Acesso ao Serviços Oracle: Gateway de Serviço
Este tópico descreve como configurar e gerenciar um gateway de serviço. Um gateway de serviço permite que os recursos de nuvem sem endereços IP públicos acessem de forma privada os serviços Oracle.
Acesso aos Serviços Oracle
A Oracle Services Network é uma rede conceitual no Oracle Cloud Infrastructure reservada para os serviços Oracle. Esses serviços têm endereços IP públicos que você geralmente acessa pela internet. No entanto, você pode acessar a Oracle Services Network sem passar pelo tráfego da internet. Há diferentes maneiras de fazer isso, dependendo de quais os seus hosts precisam de acesso:
-
Hosts da sua rede local:
- Acesso privado por meio de uma VCN com pareamento privado do FastConnect ou da VPN Site a Site: Os hosts on-premises usam endereços IP privados e acessam o Oracle Services Network por meio da VCN e do gateway de serviço da VCN.
- Acesso público com pareamento público do FastConnect: os hosts locais usam endereços IP públicos.
- Hosts na sua VCN:
- Acesso privado por meio de um gateway de serviço: Este é o cenário detalhado nesse tópico. Os hosts da VCN usam endereços IP privados.
Destaques
- Um gateway de serviço permite que a sua rede virtual na nuvem (VCN) acesse de forma privada serviços Oracle específicos sem expor os dados à internet pública. Nenhum gateway de internet ou NAT é necessário para acessar esses serviços específicos. Os recursos da VCN podem estar em uma sub-rede privada e usar somente endereços IP privados. O tráfego da VCN para o serviço Oracle percorre a malha da rede Oracle e nunca atravessa a internet.
- O gateway de serviço é regional e permite acessar apenas os serviços Oracle suportados na mesma região que a VCN.
- Somente um gateway de serviço é necessário para cada VCN. Todas as sub-redes dentro de uma VCN terão acesso ao gateway de serviço se as regras de segurança e as regras de tabela de roteamento permitirem esse acesso.
-
O gateway de serviço permite acessar os serviços Oracle suportados dentro da região para proteger os seus dados em relação à internet. As suas cargas de trabalho podem requerer acesso a pontos finais públicos ou a serviços não suportados pelo gateway de serviço (por exemplo, para fazer download de atualizações ou de patches). Certifique-se de ter um gateway NAT ou outro acesso à internet, se necessário.
- Os serviços Oracle suportados são o Oracle Cloud Infrastructure Object Storage e outros na Oracle Services Network. Para obter uma lista, consulte Gateway de Serviço: Serviços de Nuvem Suportados na Oracle Services Network.
- O gateway de serviço usa o conceito de label CIDR de serviço. Trata-se de uma string que representa todas as faixas de endereços IP públicos regionais do serviço ou do grupo de serviços em questão (por exemplo, OCI PHX Object Storage é a string para Object Storage no Oeste dos EUA (Phoenix)). Você usa esse label CIDR de serviço ao configurar o gateway de serviço e as regras de roteamento relacionadas para controlar o tráfego direcionado ao serviço. Opcionalmente, você pode usá-lo ao configurar regras de segurança. Se os endereços IP públicos do serviço mudarem no futuro, não será necessário ajustar essas regras.
- Você pode configurar uma VCN de modo que a sua rede local tenha acesso privado aos serviços Oracle por meio da VCN e do gateway de serviço da VCN. Os hosts da sua rede local se comunicam com seus respectivos endereços IP privados, e o tráfego não passa pela internet. Para obter mais informações, consulte Acesso Privado aos Serviços Oracle.
Visão Geral dos Gateways de Serviço
Um gateway de serviço permite que os recursos da sua VCN acessem de forma privada serviços Oracle específicos, sem expor os dados a um gateway NAT ou de internet. Os recursos da VCN podem estar em uma sub-rede privada e usar somente endereços IP privados. O tráfego da VCN para o serviço em questão percorre a malha da rede Oracle e nunca passa pela internet.
O diagrama simples a seguir ilustra uma VCN que tem uma sub-rede pública e uma sub-rede privada. Os recursos da sub-rede privada só têm endereços IP privados.
A VCN mostrada tem três gateways:
- Gateway de internet: para permitir que a sub-rede pública tenha acesso direto a pontos finais públicos na internet. É possível iniciar conexões pela sub-rede ou pela internet. Os recursos na sub-rede pública devem ter endereços IP públicos. Para obter mais informações, consulte Gateway de Internet.
- Gateway de serviço: para permitir que a sub-rede privada tenha acesso privado aos serviços Oracle suportados na região. Só é possível iniciar conexões pela sub-rede.
- Gateway NAT: para permitir que sub-rede privada tenha acesso privado a pontos finais públicos na internet. Só é possível iniciar conexões pela sub-rede. Para obter mais informações, consulte Gateway NAT.
Você controla o roteamento na sua VCN no nível da sub-rede, para que possa especificar quais sub-redes na sua VCN usam cada gateway. No diagrama, a tabela de roteamento da sub-rede pública (Callout 1) envia o tráfego não local por meio do gateway de internet. A tabela de roteamento da sub-rede privada (Callout 2) envia o tráfego destinado aos serviços Oracle por meio do gateway de serviço. Ela envia todo tráfego restante para o gateway NAT.
| CIDR de Destino | Destino da rota |
|---|---|
| 0.0.0.0/0 | Gateway de Internet |
| CIDR de Destino | Destino da rota |
|---|---|
| Serviços da OSN na região | Gateway de Serviço |
| 0.0.0.0/0 | Gateway NAT |
Verifique este problema conhecido para obter informações sobre como configurar regras de roteamento com o gateway de serviço como alvo em tabelas de roteamento associadas a sub-redes públicas.
Um gateway de serviço pode ser usado por recursos na própria VCN do gateway. No entanto, se a VCN for pareada com outra, os recursos da outra VCN não poderão acessar o gateway de serviço, a menos que um gateway de serviço esteja configurado em ambas as VCNs. Você pode configurar o tráfego destinado à Oracle Services Network que se origina em um spoke para passar por um appliance virtual de rede (NVA) no hub e, em seguida, pelo gateway de serviço do hub. Para obter mais informações, consulte Usando um IP Privado como Destino de Roteamento e Acesso Privado aos Serviços Oracle.
Os recursos da sua rede on-premises conectada à VCN do gateway de serviço por meio do FastConnect ou da VPN Site a Site também podem usar o gateway de serviço. Para obter mais informações, consulte Acesso Privado aos Serviços Oracle.
Observe que sua rede local também pode usar o pareamento público do FastConnect para ter acesso privado a serviços Oracle públicos. Isso significa que a sua rede local pode ter vários caminhos para acessar intervalos de endereços IP públicos dos serviços Oracle. Se esse for o caso, o seu dispositivo de borda receberá a propagação da rota dos intervalos de endereços IP públicos dos serviços Oracle por meio de diversos caminhos. Para obter informações importantes sobre como configurar o seu dispositivo de borda corretamente, consulte Detalhes de Roteamento para Conexões com a Sua Rede Local.
Somente um gateway de serviço é necessário para cada VCN. Todas as sub-redes dentro de uma VCN terão acesso ao gateway de serviço se as regras de segurança e as regras de tabela de roteamento permitirem esse acesso.
Para obter instruções sobre como configurar um gateway de serviço, consulte Configurando um Gateway de Serviço na Console.
Sobre Labels CIDR de Serviço
Cada serviço Oracle tem um ponto final público regional que usa endereços IP públicos para acesso. Ao configurar um gateway de serviço com acesso a um serviço Oracle, você também configura regras de roteamento do serviço Networking e, opcionalmente, regras de segurança que controlam o tráfego com o serviço. Isso normalmente significaria que você precisa conhecer os endereços IP públicos do serviço para configurar essas regras. Para facilitar, o serviço Networking usa labels CIDR de serviço como um alias que representa todos os CIDRs públicos de determinado serviço Oracle ou grupo de serviços Oracle. Se os CIDRs de um serviço mudarem no futuro, não será necessário ajustar as regras de roteamento ou as regras de segurança.
Exemplos:
- OCI PHX Object Storage é um label CIDR de serviço que representa todos os CIDRs do Object Storage na região Oeste dos EUA (Phoenix).
- All PHX Services in Oracle Services Network é um label CIDR de serviço que representa todos os CIDRs dos serviços suportados na Oracle Services Network na região Oeste dos EUA (Phoenix). Para obter uma lista dos serviços, consulte Gateway de Serviço: Serviços de Nuvem Suportados na Oracle Services Network.
Como você pode ver, um label CIDR de serviço pode ser associado a um único serviço Oracle (exemplo: Object Storage) ou a vários serviços Oracle. Quando você tiver designado um label CIDR de serviço a um gateway de serviço, a Console permitirá que você alterne para o outro label, mas o gateway de serviço sempre deverá ter um label CIDR de serviço. A API e a CLI permitirão que você remova completamente o label CIDR de serviço.
O termo serviço muitas vezes é usado nesse tópico no lugar de label CIDR de serviço, que é um termo mais preciso. O detalhe importante a ser lembrado é que ao configurar um gateway de serviço (e regras de roteamento relacionadas), você especifica o label CIDR de serviço no qual está interessado. Na Console, você conhecerá os labels CIDR de serviço disponíveis. Se você usar a API REST, a operação ListServices retornará os objetos Service disponíveis. O atributo cidrBlock do objeto Service contém o label CIDR de serviço (exemplo: all-phx-services-in-oracle-services-network).
Labels CIDR de Serviço Disponíveis
Estes são os labels CIDR de serviço disponíveis:
- OCI <region> Object Storage: para obter informações sobre o serviço, consulte Visão Geral do Object Storage
- All <region> Services in Oracle Services Network: para obter uma lista dos serviços suportados, consulte Gateway de Serviço: Cloud Services Suportados na Oracle Services Network.
Verifique este problema conhecido para obter informações sobre como acessar os serviços Oracle YUM por meio do gateway de serviço.
Ativando um Label CIDR de Serviço para um Gateway de Serviço
Para permitir que a VCN acesse determinado label CIDR de serviço, ative esse label CIDR de serviço para o gateway de serviço da VCN. Você pode fazer isso ao criar o gateway de serviço ou quando quiser após tê-lo criado. Você também pode desativar um label CIDR de serviço para o gateway de serviço a qualquer momento.
Como o Object Storage é abrangido pelo OCI <region> Object Storage e Todos <region> os Serviços da Oracle Services Network, um gateway de serviço só poderá usar um desses labels CIDR de serviço. Da mesma forma, uma tabela de roteamento só pode ter uma única regra para um dos labels CIDR de serviço. Ela não pode ter duas regras separadas, uma para cada label.
Se o gateway de serviço estiver configurado para usar All <region> Services in Oracle Services Network, a regra de roteamento poderá usar os dois labels CIDR. No entanto, se o gateway de serviço estiver configurado para usar OCI <region> Object Storage, e a regra de roteamento usar All <region> Services in Oracle Services Network, o tráfego para os serviços da Oracle Services Network, com exceção de Object Storage será bloqueado. A Console proíbe que você configure o gateway de serviço e a tabela de roteamento correspondente dessa maneira.
Se quiser alternar o gateway de serviço para usar outro label CIDR de serviço, consulte Quando Você Alterna para Outro Label CIDR de Serviço.
Bloqueando o Tráfego Por Meio de um Gateway de Serviço
Você cria um gateway de serviço no contexto de uma VCN específica. Em outras palavras, o gateway de serviço sempre está anexado a essa VCN. No entanto, você pode bloquear ou permitir o tráfego por meio do gateway de serviço a qualquer momento. Por padrão, o gateway permite que o tráfego flua ao ser criado. Bloquear o tráfego no gateway de serviço impede que o tráfego todo flua, independentemente de quais labels CIDR de serviço estão ativados ou de haver ou não regras de roteamento ou regras de segurança na sua VCN. Para obter instruções sobre como bloquear o tráfego, consulte Controlando o Tráfego para um Gateway de Serviço.
Regras de Roteamento e Regras de Segurança para um Gateway de Serviço
Para que o tráfego seja roteado de uma sub-rede na VCN para um gateway de serviço, você deverá adicionar uma regra adequada à tabela de roteamento da sub-rede. A regra deve usar o gateway de serviço como alvo. Para o destino, você deverá usar o label CIDR de serviço ativado para o gateway de serviço. Isso significa que você não precisa conhecer os CIDRs públicos específicos, que podem mudar com o passar do tempo.
Dessa forma, o tráfego de saída da sub-rede destinado a CIDRs públicos do serviço será roteado para o gateway de serviço. Se o tráfego do gateway de serviço estiver bloqueado, nada fluirá por ele, mesmo que exista uma regra de roteamento que corresponda ao tráfego. Para obter instruções sobre como configurar regras de roteamento para um gateway de serviço, consulte Tarefa 2: Atualizar roteamento para a sub-rede.
As regras de segurança da VCN também devem permitir o tráfego desejado. Se desejar, você poderá usar um label CIDR de serviço em vez de um CIDR para a origem ou para o destino do tráfego desejado. Mais uma vez, isso significa que você não precisa conhecer os CIDRs públicos específicos do serviço. Por comodidade, você pode usar um label CIDR de serviço em regras de segurança mesmo que a sua VCN não tenha um gateway de serviço e que o tráfego para os serviços use um gateway de internet.
Você pode usar regras de segurança com monitoramento de estado que tenham um label CIDR de serviço:
- Para regras com monitoramento de estado: crie uma regra de saída com o serviço de destino = o label CIDR do serviço de interesse. Assim como acontece com qualquer regra de segurança, você pode especificar outros itens como protocolo IP e também portas de origem e de destino.
- Para regras sem monitoramento de estado: é necessário ter regras de saída e de entrada. Crie uma regra de saída com o serviço de destino = o label CIDR do serviço de interesse. Além disso, crie uma regra de entrada com o serviço de origem = o label CIDR do serviço de interesse. Assim como acontece com qualquer regra de segurança, você pode especificar outros itens como protocolo IP e também portas de origem e de destino.
Para obter instruções sobre como configurar regras de segurança que usam um label CIDR de serviço, consulte Tarefa 3: (Opcional) Atualizar regras de segurança.
Object Storage: Permitindo o Acesso a um Bucket Somente por Meio de uma VCN ou de um Intervalo Específico de CIDRs
Se você usar um gateway de serviço para acessar o Object Storage, poderá criar uma política do IAM que permita acessar um bucket específico do Object Storage somente se estes requisitos forem atendidos:
- Se a solicitação passar por um gateway de serviço.
- A solicitação é originada da VCN especificada na política.
Para obter exemplos desse tipo específico de política do IAM e observações importantes sobre seu uso, consulte Tarefa 4: (Opcional) Atualizar Políticas do IAM para Restringir o Acesso do Bucket de Armazenamento de Objetos.
Como alternativa, você pode usar a filtragem baseada em IP do IAM para restringir o acesso a um endereço IP ou a intervalos de endereços. Para obter mais informações, consulte Gerenciando Origens de Rede.
Excluindo um Gateway de Serviço
Para que seja possível excluir um gateway de serviço, o tráfego desse gateway não precisa estar bloqueado, mas não deve haver uma tabela de roteamento que liste esse gateway como destino. Consulte Excluindo um Gateway de Serviço.
Política do IAM Necessária
Para usar o Oracle Cloud Infrastructure, você deve receber acesso de segurança em uma política por um administrador. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Caso receba uma mensagem de que você não tem permissão ou de que não está autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento deve trabalhar.
Para administradores: consulte Políticas do IAM para Rede.
Configurando um Gateway de Serviço na Console
Consulte as instruções em Criando um Gateway de Serviço.
Consulte as instruções em Criando um Gateway de Serviço.
Ao configurar um gateway de serviço para um determinado label de CIDR de serviço, você também deverá criar uma regra de roteamento que especifique esse label como o destino e o alvo como o gateway de serviço. Você deve fazer isso para cada sub-rede que precise acessar o gateway.
- Determine quais sub-redes da sua VCN precisam acessar o gateway de serviço.
-
Para cada uma dessas sub-redes, atualize a tabela de roteamento da sub-rede para incluir uma nova regra usando os seguintes valores:
- Tipo de Destino: Gateway de Serviço.
- Serviço de Destino: o label CIDR de serviço ativado para o gateway.
- Compartimento: o compartimento onde o gateway de serviço está localizado.
- Destino: o gateway de serviço.
- Descrição: Uma descrição opcional da regra.
Qualquer tráfego de sub-rede com um destino que corresponda à regra será roteado para o gateway de serviço. Para obter mais informações sobre a configuração de regras de roteamento, consulte Tabelas de Roteamento da VCN.
Posteriormente, se você não precisar mais do gateway de serviço e quiser excluí-lo, primeiro exclua todas as regras de roteamento da sua VCN que especificam o gateway de serviço como alvo.
Sem o roteamento necessário, o tráfego não flui pelo gateway de serviço. Se ocorrer uma situação em que você deseja interromper temporariamente o fluxo de tráfego no gateway para um serviço específico, poderá simplesmente remover a regra de roteamento que permite o tráfego. Você também pode desativar o label CIDR desse serviço para o gateway. Ou você pode bloquear todo tráfego do gateway de serviço inteiramente. Não é necessário excluir o gateway.
Ao configurar um gateway de serviço para acessar um label CIDR de serviço, você também deverá se certificar de que há regras de segurança configuradas de modo a permitir o tráfego desejado. As suas regras de segurança talvez já permitam esse tráfego. É por isso que essa tarefa é opcional. O procedimento a seguir pressupõe que você esteja usando listas de segurança para implementar as suas regras de segurança. O procedimento descreve como configurar uma regra que usa o label CIDR de serviço. Você deve fazer isso para cada sub-rede que precise acessar o gateway.
As listas de Segurança são uma forma de controlar a entrada e a saída de tráfego dos recursos da VCN. Você também pode usar grupos de segurança de rede. Eles permitem aplicar um conjunto de regras de segurança a um conjunto de recursos que têm a mesma postura de segurança.
- Determine quais sub-redes da sua VCN precisam se conectar com os serviços nos quais você está interessado.
-
Atualize a lista de segurança para cada uma dessas sub-redes de modo a incluir regras que permitam o tráfego de saída ou de entrada desejado com o serviço específico.
Digamos que você deseja adicionar uma regra com monitoramento de estado que permite tráfego HTTPS de saída (porta TCP 443) proveniente da sub-rede para o Object Storage e o repositório Oracle YUM. Estas são as opções básicas a serem escolhidas ao adicionar uma regra:
- Na seção Permitir Regras para Saída, clique em +Adicionar Regra.
- Deixe a caixa de seleção Stateless desmarcada.
- Tipo de Destino: Serviço.
- Serviço de Destino: o label CIDR de serviço no qual você está interessado. Para acessar o Object Storage e o repositório Oracle YUM, escolha All <region> Services in Oracle Services Network.
- Protocolo IP: deixe como TCP.
- Faixa de Portas de Origem: deixe como Todos.
- Intervalo de Portas de Destino: insira 443.
- Descrição: Uma descrição opcional da regra.
Para obter mais informações sobre a configuração de regras de segurança, consulte Regras de Segurança.
Essa tarefa só se aplicará se você estiver usando um gateway de serviço para acessar o Object Storage. Você tem a opção de criar uma origem de rede e uma política do IAM para permitir que apenas os recursos de uma VCN específica gravem objetos em um determinado bucket.
Se você usar uma das políticas a seguir do IAM para restringir o acesso a um bucket, o bucket não poderá ser acessado na Console. Ele só pode ser acessado da VCN específica.
Além disso, as políticas do IAM só permitem solicitações ao Object Storage quando elas são provenientes da VCN especificada por meio do gateway de serviço. Se passarem pelo gateway de internet, as solicitações serão negadas.
- Crie uma origem de rede para especificar a VCN permitida. Para obter informações sobre como criar origens de rede, consulte Gerenciando Origens de Rede.
- Crie a política. O exemplo a seguir permite que recursos do grupo de exemplo ObjectBackup gravem objetos no bucket db-backup que reside no compartimento ABC.
Allow group ObjectBackup to read buckets in compartment ABC Allow group ObjectBackup to manage objects in compartment ABC where all {target.bucket.name='db-backup', request.networkSource.name='<VCN_NETWORK_SOURCE', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
Você pode especificar diversas VCNs criando e especificando várias origens de rede na política. O próximo exemplo tem origens de rede para duas VCNs. Você poderá fazer isso se tiver configurado a sua rede local com acesso privado aos serviços Oracle por meio de uma VCN e também tiver configurado uma ou mais outras VCNs com gateways de serviço próprios. Para obter mais informações, consulte Visão Geral de Acesso Privado de Rede Local aos Serviços Oracle.
Allow group ObjectBackup to read buckets in compartment ABC
Allow group ObjectBackup to manage objects in compartment ABC where
all {target.bucket.name='db-backup',
any {request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_1>', request.networkSource.name='<NETWORK_SOURCE_FOR_VCN_2'},
any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}