Nota:

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriversi a un account gratuito, vedere Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti Oracle Cloud Infrastructure. Al termine del laboratorio, sostituire questi valori con quelli specifici del tuo ambiente cloud.

Configurare il gateway NAT per le istanze di computazione private

Introduzione

Molti clienti di Oracle Cloud Infrastructure hanno istanze di computazione nelle reti cloud virtuali (VCN) che, per motivi di privacy, sicurezza o operativi, sono connesse a subnet private. Per concedere a queste risorse l'accesso alla rete Internet pubblica per gli aggiornamenti software, i controlli CRL e così via, l'unica opzione di un cliente è stata la creazione di un'istanza NAT in una subnet pubblica e l'instradamento del traffico attraverso tale istanza mediante l'uso del relativo indirizzo IP privato come destinazione di instradamento dall'interno della subnet privata. Sebbene molti abbiano usato con successo questo approccio, questo approccio non si ridimensiona facilmente e fornisce una miriade di sfide amministrative e operative.

Il gateway NAT risolve queste sfide e fornisce ai clienti Oracle Cloud Infrastructure uno strumento semplice e intuitivo per soddisfare le loro esigenze di sicurezza del networking. I gateway NAT offrono le seguenti funzioni:

• Altamente scalabile e completamente gestito: le istanze su subnet private possono avviare un numero elevato di connessioni alla rete Internet pubblica. Le connessioni avviate da Internet sono bloccate.

• Sicuro: il traffico attraverso i gateway NAT può essere disabilitato con un pulsante.

• Indirizzi IP dedicati: a ogni gateway NAT viene assegnato un indirizzo IP dedicato che può essere aggiunto in modo affidabile alle liste di inclusione della sicurezza.

Accedi alla console OCI e crea una VCN

Nota: le schermate nelle istruzioni possono essere diverse dall'interfaccia utente effettiva.

1. Connettersi alla console di Oracle Cloud Infrastructure utilizzando il nome tenant, il nome utente e la password.

2. Dal menu Servizi OCI, fare clic su Reti cloud virtuali in Networking e selezionare il compartimento appropriato. Fare clic su Avvia procedura guidata VCN.

   Nota: assicurarsi che il compartimento corretto sia selezionato nell'elenco COMPARTMENT.

3. Fare clic su VCN con connettività Internet e fare clic su Avvia procedura guidata VCN.

4. Compilare la finestra di dialogo e fare clic su Avanti:

   • NOME VCN: specificare un nome
   • COMPARTMENT: assicurarsi che il compartimento sia selezionato.
   • BBLOCK CIDR VCN: specificare un blocco CIDR (10.0.0.0/16)
   • PUBLIC SUBNET CIDR BLOCK: specificare un blocco CIDR (10.0.1.0/24)
   • PRIVATE SUBNET CIDR BLOCK: specificare un blocco CIDR (10.0.2.0/24)

5. Verificare tutte le informazioni e fare clic su Crea.

   Verrà creata una VCN con i seguenti componenti: VCN, subnet pubblica, subnet privata, gateway Internet (IG), NAT (NAT), gateway del servizio (SG).

6. Fare clic su Visualizza rete cloud virtuale per visualizzare i dettagli della VCN.

Creare e connettersi all'istanza di calcolo

1. Creare chiavi di cifratura SSH da utilizzare per eseguire il login alla VM aprendo una finestra del terminale nella directory in cui si desidera memorizzare le chiavi ed eseguendo il seguente comando OpenSSH, dove <my-key> è il nome chiave desiderato:

   ssh-keygen -t rsa -N "" -b 2048 -C <my-key> -f <my-key>
   

   Il comando genera una grafica di testo casuale utilizzata per generare le chiavi. Al termine, è necessario disporre di due file:

   • Il file della chiave privata: <my-key>
   • File di chiave pubblica: <my-key>.pub

   Questi file vengono utilizzati per connettersi all'istanza di computazione.

2. Andare alla console OCI. Nel menu Servizi OCI, nella sezione Computazione, fare clic su Istanze.

3. Fare clic su Crea istanza e compilare la finestra di dialogo.

   • Assegnare un nome all'istanza: immettere un nome
   • Scegliere un sistema operativo o un'origine immagine: per l'immagine, si consiglia di utilizzare l'ultima versione disponibile di Oracle Linux.
   • Dominio di disponibilità: selezione del dominio di disponibilità
   • Tipo di istanza: selezionare Virtual Machine
   • Forma istanza: selezionare la forma VM.

   Configurazione della rete:

   • Compartimento di rete cloud virtuale: selezionare il compartimento

   • Rete cloud virtuale: scegliere la VCN

   • Compartimento subnet: scegliere il compartimento.

   • Subnet: scegliere la subnet pubblica in Subnet pubbliche

   • Usa gruppi di sicurezza di rete per controllare il traffico: lascia deselezionata la casella

   • Assegnazione di un indirizzo IP pubblico: selezionare questa opzione

     

   Immettere quindi quanto riportato di seguito.

   • Volume di boot: lascia l'impostazione predefinita.
   • Aggiungi chiavi SSH: scegliere Incolla chiavi SSH e incollare la chiave pubblica salvata in precedenza.

4. Fare clic su Crea.

   Nota: se viene visualizzato un errore 'Limite servizio', scegliere una forma diversa da VM.Standard2.1, VM.Standard.E2.1, VM.Standard1.1, VM.Standard.B1.1 oppure scegliere un dominio di disponibilità diverso.

5. Attendere che l'istanza sia in stato In esecuzione. Nel terminale della shell cloud, immettere il comando:

   cd .ssh
   

6. Immettere ls e verificare che il file di chiavi SSH esista.

7. Immettere il comando:

   bash
   

   ssh -i id_rsa opc@PUBLIC_IP_OF_COMPUTE
   

   Suggerimento: se viene visualizzato l'errore 'Autorizzazione negata', assicurarsi di utilizzare -i nel comando SSH. È DEVE digitare il comando; NON copiare e incollare il comando SSH.

8. Immettere yes quando viene richiesto il messaggio di sicurezza.

   

9. Verificare che sul prompt sia visualizzato opc@<COMPUTE_INSTANCE_NAME>.

Configurare il gateway NAT

Ora creeremo una tabella di instradamento nella VCN.

1. Passare alla console OCI. Nel menu Servizi OCI fare clic su Reti cloud virtuali in Networking. Individuare la VCN e fare clic sul nome della VCN per visualizzare i dettagli della VCN.

2. Fare clic su Gateway NAT.

3. Fare clic su Tabelle di instradamento, quindi su Crea tabella di instradamento. Compilare la finestra di dialogo:

   • Crea nel compartimento: per impostazione predefinita, questo campo corrisponde al compartimento corrente; assicurarsi che sia selezionato il compartimento corretto.
   • Nome: immettere un nome

   Fare clic su +Additional Regole di instradamento

   • Tipo di destinazione: selezionare Gateway NAT
   • Blocco CIDR di destinazione: immettere 0.0.0.0/0
   • Compartimento: accertarsi che sia selezionato il compartimento corretto
   • Gateway NAT di destinazione: selezionare il gateway NAT per la tua VCN

4. Fare clic su Crea tabella di instradamento.

   

5. Fare clic sul nome della VCN per visualizzare i dettagli della VCN. Fare clic su Crea subnet. Compilare la finestra di dialogo:

   • Nome: immettere un nome
   • Tipo di subnet: Regionale
   • Blocco CIDR: fornire un CIDR (ad esempio, 10.0.5.0/24)
   • Tabella di instradamento: scegliere la tabella di instradamento creata in precedenza.

   Nota: non scegliere la tabella di instradamento predefinita. Ciò avviene in modo che tutte le operazioni di instradamento relative alle istanze di computazione in questa subnet vengano effettuate tramite il gateway NAT.

   • Accesso alla subnet: subnet privata
   • Opzioni DHCP: selezionare l'impostazione predefinita.
   • Liste di sicurezza: selezionare la lista di sicurezza creata in precedenza.

6. Lasciare tutte le altre opzioni come predefinite e fare clic su Crea subnet.

   

7. Andare al terminale della shell cloud e generare la coppia di chiavi SSH. Immettere il comando:

   ssh-keygen
   

8. Premere Invio quando viene richiesto di nuovo Enter File in which to save the key, Created Directory, Enter passphrase e Enter Passphrase.

9. Immettere il comando:

   cd ~/.ssh
   

   e quindi

   ls
   

   È necessario disporre delle chiavi private e pubbliche: /home/opc/.ssh/<sshkeyname> (chiave privata) e /home/opc/.ssh/<sshkeyname>.pub (chiave pubblica).

10. Immettere il comando:

    cat ~/.ssh/id_rsa.pub
    

    Copiare e incollare il contenuto della chiave pubblica in Blocco note. Questa chiave pubblica verrà utilizzata per avviare un'istanza di computazione nella subnet privata della VCN.

11. Passare alla finestra della console OCI e avviare una seconda istanza di computazione come già fatto in precedenza. Assicurarsi che la subnet scelta sia la subnet privata creata in precedenza.

12. Una volta eseguita l'istanza, prendere nota dell'indirizzo IP privato dell'istanza dalla pagina dei dettagli dell'istanza (facendo clic sul nome dell'istanza).

13. Passa a una finestra git-bash con una sessione SSH all'istanza di computazione pubblica (la prima istanza di computazione creata in precedenza). Immettere il comando:

    cd ~/.ssh
    

    quindi

    bash
    

    ssh –i id_rsa opc@Private_IP_OF_COMPUTE_INSTANCE
    

    Nota: il nome utente è opc.

    Suggerimento: se viene visualizzato un "errore di autorizzazione negato", assicurarsi di utilizzare -i nel comando SSH.

    Nota: utilizzare l'IP privato della seconda istanza di computazione indicata in precedenza.

14. Immettere Yes quando viene richiesto il messaggio di sicurezza.

15. Nell'istanza di computazione privata, immettere il comando:

    ping 8.8.8.8
    

    e verificare che ci sia la connettività internet.

    L'istanza di computazione nella subnet privata dispone dell'accesso a Internet. Ciò è possibile perché il traffico viene instradato tramite il gateway NAT creato e collegato alla rete VCN. Successivamente, useremo la funzione di attivazione/disattivazione del traffico sul gateway NAT per bloccare/consentire il traffico con un solo clic.

16. Passare alla finestra della console OCI. Nella pagina dei dettagli della VCN fare clic su Gateway NAT.

17. Passare il puntatore del mouse sull'icona Azione e scegliere Block Traffic.

18. Tornare alla sessione SSH all'istanza di computazione privata e immettere il comando ping 8.8.8.8 (se non è già in esecuzione). Verificare che non siano presenti risposte.

    

19. Tornare alla finestra della console OCI e, utilizzando il passo precedente, scegliere Consenti traffico. Tornare alla sessione SSH e verificare che la risposta ping sia stata ricevuta.

Elimina le risorse

1. Passare alla finestra della console OCI.

2. Se l'istanza di computazione non è visualizzata, nel menu dei servizi OCI fare clic su Istanze in Computazione.

3. Individuare l'istanza di computazione, fare clic sull'icona Azione, quindi fare clic su Arresta.

   

4. Assicurarsi che l'opzione Elimina definitivamente il volume di avvio collegato sia selezionata e fare clic su Arresta istanza. Attendere che l'istanza termini completamente.

   

5. Ripetere i passi per eliminare la seconda istanza di computazione.

6. Nel menu Servizi OCI fare clic su Reti cloud virtuali in Networking. Verrà visualizzato un elenco di tutti i VCN.

7. Individuare la VCN, fare clic sull'icona Azione, quindi fare clic su Arresta. Fare clic su Termina tutto nella finestra di conferma. Dopo l'eliminazione della VCN, fare clic su Chiudi.

   

Riconoscimenti

• Authors - Flavio Pereira, Larry Beausoleil
• Contributori - Kamryn Vinson (QA Intern), Yaisah Granillo (Cloud Solution Engineer)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti di apprendimento gratuito sul canale Oracle Learning YouTube. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.

Per la documentazione del prodotto, visitare il sito Oracle Help Center.

---

Titolo e informazioni sul copyright

Configure NAT gateway for private compute instances

F49951-01

November 2021

Copyright © 2021, Oracle and/or its affiliates.