Gateway de NAT
En este tema se explica cómo configurar y gestionar un gateway de traducción de direcciones de red (NAT). Un gateway de NAT ofrece acceso a internet a los recursos en la nube sin direcciones IP públicas sin exponer dichos recursos a las conexiones de internet entrantes.
Aspectos destacados
- Puede agregar un gateway de NAT a su VCN para dar acceso a internet a las instancias de una subred privada.
- Las instancias de una subred privada no tienen direcciones IP públicas. Con el gateway de NAT, pueden iniciar conexiones a internet y recibir respuestas, pero no pueden recibir conexiones entrantes iniciadas desde internet.
- Los gateways de NAT tienen alta disponibilidad y admiten tráfico de ping TCP, UDP e ICMP.
Visión general de la NAT
NAT es una técnica de redes que se suele utilizar para dar acceso a internet a toda una red privada sin asignar a cada host una dirección pública de IPv4. Los hosts pueden iniciar conexiones a internet y recibir respuestas, pero no pueden recibir conexiones entrantes iniciadas desde internet.
Cuando un host de la red privada inicia una conexión de enlace interno, la dirección IP pública del dispositivo NAT se convierte en la dirección IP de origen para el tráfico saliente. El tráfico de respuesta de internet, por lo tanto, utiliza esa dirección IP pública como la dirección IP de destino. A continuación, el dispositivo NAT enruta la respuesta al host de la red privada que inició la conexión.
Visión general de los gateways de NAT
El servicio de redes ofrece una solución de NAT fiable y de alta disponibilidad para su VCN en forma de gateway de NAT.
Caso de ejemplo: Imagine que tiene recursos que necesitan recibir tráfico entrante desde internet (por ejemplo, servidores web). También tiene recursos privados que deben estar protegidos del tráfico entrante de internet. Todos estos recursos deben iniciar conexiones a internet para solicitar actualizaciones de software desde sitios de internet.
Puede configurar una VCN y agregar una subred pública para mantener los servidores web. Al iniciar las instancias, se asignan direcciones IP públicas para que puedan recibir tráfico de internet entrante. También puede agregar una subred privada para mantener las instancias privadas. No pueden tener direcciones IP públicas porque están en una subred privada.
Puede agregar un gateway de internet a la VCN. También puede agregar una regla de ruta en la tabla de rutas de la subred pública que dirige el tráfico de internet al gateway de internet. Las instancias de la subred pública ahora pueden iniciar conexiones a internet y recibir también conexiones entrantes iniciadas desde internet. Recuerde que puede utilizar reglas de seguridad para controlar los tipos de tráfico que se permiten dentro y fuera de las instancias en el nivel del paquete.
Agregue un gateway de NAT a la VCN. También puede agregar una regla de ruta en la tabla de rutas de la subred privada que dirige el tráfico de internet al gateway de NAT. Las instancias de la subred privada ahora pueden iniciar conexiones a internet. El gateway de NAT permite respuestas, pero no permite conexiones que se inicien desde internet. Sin ese gateway de NAT, las instancias privadas en su lugar deben estar en la subred pública y tener direcciones IP públicas para obtener las actualizaciones de software.
Al enrutar el tráfico de respuesta desde internet de nuevo a la subred, por defecto un gateway de NAT enruta el tráfico directamente al destino. Puede asociar una tabla de rutas al gateway de NAT y definir reglas de ruta para el enrutamiento de entrada del gateway de NAT en esa tabla de rutas. Por ejemplo, si desea que el gateway de NAT enrute primero el tráfico de respuesta a un firewall, puede crear una regla de ruta para el CIDR de la subred de destino con la IP privada de firewall como destino en la tabla de rutas del gateway de NAT.
En el diagrama siguiente se ilustra el diseño de red básico para el ejemplo. Las flechas indican si las conexiones se pueden iniciar en una única dirección o en ambas.
| CIDR de destino | Destino de ruta |
|---|---|
| 0.0.0.0/0 | Gateway de internet |
| Destino de ruta | Destino de ruta |
|---|---|
| 0.0.0.0/0 | Gateway de NAT |
El gateway de NAT solo lo pueden utilizar los recursos de la VCN propia del gateway. Si la VCN se conecta con otra, los recursos de la otra VCN no pueden acceder al gateway de NAT.
Además, los recursos de una red local conectada a la VCN del gateway de NAT con FastConnect o una VPN de sitio a sitio no pueden utilizar el gateway de NAT.
A continuación, se describen algunos aspectos básicos sobre los gateways de NAT:
- El gateway de NAT admite tráfico de ping TCP, UDP e ICMP.
- El gateway soporta un máximo de aproximadamente 20 000 conexiones simultáneas a una única dirección y puerto de destino.
- El servicio Networking puede asignar una nueva dirección IP pública para un nuevo gateway de NAT, o bien usted puede especificar una IP pública reservada existente y específica que utilizar para un gateway de NAT recién creado.
- Hay un límite en el número de gateway de NAT por VCN, pero lo más probable es que la VCN solo necesite un gateway de NAT. Puede solicitar un aumento de ese límite. Consulte la sección Límites de servicio para obtener una lista de límites aplicables e instrucciones para solicitar un aumento del límite..
Enrutamiento de un gateway de NAT
El enrutamiento se controla en la VCN en el nivel de subred, de modo que puede especificar qué subredes de su VCN utilizan un gateway de NAT. Puede tener más de un gateway de NAT en una VCN (aunque debe solicitar un aumento de sus límites). Por ejemplo, si desea que una aplicación externa distinga tráfico de las distintas subredes de VCN, puede configurar un gateway de NAT diferente (y, por lo tanto, una dirección IP pública diferente) para cada subred. Una subred determinada puede enrutar el tráfico hacia un solo gateway de NAT.
Bloqueo del tráfico a través de un gateway de NAT
Un gateway de NAT se crea en el contexto de una VCN específico. En otras palabras, el gateway de NAT siempre se asocia automáticamente a una sola VCN de su elección. Sin embargo, puede bloquear o permitir el tráfico a través del gateway de NAT en cualquier momento. De forma predeterminada, el gateway permite el tráfico durante la creación. El bloqueo del gateway de NAT impide que el tráfico fluya, independientemente de las reglas de ruta o de seguridad existentes en su VCN. Para obtener instrucciones sobre cómo bloquear el tráfico, consulte Bloqueo o permitir tráfico para un gateway de NAT.
Transición a un gateway de NAT
Si está pasando de utilizar una instancia de NAT en su VCN a un gateway de NAT, tenga en cuenta que la dirección IP pública de su dispositivo NAT cambiará.
Si está pasando de utilizar un gateway de internet a un gateway de NAT, las instancias con acceso al gateway de NAT ya no necesitarán direcciones IP públicas para acceder a internet. Además, las instancias ya no necesitarán estar en una subred pública. No puede cambiar una subred de pública a privada. Sin embargo, puede eliminar las IP públicas efímeras de sus instancias si lo desea.
Supresión de un gateway de NAT
Para eliminar un gateway de NAT, no es necesario bloquear su tráfico, pero no debe haber ninguna tabla de rutas que lo muestre como un destino. Para obtener instrucciones, consulte Supresión de un gateway de NAT.
Política de IAM necesaria
Para que pueda utilizar Oracle Cloud Infrastructure, un administrador le debe otorgar acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si obtiene un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador el tipo de acceso que posee y en qué compartimento debería trabajar.
Para administradores: consulte Políticas de IAM para redes.
Configuración de un gateway de NAT
Consulte las instrucciones en Creación de un gateway de NAT.
Al crear un gateway de NAT, también debe crear una regla de ruta que dirija el tráfico deseado de la subred al gateway de NAT. Repita la misma operación para cada subred que necesite acceder al gateway.
- Determine qué subredes de la VCN necesitan acceder al gateway de NAT.
-
Para cada una de ellas, actualice la tabla de rutas de la subred para incluir una nueva regla con la siguiente configuración:
- Tipo de destino: gateway de NAT.
- Bloque de CIDR de destino: 0.0.0.0/0
- Compartimiento: compartimiento donde se encuentra el gateway de NAT.
- Gateway de NAT de destino: el gateway de NAT.
- Descripción: descripción opcional de la regla.
Todo el tráfico de subred que tenga un destino que coincida con la regla se enrutará al gateway de NAT. Para obtener más información sobre la configuración de reglas de ruta, consulte Tablas de rutas de VCN.
Más adelante, si ya no necesita el gateway de NAT y desea eliminarlo, primero debe eliminar todas las reglas de rutas de su VCN que especifican el gateway de NAT como destino.
sin el enrutamiento necesario, el tráfico no fluye por el gateway de NAT. En caso de que necesite detener temporalmente el flujo de tráfico a través del gateway, basta con eliminar la regla de ruta que activa el tráfico. También puede bloquear el tráfico por completo a través del gateway. No es necesario eliminarlo.