Documentação do Oracle Cloud Infrastructure

Cenário B: Sub-rede Privada com uma VPN

Este tópico explica como configurar o Cenário B, que consiste em uma rede virtual na nuvem (VCN) com uma sub-rede privada regional. Os outros servidores estão em domínios de disponibilidade distintos para fins de redundância. A VCN tem um gateway de roteamento dinâmico  (DRG) e uma VPN Site a Site para conectividade com sua rede on-premises. A VCN não tem conexão direta com a internet. Qualquer conexão com a internet precisa vir indiretamente por meio da rede local.

A sub-rede usa a lista de segurança padrão, que tem regras padrão projetadas para facilitar a rápida utilização do Oracle Cloud Infrastructure. As regras permitem o acesso típico necessário (por exemplo, conexões SSH de entrada e qualquer tipo de conexões de saída). Lembre-se de que a função das regras de lista de segurança é somente permitir o tráfego. Qualquer tráfego não contemplado explicitamente por uma regra de lista de segurança é negado.

Esse cenário pode usar um DRG legado ou atualizado.

Neste cenário, você adiciona regras à lista de segurança padrão. Em vez disso, você poderia criar uma lista de segurança personalizada para essas regras. Em seguida, você configuraria a sub-rede para usar a lista de segurança padrão e a lista de segurança personalizada.

Dica

As listas de Segurança são uma forma de controlar a entrada e a saída de tráfego dos recursos da VCN. Você também pode usar grupos de segurança de rede. Eles permitem aplicar um conjunto de regras de segurança a um conjunto de recursos que têm a mesma postura de segurança.

A sub-rede usa a tabela de roteamento padrão, que começa sem regras quando a VCN é criada. Nesse cenário, a tabela só tem uma regra para o DRG. Nenhuma regra de roteamento é necessária para rotear o tráfego dentro da própria VCN. A sub-rede usa a lista de segurança padrão. Verifique a figura a seguir.

Esta imagem mostra o Cenário B: uma VCN com uma sub-rede privada regional e uma conexão IPSec da VPN.
Callout 1: Tabela de roteamento de sub-rede privada regional
CIDR de Destino Destino da rota
0.0.0.0/0 DRG
Dica

O cenário usa VPN Site a Site para conectividade. No entanto, em vez disso, você pode usar o Oracle Cloud Infrastructure FastConnect.

Pré-requisitos

Para configurar a VPN nesse cenário, é necessário obter as seguintes informações de um administrador de rede:

  • Endereço IP Público do CPE (customer-premises equipment) na sua extremidade da VPN
  • Rotas estáticas para a sua rede local (esse cenário usa roteamento estático para os túneis de VPN, mas você pode, em vez disso, usar roteamento dinâmico BGP)

Você fornece à Oracle essas informações e, em troca, recebe as informações que o seu administrador de rede deverá ter para configurar o CPE na sua extremidade da VPN.

Política do IAM Necessária

Para usar o Oracle Cloud Infrastructure, você deve receber acesso de segurança em uma política  por um administrador. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Caso receba uma mensagem de que você não tem permissão ou de que não está autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento  deve trabalhar.

Se você for membro do grupo Administradores, já terá o acesso necessário para implementar o Cenário B. Caso contrário, você precisará de acesso ao Networking e precisará ter a capacidade de iniciar instâncias. Consulte Políticas do IAM para Redes

Configurando o Cenário B

É fácil realizar a configuração na Console. Se preferir, poderá usar a API do Oracle Cloud Infrastructure, que permite que você mesmo execute as operações individuais.

Importante

A maior parte desse processo envolve trabalhar com a Console ou API (a que você preferir) por pouco tempo para configurar os componentes necessários do serviço Networking. Mas também há uma etapa crítica que requer que um administrador de rede da sua organização colete as informações que você obtém da configuração dos componentes e as utilize para configurar o CPE na sua extremidade da VPN. Portanto, não é possível concluir esse processo em uma sessão curta. Planeje fazer uma pausa enquanto o administrador da rede conclui a configuração e retorne posteriormente para confirmar a comunicação com as suas instâncias por meio da VPN.

Usando a Console

Tarefa 1: Configurar a VCN e a sub-rede

  1. Crie a VCN:

    1. Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
    2. Em Escopo da Lista, selecione um compartimento no qual você tenha permissão para trabalhar. A página é atualizada para exibir apenas os recursos desse compartimento. Se você não tiver certeza sobre qual compartimento usar, entre em contato com um administrador. Para obter mais informações, consulte Controle de Acesso.
    3. Clique em Criar Rede Virtual na Nuvem

    4. Informe o seguinte:

      • Nome: um nome descritivo para a VCN. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
      • Criar no Compartimento: deixe como está.
      • Bloco CIDR: Um ou mais blocos CIDR não sobrepostos para a VCN. Por exemplo, 172.16.0.0/16. Você pode adicionar ou remover blocos CIDR posteriormente. Consulte Tamanho da VCN e Intervalos de Endereços Permitidos. Para referência, verifique a calculadora de CIDR.
      • Ativar Designação de Endereço IPv6: O endereço IPv6 é suportado para todas as regiões comerciais e do governo. Para obter mais informações, consulte Endereços IPv6.
      • Usar Nomes de Host do DNS nesta VCN: Esta opção é necessária para designar nomes de host do DNS a hosts na VCN e será necessária se você planeja usar o recurso de DNS padrão da VCN (chamado de Resolvedor de Internet e VCN). Se você selecionar essa opção, poderá especificar um label DNS para a VCN ou poderá permitir que a Console gere um label para você. The dialog box automatically displays the corresponding DNS Domain Name for the VCN (<VCN_DNS_label>.oraclevcn.com). Para obter mais informações, consulte DNS na Sua Rede Virtual na Nuvem.
      • Tags: deixe como está. Você poderá adicionar tags posteriormente, se quiser. Para obter mais informações, consulte: Tags de Recursos.

    5. Clique em Criar Rede Virtual na Nuvem

      A VCN é criada e exibida na página Redes Virtuais na Nuvem no compartimento escolhido.

  2. Crie a sub-rede privada regional:

    1. Enquanto ainda estiver verificando a VCN, clique em Criar Sub-rede.

    2. Informe o seguinte:

      • Nome: um nome amigável para a sub-rede (por exemplo, Sub-rede Privada Regional). Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
      • Regional ou Específica do Domínio de Disponibilidade: Selecione Regional (recomendado). Isso significa que a sub-rede abrange todos os domínios de disponibilidade da região. Posteriormente, ao iniciar uma instância, você poderá criá-la em qualquer domínio de disponibilidade na região. Para obter mais informações, consulte Visão Geral de VCNs e Sub-redes.
      • Bloco CIDR: um único bloco CIDR contíguo dentro do bloco CIDR da VCN. Por exemplo: 172.16.0.0/24. Você não pode alterar esse valor. Para referência, verifique a calculadora de CIDR.
      • Ativar Designação de Endereço IPv6: essa opção só estará disponível se a VCN estiver na Nuvem do Governo dos Estados Unidos. Para obter mais informações, consulte Endereços IPv6.
      • Tabela de Roteamento: selecione a tabela de roteamento padrão.
      • Sub-rede privada ou pública: Selecione Sub-rede Privada. Isso significa que as instâncias da sub-rede não podem ter endereços IP públicos. Para obter mais informações, consulte Acesso à Internet.
      • Usar Nomes de Host do DNS nesta Sub-rede: Essa opção só estará disponível se um label de DNS tiver sido fornecido para a VCN quando ela foi criada. A opção é obrigatória para designação de nomes de host de DNS a hosts da sub-rede e também quando você planeja usar a funcionalidade de DNS padrão da VCN (chamada Resolvedor de Internet e VCN). Se marcar a caixa de seleção, você poderá especificar um label DNS para a sub-rede ou deixar que a Console gere um label para você. A caixa de diálogo exibe automaticamente o nome do domínio DNS correspondente para a sub-rede como um FQDN. Para obter mais informações, consulte DNS na Sua Rede Virtual na Nuvem.
      • Opções de DHCP: selecione o conjunto padrão de opções de DHCP.
      • Listas de Segurança: selecione a lista de segurança padrão.
      • Tags: deixe como está. Você poderá adicionar tags posteriormente, se quiser. Para obter mais informações, consulte: Tags de Recursos.

    3. Clique em Criar Sub-rede.

      A sub-rede é criada e exibida na página Sub-redes.

  3. Atualize a lista de segurança padrão de modo a incluir regras para permitir os tipos de conexões de que as suas instâncias na VCN precisam:

    1. Enquanto ainda estiver na página que exibe as sub-redes da sua VCN, clique em Listas de Segurança e, em seguida, clique na lista de segurança padrão.
    2. Em Recursos, clique em Regras de Entrada ou Regras de Saída dependendo do tipo de regra com a qual você deseja trabalhar. Você pode adicionar uma regra por vez clicando em Adicionar Regra de Entrada ou Adicionar Regra de Saída.

    3. Adicione suas regras desejadas. Estão são regras sugeridas para serem adicionadas às regras padrão que já existem na lista de segurança padrão:

      Exemplo: acesso de entrada por HTTP
      • Tipo: Entrada
      • Sem monitoramento de estado : opção desmarcada (essa é uma regra com monitoramento de estado)
      • Tipo de Origem: CIDR
      • CIDR de Origem: 0.0.0.0/0
      • Protocolo IP: TCP
      • Intervalo de Portas de Origem: todos
      • Faixa de Portas de Destino: 80
      • Descrição: Uma descrição opcional da regra.
      Exemplo: acesso de entrada por HTTPS
      • Tipo: Entrada
      • Sem monitoramento de estado : opção desmarcada (essa é uma regra com monitoramento de estado)
      • Tipo de Origem: CIDR
      • CIDR de Origem: 0.0.0.0/0
      • Protocolo IP: TCP
      • Intervalo de Portas de Origem: todos
      • Faixa de Portas de Destino: 443
      • Descrição: Uma descrição opcional da regra.
      Exemplo: acesso de entrada por SQL*Net para bancos de dados Oracle
      • Tipo: Entrada
      • Sem monitoramento de estado : opção desmarcada (essa é uma regra com monitoramento de estado)
      • Tipo de Origem: CIDR
      • CIDR de Origem: 0.0.0.0/0
      • Protocolo IP: TCP
      • Intervalo de Portas de Origem: todos
      • Faixa de Portas de Destino: 1521
      • Descrição: Uma descrição opcional da regra.
      Exemplo: acesso de entrada por RDP necessário para instâncias do Windows
      • Tipo: Entrada
      • Sem monitoramento de estado : opção desmarcada (essa é uma regra com monitoramento de estado)
      • Tipo de Origem: CIDR
      • CIDR de Origem: 0.0.0.0/0
      • Protocolo IP: TCP
      • Intervalo de Portas de Origem: todos
      • Faixa de Portas de Destino: 3389
      • Descrição: Uma descrição opcional da regra.
Dica

Para maior segurança, você poderá modificar todas as regras de entrada com monitoramento de estado para só permitir tráfego proveniente de dentro da sua VCN e da sua rede on-premises. Crie regras distintas para cada rede, uma com o CIDR da VCN como origem e outra com o CIDR da rede on-premises como origem.

Para uma VCN de produção, você normalmente configura uma ou mais listas de segurança personalizadas para cada sub-rede. Você poderá editar a sub-rede para usar diferentes listas de segurança, se desejar. Se optar por não usar a lista de segurança padrão, faça isso somente após avaliar cuidadosamente quais das regras padrão você deseja duplicar na sua lista de segurança personalizada. Por exemplo: as regras ICMP padrão da lista de segurança padrão são importantes para receber mensagens de conectividade.

Tarefa 2: Criar instâncias em domínios de disponibilidade separados

Agora você pode criar uma ou mais instâncias na sub-rede (consulte Iniciando uma Instância). O diagrama do cenário mostra instâncias em dois diferentes domínios de disponibilidade. Quando cria a instância, você escolhe o AD, qual VCN e qual sub-rede usar, além de várias outras características.

No entanto, você ainda não pode se comunicar com as instâncias porque não há gateway conectando a VCN com a sua rede local. O próximo procedimento orienta você na configuração da VPN Site a Site para permitir essa comunicação.

Tarefa 3: Adicionar VPN Site a Site à sua VCN

  1. Crie um objeto CPE (customer-premises equipment):

    1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em Equipamento cliente-local.

    2. Clique em Criar CPE (Customer Premises Equipment).
    3. Informe o seguinte:
      • Criar no Compartimento: deixe o valor padrão (o compartimento no qual você está trabalhando no momento).
      • Nome: um nome amigável para o objeto CPE. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
      • Endereço IP: o endereço IP público do CPE na sua extremidade da VPN (consulte Pré-requisitos).
    4. Clique em Criar.

    O objeto CPE permanece no estado "Provisionando" por pouco tempo.

  2. Crie um gateway de roteamento dinâmico (DRG):

    1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em Gateway de roteamento dinâmico.

    2. Clique em Criar Gateway de Roteamento Dinâmico.
    3. Para Criar no Compartimento: deixe o valor padrão (o compartimento no qual você está trabalhando no momento).
    4. Informe um nome amigável para o DRG. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    5. Clique em Criar.

    O DRG fica no estado "Provisionando" por pouco tempo. Aguarde até que o DRG seja totalmente provisionado antes de continuar.

  3. Anexe o DRG à sua VCN.

    1. Clique no DRG que você criou.
    2. Em Recursos, clique em Redes Virtuais na Nuvem.
    3. Clique em Anexar à Rede Virtual na Nuvem.
    4. Selecione a VCN. Ignore a seção para opções avançadas, que se destina somente a um cenário de roteamento avançado denominado roteamento de trânsito, que não é relevante aqui.
    5. Clique em Anexar.

    O anexo fica no estado "Anexando" por um curto período. Aguarde a finalização desse processo.

  4. Atualize a tabela de roteamento padrão (que ainda não tem regras):

    1. Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
    2. Clique na sua VCN.
    3. Em Recursos, clique em Tabelas de Roteamento e, em seguida, clique na tabela de roteamento padrão.
    4. Clique em Adicionar Regra de Roteamento.

    5. Informe o seguinte:

      • Tipo de Destino: Gateway de Roteamento Dinâmico. O DRG anexado à VCN é selecionado automaticamente como alvo e você não precisa especificar o alvo.
      • Bloco CIDR de Destino: 0.0.0.0/0 (significa que todo tráfego que não ocorrer intra-VCN e que ainda não estiver sob outras regras na tabela de roteamento irá para o destino especificado nessa regra).
      • Descrição: Uma descrição opcional da regra.

    6. Clique em Adicionar Regra de Roteamento.

      A tabela de roteamento padrão da VCN agora direciona o tráfego de saída para o DRG e depois para a sua rede local.

  5. Crie uma Conexão IPSec:

    1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em VPN Site a Site.

    2. Clique em Criar Conexão IPSec.

    3. Informe o seguinte:

      • Criar no Compartimento: deixe o valor padrão (o compartimento no qual você está trabalhando no momento).
      • Nome: informe um nome amigável para a conexão IPSec. Ele não precisa ser exclusivo. Evite inserir informações confidenciais.
      • Compartimento do CPE (Customer Premises Equipment): deixe como está (o compartimento da VCN).
      • CPE (Customer Premises Equipment): selecione o objeto CPE criado anteriormente.
      • Compartimento do Gateway de Roteamento Dinâmico: deixe como está (o compartimento da VCN).
      • Gateway de Roteamento Dinâmico: selecione o DRG criado anteriormente.
      • CIDR de Rota Estática: insira pelo menos um CIDR de rota estática (consulte Pré-requisitos). Se você precisar adicionar outra regra, clique em Adicionar Rota Estática. Você pode digitar até 10 rotas estáticas e poderá alterar as rotas estáticas posteriormente.
    4. Clique em Mostrar Opções Avançadas e, opcionalmente, forneça os seguintes itens:

    5. Clique em Criar Conexão IPSec.

      A conexão IPSec é criada e exibida na página. A conexão fica no estado Provisionando por pouco tempo.

      As informações de túnel exibidas incluem o endereço IP do headend da VPN e o status do IPSec do túnel (os possíveis valores são Ativo, Inativo e Indisponível para Manutenção). Nesse ponto, o status é Inativo. Para exibir o segredo compartilhado do túnel, clique no menu Ações (Menu Ações) e, em seguida, clique em Exibir segredo compartilhado.

    6. Copie o endereço IP da VPN da Oracle e o segredo compartilhado de cada um dos túneis e compartilhe-os com o engenheiro de rede que configura o roteador on-premises.

      Para obter mais informações, consulte Configuração do CPE. Você pode verificar essas informações sobre o túnel na Console a qualquer momento.

Agora você criou todos os componentes necessários para a VPN Site a Site. Em seguida, o administrador de rede deve configurar o dispositivo CPE para que o tráfego de rede possa fluir entre a sua rede on-premises e a VCN.

Tarefa 4: Configurar o seu CPE

Essas instruções se destinam ao administrador da rede.

  1. Verifique se você tem as informações de configuração de túnel fornecidas pela Oracle durante a configuração do VPN Connect. Consulte Tarefa 3: Adicionar VPN Site a Site à sua VCN.
  2. Configure o seu roteador local de acordo com as informações em Configuração do CPE.

Se já houver instâncias na sub-rede, você poderá confirmar se a conexão IPSec está funcionando ao estabelecer conexão com as instâncias da sua rede on-premises.

Usando a API

Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Use as seguintes operações:

  1. CreateVcn: Inclua sempre um label de DNS para a VCN se quiser que as instâncias tenham nomes de host (consulte DNS em Sua Rede Virtual na Nuvem).
  2. CreateSubnet: cria uma sub-rede privada regional. Inclua um label DNS para a sub-rede se quiser que as instâncias tenham nomes de host. Use a tabela de roteamento padrão, a lista de segurança padrão e o conjunto padrão de opções de DHCP.
  3. CreateDrg: Cria um gateway de roteamento dinâmico (DRG)
  4. CreateDrgAttachment: Anexa o DRG à VCN.
  5. CreateCpe: Forneça o endereço IP público do CPE na sua extremidade da VPN (consulte Pré-requisitos).
  6. CreateIPSecConnection: Forneça as rotas estáticas da sua rede on-premises (consulte Pré-requisitos). O comando retorna as informações de configuração de que o administrador da rede precisa para configurar o CPE. Se precisar dessas informações mais tarde, você poderá obtê-las com GetIPSecConnectionDeviceConfig. Para obter mais informações sobre a configuração, consulte Configuração do CPE.
  7. UpdateRouteTable: Para permitir a comunicação pela VPN, atualize a tabela de roteamento padrão para incluir esta rota: uma regra de roteamento com destino = 0.0.0.0/0 e alvo de destino = o DRG criado anteriormente.

  8. Primeiramente, chame GetSecurityList para obter a lista de segurança padrão e, em seguida, chame UpdateSecurityList para adicionar regras referentes aos tipos de conexões de que as suas instâncias na VCN precisam. Lembre-se de que UpdateSecurityList substitui o conjunto de regras inteiro. Estas são algumas regras sugeridas para adição:

    • Entrada com monitoramento de estado: tipo de origem=CIDR, CIDR de origem=0.0.0.0/0, protocolo=TCP, porta de origem=todas, porta de destino=80 (para HTTP).
    • Entrada com monitoramento de estado: tipo de origem=CIDR, CIDR de origem=0.0.0.0/0, protocolo=TCP, porta de origem=todas, porta de destino=443 (para HTTP).
    • Entrada com monitoramento de estado: tipo de origem=CIDR, CIDR de origem=0.0.0.0/0, protocolo=TCP, porta de origem=todas, porta de destino =1521 (para acesso SQL*Net a bancos de dados Oracle).
    • Entrada com monitoramento de estado: tipo de origem=CIDR, CIDR de origem=0.0.0.0/0, protocolo=TCP, porta de origem=todas, porta de destino=3389 (para RDP; necessária somente se instâncias do Windows estiverem sendo usadas).
  9. LaunchInstance: cria uma ou mais instâncias na sub-rede. O diagrama do cenário mostra instâncias em dois diferentes domínios de disponibilidade. Quando cria a instância, você escolhe o AD, qual VCN e qual sub-rede usar, além de várias outras características. Para obter mais informações, consulte Criando uma Instância.
Dica

Para maior segurança, você poderá modificar todas as regras de entrada com monitoramento de estado para só permitir tráfego proveniente de dentro da sua VCN e da sua rede on-premises. Crie regras distintas para cada rede, uma com o CIDR da VCN como origem e outra com o CIDR da rede on-premises como origem.
Importante

Embora possa criar instâncias na sub-rede, você não poderá se comunicar com elas por meio da sua rede on-premises até que o administrador de rede configure o CPE (consulte Configuração do CPE). Depois disso, a VPN Site a Site deverá estar em funcionamento. Você pode confirmar o status da conexão usando GetIPSecConnectionDeviceStatus. Você também pode confirmar se a VPN Site a Site está ativa estabelecendo conexão com as instâncias por meio da sua rede on-premises.