Skip to main content
Voir tous les produits
Calcul
Stockage
Databases
Mise en réseau
Outils pour les développeurs
Diffusion
Sécurité
Services
Industries
Tarification
Communauté
Engagez-vous avec nous
Explorer le blog
Catégories
13
  1. Aperçu des nuages
    51
  2. Calcul
    25
  3. Conteneurs (Kubernetes, Docker)
    34
  4. Databases
    21
  5. Outils pour les développeurs
    41
  6. Linode
    260
  7. Linux
    69
  8. Multicloud
    4
  9. Mise en réseau
    33
  10. Source ouverte
    6
  11. Réseau de partenaires
    7
  12. Sécurité
    62
  13. Stockage
    24
Auteurs 56
  1. Alex Leung 5
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 5
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 68
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 19
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Peter Sari 1
  45. Rick Myers 7
  46. Richard Tubb 1
  47. Sal Carrasco 1
  48. Salman Iqbal 1
  49. Stuart Macleod 1
  50. Shawn Michels 1
  51. Linode Support 14
  52. Tom Asaro 18
  53. Travis Baka 2
  54. Talia Nassi 14
  55. Tim Vereecke 1
  56. Yuri Goldfeld 1
BlogMise en réseauComment construire une passerelle NAT dans un VPC avec Linode

Comment construire une passerelle NAT dans un VPC avec Linode

Talia Nassi
Talia Nassi
12 septembre 2024
Texte : Comment construire une passerelle NAT dans un VPC avec Linode

L'un de nos clients qui traite des données sensibles avait besoin d'une infrastructure cloud sécurisée pour ses applications web et ses bases de données. Nous avons implémenté une passerelle NAT dans un VPC pour permettre aux instances des sous-réseaux privés d'accéder à l'internet pour les mises à jour et les appels API tout en bloquant le trafic entrant. Cette solution permet aux instances privées d'accéder à Internet sans les exposer directement à l'Internet public, ce qui renforce la sécurité. Voici ce que nous avons fait :

Ce diagramme illustre une configuration VPC typique divisée en trois sections principales : VPC, sous-réseau public et sous-réseau privé. Tout d'abord, nous avons la boîte verte extérieure, le VPC, qui isole les ressources qu'il contient des autres réseaux. Les utilisateurs accèdent au serveur web via l'internet public à l'aide d'une adresse IP statique attribuée par NAT 1:1. Le serveur web traite les demandes et, si nécessaire, communique avec le serveur de base de données. Le serveur web communique avec le serveur de base de données par l'intermédiaire du serveur routeur. Le serveur routeur utilise la NAT personnalisée pour acheminer de manière sécurisée le trafic entre les sous-réseaux public et privé. Le serveur de base de données, situé dans le sous-réseau privé, reçoit les requêtes du serveur web via le site VLAN. L'isolement du sous-réseau privé garantit que le serveur de base de données n'est pas directement exposé à l'internet, ce qui renforce la sécurité. Dans ce tutoriel, nous allons suivre les étapes de la mise en place de cette architecture, en garantissant une communication sécurisée et efficace entre les sous-réseaux privé et public. Nous créerons un VPC avec un sous-réseau public et un sous-réseau privé, nous configurerons la passerelle NAT et nous mettrons en place le site VLAN. 

Tutoriel

Dans ce tutoriel, nous allons créer une passerelle NAT dans un VPC, comme dans le diagramme que nous venons de parcourir. Si vous avez déjà un compte Linode, vous pouvez passer à l'étape 1. Si vous n'avez pas de compte Linode, utilisez ce lien pour vous inscrire et obtenir 100 $ de crédits gratuits pour suivre les étapes suivantes. Depuis le tableau de bord Linode, nous allons créer un VPC avec deux sous-réseaux : un sous-réseau public et un sous-réseau privé. Dans le sous-réseau privé, nous ajouterons une base de données, et dans le sous-réseau privé, nous ajouterons 2 instances : une qui agira en tant que serveur web, et une qui agira en tant que serveur de routeur (NAT personnalisé). 

Étape 1 : Créer un VPC

La première étape de la construction d'une passerelle NAT dans un VPC consiste à créer le VPC pour isoler logiquement nos ressources. Rappelez-vous qu'il s'agit de la boîte verte du diagramme que nous avons parcouru. Les sous-réseaux privés et publics se trouveront à l'intérieur de ce VPC.

Pour ce faire, à partir du Linode Cloud Manager, cliquez sur VPC dans le panneau de gauche, puis sur Create VPC.

Étape 2 : Configurer le sous-réseau public

Ensuite, nous devons ajouter un sous-réseau public dans le VPC qui contiendra le serveur routeur (NAT personnalisé) et le serveur web. Rappelons qu'il s'agit du carré bleu du diagramme que nous avons parcouru.

En bas de l'écran, à la rubrique Sous-réseaux, ajoutez une étiquette pour le sous-réseau public. Ce sous-réseau hébergera le serveur routeur (NAT personnalisé) et le serveur Web.

Cliquez ensuite sur Créer un VPC pour provisionner le VPC.

Vous verrez le sous-réseau public créé avec l'ID de sous-réseau et la plage IP correspondants.

Étape 3 : Déployer le serveur routeur et le serveur web

Ensuite, nous devons déployer 2 instances Linode dans le sous-réseau public. L'une des instances Linode servira de serveur routeur (NAT personnalisé), qui gérera les opérations de NAT pour gérer le trafic entre les sous-réseaux public et privé. L'autre serveur servira de serveur web pour gérer le trafic entrant depuis l'internet et transmettre les requêtes nécessaires au sous-réseau privé. Tout d'abord, nous allons créer le serveur routeur. Dans le Gestionnaire de clouds, cliquez sur Linodes dans le panneau de gauche, puis sur Create Linode. Choisissez la même région que lorsque vous avez créé le VPC, puis sélectionnez l'option Dedicated 8 GB CPU.

Ensuite, faites défiler vers le bas et attribuez le VPC que vous avez créé à l'étape 1, puis choisissez le sous-réseau public dans le menu déroulant.

Cliquez sur Create Linode pour terminer le provisionnement de cette instance.

Maintenant, créons le serveur web, en utilisant le même processus que ci-dessus. Cliquez sur Create Linode, sélectionnez la région que vous avez choisie pour votre VPC, puis assignez le VPC à cette instance. Vous verrez maintenant le serveur web et le serveur routeur listés dans le VPC sous le sous-réseau public. 

Étape 4 : Créer un sous-réseau privé

Ensuite, nous devons créer le sous-réseau privé au sein du VPC pour héberger le serveur de base de données, qui n'aura pas d'accès direct à l'internet public. Nous construisons maintenant la boîte violette.

Depuis votre VPC, cliquez sur Créer un sous-réseau, puis entrez une étiquette et attribuez la plage d'IP privée. Ce sous-réseau permet de conserver votre base de données en toute sécurité, à l'abri des menaces extérieures.

Étape 5 : Déployer le serveur de base de données 

Maintenant, déployons une instance Linode dans le sous-réseau privé pour servir de serveur de base de données. Cette instance ne sera accessible que depuis le sous-réseau public via le site sécurisé VLAN. Dans le panneau de gauche du Linode Cloud Manager, cliquez sur Databases (Bases de données), puis sur Create Database Cluster (Créer un cluster de bases de données). Saisissez une étiquette, puis choisissez votre moteur de base de données préféré.

Rappelez-vous que cette base de données ne peut pas être directement accessible à l'internet public, comme le sont les autres serveurs. En bas de l'écran où il est indiqué Ajouter des contrôles d'accès, ajoutons la plage d'adresses UP autorisée pour le sous-réseau privé que nous avons créé plus haut. 

Cliquez ensuite sur Create Database Cluster (Créer un cluster de bases de données). Notez que l'approvisionnement de cette base de données peut prendre jusqu'à 30 minutes.

Étape 6 : Configuration VLAN

Ensuite, nous devons établir un VLAN pour permettre une communication sécurisée entre les sous-réseaux public et privé. 

Cela garantit que le trafic entre le serveur web et le serveur de base de données reste privé et sécurisé. À partir du serveur routeur, cliquez sur l'onglet Configurations, puis sur Modifier.

Faites défiler la page jusqu'à la section "Networking". Cliquez sur le menu déroulant sous l'interface réseau souhaitée et sélectionnez VLAN. En règle générale, eth1 ou eth2 est utilisé lors de l'ajout du premier ou du deuxième site VLAN à une instance de calcul, car l'interface réseau eth0 de l'instance est généralement configurée pour accéder à l'internet public.

Un menu secondaire apparaît à côté de l'interface sélectionnée pour saisir l'étiquette de VLANet l'adresse IP à utiliser. 

Cliquez sur l'espace réservé pour "Create or select a VLAN" et entrez un nom pour le VLAN. Cliquez ensuite sur Save Changes. Vous verrez maintenant toutes les interfaces réseau listées sous l'onglet configurations.

Étape 8 : Tester la connectivité

Testons maintenant la connectivité pour vérifier que le serveur routeur gère correctement les opérations NAT. Nous devons également nous assurer que le serveur web peut communiquer avec le serveur de base de données via VLAN et que le serveur de base de données n'est pas directement exposé à l'internet.

Naviguez vers le premier serveur routeur que nous avons créé, et lancez la console LISH. Ensuite, faites un ping sur le réseau privé de la base de données en utilisant l'adresse IP.

La sortie doit afficher les paquets ICMP transmis et reçus avec succès de cette instance vers la base de données du réseau privé.

Avantages de cette architecture

L'utilisation de cette architecture présente plusieurs avantages majeurs. Tout d'abord, vous bénéficiez d'une sécurité accrue. Un VPC permet d'isoler les ressources au sein de sous-réseaux distincts (publics et privés). Une passerelle NAT garantit que les instances des sous-réseaux privés peuvent accéder à l'internet sans les exposer directement aux menaces de l'internet public. En utilisant une passerelle NAT dans un VPC, seul le trafic sortant est autorisé à partir des instances privées vers l'internet, ce qui empêche les connexions entrantes non sollicitées qui pourraient présenter des risques pour la sécurité. Nous plaçons la base de données dans le sous-réseau privé, et les éléments sensibles qui s'y trouvent sont protégés de l'exposition directe à l'internet, ce qui réduit le risque de violation des données.

Cette architecture améliore aussi considérablement l'évolutivité. Les passerelles NAT sont conçues pour gérer d'importants volumes de trafic et peuvent s'adapter automatiquement aux demandes croissantes, ce qui élimine le besoin d'intervention manuelle. Au fur et à mesure que la charge de trafic augmente, la passerelle NAT adapte ses ressources afin de maintenir des performances optimales et d'assurer une disponibilité continue. Cette évolutivité automatisée est particulièrement bénéfique pour les plateformes de commerce électronique, qui connaissent souvent des fluctuations de trafic dues aux ventes saisonnières, aux promotions et aux comportements variables des clients. En exploitant les passerelles NAT, les développeurs peuvent s'assurer que leurs applications restent réactives et fiables, même en cas de forte demande, ce qui améliore l'expérience de l'utilisateur et favorise la croissance de l'entreprise.

La construction d'une passerelle NAT dans un VPC à l'aide de Linode offre un moyen sûr et efficace de gérer le trafic réseau entre les ressources publiques et privées. Elle garantit que vos instances privées peuvent accéder aux ressources externes nécessaires tout en les protégeant d'une exposition directe à Internet, ce qui améliore en fin de compte la sécurité, l'évolutivité et l'efficacité de votre infrastructure en nuage. 

En suivant les étapes décrites ci-dessus et en utilisant le diagramme fourni comme référence, vous pouvez non seulement protéger les données sensibles de vos clients, mais aussi optimiser les performances de votre réseau. Si vous êtes un développeur cherchant à optimiser la sécurité de votre cloud et que vous voulez construire plus de ressources dans le cloud, utilisez ce lien pour demander jusqu'à 5 000 $ de crédits Linode.

Vous pourriez aussi aimer...

VPC General Availability, image principale, avec texte.
Linode

La solution VPC d'Akamai est désormais disponible pour tous

31 janvier 2024
par Linode
La solution VPC d'Akamai quitte la version bêta ouverte et est désormais disponible.
Mise en réseau
VPC en bêta ouverte image vedette.

Le nuage privé virtuel (VPC) en bêta ouverte

Permettre à vos ressources en nuage de communiquer en privé les unes avec les autres
Mise en réseau

Private Networking

Utilisez VPC ou VLAN d'Akamai pour sécuriser votre infrastructure dans le Cloud. Personnalisez les réseaux privés de couche 2 pour contrôler le trafic.
Mise en réseau

Commentaires

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.