Hybrid NAT

Mit Hybrid NAT, einer Art von Private NAT, können Sie NAT (Network Address Translation) zwischen einem VPC-Netzwerk (Virtual Private Cloud) und einem lokalen Netzwerk oder einem Netzwerk eines anderen Cloud-Anbieters durchführen. Das Nicht-Google Cloud -Netzwerk muss über die Network Connectivity-Produkte von Google Cloud, z. B. Cloud Interconnect oder Cloud VPN, mit Ihrem VPC-Netzwerk verbunden sein.

Spezifikationen

Zusätzlich zu den allgemeinen Spezifikationen für Private NAT gelten für Hybrid NAT die folgenden Spezifikationen:

• Mit Hybrid NAT kann ein VPC-Netzwerk mit einem lokalen Netzwerk oder einem Netzwerk eines anderen Cloud-Anbieters kommunizieren, selbst wenn sich die Subnetz-IP-Adressbereiche der Netzwerke überschneiden. Wenn Sie eine NAT-Konfiguration mit type=PRIVATE verwenden, können Ressourcen in den sich überschneidenden und nicht überschneidenden Subnetzen des VPC-Netzwerks eine Verbindung zu Ressourcen in den sich nicht überschneidenden Subnetzen des Nicht-Google Cloud-Netzwerks herstellen.

• Damit Hybrid NAT aktiviert werden kann, muss das Nicht-Google Cloud -Netzwerk seine dynamischen Routen anbieten, damit Ihr VPC-Netzwerk sie lernen und verwenden kann. Ihr Cloud Router lernt diese dynamischen Routen von den Network Connectivity-Produkten von Google Cloud, z. B. Cloud Interconnect, HA VPN oder klassisches VPN mit konfiguriertem dynamischem Routing. Die Ziele dieser dynamischen Routen sind IP-Adressbereiche außerhalb Ihres VPC-Netzwerks.

  Ebenso muss für den Rückgabe-Traffic die Private NAT-Subnetzroute über einen Cloud Router in Ihrem VPC-Netzwerk angeboten werden. Diese Subnetzroute darf sich nicht mit einem vorhandenen Subnetz in den verbundenen Netzwerken überschneiden.

• Bei Hybrid NAT wird NAT für Traffic durchgeführt, der von einem VPC-Netzwerk an ein lokales Netzwerk oder ein Netzwerk eines anderen Cloud-Anbieters gesendet wird. Die Netzwerke müssen über Cloud Interconnect oder Cloud VPN verbunden sein.

• Hybrid NAT unterstützt vorhandene klassische VPN-Tunnel nur, wenn dynamisches Routing aktiviert ist.

• Sie müssen eine benutzerdefinierte NAT-Regel mit dem Übereinstimmungsausdruck nexthop.is_hybrid erstellen. Die NAT-Regel gibt einen NAT-IP-Adressbereich aus einem Subnetz mit dem Zweck PRIVATE_NAT an, den die Ressourcen in Ihrem VPC-Netzwerk für die Kommunikation mit anderen Netzwerken verwenden können.

• Der Cloud Router, auf dem Sie Hybrid NAT konfigurieren, muss sich in derselben Region wie das VPC-Netzwerk befinden.

• Der Cloud Router, auf dem Sie Hybrid NAT konfigurieren, darf keine andere NAT-Konfiguration enthalten.

Grundlegende Hybrid NAT-Konfiguration und Workflow

Das folgende Diagramm zeigt eine grundlegende Hybrid NAT-Konfiguration:

In diesem Beispiel wird Hybrid NAT so eingerichtet:

• Das Gateway pvt-nat-gw ist in vpc-a so konfiguriert, dass es auf alle IP-Adressbereiche von subnet-a in der Region us-east1 angewendet wird.
• Cloud Router und der lokale Router oder der Router eines anderen Cloud-Anbieters tauschen die folgenden Subnetzrouten aus:
  • Cloud Router bietet 10.1.2.0/29 für den externen Router an.
  • Der externe Router bietet 192.168.2.0/24 für den Cloud Router an.
• Durch die Verwendung des NAT-IP-Adressbereichs von pvt-nat-gw kann eine VM-Instanz in subnet-a von vpc-a Traffic an eine VM in subnet-b des lokalen Netzwerks oder des Netzwerks eines anderen Cloud-Anbieters senden, obwohl sich subnet-a von vpc-a mit einem anderen Subnetz im Nicht-Netzwerk vonGoogle Cloud überschneidet.

Beispiel für einen Hybrid NAT-Workflow

Im vorherigen Diagramm muss vm-a mit der internen IP-Adresse 192.168.1.2 in subnet-a von vpc-a ein Update von vm-b mit der internen IP-Adresse 192.168.2.2 in subnet-b eines lokalen Netzwerks oder eines Netzwerks eines anderen Cloud-Anbieters herunterladen. Cloud Interconnect verbindet Ihr VPC-Netzwerk mit dem lokalen Netzwerk oder dem Netzwerk eines anderen Cloud-Anbieters. Angenommen, das Nicht-Netzwerk vonGoogle Cloud enthält ein weiteres Subnetz 192.168.1.0/24, das sich mit dem Subnetz in vpc-a überschneidet. Damit subnet-a von vpc-a mit subnet-b des Nicht-Netzwerks vonGoogle Cloud kommunizieren kann, müssen Sie ein Private NAT-Gateway (pvt-nat-gw) in vpc-a so konfigurieren:

• Geben Sie ein Private NAT-Subnetz mit dem Zweck PRIVATE_NAT an, z. B. 10.1.2.0/29. Erstellen Sie dieses Subnetz, bevor Sie das Private NAT-Gateway konfigurieren. Achten Sie darauf, dass sich dieses Subnetz nicht mit einem vorhandenen Subnetz in einem der verbundenen Netzwerke überschneidet.
• Erstellen Sie eine NAT-Regel mit match='nexthop.is_hybrid'.
• Konfigurieren Sie das Private NAT-Gateway so, dass es auf alle IP-Adressbereiche von subnet-a angewendet wird.

Hybrid NAT folgt dem Portreservierungsverfahren, um die folgenden Tupel aus NAT-Quell-IP-Adresse und Quellport für jede der VMs im Netzwerk zu reservieren. Das Private NAT-Gateway reserviert beispielsweise 64 Quellports für vm-a: 10.1.2.2:34000 bis 10.1.2.2:34063.

Wenn die VM ein Paket mit dem TCP-Protokoll an den Updateserver 192.168.2.2 am Zielport 80 sendet, geschieht Folgendes:

1. Die VM sendet ein Anfragepaket mit folgenden Attributen:

   • Quell-IP-Adresse: 192.168.1.2, die interne IP-Adresse der VM
   • Quellport: 24000, der sitzungsspezifische Quellport, der vom Betriebssystem der VM ausgewählt wurde
   • Zieladresse: 192.168.2.2, die IP-Adresse des Updateservers
   • Zielport: 80, der Zielport für HTTP-Traffic zum Updateserver
   • Protokoll: TCP

2. Das Gateway pvt-nat-gw führt SNAT (Source Network Address Translation) für ausgehenden Traffic aus und schreibt die NAT-Quell-IP-Adresse und den Quellport des Anfragepakets um:

   • NAT-Quell-IP-Adresse: 10.1.2.2 von einem der reservierten Tupel aus NAT-Quell-IP-Adresse und Quellport
   • Quellport: 34022, ein nicht verwendeter Quellport aus einem der reservierten Quellport-Tupel der VM
   • Zieladresse: 192.168.2.2, unverändert
   • Zielport: 80, unverändert
   • Protokoll: TCP, unverändert

3. Der Updateserver sendet ein Antwortpaket, das mit folgenden Attributen am Gateway pvt-nat-gw ankommt:

   • Quell-IP-Adresse: 192.168.2.2, die externe IP-Adresse des Updateservers
   • Quellport: 80, die HTTP-Antwort vom Update-Server
   • Zieladresse: 10.1.2.2, was der ursprünglichen NAT-Quell-IP-Adresse des Anfragepakets entspricht
   • Zielport: 34022, was dem Quellport des Anfragepakets entspricht
   • Protokoll: TCP, unverändert

4. Das Gateway pvt-nat-gw führt DNAT (Destination Network Address Translation) für das Antwortpaket aus und schreibt die Zieladresse und den Zielport des Antwortpakets um. So wird das Paket an die VM gesendet, die das Update mit den folgenden Attributen angefordert hat:

   • Quell-IP-Adresse: 192.168.2.2, unverändert
   • Quellport: 80, unverändert
   • Zieladresse: 192.168.1.2, die interne IP-Adresse der VM
   • Zielport: 24000, entspricht dem ursprünglichen sitzungsspezifischen Quellport des Anfragepakets
   • Protokoll: TCP, unverändert

Nächste Schritte

• Hybrid NAT einrichten
• Informationen zu Cloud NAT-Produktinteraktionen
• Weitere Informationen zu Cloud NAT-Adressen und -Ports
• Informationen zu Cloud NAT-Regeln
• Häufige Probleme beheben