Observação:

• Este tutorial requer acesso ao Oracle Cloud. Para se inscrever em uma conta grátis, consulte Conceitos Básicos do Oracle Cloud Infrastructure - Modo Gratuito.
• Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.

Configurar gateway NAT para instâncias de computação privadas

Introdução

Muitos clientes do Oracle Cloud Infrastructure têm instâncias de computação em redes virtuais na nuvem (VCNs) que, para questões de privacidade, segurança ou operação, estão conectadas a sub-redes privadas. Para conceder a esses recursos acesso à internet pública para atualizações de software, verificações de CRL e assim por diante, a única opção de um cliente foi criar uma instância NAT em uma sub-rede pública e rotear o tráfego por meio dessa instância usando seu endereço IP privado como destino de rota dentro da sub-rede privada. Embora muitos tenham usado com sucesso essa abordagem, ela não se dimensiona facilmente e fornece uma infinidade de desafios administrativos e operacionais.

O gateway NAT aborda esses desafios e fornece aos clientes do Oracle Cloud Infrastructure uma ferramenta simples e intuitiva para atender às suas necessidades de segurança de rede. Os gateways NAT fornecem os seguintes recursos:

• Altamente escalonável e totalmente gerenciado: As instâncias em sub-redes privadas podem iniciar um grande número de conexões com a Internet pública. As conexões iniciadas pela Internet são bloqueadas.

• Seguro: O tráfego através de gateways NAT pode ser desativado com o clique de um botão.

• Endereços IP dedicados: cada gateway NAT recebe um endereço IP dedicado que pode ser adicionado de forma confiável às listas brancas de segurança.

Acessar a Console do OCI e Criar uma VCN

Observação: As capturas de tela nas instruções podem ser diferentes da IU real.

1. Acesse a Console do Oracle Cloud Infrastructure usando seu nome de tenant, nome de usuário e senha.

2. No menu Serviços do OCI, clique em Redes Virtuais na Nuvem em Rede e selecione o compartimento apropriado. Clique em Iniciar Assistente de VCN.

   Observação: Verifique se o compartimento correto está selecionado na lista COMPARTMENT.

3. Clique em VCN com Conectividade de Internet e clique em Iniciar Assistente de VCN.

4. Preencha a caixa de diálogo e clique em Próximo:

   • NOME da VCN: Forneça um nome
   • COMPARTMENT: Certifique-se de que seu compartimento esteja selecionado
   • BLOQUE CIDR de VCN: Forneça um bloco CIDR (10.0.0.0/16)
   • BLOCO CIDR da SUBNET PÚBLICA: Forneça um bloco CIDR (10.0.1.0/24)
   • BLOCK CIDR SUBNET PRIVATE: Forneça um bloco CIDR (10.0.2.0/24)

5. Verifique todas as informações e clique em Criar.

   Isso criará uma VCN com os seguintes componentes: VCN, sub-rede Pública, Sub-rede Privada, Gateway de Internet (IG), Gateway NAT (NAT), Gateway de Serviço (SG).

6. Clique em Exibir Rede Virtual na Nuvem para exibir os detalhes da sua VCN.

Criar e Conectar-se à Instância do Compute

1. Crie chaves de criptografia SSH que você possa usar para fazer log-in na sua VM abrindo uma janela de terminal no diretório em que você deseja armazenar suas chaves e executando o seguinte comando OpenSSH, onde <my-key> é o nome de chave desejado:

   ssh-keygen -t rsa -N "" -b 2048 -C <my-key> -f <my-key>
   

   O comando gera uma arte de texto aleatório usada para gerar as chaves. Quando a operação for concluída, você deverá ter dois arquivos:

   • O arquivo da chave privada: <my-key>
   • O arquivo de chave pública: <my-key>.pub

   Você usa esses arquivos para se conectar à sua instância de computação.

2. Vá até a Console do OCI. No menu Serviços do OCI, em Compute, clique em Instâncias.

3. Clique em Criar Instância e preencha a caixa de diálogo:

   • Nomear sua instância: Informe um nome
   • Escolher um sistema operacional ou uma origem de imagem: Para a imagem, recomendamos o uso do Oracle Linux mais recente disponível.
   • Domínio de disponibilidade: Selecione o Domínio de Disponibilidade
   • Tipo de instância: Selecionar Máquina Virtual
   • Forma da instância: Selecione a forma da VM

   Em Configuração de Rede:

   • Compartimento da rede virtual na nuvem: Selecione seu compartimento

   • Rede virtual na nuvem: Escolha a VCN

   • Compartimento de sub-rede: Escolha seu compartimento

   • Sub-rede: Escolha a Sub-rede Pública em Sub-redes Públicas

   • Usar grupos de segurança de rede para controlar o tráfego: Deixe desmarcado

   • Designar um endereço IP público: Marque esta opção

     

   Em seguida, informe o seguinte:

   • Volume de Inicialização: Deixe o padrão
   • Adicionar Chaves SSH: Escolha Colar Chaves SSH e cole a chave pública salva anteriormente

4. Clique em Criar.

   Observação: se um erro 'Limite de serviço' for exibido, escolha uma forma diferente de VM.Standard2.1, VM.Standard.E2.1, VM.Standard1.1, VM.Standard.B1.1 ou escolha um AD diferente.

5. Aguarde a instância estar no estado Executando. No terminal do shell da nuvem, digite o comando:

   cd .ssh
   

6. Informe ls e verifique se seu arquivo de chave SSH existe.

7. Informe o comando:

   bash
   

   ssh -i id_rsa opc@PUBLIC_IP_OF_COMPUTE
   

   Dica: Se for visto 'Erro de permissão negada', use -i no comando SSH. Você DEVE digitar o comando; NÃO copie e cole o comando SSH.

8. Informe yes quando solicitado para a mensagem de segurança.

   

9. Verifique se opc@<COMPUTE_INSTANCE_NAME> aparece no prompt.

Configurar o Gateway NAT

Agora criaremos uma tabela de roteamento na VCN.

1. Alterne para a Console do OCI. No menu Serviços do OCI, clique em Redes Virtuais na Nuvem em Rede. Localize sua VCN e clique no nome da VCN para exibir os detalhes da VCN.

2. Clique em Gateways NAT.

3. Clique em Tabelas de Roteamento e em Criar Tabela de Roteamento. Preencha a caixa de diálogo:

   • Criar no Compartimento: Este campo assume como padrão seu compartimento atual; certifique-se de que o compartimento correto seja selecionado
   • Nome: Informe um nome

   Clique em +Additional Regras de Roteamento

   • Tipo de Destino: Selecione Gateway NAT
   • Bloco CIDR de Destino: Digite 0.0.0.0/0
   • Compartimento: Certifique-se de que o compartimento correto esteja selecionado
   • Gateway NAT de Destino: Selecione o Gateway NAT para a sua VCN

4. Clique em Criar Tabela de Roteamento.

   

5. Clique no seu nome de VCN para exibir os detalhes da VCN. Clique em Criar Sub-rede. Preencha a caixa de diálogo:

   • Nome: Informe um nome
   • Tipo de Sub-rede: Regional
   • Bloco CIDR: Forneça um CIDR (por exemplo, 10.0.5.0/24)
   • Tabela de Roteamento: escolha a tabela de Roteamento criada anteriormente

   Observação: Não escolha a tabela de roteamento padrão. Isso está sendo feito para que todo o roteamento para instâncias de computação nessa sub-rede seja via gateway NAT.

   • Acesso à sub-rede: Sub-rede Privada
   • Opções de DHCP: selecione o padrão
   • Listas de Segurança: selecione a lista de segurança criada anteriormente

6. Deixe as outras opções como padrão e clique em Criar Sub-rede.

   

7. Vá até o terminal do shell de nuvem e gere o par de chaves SSH. Informe o comando:

   ssh-keygen
   

8. Pressione Enter quando solicitado para Enter File in which to save the key, Created Directory, Enter passphrase e Enter Passphrase novamente.

9. Informe o comando:

   cd ~/.ssh
   

   e depois

   ls
   

   Você deve ter as chaves privadas e públicas: /home/opc/.ssh/<sshkeyname> (chave privada) e /home/opc/.ssh/<sshkeyname>.pub (chave pública).

10. Informe o comando:

    cat ~/.ssh/id_rsa.pub
    

    Copie e cole o conteúdo da chave pública no Bloco de Notas. Usaremos essa chave pública para iniciar uma instância de computação na sub-rede privada da VCN.

11. Alterne para a janela da Console do OCI e inicie uma segunda instância de computação conforme feito anteriormente. Garanta que a sub-rede escolhida seja a sub-rede privada criada anteriormente.

12. Quando a instância estiver em execução, anote o endereço IP privado da instância na página de detalhes da instância (clicando no nome da instância).

13. Alterne para uma janela git-bash com uma sessão SSH para uma instância de computação pública (a primeira instância de computação criada anteriormente). Informe o comando:

    cd ~/.ssh
    

    então

    bash
    

    ssh –i id_rsa opc@Private_IP_OF_COMPUTE_INSTANCE
    

    Observação: O nome do usuário é opc.

    Dica: Se for visto um "erro de permissão negada", certifique-se de que você esteja usando -i no comando SSH.

    Observação: use o IP privado da segunda instância de computação anotada anteriormente.

14. Informe Yes quando solicitado para a mensagem de segurança.

15. Na instância de computação privada, digite o comando:

    ping 8.8.8.8
    

    e verificar se há conectividade com a internet.

    A instância de computação na sub-rede privada tem acesso à Internet. Isso é possível, pois o tráfego está sendo roteado por meio do gateway NAT que criamos e anexamos à VCN. Em seguida, usaremos a função de alternância de tráfego no gateway NAT para bloquear/permitir o tráfego com um único clique.

16. Alterne para a janela da Console do OCI. Na página de detalhes da sua VCN, clique em Gateways NAT.

17. Passe o mouse sobre o ícone Ação e escolha Bloquear Tráfego.

18. Volte para a sessão SSH para a instância de computação privada e insira o comando ping 8.8.8.8 (se ainda não estiver em execução). Verifique se não há resposta.

    

19. Volte para a janela da Console do OCI e, usando a etapa acima, desta vez, escolha Permitir Tráfego. Volte para a sessão SSH e verifique se a resposta ping foi recebida.

Excluir os Recursos

1. Alterne para a janela da Console do OCI.

2. Se sua instância de computação não for exibida, no menu de serviços do OCI, clique em Instâncias em Computação.

3. Localize a instância de computação, clique no ícone Ação e, em seguida, clique em Encerrar.

   

4. Verifique se a opção Excluir permanentemente o Volume de Inicialização anexado está marcada e clique em Terminar Instância. Aguarde a conclusão da instância.

   

5. Repita as etapas para excluir a segunda instância de computação.

6. No menu de serviços do OCI, clique em Redes Virtuais na Nuvem em Rede. Uma lista de todas as VCNs será exibida.

7. Localize sua VCN, clique no ícone Ação e, em seguida, clique em Encerrar. Clique em Encerrar Todos na janela de confirmação. Clique em Fechar depois que a VCN for excluída.

   

Agradecimentos

• Autoras - Flavio Pereira, Larry Beausoleil
• Colaboradores - Kamryn Vinson (QA Intern), Yaisah Granillo (Engenheiro de Soluções em Nuvem)

Mais Recursos de Aprendizagem

Explore outros laboratórios no docs.oracle.com/learn ou acesse conteúdo de aprendizado mais gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

---

Título e Informações de Copyright

Configure NAT gateway for private compute instances

F49949-01

November 2021

Copyright © 2021, Oracle and/or its affiliates.