In der Open Telekom Cloud können Kunden den vNICs (Ports) ihrer virtuellen Maschinen (VMs) elastische bzw. sogenannte Floating IPs zuordnen, um ein- und ausgehende Internetverbindungen aufzubauen.
Viele VMs werden nur zu internen Zwecken verwendet und müssen daher nicht notwendigerweise über das Internet erreichbar sein. In manchen Fällen kann es jedoch sein, dass die von der Open Telekom Cloud bereitgestellten Public Services (wie DNS, NTP oder Update Repository Mirrors) nicht ausreichend sind und Informationen bzw. Software aus dem Internet abgerufen werden müssen.
Wenn jeder dieser VMs eine öffentliche IP-Adresse zugeordnet werden muss, werden dabei unter Umständen viele IPv4-Adressen verschwendet, die allerdings nur in begrenzter Anzahl zur Verfügung stehen. Darüber hinaus entstehen hierbei zusätzliche Kosten und die Angriffsfläche des Netzwerks wird möglicherweise vergrößert. Stattdessen ist die Verwendung einer einzigen öffentlichen IP-Adresse vorzuziehen, die von vielen VMs gemeinsam genutzt wird. Dies kann mithilfe von Source-NAT (SNAT) eingerichtet werden.
Die Open Telekom Cloud unterstützt seit Anfang Juni 2017 einen SNAT-Plattformservice. Hierbei handelt es sich um die empfohlene und zudem einfachste Variante für alle Fälle, in denen nur ausgehender Internetverkehr erforderlich ist. Im ersten Teil dieses Dokuments finden Sie hierzu genauere Informationen.
Seit Februar 2017 unterstützt die Open Telekom Cloud auch das Modell einer Routing-/SNAT-Instanz. Dabei wird eine VM mit einer öffentlichen IP-Adresse konfiguriert, die dann für eine Reihe von VMs im selben Subnetz bzw. derselben VPC als SNAT-Router/Gateway fungiert. Die Einrichtung ist zum einen mit viel Aufwand verbunden und es sind zudem spezielle Fachkenntnisse erforderlich. Darüber hinaus spielen Sicherheitsaspekte hierbei ebenfalls eine wichtige Rolle. Eine detaillierte Beschreibung sowie umfangreiche Informationen zu Sicherheitsfragen finden Sie im zweiten Teil dieses Artikels. Dort erfahren Sie außerdem, wie eine solche SNAT-Instanz eingerichtet und abgesichert wird und welche Einstellungen vorgenommen werden müssen, um den ausgehenden Internetverkehr von anderen VMs aus zu ermöglichen.