Gateway de NAT
En este tema se explica cómo configurar y gestionar un gateway de traducción de direcciones de red (NAT). Un gateway de NAT ofrece acceso a internet a los recursos en la nube sin direcciones IP públicas sin exponer dichos recursos a las conexiones de internet entrantes.
Aspectos destacados
- Puede agregar un gateway de NAT a una VCN para dar acceso a Internet a las instancias en una subred privada.
- Las Instancias informáticas de una subred privada no tienen direcciones IP públicas. Con el gateway de NAT, pueden conectar a Internet y recibir respuestas, pero no reciben conexiones entrantes desde Internet.
- Los gateways de NAT tienen alta disponibilidad y admiten tráfico de ping TCP, UDP e ICMP.
Visión general de la NAT
NAT es una técnica de redes que se suele utilizar para dar acceso a internet a toda una red privada sin asignar a cada host una dirección pública de IPv4. Los hosts pueden empezar conexiones a Internet y recibir respuestas, pero no reciben conexiones entrantes iniciada desde Internet.
Cuando un host de la red privada arranca una conexión de enlace a Internet, la dirección IP pública del dispositivo NAT se convierte en la dirección IP de origen para el tráfico saliente. El tráfico de respuesta de internet, por lo tanto, utiliza esa dirección IP pública como la dirección IP de destino. A continuación, el dispositivo NAT enruta la respuesta al host de la red privada que ha iniciado la conexión.
Visión general de los gateways de NAT
El servicio Networking ofrece una solución NAT fiable y altamente disponible para una VCN en forma de gateway DE NAT.
Caso de ejemplo: Imagine que tiene recursos que necesitan recibir tráfico entrante desde internet (por ejemplo, servidores web). También tiene recursos privados que deben estar protegidos del tráfico entrante de internet. Todos estos recursos deben comenzar conexiones a Internet para solicitar actualizaciones de software desde sitios de Internet.
Puede configurar una VCN y agregar una subred pública para mantener los servidores web. Al crear las instancias, se les asignan direcciones IP públicas para que puedan recibir tráfico de Internet entrante. También puede agregar una subred privada para mantener las instancias privadas. No pueden tener direcciones IP públicas porque están en una subred privada.
Puede agregar un gateway de internet a la VCN. También puede agregar una regla de ruta en la tabla de rutas de la subred pública que dirige el tráfico de internet al gateway de internet. Las instancias de la subred pública ahora pueden empezar conexiones a internet y recibir también conexiones entrantes desde internet. Recuerde que puede utilizar reglas de seguridad para controlar los tipos de tráfico que se permiten dentro y fuera de las instancias en el nivel del paquete.
Agregue un gateway de NAT a la VCN. También puede agregar una regla de ruta en la tabla de rutas de la subred privada que dirige el tráfico de internet al gateway de NAT. Las instancias de la subred privada ahora pueden comenzar conexiones a Internet. El gateway de NAT permite respuestas, pero no permite conexiones desde Internet. Sin ese gateway de NAT, las instancias privadas en su lugar deben estar en la subred pública y tener direcciones IP públicas para obtener las actualizaciones de software.
Al enrutar el tráfico de respuesta desde internet de nuevo a la subred, por defecto un gateway de NAT enruta el tráfico directamente al destino. Puede asociar una tabla de rutas al gateway de NAT y definir reglas de ruta para el enrutamiento de entrada del gateway de NAT en esa tabla de rutas. Por ejemplo, si desea que el gateway de NAT enrute primero el tráfico de respuesta a un firewall, puede crear una regla de ruta para el CIDR de la subred de destino con la IP privada de firewall como destino en la tabla de rutas del gateway de NAT.
En el diagrama siguiente se ilustra el diseño de red básico para el ejemplo. Las flechas indican si las conexiones se pueden iniciar en una sola dirección o en ambas.
| CIDR de destino | Destino de ruta |
|---|---|
| 0.0.0.0/0 | Gateway de internet |
| Destino de ruta | Destino de ruta |
|---|---|
| 0.0.0.0/0 | Gateway de NAT |
El gateway de NAT solo lo pueden utilizar los recursos de la VCN propia del gateway. Si la VCN se conecta con otra, los recursos de la otra VCN no podrán acceder al gateway de NAT.
Además, los recursos de una red local conectada a la VCN del gateway en NAT con FastConnect o una VPN de sitio a sitio no pueden utilizar el gateway en NAT.
A continuación, se describen algunos aspectos básicos sobre los gateways de NAT:
- El gateway de NAT admite tráfico de ping TCP, UDP e ICMP.
- La puerta de enlace soporta un máximo de 20 000 conexiones simultáneas a una única dirección y puerto de destino.
- El servicio Networking puede asignar una nueva dirección IP pública para un nuevo gateway de NAT, o bien usted puede especificar una IP pública reservada existente y específica que utilizar para un gateway de NAT recién creado.
- Existe un límite en el número de gateways de NAT por VCN, pero lo más probable es que una VCN solo necesite un gateway de NAT. Puede solicitar un aumento de ese límite. Consulte Límites de servicios para ver una lista de límites aplicables e instrucciones para solicitar un aumento de límite.
Enrutamiento de un gateway de NAT
El enrutamiento se controla en una VCN en el nivel de subred, de modo a que puede especificar qué subredes de la VCN utilizan un gateway de NAT. Puede tener más de un gateway de NAT en una VCN (aunque debe solicitar un aumento de sus límites). Por ejemplo, si desea que una aplicación externa distinga tráfico de las distintas subredes de VCN, puede configurar un gateway de NAT diferente (y, por lo tanto, una dirección IP pública diferente) para cada subred. Una subred concreta puede enrutar el tráfico hacia un solo gateway de NAT.
Bloqueo del tráfico a través de un gateway de NAT
Un gateway de NAT se crea en el contexto de una VCN específica, por lo que un gateway de NAT siempre se asocia automáticamente a una sola VCN. Sin embargo, puede bloquear o permitir el tráfico a través del gateway de NAT en cualquier momento. De forma predeterminada, el gateway permite el tráfico durante la creación. El bloqueo del gateway de NAT impide que fluya todo el tráfico, independientemente de las reglas que existan en la VCN. Para obtener instrucciones sobre cómo bloquear el flujo de tráfico, consulte Bloqueo o permiso del flujo de trabajo para un gateway NAT.
Transición a un gateway de NAT
Si está pasando de utilizar una instancia de NAT en su VCN a un gateway de NAT, tenga En cuenta que la dirección IP pública del dispositivo NAT también cambiará.
Si está pasando de utilizar un gateway de internet a un gateway de NAT, las instancias con acceso al gateway de NAT ya no necesitarán direcciones IP públicas para acceder a internet. Además, las instancias ya no necesitarán estar en una subred pública. No puede cambiar una subred de pública a privada. Sin embargo, siempre puede suprimir las IP públicas efímeras de las instancias informáticas.
Supresión de un gateway de NAT
Para suprimir un gateway de NAT, no hay que bloquear su tráfico, pero no debe haber una tabla de rutas que la muestre como destino. Para obtener instrucciones, consulte Supresión de un gateway de NAT.
Política de IAM necesaria
Para utilizar Oracle Cloud Infrastructure, un administrador debe ser miembro de un grupo al que un administrador de arrendamiento haya otorgado acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador del arrendamiento el tipo de acceso que tiene y en qué compartimento trabaja el acceso.
Para administradores: consulte Políticas de IAM para redes.
Configuración de un gateway de NAT
Consulte las instrucciones en Creación de un gateway de NAT.
Al crear un Gateway de NAT, también debe crear una regla de ruta que direccione el tráfico de la subred al Gateway de NAT. Repita la misma operación para cada subred que necesite acceder al gateway.
- Decida qué subredes de la VCN necesitan acceso al gateway de NAT.
-
Para cada una de esas subredes, actualice la tabla de rutas de la subred para incluir una nueva regla mediante la siguiente configuración:
- Tipo de destino: gateway de NAT.
- Bloque CIDR de destino: 0.0.0.0/0
- Compartimento: compartimento que contiene el gateway de NAT.
- Gateway de NAT de destino: el gateway de NAT.
- Descripción: descripción opcional de la regla.
Todo el tráfico de subred que tenga un destino que coincida con la regla se enrutará al gateway de NAT. Para obtener más información sobre la configuración de reglas de ruta, consulte Tablas de rutas de VCN.
Más adelante, si ya no necesita el gateway de NAT y desea suprimirlo, primero debe suprimir todas las reglas que especifican el gateway de NAT como destino en la VCN.
sin el enrutamiento necesario, el tráfico no fluye por el gateway de NAT. Si se produce una situación en la que necesite detener temporalmente el flujo de tráfico a través del gateway, puede eliminar la regla de ruta que permite el tráfico. También puede bloquear el tráfico por completo a través del gateway. No es necesario suprimirlo.