Esta página foi traduzida pela API Cloud Translation.

NAT híbrido

O Hybrid NAT, uma oferta de NAT particular, permite realizar conversões de endereços de rede (NAT) de endereços IP entre uma rede de nuvem privada virtual (VPC) e uma rede no local ou de qualquer outra rede de provedor de nuvem. Essas redes precisam estar conectadas sua rede VPC usando o modelo híbrido produtos de conectividade híbrida, como o Cloud VPN.

Especificações

Além das especificações genéricas de Private NAT, Considere as seguintes especificações para NAT híbrida:

A NAT híbrida permite que uma rede VPC se comunique uma rede no local ou de qualquer outro provedor de nuvem, mesmo se a sub-rede Os intervalos de endereços IP das redes que se comunicam se sobrepõem. Usando uma configuração NAT de type=PRIVATE, recursos, ambos na sobreposição e não sobrepostas, da rede VPC pode conectar apenas aos recursos nas sub-redes não sobrepostas da rede local ou em qualquer outra rede de provedor de nuvem.
Para ativar o NAT híbrido, a rede local ou o outro provedor de nuvem rede precisa anunciar as rotas dinâmicas para que a rede VPC possam aprender e usá-las. O Cloud Router aprende essas rotas dinâmicas com o soluções de conectividade híbrida, como VPN de alta disponibilidade e VPN clássica com roteamento dinâmico configurado. Os destinos dessas rotas dinâmicas são intervalos de endereços IP fora da rede VPC.

Da mesma forma, para o tráfego de retorno, sua rede VPC precisa divulgar a rota de sub-rede NAT particular usando um Cloud Router.

Observação: somente as rotas de sub-rede não sobrepostas precisam ser divulgadas. sobrepostas as rotas de sub-rede não podem ser divulgadas. Você precisa usar o Cloud Router para divulgar rotas de sub-rede não sobrepostas.
A NAT híbrida executa a NAT no tráfego proveniente de uma VPC em uma rede local ou de qualquer outro provedor de nuvem. As redes precisam estar conectados pelo Cloud VPN por rotas dinâmicas.
O NAT híbrido só oferece suporte a túneis de VPN clássica se o roteamento dinâmico estiver ativado.
Você precisa criar uma regra NAT personalizada com uma expressão de correspondência nexthop.is_hybrid. A regra NAT especifica um intervalo de endereços IP NAT de uma sub-rede com a finalidade PRIVATE_NAT que os recursos da sua rede VPC possam usar para se comunicar com outras redes.
O Cloud Router em que você configura o NAT híbrido precisa estar na mesma região que a rede VPC.
O Cloud Router em que você configura o NAT híbrido não pode conter outra configuração NAT.
Não é possível configurar o NAT híbrido em uma VPC com anexos do Cloud Interconnect.

Configuração básica e fluxo de trabalho do NAT híbrido

O diagrama a seguir mostra uma configuração básica de NAT híbrida:

Exemplo de conversão de NAT híbrida. — Exemplo de tradução de NAT híbrida (clique para ampliar).

Neste exemplo, o NAT híbrido é configurado da seguinte maneira:

O gateway pvt-nat-gw está configurado em vpc-a para ser aplicado a todos os intervalos de endereços IP de subnet-a na região us-east1.
Usando os intervalos de endereços IP NAT de pvt-nat-gw, uma instância de máquina virtual (VM) em subnet-a de vpc-a podem enviar tráfego para uma VM nas subnet-b de uma rede local ou de qualquer outra rede de provedor de nuvem, mesmo que subnet-a de vpc-a sobrepõe-se a outra sub-rede na rede local ou em outro provedor de nuvem em uma rede VPC.

Exemplo de fluxo de trabalho de NAT híbrido

No diagrama anterior, vm-a pelo endereço IP interno 192.168.1.2 em subnet-a de vpc-a precisa fazer o download de uma atualização do vm-b com a versão interna Endereço IP 192.168.2.2 em subnet-b de um local local ou de qualquer outra rede de provedor de nuvem. O Cloud VPN conecta Rede VPC para uma rede no local ou qualquer outro provedor de nuvem em uma rede VPC. Suponha que a rede no local ou o outro provedor de nuvem rede contém outra sub-rede 192.168.1.0/24 que se sobrepõe com a sub-rede em vpc-a. Para subnet-a de vpc-a se comunicar com subnet-b do provedor no local ou de outro provedor de nuvem você precisa configurar um gateway NAT particular, pvt-nat-gw, em vpc-a da seguinte maneira:

Sub-rede NAT particular: crie essa sub-rede com um endereço IP de sub-rede intervalo de 10.1.2.0/29 e PRIVATE_NAT da finalidade antes de configurar Gateway NAT particular. Verifique se essa sub-rede não se sobrepõe a uma sub-rede em qualquer uma das redes conectadas.
Uma regra NAT com match='nexthop.is_hybrid'
NAT para todos os intervalos de endereços de subnet-a.

O NAT híbrido segue o procedimento de reserva de porta para reservar o seguinte endereço IP de origem NAT e as tuplas de porta de origem de cada uma das VMs da rede. Por exemplo, o gateway do Private NAT reserva 64 portas de origem para vm-a: 10.1.2.2:34000 a 10.1.2.2:34063.

Quando a VM usa o protocolo TCP para enviar um pacote ao servidor de atualização 192.168.2.2 na porta de destino 80, ocorre o seguinte:

A VM envia um pacote de solicitação com estes atributos:
- Endereço IP de origem: 192.168.1.2, o endereço IP interno da VM
- Porta de origem: 24000, a porta de origem temporária escolhida pelo sistema operacional da VM
- Endereço de destino: 192.168.2.2, o endereço IP do servidor de atualização
- Porta de destino: 80, a porta de destino do tráfego HTTP para o servidor de atualizações
- Protocolo: TCP
O gateway pvt-nat-gw executa a conversão de endereços de rede de origem (SNAT, na sigla em inglês) (SNAT ou NAT de origem) na saída, reescrevendo o endereço IP de origem e a porta de origem do pacote de solicitação:
- Endereço IP de origem NAT: 10.1.2.2, de um dos endereços IP de origem NAT reservados da VM e das tuplas da porta de origem
- Porta de origem: 34022, uma porta de origem não utilizada de uma das tuplas de porta de origem reservadas da VM
- Endereço de destino: 192.168.2.2, inalterado
- Porta de destino: 80, inalterada
- Protocolo: TCP, inalterado
O servidor de atualização envia um pacote de resposta que chega à pvt-nat-gw com estes atributos:
- Endereço IP de origem: 192.168.2.2, o endereço IP interno do servidor de atualização
- Porta de origem: 80, a resposta HTTP do servidor de atualização
- Endereço de destino: 10.1.2.2, que corresponde ao endereço IP de origem do NAT original do pacote de solicitações
- Porta de destino: 34022, que corresponde à porta de origem do pacote de solicitação
- Protocolo: TCP, inalterado
O gateway pvt-nat-gw realiza a conversão de endereços de rede de destino. (DNAT) no pacote de resposta e reescreve o destino e a porta de destino para que o pacote seja entregue à VM que solicitou a atualização com os seguintes atributos:
- Endereço IP de origem: 192.168.2.2, inalterado
- Porta de origem: 80, inalterada
- Endereço de destino: 192.168.1.2, o endereço IP interno da VM
- Porta de destino: 24000, que corresponde à porta de origem temporária original do pacote de solicitação
- Protocolo: TCP, inalterado

A seguir

Configure o Hybrid NAT.
Saiba mais sobre interações com produtos do Cloud NAT.
Saiba mais sobre endereços e portas do Cloud NAT.
Saiba mais sobre as regras do Cloud NAT.
Resolver problemas comuns.