Oracle Cloud Infrastructure - Dokumentation

NAT-Gateway

In diesem Thema wird beschrieben, wie Sie ein NAT-Gateway (Network Address Translation) einrichten und verwalten. Ein NAT-Gateway  ermöglicht Cloud-Ressourcen ohne öffentliche IP-Adressen den Zugriff auf das Internet, ohne dass diese Ressourcen für eingehende Internetverbindungen freigegeben werden.

Highlights

  • Sie können ein NAT-Gateway zu einem VCN hinzufügen, um Instanzen in einem privaten Subnetz den Internetzugriff zu erteilen.
  • Compute-Instanzen in einem privaten Subnetz verfügen nicht über öffentliche IP-Adressen. Mit dem NAT-Gateway können sie Verbindungen zum Internet starten und Antworten empfangen, aber keine eingehenden Verbindungen aus dem Internet empfangen.
  • NAT-Gateways sind hochverfügbar und unterstützen TCP-, UDP- und ICMP-Traffic.

NAT - Überblick

NAT-Netzwerke werden häufig verwendet, um einen vollständigen privaten Netzwerkzugriff auf das Internet zu gewähren, ohne jedem Host eine öffentliche IPv4-Adresse zuzuweisen. Die Hosts können Verbindungen mit dem Internet starten und Antworten empfangen, können allerdings keine eingehenden Verbindungen aus dem Internet erhalten.

Wenn ein Host im privaten Netzwerk eine internetgebundene Verbindung startet, wird die öffentliche IP-Adresse des NAT-Geräts zur Quell-IP-Adresse des ausgehenden Traffics. Der Antworttraffic aus dem Internet verwendet daher diese öffentliche IP-Adresse als Ziel-IP-Adresse. Das NAT-Gerät leitet dann die Antwort an den Host im privaten Netzwerk fort, der die Verbindung hergestellt ist.

NAT-Gateways - Überblick

Der Networking-Service bietet eine zuverlässige und hochverfügbare NAT-Lösung für ein VCN in Form eines NAT-Gateways.

Beispielszenario: Angenommen, Sie verfügen über Ressourcen, die eingehenden Traffic vom Internet empfangen müssen (z.B. Webserver). Darüber hinaus haben Sie private Ressourcen, die vor eingehendem Traffic aus dem Internet geschützt werden müssen. Alle diese Ressourcen müssen Verbindungen mit dem Internet starten, um Softwareupdates von Sites im Internet anzufordern.

Sie richten ein VCN ein und fügen ein öffentliches Subnetz für die Aufnahme der Webserver hinzu. Beim Erstellen der Instanzen weisen Sie ihnen öffentliche IP-Adressen zu, damit sie eingehenden Internettraffic empfangen können. Außerdem fügen Sie ein privates Subnetz für die Aufnahme der privaten Instanzen hinzu. Sie können keine öffentlichen IP-Adressen haben, weil sie sich in einem privaten Subnetz befinden.

Sie fügen ein Internetgateway dem VCN hinzu. Außerdem fügen Sie eine Routingregel in der Routentabelle des öffentlichen Subnetzes hinzu, die den internetgebundenen Traffic zum Internetgateway leitet. Die Instanzen des öffentlichen Subnetzes können jetzt Verbindungen mit dem Internet starten und auch eingehende Verbindungen vom Internet empfangen. Beachten Sie, dass Sie die Traffictypen, die auf Paketebene in die und aus den Instanzen geleitet werden dürfen, mit Sicherheitsregeln steuern können.

Sie fügen dem VCN ein NAT-Gateway hinzu. Sie können auch eine Routingregel in der Routentabelle des privaten Subnetzes hinzufügen, die den internetgebundenen Traffic zum NAT-Gateway weiterleitet. Die Instanzen des privaten Subnetzes können jetzt Verbindungen mit dem Internet starten. Das NAT-Gateway lässt Antworten zu, lässt jedoch keine Verbindungen aus dem Internet zu. Ohne das NAT-Gateway müssen sich die privaten Instanzen stattdessen im öffentlichen Subnetz befinden und über öffentliche IP-Adressen verfügen, um ihre Softwareupdates abzurufen.

Beim Routing des Antworttraffics vom Internet zurück zum Subnetz leitet standardmäßig ein NAT-Gateway den Traffic direkt an das Ziel weiter. Sie können eine Routentabelle mit dem NAT-Gateway verknüpfen und Routingregeln für das Ingress-Routing des NAT-Gateways in dieser Routentabelle definieren. Beispiel: Wenn das NAT-Gateway den Antworttraffic zuerst an eine Firewall weiterleiten soll, können Sie eine Routingregel für das Zielsubnetz-CIDR mit der privaten Firewall-IP als Ziel in der Routentabelle für das NAT-Gateway erstellen.

Das folgende Diagramm zeigt das Basisnetzwerklayout für das Beispiel. Die Pfeile geben an, ob Verbindungen nur in eine oder beide Richtungen gestartet werden können.

Diese Abbildung zeigt das grundlegende Layout eines VCN mit einem NAT-Gateway und einem Internetgateway
Callout 1: Routentabelle für öffentliches Subnetz
Ziel-CIDR Routenziel
0.0.0.0/0 Internetgateway
Callout 2: Routentabelle für privates Subnetz
Routenziel Routenziel
0.0.0.0/0 NAT-Gateway
Hinweis

Ein NAT-Gateway kann nur von den Ressourcen im eigenen VCN des Gateways verwendet werden. Wenn das VCN mit einem anderen Peering verbunden ist, können Ressourcen im anderen VCN nicht auf das NAT-Gateway zugreifen.

Also, resources in an on-premises network connected to the NAT gateway's VCN with FastConnect or an Site-to-Site VPN can't use the NAT gateway.

Einige Grundlagen zu NAT-Gateways:

  • Das NAT-Gateway unterstützt TCP-, UDP- und ICMP-Ping-Traffic.
  • Das Gateway unterstützt maximal 20.000 gleichzeitige Verbindungen zu einer einzelnen Zieladresse und einem Port.
  • Der Networking-Service kann eine neue öffentliche IP-Adresse für ein neues NAT-Gateway zuweisen, oder Sie können eine bestimmte vorhandene reservierte öffentliche IP für ein neu erstelltes NAT-Gateway angeben.
  • Die Anzahl der NAT-Gateways pro VCN ist begrenzt, aber ein VCN benötigt höchstwahrscheinlich nur ein NAT-Gateway. Sie können eine Erhöhung dieses Limits anfordern. Unter Servicelimits finden Sie eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie eine Erhöhung beantragt wird.

Routing für ein NAT-Gateway

Sie steuern Routing in einem VCN auf der Subnetzebene. So können Sie angeben, welche Subnetze im VCN ein NAT-Gateway verwenden. Sie können mehrere NAT-Gateways in einem VCN haben (dazu müssen Sie jedoch eine Erhöhung der Limits anfordern). Beispiel: Wenn Sie möchten, dass eine externe Anwendung den Traffic von den verschiedenen Subnetzen des VCN unterscheidet, können Sie ein anderes NAT-Gateway (und somit eine andere öffentliche IP-Adresse) für jedes Subnetz einrichten. Ein bestimmtes Subnetz kann Traffic nur an ein einzelnes NAT-Gateway weiterleiten.

Traffic über NAT-Gateway blockieren

Sie erstellen ein NAT-Gateway im Kontext eines bestimmten VCN, sodass ein NAT-Gateway automatisch immer nur an ein VCN angehängt wird. Sie können jedoch jederzeit Traffic über das NAT-Gateway blockieren oder zulassen. Standardmäßig lässt das Gateway den Traffic beim Erstellen zu. Durch Blockieren des NAT-Gateways wird das gesamte Traffic unterbunden, unabhängig davon, welche vorhandenen Routingregeln oder Sicherheitsregeln im VCN vorhanden ist. Anweisungen zum Blockieren des Traffics finden sie unter Traffic für ein NAT-Gateway blockieren oder zulassen.

Übergang zu einem NAT-Gateway

Wenn Sie von der Verwendung einer NAT-Instanz in Ihrem VCN zu einem NAT-Gateway wechseln, sollten Sie beachten, dass sich auch die öffentliche IP-Adresse für das NAT-Gerät ändert.

Wenn Sie von einem Internetgateway zu einem NAT-Gateway wechseln, benötigen die Instanzen mit Zugriff auf das NAT-Gateway keine öffentlichen IP-Adressen mehr, um auf das Internet zuzugreifen. Außerdem müssen die Instanzen nicht mehr in einem öffentlichen Subnetz vorhanden sein. Sie können ein Subnetz nicht von öffentlich in privat ändern. Sie können jedoch immer die ephemeren öffentlichen IPs aus Compute-Instanzen löschen.

NAT-Gateway löschen

Um ein NAT-Gateway zu löschen, muss sein Datenverkehr nicht blockiert werden. Es muss jedoch eine Routentabelle vorhanden sein, in die es als Ziel aufgeführt ist. Anweisungen finden Sie unter Löschen eines NAT-Gateways.

Erforderliche IAM Policy

Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der von einem Mandantenadministrator Sicherheitszugriff in einer Policy erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Nachricht erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Mandantenadministrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment Ihr Zugriff funktioniert.

Für Administratoren: Weitere Informationen finden Sie unter IAM-Policys für Networking.

NAT-Gateway einrichten

Aufgabe 1: NAT-Gateway erstellen

Weitere Informationen finden Sie in den Anweisungen unter NAT-Gateway erstellen.

Aufgabe 2: Routing für das Subnetz aktualisieren

Wenn Sie ein NAT-Gateway erstellen, müssen Sie auch eine Routingregel erstellen, die den Traffic vom Subnetz zum NAT-Gateway weiterleitet. Führen Sie diesen Schritt für jedes Subnetz aus, das auf das Gateway zugreifen muss.

  1. Entscheiden Sie, welche Subnetze im VCN Zugriff auf das NAT-Gateway benötigen.

  2. Aktualisieren Sie für jedes Subnetz die Routentabelle des Subnetzes so, dass sie eine neue Regel mit den folgenden Einstellungen enthält:

    • Zieltyp: NAT-Gateway.
    • Ziel-CIDR-Block: 0.0.0.0/0.
    • Compartment: Das Compartment mit dem NAT-Gateway.
    • Ziel-NAT-Gateway: Das NAT-Gateway.
    • Beschreibung: Eine optionale Beschreibung der Regel.

Jeder Subnetztraffic mit einem Ziel, das der Regel entspricht, wird an das NAT-Gateway weitergeleitet. Weitere Informationen zum Einrichten von Routingregeln finden Sie unter VCN-Routentabellen.

Wenn Sie später das NAT-Gateway nicht mehr benötigen und es löschen möchten, müssen Sie zuerst alle Routingregeln in dem VCN löschen, die das NAT-Gateway als Ziel angeben.

Tipp

Ohne das erforderliche Routing wird der Traffic nicht über das NAT-Gateway weitergeleitet. Wenn eine Situation auftritt, in dem Sie den Traffic über das Gateway vorübergehend stoppen müssen, können Sie die Routingregel entfernen, die den Traffic zulässt. Sie können den Traffic über das Gateway auch komplett blockieren. Sie müssen sie nicht löschen.