Configuration d'une conversion NAT pour l'accès Internet à partir d'un réseau privé
Ce tutoriel décrit l'utilisation de l'infrastructure classique. La plupart des charges de travail peuvent être implémentées à l'aide des ressources IBM Cloud® Virtual Private Cloud. Utilisez IBM Cloud VPC pour créer votre propre environnement de calcul de type cloud privé sur une infrastructure de cloud public partagé. Un VPC permet à une entreprise de définir et de contrôler un réseau virtuel qui est logiquement isolé de tous les autres locataires de cloud public, créant ainsi un endroit privé et sécurisé sur le cloud public. Plus précisément, les instances de serveur virtuel, groupes de sécurité, listes de contrôle d'accès réseau et passerelles publiques.
Ce tutoriel peut entraîner des coûts. Utilisez l'Estimateur de coûts pour générer une estimation du coût en fonction de votre utilisation projetée.
Dans le monde actuel des applications et des services informatiques basés sur le Web, peu d'applications existent isolément. Les développeurs exigent désormais l'accès aux services sur Internet, qu'il s'agisse de code applicatif open source et de mises à jour, ou de services tiers fournissant des fonctionnalités d'application via des API REST. Le masquage NAT est une approche couramment utilisée pour sécuriser l'accès au service hébergé sur Internet à partir de réseaux privés. Dans le masquage NAT, les adresses IP privées sont converties en adresse IP de l'interface publique sortante dans une relation plusieurs-à-un, empêchant ainsi l'adresse IP privée d'être visible par le public.
Ce tutoriel présente la configuration du masquage de conversion d'adresses réseau (NAT) sur un dispositif VRA (Virtual Router Appliance) pour se connecter à un sous-réseau sécurisé sur le réseau privé IBM Cloud. Il s'appuie sur le tutoriel Isolation de charges de travail à l'aide d'un réseau privé sécurisé, et ajoute une configuration SNAT (Source NAT), où l'adresse source est masquée et où les règles de pare-feu sont utilisées pour sécuriser le trafic sortant. Vous trouverez des configurations NAT plus complexes dans la documentation VRA supplémentaire.
Objectifs
- Configurer la conversion SNAT sur un dispositif Virtual Router Appliance (VRA)
- Configurer les règles de pare-feu pour l'accès Internet

- Documenter les services Internet requis.
- Configurer la conversion NAT.
- Créer une zone et des règles de pare-feu Internet.
Avant de commencer
Ce tutoriel active les hôtes de l'enceinte du réseau privé sécurisé créés pendant le tutoriel Isolation de charges de travail à l'aide d'un réseau privé sécurisé pour accéder aux services Internet publics. Ce tutoriel doit être effectué en premier lieu.
Documentation des services Internet
La première étape consiste à identifier les services accessibles sur l'Internet public et à documenter les ports qui doivent être activés pour le trafic sortant et le trafic entrant correspondants provenant d'Internet. Cette liste de ports est requise pour les règles de pare-feu dans une étape ultérieure.
Dans cet exemple, seuls les ports http et https sont activés, car ils couvrent la majorité des exigences. Les services DNS et NTP sont fournis à partir du réseau privé IBM Cloud. Si ces services et d'autres tels que SMTP (port 25) ou MySQL (port 3306) sont requis, des règles de pare-feu supplémentaires sont nécessaires. Les deux règles de port de base sont les suivantes :
- Port 80 (http)
- Port 443 (https)
Vérifiez si le service tiers prend en charge la définition d'une liste d'adresses source autorisées. Dans l'affirmative, l'adresse IP publique du dispositif VRA est nécessaire pour configurer le service tiers afin de limiter l'accès au service.
Masquage NAT vers Internet
Effectuez les instructions ci-dessous pour configurer l'accès Internet externe pour les hôtes de la zone APP à l'aide du masquage NAT.
-
Connectez-vous à l'aide de SSH au dispositif VRA et passez en mode [edit] (config).
SSH vyatta@<VRA Private IP Address> configure
-
Créez les règles SNAT sur le VRA, en spécifiant les mêmes
/ que ceux déterminés pour le sous-réseau/VLAN de la zone APP dans le précédent tutoriel sur le provisionnement du VRA. set service nat source rule 1000 description 'pass traffic to the Internet' set service nat source rule 1000 outbound-interface 'dp0bond1' set service nat source rule 1000 source address <Subnet Gateway IP>/<CIDR> set service nat source rule 1000 translation address masquerade commit
Création de pare-feux
-
Créez des règles de pare-feu pour APP-TO-OUTSIDE
set security firewall name APP-TO-OUTSIDE default-action drop set security firewall name APP-TO-OUTSIDE description 'APP traffic to the Internet' set security firewall name APP-TO-OUTSIDE default-log set security firewall name APP-TO-OUTSIDE rule 90 protocol tcp set security firewall name APP-TO-OUTSIDE rule 90 action accept set security firewall name APP-TO-OUTSIDE rule 90 destination port 80 set security firewall name APP-TO-OUTSIDE rule 100 protocol tcp set security firewall name APP-TO-OUTSIDE rule 100 action accept set security firewall name APP-TO-OUTSIDE rule 100 destination port 443 set security firewall name APP-TO-OUTSIDE rule 200 protocol icmp set security firewall name APP-TO-OUTSIDE rule 200 icmp type 8 set security firewall name APP-TO-OUTSIDE rule 200 action accept commit
-
Créez des règles de pare-feu pour OUTSIDE-TO-APP
set security firewall name OUTSIDE-TO-APP default-action drop set security firewall name OUTSIDE-TO-APP description 'Internet traffic to APP' set security firewall name OUTSIDE-TO-APP default-log set security firewall name OUTSIDE-TO-APP rule 100 protocol tcp set security firewall name OUTSIDE-TO-APP rule 100 action accept set security firewall name OUTSIDE-TO-APP rule 100 destination port 443 set security firewall name OUTSIDE-TO-APP rule 90 protocol tcp set security firewall name OUTSIDE-TO-APP rule 90 action accept set security firewall name OUTSIDE-TO-APP rule 90 destination port 80 set security firewall name OUTSIDE-TO-APP rule 200 protocol icmp set security firewall name OUTSIDE-TO-APP rule 200 icmp type 8 set security firewall name OUTSIDE-TO-APP rule 200 action accept commit
Création d'une zone et application de règles
-
Créez une zone OUTSIDE pour contrôler l'accès à Internet externe.
set security zone-policy zone OUTSIDE default-action drop set security zone-policy zone OUTSIDE interface dp0bond1 set security zone-policy zone OUTSIDE description 'External Internet'
-
Attribuez des pare-feux pour contrôler le trafic depuis et vers Internet.
set security zone-policy zone APP to OUTSIDE firewall APP-TO-OUTSIDE set security zone-policy zone OUTSIDE to APP firewall OUTSIDE-TO-APP commit
-
Vérifiez que l'instance VSI dans la zone APP peut maintenant accéder aux services sur Internet. Connectez-vous à l'instance de serveur virtuel locale à l'aide de SSH :
ssh root@<VSI Private IP>
Utilisez les commandes ping et curl pour valider l'accès icmp et tcp aux sites Internet :
ping 8.8.8.8 curl www.google.com
Suppression de ressources
Etapes à suivre pour supprimer les ressources créées dans ce tutoriel.
Le VRA est disponible moyennant un forfait mensuel. L'annulation ne donne pas lieu à un remboursement. Il est suggéré d'annuler uniquement si ce VRA n'est plus nécessaire le mois suivant. Si un cluster à haute disponibilité VRA double est requis, ce VRA unique peut être mis à niveau sur la page Détails de la passerelle.
- Annulez tous les serveurs virtuels ou les serveurs bare metal
- Annulez le VRA
- Annulez les VLAN