Gateway NAT
Questo argomento descrive come impostare e gestire un gateway NAT (Network Address Translation). Un gateway NAT offre alle risorse cloud senza indirizzi IP pubblici l'accesso a Internet senza esporre tali risorse alle connessioni Internet in entrata.
Evidenziazioni
- Puoi aggiungere un gateway NAT alla tua VCN per concedere alle istanze di una subnet privata l'accesso a Internet.
- Le istanze in una subnet privata non dispongono di indirizzi IP pubblici. Con il gateway NAT, possono avviare le connessioni a Internet e ricevere risposte, ma non ricevere le connessioni in entrata avviate da Internet.
- I gateway NAT sono ad alta disponibilità e supportano il traffico ping TCP, UDP e ICMP.
Panoramica di NAT
NAT è una tecnica di rete comunemente utilizzata per fornire a un'intera rete privata accesso a Internet senza assegnare a ciascun host un indirizzo IPv4 pubblico. Gli host possono avviare connessioni a Internet e ricevere risposte, ma non ricevere connessioni in entrata avviate da Internet.
Quando un host nella rete privata avvia una connessione a Internet, l'indirizzo IP pubblico del dispositivo NAT diventa l'indirizzo IP di origine per il traffico in uscita. Il traffico di risposta da Internet utilizza pertanto tale indirizzo IP pubblico come indirizzo IP di destinazione. Il dispositivo NAT inoltra quindi la risposta all'host nella rete privata che ha avviato la connessione.
Panoramica dei gateway NAT
Il servizio di networking offre una soluzione NAT affidabile e ad alta disponibilità per la tua VCN sotto forma di gateway NAT.
Scenario di esempio: si supponga di disporre di risorse che devono ricevere traffico in entrata da Internet (ad esempio, server Web). Hai anche risorse private da proteggere dal traffico in entrata da Internet. Tutte queste risorse devono avviare connessioni a Internet per richiedere aggiornamenti software dai siti su Internet.
È possibile impostare una VCN e aggiungere una subnet pubblica per contenere i server Web. Quando si avviano le istanze, è possibile assegnare loro indirizzi IP pubblici in modo che possano ricevere traffico Internet in entrata. Inoltre, aggiungi una subnet privata per contenere le istanze private. Non possono avere indirizzi IP pubblici perché si trovano in una subnet privata.
Puoi aggiungere un gateway Internet alla VCN. Inoltre, aggiungi una regola di instradamento nella tabella di instradamento della subnet pubblica che indirizza il traffico in entrata a Internet al gateway Internet. Le istanze della subnet pubblica ora possono avviare le connessioni a Internet e ricevere anche le connessioni in entrata avviate da Internet. Tenere presente che è possibile utilizzare le regole di sicurezza per controllare i tipi di traffico consentiti all'interno e all'esterno delle istanze a livello di pacchetto.
Puoi aggiungere un gateway NAT alla VCN. Inoltre, aggiungi una regola di instradamento nella tabella di instradamento della subnet privata che indirizza il traffico in entrata a Internet al gateway NAT. Le istanze della subnet privata ora possono avviare le connessioni a Internet. Il gateway NAT consente risposte, ma non consente connessioni iniziate da Internet. Senza tale gateway NAT, le istanze private dovrebbero invece trovarsi nella subnet pubblica e avere indirizzi IP pubblici per ottenere gli aggiornamenti software.
Durante l'instradamento del traffico di risposta da Internet alla subnet, per impostazione predefinita un gateway NAT instrada direttamente il traffico verso la destinazione. È possibile associare una tabella di instradamento al gateway NAT e definire le regole di instradamento per l'instradamento in entrata del gateway NAT in tale tabella di instradamento. Ad esempio, se si desidera che il gateway NAT instrada prima il traffico di risposta a un firewall, è possibile creare una regola di instradamento per il CIDR della subnet di destinazione con l'IP privato del firewall come destinazione nella tabella di instradamento del gateway NAT.
Il diagramma riportato di seguito mostra il layout di rete di base dell'esempio. Le frecce indicano se le connessioni possono essere avviate in una sola direzione o in entrambe.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 0.0.0.0/0 | Gateway Internet |
| Destinazione instradamento | Destinazione instradamento |
|---|---|
| 0.0.0.0/0 | Gateway NAT |
Un gateway NAT può essere utilizzato solo dalle risorse nella VCN del gateway. Se la VCN è in peer con un'altra, le risorse nell'altra VCN non possono accedere al gateway NAT.
Inoltre, le risorse in una rete in locale connessa alla VCN del gateway NAT con FastConnect o una VPN da sito a sito non possono utilizzare il gateway NAT.
Ecco alcune nozioni di base sui gateway NAT:
- Il gateway NAT supporta il traffico ping TCP, UDP e ICMP.
- Il gateway supporta un massimo di circa 20.000 connessioni concorrenti a un singolo indirizzo e porta di destinazione.
- Il servizio di networking può allocare un nuovo indirizzo IP pubblico per un nuovo gateway NAT oppure è possibile specificare un IP pubblico riservato esistente specifico da utilizzare per un gateway NAT appena creato.
- È previsto un limite al numero di gateway NAT per ogni VCN, ma molto probabilmente la tua VCN avrà bisogno di un solo gateway NAT. Puoi richiedere un aumento a tale limite. Per un elenco dei limiti applicabili e le istruzioni per richiedere un aumento del limite, consulta i limiti del servizio.
Instradamento per un gateway NAT
Puoi controllare l'instradamento nella tua VCN a livello di subnet, in modo da poter specificare quali subnet nella tua VCN utilizzano un gateway NAT. Puoi avere più gateway NAT su una VCN (anche se devi richiedere un aumento dei tuoi limiti). Ad esempio, se desideri che un'applicazione esterna distingua il traffico dalle diverse subnet della VCN, puoi impostare un gateway NAT diverso (e quindi un indirizzo IP pubblico diverso) per ogni subnet. Una determinata subnet può instradare il traffico solo a un singolo gateway NAT.
Blocco del traffico tramite un gateway NAT
Puoi creare un gateway NAT nel contesto di una VCN specifica. In altre parole, il gateway NAT viene sempre collegato automaticamente a una sola VCN di tua scelta. Tuttavia, puoi bloccare o consentire il traffico attraverso il gateway NAT in qualsiasi momento. Per impostazione predefinita, il gateway consente il traffico al momento della creazione. Il blocco del gateway NAT impedisce il flusso di tutto il traffico, indipendentemente da eventuali regole di instradamento o di sicurezza esistenti nella VCN. Per istruzioni su come bloccare il traffico, vedere Blocco o autorizzazione del traffico per un gateway NAT.
Transizione a un gateway NAT
Se passi dall'uso di un'istanza NAT nella tua VCN a un gateway NAT, considera che l'indirizzo IP pubblico per il tuo dispositivo NAT cambierà.
Se si passa dall'uso di un gateway Internet a un gateway NAT, le istanze con accesso al gateway NAT non hanno più bisogno di indirizzi IP pubblici per raggiungere Internet. Inoltre, le istanze non devono più trovarsi in una subnet pubblica. Non è possibile passare da una subnet a una subnet pubblica a privata. Tuttavia, se lo desideri, puoi eliminare gli IP pubblici effimeri dalle tue istanze.
Eliminazione di un gateway NAT
Per eliminare un gateway NAT, il relativo traffico non deve essere bloccato, ma non deve essere presente una tabella di instradamento che la elenchi come destinazione. Per istruzioni, vedere Eliminazione di un gateway NAT.
Criterio IAM necessario
Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere un membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.
Per gli amministratori, vedere Criteri IAM per il networking.
Impostazione di un gateway NAT
Vedere le istruzioni nella sezione Creazione di un gateway NAT.
Quando crei un gateway NAT, devi anche creare una regola di instradamento che indirizzi il traffico desiderato dalla subnet al gateway NAT. Questa operazione viene eseguita per ogni subnet che deve accedere al gateway.
- Determina quali subnet nella tua VCN devono accedere al gateway NAT.
-
Per ciascuna di queste subnet, aggiornare la tabella di instradamento della subnet in modo da includere una nuova regola utilizzando le impostazioni riportate di seguito.
- Tipo di destinazione: gateway NAT.
- Blocco CIDR di destinazione: 0.0.0.0/0
- Compartimento: compartimento in cui si trova il gateway NAT.
- Gateway NAT di destinazione: il gateway NAT.
- Descrizione: una descrizione facoltativa della regola.
Qualsiasi traffico della subnet con una destinazione che corrisponde alla regola viene instradato al gateway NAT. Per ulteriori informazioni sull'impostazione delle regole di instradamento, consulta le tabelle di instradamento VCN.
In seguito, se non è più necessario il gateway NAT e si desidera eliminarlo, è necessario prima eliminare tutte le regole di instradamento nella VCN che specificano il gateway NAT come destinazione.
Senza l'instradamento richiesto, il traffico non scorre sul gateway NAT. Se si verifica una situazione in cui è necessario arrestare temporaneamente il flusso di traffico sul gateway, è sufficiente rimuovere la regola di instradamento che abilita il traffico. In alternativa, puoi bloccare completamente il traffico attraverso il gateway. Non è necessario eliminarlo.