintes operações:

  1. CreateVcn: Inclua sempre um label de DNS para a VCN se quiser que as instâncias tenham nomes de host (consulte DNS em Sua Rede Virtual na Nuvem).
  2. CreateSubnet: cria uma sub-rede pública regional. Inclua um label DNS para a sub-rede se quiser que as instâncias tenham nomes de host. Use a tabela de roteamento padrão, a lista de segurança padrão e o conjunto padrão de opções de DHCP.
  3. CreateInternetGateway
  4. UpdateRouteTable: para permitir a comunicação com o gateway de internet, atualize a tabela de roteamento padrão para incluir uma regra de roteamento com destino = 0.0.0.0/0 e alvo de destino = o gateway de internet. Essa regra roteia todo tráfego destinado a endereços fora da VCN para o gateway de internet. Nenhuma regra de roteamento é necessária para rotear o tráfego dentro da própria VCN.
  5. UpdateSecurityList: para permitir tipos específicos de conexões entre instâncias da sub-rede.
Importante

Regra de Lista de Segurança para Instâncias do Windows

Caso pretenda iniciar instâncias do Windows, você precisará adicionar uma regra de lista de segurança para permitir acesso RDP (Remote Desktop Protocol). Especificamente, você precisa de uma regra de entrada com monitoramento de estado para tráfego TCP na porta de destino 3389 da origem 0.0.0.0/0 e de qualquer porta de origem. Para obter mais informações, consulte Listas de Segurança.

A sua próxima etapa é criar uma ou mais instâncias na sub-rede. O diagrama do cenário mostra instâncias em dois diferentes domínios de disponibilidade. Quando cria a instância, você escolhe o AD, qual VCN e qual sub-rede usar, além de várias outras características.

Cada instância obtém automaticamente um endereço IP privado. Quando cria uma instância em uma sub-rede pública, você escolhe se a instância obterá um endereço IP público. Com essa configuração de rede no Cenário A, você deve fornecer a cada instância um endereço IP público ou não conseguirá acessá-los pelo gateway de internet. O padrão (para uma sub-rede pública) é que a instância tenha um endereço IP público.

Após criar uma instância nesse cenário, você poderá se conectar com ela pela internet usando SSH ou RDP por meio da sua rede local ou de outro local na internet. Para obter mais informações e instruções, consulte Iniciando uma Instância.