Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Anmeldung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Er verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, Mandanten und Compartments. Ersetzen Sie diese Werte durch die Werte, die für Ihre Cloud-Umgebung spezifisch sind.

NAT-Gateway für private Compute-Instanzen konfigurieren

Einführung

Viele Oracle Cloud Infrastructure-Kunden verfügen über Compute-Instanzen in virtuellen Cloud-Netzwerken (VCNs), die aus Datenschutz-, Sicherheits- oder Betriebsgründen mit privaten Subnetzen verbunden sind. Um diesen Ressourcen Zugriff auf das öffentliche Internet für Softwareupdates, CRL-Prüfungen usw. zu erteilen, besteht die einzige Möglichkeit eines Kunden darin, eine NAT-Instanz in einem öffentlichen Subnetz zu erstellen und den Datenverkehr über diese Instanz zu leiten, indem die private IP-Adresse als Routingziel aus dem privaten Subnetz verwendet wird. Obwohl viele dieser Ansätze erfolgreich eingesetzt haben, lässt sich dieser Ansatz nicht einfach skalieren und stellt eine Vielzahl von administrativen und betrieblichen Herausforderungen bereit.

NAT-Gateway erfüllt diese Herausforderungen und stellt Oracle Cloud Infrastructure-Kunden ein einfaches und intuitives Tool zur Verfügung, mit dem sie ihre Netzwerksicherheitsanforderungen erfüllen können. NAT-Gateways bieten die folgenden Features:

• Hochgradig skalierbar und vollständig verwaltet: Instanzen in privaten Subnetzen können eine große Anzahl von Verbindungen zum öffentlichen Internet initiieren. Aus dem Internet gestartete Verbindungen werden blockiert.

• Sicher: Der Datenverkehr über NAT-Gateways kann mit einem Mausklick deaktiviert werden.

• Dedizierte IP-Adressen: Jedem NAT-Gateway wird eine dedizierte IP-Adresse zugewiesen, die zuverlässig zu Sicherheits-Whitelists hinzugefügt werden kann.

Melden Sie sich bei der OCI-Konsole an, und erstellen Sie ein VCN

Hinweis: Die Screenshots der Anweisungen können sich von der eigentlichen Benutzeroberfläche unterscheiden.

1. Melden Sie sich bei der Oracle Cloud Infrastructure-Konsole mit Ihrem Mandantennamen, Benutzernamen und Kennwort an.

2. Klicken Sie im Menü "OCI Services" unter Networking auf Virtuelle Cloud-Netzwerke, und wählen Sie das entsprechende Compartment aus. Klicken Sie auf VCN-Assistenten starten.

   Hinweis: Stellen Sie sicher, dass unter der Liste COMPARTMENT das richtige Compartment ausgewählt ist.

3. Klicken Sie auf VCN mit Internetverbindung, und klicken Sie auf VCN-Assistenten starten.

4. Füllen Sie das Dialogfeld aus, und klicken Sie auf Weiter:

   • VCN-NAME: Geben Sie einen Namen an
   • COMPARTMENT: Stellen Sie sicher, dass das Compartment ausgewählt ist.
   • VCN-CIDR-BLOCK: Geben Sie einen CIDR-Block (10.0.0.0/16) an
   • PUBLIC SUBNET CIDR BLOCK: Geben Sie einen CIDR-Block an (10.0.1.0/24)
   • PRIVATE SUBNET CIDR BLOCK: Geben Sie einen CIDR-Block an (10.0.2.0/24)

5. Prüfen Sie alle Informationen, und klicken Sie auf Erstellen.

   Dadurch wird ein VCN mit folgenden Komponenten erstellt: VCN, öffentliches Subnetz, Privates Subnetz, Internetgateway (IG), NAT-Gateway (NAT), Servicegateway (SG).

6. Klicken Sie auf Virtuelles Cloud-Netzwerk anzeigen, um die VCN-Details anzuzeigen.

Erstellen und Herstellen einer Verbindung zu Compute-Instanz

1. Erstellen Sie SSH-Verschlüsselungsschlüssel, mit denen Sie sich bei Ihrer VM anmelden können, indem Sie ein Terminalfenster im Verzeichnis öffnen, in dem Sie Ihre Schlüssel speichern möchten, und den folgenden Befehl OpenSSH ausgeben. Dabei ist <my-key> der gewünschte Schlüsselname:

   ssh-keygen -t rsa -N "" -b 2048 -C <my-key> -f <my-key>
   

   Der Befehl generiert zufällige Textkunst zur Generierung der Schlüssel. Nach Abschluss sollten zwei Dateien vorhanden sein:

   • Die Private Key-Datei: <my-key>
   • Die Public-Key-Datei: <my-key>.pub

   Mit diesen Dateien können Sie sich bei Ihrer Compute-Instanz anmelden.

2. Gehen Sie zur OCI-Konsole. Klicken Sie im Menü "OCI-Services" unter Compute auf Instanzen.

3. Klicken Sie auf Instanz erstellen, und füllen Sie das Dialogfeld aus:

   • Name der Instanz: Geben Sie einen Namen ein
   • Betriebssystem oder Imagequelle auswählen: Für das Image wird die Verwendung des neuesten verfügbaren Oracle Linux empfohlen.
   • Verfügbarkeitsdomain: Wählen Sie eine Availability-Domain aus
   • Instanztyp: Wählen Sie eine virtuelle Maschine aus
   • Instanzausprägung: Wählen Sie eine VM-Ausprägung aus

   Unter "Networking konfigurieren":

   • Compartment für virtuelle Cloud-Netzwerke: Wählen Sie Ihr Compartment aus

   • Virtuelles Cloud-Netzwerk: Wählen Sie das VCN aus

   • Subnetz-Compartment: Wählen Sie das Compartment aus

   • Subnetz: Wählen Sie das öffentliche Subnetz unter Öffentliche Subnetze

   • Netzwerksicherheitsgruppen zur Traffickontrolle verwenden: Deaktivieren

   • Öffentliche IP-Adresse zuweisen: Aktivieren Sie diese Option

     

   Geben Sie dann Folgendes ein:

   • Boot-Volume: Übernehmen Sie die Standardeinstellung.
   • SSH-Schlüssel hinzufügen: Wählen Sie SSH-Schlüssel einfügen aus, und fügen Sie den zuvor gespeicherten Public Key ein.

4. Klicken Sie auf Erstellen.

   Hinweis: Wenn ein Fehler "Servicelimit" angezeigt wird, wählen Sie eine andere Ausprägung aus VM.Standard2.1, VM.Standard.E2.1, VM.Standard1.1, VM.Standard.B1.1, oder wählen Sie eine andere AD aus.

5. Warten Sie, bis die Instanz den Status Wird ausgeführt aufweist. Geben Sie im Cloud-Shell-Terminal den folgenden Befehl ein:

   cd .ssh
   

6. Geben Sie ls ein, und prüfen Sie, ob die SSH-Schlüsseldatei vorhanden ist.

7. Befehl eingeben:

   bash
   

   ssh -i id_rsa opc@PUBLIC_IP_OF_COMPUTE
   

   Tipp: Wenn der Fehler "Berechtigung verweigert" angezeigt wird, stellen Sie sicher, dass Sie -i im SSH-Befehl verwenden. Sie MUSS den Befehl eingeben. Kopieren Sie den SSH-Befehl NICHT, und fügen Sie ihn ein.

8. Geben Sie yes ein, wenn Sie zur Eingabe der Sicherheitsmeldung aufgefordert werden.

   

9. Stellen Sie sicher, dass opc@<COMPUTE_INSTANCE_NAME> in der Eingabeaufforderung angezeigt wird.

NAT-Gateway konfigurieren

Im VCN wird jetzt eine Routentabelle erstellt.

1. Wechseln Sie zur OCI-Konsole. Klicken Sie im Menü "OCI Services" unter Networking auf Virtuelle Cloud-Netzwerke. Suchen Sie das VCN, und klicken Sie auf den VCN-Namen, um die VCN-Details anzuzeigen.

2. Klicken Sie auf NAT-Gateways.

3. Klicken Sie auf Weiterleitungstabellen und dann auf Weiterleitungstabelle erstellen. Füllen Sie das Dialogfeld aus:

   • Erstellen in Compartment: Dieses Feld wird standardmäßig auf das aktuelle Compartment gesetzt. Stellen Sie sicher, dass das korrekte Compartment ausgewählt ist.
   • Name: Geben Sie einen Namen ein

   Klicken Sie auf +Additional-Weiterleitungsregeln.

   • Zieltyp: Wählen Sie NAT-Gateway aus
   • Ziel-CIDR-Block: Geben Sie 0.0.0.0/0 ein.
   • Compartment: Stellen Sie sicher, dass das korrekte Compartment ausgewählt ist.
   • Ziel NAT-Gateway: Wählen Sie das NAT-Gateway für Ihr VCN aus

4. Klicken Sie auf Weiterleitungstabelle erstellen.

   

5. Klicken Sie auf Ihren VCN-Namen, um die VCN-Details anzuzeigen. Klicken Sie auf Subnetz erstellen. Füllen Sie das Dialogfeld aus:

   • Name: Geben Sie einen Namen ein
   • Subnettyp: Regional
   • CIDR-Block: Geben Sie ein CIDR an (z.B. 10.0.5.0/24)
   • Weiterleitungstabelle: Wählen Sie die zuvor erstellte Routentabelle aus

   Hinweis: Wählen Sie nicht die Standardroutentabelle. Damit erfolgt das gesamte Routing für Compute-Instanzen in diesem Subnetz über das NAT-Gateway.

   • Subnetzzugriff: Privates Subnetz
   • DHCP-Optionen: Wählen Sie den Standardwert aus
   • Sicherheitslisten: Wählen Sie die zuvor erstellte Sicherheitsliste aus

6. Übernehmen Sie alle anderen Optionen den Standardwert, und klicken Sie auf Subnetz erstellen.

   

7. Navigieren Sie zu Ihrem Cloud-Shell-Terminal, und generieren Sie das SSH-Schlüsselpaar. Befehl eingeben:

   ssh-keygen
   

8. Drücken Sie die Eingabetaste, wenn Sie erneut nach Enter File in which to save the key, Created Directory, Enter passphrase und Enter Passphrase gefragt werden.

9. Befehl eingeben:

   cd ~/.ssh
   

   und dann

   ls
   

   Private und Public Keys sollten vorhanden sein: /home/opc/.ssh/<sshkeyname> (Private Key) und /home/opc/.ssh/<sshkeyname>.pub (Public Key).

10. Befehl eingeben:

    cat ~/.ssh/id_rsa.pub
    

    Kopieren Sie den Public-Key-Inhalt, und fügen Sie ihn in Notepad ein. Mit diesem Public Key wird eine Compute-Instanz im privaten Subnetz des VCN gestartet.

11. Wechseln Sie in das Fenster der OCI-Konsole, und starten Sie wie zuvor eine zweite Compute-Instanz. Stellen Sie sicher, dass das gewählte Subnetz das private Subnetz ist, das wir zuvor erstellt haben.

12. Notieren Sie sich nach dem Ausführen der Instanz die private IP-Adresse der Instanz von der Seite mit den Instanzdetails (durch Klicken auf den Instanznamen).

13. Wechseln Sie in ein Git-Bash-Fenster mit einer SSH-Session zur öffentlichen Compute-Instanz (erste Compute-Instanz, die zuvor erstellt wurde). Befehl eingeben:

    cd ~/.ssh
    

    dann

    bash
    

    ssh –i id_rsa opc@Private_IP_OF_COMPUTE_INSTANCE
    

    Hinweis: Der Benutzername lautet "opc".

    Hinweis: Wenn ein "Fehler "Berechtigung verweigert" angezeigt wird, stellen Sie sicher, dass Sie -i im SSH-Befehl verwenden.

    Hinweis: Verwenden Sie die private IP der zweiten Compute-Instanz, die zuvor angegeben wurde.

14. Geben Sie Yes ein, wenn Sie zur Eingabe der Sicherheitsmeldung aufgefordert werden.

15. Geben Sie in der privaten Compute-Instanz den folgenden Befehl ein:

    ping 8.8.8.8
    

    und prüfen, ob Internet-Konnektivität vorhanden ist.

    Die Compute-Instanz im privaten Subnetz hat Internetzugriff. Dies ist möglich, da der Traffic über das NAT-Gateway geleitet wird, das wir erstellt und an das VCN angehängt haben. Als Nächstes verwenden wir die Funktion zum Umschalten des Datenverkehrs auf dem NAT-Gateway, um Datenverkehr mit einem einzigen Klick zu blockieren bzw. zuzulassen.

16. Wechseln Sie in das Fenster der OCI-Konsole. Klicken Sie auf der Detailseite des VCN auf NAT-Gateways.

17. Bewegen Sie den Mauszeiger über das Aktionssymbol, und wählen Sie Traffic blockieren.

18. Wechseln Sie zur SSH-Session zur privaten Compute-Instanz zurück, und geben Sie den Befehl ping 8.8.8.8 ein (falls noch nicht ausgeführt). Stellen Sie sicher, dass keine Antwort vorhanden ist.

    

19. Wechseln Sie zum Fenster "OCI-Konsole", und wählen Sie im obigen Schritt die Option Traffic zulassen. Wechseln Sie zur SSH-Session zurück, und prüfen Sie, ob die ping-Antwort empfangen wurde.

Ressourcen löschen

1. Wechseln Sie in das Fenster der OCI-Konsole.

2. Wenn Ihre Compute-Instanz nicht angezeigt wird, klicken Sie im Menü "OCI-Services" unter Compute auf Instanzen.

3. Suchen Sie die Compute-Instanz, klicken Sie auf das Aktionssymbol, und klicken Sie dann auf Beenden.

   

4. Stellen Sie sicher, dass das angehängte Boot-Volume endgültig löschen aktiviert ist, und klicken Sie auf Instanz beenden. Warten Sie, bis die Instanz vollständig beendet wurde.

   

5. Wiederholen Sie die Schritte, um die zweite Compute-Instanz zu löschen.

6. Klicken Sie im Menü "OCI-Services" unter Networking auf Virtuelle Cloud-Netzwerke. Eine Liste aller VCNs wird angezeigt.

7. Suchen Sie das VCN, klicken Sie auf das Aktionssymbol und dann auf Beenden. Klicken Sie im Bestätigungsfenster auf Alle beenden. Klicken Sie auf Schließen, nachdem das VCN gelöscht wurde.

   

Danksagungen

• Authors - Flavio Pereira, Larry Beausoleil
• Mitwirkende - Kamryn Vinson (QA Intern), Yaisah Granillo (Cloud Solution Engineer)

Weitere Lernressourcen

Sehen Sie sich andere Übungen unter docs.oracle.com/learn an, oder greifen Sie auf kostenlosere Lerninhalte im Oracle Learning YouTube-Kanal zu. Unter education.oracle.com/learning-explorer können Sie außerdem zum Oracle Learning Explorer werden.

Weitere Informationen zur Produktdokumentation finden Sie unter Oracle Help Center.

---

Titel und Copyright-Informationen

Configure NAT gateway for private compute instances

F49956-01

November 2021

Copyright © 2021, Oracle and/or its affiliates.