NAT ibrido

NAT ibrido, un tipo di Private NAT, consente di eseguire la Network Address Translation (NAT) tra una rete Virtual Private Cloud (VPC) e o un'altra rete di provider cloud. La rete non Google Cloud deve essere alla rete VPC mediante il deployment Prodotti per la connettività di rete come Cloud Interconnect o Cloud VPN.

Specifiche

Oltre alle specifiche generali di Private NAT, Il NAT ibrido ha le seguenti specifiche:

  • Il NAT ibrido consente a una rete VPC di comunicare una rete on-premise o un'altra rete cloud provider, anche se la subnet Gli intervalli di indirizzi IP delle reti si sovrappongono. Utilizzando una configurazione NAT di type=PRIVATE, risorse in entrambe le istanze e non sovrapposte, invece, della rete VPC alle risorse nelle subnet non sovrapposte del in ogni rete.

  • Per abilitare Hybrid NAT, la rete non Google Cloud deve pubblicizza le sue route dinamiche in modo che la tua rete VPC possa imparano e usale. Il tuo router Cloud apprende queste route dinamiche dai prodotti per la connettività di rete di Google Cloud come Cloud Interconnect, VPN ad alta disponibilità VPN classica con routing dinamico configurato. Le destinazioni queste route dinamiche sono intervalli di indirizzi IP esterni al VPC in ogni rete.

    Analogamente, per il traffico di ritorno, la tua rete VPC deve fare pubblicità la route di subnet Private NAT utilizzando un router Cloud e questa route di subnet non deve sovrapporsi a una subnet esistente reti connesse.

  • Il NAT ibrido esegue la traduzione NAT sul traffico proveniente da un da una rete VPC a una rete on-premise o a un altro cloud della rete del provider. Le reti devono essere connesse tramite Cloud Interconnect o Cloud VPN.

  • Il NAT ibrido supporta i tunnel VPN classica esistenti solo se il routing dinamico è abilitato.

  • Devi creare una regola NAT personalizzata con un'espressione di corrispondenza nexthop.is_hybrid. La regola NAT specifica un intervallo di indirizzi IP NAT da un subnet di scopo PRIVATE_NAT che le risorse nel tuo VPC che la rete può utilizzare per comunicare con altre reti.

  • Il router Cloud su cui configuri il NAT ibrido deve trovarsi nella stessa regione della rete VPC.

  • Il router Cloud su cui configuri il NAT ibrido non può contenere altre configurazioni NAT.

Flusso di lavoro e configurazione di base di Hybrid NAT

Il seguente diagramma mostra una configurazione di base di Hybrid NAT:

Esempio di traduzione di NAT ibrido.
Esempio di traduzione di NAT ibrido (fai clic per ingrandire).

In questo esempio, Hybrid NAT è configurato come segue:

  • Il gateway pvt-nat-gw è configurato in vpc-a per essere applicato a tutti gli IP intervalli di indirizzi di subnet-a nella regione us-east1.
  • Router Cloud e router on-premise o di un altro provider cloud scambia le seguenti route di subnet:
    • Il router Cloud annuncia 10.1.2.0/29 alla un router esterno.
    • Il router esterno annuncia 192.168.2.0/24 a router Cloud.
  • Utilizzando l'intervallo di indirizzi IP NAT di pvt-nat-gw, una macchina virtuale (VM) in subnet-a di vpc-a può inviare traffico a una VM in subnet-b di la rete on-premise o la rete di un altro cloud provider, anche se subnet-a di vpc-a si sovrappone a un'altra subnet in rete non Google Cloud.

Esempio di flusso di lavoro di Hybrid NAT

Nel diagramma precedente, vm-a con l'indirizzo IP interno 192.168.1.2 in subnet-a di vpc-a deve scaricare un aggiornamento da vm-b con il Indirizzo IP 192.168.2.2 in subnet-b di un'infrastruttura on-premise o un'altra rete di provider cloud. Cloud Interconnect si connette dalla tua rete VPC alla rete on-premise o a un altro della rete del provider. Supponiamo che la rete non Google Cloud contenga un'altra subnet 192.168.1.0/24 che si sovrappone alla subnet in vpc-a. Per consentire a subnet-a di vpc-a di comunicare con subnet-b di non Google Cloud, devi configurare Gateway NAT privato, pvt-nat-gw, in vpc-a nel seguente modo:

  • Specifica una subnet NAT privata con scopo PRIVATE_NAT. ad esempio 10.1.2.0/29. Crea la subnet prima del giorno per configurare il gateway Private NAT. Assicurati che questa subnet non si sovrappone a una subnet esistente in nessuna delle reti connesse.
  • Crea una regola NAT con match='nexthop.is_hybrid'.
  • Configura il gateway Private NAT in modo che si applichi a tutti gli indirizzi IP intervalli di subnet-a.

Il NAT ibrido segue la procedura di prenotazione delle porte per prenotare il seguente indirizzo IP di origine NAT e tuple di porte di origine per ognuna delle VM nella rete. Ad esempio, Il gateway Private NAT prenota 64 porte di origine per vm-a: Da 10.1.2.2:34000 a 10.1.2.2:34063.

Quando la VM utilizza il protocollo TCP per inviare un pacchetto al server di aggiornamento 192.168.2.2 sulla porta di destinazione 80, si verifica quanto segue:

  1. La VM invia un pacchetto di richieste con questi attributi:

    • Indirizzo IP di origine: 192.168.1.2, l'indirizzo IP interno della VM
    • Porta di origine: 24000, la porta di origine temporanea scelta dal sistema operativo della VM
    • Indirizzo di destinazione: 192.168.2.2, l'indirizzo IP del server di aggiornamento
    • Porta di destinazione: 80, la porta di destinazione per il traffico HTTP verso il server di aggiornamento
    • Protocollo: TCP

  2. Il gateway pvt-nat-gw esegue la Network Address Translation di origine (SNAT o NAT di origine) sul traffico in uscita, riscrivendo la richiesta indirizzo IP di origine NAT del pacchetto e porta di origine:

    • Indirizzo IP di origine NAT: 10.1.2.2, da una delle origini NAT riservate della VM Tuple di porte di indirizzo IP e origine
    • Porta di origine: 34022, una porta di origine inutilizzata da una delle porte riservate della VM tuple di porte di origine
    • Indirizzo di destinazione: 192.168.2.2, invariato
    • Porta di destinazione: 80, invariata
    • Protocollo: TCP, invariato

  3. Il server di aggiornamento invia un pacchetto di risposta che arriva pvt-nat-gw gateway con questi attributi:

    • Indirizzo IP di origine: 192.168.2.2, l'indirizzo IP interno del server di aggiornamento
    • Porta di origine: 80, la risposta HTTP del server di aggiornamento
    • Indirizzo di destinazione: 10.1.2.2, che corrisponde all'indirizzo IP di origine NAT originale del pacchetto di richiesta
    • Porta di destinazione: 34022, che corrisponde alla porta di origine del pacchetto di richiesta
    • Protocollo: TCP, invariato

  4. Il gateway pvt-nat-gw esegue la Network Address Translation di destinazione (DNAT) sul pacchetto di risposta e riscrive la destinazione del pacchetto di risposta l'indirizzo e la porta di destinazione, in modo che il pacchetto venga consegnato alla VM ha richiesto l'aggiornamento con i seguenti attributi:

    • Indirizzo IP di origine: 192.168.2.2, invariato
    • Porta di origine: 80, invariata
    • Indirizzo di destinazione: 192.168.1.2, l'indirizzo IP interno della VM
    • Porta di destinazione: 24000, corrispondente alla porta di origine temporanea originale del pacchetto di richiesta
    • Protocollo: TCP, invariato

Passaggi successivi