はじめに

こんにちは、クラウド事業部の松尾です。

OCIのNetwork Firewallはアクセス制御やIDS/IPSなどが主な機能ですが、実はNAT機能もあります。
ただし、「プライベートIPのみをサポートしているNAT」であることに注意しましょう！
私はこれを見落としてしまい設計をやり直すことになりました。どんな内容だったか紹介します。

どんなひとに読んで欲しい

Network Firewallをこれから使ってみたい人
Network FirewallのNAT機能を知りたい人

やりたかったこと

OCIとインターネット間の通信全て、Network Firewallを通過させたい要件でした。
ドキュメント通りの構成でこの構成のままで題無さそうに考えてました。

プライベートリソースとパブリックリソース

この構成ではInstanceがグローバルIPを持っている前提になると思います。今回はプライベートIPしか持っていないInstanceもNetwork Firewallを経由してインターネットへ通信したいということが要件でした。
何が問題かというとFirewallのデフォルトルートがIGW宛てになってしまう点です。プライベートIPのリソースからはNAT Gatewayへ投げたいところ、デフォルトルートがIGWなのでインターネットへ出られない形になっています。

対策した構成

デフォルトルートは一つしか持てないので、Firewallのデフォルトルートを一つだけ持たせる構成です。
前段のFLBがパブリックIPを持つことでFirewallのデフォルトルートはNAT Gatewayだけを向くことができます。

まとめ

NAT機能がある＝パブリックNATも出来る、と考えてしまったことが良くなかった点でした。
なぜパブリックIPへNATできないのか？と戸惑ってしまったのですが、これは「セキュリティ検査（Firewall）」と「外部出口の管理（NAT Gateway）」の役割を明確に分けるOCIのアーキテクチャ思想だと理解しています。
Firewallでトラフィックの中身を精査し、NATゲートウェイでパブリックIPを管理する。この組み合わせを正しく理解することで、運用負荷を抑えつつ、より堅牢なVCN環境を構築することが可能です。

本記事がOCIネットワーク設計に少しでも役立っていたら幸いです！

speakerdeck.com

www.ateam-oracle.com