Internetgateway

• Ein Internetgateway ist ein optionales Gateway, das Sie Ihrem VCN hinzufügen können, um direkte Konnektivität zum Internet zu ermöglichen.
• Das Gateway unterstützt Verbindungen, die innerhalb des VCN initiiert werden (Egress), und Verbindungen, die vom Internet initiiert werden (Ingress).
• Ressourcen, die das Gateway für den Internetzugriff verwenden müssen, müssen sich in einem öffentlichen Subnetz befinden und über öffentliche IP-Adressen verfügen. Ressourcen mit privaten IP-Adressen können stattdessen ein NAT-Gateway verwenden, um Verbindungen zum Internet zu initiieren.
• Jedes öffentliche Subnetz, das das Internetgateway verwenden muss, muss über eine Routentabellenregel verfügen, die das Gateway als Ziel angibt.
• Mit Sicherheitsregeln steuern Sie, welche Traffictypen in die und aus den Ressourcen in diesem Subnetz geleitet werden dürfen. Stellen Sie sicher, dass nur die gewünschten Internettraffictypen zulässig sind.
• Das Internetgateway kann nur von Ressourcen im VCN des Gateways verwendet werden. Hosts im verbundenen On-Premise-Netzwerk oder in einem Peer-VCN können dieses Internetgateway nicht verwenden.
• Sie können innerhalb einer Sicherheitszone kein Internetgateway zu einem VCN hinzufügen oder in ein VCN verschieben. In Sicherheitszonen sind keine öffentlichen Subnetze erlaubt.
• Für jedes VCN ist nur ein Internetgateway erforderlich. Alle öffentlichen Subnetze in einem VCN haben Zugriff auf das Internetgateway, sofern Sicherheitsregeln und Routentabellenregeln diesen Zugriff zulassen.

Bevor Sie fortfahren, stellen Sie sicher, dass Sie Zugriff auf das Internet gelesen haben und wissen, wie Sie Sicherheitsregeln für die Ressourcen in einem Subnetz einrichten.

Ein Internetgateway ist ein optionaler virtueller Router, der die Edge des VCN mit dem Internet verbindet. Um das Gateway zu verwenden, müssen die Hosts auf beiden Seiten der Verbindung öffentliche IP-Adressen für das Routing haben. Verbindungen, die aus Ihrem VCN stammen und für eine öffentliche IP-Adresse (innerhalb oder außerhalb des VCN) bestimmt sind, werden durch das Internetgateway geleitet. Verbindungen, die von außerhalb Ihres VCN stammen und für eine öffentliche IP-Adresse innerhalb des VCN bestimmt sind, werden ebenfalls durch das Internetgateway geleitet.

Ein VCN kann jeweils nur ein Internetgateway haben. Sie steuern, welche öffentlichen Subnetze im VCN das Gateway verwenden dürfen, indem Sie die verknüpfte Routentabelle des Subnetzes konfigurieren. Mit Sicherheitsregeln können Sie steuern, welche Traffictypen in die und aus den Ressourcen in diesen öffentlichen Subnetzen geleitet werden dürfen.

Das folgende Diagramm veranschaulicht ein einfaches VCN-Setup mit einem einzelnen öffentlichen Subnetz. Das VCN verfügt über ein Internetgateway, und das öffentliche Subnetz ist für die Verwendung der Standardroutentabelle des VCN konfiguriert. Die Tabelle enthält eine Routingregel, die den gesamten Egress-Traffic von den Subnetzen an das Internetgateway sendet. Das Gateway lässt Ingress-Verbindungen aus dem Internet zu, deren Ziel-IP-Adresse der öffentlichen IP-Adresse einer Ressource im VCN entspricht. Es sind jedoch die Sicherheitslistenregeln des öffentlichen Subnetzes, die letztendlich bestimmen, welche Traffictypen in die und aus den Ressourcen im Subnetz geleitet werden dürfen. Diese speziellen Sicherheitsregeln werden nicht angezeigt.

Sie erstellen ein Internetgateway im Kontext eines bestimmten VCN. Anders ausgedrückt, das Internetgateway ist immer an ein VCN angeschlossen. Sie können das Internetgateway jedoch jederzeit deaktivieren und erneut aktivieren. Vergleichen Sie dies mit einem dynamischen Routinggateway (DRG), das Sie als eigenständiges Objekt erstellen, das Sie dann an ein bestimmtes VCN anhängen. DRGs verwenden ein anderes Modell, weil sie als modulare Bausteine für die private Verbindung von VCNs mit Ihrem On-Premise-Netzwerk dienen sollen.

Damit Traffic von einem öffentlichen Subnetz zum Internet fließen kann, müssen Sie eine entsprechende Routingregel in der Routentabelle des Subnetzes erstellen. Beispiel: Ziel-CIDR = 0.0.0.0/0 und Ziel = Internetgateway. Wenn Sie den Traffic über eine Firewall weiterleiten möchten, kann das Ziel die private IP-Adresse der Firewall sein. Das Firewallsubnetz benötigt dann eine Route (in der Regel 0.0.0.0/0), um das Internet mit dem Internetgateway als Ziel zu erreichen.

Wenn Traffic vom Internet zu einem Ziel in einem öffentlichen Subnetz fließt, leitet das Internetgateway den Traffic standardmäßig direkt an das Ziel weiter. Sie können eine Routentabelle mit dem Internetgateway verknüpfen und Routingregeln definieren, die öffentlichen Ingress-Traffic an Ziele im VCN weiterleiten. Beispiel: Wenn das Internetgateway den Traffic zuerst an eine Firewall im VCN weiterleiten soll, können Sie eine Routingregel für das Zielsubnetz-CIDR mit der privaten IP-Adresse der Firewall als Ziel erstellen. Routingregeln an Ziele außerhalb des VCN in einer Routentabelle des Internetgateways werden nicht unterstützt.

Für jedes VCN ist nur ein Internetgateway erforderlich. Alle öffentlichen Subnetze in einem VCN haben Zugriff auf das Internetgateway, sofern Sicherheitsregeln und Routentabellenregeln diesen Zugriff zulassen.

Zum Zwecke der Zugriffskontrolle müssen Sie das Compartment angeben, in dem das Internetgateway gespeichert werden soll. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, legen Sie das Internetgateway im selben Compartment wie das Cloud-Netzwerk ab. Weitere Informationen finden Sie unter Zugriffskontrolle.

Sie können dem Internetgateway optional einen benutzerfreundlichen Namen zuweisen. Er muss nicht eindeutig sein und kann später geändert werden. Oracle weist dem Internetgateway automatisch eine eindeutige ID zu, die als Oracle Cloud-ID (OCID) bezeichnet wird. Weitere Informationen finden Sie unter Ressourcen-IDs.

Um ein Internetgateway zu löschen, muss es nicht deaktiviert werden, es darf jedoch keine Routentabelle vorhanden sein, in der es als Ziel aufgeführt wird.

Informationen zu Limits finden Sie unter Gatewaylimits und Erhöhung des Servicelimits anfordern.

Voraussetzungen:

• Sie haben ermittelt, welche Subnetze im VCN Zugriff auf das Internet benötigen, und Sie haben diese öffentlichen Subnetze erstellt.

  Für jedes VCN ist nur ein Internetgateway erforderlich. Alle öffentlichen Subnetze in einem VCN haben Zugriff auf das Internetgateway, sofern Sicherheitsregeln und Routentabellenregeln diesen Zugriff zulassen.

• Sie haben ermittelt, welche Arten von Ingress- und Egress-Internettraffic für die Ressourcen in den einzelnen öffentlichen Subnetzen ermöglicht werden sollen (Beispiele: Ingress-HTTPS-Verbindungen, Ingress-ICMP-Ping-Verbindungen).
• Die erforderliche IAM-Policy ist vorhanden, damit Sie mit Networking-Serviceressourcen arbeiten können. Für Administratoren: Weitere Informationen finden Sie unter IAM-Policys für Networking.

Im folgenden Verfahren werden Sicherheitslisten verwendet. Sie können jedoch stattdessen die Sicherheitsregeln in einer Netzwerksicherheitsgruppe implementieren und dann alle Ressourcen des Subnetzes in dieser NSG erstellen.

1. Für alle öffentlichen Subnetze, die das Internetgateway verwenden müssen, richten Sie die Sicherheitslistenregeln des Subnetzes ein, um den gewünschten Internetverkehr zu ermöglichen. Beachten Sie die folgenden Beispieleinstellungen:

   Angenommen, Sie verfügen über Webserver im öffentlichen Subnetz. Dieses Beispiel zeigt, wie Sie eine Ingress-Regel für HTTPS-Verbindungen (TCP-Port 443) vom Internet zum Webserver hinzufügen. Ohne diese Regel sind eingehende HTTPS-Verbindungen nicht zulässig.

   1. Lassen Sie das Kontrollkästchen zustandslos deaktiviert.
   2. Quelltyp: CIDR
   3. Quell-CIDR: 0.0.0.0/0
   4. IP-Protokoll: Behalten Sie "TCP" bei.
   5. Quellportbereich: Behalten Sie "Alle" bei.
   6. Zielportbereich: Geben Sie "443" ein.
   7. Beschreibung: Eine optionale Beschreibung der Regel.

2. Erstellen Sie das Internetgateway des VCN.

   Nachdem das Internetgateway erstellt und auf der Seite Internetgateways des ausgewählten VCN angezeigt wurde, ist es bereits aktiviert, aber Sie müssen trotzdem eine Routingregel hinzufügen, die den Traffic an das Gateway weiterleitet.

3. Für jedes öffentliche Subnetz, das das Internetgateway verwenden muss, aktualisieren Sie die Routentabelle des Subnetzes mit den folgenden Beispieleinstellungen:

   • Zieltyp: Internetgateway
   • Ziel-CIDR-Block: 0.0.0.0/0 (d.h. der gesamte Nicht-Intra-VCN-Traffic, der noch nicht von anderen Regeln in der Routentabelle abgedeckt wird, wird zu dem in dieser Regel angegebenen Ziel geleitet)
   • Compartment: Das Compartment, in dem das Internetgateway gespeichert ist.
   • Ziel: Das soeben erstellte Internetgateway.
   • Beschreibung: Eine optionale Beschreibung der Regel.

Das Internetgateway ist jetzt aktiviert und arbeitet mit Ihrem Cloud-Netzwerk.