Hybrid-NAT
Hybrid-NAT, eine Art privater NAT, können Sie Network Address Translation (NAT) zwischen einem VPC-Netzwerk (Virtual Private Cloud) und einem lokalen eines anderen Cloud-Anbieters. Das Nicht-Google Cloud-Netzwerk muss die über das VPC-Netzwerk von Google Cloud Network Connectivity-Produkte wie Cloud Interconnect oder Cloud VPN.
Spezifikationen
Zusätzlich zu den allgemeinen Spezifikationen für private NAT Für Hybrid-NAT gelten die folgenden Spezifikationen:
- Dank Hybrid-NAT kann ein VPC-Netzwerk
einem lokalen Netzwerk oder dem Netzwerk
eines anderen Cloud-Anbieters, selbst wenn das Subnetz
Die IP-Adressbereiche der Netzwerke überschneiden sich. Durch die Verwendung von
eine NAT-Konfiguration von
type=PRIVATE
, Ressourcen sowohl in der sich überschneidenden und nicht überlappende Subnetze des VPC-Netzwerk können eine Verbindung auf Ressourcen in nicht überlappenden Subnetzen der Nicht-Google Cloud-Umgebung Netzwerk. Zum Aktivieren von Hybrid NAT muss das Nicht-Google Cloud-Netzwerk seine dynamischen Routen anbieten, damit Ihr VPC-Netzwerk lernen und nutzen können. Ihr Cloud Router erkennt diese dynamischen Routen der Network Connectivity-Produkte von Google Cloud wie Cloud Interconnect, HA VPN oder Klassisches VPN mit konfiguriertem dynamischem Routing. Die Ziele der Diese dynamischen Routen sind IP-Adressbereiche außerhalb Ihrer VPC Netzwerk.
Ebenso muss Ihr VPC-Netzwerk für Rücktraffic Werbung die private NAT-Subnetzroute mit einem Cloud Router Diese Subnetzroute darf sich nicht mit einem vorhandenen Subnetz im verbundenen Netzwerken.
Hybrid-NAT führt NAT für Traffic aus einem VPC-Netzwerk zu einem lokalen Netzwerk oder einer anderen Cloud im Netzwerk Ihres Anbieters. Die Netzwerke müssen über Cloud Interconnect oder Cloud VPN.
Hybrid-NAT unterstützt vorhandene Klassisches VPN-Tunnel wenn dynamisches Routing aktiviert ist.
Sie müssen eine benutzerdefinierte NAT-Regel mit einem Übereinstimmungsausdruck erstellen
nexthop.is_hybrid
Die NAT-Regel gibt einen NAT-IP-Adressbereich aus einem Subnetz des ZwecksPRIVATE_NAT
, damit die Ressourcen in Ihrer VPC Netzwerk verwendet, um mit anderen Netzwerken zu kommunizieren.Der Cloud Router, auf dem Sie Hybrid-NAT konfigurieren muss sich in derselben Region wie das VPC-Netzwerk befinden.
Der Cloud Router, auf dem Sie Hybrid-NAT konfigurieren keine andere NAT-Konfiguration enthalten darf.
Grundlegende Hybrid-NAT-Konfiguration und -Workflow
Das folgende Diagramm zeigt eine grundlegende Hybrid-NAT-Konfiguration:
In diesem Beispiel wird die Hybrid-NAT so eingerichtet:
- Das Gateway
pvt-nat-gw
ist invpc-a
so konfiguriert, dass es für alle IP-Adressen gilt die Adressbereiche vonsubnet-a
in der Regionus-east1
. - Cloud Router und der lokale Router oder Router eines anderen Cloud-Anbieters
die folgenden Subnetzrouten austauschen:
- Cloud Router bewirbt
10.1.2.0/29
beim externen Routers. - Der externe Router bietet
192.168.2.0/24
an Cloud Router.
- Cloud Router bewirbt
- Mit dem NAT-IP-Adressbereich von
pvt-nat-gw
kann eine virtuelle Maschine (VM) Instanz insubnet-a
vonvpc-a
kann Traffic an eine VM insubnet-b
von aus dem lokalen Netzwerk oder dem Netzwerk eines anderen Cloud-Anbieters,subnet-a
vonvpc-a
überschneidet sich mit einem anderen Subnetz im nicht zu Google Cloud gehören.
Beispiel für einen Hybrid-NAT-Workflow
Im obigen Diagramm ist vm-a
mit der internen IP-Adresse 192.168.1.2
in
subnet-a
von vpc-a
muss ein Update von vm-b
mit der internen
IP-Adresse 192.168.2.2
in subnet-b
einer lokalen
eines anderen Cloud-Anbieters. Cloud Interconnect verbindet
Ihrem VPC-Netzwerk mit dem lokalen Netzwerk oder einer anderen Cloud
im Netzwerk Ihres Anbieters. Angenommen, das Nicht-Google Cloud-Netzwerk enthält
ein weiteres Subnetz 192.168.1.0/24
, das sich mit dem Subnetz in vpc-a
überschneidet.
Damit subnet-a
von vpc-a
mit subnet-b
des
nicht mit einem Google Cloud-Netzwerk verknüpft ist,
Privates NAT-Gateway pvt-nat-gw
in vpc-a
so:
- Geben Sie ein privates NAT-Subnetz des Zwecks
PRIVATE_NAT
an, z. B.10.1.2.0/29
. Dieses Subnetz erstellen vor dem das private NAT-Gateway konfigurieren. Achten Sie darauf, dass dieses Subnetz sich nicht mit einem vorhandenen Subnetz in einem der verbundenen Netzwerke überschneidet. - Erstellen Sie eine NAT-Regel mit
match='nexthop.is_hybrid'
. - Privates NAT-Gateway für alle IP-Adressen konfigurieren
von
subnet-a
.
Bei Hybrid-NAT wird das Verfahren zur Portreservierung befolgt.
zum Reservieren der folgenden NAT-Quell-IP-Adresse
und Quellport-Tupel für jede der VMs im Netzwerk. Beispiel: Der Parameter
Das private NAT-Gateway reserviert 64 Quellports für vm-a
:
10.1.2.2:34000
bis 10.1.2.2:34063
.
Wenn die VM das TCP-Protokoll verwendet, um ein Paket an den Updateserver zu senden
192.168.2.2
an Ziel-Port 80
:
Die VM sendet ein Anfragepaket mit folgenden Attributen:
- Quell-IP-Adresse:
192.168.1.2
, die interne IP-Adresse der VM - Quellport:
24000
, der sitzungsspezifische Quellport, der vom Betriebssystem der VM ausgewählt wurde - Zieladresse:
192.168.2.2
, die IP-Adresse des Update-Servers - Zielport:
80
, der Zielport für HTTP-Traffic zum Updateserver - Protokoll: TCP
- Quell-IP-Adresse:
Das Gateway
pvt-nat-gw
führt eine SNAT (Source Network Address Translation, SNAT oder Quell-NAT) bei ausgehendem Traffic, indem Sie die Anfrage umschreiben NAT-Quell-IP-Adresse und Quellport des Pakets:- NAT-Quell-IP-Adresse:
10.1.2.2
, von einer der reservierten NAT-Quelle der VM Tupel für IP-Adresse und Quellport - Quellport:
34022
, ein nicht verwendeter Quellport aus einem der reservierten Quellport-Tupel der VM - Zieladresse:
192.168.2.2
, unverändert - Zielport:
80
, unverändert - Protokoll: TCP, unverändert
- NAT-Quell-IP-Adresse:
Der Update-Server sendet ein Antwortpaket, das im
pvt-nat-gw
-Gateway mit diesen Attributen:- Quell-IP-Adresse:
192.168.2.2
, die interne IP-Adresse des Update-Servers - Quellport:
80
, die HTTP-Antwort vom Update-Server - Zieladresse:
10.1.2.2
, entspricht der ursprünglichen NAT-Quell-IP-Adresse des Anfragepakets - Zielport:
34022
, der mit dem Quellport des Anfragepakets übereinstimmt - Protokoll: TCP, unverändert
- Quell-IP-Adresse:
Das
pvt-nat-gw
-Gateway führt eine Zielnetzwerkadressübersetzung durch (DNAT) auf dem Antwortpaket und schreibt das Ziel des Antwortpakets um und Zielport an, damit das Paket an die VM gesendet wird, die Aktualisierung mit den folgenden Attributen angefordert:- Quell-IP-Adresse:
192.168.2.2
, unverändert - Quellport:
80
, unverändert - Zieladresse:
192.168.1.2
, die interne IP-Adresse der VM - Zielport:
24000
, entspricht dem ursprünglichen sitzungsspezifischen Quellport des Anfragepakets - Protokoll: TCP, unverändert
- Quell-IP-Adresse:
Nächste Schritte
- Richten Sie Hybrid-NAT ein.
- Cloud NAT-Produktinteraktionen
- Weitere Informationen zu Cloud NAT-Adressen und -Ports
- Weitere Informationen zu Cloud NAT-Regeln
- Häufige Probleme beheben