Gateway NAT

Este tópico descreve como configurar e gerenciar um gateway NAT (Network Address Translation). Um gateway NAT permite que recursos de nuvem sem endereços IP públicos acessem a internet sem expor esses recursos a conexões provenientes da internet.

Destaques

  • Você pode adicionar um gateway NAT à sua VCN para permitir que instâncias em uma sub-rede privada tenham acesso à internet.
  • As instâncias de uma sub-rede privada não têm endereços IP públicos. Com o gateway NAT, as instâncias podem iniciar conexões com a internet e podem receber respostas, mas não podem receber conexões de entrada iniciadas na internet.
  • Os gateways NAT são altamente disponíveis e suportam tráfego de ping TCP, UDP e ICMP.

Visão Geral da NAT

NAT é uma técnica de rede geralmente usada para permitir que uma rede privada inteira tenha acesso à internet sem designar um endereço IPv4 público a cada host. Os hosts podem iniciar conexões com a internet e podem receber respostas, mas não podem receber conexões de entrada iniciadas na internet.

Quando um host na rede privada inicia uma conexão vinculada à internet, o endereço IP público do dispositivo NAT torna-se o endereço IP de origem para o tráfego de saída. O tráfego de resposta da internet, portanto, usa esse endereço IP público como o endereço IP de destino. Em seguida, o dispositivo NAT roteia a resposta para o host na rede privada que iniciou a conexão.

Visão Geral dos Gateways NAT

O serviço Networking oferece uma solução NAT confiável e altamente disponível para a sua VCN na forma de um gateway NAT.

Exemplo de cenário: imagine que você tem recursos que precisam receber tráfego proveniente da internet (por exemplo, servidores Web). Você também tem recursos privados que precisam ser protegidos do tráfego proveniente da internet. Todos esses recursos precisam iniciar conexões com a internet para solicitar atualizações de software por meio de sites na internet.

Você configura uma VCN e adiciona uma sub-rede pública para conter os servidores web. Ao iniciar as instâncias, designe endereços IP públicos a elas para que possam receber tráfego proveniente da internet. Você também adiciona uma sub-rede privada para conter as instâncias privadas. Elas não podem ter endereços IP públicos porque estão em uma sub-rede privada.

Você adiciona um gateway de internet à VCN. Você também adiciona uma regra de roteamento na tabela de roteamento da sub-rede pública que direciona o tráfego vinculado à internet para o gateway de internet. As instâncias da sub-rede pública agora podem iniciar conexões com a internet e também receber conexões de entrada iniciadas pela internet. Lembre-se de que você pode usar regras de segurança para controlar os tipos de tráfego permitidos entre as instâncias no nível do pacote.

Você adiciona um gateway NAT à VCN. Você também adiciona uma regra de roteamento na tabela de roteamento da sub-rede privada que direciona o tráfego vinculado à internet para o gateway NAT. As instâncias da sub-rede privada agora podem iniciar conexões com a internet. O gateway NAT permite respostas, mas não permite conexões iniciadas na internet. Sem esse gateway NAT, em vez disso, as instâncias privadas precisariam estar na sub-rede pública e ter endereços IP públicos para obter suas atualizações de software.

Ao rotear o tráfego de resposta da internet de volta para a sub-rede, por padrão, um gateway NAT roteia o tráfego para o destino diretamente. Você pode associar uma tabela de roteamento ao gateway NAT e definir as regras de roteamento de entrada do gateway NAT nessa tabela de roteamento. Por exemplo, se você quiser que o gateway NAT roteie o tráfego de resposta para um firewall primeiro, poderá criar uma regra de roteamento para o CIDR da sub-rede de destino com o IP privado do firewall como destino na tabela de roteamento do gateway NAT.

O diagrama a seguir ilustra o layout de rede básico do exemplo. As setas indicam se as conexões podem ser iniciadas em apenas uma direção ou em ambas.

Esta imagem mostra o layout básico de uma VCN com um gateway NAT e um gateway de serviço
Callout 1: Tabela de Roteamento da Sub-rede Pública
CIDR de Destino Destino da Rota
0.0.0.0/0 Gateway de Internet
Callout 2: Tabela de Roteamento da Sub-rede Privada
Destino da Rota Destino da Rota
0.0.0.0/0 Gateway NAT
Observação

Um gateway NAT só pode ser usado por recursos na própria VCN do gateway. Se a VCN estiver pareada com outra VCN, os recursos da outra VCN não poderão acessar o gateway NAT.

Além disso, os recursos de uma rede on-premises conectada à VCN do gateway NAT com FastConnect ou uma VPN Site a Site não podem usar o gateway NAT.

Estão são algumas informações básicas sobre gateways NAT:

  • O gateway NAT suporta tráfego de ping TCP, UDP e ICMP.
  • O gateway suporta no máximo 20.000 conexões concorrentes com uma única porta e um único endereço de destino.
  • O serviço Networking pode alocar um novo endereço IP público para um novo Gateway NAT ou você pode especificar um IP público reservado específico existente a ser usado para um Gateway NAT recém-criado.
  • Há um limite para o número de gateways NAT por VCN, mas sua VCN provavelmente só precisará de um gateway NAT. Você pode solicitar um aumento para esse limite. Consulte Limites do Serviço para obter uma lista dos limites e instruções aplicáveis para solicitar um aumento de limite..

Roteamento para um Gateway NAT

Você controla o roteamento na sua VCN no nível da sub-rede, para que possa especificar quais sub-redes na sua VCN usam um gateway NAT. Você pode ter mais de um gateway NAT em uma VCN (embora seja necessário solicitar um aumento nos seus limites). Por exemplo, se você quiser que um aplicativo externo distinga o tráfego das diferentes sub-redes da VCN, poderá configurar um gateway NAT específico (e, portanto, um endereço IP público específico) para cada sub-rede. Uma sub-rede só pode rotear o tráfego para um gateway NAT.

Bloqueando o Tráfego por um Gateway NAT

Você cria um gateway NAT no contexto de uma VCN específica. Em outras palavras, o gateway NAT sempre é automaticamente anexado a apenas uma VCN da sua escolha. No entanto, você pode bloquear ou permitir o tráfego por meio do gateway NAT a qualquer momento. Por padrão, o gateway permite que o tráfego flua ao ser criado. Bloquear o gateway NAT impede que todo tráfego flua, independentemente das regras de roteamento ou das regras de segurança existentes na sua VCN. Para obter instruções sobre como bloquear o tráfego, consulte Bloqueando ou Permitindo o Tráfego para um Gateway NAT.

Transição para um Gateway NAT

Se você estiver deixando de usar uma instância NAT na VCN para usar um gateway NAT, considere que o endereço IP público do seu dispositivo NAT será alterado.

Se você estiver deixando de usar um gateway de internet para usar um gateway NAT, as instâncias com acesso ao gateway NAT não precisarão mais de endereços IP públicos para acessar a internet. Além disso, as instâncias não precisarão mais estar em uma sub-rede pública. Não é possível alternar uma sub-rede de pública para privada. No entanto, você poderá excluir os IPs públicos efêmeros das suas instâncias se quiser.

Excluindo um GatewayNAT

Para que seja possível excluir um gateway NAT, o tráfego desse gateway não precisa estar bloqueado, mas não deve haver uma tabela de roteamento que liste esse gateway como alvo. Para obter instruções, consulte Excluindo um Gateway NAT.

Política do IAM Obrigatória

Para usar o Oracle Cloud Infrastructure, você deve receber acesso de segurança em uma política  por um administrador. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Caso receba uma mensagem de que você não tem permissão ou de que não está autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento  deve trabalhar.

Para administradores: consulte Políticas do IAM para Rede.

Configurando um Gateway NAT

Tarefa 2: Atualizar roteamento para a sub-rede

Ao criar um gateway NAT, você também precisa criar uma regra de roteamento que direciona o tráfego desejado da sub-rede para o gateway NAT. Você deve fazer isso para cada sub-rede que precise acessar o gateway.

  1. Determine quais sub-redes da sua VCN precisam acessar o gateway NAT.
  2. Para cada uma dessas sub-redes, atualize a tabela de roteamento da sub-rede para incluir uma nova regra usando as seguintes definições:

    • Tipo de Destino: Gateway NAT.
    • Bloco CIDR de Destino: 0.0.0.0/0
    • Compartimento: o compartimento onde o gateway NAT está localizado.
    • Gateway NAT de Destino: o gateway NAT.
    • Descrição: Uma descrição opcional da regra.

Qualquer tráfego de sub-rede com um destino que corresponda à regra será roteado para o gateway NAT. Para obter mais informações sobre a configuração de regras de roteamento, consulte Tabelas de Roteamento da VCN.

Posteriormente, se você não precisar mais do gateway NAT e quiser excluí-lo, primeiro exclua todas as regras de roteamento da sua VCN que especificam o gateway NAT como alvo.

Dica

Sem o roteamento necessário, o tráfego não flui pelo gateway NAT. Se ocorrer uma situação em que você deseja interromper temporariamente o fluxo de tráfego no gateway, poderá simplesmente remover a regra de roteamento que permite o tráfego. Ou você pode bloquear o tráfego do gateway inteiramente. Não é necessário excluí-lo.