Passerelle NAT
Cette rubrique décrit comment configurer et gérer une passerelle de traduction d'adresses de réseau (NAT). Une passerelle NAT permet à vos ressources en nuage d'accéder à Internet sans adresses IP publiques et sans être exposées aux connexions Internet entrantes.
Points saillants
- Vous pouvez ajouter une passerelle NAT à un VCN pour donner aux instances d'un sous-réseau privé un accès à Internet.
- Les instances de calcul d'un sous-réseau n'ont pas d'adresse IP publique. Avec la passerelle NAT, elles peuvent démarrer des connexions à Internet et recevoir des réponses, mais non des connexions entrantes provenant d'Internet.
- Les passerelles NAT sont hautement disponibles et prennent en charge le trafic TCP, UDP et ICMP.
Aperçu de NAT
NAT est une technique de réseau couramment utilisée pour donner un accès réseau privé à Internet sans affecter à chaque hôte une adresse IPv4 publique. Les hôtes peuvent démarrer des connexions à Internet et recevoir des réponses, mais ne peuvent pas recevoir de connexions entrantes depuis Internet.
Lorsqu'un hôte dans le réseau privé démarre une connexion vers Internet, l'adresse IP publique de l'appareil NAT devient l'adresse IP source du trafic sortant. Le trafic de réponse d'Internet utilise donc cette adresse IP publique comme adresse IP de destination. L'appareil NAT achemine ensuite la réponse à l'hôte du réseau privé qui a démarré la connexion.
Aperçu des passerelles NAT
Le service de réseau offre une solution de réseau hautement disponible et fiable pour un VCN sous la forme d'une passerelle NAT.
Exemple de scénario : Imaginez que vous avez des ressources qui doivent recevoir du trafic entrant depuis Internet (par exemple, des serveurs Web). Vous disposez également de ressources privées qui doivent être protégées du trafic entrant provenant d'Internet. Toutes ces ressources ont besoin de démarrer des connexions à Internet pour demander des mises à jour logicielles des sites sur Internet.
Vous configurez un réseau VCN et ajoutez un sous-réseau public pour contenir les serveurs Web. Lors de la création des instances, vous leur affectez des adresses IP publiques qui leur permettent de recevoir le trafic Internet entrant. Vous ajoutez également un sous-réseau privé pour conserver les instances privées. Ils ne peuvent pas avoir d'adresses IP publiques, car elles se trouvent dans un sous-réseau privé.
Vous ajoutez une passerelle Internet au VCN. Vous ajoutez également une règle de routage dans la table de routage du sous-réseau public afin de diriger le trafic pour Internet vers la passerelle Internet. Les instances du sous-réseau public peuvent maintenant démarrer des connexions vers Internet et recevoir des connexions entrantes en provenance d'Internet. Rappelez-vous que vous pouvez utiliser des règles de sécurité pour contrôler les types de trafic autorisés dans les instances et hors des instances au niveau du paquet.
Vous ajoutez une passerelle NAT au VCN. Vous ajoutez également une règle de routage dans la table de routage du sous-réseau privé afin de diriger le trafic Internet vers la passerelle NAT. Les instances du sous-réseau privé peuvent maintenant démarrer des connexions à Internet. La passerelle NAT autorise les réponses, mais elle n'autorise pas les connexions à partir d'Internet. Sans cette passerelle NAT, les instances privées auraient dû plutôt se trouver dans le sous-réseau public et avoir des adresses IP publiques pour obtenir leurs mises à jour logicielles.
Lors du routage du trafic de réponse d'Internet vers le sous-réseau, une passerelle NAT achemine directement le trafic vers la destination par défaut. Vous pouvez associer une table de routage à la passerelle NAT et définir des règles pour le routage entrant de la passerelle NAT dans cette table. Par exemple, si vous voulez que la passerelle NAT achemine d'abord le trafic de réponse vers un pare-feu, vous pouvez créer une règle de routage pour le CIDR du sous-réseau de destination avec l'adresse IP privée du pare-feu comme cible dans la table de routage de la passerelle NAT.
Le diagramme suivant illustre la disposition du réseau de base de l'exemple. Les flèches indiquent si les connexions peuvent être démarrées dans une seule direction ou dans les deux.
| CIDR de destination | Cible de routage |
|---|---|
| 0.0.0.0/0 | Passerelle Internet |
| Cible de routage | Cible de routage |
|---|---|
| 0.0.0.0/0 | Passerelle NAT |
Une passerelle NAT ne peut être utilisée que par des ressources du réseau VCN de la passerelle. Si le réseau VCN est appairé à une autre, les ressources de l'autre VCN ne peuvent pas accéder à la passerelle NAT.
De plus, les ressources d'un réseau sur place connecté au VCN de la passerelle NAT avec FastConnect ou un RPV site à site ne peuvent pas utiliser la passerelle NAT.
Voici quelques informations de base sur les passerelles NAT :
- La passerelle NAT prend en charge le trafic TCP, UDP et ping ICMP.
- La passerelle prend en charge jusqu'à 20 000 connexions concurrentes au maximum à une seule adresse de destination et à un seul port.
- Le service Réseau peut affecter une nouvelle adresse IP publique à une nouvelle passerelle NAT ou vous pouvez spécifier une adresse IP publique réservée existante.
- Il y a une limite au nombre de passerelles NAT par VCN, mais un VCN n'a probablement besoin que d'une seule passerelle NAT. Vous pouvez demander une augmentation de limite. Voir Limites de service pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite..
Routage pour une passerelle NAT
Vous contrôlez le routage d'un VCN au niveau du sous-réseau, vous pouvez donc spécifier quels sous-réseaux du VCN utilisent une passerelle NAT. Vous pouvez avoir plus d'une passerelle NAT sur un VCN (bien que vous deviez demander une augmentation des limites). Par exemple, si vous voulez qu'une application externe distingue le trafic des différents sous-réseaux du VCN, vous pouvez configurer une autre passerelle NAT (et ainsi une adresse IP publique différente) pour chaque sous-réseau. Un sous-réseau particulier peut acheminer le trafic vers une seule passerelle NAT.
Blocage du trafic au moyen d'une passerelle NAT
Vous créez une passerelle NAT dans le contexte d'un réseau VCN spécifique, de sorte qu'une passerelle NAT est automatiquement toujours attachée à un seul réseau VCN. Toutefois, vous pouvez à tout moment bloquer ou autoriser le trafic par la passerelle NAT. Par défaut, la passerelle permet le trafic dès sa création. Le blocage de la passerelle NAT empêche la flux de tout le trafic, quelles que soit les règles de routage ou de sécurité existantes dans le VCN. Pour obtenir des instructions sur la façon de bloquer le trafic, voir Blocage ou autorisation du trafic pour une passerelle NAT.
Transition vers une passerelle NAT
Si vous passez de l'utilisation d'une instance NAT dans votre réseau VCN à une passerelle NAT, n'oubliez pas que l'adresse IP publique de l'appareil NAT change également.
Si vous passez d'une passerelle Internet à une passerelle NAT, les instances ayant accès à la passerelle NAT n'ont plus besoin d'adresses IP publiques pour accéder à Internet. De plus, les instances n'ont plus besoin d'être dans un sous-réseau public. Vous ne pouvez pas faire passer un sous-réseau de public à privé. Toutefois, vous pouvez toujours supprimer les adresses IP publiques éphémères des instances de calcul.
Suppression d'une passerelle NAT
Pour supprimer une passerelle NAT, il n'est pas nécessaire de bloquer son trafic. Toutefois, il ne doit pas y avoir de table de routage où elle est désignée comme cible. Pour obtenir des instructions, voir Suppression d'une passerelle NAT.
Politique GIA requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel l'accès de sécurité est accordé dans une politique par un administrateur de location. Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur de la location quel type d'accès vous avez et dans quel compartiment votre accès fonctionne.
Pour les administrateurs : Voir Politiques GIA pour le service de réseau.
Configuration d'une passerelle NAT
Voir les instructions sous Création d'une passerelle NAT.
Lorsque vous créez une passerelle NAT, vous devez également créer une règle de routage qui dirige le trafic du sous-réseau vers la passerelle NAT. Vous effectuez cette opération pour chaque sous-réseau qui doit accéder à la passerelle.
- Déterminez quels sous-réseaux du VCN doivent accéder à la passerelle NAT.
-
Pour chacun de ces sous-réseaux, mettez à jour la table de routage pour inclure une nouvelle règle à l'aide des paramètres suivants :
- Type de cible : passerelle NAT.
- Bloc CIDR de destination : 0.0.0.0/0.
- Compartiment : Compartiment contenant la passerelle NAT.
- Passerelle NAT cible : passerelle NAT.
- Description : Description facultative de la règle.
Tout trafic de sous-réseau dont la destination correspond à la règle est dirigé vers la passerelle NAT. Pour plus d'informations sur la configuration des règles de routage, voir Tables de routage de VCN.
Si vous n'avez plus besoin de la passerelle NAT et souhaitez la supprimer, vous devez d'abord supprimer toutes les règles de routage du réseau VCN qui l'indiquent comme cible.
Sans l'acheminement requis, le trafic ne circule pas sur la passerelle NAT. Si une situation se produit et que vous devez arrêter temporairement le flux de trafic sur la passerelle, vous pouvez supprimer la règle de routage qui autorise le trafic. Vous pouvez également bloquer entièrement le trafic par la passerelle. Il n'est pas nécessaire de la supprimer.