Gateway NAT

Este tópico descreve como configurar e gerenciar um gateway NAT (Network Address Translation). Um gateway NAT permite que recursos de nuvem sem endereços IP públicos acessem a internet sem expor esses recursos a conexões provenientes da internet.

Destaques

  • Você pode adicionar um gateway NAT à sua VCN para permitir que instâncias em uma sub-rede privada tenham acesso à internet.
  • As instâncias de uma sub-rede privada não têm endereços IP públicos. Com o gateway NAT, as instâncias podem iniciar conexões com a internet e podem receber respostas, mas não podem receber conexões de entrada iniciadas na internet.
  • Os gateways NAT são altamente disponíveis e suportam tráfego de ping TCP, UDP e ICMP.

Visão Geral da NAT

NAT é uma técnica de rede geralmente usada para permitir que uma rede privada inteira tenha acesso à internet sem designar um endereço IPv4 público a cada host. Os hosts podem iniciar conexões com a internet e podem receber respostas, mas não podem receber conexões de entrada iniciadas na internet.

Quando um host na rede privada inicia uma conexão vinculada à internet, o endereço IP público do dispositivo NAT torna-se o endereço IP de origem para o tráfego de saída. O tráfego de resposta da internet, portanto, usa esse endereço IP público como o endereço IP de destino. Em seguida, o dispositivo NAT roteia a resposta para o host na rede privada que iniciou a conexão.

Visão Geral dos Gateways NAT

O serviço Networking oferece uma solução NAT confiável e altamente disponível para a sua VCN na forma de um gateway NAT.

Exemplo de cenário: imagine que você tem recursos que precisam receber tráfego proveniente da internet (por exemplo, servidores Web). Você também tem recursos privados que precisam ser protegidos do tráfego proveniente da internet. Todos esses recursos precisam iniciar conexões com a internet para solicitar atualizações de software por meio de sites na internet.

Você configura uma VCN e adiciona uma sub-rede pública para conter os servidores web. Ao iniciar as instâncias, designe endereços IP públicos a elas para que possam receber tráfego proveniente da internet. Você também adiciona uma sub-rede privada para conter as instâncias privadas. Elas não podem ter endereços IP públicos porque estão em uma sub-rede privada.

Você adiciona um gateway de internet à VCN. Você também adiciona uma regra de roteamento na tabela de roteamento da sub-rede pública que direciona o tráfego vinculado à internet para o gateway de internet. As instâncias da sub-rede pública agora podem iniciar conexões com a internet e também receber conexões de entrada iniciadas pela internet. Lembre-se de que você pode usar regras de segurança para controlar os tipos de tráfego permitidos entre as instâncias no nível do pacote.

Você adiciona um gateway NAT à VCN. Você também adiciona uma regra de roteamento na tabela de roteamento da sub-rede privada que direciona o tráfego vinculado à internet para o gateway NAT. As instâncias da sub-rede privada agora podem iniciar conexões com a internet. O gateway NAT permite respostas, mas não permite conexões iniciadas na internet. Sem esse gateway NAT, em vez disso, as instâncias privadas precisariam estar na sub-rede pública e ter endereços IP públicos para obter suas atualizações de software.

O diagrama a seguir ilustra o layout de rede básico do exemplo. As setas indicam se as conexões podem ser iniciadas em apenas uma direção ou em ambas.

Esta imagem mostra o layout básico de uma VCN com um gateway NAT e um gateway de serviço

Observação

Um gateway NAT só pode ser usado por recursos na própria VCN do gateway. Se a VCN estiver pareada com outra VCN, os recursos da outra VCN não poderão acessar o gateway NAT.

Além disso, os recursos de uma rede local conectada com a VCN do gateway NAT que utiliza o FastConnect ou uma VPN Site-to-Site não podem usar o gateway NAT.

Estão são algumas informações básicas sobre gateways NAT:

  • O gateway NAT suporta tráfego de ping TCP, UDP e ICMP.
  • O gateway suporta no máximo 20.000 conexões concorrentes com uma única porta e um único endereço de destino.
  • O serviço Networking pode alocar um novo endereço IP público para um novo Gateway NAT ou você pode especificar um IP público reservado existente específico a ser usado para um Gateway NAT recém-criado.
  • Há um limite para o número de gateways NAT por VCN. Você pode solicitar um aumento para esse limite. Consulte Limites de Serviço.

Roteamento para um Gateway NAT

Você controla o roteamento na sua VCN no nível da sub-rede, para que possa especificar quais sub-redes na sua VCN usam um gateway NAT. Você pode ter mais de um gateway NAT em uma VCN (embora seja necessário solicitar um aumento nos seus limites). Por exemplo, se você quiser que um aplicativo externo distinga o tráfego das diferentes sub-redes da VCN, poderá configurar um gateway NAT específico (e, portanto, um endereço IP público específico) para cada sub-rede. Uma sub-rede só pode rotear o tráfego para um gateway NAT.

Bloqueando o Tráfego por um Gateway NAT

Você cria um gateway NAT no contexto de uma VCN específica. Em outras palavras, o gateway NAT sempre é automaticamente anexado a apenas uma VCN da sua escolha. No entanto, você pode bloquear ou permitir o tráfego por meio do gateway NAT a qualquer momento. Por padrão, o gateway permite que o tráfego flua ao ser criado. Bloquear o gateway NAT impede que todo tráfego flua, independentemente das regras de roteamento ou das regras de segurança existentes na sua VCN. Para obter instruções sobre como bloquear o tráfego, consulte Para bloquear/permitir o tráfego para um gateway NAT.

Transição para um Gateway NAT

Se você estiver deixando de usar uma instância NAT na VCN para usar um gateway NAT, considere que o endereço IP público do seu dispositivo NAT será alterado.

Se você estiver deixando de usar um gateway de internet para usar um gateway NAT, as instâncias com acesso ao gateway NAT não precisarão mais de endereços IP públicos para acessar a internet. Além disso, as instâncias não precisarão mais estar em uma sub-rede pública. Não é possível alternar uma sub-rede de pública para privada. No entanto, você poderá excluir os IPs públicos efêmeros das suas instâncias se quiser.

Excluindo um GatewayNAT

Para que seja possível excluir um gateway NAT, o tráfego desse gateway não precisa estar bloqueado, mas não deve haver uma tabela de roteamento que liste esse gateway como alvo. Para obter instruções, consulte Para excluir um gateway NAT.

Política do IAM Obrigatória

Para usar o Oracle Cloud Infrastructure, você deve receber de um administrador o acesso de segurança em uma política . Esse acesso é necessário, quer você esteja usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Caso receba uma mensagem de que você não tem permissão ou de que não está autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento  deve trabalhar.

Para administradores: consulte Políticas do IAM para Rede.

Configurando um Gateway NAT

Tarefa 1: Criar o gateway NAT
  1. Na Console, confirme que você está exibindo o compartimento que contém a VCN à qual deseja adicionar o gateway NAT. Para obter informações sobre compartimentos e controle de acesso, consulte Controle de Acesso.
  2. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
  3. Clique na VCN em que você está interessado.
  4. Em Recursos, clique em Gateways NAT.
  5. Clique em Criar Gateway NAT.
  6. Informe os seguintes valores:

    • Nome: um nome amigável para o gateway NAT. Ele não precisa ser exclusivo. Evite inserir informações confidenciais.
    • Criar no compartimento: o compartimento no qual você deseja criar o gateway de serviço, se for diferente do compartimento no qual você está trabalhando no momento.
    • Escolher Tipo de Endereço IP: Especifique se o endereço IP público está reservado ou efêmero.
      • Endereço IP efêmero: escolha essa opção para permitir que a Oracle especifique um endereço IP efêmero para você no pool de IPs da Oracle. Esse é o padrão.
      • Endereço IP Reservado: escolha essa opção para especificar um endereço IP reservado existente por nome ou para criar um novo endereço IP reservado atribuindo um nome e selecionando um pool IP de origem para o endereço. Se você não selecionar um pool criado, o pool de IPs Oracle padrão será usado.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deve aplicar tags, ignore esta opção (você poderá aplicar tags posteriormente) ou pergunte ao administrador.
  7. Clique em Criar Gateway NAT.

    O gateway NAT será criado e exibido na página Gateways NAT no compartimento escolhido. Por padrão, o gateway permite tráfego. A qualquer momento, você pode bloquear ou permitir o tráfego por ele.

Tarefa 2: Atualizar roteamento para a sub-rede

Ao criar um gateway NAT, você também precisa criar uma regra de roteamento que direciona o tráfego desejado da sub-rede para o gateway NAT. Você deve fazer isso para cada sub-rede que precise acessar o gateway.

  1. Determine quais sub-redes da sua VCN precisam acessar o gateway NAT.
  2. Para cada uma dessas sub-redes, atualize a tabela de roteamento da sub-rede para incluir uma nova regra:

    1. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
    2. Clique na VCN em que você está interessado.
    3. Em Recursos, clique em Tabelas de Roteamento.
    4. Clique na tabela de roteamento na qual você está interessado.
    5. Clique em Adicionar Regra de Roteamento e informe os seguintes valores:

      • Tipo de Destino: Gateway NAT.
      • Bloco CIDR de Destino: 0.0.0.0/0
      • Compartimento: o compartimento onde o gateway NAT está localizado.
      • Gateway NAT de Destino: o gateway NAT.
      • Descrição: Uma descrição opcional da regra.
    6. Clique em Adicionar Regra de Roteamento.

Qualquer tráfego de sub-rede com um destino que corresponda à regra será roteado para o gateway NAT. Para obter mais informações sobre a configuração de regras de roteamento, consulte Tabelas de Roteamento da VCN.

Posteriormente, se você não precisar mais do gateway NAT e quiser excluí-lo, primeiro exclua todas as regras de roteamento da sua VCN que especificam o gateway NAT como alvo.

Dica

Sem o roteamento necessário, o tráfego não flui pelo gateway NAT. Se ocorrer uma situação em que você deseja interromper temporariamente o fluxo de tráfego no gateway, poderá simplesmente remover a regra de roteamento que permite o tráfego. Ou você pode bloquear o tráfego do gateway inteiramente. Não é necessário excluí-lo.

Usando a Console

Para bloquear/permitir o tráfego em um gateway NAT
  1. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Gateways NAT.
  4. Para o gateway NAT em que você está interessado, clique no menu Ações e, em seguida, clique em Block Traffic (ou Permitir Tráfego se você estiver permitindo tráfego no gateway NAT.
  5. Confirme quando solicitado.

    Quando há bloqueio de tráfego, o ícone do gateway NAT permanece cinza, e o label muda para BLOCKED. Quando há permissão de tráfego, o ícone do gateway NAT permanece verde, e o label muda para AVAILABLE.

Para atualizar um gateway NAT
  1. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Gateways NAT.
  4. Para o gateway NAT desejado, clique no menu Ações e, em seguida, clique em Editar.
  5. Faça as alterações desejadas e clique em Salvar Alterações.
Para excluir um gateway NAT

Pré-requisito: não deve haver uma tabela de roteamento que liste o gateway NAT como alvo.

  1. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Gateways NAT.
  4. Para o gateway NAT que você deseja excluir, clique no menu Ações e, em seguida, clique em Terminar.
  5. Confirme quando solicitado.
Para gerenciar as tags de um gateway NAT
  1. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Gateways NAT.
  4. Clique no menu Ações do gateway NAT e, em seguida, clique em Exibir Tags. Nessa página, você pode exibir as tags existentes, editá-las e aplicar novas tags.

Para obter mais informações, consulte: Tags de Recursos.

Para mover um gateway NAT para outro compartimento

Você pode mover um gateway NAT de um compartimento para outro. Quando você move um gateway NAT para um novo compartimento, as políticas inerentes são aplicadas imediatamente.

  1. Abra o menu de navegação, clique em Networking e depois clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Gateways NAT.
  4. Localize o gateway NAT, clique no menu Ações e em Mover Recurso.
  5. Escolha o compartimento de destino na lista.
  6. Clique em Mover Recurso.

O gateway NAT será movido para o novo compartimento imediatamente. Dependendo das suas permissões, você poderá selecionar o compartimento no menu à esquerda para exibir o gateway NAT.

Para obter mais informações sobre o uso de compartimentos e políticas para controlar o acesso à sua rede na nuvem, consulte Controle de Acesso. Para obter informações gerais sobre compartimentos, consulte Gerenciando Compartimentos.