Passerelle Internet
Cette rubrique décrit comment configurer et gérer une passerelle Internet pour donner un accès à Internet VCN.
Oracle propose également une passerelle NAT, qui est recommandée pour les sous-réseaux du VCN qui ne nécessitent pas de connexions externes à partir d'Internet.
Points saillants
- Une passerelle Internet est une passerelle facultative que vous pouvez ajouter à un réseau VCN pour activer la connectivité directe à Internet.
- La passerelle prend en charge les connexions depuis le VCN (sortant) et les connexions depuis Internet (sortant).
- Les ressources qui ont besoin d'utiliser la passerelle pour accéder à Internet doivent se trouver dans un sous-réseau public et avoir des adresses IP publiques. Les ressources qui ont des adresses IP privées peuvent utiliser à la place une passerelle NAT pour démarrer des connexions à Internet.
- Chaque sous-réseau public nécessitant la passerelle Internet doit avoir une règle de table de routage qui spécifie la passerelle comme cible.
- Vous utilisez des règles de sécurité pour contrôler les types de trafic autorisés à entrer et à sortir des ressources de ce sous-réseau. Assurez-vous que les règles n'autorisent que les types de trafic Internet appropriés.
- Seules les ressources situées dans le réseau VCN de la passerelle Internet peuvent utiliser celle-ci. Les hôtes du réseau sur place connecté ou dans un réseau VCN appairé ne peuvent pas utiliser cette passerelle Internet.
- Vous ne pouvez pas ajouter ni placer une passerelle Internet dans un réseau VCN dans une zone de sécurité. Les zones de sécurité n'utilisent pas de sous-réseaux publics.
- Une seule passerelle Internet est nécessaire pour chaque VCN. Tous les sous-réseaux publics d'un VCN ont accès à la passerelle Internet, à condition que les règles de sécurité et les règles de table de routage permettent cet accès.
Aperçu des passerelles Internet
Avant de continuer, lisez Accès à Internet et découvrez comment configurer des règles de sécurité pour les ressources d'un sous-réseau.
Une passerelle Internet est un routeur virtuel facultatif qui connecte la périphérie du réseau VCN à Internet. Pour utiliser la passerelle, les hôtes aux deux extrémités de la connexion doivent avoir des adresses IP publiques pour l'acheminement. Les connexions qui proviennent d'un réseau VCN et sont destinées à une adresse IP publique (à l'intérieur ou à l'extérieur du réseau VCN). Les connexions qui proviennent de l'extérieur du réseau VCN et sont destinées à une adresse IP publique dans le réseau VCN sont acheminées par la passerelle Internet.
Un réseau VCN ne peut avoir qu'une seule passerelle Internet. Pour contrôler les sous-réseaux publics du réseau VCN pouvant utiliser la passerelle, vous configurez la table de routage associée au sous-réseau. Vous utilisez des règles de sécurité pour contrôler les types de trafic autorisés à entrer et à sortir des ressources de ces sous-réseaux publics.
Le diagramme suivant illustre une configuration de réseau VCN avec un seul sous-réseau public. Le réseau VCN possède une passerelle Internet et le sous-réseau public est configuré pour utiliser la table de routage par défaut du réseau VCN. La table comporte une règle de routage qui envoie tout le trafic sortant des sous-réseaux à la passerelle Internet. La passerelle autorise les connexions entrantes depuis Internet dont l'adresse IP de destination est identique à l'adresse IP publique d'une ressource dans le réseau VCN. Cependant, les règles de liste de sécurité du sous-réseau public déterminent les types particuliers de trafic autorisés à entrer et à sortir des ressources du sous-réseau. Ces règles de sécurité spécifiques ne sont pas affichées.
CIDR de destination | Cible de routage |
---|---|
0.0.0.0/0 | Passerelle Internet |
Le trafic entre un réseau VCN et une adresse IP publique dans Oracle Cloud Infrastructure (comme le service de stockage d'objets) doit être acheminé au moyen d'une passerelle de service au lieu d'une passerelle Internet.
Utilisation des passerelles Internet
Vous créez une passerelle Internet dans le contexte d'un réseau VCN spécifique et celle-ci est toujours attachée à ce réseau VCN. Vous pouvez toutefois désactiver et réactiver la passerelle Internet à tout moment. Comparez ceci à une passerelle de routage dynamique (DRG), que vous créez en tant qu'objet autonome et attachez ensuite à un réseau VCN particulier. Les passerelles de routage dynamique utilisent un autre modèle, car elles sont destinées à être des composants de base modulaires permettant de connecter en privé des réseaux en nuage virtuels à un réseau sur place ou à d'autres réseaux en nuage virtuels.
Pour que le trafic circule d'un sous-réseau public vers Internet, vous devez créer une règle de routage correspondante dans la table de routage du sous-réseau. Par exemple, si CIDR de destination = 0.0.0.0/0 et cible = passerelle Internet, pour acheminer le trafic au moyen d'un pare-feu, la cible peut être l'adresse IP privée du pare-feu. Le sous-réseau de pare-feu a alors besoin d'une route (par exemple, 0.0.0.0/0) pour atteindre Internet avec la passerelle Internet comme cible.
La passerelle Internet achemine le trafic passant d'Internet à une destination dans un sous-réseau public directement vers la destination par défaut. Vous pouvez associer une table de routage à la passerelle Internet et définir des règles de routage qui acheminent le trafic public entrant vers des destinations dans le VCN. Par exemple, si vous voulez que la passerelle Internet achemine d'abord le trafic vers un pare-feu dans le VCN, vous pouvez créer une règle de routage pour le bloc CIDR du sous-réseau de destination avec l'adresse IP privée du pare-feu comme cible. Les règles de routage vers des destinations en dehors du VCN dans une table de routage de passerelle Internet ne sont pas prises en charge.
Une seule passerelle Internet est nécessaire pour chaque VCN. Tous les sous-réseaux publics d'un VCN ont accès à la passerelle Internet si les règles de sécurité et les règles de table de routage permettent cet accès.
Aux fins de contrôle d'accès, vous devez spécifier le compartiment dans lequel doit résider la passerelle Internet. Si vous ne savez pas lequel utiliser, placez la passerelle Internet dans le même compartiment que le réseau en nuage. Pour plus d'informations, voir Contrôle de l'accès.
Vous pouvez affecter un nom convivial à la passerelle Internet. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Oracle affecte automatiquement à la passerelle Internet un identificateur unique appelé ID Oracle Cloud (OCID). Pour plus d'informations, voir Identificateurs de ressource.
Pour supprimer une passerelle Internet, il n'est pas nécessaire de la désactiver. En revanche, aucune table de routage ne doit la désigner comme cible.
Pour plus d'informations sur les limites, voir Limites de passerelle et Demande d'une augmentation de limite de service.
Configuration de la passerelle Internet
Préalables :
- Déterminez les sous-réseaux du réseau VCN qui ont besoin d'accéder à Internet et créez ces sous-réseaux publics.
Une seule passerelle Internet est nécessaire pour chaque VCN. Tous les sous-réseaux publics d'un VCN ont accès à la passerelle Internet si les règles de sécurité et les règles de table de routage permettent cet accès.
- Décidez des types de trafic Internet entrant et sortant que vous voulez activer pour les ressources de chaque sous-réseau public (exemples : connexions HTTPS entrantes, connexions ping entrantes ICMP).
- La politique IAM requise est en place pour vous permettre d'utiliser les ressources du service de réseau. Pour les administrateurs : Voir Politiques GIA pour le service de réseau.
Si le sous-réseau public est configuré pour utiliser la liste de sécurité par défaut, rappelez-vous que la liste inclut plusieurs règles par défaut utiles qui activent l'accès requis de base (exemples : SSH entrant, accès sortant vers toutes les destinations). Nous vous recommandons de vous familiariser avec l'accès de base fourni par ces règles par défaut. Si vous choisissez de ne pas utiliser la liste de sécurité par défaut, assurez-vous de cet accès de base en mettant en oeuvre ces règles de sécurité dans des groupes de sécurité de réseau (NSG) ou des listes de sécurité personnalisées.
La procédure suivante utilise des listes de sécurité, mais vous pouvez également mettre en oeuvre des règles de sécurité dans un groupe de sécurité de réseau, puis créer toutes les ressources du sous-réseau dans ce groupe.
-
Pour chaque sous-réseau public qui doit utiliser la passerelle Internet, configurez les règles de liste de sécurité du sous-réseau à utiliser pour autoriser le trafic Internet. Exemples de paramètres :
Imaginez que vous avez des serveurs Web dans le sous-réseau public. Cet exemple montre comment ajouter une règle de trafic entrant pour les connexions HTTPS (port TCP 443) au serveur Web en provenance d'Internet. Sans cette règle, les connexions HTTPS entrantes ne sont pas autorisées.
- Laissez la case sans état désélectionnée.
- Type de source : CIDR
- CIDR source : 0.0.0.0/0
- Protocole IP : Laissez TCP.
- Intervalle de ports sources : Laissez Tous.
- Intervalle de ports de destination : Entrez 443.
- Description : Description facultative de la règle.
-
Créez la passerelle Internet du VCN.
Une fois la passerelle Internet créée et affichée dans la page Passerelles Internet du VCN que vous avez sélectionné, elle est déjà activée, mais vous devez ajouter une règle de routage qui autorise le trafic vers la passerelle.
-
Pour chaque sous-réseau public qui doit utiliser la passerelle Internet, mettez à jour la table de routage du sous-réseau à l'aide des exemples de paramètres suivants :
- Type de cible : Passerelle Internet
- Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que tout le trafic non intra VCN n'est pas encore couvert par d'autres règles de la table de routage est dirigé vers la cible spécifiée dans cette règle).
- Compartiment : Compartiment contenant la passerelle Internet.
- Cible : Passerelle Internet que vous avez créée.
- Description : Description facultative de la règle.
La passerelle Internet est désormais activée et fonctionnelle sur le réseau en nuage.