Passerelle Internet

• Une passerelle Internet est une passerelle facultative que vous pouvez ajouter à votre réseau cloud virtuel pour permettre une connectivité directe à Internet.
• La passerelle prend en charge les connexions initiées à partir du réseau cloud virtuel (sortantes) et celles initiées à partir d'Internet (entrantes).
• Les ressources devant utiliser la passerelle pour accéder à Internet doivent se trouver dans un sous-réseau public et disposer d'adresses IP publiques. Les ressources disposant d'adresses IP privées peuvent quant à elles utiliser une passerelle NAT pour établir des connexions à Internet.
• Chaque sous-réseau public devant utiliser la passerelle Internet doit comporter une règle de table de routage qui indique la passerelle comme cible.
• Les règles de sécurité permettent de contrôler les types de trafic entrant et sortant autorisés pour les ressources du sous-réseau. Veillez à autoriser uniquement les types de trafic Internet souhaités.
• La passerelle Internet ne peut être utilisée que par les ressources du réseau cloud virtuel qui lui est associé. Les hôtes se trouvant dans le réseau sur site connecté ou dans un réseau cloud virtuel appairé ne peuvent pas l'utiliser.
• Vous ne pouvez pas ajouter une passerelle Internet à un réseau cloud virtuel dans une zone de sécurité ou l'y déplacer. Les zones de sécurité n'autorisent pas les sous-réseaux publics.
• Une seule passerelle Internet est nécessaire pour chaque VCN. Tous les sous-réseaux publics d'un VCN ont accès à la passerelle Internet, à condition que les règles de sécurité et les règles de table de routage autorisent cet accès.

Avant de continuer, vérifiez que vous avez lu Accès à Internet et que vous avez également compris comment configurer des règles de sécurité pour les ressources d'un sous-réseau.

Une passerelle Internet est un routeur virtuel facultatif qui connecte la périphérie du réseau cloud virtuel à Internet. Pour utiliser la passerelle, les hôtes des deux extrémités de la connexion doivent disposer d'adresses IP publiques pour le routage. Les connexions qui proviennent de votre réseau cloud virtuel et qui sont destinées à une adresse IP publique (interne ou externe au réseau cloud virtuel) passent par la passerelle Internet. Les connexions qui proviennent de l'extérieur du réseau cloud virtuel et qui sont destinées à une adresse IP publique interne au réseau cloud virtuel passent par la passerelle Internet.

Un réseau cloud virtuel ne peut avoir qu'une seule passerelle Internet. Vous contrôlez quels sous-réseaux publics du réseau cloud virtuel peuvent utiliser la passerelle en configurant la table de routage associée au sous-réseau. Les règles de sécurité permettent de contrôler les types de trafic entrant et sortant autorisés pour les ressources des sous-réseaux publics.

Le diagramme suivant illustre une configuration de réseau cloud virtuel simple avec un seul sous-réseau public. Le réseau cloud virtuel dispose d'une passerelle Internet et le sous-réseau public est configuré pour utiliser la table de routage par défaut du réseau cloud virtuel. La table comporte une règle de routage qui envoie l'ensemble du trafic sortant en provenance des sous-réseaux vers la passerelle Internet. La passerelle autorise toutes les connexions entrantes en provenance d'Internet présentant une adresse IP de destination identique à l'adresse IP publique d'une ressource du réseau cloud virtuel. Toutefois, ce sont les règles de liste de sécurité du sous-réseau public qui déterminent en définitive les types de trafic spécifiques (entrant et sortant) autorisés pour les ressources du sous-réseau. Ces règles de sécurité spécifiques ne sont pas affichées.

Vous créez une passerelle Internet dans le contexte d'un réseau cloud virtuel spécifique. En d'autres termes, la passerelle Internet est toujours attachée à un VCN. Vous pouvez néanmoins désactiver et réactiver la passerelle Internet à tout moment. Comparons-la à la passerelle de routage dynamique, que vous créez en tant qu'objet autonome que vous attachez ensuite à un réseau cloud virtuel particulier. Les passerelles de routage dynamique utilisent un modèle différent car elles sont destinées à être des blocs de création modulaires pour la connexion des réseaux cloud virtuels à votre réseau sur site de façon privée.

Pour que le trafic passe d'un sous-réseau public à Internet, vous devez créer une règle de routage correspondante dans la table de routage du sous-réseau. Par exemple, CIDR de destination = 0.0.0.0/0 et cible = passerelle Internet. Si vous voulez acheminer le trafic via un pare-feu, la cible peut être l'adresse IP privée de celui-ci. Le sous-réseau de pare-feu aura alors besoin d'un routage, généralement 0.0.0.0/0, pour atteindre Internet avec la passerelle Internet comme cible.

Pour le trafic qui passe d'Internet à une destination d'un sous-réseau public, la passerelle Internet l'achemine par défaut directement vers la destination. Vous pouvez associer une table de routage à la passerelle Internet et définir des règles de routage qui acheminent le trafic public entrant vers des destinations du réseau cloud virtuel. Par exemple, si vous voulez que la passerelle Internet achemine d'abord le trafic vers un pare-feu du réseau cloud virtuel, vous pouvez créer une règle de routage pour le CIDR de sous-réseau de destination avec l'adresse IP privée du pare-feu comme cible. Les règles de routage vers des destinations en dehors du réseau cloud virtuel ne sont pas prises en charge dans les tables de routage de passerelle Internet.

Une seule passerelle Internet est nécessaire pour chaque VCN. Tous les sous-réseaux publics d'un VCN ont accès à la passerelle Internet, à condition que les règles de sécurité et les règles de table de routage autorisent cet accès.

Dans le cadre du contrôle d'accès, vous devez spécifier le compartiment dans lequel la passerelle Internet doit résider. En cas de doute sur le compartiment à utiliser, placez la passerelle Internet dans le même compartiment que le réseau cloud. Pour plus d'informations, reportez-vous à Contrôle d'accès.

Vous pouvez éventuellement affecter un nom convivial à la passerelle Internet. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Oracle affecte automatiquement à la passerelle Internet un identificateur unique appelé OCID (Oracle Cloud ID). Pour plus d'informations, reportez-vous à Identificateurs de ressource.

Pour supprimer une passerelle Internet, il n'est pas nécessaire de la désactiver, mais il ne doit exister aucune table de routage qui la répertorie en tant que cible.

Pour obtenir des informations sur les limites, reportez-vous à Limites de passerelle et à Demande d'augmentation de limite de service.

Prérequis :

• Vous avez déterminé les sous-réseaux du réseau cloud virtuel qui doivent accéder à Internet et vous avez créé les sous-réseaux publics.

  Une seule passerelle Internet est nécessaire pour chaque VCN. Tous les sous-réseaux publics d'un VCN ont accès à la passerelle Internet, à condition que les règles de sécurité et les règles de table de routage autorisent cet accès.

• Vous avez déterminé les types de trafic Internet entrant et sortant à autoriser pour les ressources de chaque sous-réseau public (exemples : connexions HTTPS entrantes, connexions ping ICMP entrantes).
• La stratégie IAM requise est en place pour vous permettre d'utiliser les ressources du service Networking. Pour les administrateurs : reportez-vous à Stratégies IAM pour Networking.

La procédure suivante utilise des listes de sécurité, mais vous pouvez aussi implémenter des règles de sécurité dans un groupe de sécurité réseau, puis créer toutes les ressources du sous-réseau dans ce groupe.

1. Pour chaque sous-réseau public qui doit utiliser la passerelle Internet, Configurez les règles de liste de sécurité du sous-réseau afin d'autoriser le trafic Internet souhaité. Reportez-vous aux exemples de paramètres suivants :

   Imaginez que le sous-réseau public comporte des serveurs Web. Cet exemple montre comment ajouter une règle entrante pour les connexions HTTPS (port TCP 443) en provenance d'Internet et à destination du serveur Web. Sans cette règle, les connexions HTTPS entrantes ne sont pas autorisées.

   1. Ne cochez pas la case Stateless.
   2. Type de source : CIDR
   3. CIDR source : 0.0.0.0/0
   4. Protocole IP : conservez la valeur TCP.
   5. Plage de ports source : conservez la valeur Tous.
   6. Plage de ports de destination : entrez 443.
   7. Description : description facultative de la règle.

2. Créez la passerelle Internet du VCN.

   Une fois la passerelle Internet créée et affichée sur la page Passerelles Internet du VCN que vous avez choisi, elle est déjà activée, mais vous devez quand même ajouter une règle de routage qui autorise le trafic vers la passerelle.

3. Pour chaque sous-réseau public qui doit utiliser la passerelle Internet, mettez à jour la table de routage du sous-réseau à l'aide des exemples de paramètre suivants :

   • Type de cible : passerelle Internet
   • Bloc CIDR de destination : 0.0.0.0/0 (ce qui signifie que l'ensemble du trafic non interne à un réseau cloud virtuel et qui n'est pas déjà couvert par d'autres règles de la table de routage est acheminé vers la cible spécifiée dans cette règle)
   • Compartiment : compartiment dans lequel se trouve la passerelle Internet.
   • Cible : passerelle Internet que vous venez de créer.
   • Description : description facultative de la règle.

La passerelle Internet est désormais activée et fonctionnelle pour votre réseau cloud.