Passerelle Internet

Cette rubrique explique comment configurer et gérer une passerelle Internet pour accorder un accès Internet VCN.

Conseil

Oracle propose également une passerelle NAT, recommandée pour les sous-réseaux du VCN qui ne nécessitent pas de connexions externes à partir d'Internet.

Points clés

  • Une passerelle Internet est une passerelle facultative que vous pouvez ajouter à un VCN pour permettre une connectivité directe à Internet.
  • La passerelle prend en charge les connexions à partir du VCN (sortie) et les connexions à partir d'Internet (entrée).
  • Les ressources devant utiliser la passerelle pour accéder à Internet doivent se trouver dans un sous-réseau public et disposer d'adresses IP publiques. Les ressources disposant d'adresses IP privées peuvent à la place utiliser une passerelle ATN pour établir des connexions à Internet.
  • Chaque sous-réseau public devant utiliser la passerelle Internet doit comporter une règle de table de routage qui indique la passerelle comme cible.
  • Les règles de sécurité permettent de contrôler les types de trafic entrant et sortant autorisés pour les ressources du sous-réseau. Assurez-vous que les règles autorisent uniquement les types de trafic Internet appropriés.
  • La passerelle Internet ne peut être utilisée que par les ressources du réseau cloud virtuel qui lui est associé. Les hôtes du réseau sur site connecté ou d'un VCN appairé ne peuvent pas utiliser cette passerelle Internet.
  • Vous ne pouvez pas ajouter une passerelle Internet à un réseau cloud virtuel dans une zone de sécurité ou l'y déplacer. Les zones de sécurité n'utilisent pas de sous-réseaux publics.
  • Une seule passerelle Internet est nécessaire pour chaque VCN. Tous les sous-réseaux publics d'un VCN ont accès à la passerelle Internet, à condition que les règles de sécurité et les règles de table de routage autorisent cet accès.

Présentation des passerelles Internet

Avant d'aller plus loin, lisez la section Accès à Internet et comprenez également la configuration des règles de Sécurité pour les ressources d'un sous-réseau.

Une passerelle Internet est un routeur virtuel facultatif qui connecte la périphérie du réseau cloud virtuel à Internet. Pour utiliser la passerelle, les hôtes des deux extrémités de la connexion doivent disposer d'adresses IP publiques pour le routage. Les connexions qui proviennent d'un VCN et sont destinées à une adresse IP publique (à l'intérieur ou à l'extérieur du VCN) passent par la passerelle Internet. Les connexions qui proviennent de l'extérieur du réseau cloud virtuel et qui sont destinées à une adresse IP publique interne au réseau cloud virtuel passent par la passerelle Internet.

Un VCN spécifique ne peut avoir qu'une seule passerelle Internet. Vous contrôlez quels sous-réseaux publics du réseau cloud virtuel peuvent utiliser la passerelle en configurant la table de routage associée au sous-réseau. Les règles de sécurité permettent de contrôler les types de trafic entrant et sortant autorisés pour les ressources des sous-réseaux publics.

Le diagramme suivant illustre une configuration VCN avec un seul sous-réseau public. Le réseau cloud virtuel dispose d'une passerelle Internet et le sous-réseau public est configuré pour utiliser la table de routage par défaut du réseau cloud virtuel. La table comporte une règle de routage qui envoie l'ensemble du trafic sortant en provenance des sous-réseaux vers la passerelle Internet. La passerelle autorise toutes les connexions entrantes en provenance d'Internet présentant une adresse IP de destination identique à l'adresse IP publique d'une ressource du réseau cloud virtuel. Toutefois, ce sont les règles d'une liste de sécurité du sous-réseau public qui décident les types de trafic spécifiques (entrante et sortant) autorisés pour les ressources du sous-réseau. Ces règles de sécurité spécifiques ne sont pas affichées.

Cette image présente une présentation d'un VCN avec un sous-réseau public qui utilise une passerelle Internet.
Numéro 1 : table de routage de réseau cloud virtuel par défaut
CIDR de destination Cible du routage
0.0.0.0/0 Passerelle Internet
Conseil

Le trafic entre un VCN et une adresse IP publique dans Oracle Cloud Infrastructure (par exemple, Object Storage) doit être acheminé via une passerelle de service au lieu d'une passerelle Internet.

Utilisation des passerelles Internet

Vous créez une passerelle Internet dans le contexte d'un VCN spécifique et la passerelle Internet est toujours attachée à ce VCN. Vous pouvez néanmoins désactiver et réactivez la passerelle Internet à tout moment. Comparons-la à la passerelle de routage dynamique, que vous créez en tant qu'objet autonome que vous attachez ensuite à un réseau cloud virtuel particulier. Les passerelles de routage dynamique utilisent un modèle différent car elles sont destinées à être des blocs de création modulaires pour la connexion de réseaux cloud virtuels à un réseau sur site ou à d'autres réseaux cloud virtuels de façon privée.

Pour que le trafic passe d'un sous-réseau public à Internet, vous devez créer une règle de routage correspondante dans la table de routage du sous-réseau. Par exemple, si CIDR de destination = 0.0.0.0/0 et cible = passerelle Internet, la cible peut être l'adresse IP privée de celui-ci pour acheminer le trafic via un pare-feu. Le sous-réseau du pare-feu a alors besoin d'un routage (par exemple 0.0.0.0/0) pour atteindre Internet avec la passerelle Internet comme cible.

Pour le trafic qui passe d'Internet à une destination d'un sous-réseau public, la passerelle Internet l'achemine par défaut directement vers la destination. Vous pouvez associer une table de routage à la passerelle Internet et définir des règles de routage qui acheminent le trafic public entrant vers des destinations du réseau cloud virtuel. Par exemple, si vous voulez que la passerelle Internet achemine d'abord le trafic vers un pare-feu du réseau cloud virtuel, vous pouvez créer une règle de routage pour le CIDR de sous-réseau de destination avec l'adresse IP privée du pare-feu comme cible. Les règles de routage vers des destinations en dehors du VCN dans une table de routage de passerelle Internet ne sont pas prises en charge.

Une seule passerelle Internet est nécessaire pour chaque VCN. Tous les sous-réseaux publics au sein d'un VCN ont accès à la passerelle Internet à condition que les règles de sécurité et les règles de table de routage permettent cet accès.

Dans le cadre du contrôle d'accès, vous devez spécifier le compartiment dans lequel la passerelle Internet doit résider. En cas de doute sur le compartiment à utiliser, placez la passerelle Internet dans le même compartiment que le réseau cloud. Pour plus d'informations, reportez-vous à Contrôle d'accès.

Vous pouvez affecter un nom convivial à la passerelle Internet. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Oracle affecte automatiquement à la passerelle Internet un identificateur unique appelé OCID (Oracle Cloud ID). Pour plus d'informations, reportez-vous à Identificateurs de ressource.

Pour supprimer une passerelle Internet, il n'est pas nécessaire de la désactiver, mais il ne doit pas exister de table de routage qui la répertorie en tant qu'objectif.

Pour obtenir des informations sur les limites, reportez-vous à Limites de passerelle et à Demande d'augmentation de limite de service.

Configuration de la passerelle Internet

Prérequis :

  • Déterminez les sous-réseaux du VCN qui ont besoin d'accéder à Internet et créez ces sous-réseaux publics.

    Une seule passerelle Internet est nécessaire pour chaque VCN. Tous les sous-réseaux publics au sein d'un VCN ont accès à la passerelle Internet à condition que les règles de sécurité et les règles de table de routage permettent cet accès.

  • Déterminez les types de trafic Internet entrant et sortant à autoriser pour les ressources de chaque sous-réseau public (exemples : connexions HTTPS entrantes, connexions ping ICMP entrantes).
  • La stratégie IAM requise est en place pour vous permettre d'utiliser les ressources du service Networking. Pour les administrateurs : reportez-vous à Stratégies IAM pour Networking.
Important

Si le sous-réseau public est configuré pour utiliser la liste d'accès de sécurité par défaut, n'oubliez pas que cette liste inclut plusieurs règles par défaut utiles qui autorisent l'accès de base requis (par exemple, SSH entrant, accès sortant à toutes les destinations). Nous vous recommandons de vous familiariser avec l'accès de base fournis par ces règles par défaut. Si vous décidez de ne pas utiliser la liste d'accès de sécurité par défaut, assurez-vous de fournir cet accès de base en implémentant ces règles d'accès de sécurité dans des groupes de sécurité réseau ou des listes d'accès personnalisées.

La procédure suivante utilise des listes d'accès sécurisé, mais vous avez la possibilité d'implémenter des règles d'accès sécurisé dans un groupe de sécurité réseau, puis de créer toutes les ressources du sous-réseau dans ce groupe.

  1. Pour chaque sous-réseau public qui doit utiliser la passerelle Internet, configurez les règles d'une liste de sécurité du sous-réseau de sorte à autoriser le trafic Internet. Reportez-vous aux exemples de paramètres suivants :

    Imaginez que le sous-réseau public comporte des serveurs Web. Cet exemple montre comment ajouter une règle entrante pour les connexions HTTPS (port TCP 443) en provenance d'Internet et à destination du serveur Web. Sans cette règle, les connexions HTTPS entrantes ne sont pas autorisées.

    1. Ne cochez pas la case sans conservation de statut.
    2. Type de source : CIDR
    3. CIDR source : 0.0.0.0/0
    4. Protocole IP : conservez la valeur TCP.
    5. Plage de ports source : conservez la valeur Tous.
    6. Plage de ports de destination : entrez 443.
    7. Description : description facultative de la règle.
  2. Créez la passerelle Internet du VCN.

    Une fois la passerelle Internet créée et affichée sur la page Passerelles Internet du VCN que vous avez choisi, elle est déjà activée, mais vous devez quand même ajouter une règle de routage qui autorise le trafic vers la passerelle.

  3. Pour chaque sous-réseau public qui doit utiliser la passerelle Internet, mettez à jour la table de routage du sous-réseau à l'aide des exemples de paramètres suivants :

    • Type de cible : passerelle Internet
    • Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que tout le trafic non intra-VCN qui n'est pas déjà couvert par d'autres règles dans la table de routage va vers la cible indiquée dans cette règle)
    • Compartiment : compartiment contenant la passerelle Internet.
    • Cible : passerelle Internet créée.
    • Description : description facultative de la règle.

La passerelle Internet est désormais activée et fonctionnelle pour le réseau cloud.