Zum Inhalt springen
Alle Produkte ansehen
Computing
Speicher
Databases
Netzwerk
Entwicklertools
Bereitstellung
Sicherheit
Services
Branchen
Preise
Community
Treten Sie mit uns in engeren Kontakt
Blog erforschen
Kategorien
13
  1. Cloud Übersichten
    51
  2. Computing
    25
  3. Container (Kubernetes, Docker)
    34
  4. Databases
    21
  5. Entwicklertools
    41
  6. Linode
    260
  7. Linux
    69
  8. Multicloud
    4
  9. Netzwerk
    33
  10. Open Source
    6
  11. Partner-Netzwerk
    7
  12. Sicherheit
    62
  13. Speicher
    24
Autoren 56
  1. Alex Leung 5
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 5
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 68
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 19
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Peter Sari 1
  45. Rick Myers 7
  46. Richard Tubb 1
  47. Sal Carrasco 1
  48. Salman Iqbal 1
  49. Stuart Macleod 1
  50. Shawn Michels 1
  51. Linode Support 14
  52. Tom Asaro 18
  53. Travis Baka 2
  54. Talia Nassi 14
  55. Tim Vereecke 1
  56. Yuri Goldfeld 1
BlogVernetzungWie man ein NAT-Gateway in einer VPC mit Linode einrichtet

Wie man ein NAT-Gateway in einer VPC mit Linode erstellt

Talia Nassi
Talia Nassi
12. September 2024
Text: Wie man ein NAT-Gateway in einer VPC mit Linode einrichtet

Einer unserer Kunden, der sensible Kundendaten verarbeitet, benötigte eine sichere Cloud-Infrastruktur für seine Webanwendungen und Datenbanken. Wir implementierten ein NAT-Gateway in einer VPC, um Instanzen in privaten Subnetzen den Zugang zum Internet für Updates und API-Aufrufe zu ermöglichen und gleichzeitig den eingehenden Datenverkehr zu blockieren. Diese Lösung bietet einen Internetzugang für private Instanzen, ohne sie direkt dem öffentlichen Internet auszusetzen, was die Sicherheit erhöht. So haben wir es gemacht:

Dieses Diagramm veranschaulicht eine typische VPC-Einrichtung, die in drei Hauptbereiche unterteilt ist: VPC, öffentliches Teilnetz und privates Teilnetz. Zunächst haben wir den äußeren grünen Kasten, den VPC, der die Ressourcen darin von anderen Netzwerken isoliert. Die Benutzer greifen über das öffentliche Internet mit einer statischen IP-Adresse, die über 1:1-NAT zugewiesen wird, auf den Webserver zu. Der Webserver verarbeitet die Anfragen und kommuniziert, falls erforderlich, mit dem Datenbankserver. Der Webserver kommuniziert mit dem Datenbankserver über den Routerserver. Der Router Server verwendet Custom NAT, um den Datenverkehr zwischen dem öffentlichen und dem privaten Teilnetz sicher zu leiten. Der Datenbankserver, der sich im privaten Subnetz befindet, erhält Anfragen vom Webserver über VLAN. Die Isolierung des privaten Subnetzes stellt sicher, dass der Datenbankserver nicht direkt dem Internet ausgesetzt ist, was die Sicherheit erhöht. In diesem Lernprogramm werden wir die Schritte zur Einrichtung dieser Architektur durchgehen, um eine sichere und effiziente Kommunikation zwischen dem privaten und dem öffentlichen Subnetz zu gewährleisten. Wir erstellen eine VPC mit einem öffentlichen und einem privaten Subnetz, konfigurieren das NAT-Gateway und richten die VLAN ein. 

Tutorial

In diesem Tutorial werden wir ein NAT-Gateway in einer VPC erstellen, genau wie in dem Diagramm, das wir gerade durchgegangen sind. Wenn Sie bereits ein Linode-Konto haben, können Sie zu Schritt 1 übergehen. Wenn Sie noch keinen Linode-Account haben, verwenden Sie diesen Link, um sich anzumelden und 100 Dollar kostenloses Guthaben zu erhalten, mit dem Sie die folgenden Schritte durchführen können. Im Linode-Dashboard erstellen wir eine VPC mit zwei Subnetzen: ein öffentliches und ein privates Subnetz. Im privaten Subnetz fügen wir eine Datenbank hinzu, und im privaten Subnetz fügen wir 2 Instanzen hinzu: eine, die als Webserver fungiert, und eine, die als Routerserver fungiert (benutzerdefiniertes NAT). 

Schritt 1: Erstellen einer VPC

Der erste Schritt zum Aufbau eines NAT-Gateways in einer VPC besteht darin, die VPC zu erstellen, um unsere Ressourcen logisch zu isolieren. Erinnern Sie sich, dass dies der grüne Kasten aus dem Diagramm ist, das wir durchgegangen sind. Die privaten und öffentlichen Subnetze werden sich innerhalb dieser VPC befinden.

Um dies zu tun, klicken Sie im Linode Cloud Manager auf VPC auf der linken Seite und dann auf VPC erstellen.

Schritt 2: Einrichten des öffentlichen Subnetzes

Als Nächstes müssen wir ein öffentliches Subnetz in der VPC hinzufügen, das den Router-Server (benutzerdefiniertes NAT) und den Webserver aufnehmen wird. Sie erinnern sich, dass dies das blaue Quadrat aus dem Diagramm ist, das wir durchgegangen sind.

Fügen Sie am unteren Rand des Bildschirms, wo Subnets steht, ein Label für das öffentliche Subnetz hinzu. Dieses Subnetz wird den Router-Server (Custom NAT) und den Web-Server beherbergen.

Klicken Sie dann auf VPC erstellen, um die VPC bereitzustellen.

Sie sehen das öffentliche Teilnetz, das mit der entsprechenden Teilnetz-ID und dem IP-Bereich erstellt wurde.

Schritt 3: Bereitstellen des Router-Servers und des Webservers

Als nächstes müssen wir 2 Linode-Instanzen im öffentlichen Subnetz einrichten. Eine Linode-Instanz wird als unser Router-Server (benutzerdefiniertes NAT) fungieren, der NAT-Vorgänge zur Verwaltung des Datenverkehrs zwischen dem öffentlichen und dem privaten Subnetz durchführt. Der andere Server wird als Webserver fungieren, um eingehenden Verkehr aus dem Internet zu verarbeiten und notwendige Anfragen an das private Subnetz weiterzuleiten. Zuerst erstellen wir den Router-Server. Klicken Sie im Cloud Manager auf der linken Seite auf Linodes und dann auf Create Linode. Wählen Sie dieselbe Region, die Sie bei der Erstellung des VPCs gewählt haben, und wählen Sie dann die Option Dedicated 8 GB CPU.

Scrollen Sie dann nach unten, weisen Sie die in Schritt 1 erstellte VPC zu und wählen Sie das öffentliche Subnetz aus dem Dropdown-Menü.

Klicken Sie auf Linode erstellen, um die Einrichtung dieser Instanz abzuschließen.

Lassen Sie uns nun den Webserver mit demselben Verfahren wie oben erstellen. Klicken Sie auf Create Linode, wählen Sie die Region aus, die Sie für Ihre VPC gewählt haben, und weisen Sie die VPC dieser Instanz zu. Sie sehen nun sowohl den Webserver als auch den Routerserver in der VPC unter dem öffentlichen Subnetz aufgeführt. 

Schritt 4: Erstellen eines privaten Subnetzes

Als Nächstes müssen wir das private Subnetz innerhalb der VPC erstellen, um den Datenbankserver zu hosten, der keinen direkten Zugang zum öffentlichen Internet haben wird. Wir bauen nun die lila Box.

Klicken Sie in Ihrer VPC auf Subnetz erstellen, geben Sie ein Label ein und weisen Sie den privaten IP-Bereich zu. In diesem Subnetz ist Ihre Datenbank sicher vor externen Bedrohungen versteckt.

Schritt 5: Einsetzen des Datenbankservers 

Lassen Sie uns nun eine Linode-Instanz im privaten Subnetz einrichten, die als unser Datenbankserver dient. Diese Instanz wird nur vom öffentlichen Subnetz über die sichere VLAN zugänglich sein. Klicken Sie auf der linken Seite des Linode Cloud Managers auf Datenbanken und dann auf Datenbank-Cluster erstellen. Geben Sie eine Bezeichnung ein und wählen Sie dann Ihre bevorzugte Datenbank-Engine.

Denken Sie daran, dass diese Datenbank nicht direkt für das öffentliche Internet zugänglich sein kann, wie die anderen Server. Unten auf dem Bildschirm, wo Zugriffskontrollen hinzufügen steht, fügen wir den erlaubten UP-Adressbereich für das private Subnetz hinzu, das wir oben erstellt haben. 

Klicken Sie dann auf Datenbank-Cluster erstellen. Beachten Sie, dass die Bereitstellung dieser Datenbank bis zu 30 Minuten dauern kann.

Schritt 6: Konfigurieren VLAN

Als nächstes müssen wir eine VLAN einrichten, um eine sichere Kommunikation zwischen dem öffentlichen und dem privaten Teilnetz zu ermöglichen. 

Dadurch wird sichergestellt, dass der Datenverkehr zwischen dem Webserver und dem Datenbankserver privat und sicher bleibt. Klicken Sie auf dem Router-Server auf die Registerkarte "Konfigurationen" und dann auf "Bearbeiten".

Blättern Sie nach unten zum Abschnitt "Netzwerke". Klicken Sie auf das Dropdown-Menü unter der gewünschten Netzwerkschnittstelle und wählen Sie VLAN. Normalerweise wird eth1 oder eth2 verwendet, wenn die erste bzw. zweite VLAN zu einer Compute-Instanz hinzugefügt wird, da die eth0-Netzwerkschnittstelle der Instanz normalerweise für den Zugriff auf das öffentliche Internet konfiguriert ist.

Neben der ausgewählten Schnittstelle wird ein zweites Menü angezeigt, in das Sie die Bezeichnung VLANund die zu verwendende IP-Adresse eingeben können. 

Klicken Sie auf den Platzhaltertext für "Create or select a VLAN" und geben Sie einen Namen für die VLAN ein. Klicken Sie dann auf Save Changes. Unter der Registerkarte "Konfigurationen" werden nun alle Netzwerkschnittstellen aufgelistet.

Schritt 8: Testen der Konnektivität

Testen wir nun die Konnektivität, um zu überprüfen, ob der Router-Server NAT-Vorgänge korrekt handhabt. Wir müssen auch sicherstellen, dass der Webserver mit dem Datenbankserver über VLAN kommunizieren kann und dass der Datenbankserver nicht direkt mit dem Internet verbunden ist.

Navigieren Sie zu dem ersten Router-Server, den wir erstellt haben, und starten Sie die LISH-Konsole. Dann pingen Sie das private Netzwerk der Datenbank mit der IP-Adresse an.

Die Ausgabe sollte die erfolgreich gesendeten und empfangenen ICMP-Pakete von dieser Instanz an die Datenbank im privaten Netz anzeigen.

Vorteile dieser Architektur

Die Verwendung dieser Architektur bietet einige entscheidende Vorteile. Erstens erhalten Sie verbesserte Sicherheit. Eine VPC ermöglicht die Isolierung von Ressourcen innerhalb verschiedener Subnetze (öffentlich und privat). Ein NAT-Gateway stellt sicher, dass Instanzen in privaten Subnetzen auf das Internet zugreifen können, ohne sie direkt den Bedrohungen des öffentlichen Internets auszusetzen. Durch den Einsatz eines NAT-Gateways in einer VPC wird nur ausgehender Datenverkehr von privaten Instanzen ins Internet zugelassen, wodurch unerwünschte eingehende Verbindungen, die Sicherheitsrisiken darstellen könnten, verhindert werden. Die Datenbank befindet sich innerhalb des privaten Subnetzes, und die sensiblen Daten sind vor dem direkten Zugriff aus dem Internet geschützt, was das Risiko von Datenschutzverletzungen verringert.

Diese Architektur verbessert auch die Skalierbarkeit erheblich. NAT-Gateways sind für die Bewältigung großer Datenmengen ausgelegt und können sich automatisch an steigende Anforderungen anpassen, so dass ein manuelles Eingreifen nicht erforderlich ist. Mit zunehmender Verkehrslast skaliert das NAT-Gateway seine Ressourcen, um eine optimale Leistung und kontinuierliche Verfügbarkeit zu gewährleisten. Diese automatische Skalierbarkeit ist besonders für E-Commerce-Plattformen von Vorteil, die aufgrund von saisonalen Verkäufen, Werbeaktionen und wechselndem Kundenverhalten häufig schwankende Verkehrsmuster aufweisen. Durch den Einsatz von NAT-Gateways können Entwickler sicherstellen, dass ihre Anwendungen auch bei hoher Nachfrage reaktionsschnell und zuverlässig bleiben, was letztlich zu einem besseren Benutzererlebnis führt und das Geschäftswachstum unterstützt.

Der Aufbau eines NAT-Gateways in einer VPC mit Linode bietet eine sichere und effiziente Möglichkeit, den Netzwerkverkehr zwischen öffentlichen und privaten Ressourcen zu verwalten. Es stellt sicher, dass Ihre privaten Instanzen auf die notwendigen externen Ressourcen zugreifen können, während sie vor direkter Internet-Exposition geschützt sind, was letztendlich die Sicherheit, Skalierbarkeit und Effizienz Ihrer Cloud-Infrastruktur verbessert. 

Wenn Sie die oben beschriebenen Schritte befolgen und das bereitgestellte Diagramm als Referenz verwenden, können Sie nicht nur die sensiblen Daten Ihrer Kunden schützen, sondern auch Ihre Netzwerkleistung optimieren. Wenn Sie ein Entwickler sind, der seine Cloud-Sicherheit optimieren und mehr Ressourcen in der Cloud aufbauen möchte, verwenden Sie diesen Link, um bis zu 5.000 $ Linode-Guthaben zu beantragen.

Vielleicht interessiert Sie auch ...

VPC Allgemeine Verfügbarkeit, Hauptbild, mit Text.
Linode

Akamai's VPC ist jetzt allgemein verfügbar

31. Januar 2024
von Linode
Akamai's VPC verlässt die offene Beta-Phase und ist nun allgemein verfügbar.
Netzwerk
VPC in der offenen Beta-Phase (Featured Image).

Virtual Private Cloud (VPC) in der offenen Beta-Phase

Ermöglichen Sie Ihren Cloud-Ressourcen, privat miteinander zu kommunizieren
Netzwerk

Private Networking

Nutzen Sie Akamai's VPC oder VLAN , um Ihre Cloud-Infrastruktur zu sichern. Passen Sie private Layer-2-Netzwerke an, um den Datenverkehr zu kontrollieren.
Netzwerk

Kommentare

Kommentar abgeben

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *gekennzeichnet