Passerelle NAT
Cette rubrique explique comment configurer et gérer une passerelle NAT (Network Address Translation). Une passerelle NAT fournit aux ressources cloud sans adresse IP publique un accès à Internet sans exposition aux connexions Internet entrantes.
Points clés
- Vous pouvez ajouter une passerelle NAT à un VCN pour permettre aux instances d'un sous-réseau privé d'accéder à Internet.
- Les occurrences de calcul d'un sous-réseau privé ne possèdent pas d'adresse IP publique. Avec la passerelle NAT, elles peuvent établir des connexions à Internet et recevoir des réponses, mais ne doivent pas recevoir des connexions entrantes à partir d'Internet.
- Les passerelles NAT sont hautement disponibles et prennent en charge le trafic ping ICMP, TCP et UDP.
Présentation de NAT
NAT est une technique de fonctions de réseau communément utilisée pour donner à l'ensemble d'un réseau privé un accès à Internet sans affecter d'adresse IPv4 publique à chaque hôte. Les hôtes peuvent établir des connexions à Internet et recevoir des réponses, mais ne sont pas autorisés à recevoir des connexions entrantes démarrées à partir d'Internet.
Lorsqu'un hôte du réseau privé démarre une connexion Internet, l'adresse IP publique du dispositif NAT devient l'adresse IP source du trafic sortant. Le trafic de réponse en provenance d'Internet utilise donc cette adresse IP publique comme adresse IP de destination. Le dispositif NAT achemine ensuite la réponse vers l'hôte du réseau privé qui a démarré la connexion.
Présentation des passerelles NAT
Le service Networking offre une solution NAT fiable et hautement disponible pour un VCN sous la forme d'une passerelle NAT.
Exemple de scénario : imaginez que vous disposez de ressources ayant besoin de recevoir du trafic entrant en provenance d'Internet (par exemple, des serveurs Web). Vous disposez également de ressources privées qui doivent être protégées du trafic entrant en provenance d'Internet. Toutes ces ressources doivent établir une connexion à Internet afin de demander les mises à jour logicielles à partir de sites Web.
Vous configurez un réseau cloud virtuel et ajoutez un sous-réseau public pour stocker les serveurs Web. Lorsque vous créez les instances, vous les affectez des adresses IP publiques pour qu'elles puissent recevoir le trafic Internet entrant. Vous ajoutez également un sous-réseau privé pour stocker les instances privées. Elles ne peuvent pas avoir d'adresses IP publiques car elles se trouvent dans un sous-réseau privé.
Vous ajoutez une passerelle Internet au réseau cloud virtuel. Vous ajoutez également une règle de routage à la table de routage du sous-réseau public qui dirige le trafic Internet vers la passerelle Internet. Les instances du sous-réseau public peuvent désormais démarrer des connexions à Internet et aussi recevoir des connexions entrantes à partir d'Internet. N'oubliez pas que vous pouvez utiliser des règles de sécurité pour contrôler les types de trafic autorisés vers et depuis les instances au niveau du paquet.
Vous ajoutez une passerelle NAT au réseau cloud virtuel. Vous ajoutez également une règle de routage à la table de routage du sous-réseau privé qui dirige le trafic Internet vers la passerelle NAT. Les instances du sous-réseau privé peuvent désormais démarrer des connexions à Internet. La passerelle NAT autorise les réponses, mais n'autorise pas les connexions à partir d'Internet. Sans cette passerelle NAT, les instances privées devraient se trouver dans le sous-réseau public et disposer d'adresses IP publiques pour obtenir les mises à jour logicielles.
Lors de l'acheminement du trafic de réponse d'Internet vers le sous-réseau, par défaut, une passerelle NAT achemine directement le trafic vers la destination. Vous pouvez associer une table de routage à la passerelle NAT et y définir des règles pour le routage entrant de passerelle NAT. Par exemple, si vous voulez que la passerelle NAT achemine d'abord le trafic de réponse vers un pare-feu, vous pouvez créer une règle de routage pour le CIDR de sous-réseau de destination avec l'adresse IP privée du pare-feu comme cible dans la table de routage de passerelle NAT.
Le diagramme suivant illustre la disposition de base du réseau dans le cadre de l'exemple. Les flèches indiquent si les connexions peuvent être démarrées dans une seule direction ou dans les deux.
| CIDR de destination | Cible du routage |
|---|---|
| 0.0.0.0/0 | Passerelle Internet |
| Cible du routage | Cible du routage |
|---|---|
| 0.0.0.0/0 | Passerelle NAT |
La passerelle NAT ne peut être utilisée que par les ressources du réseau cloud virtuel correspondant. Si le VCN est appairé avec un autre, les ressources de l'autre VCN ne peuvent pas accéder à la passerelle NAT.
De plus, les ressources d'un réseau sur site connectées au VCN de la passerelle NAT avec FastConnect ou un VPN site à site ne peuvent pas utiliser la passerelle NAT.
Voici quelques notions de base sur les passerelles NAT :
- La passerelle NAT prend en charge le trafic ping ICMP, TCP et UDP.
- Elle prend en charge un maximum de 20 000 connexions simultanées vers une adresse et un port de destination uniques.
- Le service Networking peut allouer une nouvelle adresse IP publique à la nouvelle passerelle NAT ou vous pouvez indiquer une adresse IP publique réservée existante spécifique à utiliser pour la passerelle NAT créée.
- Le nombre de passerelles NAT par VCN est limité, mais un VCN n'a probablement besoin que d'une seule passerelle NAT. Vous pouvez demander une augmentation de cette limite. Pour obtenir la liste des limites applicables et des instructions de demande d'augmentation de limite, reportez-vous à Limites du service.
Routage d'une passerelle NAT
Vous contrôlez le routage dans un VCN au niveau du sous-réseau, afin de pouvoir spécifier les sous-réseaux du VCN qui utilisent une passerelle NAT. Vous pouvez disposer de plusieurs passerelles NAT sur un réseau cloud virtuel (mais vous devez demander une augmentation des limites). Par exemple, si vous souhaitez qu'une application externe distingue le trafic provenant des différents sous-réseaux du réseau cloud virtuel, vous pouvez configurer une passerelle NAT différente (et donc une adresse IP publique différente) pour chaque sous-réseau. Un sous-réseau particulier peut acheminer le trafic vers une seule passerelle NAT.
Blocage du trafic passant par une passerelle NAT
Vous créez une passerelle NAT dans le contexte d'un VCN spécifique, de sorte qu'une passerelle NAT est automatiquement attachée à un seul VCN. Vous pouvez toutefois bloquer ou autoriser le trafic passant par la passerelle NAT à tout moment. Par défaut, la passerelle autorise le trafic lors de sa création. Le blocage de la passerelle NAT empêche tout le trafic de circuler, quelles que soient les règles de routage ou de sécurité existantes dans le VCN. Pour connaître les instructions de blocage du trafic, reportez-vous à Blocage ou autorisation du trafic pour une passerelle NAT.
Transition vers une passerelle NAT
Si vous passez d'une instance NAT dans votre VCN à une passerelle NAT, considérez que l'adresse IP publique du périphérique NAT change également.
Si vous passez d'une passerelle Internet à une passerelle NAT, les instances ayant accès à cette dernière n'ont plus besoin d'adresses IP publiques pour accéder à Internet. De plus, les instances n'ont plus besoin de se trouver dans un sous-réseau public. Vous ne pouvez pas transformer un sous-réseau public en sous-réseau privé. Cependant, vous pouvez toujours supprimer les adresses IP publiques éphémères des instances Compute.
Suppression d'une passerelle NAT
Pour supprimer une passerelle NAT, il n'est pas nécessaire de bloquer son trafic, mais il ne doit exister Aucune table de routage qui la répertorie en tant qu'une cible. Pour obtenir des instructions, reportez-vous à Suppression d'une passerelle NAT.
Stratégie IAM requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe disposant d'un accès sécurisé dans une stratégie par un administrateur de location. Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous indique que vous ne disposez pas des droits d'accès ou des autorisations nécessaires, vérifiez auprès de l'administrateur de location le type d'accès dont vous disposez et le compartiment dans lequel votre accès fonctionne.
Pour les administrateurs : reportez-vous à Stratégies IAM pour Networking.
Configuration d'une passerelle NAT
Reportez-vous aux instructions de la section Creating a NAT Gateway.
Lorsque vous créez une passerelle NAT, vous devez également créer une règle de routage qui dirige les trafics entre le sous-réseau et la passerelle NAT. Vous effectuez cette opération pour chaque sous-réseau devant accéder à la passerelle.
- Choisissez les sous-réseaux du VCN qui ont besoin d'accéder à la passerelle NAT.
-
Mettez à jour la table de routage de chaque sous-réseau afin d'inclure une nouvelle règle à l'aide des paramètres suivants :
- Type de cible : passerelle NAT.
- Bloc CIDR de destination : 0.0.0.0/0.
- Compartiment : compartiment contenant la passerelle NAT.
- Passerelle NAT cible : passerelle NAT.
- Description : description facultative de la règle.
Tout trafic de sous-réseau dont la destination correspond à la règle est acheminé vers la passerelle NAT. Pour plus d'informations sur la configuration des règles de routage, reportez-vous à Tables de routage de réseau cloud virtuel.
Par la suite, si vous n'avez plus besoin de la passerelle NAT et que vous voulez la supprimer, vous devez d'abord supprimer toutes les règles de routage dans le VCN qui spécifient la passerelle NAT comme cible.
Sans le routage requis, le trafic ne circule pas sur la passerelle NAT. Si vous devez arrêter temporairement les flux de trafic sur la passerelle, vous pouvez enlever la règle de routage qui autorise les trafics. Vous pouvez également bloquer l'intégralité du trafic qui passe par la passerelle. Il n'est pas nécessaire de supprimer ce type de données.