Documentação do Oracle Cloud Infrastructure

Acesso aos Serviços Oracle: Gateway de Serviço

Este tópico descreve como configurar e gerenciar um gateway de serviço. Um gateway de serviço permite que os recursos de nuvem sem endereços IP públicos acessem de forma privada os serviços Oracle.

Advertência

Evite inserir informações confidenciais ao designar descrições, tags ou nomes amigáveis aos seus recursos na nuvem por meio da Console, da API ou da CLI do Oracle Cloud Infrastructure.

Acesso aos Serviços Oracle

A Oracle Services Network é uma rede conceitual no Oracle Cloud Infrastructure reservada para os serviços Oracle. Esses serviços têm endereços IP públicos que você geralmente acessa pela internet. No entanto, você pode acessar a Oracle Services Network sem passar pelo tráfego da internet. Há diferentes maneiras de fazer isso, dependendo de quais os seus hosts precisam de acesso:

Destaques

  • Um gateway de serviço permite que a sua rede virtual na nuvem (VCN) acesse de forma privada serviços Oracle específicos sem expor os dados à internet pública. Não é necessário usar gateway de internet ou NAT para acessar esses serviços específicos. Os recursos da VCN podem estar em uma sub-rede privada e usar somente endereços IP privados. O tráfego da VCN para o serviço Oracle percorre a malha da rede Oracle e nunca atravessa a internet.
  • O gateway de serviço é regional e permite acessar apenas os serviços Oracle suportados na mesma região que a VCN.
  • O gateway de serviço permite acessar os serviços Oracle suportados dentro da região para proteger os seus dados em relação à internet. As suas cargas de trabalho podem requerer acesso a pontos finais públicos ou a serviços não suportados pelo gateway de serviço (por exemplo, para fazer download de atualizações ou de patches). Certifique-se de ter um gateway NAT ou outro acesso à internet, se necessário.

  • Os serviços Oracle suportados são o Oracle Cloud Infrastructure Object Storage e outros na Oracle Services Network. Para obter uma lista, consulte Gateway de Serviço: Serviços de Nuvem Suportados na Oracle Services Network.
  • O gateway de serviço usa o conceito de label CIDR de serviço. Trata-se de uma string que representa todos os intervalos de endereços IP públicos regionais do serviço ou do grupo de serviços em questão (por exemplo, OCI PHX Object Storage é a string do Object Storage no Oeste dos EUA (Phoenix)). Você usa esse label CIDR de serviço ao configurar o gateway de serviço e as regras de roteamento relacionadas para controlar o tráfego direcionado ao serviço. Opcionalmente, você pode usá-lo ao configurar regras de segurança. Se os endereços IP públicos do serviço mudarem no futuro, não será necessário ajustar essas regras.
  • Você pode configurar uma VCN de modo que a sua rede local tenha acesso privado aos serviços Oracle por meio da VCN e do gateway de serviço da VCN. Os hosts da sua rede local se comunicam com seus respectivos endereços IP privados, e o tráfego não passa pela internet. Para obter mais informações, consulte Roteamento de Trânsito: Acesso Privado aos Serviços Oracle

Visão Geral dos Gateways de Serviço

Um gateway de serviço permite que os recursos da sua VCN acessem de forma privada serviços Oracle específicos, sem expor os dados a um gateway NAT ou de internet. Os recursos da VCN podem estar em uma sub-rede privada e usar somente endereços IP privados. O tráfego da VCN para o serviço em questão percorre a malha da rede Oracle e nunca passa pela internet.

O diagrama simples a seguir ilustra uma VCN que tem uma sub-rede pública e uma sub-rede privada. Os recursos da sub-rede privada só têm endereços IP privados.

A VCN tem três gateways:

  • Gateway de internet: para permitir que a sub-rede pública tenha acesso direto a pontos finais públicos na internet. É possível iniciar conexões pela sub-rede ou pela internet. Os recursos na sub-rede pública devem ter endereços IP públicos. Para obter mais informações, consulte Gateway de Internet.
  • Gateway de serviço: para permitir que a sub-rede privada tenha acesso privado aos serviços Oracle suportados na região. Só é possível iniciar conexões pela sub-rede.
  • Gateway NAT: para permitir que sub-rede privada tenha acesso privado a pontos finais públicos na internet. Só é possível iniciar conexões pela sub-rede. Para obter mais informações, consulte Gateway NAT.

Você controla o roteamento na sua VCN no nível da sub-rede, para que possa especificar quais sub-redes na sua VCN usam cada gateway. No diagrama, a tabela de roteamento da sub-rede pública envia o tráfego não local por meio do gateway de internet. A tabela de roteamento da sub-rede privada envia o tráfego destinado aos serviços Oracle por meio do gateway de serviço. Ela envia todo tráfego restante para o gateway NAT.

Esta imagem mostra o layout básico de uma VCN com um gateway de serviço

Importante

Verifique este problema conhecido para obter informações sobre como configurar regras de roteamento com o gateway de serviço como alvo em tabelas de roteamento associadas a sub-redes públicas.

Um gateway de serviço pode ser usado por recursos na própria VCN do gateway. No entanto, se a VCN estiver pareada com outra VCN, os recursos da outra VCN não poderão acessar o gateway de serviço.

Os recursos da sua rede local conectada com a VCN do gateway de serviço por meio do FastConnect ou do VPN Connect também podem usar o gateway de serviço. Para obter mais informações, consulte Roteamento de Trânsito: Acesso Privado aos Serviços Oracle

Observe que sua rede local também pode usar o pareamento público do FastConnect para ter acesso privado a serviços Oracle públicos. Isso significa que a sua rede local pode ter vários caminhos para acessar intervalos de endereços IP públicos dos serviços Oracle. Se esse for o caso, o seu dispositivo de borda receberá a propagação da rota dos intervalos de endereços IP públicos dos serviços Oracle por meio de diversos caminhos. Para obter informações importantes sobre como configurar o seu dispositivo de borda corretamente, consulte Detalhes de Roteamento para Conexões com a Sua Rede Local.

Uma VCN só pode ter um gateway de serviço. Para obter mais informações sobre limites, consulte Limites de Serviço.

Para obter instruções sobre como configurar um gateway de serviço, consulte Configurando um Gateway de Serviço na Console.

Sobre Labels CIDR de Serviço

Cada serviço Oracle tem um ponto final público regional que usa endereços IP públicos para acesso. Ao configurar um gateway de serviço com acesso a um serviço Oracle, você também configura regras de roteamento do serviço Networking e, opcionalmente, regras de segurança que controlam o tráfego com o serviço. Isso significa que você precisa conhecer os endereços IP públicos do serviço para configurar essas regras. Para facilitar, o serviço Networking usa labels CIDR de serviço para representar todos os CIDRs públicos de determinado serviço Oracle ou grupo de serviços Oracle. Se os CIDRs de um serviço mudarem no futuro, não será necessário ajustar as regras de roteamento ou as regras de segurança.

Exemplos:

  • OCI PHX Object Storage é um label CIDR de serviço que representa todos os CIDRs do Object Storage na região Oeste dos EUA (Phoenix).
  • All PHX Services in Oracle Services Network é um label CIDR de serviço que representa todos os CIDRs dos serviços suportados na Oracle Services Network na região Oeste dos EUA (Phoenix). Para obter uma lista dos serviços, consulte Gateway de Serviço: Serviços de Nuvem Suportados na Oracle Services Network.

Como você pode ver, um label CIDR de serviço pode ser associado a um único serviço Oracle (exemplo: Object Storage) ou a vários serviços Oracle.

O termo serviço muitas vezes é usado nesse tópico no lugar de label CIDR de serviço, que é um termo mais preciso. O detalhe importante a ser lembrado é que ao configurar um gateway de serviço (e regras de roteamento relacionadas), você especifica o label CIDR de serviço no qual está interessado. Na Console, você conhecerá os labels CIDR de serviço disponíveis. Se você usar a API REST, a operação ListServices retornará os objetos Service disponíveis. O atributo cidrBlock do objeto Service contém o label CIDR de serviço (exemplo: all-phx-services-in-oracle-services-network).

Labels CIDR de Serviço Disponíveis

Estes são os labels CIDR de serviço disponíveis:

Importante

Verifique este problema conhecido para obter informações sobre como acessar os serviços Oracle YUM por meio do gateway de serviço.

Ativando um Label CIDR de Serviço para um Gateway de Serviço

Para permitir que a VCN acesse determinado label CIDR de serviço, ative esse label CIDR de serviço para o gateway de serviço da VCN. Você pode fazer isso ao criar o gateway de serviço ou quando quiser após tê-lo criado. Você também pode desativar um label CIDR de serviço para o gateway de serviço a qualquer momento.

Importante

Como o Object Storage é suportado por OCI <region> Object Storage e All <region> Services in Oracle Services Network, um gateway de serviço só pode usar um desses labels CIDR de serviço. Da mesma forma, uma tabela de roteamento só pode ter uma única regra para um dos labels CIDR de serviço. Ela não pode ter duas regras separadas, uma para cada label.

Se o gateway de serviço estiver configurado para usar All <region> Services in Oracle Services Network, a regra de roteamento poderá usar os dois labels CIDR. No entanto, se o gateway de serviço estiver configurado para usar OCI <region> Object Storage, e a regra de roteamento usar All <region> Services in Oracle Services Network, o tráfego para os serviços da Oracle Services Network, com exceção de Object Storage será bloqueado. A Console proíbe que você configure o gateway de serviço e a tabela de roteamento correspondente dessa maneira.

Se quiser alternar o gateway de serviço para usar outro label CIDR de serviço, consulte Para alternar para outro label CIDR de serviço .

Bloqueando o Tráfego Por Meio de um Gateway de Serviço

Você cria um gateway de serviço no contexto de uma VCN específica. Em outras palavras, o gateway de serviço sempre está anexado a essa VCN. No entanto, você pode bloquear ou permitir o tráfego por meio do gateway de serviço a qualquer momento. Por padrão, o gateway permite que o tráfego flua ao ser criado. Bloquear o tráfego no gateway de serviço impede que o tráfego todo flua, independentemente de quais labels CIDR de serviço estão ativados ou de haver ou não regras de roteamento ou regras de segurança na sua VCN. Para obter instruções sobre como bloquear o tráfego, consulte Para bloquear ou permitir o tráfego para um gateway de serviço.

Regras de Roteamento e Regras de Segurança para um Gateway de Serviço

Para que o tráfego seja roteado de uma sub-rede na VCN para um gateway de serviço, você deverá adicionar uma regra adequada à tabela de roteamento da sub-rede. A regra deve usar o gateway de serviço como alvo. Para o destino, você deverá usar o label CIDR de serviço ativado para o gateway de serviço. Isso significa que você não precisa conhecer os CIDRs públicos específicos, que podem mudar com o passar do tempo.

Dessa forma, o tráfego de saída da sub-rede destinado a CIDRs públicos do serviço será roteado para o gateway de serviço. Se o tráfego do gateway de serviço estiver bloqueado, nada fluirá por ele, mesmo que exista uma regra de roteamento que corresponda ao tráfego. Para obter instruções sobre como configurar regras de roteamento para um gateway de serviço, consulte Tarefa 2: Atualizar roteamento para a sub-rede.

As regras de segurança da VCN também devem permitir o tráfego desejado. Se desejar, você poderá usar um label CIDR de serviço em vez de um CIDR para a origem ou para o destino do tráfego desejado. Mais uma vez, isso significa que você não precisa conhecer os CIDRs públicos específicos do serviço. Por comodidade, você pode usar um label CIDR de serviço em regras de segurança mesmo que a sua VCN não tenha um gateway de serviço e que o tráfego para os serviços use um gateway de internet.

Você pode usar regras de segurança com monitoramento de estado que tenham um label CIDR de serviço:

  • Para regras com monitoramento de estado: crie uma regra de saída com o serviço de destino = o label CIDR do serviço de interesse. Assim como acontece com qualquer regra de segurança, você pode especificar outros itens como protocolo IP e também portas de origem e de destino.
  • Para regras sem monitoramento de estado: é necessário ter regras de saída e de entrada. Crie uma regra de saída com o serviço de destino = o label CIDR do serviço de interesse. Além disso, crie uma regra de entrada com o serviço de origem = o label CIDR do serviço de interesse. Assim como acontece com qualquer regra de segurança, você pode especificar outros itens como protocolo IP e também portas de origem e de destino.

Para obter instruções sobre como configurar regras de segurança que usam um label CIDR de serviço, consulte Tarefa 3: (Opcional) Atualizar regras de segurança.

Object Storage: Permitindo o Acesso a um Bucket Somente por Meio de uma VCN ou de um Intervalo Específico de CIDRs

Se você usar um gateway de serviço para acessar o Object Storage, poderá criar uma política do IAM que permita acessar um bucket específico do Object Storage somente se estes requisitos forem atendidos:

  • Se a solicitação passar por um gateway de serviço.
  • A solicitação é originada da VCN especificada na política.

Para obter exemplos desse tipo específico de política do IAM e observações importantes sobre seu uso, consulte Tarefa 4: (Opcional) Atualizar Políticas do IAM para Restringir o Acesso a um Bucket do Object Storage.

Como alternativa, você pode usar a filtragem baseada em IP do IAM para restringir o acesso a um endereço IP ou a intervalos de endereços. Para obter mais informações, consulte Gerenciando Origens de Rede.

Excluindo um Gateway de Serviço

Para que seja possível excluir um gateway de serviço, o tráfego desse gateway não precisa estar bloqueado, mas não deve haver uma tabela de roteamento que liste esse gateway como destino. Consulte Para excluir um gateway de serviço.

Política do IAM Necessária

Para usar o Oracle Cloud Infrastructure, você deverá receber o tipo de acesso necessário em uma política criada por um administrador, independentemente de estar usando a Console ou a API REST com um SDK, a CLI ou outra ferramenta. Se você tentar executar uma ação e receber uma mensagem de que não tem permissão ou que não está autorizado, confirme com o administrador o tipo de acesso que recebeu e em qual compartimento deverá trabalhar.

Para administradores: consulte Políticas do IAM para Rede.

Configurando um Gateway de Serviço na Console

Veja a seguir o processo de configuração de um gateway de serviço. Presume-se que você já tenha uma VCN com uma sub-rede (seja privada ou pública).

Importante

O gateway de serviço permite o acesso a serviços Oracle suportados dentro da região para proteger os seus dados em relação à internet. Os seus aplicativos podem requerer acesso a pontos finais públicos ou a serviços não suportados pelo gateway de serviço (por exemplo, para fazer download de atualizações ou de patches). Certifique-se de ter um gateway NAT ou outro acesso à internet, se necessário.

Tarefa 1: Criar o gateway de serviço
Tarefa 2: Atualizar roteamento para a sub-rede
Tarefa 3: (Opcional) Atualizar regras de segurança
Tarefa 4: (Opcional) Atualizar Políticas do IAM para Restringir o Acesso a um Bucket do Object Storage

Gerenciando um Gateway de Serviço na Console

Para alternar para outro label CIDR de serviço
Para atualizar um gateway de serviço
Para bloquear ou permitir o tráfego em um gateway de serviço
Para associar uma tabela de roteamento a um gateway de serviço existente
Para excluir um gateway de serviço
Para gerenciar as tags de um gateway de serviço
Para mover um gateway de serviço para outro compartimento

Gerenciando um Gateway de Serviço com a API

Para obter informações sobre o uso da API e de solicitações de assinatura, consulte APIs REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs (Software Development Kits) e CLI (Command Line Interface).

Advertência

Se qualquer pessoa da sua organização implementar um gateway de serviço, lembre-se de que talvez você precise atualizar códigos de clientes que utilizam regras do serviço Networking e listas de segurança. Há possíveis alterações interruptivas na API. Para obter mais informações, consulte as notas da release sobre gateway de serviço.

Para gerenciar os seus gateways de serviço, use estas operações:

Para gerenciar tabelas de roteamento, consulte Tabelas de Roteamento. Para gerenciar listas de segurança, consulte Listas de Segurança. Para gerenciar grupos de segurança de rede, consulte Grupos de Segurança de Rede. Para gerenciar políticas do IAM, consulte Gerenciando Políticas.