Remarque :

• Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction à Oracle Cloud Infrastructure Free Tier.
• Il utilise des exemples de valeurs pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous avez terminé votre exercice, remplacez ces valeurs par celles propres à votre environnement cloud.

Configurer la passerelle NAT pour les instances de calcul privées

Introduction

De nombreux clients Oracle Cloud Infrastructure disposent d'instances de calcul dans des réseaux cloud virtuels qui, pour des raisons de confidentialité, de sécurité ou d'exploitation, sont connectés à des sous-réseaux privés. Pour accorder à ces ressources l'accès au réseau Internet public pour les mises à jour logicielles, les vérifications CRL, etc., le seul moyen pour un client est de créer une instance NAT dans un sous-réseau public et d'acheminer le trafic via cette instance en utilisant son adresse IP privée comme cible de routage à partir du sous-réseau privé. Bien que beaucoup aient utilisé cette approche avec succès, elle ne s'adapte pas facilement et représente une multitude de défis administratifs et opérationnels.

La passerelle NAT répond à ces défis et fournit aux clients Oracle Cloud Infrastructure un outil simple et intuitif pour répondre à leurs besoins en matière de sécurité réseau. Les passerelles NAT offrent les fonctionnalités suivantes :

• Très évolutive et entièrement gérée : les instances sur des sous-réseaux privés peuvent initier un grand nombre de connexions à l'Internet public. Les connexions initiées à partir d'Internet sont bloquées.

• Sécurisé : le trafic par les passerelles NAT peut être désactivé en cliquant sur un bouton.

• Adresses IP dédiées : chaque passerelle NAT dispose d'une adresse IP dédiée pouvant être ajoutée de manière fiable aux listes blanches de sécurité.

Connexion à la console OCI et création d'un VCN

Remarque : les captures d'écran figurant dans les instructions peuvent être différentes de l'interface utilisateur réelle.

1. Connectez-vous à la console Oracle Cloud Infrastructure à l'aide de votre nom de locataire, de votre nom utilisateur et de votre mot de passe.

2. Dans le menu Services OCI, cliquez sur Réseaux cloud virtuels sous Fonctions de réseau, puis sélectionnez le compartiment approprié. Cliquez sur Démarrer l'assistant VCN.

   Remarque : assurez-vous que le bon compartiment est sélectionné dans la liste COMPARTMENT (COMPARTMENT).

3. Cliquez sur VCN avec connexion Internet, puis sur Commencer l'assistant VCN.

4. Renseignez la boîte de dialogue et cliquez sur Suivant :

   • NOM VCN : indiquez un nom
   • COMPARTMENT : assurez-vous que le compartiment est sélectionné
   • BLOCK CIDR VCN : fournissez un bloc CIDR (10.0.0.0/16)
   • BLOCK SUBNET PUBLIC : indiquez un bloc CIDR (10.0.1.0/24)
   • BLOCK PRIVATE SUBNET CIDR : fournissez un bloc CIDR (10.0.2.0/24)

5. Vérifiez toutes les informations, puis cliquez sur Créer.

   Cette opération crée un VCN avec les composants suivants : VCN, sous-réseau public, sous-réseau privé, passerelle Internet (IG), passerelle NAT, passerelle de service (SG).

6. Cliquez sur Visualiser le réseau cloud virtuel pour afficher les détails du VCN.

Création d'instance Compute et connexion

1. Créez des clés de chiffrement SSH que vous pouvez utiliser pour vous connecter à votre machine virtuelle en ouvrant une fenêtre de terminal dans le répertoire où vous souhaitez stocker vos clés et en exécutant la commande OpenSSH suivante, où <my-key> est votre nom de clé souhaité :

   ssh-keygen -t rsa -N "" -b 2048 -C <my-key> -f <my-key>
   

   La commande génère une image de texte aléatoire utilisée pour générer les clés. Lorsque vous avez terminé, vous devez disposer de deux fichiers :

   • Le fichier de clés privées : <my-key>
   • Le fichier de clé publique : <my-key>.pub

   Vous utilisez ces fichiers pour vous connecter à l'instance de calcul.

2. Accédez à la console OCI. Dans le menu Services OCI, sous Compute, cliquez sur Instances.

3. Cliquez sur Créer une instance et renseignez la boîte de dialogue :

   • Nom de l'instance : entrez un nom
   • Choisir un système d'exploitation ou une source d'image : pour l'image, nous vous recommandons d'utiliser le dernier Oracle Linux disponible.
   • Domaine de disponibilité : sélectionnez un domaine de disponibilité
   • Type d'instance : sélectionnez Machine virtuelle
   • Forme d'instance : sélectionnez une forme de machine virtuelle

   Sous Configuration du réseau :

   • Composant de réseau cloud virtuel : sélectionnez votre compartiment

   • Réseau cloud virtuel : choisissez le VCN

   • Compartiment du sous-réseau : choisissez votre compartiment

   • Sous-réseau : choisissez le sous-réseau public sous Sous-réseaux publics

   • Utiliser les groupes de sécurité réseau pour contrôler le trafic : désélectionnez-la.

   • Affecter une adresse IP publique : sélectionnez cette option

     

   Ensuite, entrez les informations suivantes :

   • Volume d'initialisation : conservez la valeur par défaut.
   • Ajouter des clés SSH : choisissez Coller les clés SSH et collez la clé publique enregistrée précédemment.

4. Cliquez sur Créer.

   Remarque : si une erreur "Limite de service" s'affiche, choisissez une autre forme parmi VM.Standard2.1, VM.Standard.E2.1, VM.Standard1.1, VM.Standard.B1.1 ou choisissez un autre domaine de disponibilité.

5. Attendez que l'instance soit à l'état En cours d'exécution. Dans le terminal shell cloud, entrez la commande suivante :

   cd .ssh
   

6. Entrez ls et vérifiez que votre fichier de clés SSH existe.

7. Entrez la commande:

   bash
   

   ssh -i id_rsa opc@PUBLIC_IP_OF_COMPUTE
   

   Conseil : si 'Erreur de refus d'autorisation' est affichée, assurez-vous que vous utilisez -i dans la commande SSH. Vous DOIT taper la commande ; NE PAS copier et coller la commande SSH.

8. Entrez yes lorsque vous êtes invité à saisir le message de sécurité.

   

9. Vérifiez que opc@<COMPUTE_INSTANCE_NAME> apparaît dans linvite.

Configuration de la passerelle NAT

Nous allons maintenant créer une table de routage dans le VCN.

1. Passez à la console OCI. Dans le menu Services OCI, cliquez sur Réseaux cloud virtuels sous Fonctions de réseau. Localisez votre VCN et cliquez sur le nom VCN pour afficher les détails du VCN.

2. Cliquez sur Passerelles NAT.

3. Cliquez sur Tables de routage, puis sur Créer une table de routage. Renseignez la boîte de dialogue :

   • Créer dans le compartiment : ce champ est défini par défaut sur le compartiment en cours. Assurez-vous que le bon compartiment est sélectionné
   • Nom : entrez un nom.

   Cliquez sur +Additional Règles de routage.

   • Type de cible : sélectionnez Passerelle NAT
   • Bloc CIDR de destination : entrez 0.0.0.0/0
   • Compartiment : assurez-vous que le compartiment correct est sélectionné
   • Gateway NAT cible : sélectionnez la passerelle NAT de votre VCN

4. Cliquez sur Créer une table de routage.

   

5. Cliquez sur votre nom VCN pour afficher les détails du VCN. Cliquez sur Create Subnet. Renseignez la boîte de dialogue :

   • Nom : entrez un nom.
   • Type de sous-réseau : régional
   • Bloc CIDR : indiquez un CIDR (par exemple, 10.0.5.0/24)
   • Table de routage : choisissez la table créée précédemment.

   Remarque : ne choisissez pas la table de routage par défaut. Tout le routage des instances de calcul de ce sous-réseau est effectué via la passerelle NAT.

   • accès au sous-réseau : sous-réseau privé
   • Options DHCP : sélectionnez la valeur par défaut.
   • Listes de sécurité : sélectionnez la liste de sécurité créée précédemment.

6. Conservez toutes les autres options par défaut et cliquez sur Créer un sous-réseau.

   

7. Accédez à votre terminal de shell cloud et générez la paire de clés SSH. Entrez la commande:

   ssh-keygen
   

8. Appuyez à nouveau sur Entrée lorsque vous êtes invité à indiquer Enter File in which to save the key, Created Directory, Enter passphrase et Enter Passphrase.

9. Entrez la commande:

   cd ~/.ssh
   

   puis

   ls
   

   Vous devez disposer des clés privées et publiques : /home/opc/.ssh/<sshkeyname> (clé privée) et /home/opc/.ssh/<sshkeyname>.pub (clé publique).

10. Entrez la commande:

    cat ~/.ssh/id_rsa.pub
    

    Copiez et collez le contenu de la clé publique dans le Bloc-notes. Nous utiliserons cette clé publique pour lancer une instance de calcul dans un sous-réseau privé du VCN.

11. Passez à la fenêtre de la console OCI et lancez une deuxième instance de calcul comme précédemment. Vérifiez que le sous-réseau choisi est le sous-réseau privé que nous avons créé précédemment.

12. Une fois l'instance en cours d'exécution, notez son adresse IP privée sur la page de détails (en cliquant sur son nom).

13. Passez à une fenêtre git-bash avec une session SSH à une instance de calcul publique (la première instance de calcul créée précédemment). Entrez la commande:

    cd ~/.ssh
    

    then

    bash
    

    ssh –i id_rsa opc@Private_IP_OF_COMPUTE_INSTANCE
    

    Remarque : le nom utilisateur est opc.

    Conseil : si une erreur de refus d'autorisation apparaît, assurez-vous que vous utilisez -i dans la commande SSH.

    Remarque : utilisez l'adresse IP privée de la deuxième instance de calcul mentionnée précédemment.

14. Entrez Yes lorsque vous êtes invité à saisir le message de sécurité.

15. Dans l'instance de calcul privée, entrez la commande suivante :

    ping 8.8.8.8
    

    et vérifier qu'il existe une connexion à Internet.

    L'instance de calcul dans un sous-réseau privé dispose d'un accès Internet. Cela est possible car le trafic est acheminé via la passerelle NAT que nous avons créée et attachée au VCN. Ensuite, nous utiliserons la fonction de basculement de trafic sur la passerelle NAT pour bloquer/autoriser le trafic en un seul clic.

16. Passez à la fenêtre de la console OCI. Sur la page de détails de votre VCN, cliquez sur Passerelles NAT.

17. Déplacez le curseur de la souris sur l'icône Action et choisissez Bloquer le trafic.

18. Revenez à la session SSH sur l'instance de calcul privée et entrez la commande ping 8.8.8.8 (si elle n'est pas déjà en cours d'exécution). Vérifiez qu'il n'y a pas de réponse.

    

19. Revenez à la fenêtre de la console OCI et, à l'aide de l'étape ci-dessus, choisissez cette fois Autoriser le trafic. Revenez à la session SSH et vérifiez que la réponse ping est reçue.

Supprimer les ressources

1. Passez à la fenêtre de la console OCI.

2. Si votre instance de calcul n'est pas affichée, dans le menu des services OCI, cliquez sur Instances sous Compute.

3. Localisez l'instance de calcul, cliquez sur l'icône Action, puis sur Mettre fin.

   

4. Assurez-vous que la case Supprimer définitivement le volume d'initialisation attaché est cochée, puis cliquez sur Mettre fin à l'instance. Attendez que l'instance se termine complètement.

   

5. Répétez les étapes pour supprimer la deuxième instance de calcul.

6. Dans le menu des services OCI, cliquez sur Réseaux cloud virtuels sous Fonctions de réseau. La liste de tous les réseaux cloud virtuels apparaît.

7. Localisez votre VCN, cliquez sur l'icône Action, puis sur Mettre fin. Cliquez sur Terminer tout dans la fenêtre de confirmation. Cliquez sur Fermer une fois le VCN supprimé.

   

Remerciements

• Auteurs - Flavio Pereira, Larry Beausoleil
• Contributeurs - Kamryn Vinson (QA Intern), Yaisah Granillo (ingénieur de solutions cloud)

Ressources de formation supplémentaires

Explorez d'autres exercices dans docs.oracle.com/learn ou accédez à des contenus d'apprentissage gratuits sur le canal Oracle Learning YouTube. En outre, accédez à education.oracle.com/learning-explorer pour devenir un explorateur de formation Oracle.

Pour consulter la documentation produit, accédez à Oracle Help Center.

---

Informations relatives au titre et au copyright

Configure NAT gateway for private compute instances

F49950-01

November 2021

Copyright © 2021, Oracle and/or its affiliates.