Passerelle Internet

Cette rubrique décrit comment configurer et gérer une passerelle Internet pour donner à votre réseau VCN accès à Internet.

Conseil

Oracle propose également une passerelle NAT, qui est recommandée pour les sous-réseaux de votre réseau VCN qui ne nécessitent pas de connexions lancées à l'externe depuis Internet.

Points saillants

  • Une passerelle Internet est une passerelle facultative que vous pouvez ajouter à votre réseau VCN pour activer la connectivité directe à Internet.
  • La passerelle prend en charge les connexions lancées depuis le réseau VCN (sortant) et celles lancées depuis Internet (entrant).
  • Les ressources qui ont besoin d'utiliser la passerelle pour accéder à Internet doivent se trouver dans un sous-réseau public et avoir des adresses IP publiques. Les ressources qui ont des adresses IP privées peuvent utiliser à la place une passerelle NAT pour lancer des connexions à Internet.
  • Chaque sous-réseau public nécessitant la passerelle Internet doit avoir une règle de table de routage qui spécifie la passerelle comme cible.
  • Vous utilisez des règles de sécurité pour contrôler les types de trafic autorisés à entrer et à sortir des ressources de ce sous-réseau. Veillez à autoriser uniquement les types de trafic Internet voulus.
  • Seules les ressources situées dans le réseau VCN de la passerelle Internet peuvent utiliser celle-ci. Les hôtes du réseau sur place connecté ou dans un réseau VCN appairé ne peuvent pas utiliser cette passerelle Internet.
  • Vous ne pouvez pas ajouter ni placer une passerelle Internet dans un réseau VCN dans une zone de sécurité. Les zones de sécurité n'autorisent pas les sous-réseaux publics.
  • Une seule passerelle Internet est nécessaire pour chaque VCN. Tous les sous-réseaux publics d'un VCN ont accès à la passerelle Internet, à condition que les règles de sécurité et les règles de table de routage permettent cet accès.

Aperçu des passerelles Internet

Avant de continuer, prenez connaissance de la section Accès à Internet et familiarisez-vous avec la configuration des règles de sécurité concernant les ressources d'un sous-réseau.

Une passerelle Internet est un routeur virtuel facultatif qui connecte la périphérie du réseau VCN à Internet. Pour utiliser la passerelle, les hôtes aux deux extrémités de la connexion doivent avoir des adresses IP publiques pour l'acheminement. Les connexions qui proviennent de votre réseau VCN et sont destinées à une adresse IP publique (à l'intérieur ou à l'extérieur du réseau VCN) passent par la passerelle Internet. Les connexions qui proviennent de l'extérieur du réseau VCN et sont destinées à une adresse IP publique dans le réseau VCN sont acheminées par la passerelle Internet.

Un réseau VCN ne peut avoir qu'une seule passerelle Internet. Pour contrôler les sous-réseaux publics du réseau VCN pouvant utiliser la passerelle, vous configurez la table de routage associée au sous-réseau. Vous utilisez des règles de sécurité pour contrôler les types de trafic autorisés à entrer et à sortir des ressources de ces sous-réseaux publics.

Le diagramme suivant illustre une configuration de réseau VCN simple avec un seul sous-réseau public. Le réseau VCN possède une passerelle Internet et le sous-réseau public est configuré pour utiliser la table de routage par défaut du réseau VCN. La table comporte une règle de routage qui envoie tout le trafic sortant des sous-réseaux à la passerelle Internet. La passerelle autorise les connexions entrantes depuis Internet dont l'adresse IP de destination est identique à l'adresse IP publique d'une ressource dans le réseau VCN. Cependant, les règles de liste de sécurité du sous-réseau public déterminent en fin de compte les types particuliers de trafic autorisés à entrer et à sortir des ressources du sous-réseau. Ces règles de sécurité spécifiques n'apparaissent pas.

Cette image présente une disposition simple de réseau VCN avec un sous-réseau public qui utilise une passerelle Internet.
Légende 1 : Table de routage par défaut du VCN
CIDR de destination Cible de routage
0.0.0.0/0 Passerelle Internet
Conseil

Le trafic entre un VCN et une adresse IP publique faisant partie d'Oracle Cloud Infrastructure (par exemple Object Storage) doit être acheminé au moyen d'une passerelle de service au lieu d'une passerelle Internet.

Utilisation des passerelles Internet

Vous créez une passerelle Internet dans le contexte d'un réseau VCN spécifique. En d'autres termes, la passerelle Internet est toujours associée à un réseau VCN. Vous pouvez toutefois désactiver et réactiver la passerelle Internet à tout moment. Comparez ceci à une passerelle de routage dynamique (DRG), que vous créez en tant qu'objet autonome et attachez ensuite à un réseau VCN particulier. Les passerelles DRG utilisent un modèle différent, car leur objet est de servir de blocs modulaires pour connecter de manière privée des réseaux VCN à votre réseau sur place.

Pour que le trafic circule d'un sous-réseau public vers Internet, vous devez créer une règle de routage correspondante dans la table de routage du sous-réseau. Par exemple, CIDR de destination = 0.0.0.0/0 et cible = passerelle Internet; si vous voulez acheminer le trafic au moyen d'un pare-feu, la cible peut être l'adresse IP privée du pare-feu. Le sous-réseau de pare-feu aura alors besoin d'une route, généralement 0.0.0.0/0, pour atteindre Internet avec la passerelle Internet comme cible.

La passerelle Internet achemine le trafic passant d'Internet à une destination dans un sous-réseau public directement vers la destination par défaut. Vous pouvez associer une table de routage à la passerelle Internet et définir des règles de routage qui acheminent le trafic public entrant vers des destinations dans le VCN. Par exemple, si vous voulez que la passerelle Internet achemine d'abord le trafic vers un pare-feu dans le VCN, vous pouvez créer une règle de routage pour le bloc CIDR du sous-réseau de destination avec l'adresse IP privée du pare-feu comme cible. Les règles de routage vers des destinations en dehors du VCN dans une table de routage de passerelle Internet ne sont pas prises en charge.

Une seule passerelle Internet est nécessaire pour chaque VCN. Tous les sous-réseaux publics d'un VCN ont accès à la passerelle Internet si les règles de sécurité et les règles de table de routage permettent cet accès.

Aux fins de contrôle d'accès, vous devez spécifier le compartiment dans lequel doit résider la passerelle Internet. Si vous ne savez pas lequel utiliser, placez la passerelle Internet dans le même compartiment que le réseau en nuage. Pour plus d'informations, voir Contrôle de l'accès.

Vous pouvez éventuellement affecter un nom convivial à la passerelle Internet. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Oracle affecte automatiquement à la passerelle Internet un identificateur unique appelé ID Oracle Cloud (OCID). Pour plus d'informations, voir Identificateurs de ressource.

Pour supprimer une passerelle Internet, il n'est pas nécessaire de la désactiver. En revanche, il ne doit pas y avoir de table de routage où elle est désignée comme cible.

Pour plus d'informations sur les limites, voir Limites de passerelle et Demande d'une augmentation de limite de service.

Configuration de la passerelle Internet

Préalables :

  • Vous avez déterminé les sous-réseaux du réseau VCN qui ont besoin d'accéder à Internet et vous avez créé ces sous-réseaux publics.

    Une seule passerelle Internet est nécessaire pour chaque VCN. Tous les sous-réseaux publics d'un VCN ont accès à la passerelle Internet si les règles de sécurité et les règles de table de routage permettent cet accès.

  • Vous avez déterminé les types de trafic Internet entrant et sortant que vous voulez activer pour les ressources de chaque sous-réseau public (exemples : connexions HTTPS entrantes, connexions ping ICMP entrantes).
  • La politique GIA nécessaire est en place pour vous permettre d'utiliser les ressources du service Réseau. Pour les administrateurs : Voir Politiques GIA pour le service de réseau.
Important

Si vous avez configuré le sous-réseau public pour utiliser la liste de sécurité par défaut, gardez à l'esprit que la liste inclut plusieurs règles par défaut utiles qui activent l'accès requis de base (exemples : SSH entrant, accès sortant vers toutes les destinations). Oracle recommande de vous familiariser avec l'accès de base fourni par ces règles par défaut. Si vous choisissez de ne pas utiliser la liste de sécurité par défaut, veillez à fournir cet accès de base en mettant en oeuvre ces règles de sécurité dans des groupes de sécurité de réseau (NSG) ou des listes de sécurité personnalisées.

La procédure suivante utilise des listes de sécurité, mais vous pourriez plutôt mettre en oeuvre les règles de sécurité dans un groupe de sécurité de réseau et créer toutes les ressources du sous-réseau dans ce groupe.

  1. Pour chaque sous-réseau public qui doit utiliser la passerelle Internet, configurez les règles de liste de sécurité du sous-réseau pour autoriser le trafic Internet souhaité. Reportez-vous aux exemples de paramètres suivants :

    Imaginez que vous avez des serveurs Web dans le sous-réseau public. Cet exemple montre comment ajouter une règle de trafic entrant pour les connexions HTTPS (port TCP 443) au serveur Web en provenance d'Internet. Sans cette règle, les connexions HTTPS entrantes ne sont pas autorisées.

    1. Laissez la case sans état désélectionnée.
    2. Type de source : CIDR
    3. CIDR source : 0.0.0.0/0
    4. Protocole IP : Laissez TCP.
    5. Intervalle de ports sources : Laissez Tous.
    6. Intervalle de ports de destination : Entrez 443.
    7. Description : Description facultative de la règle.
  2. Créez la passerelle Internet du VCN.

    Une fois la passerelle Internet créée et affichée dans la page Passerelles Internet du VCN que vous avez sélectionné, elle est déjà activée, mais vous devez ajouter une règle de routage qui autorise le trafic vers la passerelle.

  3. Pour chaque sous-réseau public qui doit utiliser la passerelle Internet, mettez à jour la table de routage du sous-réseau à l'aide des exemples de paramètres suivants :

    • Type de cible : Passerelle Internet
    • Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que tout le trafic IPv4 non intra-VCN qui n'est pas encore couvert par d'autres règles de la table de routage est dirigé vers la cible spécifiée dans cette règle)
    • Compartiment : Compartiment où se trouve la passerelle Internet.
    • Cible : La passerelle Internet que vous venez de créer.
    • Description : Description facultative de la règle.

La passerelle Internet est désormais activée et fonctionnelle sur votre réseau en nuage.