Configura NAT per l'accesso a Internet da una rete privata

Questa esercitazione descrive l'utilizzo di Classic Infrastructure. La maggior parte dei workload può essere implementata utilizzando le risorse IBM Cloud® Virtual Private Cloud. Utilizza IBM Cloud VPC per creare il tuo proprio ambiente di elaborazione simile a un cloud privato su un'infrastruttura cloud pubblica condivisa. Un VPC dà a un'azienda la possibilità di definire e controllare una rete virtuale che è logicamente isolata da tutti gli altri tenant cloud pubblici, creando un luogo privato e sicuro sul cloud pubblico. In modo specifico, istanze del server virtuale, gruppi di protezione, ACL di rete e gateway pubblici.

Questa esercitazione può comportare degli addebiti. Utilizza lo stimatore costi per generare una stima dei costi basata sul tuo utilizzo previsto.

Nel mondo di oggi di applicazioni e servizi IT basati sul web, sono poche le applicazioni che funzionano in modo isolato. Gli sviluppatori oramai si aspettano un accesso ai servizi su Internet, sia che si tratti di codice applicativo open-source che di aggiornamenti o servizi di 'terze parti' che forniscono la funzionalità applicativa tramite le API REST. Il mascheramento NAT (Network Address Translation) è un approccio comunemente utilizzato per proteggere l'accesso al servizio ospitato su Internet dalle reti private. Nel mascheramento NAT, gli indirizzi IP privati sono convertiti nell'indirizzo IP dell'interfaccia pubblica in uscita in una relazione molti-a-uno, proteggendo l'indirizzo IP privato dalla vista pubblica.

Questa esercitazione illustra la configurazione del mascheramento NAT (Network Address Translation) su un VRA (Virtual Router Appliance) per la connessione a una sottorete protetta sulla rete privata di IBM Cloud. Si sviluppa sull'esercitazione Isolamento dei carichi di lavoro con una rete privata sicura, aggiungendo una configurazione SNAT (Source NAT), dove l'indirizzo di origine è offuscato e dove le regole del firewall vengono utilizzate per proteggere il traffico in uscita. Delle configurazioni NAT più complesse sono disponibili nella documentazione supplementare di VRA.

Obiettivi

  • Configurare SNAT (Source Network Address Translation) su un VRA (Virtual Router Appliance)
  • Configurare le regole del firewall per l'accesso a Internet

dell'architettura del

  1. Documenta i servizi Internet richiesti.
  2. Configura NAT.
  3. Crea regole e zone firewall Internet.

Prima di iniziare

Questa esercitazione abilita gli host nell'enclosure di rete privata sicura creata dall'esercitazione Isola i carichi di lavoro con una rete privata sicura ad accedere ai servizi Internet pubblici. È necessario prima completare tale esercitazione.

Documenta i servizi Internet

Il primo passo consiste nell'identificare i servizi a cui si accederà su Internet pubblico e documentare le porte che devono essere abilitate per il traffico in uscita e quello in entrata corrispondente da Internet. Questo elenco di porte sarà necessario per le regole del firewall in un passo successivo.

In questo esempio, sono abilitate solo le porte http e https poiché coprono la maggior parte dei requisiti. I servizi DNS e NTP sono forniti dalla rete privata IBM Cloud. Se sono necessari questi e altri servizi, come ad esempio SMTP (Porta 25) o MySQL (Porta 3306), saranno necessarie delle regole del firewall aggiuntive. Le due regole di porta di base sono:

  • Porta 80 (http)
  • Porta 443 (https)

Verifica se il servizio di terze parti supporta la definizione di un elenco di indirizzi di origine consentiti. In caso affermativo, l'indirizzo IP pubblico del VRA sarà necessario per configurare il servizio di terze parti per limitare l'accesso al servizio.

Mascheramento NAT a Internet

Attieniti alle istruzioni qui riportate per configurare l'accesso a Internet esterno per gli host nella zona APP utilizzando il mascheramento NAT.

  1. Esegui l'SSH nel VRA e entra nella modalità [edit] (config):

    SSH vyatta@<VRA Private IP Address>
configure

  2. Creare le regole SNAT sul VRA, specificando lo stesso / determinato per la subnet/VLAN della zona APP nella precedente esercitazione sul provisioning del VRA. 

    set service nat source rule 1000 description 'pass traffic to the Internet'
set service nat source rule 1000 outbound-interface 'dp0bond1'
set service nat source rule 1000 source address <Subnet Gateway IP>/<CIDR>
set service nat source rule 1000 translation address masquerade
commit

Crea i firewall

  1. Crea le regole del firewall per APP-TO-OUTSIDE

    set security firewall name APP-TO-OUTSIDE default-action drop
set security firewall name APP-TO-OUTSIDE description 'APP traffic to the Internet'
set security firewall name APP-TO-OUTSIDE default-log

set security firewall name APP-TO-OUTSIDE rule 90 protocol tcp
set security firewall name APP-TO-OUTSIDE rule 90 action accept
set security firewall name APP-TO-OUTSIDE rule 90 destination port 80

set security firewall name APP-TO-OUTSIDE rule 100 protocol tcp
set security firewall name APP-TO-OUTSIDE rule 100 action accept
set security firewall name APP-TO-OUTSIDE rule 100 destination port 443

set security firewall name APP-TO-OUTSIDE rule 200 protocol icmp
set security firewall name APP-TO-OUTSIDE rule 200 icmp type 8
set security firewall name APP-TO-OUTSIDE rule 200 action accept
commit

  2. Crea le regole del firewall OUTSIDE-TO-APP

    set security firewall name OUTSIDE-TO-APP default-action drop
set security firewall name OUTSIDE-TO-APP description 'Internet traffic to APP'
set security firewall name OUTSIDE-TO-APP default-log

set security firewall name OUTSIDE-TO-APP rule 100 protocol tcp
set security firewall name OUTSIDE-TO-APP rule 100 action accept
set security firewall name OUTSIDE-TO-APP rule 100 destination port 443

set security firewall name OUTSIDE-TO-APP rule 90 protocol tcp
set security firewall name OUTSIDE-TO-APP rule 90 action accept
set security firewall name OUTSIDE-TO-APP rule 90 destination port 80

set security firewall name OUTSIDE-TO-APP rule 200 protocol icmp
set security firewall name OUTSIDE-TO-APP rule 200 icmp type 8
set security firewall name OUTSIDE-TO-APP rule 200 action accept
commit

Crea la zona e applica le regole

  1. Crea la zona OUTSIDE per controllare l'accesso a Internet esterno.

    set security zone-policy zone OUTSIDE default-action drop
set security zone-policy zone OUTSIDE interface dp0bond1
set security zone-policy zone OUTSIDE description 'External Internet'

  2. Assegna i firewall per controllare il traffico verso e da Internet.

    set security zone-policy zone APP to OUTSIDE firewall APP-TO-OUTSIDE
set security zone-policy zone OUTSIDE to APP firewall OUTSIDE-TO-APP
commit

  3. Convalida che la VSI nella zona APP può ora accedere ai servizi su Internet. Accedi alla VSI locale tramite SSH:

    ssh root@<VSI Private IP>

    utilizza ping e curl per convalidare l'accesso icmp e tcp ai siti su Internet:

    ping 8.8.8.8
curl www.google.com

Rimuovi le risorse

Passi da eseguire per rimuovere le risorse create in questa esercitazione.

Il VRA è su un piano a pagamento mensile. L'annullamento non prevede un rimborso. Ti consigliamo di annullare solo se questo VRA non sarà richiesto di nuovo nel prossimo mese. Se è richiesto un cluster ad alta disponibilità VRA duale, è possibile eseguire l'upgrade di questo singolo VRA nella pagina dei dettagli del gateway.

  1. Annulla qualsiasi server virtuale o server bare metal
  2. Annulla il VRA
  3. Annulla tutte le VLAN

Contenuto correlato