Passerelle NAT
Cette rubrique décrit comment configurer et gérer une passerelle de traduction d'adresses de réseau (NAT). Une passerelle NAT permet à vos ressources en nuage d'accéder à Internet sans adresses IP publiques et sans être exposées aux connexions Internet entrantes.
Points saillants
- Vous pouvez ajouter une passerelle NAT à votre VCN pour donner aux instances d'un sous-réseau privé un accès à Internet.
- Les instances d'un sous-réseau n'ont pas d'adresse IP publique. Avec la passerelle NAT, elles peuvent lancer des connexions à Internet et recevoir des réponses, mais non des connexions entrantes initiées depuis Internet.
- Les passerelles NAT sont hautement disponibles et prennent en charge le trafic TCP, UDP et ICMP.
Aperçu de NAT
NAT est une technique de réseau couramment utilisée pour donner un accès réseau privé à Internet sans affecter à chaque hôte une adresse IPv4 publique. Les hôtes peuvent lancer des connexions à Internet et recevoir des réponses, mais ne peuvent pas recevoir de connexions entrantes provenant d'Internet.
Lorsqu'un hôte dans le réseau privé lance une connexion vers Internet, l'adresse IP publique de l'appareil NAT devient l'adresse IP source du trafic sortant. Le trafic de réponse d'Internet utilise donc cette adresse IP publique comme adresse IP de destination. L'appareil NAT achemine ensuite la réponse à l'hôte du réseau privé qui a initié la connexion.
Aperçu des passerelles NAT
Le service Réseau offre une solution de traduction d'adresses de réseau hautement disponible et fiable pour votre VCN sous la forme d'une passerelle NAT.
Exemple de scénario : Imaginez que vous avez des ressources qui doivent recevoir du trafic entrant depuis Internet (par exemple, des serveurs Web). Vous disposez également de ressources privées qui doivent être protégées du trafic entrant provenant d'Internet. Toutes ces ressources ont besoin de lancer des connexions à Internet pour demander des mises à jour logicielles des sites sur Internet.
Vous configurez un réseau VCN et ajoutez un sous-réseau public pour contenir les serveurs Web. Lors du lancement des instances, vous leur affectez des adresses IP publiques afin qu'elles puissent recevoir le trafic Internet entrant. Vous ajoutez également un sous-réseau privé pour conserver les instances privées. Elles ne peuvent pas avoir d'adresses IP publiques, car elles se trouvent dans un sous-réseau privé.
Vous ajoutez une passerelle Internet au VCN. Vous ajoutez également une règle de routage dans la table de routage du sous-réseau public afin de diriger le trafic pour Internet vers la passerelle Internet. Les instances du sous-réseau public peuvent maintenant lancer des connexions à Internet et recevoir des connexions entrantes en provenant. Rappelez-vous que vous pouvez utiliser des règles de sécurité pour contrôler les types de trafic autorisés dans les instances et hors des instances au niveau du paquet.
Vous ajoutez une passerelle NAT au VCN. Vous ajoutez également une règle de routage dans la table de routage du sous-réseau privé afin de diriger le trafic Internet vers la passerelle NAT. Les instances du sous-réseau privé peuvent maintenant lancer des connexions à Internet. La passerelle NAT autorise les réponses, mais non les connexions initiées depuis Internet. Sans cette passerelle NAT, les instances privées auraient dû plutôt se trouver dans le sous-réseau public et avoir des adresses IP publiques pour obtenir leurs mises à jour logicielles.
Lors du routage du trafic de réponse d'Internet vers le sous-réseau, une passerelle NAT achemine directement le trafic vers la destination par défaut. Vous pouvez associer une table de routage à la passerelle NAT et définir des règles pour le routage entrant de la passerelle NAT dans cette table. Par exemple, si vous voulez que la passerelle NAT achemine d'abord le trafic de réponse vers un pare-feu, vous pouvez créer une règle de routage pour le CIDR du sous-réseau de destination avec l'adresse IP privée du pare-feu comme cible dans la table de routage de la passerelle NAT.
Le diagramme suivant illustre la disposition du réseau de base de l'exemple. Les flèches indiquent si les connexions peuvent être lancées dans une seule direction ou dans les deux.
| CIDR de destination | Cible de routage |
|---|---|
| 0.0.0.0/0 | Passerelle Internet |
| Cible de routage | Cible de routage |
|---|---|
| 0.0.0.0/0 | Passerelle NAT |
Une passerelle NAT ne peut être utilisée que par des ressources du réseau VCN de la passerelle. Si ce réseau VCN est appairé à une autre, les ressources de l'autre VCN ne peuvent pas accéder à la passerelle NAT.
De plus, les ressources d'un réseau sur place connecté au VCN de la passerelle NAT à l'aide de FastConnect ou d'un RPV site à site ne peuvent pas utiliser la passerelle NAT.
Voici quelques informations de base sur les passerelles NAT :
- La passerelle NAT prend en charge le trafic TCP, UDP et ping ICMP.
- La passerelle prend en charge jusqu'à 20 000 connexions concurrentes environ à une seule adresse de destination et à un seul port.
- Le service Réseau peut affecter une nouvelle adresse IP publique à une nouvelle passerelle NAT ou vous pouvez spécifier une adresse IP publique réservée existante à utiliser.
- Il y a une limite pour le nombre de passerelles NAT par VCN, mais votre VCN n'aura probablement besoin que d'une seule passerelle NAT. Vous pouvez demander une augmentation de limite. Voir Limites de service pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite..
Routage pour une passerelle NAT
Vous contrôlez le routage de votre VCN au niveau du sous-réseau, vous pouvez donc choisir quels sous-réseaux de votre VCN utilisent une passerelle NAT. Vous pouvez avoir plus d'une passerelle NAT sur un VCN (bien que vous deviez demander une augmentation des limites). Par exemple, si vous voulez qu'une application externe distingue le trafic des différents sous-réseaux du VCN, vous pouvez configurer une autre passerelle NAT (et ainsi une adresse IP publique différente) pour chaque sous-réseau. Un sous-réseau donné peut acheminer le trafic vers une seule passerelle NAT.
Blocage du trafic au moyen d'une passerelle NAT
Vous créez une passerelle NAT dans le contexte d'un réseau VCN spécifique. En d'autres termes, la passerelle NAT est toujours attachée à un seul réseau VCN de votre choix. Toutefois, vous pouvez à tout moment bloquer ou autoriser le trafic par la passerelle NAT. Par défaut, la passerelle permet le trafic dès sa création. Le blocage de la passerelle NAT empêche la circulation de tout le trafic, quelles que soient les règles de routage ou de sécurité existantes dans votre VCN. Pour savoir comment bloquer le trafic, voir Blocage ou autorisation du trafic pour une passerelle NAT.
Transition vers une passerelle NAT
Si vous passez de l'utilisation d'une instance NAT dans votre réseau VCN à une passerelle NAT, n'oubliez pas que l'adresse IP publique de votre appareil NAT changera.
Si vous passez d'une passerelle Internet à une passerelle NAT, les instances ayant accès à la passerelle NAT n'ont plus besoin d'adresses IP publiques pour accéder à Internet. De plus, les instances n'ont plus besoin d'être dans un sous-réseau public. Vous ne pouvez pas faire passer un sous-réseau de public à privé. Toutefois, vous pouvez supprimer les adresses IP publiques éphémères de vos instances si vous le désirez.
Suppression d'une passerelle NAT
Pour supprimer une passerelle NAT, il n'est pas nécessaire de bloquer son trafic. En revanche, il ne doit pas y avoir de table de routage où elle est désignée comme cible. Pour les instructions, voir Suppression d'une passerelle NAT.
Politique GIA requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès de sécurité au moyen d'une politique . Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur le type d'accès qui vous a été octroyé et le compartiment à utiliser.
Pour les administrateurs : Voir Politiques GIA pour le service de réseau.
Configuration d'une passerelle NAT
Consultez les instructions sous Création d'une passerelle NAT.
Lorsque vous créez une passerelle NAT, vous devez également créer une règle de routage qui dirige le trafic souhaité du sous-réseau vers la passerelle NAT. Vous effectuez cette opération pour chaque sous-réseau qui doit accéder à la passerelle.
- Déterminez les sous-réseaux de votre VCN qui ont besoin d'un accès à la passerelle NAT.
-
Pour chaque sous-réseau, mettez à jour la table de routage pour inclure une nouvelle règle à l'aide des paramètres suivants :
- Type de cible : passerelle NAT.
- Bloc CIDR de destination : 0.0.0.0/0.
- Compartiment : Compartiment où se trouve la passerelle NAT.
- Passerelle NAT cible : passerelle NAT.
- Description : Description facultative de la règle.
Tout trafic de sous-réseau dont la destination correspond à la règle est dirigé vers la passerelle NAT. Pour plus d'informations sur la configuration des règles de routage, voir Tables de routage de VCN.
Lorsque vous n'aurez plus besoin de la passerelle NAT et voudrez la supprimer, vous devrez d'abord supprimer toutes les règles de routage de votre réseau VCN qui l'indiquent comme cible.
Sans l'acheminement requis, le trafic ne circule pas sur la passerelle NAT. Si une situation se produit et que vous devez arrêter temporairement la circulation du trafic sur la passerelle, il vous suffit de supprimer la règle de routage qui active le trafic. Vous pouvez également bloquer entièrement le trafic par la passerelle. Vous n'avez pas besoin de la supprimer.