Documentação do Oracle Cloud Infrastructure

Acesso Privado aos Oracle Services

Roteamento de trânsito se refere a uma topologia de rede na qual a sua rede on-premises usa um intermediário para acessar recursos, serviços ou VCNs da Oracle. O intermediário pode ser uma VCN ou um gateway de roteamento dinâmico (DRG) ao qual sua rede on-premises já está anexada. Você conecta a rede on-premises a um DRG com FastConnect ou VPN Site a Site e, em seguida, configura o roteamento para que o tráfego transite pelo intermediário até seu destino.

Os três cenários principais de roteamento de trânsito são:

  • Acesso privado aos serviços Oracle: o cenário descrito neste tópico. Esse cenário permite que a sua rede local tenha acesso privado a serviços Oracle, de modo que os seus hosts locais possam usar seus respectivos endereços IP privados e que o tráfego não passe pela internet pública. Em vez disso, o tráfego passa por um circuito virtual privado FastConnect ou pela VPN Site a Site, percorre uma rede virtual na nuvem (VCN) e depois um gateway de serviço até chegar ao serviço Oracle de interesse. Esse cenário está disponível para uma implementação usando um DRG legado ou atualizado.
  • Acesso entre várias redes por meio de um único DRG com um firewall entre redes: Esse cenário conecta diversas VCNs a um único DRG, com todo o roteamento configurado para enviar pacotes por meio de um firewall em uma VCN hub para que possam ser enviados a outra rede. Consulte Roteando tráfego por meio de um appliance virtual de rede central. Esse cenário só está disponível para uma implementação que usa um DRG atualizado.
  • Acesso a diversas VCNs na mesma região: Esse cenário permite a comunicação entre uma rede on-premises e diversas VCNs na mesma região por meio de um único circuito virtual privado FastConnect ou uma VPN Site a Site, com uma VCN como hub. Consulte Roteamento de Trânsito dentro de uma VCN hub. Esse cenário está disponível para uma implementação que usa um DRG legado.

Destaques

  • Você pode configurar uma VCN de modo que a sua rede local tenha acesso privado aos serviços Oracle da Oracle Services Network por meio da VCN. Os hosts da sua rede local se comunicam com seus respectivos endereços IP privados.
  • A VCN usa um gateway de roteamento dinâmico (DRG) para estabelecer comunicação com a rede local. O acesso aos serviços Oracle acontece por meio de um gateway de serviço na VCN. O tráfego proveniente da VCN e direcionado ao serviço Oracle percorre a malha de rede da Oracle e nunca passa pela internet pública.
  • O gateway de serviço é regional e permite acessar apenas os serviços Oracle suportados na mesma região que a VCN.
  • Os serviços Oracle suportados são o Oracle Cloud Infrastructure Object Storage e outros na Oracle Services Network. Para obter uma lista, consulte Gateway de Serviço: Serviços de Nuvem Suportados na Oracle Services Network.
  • O gateway de serviço usa o conceito de label CIDR de serviço. Trata-se de uma string que representa todas as faixas de endereços IP públicos regionais do serviço ou do grupo de serviços em questão (por exemplo, OCI PHX Object Storage é a string para Object Storage no Oeste dos EUA (Phoenix)). Você usa esse label CIDR de serviço ao configurar o gateway de serviço e as regras de roteamento relacionadas para controlar o tráfego direcionado ao serviço. Opcionalmente, você pode usar o gateway de serviço ao configurar regras de segurança. Se os endereços IP públicos do serviço mudarem no futuro, não será necessário ajustar essas regras.
  • Para permitir o tráfego desejado entre a rede local e os serviços Oracle por meio da VCN, implemente regras de roteamento para o gateway de serviço e o anexo do DRG da VCN.
  • Se quiser, você poderá configurar o roteamento de trânsito por meio de um IP privado na VCN. Por exemplo, talvez você queira filtrar ou inspecionar o tráfego entre a rede local e o serviço Oracle. Nesse caso, você roteia o tráfego em direção a um IP privado em uma instância na VCN para inspeção, e o tráfego resultante continua até o destino. Este tópico trata de ambas as situações: roteamento de trânsito direto entre gateways na VCN e roteamento de trânsito por meio de um IP privado.

Visão Geral da Oracle Services Network

A Oracle Services Network é uma rede conceitual no Oracle Cloud Infrastructure reservada para os serviços Oracle. Esses serviços têm endereços IP públicos que você geralmente acessa pela internet pública. No entanto, você pode acessar a Oracle Services Network sem passar pelo tráfego da internet pública. Há diferentes maneiras de fazer isso, dependendo de quais os seus hosts precisam de acesso:

Visão Geral do Acesso Privado da Rede Local aos Serviços Oracle

O diagrama a seguir ilustra o layout básico para permitir que a rede local tenha acesso privado aos serviços Oracle.

Esta imagem mostra o layout básico das redes.

A sua rede on-premises se conecta à VCN por meio de um circuito virtual privado FastConnect ou da VPN Site a Site. Cada um desses tipos de conexões termina em um gateway de roteamento dinâmico (DRG) anexado à VCN. A VCN também tem um gateway de serviço para permitir que a VCN acesse a Oracle Services Network. O tráfego da sua rede local passa pela VCN e pelo gateway de serviço até chegar ao serviço Oracle do seu interesse. As respostas retornam por meio do gateway de serviço e da VCN à sua rede local.

Ao configurar um gateway de serviço, você ativa um label CIDR de serviço. Trata-se de uma string que representa todos os intervalos de endereços IP públicos regionais do serviço ou do grupo de serviços que você deseja acessar por meio do gateway de serviço. Por exemplo, All PHX Services in Oracle Services Network é o label CIDR de serviço para os serviços Oracle disponíveis no Oeste dos EUA (Phoenix) por meio de um gateway de serviço. O sistema Oracle usa BGP (Border Gateway Protocol) no DRG a fim de propagar esses intervalos de endereços IP públicos regionais para o dispositivo de borda (também chamado de CPE ou Customer-Premises Equipment) na sua rede local. Para obter uma lista desses intervalos disponíveis por meio do gateway de serviço, consulte Endereços IP Públicos para VCNs e a Oracle Services Network.

Vários Caminhos de Conexão para Serviços Oracle

Você pode configurar a sua rede local utilizando vários caminhos de conexão com o Oracle Cloud Infrastructure e com os serviços Oracle para possibilitar redundância ou por outros motivos. Por exemplo, você pode usar pareamento público FastConnect e pareamento privado FastConnect. Se você tiver vários caminhos, o seu dispositivo de borda receberá a propagação da rota dos intervalos de endereços IP públicos dos serviços Oracle por meio de diversos caminhos. Para obter informações importantes sobre como configurar o seu dispositivo de borda corretamente, consulte Detalhes de Roteamento para Conexões com a Sua Rede Local.

Várias VCNs com Acesso Privado aos Serviços Oracle

A sua organização pode optar por usar várias VCNs, cada uma com um gateway de serviço para permitir que os recursos da VCN acessem os serviços Oracle. Por exemplo, você pode ter uma VCN específica para cada departamento da sua organização.

Se você também quiser configurar a sua rede local com acesso privado aos serviços Oracle por meio de uma VCN com um gateway de serviço, essa seção descreverá dois layouts de rede distintos que poderão ser usados.

No primeiro layout, você configura um DRG único, com as VCNs em um layout hub e spoke, conforme mostrado no diagrama a seguir. A VCN que atua como hub é dedicada a permitir que a rede local tenha acesso privado aos serviços Oracle. As outras VCNs são localmente pareadas com a VCN hub. Você configura apenas a VCN hub de acordo com as instruções em Configurando o Acesso Privado aos Serviços Oracle. Esse layout de hub e spoke é recomendado e descrito com mais detalhes em Roteamento de Trânsito dentro de uma VCN hub.

Esta imagem mostra a rede local conectada com um único DRG.

No segundo layout, há um DRG distinto para cada VCN, com outro circuito virtual privado FastConnect ou VPN Site a Site da sua rede on-premises para cada DRG. Você utiliza um DRG e uma VCN para permitir que a sua rede local tenha acesso privado a serviços Oracle. No diagrama a seguir, trata-se da VCN no centro. Para configurar essa VCN, siga as instruções em Configurando o Acesso Privado aos Serviços Oracle.

Esta imagem mostra a rede local conectada com vários DRGs.

Observe que, em ambos os layouts, a rede local só pode acessar os serviços Oracle por meio de um único gateway de serviço da VCN (o dedicado a essa finalidade) e não por meio dos gateways de serviço das outras VCNs. Para essas outras VCNs, apenas os recursos internos dessas VCNs podem acessar os serviços Oracle por meio do gateway de serviço da VCN.

Independentemente do layout escolhido, você pode criar uma política do IAM para restringir o acesso a um bucket do Object Storage de modo que apenas as solicitações que passam por um gateway de serviço específico da VCN sejam permitidas para esse bucket. Com ambos esses layouts, você pode criar uma política para permitir solicitações provenientes de várias VCNs. Para restringir o acesso a VCNs específicas, crie uma origem de rede para especificar a VCN permitida e, em seguida, grave a política que restringe o acesso apenas à origem de rede. Uma origem de rede pode especificar diversas VCNs ou você pode criar uma origem de rede para cada VCN. Para obter informações sobre como criar origens de redes, consulte Gerenciando Origens de Rede.

O exemplo de política a seguir supõe que você configure uma origem de rede para cada uma das suas VCNs. A política permite que recursos do grupo de exemplo ObjectBackup gravem objetos no bucket db-backup que reside no compartimento ABC. Ao criar uma política como essa, você pode especificar uma ou mais origens de rede. Esse exemplo mostra três.

Allow group ObjectBackup to read buckets in compartment ABC

Allow group ObjectBackup to manage objects in compartment ABC where
   all {target.bucket.name='db-backup', 
        any {request.networkSource.name='<hub_VCN_network_source>', request.networkSource.name='<spoke_1_VCN_network_source>', request.networkSource.name='<spoke_2_VCN_network_source>'},
        any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

Para obter mais informações, consulte Configurando um Gateway de Serviço na Console no procedimento para configurar um gateway de serviço.

Solicitações dos Serviços Oracle para os Seus Clientes

O gateway de serviço não permite a entrada de solicitações de conexão na VCN ou na sua rede local. As solicitações de conexão provenientes de um serviço Oracle direcionadas à sua rede local devem vir por um caminho público, como a internet ou um pareamento público do FastConnect.

Se você estiver usando o Oracle Analytics Cloud para que ele inicie solicitações de conexão com clientes, e também quiser configurar a sua rede local de modo que ela tenha acesso privado aos serviços Oracle, consulte este problema conhecido.

Opções de Roteamento de Trânsito para Acesso Privado aos Serviços Oracle

Há duas opções para roteamento por meio da VCN para acesso privado aos serviços Oracle:

  • Roteamento de trânsito direto por meio de gateways: você roteia o tráfego diretamente por meio da VCN, de um gateway para o outro.
  • Roteamento de trânsito por meio de um IP privado: você configura uma instância na VCN para filtrar ou inspecionar o tráfego entre a rede local e a Oracle Services Network, e roteia o tráfego por meio de um IP privado na instância.

Os exemplos mostrados nas seções a seguir pressupõem que a VCN não contém cargas de trabalho que precisem acessar a rede local ou a Oracle Services Network. A VCN está sendo usada somente para rotear o tráfego por meio da VCN.

Roteamento de trânsito direto por meio de gateways

Nesse exemplo, você faz o roteamento diretamente por meio de dois gateways na VCN: o gateway de roteamento dinâmico (DRG) e o gateway de serviço. Consulte o diagrama a seguir.

Esta imagem mostra as tabelas de roteamento e as regras necessárias durante a configuração do cenário.

Os callouts do diagrama mostram duas tabelas de roteamento, cada uma associada a um recurso distinto:

  • Anexo do DRG:

    • A tabela de roteamento da VCN é associada ao anexo do DRG. Por que o anexo e não o próprio DRG? Porque o DRG é um recurso autônomo que você pode anexar a qualquer VCN na mesma região e na mesma tenancy que o DRG. O anexo identifica a VCN.
    • A tabela de roteamento da VCN encaminha o tráfego de entrada da rede on-premises e destinado a um serviço Oracle suportado. Você configura a regra para enviar esse tráfego ao gateway de serviço.
    Callout 1: Tabela de roteamento da VCN para o anexo do DRG
    CIDR de Destino Destino da Rota
    Todos os serviços da OSN na região Gateway de Serviço

  • Gateway de serviço:

    • A tabela de roteamento da VCN é associada ao gateway de serviço.
    • A tabela de roteamento da VCN encaminha o tráfego de resposta proveniente de um serviço Oracle suportado e destinado à rede on-premises. Você configura a regra para enviar esse tráfego ao DRG.
    Callout 2: Tabela de roteamento da VCN para o gateway de serviço
    Destino da Rota Destino da Rota
    172.16.0.0/12 DRG
Roteamento de trânsito por meio de um IP privado na VCN

Nesse exemplo, você configura uma instância na VCN para atuar como um firewall ou um sistema de detecção de intrusão a fim de filtrar ou inspecionar o tráfego entre a rede local e a Oracle Services Network. Consulte o diagrama a seguir.

Esta imagem mostra as tabelas de roteamento e as regras necessárias durante a configuração do cenário com um IP privado na VCN hub.
Callout 1: Tabela de roteamento associada à Subnet-Frontend
CIDR de Destino Destino da Rota
172.16.0.0/12 DRG
Callout 2: Tabela de roteamento associada à Subnet-Backend
CIDR de Destino Destino da Rota
Todos os serviços da OSN na região Gateway de serviço
Callout 3: Tabela de roteamento associada ao anexo do DRG
CIDR de Destino Destino da Rota
Todos os serviços da OSN na região 10.0.4.3
Callout 4: Tabela de roteamento associada ao gateway de serviço
CIDR de Destino Destino da Rota
172.16.0.0/12 10.0.8.3

A instância tem duas VNICs, cada uma com um IP privado. Uma das VNICs está em uma sub-rede que faceia a rede local (chamada aqui de sub-rede frontend). A outra VNIC está em uma sub-rede que faceia a Oracle Services Network (chamada aqui de sub-rede backend). A VNIC frontend tem o IP privado 10.0.4.3, e a VNIC backend tem o IP privado 10.0.8.3.

O diagrama mostra quatro tabelas de roteamento, cada uma associada a um recurso específico:

  • Anexo do DRG:

    • Essa tabela de roteamento da VCN é associada ao anexo do DRG. Por que o anexo e não o próprio DRG? Porque o DRG é um recurso autônomo que você pode anexar a qualquer VCN na mesma região e na mesma tenancy que o DRG. O anexo identifica a VCN.
    • A tabela de roteamento da VCN encaminha o tráfego de entrada da rede on-premises e destinado a um serviço Oracle suportado. Você configura a regra para enviar o tráfego ao IP privado na sub-rede frontend.

  • Gateway de serviço:

    • A tabela de roteamento da VCN é associada ao gateway de serviço.
    • A tabela de roteamento da VCN encaminha o tráfego de resposta proveniente de um serviço Oracle suportado e destinado à rede on-premises. Você configura a regra para enviar esse tráfego ao IP privado na sub-rede backend.

  • Subnet-frontend:

    • Essa tabela de roteamento da VCN é associada à Subnet-frontend.
    • Ela inclui uma regra para permitir o tráfego com a rede local.

  • Subnet-backend:

    • Essa tabela de roteamento da VCN é associada à Subnet-backend.
    • Ela inclui uma regra para permitir o tráfego com a Oracle Services Network regional.

Restrições Importantes ao Roteamento de Trânsito

Essa seção inclui alguns detalhes adicionais importantes sobre o roteamento:

  • Tabela de roteamento para o anexo DRG:

    • Uma tabela de roteamento da VCN associada a um anexo do DRG só pode ter regras que indicam um gateway de serviço, um IP privado ou um LPG (Local Peering Gateway).
    • Um anexo do DRG sempre tem uma tabela de roteamento associada, mas você pode associar outra tabela de roteamento, editar as regras da tabela ou excluir algumas ou todas as regras.
  • Tabela de roteamento para um gateway de serviço:
    • Uma tabela de roteamento da VCN associada a um gateway de serviço só pode ter regras que indicam um DRG ou um IP privado.
    • Um gateway de serviço pode existir sem uma tabela de roteamento associada a ele. No entanto, após você associar uma tabela de roteamento a um gateway de serviço, sempre deverá haver uma tabela de roteamento associada a ele. Mas você pode associar outra tabela de roteamento. Você também pode editar as regras da tabela ou excluir algumas ou todas as regras.
  • Tráfego transitando pela VCN:As tabelas de roteamento discutidas aqui se destinam apenas à movimentação de tráfego por meio da VCN entre locais na rede local e na Oracle Services Network. Se você estiver usando um IP privado na VCN, configure essas tabelas de roteamento para que o IP privado seja colocado no caminho do tráfego que passa pela VCN.
  • Tráfego de entrada para a VCN: Mesmo que a instrução anterior seja verdadeira (a respeito do tráfego por meio da VCN), o tráfego de entrada para sub-redes dentro da VCN sempre será permitido. Você não precisa configurar regras explícitas para esse tráfego de entrada na tabela de roteamento do anexo DRG ou na tabela de roteamento do gateway de serviço. Quando esse tipo de tráfego de entrada chega ao DRG ou ao gateway de serviço, o tráfego é automaticamente roteado para seu destino na VCN pelo roteamento local de VCNs. Por causa do roteamento local de VCNs, para qualquer tabela de roteamento pertencente a uma VCN, você não pode criar uma regra que liste o CIDR (ou uma subseção) como destino da regra.
  • Tráfego da VCN durante o roteamento de trânsito por meio de um IP privado: A instrução anterior a respeito do roteamento local da VCN significa que você só usa a VCN para trânsito entre a rede on-premises e as VCNs spoke. Não configure cargas de trabalho na própria VCN. Mais explicitamente, se você configurar o roteamento de trânsito por meio de um IP privado na VCN, não poderá rotear também o tráfego da VCN por meio desse IP privado. Com relação ao diagrama anterior, se você fosse alterar a regra de roteamento na tabela de roteamento do gateway de serviço, de forma que o CIDR de destino fosse 0.0.0.0/0, em vez de 172.16.0.0/12, somente o tráfego proveniente do Oracle Services Network e destinado a endereços fora do bloco CIDR da VCN seria roteado por meio do IP privado. Por causa do roteamento local de VCNs, o tráfego destinado a endereços dentro da VCN é roteado de forma automática e direta para o endereço IP de destino. O roteamento local de VCNs tem precedência sobre a tabela de roteamento do gateway de serviço (em geral, sobre todas as tabelas de roteamento da VCN).

Política do IAM Necessária

Para usar o Oracle Cloud Infrastructure, você deve receber acesso de segurança em uma política  por um administrador. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Caso receba uma mensagem de que você não tem permissão ou de que não está autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento  deve trabalhar.

Se você for membro do grupo Administradores, já terá o acesso necessário para configurar o roteamento de trânsito. Caso contrário, você precisará de acesso ao serviço Networking e precisará ter a capacidade de iniciar instâncias. Consulte Políticas do IAM para Redes

Configurando o Acesso Privado aos Serviços Oracle

Esta seção mostra como usar a Console para configurar o roteamento de trânsito com uma VCN para permitir que a sua rede local tenha acesso privado aos serviços Oracle.

Para roteamento direto entre gateways
Dica

Talvez você já tenha configurado muitos dos componentes e conexões de Rede necessários a esse cenário. Portanto, talvez você possa ignorar algumas das tarefas a seguir. Se você já tiver um layout de rede com uma VCN conectada com a sua rede local e tiver um gateway de serviço para essa VCN, a Tarefa 4 será a mais importante. Ele permite o roteamento do tráfego entre a sua rede on-premises e o Oracle Services Network.
Tarefa 1: Configurar a VCN
Esta imagem mostra a tarefa 1: configurando a VCN.

Nessa tarefa, você configura a VCN. Para esse exemplo, nenhuma sub-rede é necessária.

Para obter mais informações e instruções:

Tarefa 2: Adicionar um gateway de serviço à VCN
Esta imagem mostra a tarefa 2: adicionando um gateway de serviço à VCN.

Nessa tarefa, você adiciona um gateway de serviço à VCN e ativa o gateway para a Oracle Services Network regional.

Observe que você ainda não criará a tabela de roteamento que será associada ao gateway de serviço. Isso acontecerá em uma próxima tarefa.

  1. Na Console, verifique os detalhes da VCN.
  2. Em Recursos, clique em Gateways de Serviço.
  3. Clique em Criar Gateway de Serviço.

  4. Informe os seguintes valores:

    • Nome: um nome descritivo para o gateway de serviço. Ele não precisa ser exclusivo. Evite inserir informações confidenciais.
    • Criar no compartimento: o compartimento no qual você deseja criar o gateway de serviço, se for diferente do compartimento no qual você está trabalhando no momento.
    • Serviços: Todos os Serviços de <region> na Oracle Services Network.

  5. Clique em Criar Gateway de Serviço.

    O gateway de serviço será criado e exibido na página Gateways de Serviço no compartimento escolhido.

Tarefa 3: Conectar a VCN com a sua rede local
Esta imagem mostra a tarefa 3: conectando a VCN hub com a sua rede local.
Nessa tarefa, você configura o FastConnect ou a VPN Site a Site entre a sua VCN e a sua rede on-premises. Como parte desse processo, você anexa um DRG à VCN hub e configura o roteamento entre a VCN e a sua rede local. Não crie a tabela de roteamento associada ao anexo do DRG ainda. Isso acontecerá em uma próxima tarefa. Para obter mais informações e instruções:
Importante

Se você estiver usando VPN Site a Site com roteamento estático e a VCN estiver configurada para conceder à sua rede on-premises acesso privado aos serviços Oracle, configure seu dispositivo de borda com as rotas das faixas de IPs públicos do Oracle Services Network propagadas pelo DRG por meio do caminho privado (pelo gateway de serviço). Para obter uma lista desses intervalos, consulte Endereços IP Públicos para VCNs e a Oracle Services Network.
Tarefa 4: Configurar o roteamento de entrada para o DRG e o gateway de serviço
Esta imagem mostra a tarefa 4: configurando o roteamento de entrada entre o DRG e o gateway de serviço.
Callout 1: Tabela de roteamento associada ao anexo do DRG
CIDR de Destino Destino da Rota
Todos os serviços da OSN na região Gateway de Serviço
Callout 2: Tabela de roteamento associada ao gateway de serviço
CIDR de Destino Destino da Rota
172.16.0.0/12 DRG

Nessa tarefa, você configura as tabelas de roteamento para o anexo DRG e o gateway de serviço.

Pré-requisitos:

  • Você já deverá ter um DRG anexado à VCN.
  • Você já deverá ter um gateway de serviço.

  1. Crie uma tabela de roteamento para o anexo DRG:

    1. Na Console, verifique os detalhes da VCN.
    2. Em Recursos, clique em Tabelas de Roteamento para exibir as tabelas de roteamento da VCN.
    3. Clique em Criar Tabela de Roteamento.

    4. Informe o seguinte:

      • Nome: um nome descritivo para a tabela de roteamento. Exemplo: Tabela de roteamento de entrada da VCN. Evite inserir informações confidenciais.
      • Criar no Compartimento: deixe como está.

    5. Clique em + Regra de Roteamento Adicional e insira estas informações para a regra de roteamento:

      • Tipo de Destino: Gateway de serviço.
      • Serviço de Destino: Todos os Serviços de <region> na Oracle Services Network.
      • Compartimento: o compartimento onde o gateway de serviço está localizado.
      • Destino: o gateway de serviço.
      • Descrição: Uma descrição opcional da regra.

    6. Clique em Criar Tabela de Roteamento.

      A tabela de roteamento é criada e exibida na lista.

  2. Associe a tabela de roteamento (chamada tabela de roteamento de entrada da VCN neste exemplo) ao anexo do DRG da VCN:

    1. Enquanto estiver verificando os detalhes da VCN, clique em Gateways de Roteamento Dinâmico para exibir o DRG anexado.
    2. Clique no menu Ações (Menu Ações) e, em seguida, clique em Associar à Tabela de Roteamento.

    3. Informe o seguinte:

      • Compartimento da Tabela de Roteamento: selecione o compartimento da tabela de roteamento para anexo DRG.
      • Tabela de Roteamento: selecione a tabela de roteamento para o anexo DRG.

    4. Clique em Associar.

      A tabela de roteamento é associada ao anexo DRG.

  3. Crie uma tabela de roteamento para o gateway de serviço:

    1. Enquanto ainda estiver verificando os detalhes da VCN, clique em Tabelas de Roteamento.
    2. Clique em Criar Tabela de Roteamento.

    3. Informe o seguinte:

      • Criar no Compartimento: deixe como está.
      • Nome: um nome descritivo para a tabela de roteamento. Exemplo: Tabela de Roteamento de Gateway de Serviço. Evite inserir informações confidenciais.

    4. Clique em + Regra de Roteamento Adicional e insira estas informações para a regra de roteamento:

      • Tipo de Destino: Gateway de Roteamento Dinâmico. O DRG anexado à VCN é selecionado automaticamente como alvo e você não precisa especificar o alvo.
      • Bloco CIDR Destino: o CIDR da rede local (172.16.0.0/12 no exemplo anterior).
      • Descrição: Uma descrição opcional da regra.

    5. Clique em Criar Tabela de Roteamento.

      A tabela de roteamento é criada e exibida na lista.

  4. Associe a tabela de roteamento (chamada de Tabela de Roteamento de Gateway de Serviço nesse exemplo) ao gateway de serviço:

    1. Enquanto ainda estiver verificando os detalhes da VCN, clique em Gateway de Serviço.
    2. Para o gateway de serviço, clique no menu Ações (Menu Ações) e depois clique em Associar à Tabela de Roteamento.

    3. Informe o seguinte:

      • Compartimento da Tabela de Roteamento: selecione o compartimento da tabela de roteamento para anexo gateway de serviço.
      • Tabela de Roteamento: selecione a tabela de roteamento para o gateway de serviço.

    4. Clique em Associar.

      A tabela de roteamento é associada ao gateway de serviço.

Para roteamento por meio de um IP privado
Dica

Talvez você já tenha configurado muitos dos componentes e conexões de Rede necessários a esse cenário. Portanto, talvez você possa ignorar algumas das tarefas a seguir. Se você já tiver um layout de rede com uma VCN conectada com a sua rede local e tiver um gateway de serviço para essa VCN, as Tarefas 4 e 5 serão as mais importante. Elas permitem que o tráfego seja roteado entre a sua rede local e a VCN spoke.
Tarefa 1: Configurar a VCN
Esta imagem mostra a tarefa 1: configurando a VCN.

Nessa tarefa, você configura a VCN. Esse exemplo também tem duas sub-redes: uma para a VNIC frontend na instância e outra para a VNIC backend na instância. A Oracle recomenda o uso de sub-redes privadas regionais.

Para obter mais informações e instruções:

Tarefa 2: Adicionar um gateway de serviço à VCN
Esta imagem mostra a tarefa 2: adicionando um gateway de serviço à VCN.

Nessa tarefa, você adiciona um gateway de serviço à VCN e ativa o gateway para a Oracle Services Network regional.

Observe que você ainda não criará a tabela de roteamento que será associada ao gateway de serviço. Isso acontecerá em uma próxima tarefa.

  1. Na Console, verifique os detalhes da VCN.
  2. Em Recursos, clique em Gateways de Serviço.
  3. Clique em Criar Gateway de Serviço.

  4. Informe os seguintes valores:

    • Nome: um nome descritivo para o gateway de serviço. Ele não precisa ser exclusivo. Evite inserir informações confidenciais.
    • Criar no compartimento: o compartimento no qual você deseja criar o gateway de serviço, se for diferente do compartimento no qual você está trabalhando no momento.
    • Serviços: Todos os Serviços de <region> na Oracle Services Network.

  5. Clique em Criar Gateway de Serviço.

    O gateway de serviço será criado e exibido na página Gateways de Serviço no compartimento escolhido.

Tarefa 3: Conectar a VCN com a sua rede local
Esta imagem mostra a tarefa 3: conectando a VCN hub com a sua rede local.
Nessa tarefa, você configura o FastConnect ou a VPN Site a Site entre a sua VCN hub e a sua rede on-premises. Como parte desse processo, você anexa um DRG à VCN hub e configura o roteamento entre a VCN hub e sua rede on-premises. Observe que você ainda não cria a tabela de roteamento associada ao anexo do DRG. Isso vem em uma etapa posterior.Para obter mais informações e instruções:
Importante

Se você estiver usando VPN Site a Site com roteamento estático e a VCN estiver configurada para conceder à sua rede on-premises acesso privado aos serviços Oracle, configure seu dispositivo de borda com as rotas das faixas de IPs públicos do Oracle Services Network propagadas pelo DRG por meio do caminho privado (pelo gateway de serviço). Para obter uma lista desses intervalos, consulte Endereços IP Públicos para VCNs e a Oracle Services Network.
Tarefa 4: Configurar os IPs privados em uma instância na VCN
Esta imagem mostra a tarefa 4: configurando a instância na VCN hub.
Nesta tarefa, você configura a instância para ter dois IPs privados. Pré-requisitos:
  1. Se você ainda não tiver feito isso, crie a instância na VCN. Consulte Criando uma Instância. A VNIC principal é criada na sub-rede especificada.
  2. Crie uma VNIC secundária para a outra sub-rede e configure o sistema operacional para usá-la. Consulte Usando a Console.
  3. Desative a verificação de origem/destino em cada uma das VNICs. Consulte Visão Geral de VNICs e NICs Físicas
  4. Para cada VNIC, determine qual IP privado deseja usar como destino do roteamento. Se quiser usar um IP privado secundário em vez do IP privado principal da VNIC, designe esse IP privado secundário e configure o sistema operacional para usá-lo. Consulte Designando um Novo IP Privado Secundário a uma VNIC.
  5. Para cada um dos IPs privados criados, anote o endereço IP privado (por exemplo: 10.0.4.3).
  6. Configure a instância conforme necessário para a tarefa que ela executa (por exemplo, configure o firewall ou sistema de detecção de intrusão na instância).
Tarefa 5: Configurar o roteamento de entrada para o DRG e o gateway de serviço
Esta imagem mostra a tarefa 5: configurando o roteamento de entrada entre o DRG e o gateway de serviço.
Callout 1: Tabela de roteamento associada à Subnet-Frontend
CIDR de Destino Destino da Rota
172.16.0.0/12 DRG
Callout 2: Tabela de roteamento associada à Subnet-Backend
CIDR de Destino Destino da Rota
Todos os serviços da OSN na região Gateway de serviço
Callout 3: Tabela de roteamento associada ao anexo do DRG
CIDR de Destino Destino da Rota
Todos os serviços da OSN na região 10.0.4.3
Callout 4: Tabela de roteamento associada ao gateway de serviço
CIDR de Destino Destino da Rota
172.16.0.0/12 10.0.8.3

Nessa tarefa, você configura as tabelas de roteamento para o anexo DRG e o gateway de serviço.

Pré-requisitos:

  • Você já deverá ter um DRG anexado à VCN.
  • Você já deverá ter um gateway de serviço.
  • Você já tem os dois IPs privados para usar como alvos do roteamento (consulte a tarefa anterior).

  1. Crie uma tabela de roteamento para o anexo DRG:

    1. Na Console, verifique os detalhes da VCN.
    2. Em Recursos, clique em Tabelas de Roteamento para exibir as tabelas de roteamento da VCN.
    3. Clique em Criar Tabela de Roteamento.

    4. Informe o seguinte:

      • Nome: um nome descritivo para a tabela de roteamento. Exemplo: Tabela de roteamento de entrada da VCN. Evite inserir informações confidenciais.
      • Criar no Compartimento: deixe como está.

    5. Clique em + Regra de Roteamento Adicional e insira estas informações para a regra de roteamento:

      • Tipo de Destino: IP Privado.
      • Destino: Serviço.
      • Serviço de Destino: Todos os Serviços de <region> na Oracle Services Network
      • Compartimento: o compartimento onde o IP privado da sub-rede frontend está localizado.
      • Destino: o IP privado da sub-rede frontend registrado na tarefa anterior (10.0.4.3 no exemplo).
      • Descrição: Uma descrição opcional da regra.

    6. Clique em Criar Tabela de Roteamento.

      A tabela de roteamento é criada e exibida na lista.

  2. Associe a tabela de roteamento (chamada tabela de roteamento de entrada da VCN neste exemplo) ao anexo do DRG da VCN:

    1. Enquanto estiver verificando os detalhes da VCN, clique em Gateways de Roteamento Dinâmico para exibir o DRG anexado.
    2. Clique no menu Ações (Menu Ações) e, em seguida, clique em Associar Tabela de Roteamento.
    3. Selecione a tabela de roteamento.

    4. Clique em Associar Tabela de Roteamento.

      A tabela de roteamento é associada ao anexo DRG.

  3. Crie uma tabela de roteamento para o gateway de serviço:

    1. Enquanto ainda estiver verificando os detalhes da VCN, clique em Tabelas de Roteamento.
    2. Clique em Criar Tabela de Roteamento.

    3. Informe o seguinte:

      • Criar no Compartimento: deixe como está.
      • Nome: um nome descritivo para a tabela de roteamento. Exemplo: Tabela de Roteamento de Gateway de Serviço. Evite inserir informações confidenciais.

    4. Clique em + Regra de Roteamento Adicional e insira estas informações para a regra de roteamento:

      • Tipo de Destino: IP Privado.
      • Destino: Bloco CIDR.
      • Bloco CIDR Destino: o CIDR da rede local (172.16.0.0/12 no exemplo anterior).
      • Compartimento: o compartimento onde o IP privado está localizado.
      • Destino: o IP privado da sub-rede backend registrado na tarefa anterior (10.0.8.3 no exemplo).
      • Descrição: Uma descrição opcional da regra.

    5. Clique em Criar Tabela de Roteamento.

      A tabela de roteamento é criada e exibida na lista.

  4. Associe a tabela de roteamento (chamada de Tabela de Roteamento de Gateway de Serviço nesse exemplo) ao gateway de serviço:

    1. Enquanto ainda estiver verificando os detalhes da VCN, clique em Gateway de Serviço.
    2. Para o gateway de serviço, clique no menu Ações (Menu Ações) e depois clique em Associar à Tabela de Roteamento.

    3. Informe o seguinte:

      • Compartimento da Tabela de Roteamento: selecione o compartimento da tabela de roteamento para anexo gateway de serviço.
      • Tabela de Roteamento: selecione a tabela de roteamento para o gateway de serviço.

    4. Clique em Associar.

      A tabela de roteamento é associada ao gateway de serviço.

Desativando o Roteamento de Trânsito

Para desativar o roteamento de trânsito, remova as regras:

  • Da tabela de roteamento associada ao anexo DRG.
  • A tabela de roteamento associada ao gateway de serviço.

Uma tabela de roteamento pode ser associada a um recurso, mas não tem regras. Sem pelo menos uma regra, uma tabela de roteamento não pode funcionar.

Um anexo DRG ou um gateway de serviço pode existir sem uma tabela de roteamento associada a ele. Entretanto, após você associar uma tabela de roteamento a um anexo DRG ou a gateway de serviço, sempre deverá haver uma tabela de roteamento associada a ele. Mas você pode associar outra tabela de roteamento. Você também pode editar as regras da tabela ou excluir algumas ou todas as regras.