Passerelle NAT
Cette rubrique explique comment configurer et gérer une passerelle NAT (Network Address Translation). Une passerelle NAT fournit aux ressources cloud sans adresse IP publique un accès à Internet sans exposition aux connexions Internet entrantes.
Points clés
- Vous pouvez ajouter une passerelle NAT à votre réseau cloud virtuel afin de donner aux instances d'un sous-réseau privé un accès à Internet.
- Les instances d'un sous-réseau privé ne possèdent pas d'adresse IP publique. Avec la passerelle NAT, elles peuvent établir des connexions à Internet et recevoir des réponses, mais ne peuvent pas recevoir de connexions entrantes initiées à partir d'Internet.
- Les passerelles NAT sont hautement disponibles et prennent en charge le trafic ping ICMP, TCP et UDP.
Présentation de NAT
NAT est une technique de fonctions de réseau communément utilisée pour donner à l'ensemble d'un réseau privé un accès à Internet sans affecter d'adresse IPv4 publique à chaque hôte. Les hôtes peuvent établir des connexions à Internet et recevoir des réponses, mais ne peuvent pas recevoir de connexions entrantes initiées à partir d'Internet.
Lorsqu'un hôte du réseau privé lance une connexion Internet, l'adresse IP publique du dispositif NAT devient l'adresse IP source du trafic sortant. Le trafic de réponse en provenance d'Internet utilise donc cette adresse IP publique comme adresse IP de destination. Le dispositif NAT achemine ensuite la réponse vers l'hôte du réseau privé qui a initié la connexion.
Présentation des passerelles NAT
Le service Networking offre une solution NAT fiable et hautement disponible à votre réseau cloud virtuel sous forme de passerelle NAT.
Exemple de scénario : imaginez que vous disposez de ressources ayant besoin de recevoir du trafic entrant en provenance d'Internet (par exemple, des serveurs Web). Vous disposez également de ressources privées qui doivent être protégées du trafic entrant en provenance d'Internet. Toutes ces ressources doivent établir des connexions à Internet pour demander des mises à jour logicielles à partir de sites Web.
Vous configurez un réseau cloud virtuel et ajoutez un sous-réseau public pour stocker les serveurs Web. Lorsque vous lancez les instances, vous leur affectez des adresses IP publiques pour qu'elles puissent recevoir le trafic Internet entrant. Vous ajoutez également un sous-réseau privé pour stocker les instances privées. Ces dernières ne peuvent pas avoir d'adresse IP publique car elles appartiennent à un sous-réseau privé.
Vous ajoutez une passerelle Internet au réseau cloud virtuel. Vous ajoutez également une règle de routage à la table de routage du sous-réseau public qui dirige le trafic Internet vers la passerelle Internet. Les instances du sous-réseau public peuvent désormais établir des connexions à Internet et aussi recevoir des connexions entrantes initiées à partir d'Internet. N'oubliez pas que vous pouvez utiliser des règles de sécurité pour contrôler les types de trafic autorisés vers et depuis les instances au niveau du paquet.
Vous ajoutez une passerelle NAT au réseau cloud virtuel. Vous ajoutez également une règle de routage à la table de routage du sous-réseau privé qui dirige le trafic Internet vers la passerelle NAT. Les instances du sous-réseau privé peuvent désormais initier des connexions à Internet. La passerelle NAT autorise les réponses, mais pas les connexions lancées à partir d'Internet. Sans cette passerelle NAT, les instances privées devraient se trouver dans le sous-réseau public et disposer d'adresses IP publiques pour obtenir les mises à jour logicielles.
Lors de l'acheminement du trafic de réponse d'Internet vers le sous-réseau, par défaut, une passerelle NAT achemine directement le trafic vers la destination. Vous pouvez associer une table de routage à la passerelle NAT et y définir des règles pour le routage entrant de passerelle NAT. Par exemple, si vous voulez que la passerelle NAT achemine d'abord le trafic de réponse vers un pare-feu, vous pouvez créer une règle de routage pour le CIDR de sous-réseau de destination avec l'adresse IP privée du pare-feu comme cible dans la table de routage de passerelle NAT.
Le diagramme suivant illustre la disposition de base du réseau dans le cadre de l'exemple. Les flèches indiquent si les connexions peuvent être lancées dans une seule direction ou dans les deux.
| CIDR de destination | Cible du routage |
|---|---|
| 0.0.0.0/0 | Passerelle Internet |
| Cible du routage | Cible du routage |
|---|---|
| 0.0.0.0/0 | Passerelle NAT |
La passerelle NAT ne peut être utilisée que par les ressources du réseau cloud virtuel correspondant. Si le réseau cloud virtuel est appairé avec un autre, les ressources du second réseau cloud virtuel ne peuvent pas accéder à la passerelle NAT.
En outre, les ressources d'un réseau sur site connecté au réseau cloud virtuel de la passerelle NAT avec FastConnect ou un VPN site à site ne peuvent pas utiliser la passerelle NAT.
Voici quelques notions de base sur les passerelles NAT :
- La passerelle NAT prend en charge le trafic ping ICMP, TCP et UDP.
- Elle prend en charge environ 20 000 connexions simultanées à un port et à une adresse de destination uniques au maximum.
- Le service Networking peut allouer une nouvelle adresse IP publique à la nouvelle passerelle NAT ou vous pouvez indiquer une adresse IP publique réservée existante spécifique à utiliser pour la passerelle NAT créée.
- Le nombre de passerelles NAT par VCN est limité, mais votre VCN n'aura probablement besoin que d'une seule passerelle NAT. Vous pouvez demander une augmentation de cette limite. Reportez-vous à Limites de service pour obtenir la liste des limites applicables et consulter les instructions permettant de demander une augmentation de limite..
Routage d'une passerelle NAT
Vous contrôlez le routage dans votre réseau cloud virtuel au niveau du sous-réseau, afin de pouvoir spécifier les sous-réseaux qui utilisent une passerelle NAT. Vous pouvez disposer de plusieurs passerelles NAT sur un réseau cloud virtuel (mais vous devez demander une augmentation des limites). Par exemple, si vous souhaitez qu'une application externe distingue le trafic provenant des différents sous-réseaux du réseau cloud virtuel, vous pouvez configurer une passerelle NAT différente (et donc une adresse IP publique différente) pour chaque sous-réseau. Un sous-réseau donné peut acheminer le trafic vers une seule passerelle NAT.
Blocage du trafic passant par une passerelle NAT
Vous créez une passerelle NAT dans le contexte d'un réseau cloud virtuel spécifique. En d'autres termes, la passerelle NAT est toujours automatiquement attachée à un seul réseau cloud virtuel de votre choix. Vous pouvez toutefois bloquer ou autoriser le trafic passant par la passerelle NAT à tout moment. Par défaut, la passerelle autorise le trafic lors de sa création. Le blocage de la passerelle NAT empêche la circulation de l'ensemble du trafic, quelles que soient les règles de routage ou de sécurité existant dans votre réseau cloud virtuel. Pour savoir comment bloquer le trafic, reportez-vous à la section Blocking or Allowing Traffic for a NAT Gateway.
Transition vers une passerelle NAT
Si vous passez d'une instance NAT dans le réseau cloud virtuel à une passerelle NAT, tenez compte du fait que l'adresse IP publique du dispositif NAT changera.
Si vous passez d'une passerelle Internet à une passerelle NAT, les instances ayant accès à cette dernière n'ont plus besoin d'adresses IP publiques pour accéder à Internet. De plus, les instances n'ont plus besoin de se trouver dans un sous-réseau public. Vous ne pouvez pas transformer un sous-réseau public en sous-réseau privé. Cependant, vous pouvez supprimer les adresses IP publiques éphémères de vos instances si vous le souhaitez.
Suppression d'une passerelle NAT
Pour supprimer une passerelle NAT, il n'est pas nécessaire de bloquer son trafic, mais il ne doit exister aucune table de routage qui la répertorie en tant que cible. Pour obtenir des instructions, reportez-vous à la section Deleting a NAT Gateway.
Stratégie IAM requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès sécurisé dans une stratégie. Cet accès est requis que vous utilisiez la console ou l'API REST avec un kit SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message vous indiquant que vous n'avez pas d'autorisation, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.
Pour les administrateurs : reportez-vous à Stratégies IAM pour Networking.
Configuration d'une passerelle NAT
Reportez-vous aux instructions de la section Creating a NAT Gateway.
Lorsque vous créez une passerelle NAT, vous devez également créer une règle de routage qui dirige le trafic souhaité du sous-réseau vers cette passerelle. Vous effectuez cette opération pour chaque sous-réseau devant accéder à la passerelle.
- Déterminez les sous-réseaux du réseau cloud virtuel qui doivent accéder à la passerelle NAT.
-
Pour chaque sous-réseau, mettez à jour la table de routage du sous-réseau afin d'inclure une nouvelle règle à l'aide des paramètres suivants :
- Type de cible : passerelle NAT.
- Bloc CIDR de destination : 0.0.0.0/0.
- Compartiment : compartiment dans lequel se trouve la passerelle NAT.
- Passerelle NAT cible : passerelle NAT.
- Description : description facultative de la règle.
Tout trafic de sous-réseau dont la destination correspond à la règle est acheminé vers la passerelle NAT. Pour plus d'informations sur la configuration des règles de routage, reportez-vous à Tables de routage de réseau cloud virtuel.
Par la suite, si vous n'avez plus besoin de la passerelle NAT et que vous voulez la supprimer, vous devez d'abord supprimer toutes les règles de routage de votre réseau cloud virtuel qui indiquent cette passerelle comme cible.
Sans le routage requis, le trafic ne circule pas sur la passerelle NAT. Si vous devez arrêter temporairement le flux de trafic sur la passerelle, il vous suffit d'enlever la règle de routage qui autorise le trafic. Vous pouvez également bloquer l'intégralité du trafic qui passe par la passerelle. Vous n'avez pas besoin de la supprimer.