NAT híbrido
O Hybrid NAT, uma oferta de NAT particular, permite realizar conversões de endereços de rede (NAT) de endereços IP entre uma rede de nuvem privada virtual (VPC) e uma rede no local ou de qualquer outra rede de provedor de nuvem. Essas redes precisam estar conectadas sua rede VPC usando o modelo híbrido produtos de conectividade híbrida, como o Cloud VPN.
Especificações
Além das especificações genéricas de Private NAT, Considere as seguintes especificações para NAT híbrida:
- A NAT híbrida permite que uma rede VPC se comunique
uma rede no local ou de qualquer outro provedor de nuvem, mesmo se a sub-rede
Os intervalos de endereços IP das redes que se comunicam se sobrepõem. Usando
uma configuração NAT de
type=PRIVATE
, recursos, ambos na sobreposição e não sobrepostas, da rede VPC pode conectar apenas aos recursos nas sub-redes não sobrepostas da rede local ou em qualquer outra rede de provedor de nuvem. Para ativar o NAT híbrido, a rede local ou o outro provedor de nuvem rede precisa anunciar as rotas dinâmicas para que a rede VPC possam aprender e usá-las. O Cloud Router aprende essas rotas dinâmicas com o soluções de conectividade híbrida, como VPN de alta disponibilidade e VPN clássica com roteamento dinâmico configurado. Os destinos dessas rotas dinâmicas são intervalos de endereços IP fora da rede VPC.
Da mesma forma, para o tráfego de retorno, sua rede VPC precisa divulgar a rota de sub-rede NAT particular usando um Cloud Router.
A NAT híbrida executa a NAT no tráfego proveniente de uma VPC em uma rede local ou de qualquer outro provedor de nuvem. As redes precisam estar conectados pelo Cloud VPN por rotas dinâmicas.
O NAT híbrido só oferece suporte a túneis de VPN clássica se o roteamento dinâmico estiver ativado.
Você precisa criar uma regra NAT personalizada com uma expressão de correspondência
nexthop.is_hybrid
. A regra NAT especifica um intervalo de endereços IP NAT de uma sub-rede com a finalidadePRIVATE_NAT
que os recursos da sua rede VPC possam usar para se comunicar com outras redes.O Cloud Router em que você configura o NAT híbrido precisa estar na mesma região que a rede VPC.
O Cloud Router em que você configura o NAT híbrido não pode conter outra configuração NAT.
Não é possível configurar o NAT híbrido em uma VPC com anexos do Cloud Interconnect.
Configuração básica e fluxo de trabalho do NAT híbrido
O diagrama a seguir mostra uma configuração básica de NAT híbrida:
Neste exemplo, o NAT híbrido é configurado da seguinte maneira:
- O gateway
pvt-nat-gw
está configurado emvpc-a
para ser aplicado a todos os intervalos de endereços IP desubnet-a
na regiãous-east1
. - Usando os intervalos de endereços IP NAT de
pvt-nat-gw
, uma instância de máquina virtual (VM) emsubnet-a
devpc-a
podem enviar tráfego para uma VM nassubnet-b
de uma rede local ou de qualquer outra rede de provedor de nuvem, mesmo quesubnet-a
devpc-a
sobrepõe-se a outra sub-rede na rede local ou em outro provedor de nuvem em uma rede VPC.
Exemplo de fluxo de trabalho de NAT híbrido
No diagrama anterior, vm-a
pelo endereço IP interno 192.168.1.2
em
subnet-a
de vpc-a
precisa fazer o download de uma atualização do vm-b
com a versão interna
Endereço IP 192.168.2.2
em subnet-b
de um local local
ou de qualquer outra rede de provedor de nuvem. O Cloud VPN conecta
Rede VPC para uma rede no local ou qualquer outro provedor de nuvem
em uma rede VPC. Suponha que a rede no local ou o outro provedor de nuvem
rede contém outra sub-rede 192.168.1.0/24
que se sobrepõe
com a sub-rede em vpc-a
. Para subnet-a
de vpc-a
se comunicar com subnet-b
do provedor no local ou de outro provedor de nuvem
você precisa configurar um gateway NAT particular, pvt-nat-gw
,
em vpc-a
da seguinte maneira:
- Sub-rede NAT particular: crie essa sub-rede com um endereço IP de sub-rede
intervalo de
10.1.2.0/29
ePRIVATE_NAT
da finalidade antes de configurar Gateway NAT particular. Verifique se essa sub-rede não se sobrepõe a uma sub-rede em qualquer uma das redes conectadas. - Uma regra NAT com
match='nexthop.is_hybrid'
- NAT para todos os intervalos de endereços de
subnet-a
.
O NAT híbrido segue o procedimento de reserva de porta
para reservar o seguinte endereço IP de origem NAT
e as tuplas de porta de origem de cada uma das VMs da rede. Por exemplo, o gateway do Private NAT reserva 64 portas de origem para vm-a
: 10.1.2.2:34000
a 10.1.2.2:34063
.
Quando a VM usa o protocolo TCP para enviar um pacote ao servidor de atualização
192.168.2.2
na porta de destino 80
, ocorre o seguinte:
A VM envia um pacote de solicitação com estes atributos:
- Endereço IP de origem:
192.168.1.2
, o endereço IP interno da VM - Porta de origem:
24000
, a porta de origem temporária escolhida pelo sistema operacional da VM - Endereço de destino:
192.168.2.2
, o endereço IP do servidor de atualização - Porta de destino:
80
, a porta de destino do tráfego HTTP para o servidor de atualizações - Protocolo: TCP
- Endereço IP de origem:
O gateway
pvt-nat-gw
executa a conversão de endereços de rede de origem (SNAT, na sigla em inglês) (SNAT ou NAT de origem) na saída, reescrevendo o endereço IP de origem e a porta de origem do pacote de solicitação:- Endereço IP de origem NAT:
10.1.2.2
, de um dos endereços IP de origem NAT reservados da VM e das tuplas da porta de origem - Porta de origem:
34022
, uma porta de origem não utilizada de uma das tuplas de porta de origem reservadas da VM - Endereço de destino:
192.168.2.2
, inalterado - Porta de destino:
80
, inalterada - Protocolo: TCP, inalterado
- Endereço IP de origem NAT:
O servidor de atualização envia um pacote de resposta que chega à
pvt-nat-gw
com estes atributos:- Endereço IP de origem:
192.168.2.2
, o endereço IP interno do servidor de atualização - Porta de origem:
80
, a resposta HTTP do servidor de atualização - Endereço de destino:
10.1.2.2
, que corresponde ao endereço IP de origem do NAT original do pacote de solicitações - Porta de destino:
34022
, que corresponde à porta de origem do pacote de solicitação - Protocolo: TCP, inalterado
- Endereço IP de origem:
O gateway
pvt-nat-gw
realiza a conversão de endereços de rede de destino. (DNAT) no pacote de resposta e reescreve o destino e a porta de destino para que o pacote seja entregue à VM que solicitou a atualização com os seguintes atributos:- Endereço IP de origem:
192.168.2.2
, inalterado - Porta de origem:
80
, inalterada - Endereço de destino:
192.168.1.2
, o endereço IP interno da VM - Porta de destino:
24000
, que corresponde à porta de origem temporária original do pacote de solicitação - Protocolo: TCP, inalterado
- Endereço IP de origem:
A seguir
- Configure o Hybrid NAT.
- Saiba mais sobre interações com produtos do Cloud NAT.
- Saiba mais sobre endereços e portas do Cloud NAT.
- Saiba mais sobre as regras do Cloud NAT.
- Resolver problemas comuns.