NAT-Gateway
In diesem Thema wird beschrieben, wie Sie ein NAT-Gateway (Network Address Translation) einrichten und verwalten. Ein NAT-Gateway ermöglicht Cloud-Ressourcen ohne öffentliche IP-Adressen den Zugriff auf das Internet, ohne dass diese Ressourcen für eingehende Internetverbindungen freigegeben werden.
Highlights
- Sie können ein NAT-Gateway Ihrem VCN hinzufügen, um Instanzen in einem privaten Subnetz den Internetzugriff zu erteilen.
- Instanzen in einem privaten Subnetz weisen keine öffentlichen IP-Adressen auf. Mit einem NAT-Gateway können diese Instanzen Verbindungen zum Internet herstellen und Antworten empfangen. Sie können allerdings keine eingehenden Verbindungen aus dem Internet empfangen.
- NAT-Gateways sind hochverfügbar und unterstützen TCP-, UDP- und ICMP-Traffic.
NAT - Überblick
NAT-Netzwerke werden häufig verwendet, um einen vollständigen privaten Netzwerkzugriff auf das Internet zu gewähren, ohne jedem Host eine öffentliche IPv4-Adresse zuzuweisen. Die Hosts können Verbindungen mit dem Internet initiieren und Antworten empfangen. Sie können allerdings keine eingehenden Verbindungen aus dem Internet empfangen.
Wenn ein Host im privaten Netzwerk eine internetgebundene Verbindung initiiert, wird die öffentliche IP-Adresse des NAT-Geräts zur Quell-IP-Adresse des ausgehenden Traffics. Der Antworttraffic aus dem Internet verwendet daher diese öffentliche IP-Adresse als Ziel-IP-Adresse. Das NAT-Gerät leitet dann die Antwort an den Host im privaten Netzwerk weiter, der die Verbindung hergestellt hat.
NAT-Gateways - Überblick
Der Networking-Service bietet eine zuverlässige und hochverfügbare NAT-Lösung für Ihr VCN in Form eines NAT-Gateways.
Beispielszenario: Angenommen, Sie verfügen über Ressourcen, die eingehenden Traffic vom Internet empfangen müssen (z.B. Webserver). Darüber hinaus haben Sie private Ressourcen, die vor eingehendem Traffic aus dem Internet geschützt werden müssen. Alle diese Ressourcen müssen Verbindungen mit dem Internet initiieren, um Softwareupdates von Sites im Internet anzufordern.
Sie richten ein VCN ein und fügen ein öffentliches Subnetz für die Aufnahme der Webserver hinzu. Beim Starten der Instanzen weisen Sie ihnen öffentliche IP-Adressen zu, damit sie eingehenden Internettraffic empfangen können. Außerdem fügen Sie ein privates Subnetz für die Aufnahme der privaten Instanzen hinzu. Diese können keine öffentlichen IP-Adressen haben, weil sie sich in einem privaten Subnetz befinden.
Sie fügen ein Internetgateway dem VCN hinzu. Außerdem fügen Sie eine Routingregel in der Routentabelle des öffentlichen Subnetzes hinzu, die den internetgebundenen Traffic zum Internetgateway leitet. Die Instanzen des öffentlichen Subnetzes können jetzt Verbindungen mit dem Internet initiieren und auch eingehende Verbindungen empfangen, die über das Internet initiiert wurden. Beachten Sie, dass Sie die Traffictypen, die auf Paketebene in die und aus den Instanzen geleitet werden dürfen, mit Sicherheitsregeln steuern können.
Sie fügen dem VCN ein NAT-Gateway hinzu. Sie können auch eine Routingregel in der Routentabelle des privaten Subnetzes hinzufügen, die den internetgebundenen Traffic zum NAT-Gateway weiterleitet. Die Instanzen des privaten Subnetzes können jetzt Verbindungen mit dem Internet initiieren. Das NAT-Gateway lässt Antworten zu, erlaubt jedoch keine Verbindungen, die vom Internet initiiert werden. Ohne das NAT-Gateway müssen sich die privaten Instanzen stattdessen im öffentlichen Subnetz befinden und über öffentliche IP-Adressen verfügen, um ihre Softwareupdates abzurufen.
Beim Routing des Antworttraffics vom Internet zurück zum Subnetz leitet standardmäßig ein NAT-Gateway den Traffic direkt an das Ziel weiter. Sie können eine Routentabelle mit dem NAT-Gateway verknüpfen und Routingregeln für das Ingress-Routing des NAT-Gateways in dieser Routentabelle definieren. Beispiel: Wenn das NAT-Gateway den Antworttraffic zuerst an eine Firewall weiterleiten soll, können Sie eine Routingregel für das Zielsubnetz-CIDR mit der privaten Firewall-IP als Ziel in der Routentabelle für das NAT-Gateway erstellen.
Das folgende Diagramm zeigt das Basisnetzwerklayout für das Beispiel. Die Pfeile geben an, ob Verbindungen nur in einer Richtung oder in beiden Richtungen initiiert werden können.
| Ziel-CIDR | Routenziel |
|---|---|
| 0.0.0.0/0 | Internetgateway |
| Routenziel | Routenziel |
|---|---|
| 0.0.0.0/0 | NAT-Gateway |
Ein NAT-Gateway kann nur von den Ressourcen im eigenen VCN des Gateways verwendet werden. Wenn das VCN per Peering mit einem anderen VCN verbunden ist, können Ressourcen in dem anderen VCN nicht auf das NAT-Gateway zugreifen.
Außerdem können Ressourcen in einem On-Premise-Netzwerk, das über FastConnect oder ein Site-to-Site-VPN mit dem VCN des NAT-Gateways verbunden ist, das NAT-Gateway nicht verwenden.
Einige Grundlagen zu NAT-Gateways:
- Das NAT-Gateway unterstützt TCP-, UDP- und ICMP-Ping-Traffic.
- Das Gateway unterstützt maximal 20.000 gleichzeitige Verbindungen zu einer einzelnen Zieladresse und einem einzelnen Port.
- Der Networking-Service kann eine neue öffentliche IP-Adresse für ein neues NAT-Gateway zuweisen, oder Sie können eine bestimmte vorhandene reservierte öffentliche IP für ein neu erstelltes NAT-Gateway angeben.
- Die Anzahl von NAT-Gateway pro VCN ist begrenzt, aber Ihr VCN benötigt wahrscheinlich nur ein NAT-Gateway. Sie können eine Erhöhung dieses Limits anfordern. Unter Servicelimits finden Sie eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie Sie eine Erhöhung anfordern..
Routing für ein NAT-Gateway
Sie steuern das Routing in Ihrem VCN auf der Subnetzebene. So können Sie angeben, welche Subnetze im VCN das NAT-Gateway verwenden. Sie können mehrere NAT-Gateways in einem VCN haben (dazu müssen Sie jedoch eine Erhöhung der Limits anfordern). Beispiel: Wenn Sie möchten, dass eine externe Anwendung den Traffic von den verschiedenen Subnetzen des VCN unterscheidet, können Sie ein anderes NAT-Gateway (und somit eine andere öffentliche IP-Adresse) für jedes Subnetz einrichten. Ein Subnetz kann Traffic nur an ein einzelnes NAT-Gateway weiterleiten.
Traffic über NAT-Gateway blockieren
Sie erstellen ein NAT-Gateway im Kontext eines bestimmten VCN. Anders ausgedrückt, das NAT-Gateway wird automatisch immer an nur ein VCN Ihrer Wahl angehängt. Sie können jedoch jederzeit Traffic über das NAT-Gateway blockieren oder zulassen. Standardmäßig lässt das Gateway den Traffic beim Erstellen zu. Durch Blockieren des NAT-Gateways wird der gesamte Traffic unterbunden, unabhängig davon, welche vorhandenen Routingregeln oder Sicherheitsregeln in Ihrem VCN vorhanden sind. Anweisungen, wie Sie den Traffic blockieren, finden Sie unter Traffic für ein NAT-Gateway blockieren oder zulassen.
Übergang zu einem NAT-Gateway
Wenn Sie von der Verwendung einer NAT-Instanz in Ihrem VCN zu einem NAT-Gateway wechseln, beachten Sie, dass die öffentliche IP-Adresse für das NAT-Gerät geändert wird.
Wenn Sie von einem Internetgateway zu einem NAT-Gateway wechseln, benötigen die Instanzen mit Zugriff auf das NAT-Gateway keine öffentlichen IP-Adressen mehr, um auf das Internet zuzugreifen. Außerdem müssen die Instanzen nicht mehr in einem öffentlichen Subnetz vorhanden sein. Sie können ein Subnetz nicht von öffentlich in privat ändern. Sie können jedoch die ephemeren öffentlichen IPs bei Bedarf aus den Instanzen löschen.
NAT-Gateway löschen
Um ein NAT-Gateway zu löschen, muss sein Traffic nicht blockiert werden. Es darf jedoch keine Routentabelle vorhanden sein, in der es als Ziel aufgeführt wird. Anweisungen finden Sie unter Löschen eines NAT-Gateways.
Erforderliche IAM-Policy
Um Oracle Cloud Infrastructure zu verwenden, muss Ihnen ein Administrator in einer Policy Sicherheitszugriff erteilen. Dieser Zugriff ist erforderlich, unabhängig davon, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Nachricht erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Administrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment Sie arbeiten sollen.
Für Administratoren: Weitere Informationen finden Sie unter IAM-Policys für Networking.
NAT-Gateway einrichten
Weitere Informationen finden Sie unter NAT-Gateway erstellen.
Wenn Sie ein NAT-Gateway erstellen, müssen Sie auch eine Routingregel erstellen, die den gewünschten Traffic vom Subnetz zum NAT-Gateway weiterleitet. Führen Sie diesen Schritt für jedes Subnetz aus, das auf das Gateway zugreifen muss.
- Bestimmen Sie, welche Subnetze im VCN Zugriff auf das NAT-Gateway benötigen.
-
Aktualisieren Sie für jedes dieser Subnetze die Routentabelle des Subnetzes so, dass sie eine neue Regel mit den folgenden Einstellungen enthält:
- Zieltyp: NAT-Gateway.
- Ziel-CIDR-Block: 0.0.0.0/0
- Compartment: Das Compartment, in dem das NAT-Gateway gespeichert ist.
- Ziel-NAT-Gateway: Das NAT-Gateway.
- Beschreibung: Eine optionale Beschreibung der Regel.
Jeder Subnetztraffic mit einem Ziel, das der Regel entspricht, wird an das NAT-Gateway weitergeleitet. Weitere Informationen zum Einrichten von Routingregeln finden Sie unter VCN-Routentabellen.
Wenn Sie später das NAT-Gateway nicht mehr benötigen und es löschen möchten, müssen Sie zuerst alle Routingregeln in Ihrem VCN löschen, die das NAT-Gateway als Ziel angeben.
Ohne das erforderliche Routing wird der Traffic nicht über das NAT-Gateway weitergeleitet. Wenn eine Situation auftritt, in der Sie den Traffic über das Gateway vorübergehend stoppen müssen, können Sie einfach die Routingregel, die den Traffic zulässt, entfernen. Sie können den Traffic über das Gateway auch komplett blockieren. Sie müssen ihn nicht löschen.