Gateway NAT
Questo argomento descrive come impostare e gestire un gateway NAT (Network Address Translation). Un gateway NAT offre alle risorse cloud senza indirizzi IP pubblici l'accesso a Internet senza esporre tali risorse alle connessioni Internet in entrata.
Evidenziazioni
- È possibile aggiungere un gateway NAT a una VCN per concedere alle istanze in una subnet privata l'accesso a Internet.
- Le istanze di computazione in una subnet privata non dispongono di indirizzi IP pubblici. Con il gateway NAT, possono avviare connessioni a Internet e ricevere risposte, ma non ricevere connessioni in entrata da Internet.
- I gateway NAT sono ad alta disponibilità e supportano il traffico ping TCP, UDP e ICMP.
Panoramica di NAT
NAT è una tecnica di rete comunemente utilizzata per fornire a un'intera rete privata l'accesso a Internet senza assegnare a ciascun host un indirizzo IPv4 pubblico. Gli host possono avviare connessioni a Internet e ricevere risposte, ma non ricevere connessioni in entrata avviate da Internet.
Quando un host nella rete privata avvia una connessione collegata a Internet, l'indirizzo IP pubblico del dispositivo NAT diventa l'indirizzo IP di origine per il traffico in uscita. Il traffico di risposta da Internet utilizza pertanto tale indirizzo IP pubblico come indirizzo IP di destinazione. Il dispositivo NAT instrada quindi la risposta all'host nella rete privata che ha avviato la connessione.
Panoramica dei gateway NAT
Il servizio di networking offre una soluzione NAT affidabile e ad alta disponibilità per una VCN sotto forma di gateway NAT.
Scenario di esempio: immagina di avere risorse che devono ricevere traffico in entrata da Internet (ad esempio, server Web). Sono inoltre disponibili risorse private che devono essere protette dal traffico in entrata da Internet. Tutte queste risorse devono avviare connessioni a Internet per richiedere aggiornamenti software dai siti su Internet.
È possibile impostare una VCN e aggiungere una subnet pubblica per contenere i server Web. Quando si creano le istanze, si assegnano loro indirizzi IP pubblici in modo che possano ricevere traffico Internet in entrata. È inoltre possibile aggiungere una subnet privata in cui memorizzare le istanze private. Non possono avere indirizzi IP pubblici perché si trovano in una subnet privata.
Aggiungere un gateway Internet alla VCN. È inoltre possibile aggiungere una regola di instradamento nella tabella di instradamento della subnet pubblica che indirizza il traffico collegato a Internet al gateway Internet. Le istanze della subnet pubblica ora possono avviare connessioni a Internet e ricevere anche connessioni in entrata da Internet. Tenere presente che è possibile utilizzare le regole di sicurezza per controllare i tipi di traffico consentiti a livello di pacchetto in entrata e in uscita dalle istanze.
Aggiungere un gateway NAT alla VCN. È inoltre possibile aggiungere una regola di instradamento nella tabella di instradamento della subnet privata che indirizza il traffico collegato a Internet al gateway NAT. Le istanze della subnet privata ora possono avviare connessioni a Internet. Il gateway NAT consente risposte, ma non consente connessioni da Internet. Senza tale gateway NAT, le istanze private dovrebbero invece trovarsi nella subnet pubblica e avere indirizzi IP pubblici per ottenere gli aggiornamenti software.
Durante l'instradamento del traffico di risposta da Internet alla subnet, per impostazione predefinita un gateway NAT instrada direttamente il traffico verso la destinazione. È possibile associare una tabella di instradamento al gateway NAT e definire le regole di instradamento per l'instradamento in entrata del gateway NAT in tale tabella di instradamento. Ad esempio, se si desidera che il gateway NAT instrada prima il traffico di risposta a un firewall, è possibile creare una regola di instradamento per il CIDR della subnet di destinazione con l'IP privato del firewall come destinazione nella tabella di instradamento del gateway NAT.
Il seguente diagramma illustra il layout di rete di base per l'esempio. Le frecce indicano se le connessioni possono essere avviate in una sola direzione o in entrambe.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 0.0.0.0/0 | Gateway Internet |
| Destinazione instradamento | Destinazione instradamento |
|---|---|
| 0.0.0.0/0 | Gateway NAT |
Un gateway NAT può essere utilizzato solo dalle risorse nella VCN del gateway. Se la VCN è in peer con un'altra, le risorse nell'altra VCN non possono accedere al gateway NAT.
Inoltre, le risorse in una rete in locale connessa alla VCN del gateway NAT con FastConnect o una VPN da sito a sito non possono utilizzare il gateway NAT.
Ecco alcune nozioni di base sui gateway NAT:
- Il gateway NAT supporta il traffico ping TCP, UDP e ICMP.
- Il gateway supporta un massimo di 20.000 connessioni simultanee a un singolo indirizzo e porta di destinazione.
- Il servizio di networking può allocare un nuovo indirizzo IP pubblico per un nuovo gateway NAT oppure è possibile specificare un IP pubblico riservato esistente specifico da utilizzare per un gateway NAT appena creato.
- È previsto un limite al numero di gateway NAT per ogni VCN, ma una VCN molto probabilmente richiede solo un gateway NAT. È possibile richiedere un aumento di tale limite. Per consultare un elenco dei limiti applicabili e le istruzioni per richiedere un incremento del limite, consulta Limiti del servizio.
Instradamento per un gateway NAT
Puoi controllare l'instradamento in una VCN a livello di subnet, in modo da poter specificare quali subnet nella VCN utilizzano un gateway NAT. Puoi avere più gateway NAT su una VCN (anche se devi richiedere un aumento dei limiti). Ad esempio, se desideri che un'applicazione esterna distingua il traffico dalle diverse subnet della VCN, puoi impostare un gateway NAT diverso (e quindi un indirizzo IP pubblico diverso) per ogni subnet. Una subnet specifica può instradare il traffico a un solo gateway NAT.
Blocco del traffico tramite un gateway NAT
Puoi creare un gateway NAT nel contesto di una VCN specifica, pertanto un gateway NAT viene sempre collegato automaticamente a una sola VCN. Tuttavia, puoi bloccare o consentire il traffico attraverso il gateway NAT in qualsiasi momento. Per impostazione predefinita, il gateway consente il traffico al momento della creazione. Il blocco del gateway NAT impedisce il flusso di tutto il traffico, indipendentemente dalle regole di instradamento esistenti o dalle regole di sicurezza nella VCN. Per istruzioni su come bloccare il traffico, vedere Blocco o autorizzazione del traffico per un gateway NAT.
Transizione a un gateway NAT
Se stai passando dall'uso di un'istanza NAT nella tua VCN a un gateway NAT, considera che anche l'indirizzo IP pubblico per il dispositivo NAT cambi.
Se si passa dall'uso di un gateway Internet a un gateway NAT, le istanze con accesso al gateway NAT non hanno più bisogno di indirizzi IP pubblici per raggiungere Internet. Inoltre, le istanze non devono più trovarsi in una subnet pubblica. Non è possibile passare da una subnet a una pubblica a privata. Tuttavia, puoi sempre eliminare gli IP pubblici effimeri dalle istanze di computazione.
Eliminazione di un gateway NAT
Per eliminare un gateway NAT, il relativo traffico non deve essere bloccato, ma non deve esistere una tabella di instradamento che la elenchi come destinazione. Per istruzioni, vedere Eliminazione di un gateway NAT.
Criterio IAM necessario
Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere un membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.
Per gli amministratori, vedere Criteri IAM per il networking.
Impostazione di un gateway NAT
Vedere le istruzioni nella sezione Creazione di un gateway NAT.
Quando crei un gateway NAT, devi anche creare una regola di instradamento che indirizzi il traffico dalla subnet al gateway NAT. È possibile eseguire questa operazione per ogni subnet che deve accedere al gateway.
- Decidere quali subnet nella VCN devono accedere al gateway NAT.
-
Per ciascuna di queste subnet, aggiornare la tabella di instradamento della subnet in modo da includere una nuova regola utilizzando le impostazioni riportate di seguito.
- Tipo di destinazione: gateway NAT.
- Blocco CIDR di destinazione: 0.0.0.0/0
- Compartimento: compartimento contenente il gateway NAT.
- Gateway NAT di destinazione: il gateway NAT.
- Descrizione: una descrizione facoltativa della regola.
Qualsiasi traffico della subnet con una destinazione che corrisponde alla regola viene instradato al gateway NAT. Per ulteriori informazioni sull'impostazione delle regole di instradamento, consulta le tabelle di instradamento VCN.
In seguito, se non hai più bisogno del gateway NAT e desideri eliminarlo, devi prima eliminare tutte le regole di instradamento nella VCN che specificano il gateway NAT come destinazione.
Senza l'instradamento richiesto, il traffico non scorre sul gateway NAT. Se si verifica una situazione in cui è necessario arrestare temporaneamente il flusso di traffico sul gateway, è possibile rimuovere la regola di instradamento che consente il traffico. In alternativa, puoi bloccare completamente il traffico attraverso il gateway. Non è necessario eliminarlo.