IBM Cloud Docs
NAT für Internetzugriff aus einem privates Netz konfigurieren

NAT für Internetzugriff aus einem privates Netz konfigurieren

In diesem Lernprogramm wird die Verwendung der klassischen Infrastruktur beschrieben. Die meisten Workloads können mithilfe von IBM Cloud® Virtual Private Cloud-Ressourcen implementiert werden. Verwenden Sie IBM Cloud VPC, um eine eigene Private Cloud-ähnliche Datenverarbeitungsumgebung in einer gemeinsam genutzten öffentlichen Cloudinfrastruktur zu erstellen. Mithilfe einer VPC kann ein Unternehmen ein virtuelles Netz definieren und steuern, das logisch gegenüber allen anderen öffentlichen Cloud-Tenants isoliert ist, und so einen privaten, gesicherten Bereich in der öffentlichen Cloud erstellen. Im Einzelnen: Instanzen virtueller Server, Sicherheitsgruppen, Netz-ACLs und öffentliche Gateways.

Für dieses Lernprogramm können Kosten anfallen. Mit dem Kostenschätzer können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung generieren.

In der heutigen Welt der webbasierten IT-Anwendungen und -Services werden nur wenige Anwendungen völlig eigenständig (isoliert) ausgeführt. Entwickler erwarten Zugriff auf Services im Internet, sei es Open-Source-Anwendungscode und zugehörige Updates oder seien es Services anderer Anbieter, die Anwendungsfunktionalität über REST-APIs bereitstellen. Netzadressumsetzung (NAT, Network Address Translation) ist ein gängiges Maskierungsverfahren, um den Zugriff von privaten Netzen auf einen im Internet gehostete Service zu schützen. Bei der NAT-Maskierung werden private IP-Adressen in eine IP-Adresse der abgehenden, allgemein zugänglichen Schnittstelle in einer Viele-zu-eins-Beziehung umgesetzt, wobei die private IP-Adresse vor der öffentlichen Einsicht geschützt wird.

In diesem Lernprogramm wird das Einrichten der NAT-Maskierung (NAT = Network Address Translation, Netzadressumsetzung) in einer Virtual Router Appliance (VRA) behandelt, um eine Verbindung zu einem geschützten Teilnetz im privaten IBM Cloud-Netz herzustellen. Es baut auf das Lernprogramm Workloads mit einem geschützten privaten Netz isolieren auf und fügt eine SNAT-Konfiguration (Source NAT) hinzu, wobei die Quellenadresse verschleiert wird und Firewallregel verwendet werden, um den ausgehenden Datenverkehr zu schützen. Komplexere NAT-Konfigurationen enthält die Ergänzende Dokumentation zu VRA.

Ziele

  • Source Network Address Translation (SNAT) in einer Virtual Router Appliance (VRA) einrichten
  • Firewallregeln für den Internetzugang konfigurieren

des

  1. Erforderliche Internet-Services dokumentieren
  2. NAT einrichten
  3. Internet-Firewallzone und Regeln erstellen

Vorbereitende Schritte

Dieses Lernprogramm aktiviert Hosts im sicheren privaten Netzbereich, der im Lernprogramm Workloads mit einem sicheren privaten Netz isolieren erstellt wurde, um auf öffentliche Internetservices zuzugreifen. Das angegebene Lernprogramm muss zuerst ausgeführt werden.

Internet-Services dokumentieren

Der erste Schritt besteht darin, die Services zu ermitteln, auf die im öffentlichen Internet zugegriffen wird, und die Ports zu dokumentieren, die für den ausgehenden und entsprechenden eingehenden Datenverkehr vom Internet aktiviert werden müssen. Diese Liste der Ports wird in einem späteren Schritt für die Firewallregeln benötigt.

Im vorliegenden Beispiel werden nur HTTP- und HTTPS-Ports aktiviert, da diese für die meisten Anforderungen ausreichen. DNS- und NTP-Services werden über das private IBM Cloud-Netz bereitgestellt. Falls diese und andere Services (z. B. SMTP (Port 25) oder MySQL (Port 3306)) erforderlich sind, müssen zusätzliche Firewallregeln erstellt werden. Die beiden grundlegenden Portregeln lauten wie folgt:

  • Port 80 (http)
  • Port 443 (https)

Stellen Sie sicher, dass der Service eines anderen Anbieters das Definieren einer Liste der zulässigen Quellenadressen unterstützt. Wenn dies zutrifft, ist die öffentliche IP-Adresse der VRA erforderlich, um den Service eines anderen Anbieters so zu konfigurieren, dass der Zugang zu dem Service eingeschränkt wird.

NAT-Maskierung für Internetzugang

Befolgen Sie die Anweisungen hier, um externen Internetzugriff für Hosts in der APP-Zone mithilfe von NAT-Maskierung zu konfigurieren.

  1. Stellen Sie eine SSH-Verbindung zu VRA her und aktivieren Sie den Konfigurationsmodus [edit] (config).

    SSH vyatta@<VRA Private IP Address>
configure

  2. Erstellen Sie die SNAT-Regeln auf dem VRA und geben Sie dabei die gleichen / an, wie sie für das APP-Zonen-Subnetz/VLAN im vorherigen VRA-Bereitstellungs-Tutorial festgelegt wurden. 

    set service nat source rule 1000 description 'pass traffic to the Internet'
set service nat source rule 1000 outbound-interface 'dp0bond1'
set service nat source rule 1000 source address <Subnet Gateway IP>/<CIDR>
set service nat source rule 1000 translation address masquerade
commit

Firewalls erstellen

  1. Erstellen Sie Firewallregeln für APP-TO-OUTSIDE

    set security firewall name APP-TO-OUTSIDE default-action drop
set security firewall name APP-TO-OUTSIDE description 'APP traffic to the Internet'
set security firewall name APP-TO-OUTSIDE default-log

set security firewall name APP-TO-OUTSIDE rule 90 protocol tcp
set security firewall name APP-TO-OUTSIDE rule 90 action accept
set security firewall name APP-TO-OUTSIDE rule 90 destination port 80

set security firewall name APP-TO-OUTSIDE rule 100 protocol tcp
set security firewall name APP-TO-OUTSIDE rule 100 action accept
set security firewall name APP-TO-OUTSIDE rule 100 destination port 443

set security firewall name APP-TO-OUTSIDE rule 200 protocol icmp
set security firewall name APP-TO-OUTSIDE rule 200 icmp type 8
set security firewall name APP-TO-OUTSIDE rule 200 action accept
commit

  2. Erstellen Sie Firewallregeln für OUTSIDE-TO-APP

    set security firewall name OUTSIDE-TO-APP default-action drop
set security firewall name OUTSIDE-TO-APP description 'Internet traffic to APP'
set security firewall name OUTSIDE-TO-APP default-log

set security firewall name OUTSIDE-TO-APP rule 100 protocol tcp
set security firewall name OUTSIDE-TO-APP rule 100 action accept
set security firewall name OUTSIDE-TO-APP rule 100 destination port 443

set security firewall name OUTSIDE-TO-APP rule 90 protocol tcp
set security firewall name OUTSIDE-TO-APP rule 90 action accept
set security firewall name OUTSIDE-TO-APP rule 90 destination port 80

set security firewall name OUTSIDE-TO-APP rule 200 protocol icmp
set security firewall name OUTSIDE-TO-APP rule 200 icmp type 8
set security firewall name OUTSIDE-TO-APP rule 200 action accept
commit

Zone erstellen und Regeln anwenden

  1. Erstellen Sie die Zone OUTSIDE, um den Zugriff auf das externe Internet zu steuern.

    set security zone-policy zone OUTSIDE default-action drop
set security zone-policy zone OUTSIDE interface dp0bond1
set security zone-policy zone OUTSIDE description 'External Internet'

  2. Ordnen Sie Firewalls zu, um den Datenverkehr in und aus dem Internet zu steuern.

    set security zone-policy zone APP to OUTSIDE firewall APP-TO-OUTSIDE
set security zone-policy zone OUTSIDE to APP firewall OUTSIDE-TO-APP
commit

  3. Überprüfen Sie, dass die virtuelle Serverinstanz (VSI) in der APP-Zone jetzt auf Services im Internet zugreifen kann. Melden Sie sich mithilfe von SSH als lokale VSI an:

    ssh root@<VSI Private IP>

    Verwenden Sie 'ping' und 'curl', um den icmp- und tcp-Zugriff auf Internet-Sites zu überprüfen:

    ping 8.8.8.8
curl www.google.com

Ressourcen entfernen

Mit den folgenden Schritten können Sie die in diesem Lernprogramm erstellten Ressourcen entfernen.

Die VRA wird mit einem monatlichen Preisstrukturplan bereitgestellt. Bei einer Kündigung wird keine Erstattung geleistet. Eine Kündigung wird nur empfohlen, wenn die betreffende VRA im Folgemonat nicht mehr benötigt wird. Wenn ein Hochverfügbarkeitscluster mit zwei VRAs erforderlich ist, kann für die bestehende einzelne VRA ein Upgrade auf der Seite Gateway-Details durchgeführt werden.

  1. Kündigen Sie alle virtuellen Server oder Bare-Metal-Server.
  2. Kündigen Sie die VRA.
  3. Alle VLANs abbrechen

Zugehörige Inhalte