Internetgateway

In diesem Thema wird beschrieben, wie ein Internetgateway eingerichtet und verwaltet wird, um einem VCN Internetzugriff gewährt zu werden.

Tipp

Oracle stellt auch ein NAT-Gateway bereit, das für Subnetze im VCN empfohlen wird, das keine externen Verbindungen aus dem Internet benötigt.

Highlights

  • Ein Internetgateway ist ein optionales Gateway, das Sie einem VCN hinzufügen können, um direkte Konnektivität zum Internet zu ermöglichen.
  • Das Gateway unterstützt Verbindungen aus dem VCN (Egress) und Verbindungen aus dem Internet (Ingress).
  • Ressourcen, die das Gateway für den Internetzugriff verwenden müssen, müssen sich in einem öffentlichen Subnetz befinden und über öffentliche IP-Adressen verfügen. Ressourcen mit privaten IP-Adressen können stattdessen ein NAT-Gateway verwenden, um Verbindungen zum Internet zu starten.
  • Jedes öffentliche Subnetz, das das Internetgateway verwenden muss, muss über eine Routentabellenregel verfügen, die das Gateway als Ziel angibt.
  • Mit Sicherheitsregeln steuern Sie, welche Traffictypen in die und aus den Ressourcen in diesem Subnetz geleitet werden dürfen. Stellen Sie sicher, dass die Regeln nur die entsprechenden Arten von Internetverkehr zulassen.
  • Das Internetgateway kann nur von Ressourcen im VCN des Gateways verwendet werden. Hosts im verbundenen On-Premise-Netzwerk oder in einem Peer-VCN können dieses Internetgatewaynicht verwenden.
  • Sie können innerhalb einer Sicherheitszone kein Internetgateway zu einem VCN hinzufügen oder in ein VCN verschieben. Sicherheitszonen verwenden keine öffentlichen Subnetze.
  • Für jedes VCN ist nur ein Internetgateway erforderlich. Alle öffentlichen Subnetze in einem VCN haben Zugriff auf das Internetgateway, sofern Sicherheitsregeln und Routentabellenregeln diesen Zugriff zulassen.

Internetgateways - Überblick

Bevor sie fortfahren, lesen Sie Zugriff auf das Internet und lesen Sie, wie Sie Sicherheitsregeln für die Ressourcen in einem Subnetz einrichten.

Ein Internetgateway ist ein optionaler virtueller Router, der die Edge des VCN mit dem Internet verbindet. Um das Gateway zu verwenden, müssen die Hosts auf beiden Seiten der Verbindung öffentliche IP-Adressen für das Routing haben. Verbindungen, die von einem VCN stammen und für eine öffentliche IP-Adresse (innerhalb oder außerhalb des VCN) bestimmt sind, werden durch das Internetgateway geleitet. Verbindungen, die von außerhalb Ihres VCN stammen und für eine öffentliche IP-Adresse innerhalb des VCN bestimmt sind, werden ebenfalls durch das Internetgateway geleitet.

Ein bestimmtes VCN kann jeweils nur ein Internetgateway haben. Sie steuern, welche öffentlichen Subnetze im VCN das Gateway verwenden dürfen, indem Sie die verknüpfte Routentabelle des Subnetzes konfigurieren. Mit Sicherheitsregeln können Sie steuern, welche Traffictypen in die und aus den Ressourcen in diesen öffentlichen Subnetzen geleitet werden dürfen.

Das folgende Diagramm veranschaulicht ein VCN-Setup mit einem einzelnen öffentlichen Subnetz. Das VCN verfügt über ein Internetgateway, und das öffentliche Subnetz ist für die Verwendung der Standardroutentabelle des VCN konfiguriert. Die Tabelle enthält eine Routingregel, die den gesamten Egress-Traffic von den Subnetzen an das Internetgateway sendet. Das Gateway lässt Ingress-Verbindungen aus dem Internet zu, deren Ziel-IP-Adresse der öffentlichen IP-Adresse einer Ressource im VCN entspricht. Die Sicherheitslistenregeln des öffentlichen Subnetzes bestimmen jedoch, welche Traffictypen in die und aus den Ressourcen im Subnetz fließen dürfen. Diese spezifischen Sicherheitsregeln werden nicht angezeigt.

Diese Abbildung zeigt ein Layout eines VCN mit einem öffentlichen Subnetz, das ein Internetgateway nutzt.
Callout 1: VCN-Standardroutentabelle
Ziel-CIDR Routenziel
0.0.0.0/0 Internetgateway
Tipp

Traffic zwischen einem VCN und einer öffentlichen IP-Adresse in Oracle Cloud Infrastructure (wie Object Storage) muss über ein Servicegateway und nicht über ein Internetgateway geleitet werden.

Mit Internetgateways arbeiten

Sie erstellen ein Internetgateway im Kontext eines bestimmten VCN, und das Internetgateway wird immer an dieses VCN angehängt. Sie können das Internetgateway jedoch jederzeit deaktivieren und wieder aktivieren. Vergleichen Sie dies mit einem dynamischen Routinggateway (DRG), das Sie als eigenständiges Objekt erstellen, das Sie dann an ein bestimmtes VCN anhängen. DRGs verwenden ein anderes Modell, weil sie als modulare Bausteine für die private Verbindung der VCNs mit einem On-Premise-Netzwerk oder anderen VCNs dienen sollen.

Damit Traffic von einem öffentlichen Subnetz zum Internet fließen kann, müssen Sie eine entsprechende Routingregel in der Routentabelle des Subnetzes erstellen. Beispiel: Wenn Sie den Traffic über eine Firewall weiterleiten möchten, kann das Ziel die private IP-Adresse der Firewall sein. Beispiel: Ziel-CID R = 0.0.0.0/0 und Ziel = Internetgateway. Das Firewallsubnetz benötigt anschließend eine Route (z.B. 0.0.0.0/0), um das Internet mit dem Internetgateway als Ziel zu erreichen.

Wenn Traffic vom Internet zu einem Ziel in einem öffentlichen Subnetz fließt, leitet das Internetgateway den Traffic standardmäßig direkt an das Ziel weiter. Sie können eine Routentabelle mit dem Internetgateway verknüpfen und Routingregeln definieren, die öffentlichen Ingress-Traffic an Ziele im VCN weiterleiten. Beispiel: Wenn das Internetgateway den Traffic zuerst an eine Firewall im VCN weiterleiten soll, können Sie eine Routingregel für das Zielsubnetz-CIDR mit der privaten IP-Adresse der Firewall als Ziel erstellen. Routingregeln an Ziele außerhalb des VCN in einer Routentabelle des Internetgateway werden nicht unterstützt.

Für jedes VCN ist nur ein Internetgateway erforderlich. Alle öffentlichen Subnetze in einem VCN haben Zugriff auf das Internetgateway, sofern Sicherheitsregeln und Routentabellenregeln diesen Zugriff zulassen.

Zum Zwecke der Zugriffskontrolle müssen Sie das Compartment angeben, in dem das Internetgateway gespeichert werden soll. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, legen Sie das Internetgateway im selben Compartment wie das Cloud-Netzwerk ab. Weitere Informationen finden Sie unter Zugriffskontrolle.

Sie können dem Internetgateway einen benutzerfreundlichen Namen zuweisen. Er muss nicht eindeutig sein und kann später geändert werden. Oracle weist dem Internetgateway automatisch eine eindeutige ID zu, die als Oracle Cloud-ID (OCID) bezeichnet wird. Weitere Informationen finden Sie unter Ressourcen-IDs.

Um ein Internetgateway zu löschen, muss es jedoch nicht deaktiviert werden, es kann jedoch eine Routentabelle nicht vorhanden sein, die es als Ziel auflistet.

Informationen zu Limits finden Sie unter Gatewaylimits und Erhöhung des Servicelimits anfordern.

Internetgateway einrichten

Voraussetzungen:

  • Entscheiden Sie, mit welchen Subnetzen im VCN Zugriff auf das Internet benötigt wird, und erstellen Sie diese öffentlichen Subnetze.

    Für jedes VCN ist nur ein Internetgateway erforderlich. Alle öffentlichen Subnetze in einem VCN haben Zugriff auf das Internetgateway, sofern Sicherheitsregeln und Routentabellenregeln diesen Zugriff zulassen.

  • Legen Sie fest, welche Arten von Ingress- und Egress-Internettraffic für die Ressourcen in den einzelnen öffentlichen Subnetzen aktiviert werden sollen (Beispiele: Ingress-HTTPS-Verbindungen, Ingress-ICM-Ping-Verbindungen).
  • Die erforderliche IAM-Policy ist vorhanden, damit Sie mit Networkingserviceressourcen arbeiten können. Für Administratoren: Weitere Informationen finden Sie unter IAM-Policys für Networking.
Wichtig

Wenn das öffentliche Subnetz die Verwendung der Standardsicherheitsliste konfiguriert hat, achten Sie dabei darauf, dass die Liste mehrere nützliche Standardregeln enthält, mit denen die erforderliche Basiszugriffsberechtigung aktiviert wird (Beispiele: Ingress-SSH, Egress-Zugriff auf alle Ziele). Wir empfehlen, dass Sie sich mit dem grundlegenden Zugriff vertraut machen, den diese Standardregeln bereitstellen. Wenn Sie die Standardsicherheitslisten nicht verwenden möchten, stellen Sie sicher, dass dieser grundlegende Zugriff durch Implementierung dieser Sicherheitsregeln entweder in Netzwerksicherheitsgruppen (NSGs) oder benutzerdefinierten Sicherheitslisten implementiert wird.

Im folgenden Verfahren werden Sicherheitslisten verwendet. Sie könnten jedoch stattdessen die Sicherheitsregeln in einer Netzwerksicherheitsgruppe implementieren und dann alle Ressourcen des Subnetzes in der NSG erstellen.

  1. Richten Sie für jedes öffentliche Subnetz, das das Internetgateway verwenden muss, die Sicherheitslistenregeln des Subnetzes ein, um Internettraffic zuzulassen. Siehe die folgenden Beispieleinstellungen:

    Angenommen, Sie verfügen über Webserver im öffentlichen Subnetz. Dieses Beispiel zeigt, wie Sie eine Ingress-Regel für HTTPS-Verbindungen (TCP-Port 443) vom Internet zum Webserver hinzufügen. Ohne diese Regel sind eingehende HTTPS-Verbindungen nicht zulässig.

    1. Lassen Sie das Kontrollkästchen zustandslos deaktiviert.
    2. Quelltyp: CIDR
    3. Quell-CIDR: 0.0.0.0/0
    4. IP-Protokoll: Behalten Sie "TCP" bei.
    5. Quellportbereich: Behalten Sie "Alle" bei.
    6. Zielportbereich: Geben Sie "443" ein.
    7. Beschreibung: Eine optionale Beschreibung der Regel.
  2. Erstellen Sie das Internetgateway des VCN.

    Nachdem das Internetgateway erstellt und auf der Seite Internetgateways des ausgewählten VCN angezeigt wurde, ist es bereits aktiviert, aber Sie müssen immer noch eine Routingregel hinzufügen, die den Traffic an das Gateway weiterleitet.

  3. Aktualisieren Sie für jedes öffentliche Subnetz, das das Internetgateway verwenden muss, die Routentabelle des Subnetzes mit den folgenden Beispieleinstellungen:

    • Zieltyp: Internetgateway
    • Ziel-CIDR -Block: 0.0.0.0/0 (d.h. der gesamte Nicht-Intra-VCN-Traffic, die noch nicht von anderen Regeln in der Routentabelle abgedeckt sind, wird zu dem in dieser Regel angegebenen Ziel geleitet)
    • Compartment: Das Compartment mit dem Internetgateway.
    • Ziel: Das von Ihnen erstellte Internetgateway.
    • Beschreibung: Eine optionale Beschreibung der Regel.

Das Internetgateway ist jetzt aktiviert und arbeitet mit dem Cloud-Netzwerk.