Documentação do Oracle Cloud Infrastructure

Gateway NAT

Este tópico descreve como configurar e gerenciar um gateway NAT (Network Address Translation). Um gateway NAT permite que recursos de nuvem sem endereços IP públicos acessem a internet sem expor esses recursos a conexões provenientes da internet.

Advertência

Evite inserir informações confidenciais ao designar descrições, tags ou nomes amigáveis aos seus recursos na nuvem por meio da Console, da API ou da CLI do Oracle Cloud Infrastructure.

Destaques

  • Você pode adicionar um gateway NAT à sua VCN para permitir que instâncias em uma sub-rede privada tenham acesso à internet.
  • As instâncias de uma sub-rede privada não têm endereços IP públicos. Com o gateway NAT, as instâncias podem iniciar conexões com a internet e podem receber respostas, mas não podem receber conexões de entrada iniciadas na internet.
  • Os gateways NAT são altamente disponíveis e suportam tráfego de ping TCP, UDP e ICMP.

Visão Geral da NAT

NAT é uma técnica de rede geralmente usada para permitir que uma rede privada inteira tenha acesso à internet sem designar um endereço IPv4 público a cada host. Os hosts podem iniciar conexões com a internet e podem receber respostas, mas não podem receber conexões de entrada iniciadas na internet.

Quando um host na rede privada inicia uma conexão vinculada à internet, o endereço IP público do dispositivo NAT torna-se o endereço IP de origem para o tráfego de saída. O tráfego de resposta da internet, portanto, usa esse endereço IP público como o endereço IP de destino. Em seguida, o dispositivo NAT roteia a resposta para o host na rede privada que iniciou a conexão.

Visão Geral dos Gateways NAT

O serviço Networking oferece uma solução NAT confiável e altamente disponível para a sua VCN na forma de um gateway NAT.

Exemplo de cenário: imagine que você tem recursos que precisam receber tráfego proveniente da internet (por exemplo, servidores Web). Você também tem recursos privados que precisam ser protegidos do tráfego proveniente da internet. Todos esses recursos precisam iniciar conexões com a internet para solicitar atualizações de software por meio de sites na internet.

Você configura uma VCN e adiciona uma sub-rede pública para conter os servidores web. Ao iniciar as instâncias, designe endereços IP públicos a elas para que possam receber tráfego proveniente da internet. Você também adiciona uma sub-rede privada para conter as instâncias privadas. Elas não podem ter endereços IP públicos porque estão em uma sub-rede privada.

Você adiciona um gateway de internet à VCN. Você também adiciona uma regra de roteamento na tabela de roteamento da sub-rede pública que direciona o tráfego vinculado à internet para o gateway de internet. As instâncias da sub-rede pública agora podem iniciar conexões com a internet e também receber conexões de entrada iniciadas pela internet. Lembre-se de que você pode usar regras de segurança para controlar os tipos de tráfego permitidos entre as instâncias no nível do pacote.

Você adiciona um gateway NAT à VCN. Você também adiciona uma regra de roteamento na tabela de roteamento da sub-rede privada que direciona o tráfego vinculado à internet para o gateway NAT. As instâncias da sub-rede privada agora podem iniciar conexões com a internet. O gateway NAT permite respostas, mas não permite conexões iniciadas na internet. Sem esse gateway NAT, em vez disso, as instâncias privadas precisariam estar na sub-rede pública e ter endereços IP públicos para obter suas atualizações de software.

O diagrama a seguir ilustra o layout de rede básico do exemplo. As setas indicam se as conexões podem ser iniciadas em apenas uma direção ou em ambas.

Esta imagem mostra o layout básico de uma VCN com um gateway NAT e um gateway de serviço

Observação

Um gateway NAT só pode ser usado por recursos na própria VCN do gateway. Se a VCN estiver pareada com outra VCN, os recursos da outra VCN não poderão acessar o gateway NAT.

Além disso, os recursos de uma rede local conectada com a VCN do gateway NAT que utiliza o FastConnect ou uma VPN IPSec não podem usar o gateway NAT.

Estão são algumas informações básicas sobre gateways NAT:

  • O gateway NAT suporta tráfego de ping TCP, UDP e ICMP.
  • O gateway suporta no máximo 20.000 conexões concorrentes com uma única porta e um único endereço de destino.
  • O serviço Networking atribui automaticamente um endereço IP público ao gateway NAT. Não é possível escolher o endereço IP público ou usar um dos seus endereços IP públicos reservados.
  • Há um limite para o número de gateways NAT por VCN. Você pode solicitar um aumento para esse limite. Consulte Limites de Serviço.

Roteamento para um Gateway NAT

Você controla o roteamento na sua VCN no nível da sub-rede, para que possa especificar quais sub-redes na sua VCN usam um gateway NAT. Você pode ter mais de um gateway NAT em uma VCN (embora seja necessário solicitar um aumento nos seus limites). Por exemplo, se você quiser que um aplicativo externo distinga o tráfego das diferentes sub-redes da VCN, poderá configurar um gateway NAT específico (e, portanto, um endereço IP público específico) para cada sub-rede. Uma sub-rede só pode rotear o tráfego para um gateway NAT.

Bloqueando o Tráfego por um Gateway NAT

Você cria um gateway NAT no contexto de uma VCN específica. Em outras palavras, o gateway NAT sempre é automaticamente anexado a apenas uma VCN da sua escolha. No entanto, você pode bloquear ou permitir o tráfego por meio do gateway NAT a qualquer momento. Por padrão, o gateway permite que o tráfego flua ao ser criado. Bloquear o gateway NAT impede que todo tráfego flua, independentemente das regras de roteamento ou das regras de segurança existentes na sua VCN. Para obter instruções sobre como bloquear o tráfego, consulte Para bloquear/permitir o tráfego para um gateway NAT.

Transição para um Gateway NAT

Se você estiver deixando de usar uma instância NAT na VCN para usar um gateway NAT, considere que o endereço IP público do seu dispositivo NAT será alterado.

Se você estiver deixando de usar um gateway de internet para usar um gateway NAT, as instâncias com acesso ao gateway NAT não precisarão mais de endereços IP públicos para acessar a internet. Além disso, as instâncias não precisarão mais estar em uma sub-rede pública. Não é possível alternar uma sub-rede de pública para privada. No entanto, você poderá excluir os IPs públicos efêmeros das suas instâncias se quiser.

Excluindo um GatewayNAT

Para que seja possível excluir um gateway NAT, o tráfego desse gateway não precisa estar bloqueado, mas não deve haver uma tabela de roteamento que liste esse gateway como alvo. Para obter instruções, consulte Para excluir um gateway NAT.

Política do IAM Necessária

Para usar o Oracle Cloud Infrastructure, você deverá receber o tipo de acesso necessário em uma política criada por um administrador, independentemente de estar usando a Console ou a API REST com um SDK, a CLI ou outra ferramenta. Se você tentar executar uma ação e receber uma mensagem de que não tem permissão ou que não está autorizado, confirme com o administrador o tipo de acesso que recebeu e em qual compartimento deverá trabalhar.

Para administradores: consulte Políticas do IAM para Rede.

Configurando um Gateway NAT

Tarefa 1: Criar o gateway NAT
Tarefa 2: Atualizar roteamento para a sub-rede

Usando a Console

Para bloquear/permitir o tráfego em um gateway NAT
Para atualizar um gateway NAT
Para excluir um gateway NAT
Para gerenciar as tags de um gateway NAT
Para mover um gateway NAT para outro compartimento

Usando a API

Para obter informações sobre o uso da API e de solicitações de assinatura, consulte APIs REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs (Software Development Kits) e CLI (Command Line Interface).

Para gerenciar os seus gateways NAT, use estas operações:

Para gerenciar tabelas de roteamento, consulte Tabelas de Roteamento.