IBM Cloud Docs
Configurar o NAT para acesso à Internet por meio de uma rede privada

Configurar o NAT para acesso à Internet por meio de uma rede privada

Este tutorial descreve o uso da Infraestrutura clássica. A maioria das cargas de trabalho pode ser implementada usando recursos da IBM Cloud® Virtual Private Cloud. Use a IBM Cloud VPC para criar seu próprio ambiente de computação semelhante à nuvem privada na infraestrutura em nuvem pública compartilhada. Uma VPC fornece a uma empresa a capacidade de definir e controlar uma rede virtual isolada logicamente de todos os outros locatários de nuvem pública, criando um lugar seguro e privado na nuvem pública. Especificamente, instâncias de servidor virtual, grupos de segurança, ACLs de rede e gateways públicos.

Este tutorial pode incorrer em custos. Use o Estimador de custos para gerar uma estimativa do custo baseada em seu uso projetado.

No mundo de hoje de aplicativos e serviços de TI baseados na web, poucos aplicativos existem no isolamento. Os desenvolvedores esperam ter acesso a serviços na Internet, seja código de aplicativo de software livre e atualizações ou serviços de 'terceiro’ que fornecem funcionalidade do aplicativo por meio de APIs de REST. A máscara de Conversão de endereço de rede (NAT), é uma abordagem comumente usada para proteger o acesso ao serviço hospedado na Internet por meio de redes privadas. Na máscara de NAT, os endereços IP privados são convertidos para o endereço IP da interface pública de saída em um relacionamento de muitos para um, blindando o endereço IP privado da visualização pública.

Este tutorial apresenta a configuração do mascaramento de Conversão de Endereço de Rede (NAT) em um Virtual Router Appliance (VRA) para se conectar a uma sub-rede segura na rede privada do IBM Cloud. Ele se constrói no tutorial Isolando cargas de trabalho com uma rede privada segura, incluindo uma configuração de NAT de Origem (SNAT), na qual o endereço de origem é ofuscado e as regras de firewall são usadas para proteger o tráfego de saída. As configurações de NAT mais complexas podem ser localizadas na documentação suplementar do VRA.

Objetivos

  • Configurar a Conversão de Endereço de Rede de Origem (SNAT) em um Virtual Router Appliance (VRA)
  • Configurar regras de firewall para acesso à Internet

Arquitetura*Diagrama de
do

  1. Documente os serviços da Internet necessários.
  2. Configure o NAT.
  3. Crie a zona de firewall da Internet e as regras.

Antes de Iniciar

Este tutorial ativa os hosts no gabinete de rede privada segura criado pelo tutorial Isolar cargas de trabalho com uma rede privada segura para acessar os serviços públicos da Internet. Esse tutorial deve ser concluído primeiro.

Documentar serviços da Internet

A primeira etapa é identificar os serviços que serão acessados na Internet pública e documentar as portas que devem ser ativadas para tráfego de saída e de entrada correspondente por meio da Internet. Essa lista de portas será necessária para as regras de firewall em uma etapa posterior.

Nesse exemplo, somente as portas http e https são ativadas porque elas cobrem uma maioria de requisitos. Os serviços DNS e NTP são fornecidos por meio da rede privada do IBM Cloud. Se esses e outros serviços, como SMTP (Porta 25) ou MySQL (Porta 3306) forem necessários, regras de firewall adicionais serão necessárias. As duas regras básicas de porta são:

  • Porta 80 (http)
  • Porta 443 (https)

Verifique se o serviço de terceiros suporta a definição de uma lista de endereços de origem permitidos. Se sim, o endereço IP público do VRA será necessário para configurar o serviço de terceiro para limitar o acesso ao serviço.

Mascaramento de NAT para Internet

Siga as instruções aqui para configurar o acesso à Internet externo para hosts na zona do APP usando a máscara de NAT.

  1. Use SSH para VRA e insira o modo [edit] (configuração).

    SSH vyatta@<VRA Private IP Address>
configure

  2. Crie as regras SNAT no VRA, especificando o mesmo / determinado para a sub-rede/VLAN da zona APP no tutorial anterior de provisionamento do VRA. 

    set service nat source rule 1000 description 'pass traffic to the Internet'
set service nat source rule 1000 outbound-interface 'dp0bond1'
set service nat source rule 1000 source address <Subnet Gateway IP>/<CIDR>
set service nat source rule 1000 translation address masquerade
commit

Criar firewalls

  1. Criar regras de firewall para o APP-TO-OUTSIDE

    set security firewall name APP-TO-OUTSIDE default-action drop
set security firewall name APP-TO-OUTSIDE description 'APP traffic to the Internet'
set security firewall name APP-TO-OUTSIDE default-log

set security firewall name APP-TO-OUTSIDE rule 90 protocol tcp
set security firewall name APP-TO-OUTSIDE rule 90 action accept
set security firewall name APP-TO-OUTSIDE rule 90 destination port 80

set security firewall name APP-TO-OUTSIDE rule 100 protocol tcp
set security firewall name APP-TO-OUTSIDE rule 100 action accept
set security firewall name APP-TO-OUTSIDE rule 100 destination port 443

set security firewall name APP-TO-OUTSIDE rule 200 protocol icmp
set security firewall name APP-TO-OUTSIDE rule 200 icmp type 8
set security firewall name APP-TO-OUTSIDE rule 200 action accept
commit

  2. Criar regras de firewall OUTSIDE-TO-APP

    set security firewall name OUTSIDE-TO-APP default-action drop
set security firewall name OUTSIDE-TO-APP description 'Internet traffic to APP'
set security firewall name OUTSIDE-TO-APP default-log

set security firewall name OUTSIDE-TO-APP rule 100 protocol tcp
set security firewall name OUTSIDE-TO-APP rule 100 action accept
set security firewall name OUTSIDE-TO-APP rule 100 destination port 443

set security firewall name OUTSIDE-TO-APP rule 90 protocol tcp
set security firewall name OUTSIDE-TO-APP rule 90 action accept
set security firewall name OUTSIDE-TO-APP rule 90 destination port 80

set security firewall name OUTSIDE-TO-APP rule 200 protocol icmp
set security firewall name OUTSIDE-TO-APP rule 200 icmp type 8
set security firewall name OUTSIDE-TO-APP rule 200 action accept
commit

Criar zona e aplicar regras

  1. Criar zona EXTERNA para controlar o acesso à Internet externa.

    set security zone-policy zone OUTSIDE default-action drop
set security zone-policy zone OUTSIDE interface dp0bond1
set security zone-policy zone OUTSIDE description 'External Internet'

  2. Designar firewalls para controlar o tráfego para e da Internet.

    set security zone-policy zone APP to OUTSIDE firewall APP-TO-OUTSIDE
set security zone-policy zone OUTSIDE to APP firewall OUTSIDE-TO-APP
commit

  3. Valide se a VSI na zona APP pode agora acessar serviços na Internet. Login na VSI local usando SSH:

    ssh root@<VSI Private IP>

    Usar ping e curl para validar o acesso de icmp e tcp a sites na Internet:

    ping 8.8.8.8
curl www.google.com

Remover recursos

Etapas a serem executadas para remover os recursos criados neste tutorial.

O VRA está em um plano pago mensal. O cancelamento não resulta em um reembolso. Sugere-se cancelar apenas se esse VRA não for necessário novamente no próximo mês. Se um cluster de Alta Disponibilidade dual VRA for necessário, esse VRA único poderá ser atualizado na página Detalhes do gateway.

  1. Cancelar quaisquer servidores virtuais ou servidores bare-metal
  2. Cancelar o VRA
  3. Cancelar todas as VLANs

Conteúdo relacionado