Acesso externo a um DB System na subnet privada utilizando o network load balancer


É recomendado que o banco de dados nunca esteja exposto a internet, desta forma sempre deve ser configurado em uma subnet privada ao invés de uma subnet publica. 

Embora as subnets privadas sejam projetadas para serem isoladas da Internet, é possível configurar pontos de acesso controlados, como bastion hosts ou VPNs, para permitir o acesso autorizado a recursos em subnets privadas quando necessário. Esses pontos de acesso atuam como gateways seguros e fornecem uma camada adicional de controle de acesso e segurança.

Em resumo, manter subnets privadas sem acesso externo é uma prática de segurança recomendada para proteger recursos críticos e dados sensíveis. O acesso externo deve ser concedido de forma controlada e com base em necessidades legítimas para minimizar os riscos de segurança.

Neste artigo será abordado a criação de um network load balancer que possibilitará um acesso externo a um DB System que está em uma subnet privada.

O DB System lamimdb01 está em uma subnet privada. Imagine o cenário qual uma aplicação de terceiros não permite uma conexão VPN e precise de um acesso externo ao banco de dados. Afim de atender esta necessidade, será criado um network load balancer que direcionará nossa conexão externa ao banco de dados.


Para criar o network load balance, acessar o menu principal, networking e network load balancer.


Em network load balance, escolher o compartment que o mesmo será armazenado e clicar em create network load balancer.


Na criação do network load balancer, definir o nome, selecionar o tipo publico e definir um IPv4 que pode ser Ephemeral ou Reservado, definir  a VCN e a subnet publica.
Fazendo upload: 43772 de 43772 bytes.

Em seguida será definido o nome do listener que será criado, o tipo de protocolo (neste caso será usado TCP) e o tipo de trafego de entrada e a porta (que neste caso esta sendo definida como 5252).


Na etapa seguinte será definido o nome do backendset e na etapa de health check policy será alterado o protocolo para TCP e a porta para 1521 (porta do banco de dados).



Na etapa seguinte, basta revisar os dados e clicar em create network load balancer.


Criado o network load balancer, cliar em backend sets, selecione o backend set criado, clique em edit e desmarque a opção "Preserve source IP" 






Posteriormente selecione Backends e clique em add backends, selecionando a opção IP addresses. Basta inserir o IP do servidor de banco de dados e a porta do mesmo (1521) e clicar em add backends.




Realizada a criação e configuração do network load balancer, basta agora efetuar a liberação das regras pra acesso. Nesta caso, foi criada um network security group liberando a porta 5252 para o IP de origem de onde a conexão irá partir e atribuido a mesma ao nosso network load balancer. É importante que nunca seja deixada a liberação para toda internet devido a questões de segurança.


Abaixo o exemplo da NSG criada liberando a porta 5252 para o IP de origem desejado.


Agora basta acessar o IP Publico do network load balancer na porta 5252 que teremos acesso ao nosso DB System na porta 1521.


Artigo com a contribuição de Douglas de Pinho.

Comentários