Nota:

• En este tutorial se necesita acceso a Oracle Cloud. Para registrarse para obtener una cuenta gratuita, consulte Introducción a la capa gratuita de Oracle Cloud Infrastructure.
• Utiliza valores de ejemplo para credenciales, arrendamiento y compartimentos de Oracle Cloud Infrastructure. Al finalizar el laboratorio, sustituya estos valores por otros específicos de su entorno en la nube.

Configurar gateway de NAT para instancias informáticas privadas

Introducción

Muchos clientes de Oracle Cloud Infrastructure tienen instancias informáticas en redes virtuales en la nube (VCN) que, por motivos de privacidad, seguridad u operaciones, están conectadas a subredes privadas. Para otorgar a estos recursos acceso a la red pública de Internet para actualizaciones de software, comprobaciones de CRL, etc., la única opción de un cliente ha sido crear una instancia NAT en una subred pública y direccionar el tráfico a través de esa instancia utilizando su dirección IP privada como destino de ruta desde la subred privada. Aunque muchos han utilizado con éxito este enfoque, no se escala fácilmente y proporciona una gran cantidad de retos administrativos y operativos.

El gateway de NAT aborda estos desafíos y proporciona a los clientes de Oracle Cloud Infrastructure una herramienta sencilla e intuitiva para abordar sus necesidades de seguridad de red. Los gateways de NAT proporcionan las siguientes funciones:

• Muy escalable y totalmente gestionado: las instancias de subredes privadas pueden iniciar un gran número de conexiones a la red pública de Internet. Las conexiones iniciadas desde Internet se bloquean.

• Seguro: el tráfico a través de gateways de NAT se puede desactivar haciendo clic en un botón.

• Direcciones IP dedicadas: a cada gateway de NAT se le asigna una dirección IP dedicada que se puede agregar de forma fiable a las listas blancas de seguridad.

Conéctese a la consola de OCI y cree una VCN

Nota: Las capturas de pantalla de las instrucciones pueden ser diferentes de la interfaz de usuario real.

1. Inicie sesión en la consola de Oracle Cloud Infrastructure con su nombre de inquilino, nombre de usuario y contraseña.

2. En el menú Servicios de OCI, haga clic en Redes virtuales en la nube en Red y seleccione el compartimento adecuado. Haga clic en Iniciar asistente de VCN.

   Nota: asegúrese de que el compartimento correcto esté seleccionado en la lista COMPARTMENT.

3. Haga clic en VCN con conexión a Internet y en Iniciar asistente de VCN.

4. Rellene el cuadro de diálogo y haga clic en Siguiente:

   • NOMBRE de VCN: proporcione un nombre
   • COMPARTMENT: asegúrese de que el compartimento está seleccionado.
   • BLOCK de CIDR de VCN: proporcione un bloque de CIDR (10.0.0.0/16)
   • BLOCK de CIDR PUBLIC SUBNET: proporcione un bloque de CIDR (10.0.1.0/24)
   • PRIVATE SUBNET CIDR BLOCK: proporcione un bloque de CIDR (10.0.2.0/24)

5. Verifique toda la información y haga clic en Crear.

   Esto creará una VCN con los siguientes componentes: VCN, subred pública, gateway de Internet (IG), gateway de NAT (NAT), gateway de servicio (SG).

6. Haga clic en Ver red virtual en la nube para mostrar los detalles de la VCN.

Crear y conectar a instancia informática

1. Cree claves de cifrado SSH que puede utilizar para iniciar sesión en su VM abriendo una ventana de terminal en el directorio donde desea almacenar sus claves y emitiendo el siguiente comando OpenSSH, donde <my-key> es el nombre de clave deseado:

   ssh-keygen -t rsa -N "" -b 2048 -C <my-key> -f <my-key>
   

   El comando genera un arte de texto aleatorio utilizado para generar las claves. Cuando haya terminado, debe tener dos archivos:

   • El archivo de claves privadas: <my-key>
   • Archivo de clave pública: <my-key>.pub

   Utilice estos archivos para conectarse a su instancia informática.

2. Vaya a la consola de OCI. En el menú Servicios de OCI, en Recursos informáticos, haga clic en Instancias.

3. Haga clic en Crear instancia y rellene el cuadro de diálogo:

   • Asignar un nombre a la instancia: introduzca un nombre
   • Seleccionar un sistema operativo o un origen de imagen: para la imagen, se recomienda utilizar el último Oracle Linux disponible.
   • Dominio de disponibilidad: seleccione Dominio de disponibilidad
   • Tipo de instancia: Seleccionar Máquina Virtual
   • Unidad de instancia: seleccione la unidad de máquina virtual

   En Configure Networking:

   • Compartimento de red virtual en la nube: seleccione su compartimento

   • Red virtual en la nube: seleccione la VCN

   • Compartimento de subred: seleccione su compartimento

   • Subred: Seleccione la subred pública en Subredes públicas

   • Utilizar grupos de seguridad de red para controlar el tráfico: dejar sin marcar

   • Assign a public IP address: marque esta opción

     

   A continuación, introduzca lo siguiente:

   • Volumen de inicio: deje el valor por defecto
   • Agregar claves SSH: seleccione Pegar claves SSH y pegue la clave pública guardada anteriormente.

4. Haga clic en Crear.

   Nota: Si se muestra un error de 'Límite de servicio', seleccione una unidad diferente de VM.Standard2.1, VM.Standard.E2.1, VM.Standard1.1, VM.Standard.B1.1 o elija un dominio de disponibilidad diferente.

5. Espere a que la instancia esté en estado En ejecución. En el terminal del shell en la nube, introduzca el comando:

   cd .ssh
   

6. Introduzca ls y verifique que el archivo de clave SSH existe.

7. Introduzca el comando:

   bash
   

   ssh -i id_rsa opc@PUBLIC_IP_OF_COMPUTE
   

   Indicación: si se ve un error de permiso denegado, asegúrese de utilizar -i en el comando SSH. DEBE escribir el comando; NO copie ni pegue el comando SSH.

8. Introduzca yes cuando se le solicite el mensaje de seguridad.

   

9. Verifique que opc@<COMPUTE_INSTANCE_NAME> aparece en la petición de datos.

Configurar el gateway de NAT

Ahora crearemos una tabla de rutas en la VCN.

1. Cambie a la consola de OCI. En el menú Servicios de OCI, haga clic en Redes virtuales en la nube en Red. Localice la VCN y haga clic en el nombre de la VCN para mostrar los detalles de la VCN.

2. Haga clic en Gateways de NAT.

3. Haga clic en Tablas de rutas y, a continuación, en Crear tabla de rutas. Rellene el cuadro de diálogo:

   • Crear en compartimento: el valor por defecto de este campo es el compartimento actual; asegúrese de que se ha seleccionado el compartimento correcto
   • Nombre: introduzca un nombre

   Haga clic en +Additional Rutas de reglas

   • Tipo de Destino: Seleccione Gateway de NAT
   • bloque CIDR de destino: introduzca 0.0.0.0/0
   • Compartimento: asegúrese de que se ha seleccionado el compartimento correcto
   • Gateway de NAT de destino: seleccione el gateway de NAT para la VCN

4. Haga clic en Crear tabla de rutas.

   

5. Haga clic en su nombre de VCN para mostrar los detalles de la VCN. Haga clic en Crear subred. Rellene el cuadro de diálogo:

   • Nombre: introduzca un nombre
   • Tipo de subred: regional
   • Bloque de CIDR: proporcione un CIDR (por ejemplo, 10.0.5.0/24)
   • Tabla de rutas: seleccione la tabla de rutas creada anteriormente.

   Nota: No seleccione la tabla de rutas por defecto. Esto se está realizando de modo que todo el enrutamiento de las instancias informáticas de esta subred se realiza a través del gateway de NAT.

   • Acceso a subred: subred privada
   • Opciones de DHCP: seleccione el valor por defecto
   • Listas de Seguridad: seleccione la lista de seguridad que creó anteriormente.

6. Deje todas las demás opciones por defecto y haga clic en Crear subred.

   

7. Vaya a su terminal de shell en la nube y genere el par de claves SSH. Introduzca el comando:

   ssh-keygen
   

8. Pulse Intro cuando se le solicite Enter File in which to save the key, Created Directory, Enter passphrase y Enter Passphrase de nuevo.

9. Introduzca el comando:

   cd ~/.ssh
   

   y después

   ls
   

   Debe tener las claves privadas y públicas: /home/opc/.ssh/<sshkeyname> (clave privada) y /home/opc/.ssh/<sshkeyname>.pub (clave pública).

10. Introduzca el comando:

    cat ~/.ssh/id_rsa.pub
    

    Copie y pegue el contenido de la clave pública en Notepad. Utilizaremos esta clave pública para iniciar una instancia informática en una subred privada de la VCN.

11. Cambie a la ventana de la consola de OCI e inicie una segunda instancia informática como se hizo anteriormente. Asegúrese de que la subred seleccionada sea la subred privada que hemos creado anteriormente.

12. Una vez que se esté ejecutando la instancia, anote la dirección IP privada de la instancia en la página de detalles de la instancia (haciendo clic en el nombre de la instancia).

13. Cambie a una ventana git-bash con una sesión SSH a una instancia informática pública (primera instancia informática creada anteriormente). Introduzca el comando:

    cd ~/.ssh
    

    then

    bash
    

    ssh –i id_rsa opc@Private_IP_OF_COMPUTE_INSTANCE
    

    Nota: El nombre de usuario es opc.

    Indicación: si se ve un "error de permiso denegado", asegúrese de utilizar -i en el comando SSH.

    Nota: utilice la IP privada de la segunda instancia informática anotada anteriormente.

14. Introduzca Yes cuando se le solicite el mensaje de seguridad.

15. En la instancia informática privada, introduzca el comando:

    ping 8.8.8.8
    

    y verifique que hay conectividad a Internet.

    La instancia informática de la subred privada tiene acceso a Internet. Esto es posible porque el tráfico se enruta a través del gateway de NAT que hemos creado y conectado a la VCN. A continuación, utilizaremos la función de conmutación de tráfico en el gateway de NAT para bloquear/permitir el tráfico con un solo clic.

16. Cambie a la ventana de la consola de OCI. En la página de detalles de la VCN, haga clic en Gateways de NAT.

17. Mueva el cursor sobre el icono Acción y seleccione Bloquear tráfico.

18. Vuelva a la sesión SSH a la instancia informática privada e introduzca el comando ping 8.8.8.8 (si aún no se está ejecutando). Verifique que no hay respuesta.

    

19. Vuelva a la ventana de la consola de OCI y, mediante el paso anterior, esta vez seleccione Permitir tráfico. Vuelva a la sesión SSH y verifique que se reciba la respuesta ping.

Suprimir los Recursos

1. Cambie a la ventana de la consola de OCI.

2. Si no se muestra la instancia informática, en el menú Servicios de OCI, haga clic en Instancias en Recursos informáticos.

3. Localice la instancia informática, haga clic en el icono Acción y, a continuación, haga clic en Terminar.

   

4. Asegúrese de que Suprima permanentemente el volumen de inicio asociado esté marcado y haga clic en Finalizar instancia. Espere a que la instancia termine por completo.

   

5. Repita los pasos para suprimir la segunda instancia informática.

6. En el menú Servicios de OCI, haga clic en Redes virtuales en la nube en Red. Aparecerá una lista de todas las VCN.

7. Localice la VCN, haga clic en el icono Acción y, a continuación, haga clic en Terminar. Haga clic en Finalizar todo en la ventana de confirmación. Haga clic en Cerrar una vez que se suprima la VCN.

   

Agradecimientos

• Autores: Flavio Pereira, Larry Beausoleil
• Colaboradores: Kamryn Vinson (QA Intern), Yaisah Granillo (Ingeniero de soluciones en la nube)

Más recursos de aprendizaje

Explore otras prácticas en docs.oracle.com/learn o acceda a más contenido de aprendizaje libre en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en Oracle Learning Explorer.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Configure NAT gateway for private compute instances

F49954-01

November 2021

Copyright © 2021, Oracle and/or its affiliates.