NAT híbrido

A NAT híbrida, um tipo de NAT privada, permite-lhe realizar a tradução de endereços de rede (NAT) entre uma rede da nuvem virtual privada (VPC) e uma rede no local ou outra rede de fornecedor de nuvem. A rede não pertencente àGoogle Cloud tem de estar ligada à sua rede VPC através dos produtos de conetividade de rede da Google Cloud, como o Cloud Interconnect ou a Cloud VPN.

Especificações

Além das especificações gerais de NAT privado, o NAT híbrido tem as seguintes especificações:

• A NAT híbrida permite que uma rede VPC comunique com uma rede nas instalações ou outra rede de fornecedor de nuvem, mesmo que os intervalos de endereços IP da sub-rede das redes se sobreponham. Ao usar uma configuração de NAT de type=PRIVATE, os recursos nas sub-redes sobrepostas e não sobrepostas da rede VPC podem ligar-se a recursos nas sub-redes não sobrepostas da rede nãoGoogle Cloud.

• Para ativar o NAT híbrido, a rede não pertencente ao Google Cloud tem de anunciar as respetivas rotas dinâmicas para que a sua rede VPC possa aprendê-las e usá-las.Google Cloud O Cloud Router aprende estas rotas dinâmicas a partir dos produtos de conectividade de rede da Google Cloud, como o Cloud Interconnect, a VPN de alta disponibilidade ou a VPN clássica com o encaminhamento dinâmico configurado. Os destinos destas rotas dinâmicas são intervalos de endereços IP fora da sua rede VPC.

  Da mesma forma, para o tráfego de retorno, a sua rede VPC tem de anunciar a rota da sub-rede NAT privada através de um Cloud Router, e esta rota da sub-rede não pode sobrepor-se a uma sub-rede existente nas redes ligadas.

• O NAT híbrido executa o NAT no tráfego proveniente de uma rede VPC para uma rede nas instalações ou outra rede de fornecedor de nuvem. As redes têm de estar ligadas através do Cloud Interconnect ou do Cloud VPN.

• O NAT híbrido suporta túneis de VPN clássica existentes apenas se o encaminhamento dinâmico estiver ativado.

• Tem de criar uma regra de NAT personalizada com uma expressão de correspondência nexthop.is_hybrid. A regra de NAT especifica um intervalo de endereços IP de NAT de uma sub-rede de finalidade PRIVATE_NAT que os recursos na sua rede VPC podem usar para comunicar com outras redes.

• O Cloud Router no qual configura o NAT híbrido tem de estar na mesma região que a rede VPC.

• O router na nuvem no qual configura o NAT híbrido não pode conter nenhuma outra configuração de NAT.

Configuração e fluxo de trabalho básicos do NAT híbrido

O diagrama seguinte mostra uma configuração básica de NAT híbrido:

Neste exemplo, o NAT híbrido está configurado da seguinte forma:

• O gateway pvt-nat-gw está configurado no vpc-a para se aplicar a todos os intervalos de endereços IP de subnet-a na região us-east1.
• O Cloud Router e o router no local ou de outro fornecedor de nuvem trocam as seguintes rotas de sub-rede:
  • O Cloud Router anuncia 10.1.2.0/29 ao router externo.
  • O router externo anuncia 192.168.2.0/24 ao Cloud Router.
• Ao usar o intervalo de endereços IP NAT de pvt-nat-gw, uma instância de máquina virtual (VM) em subnet-a de vpc-a pode enviar tráfego para uma VM em subnet-b da rede local ou de outro fornecedor de nuvem, mesmo que subnet-a de vpc-a se sobreponha a outra sub-rede na rede nãoGoogle Cloud .

Exemplo de fluxo de trabalho de NAT híbrido

No diagrama anterior, vm-a com o endereço IP interno 192.168.1.2 em subnet-a de vpc-a tem de transferir uma atualização de vm-b com o endereço IP interno 192.168.2.2 em subnet-b de uma rede no local ou de outra rede de fornecedor de nuvem. O Cloud Interconnect liga a sua rede VPC à rede nas instalações ou à rede de outro fornecedor de nuvem. Suponha que a rede nãoGoogle Cloud contém outra sub-rede 192.168.1.0/24 que se sobrepõe à sub-rede em vpc-a. Para que subnet-a de vpc-a comunique com subnet-b da rede nãoGoogle Cloud , tem de configurar um gateway de NAT privado, pvt-nat-gw, em vpc-a da seguinte forma:

• Especifique uma sub-rede NAT privada de finalidade PRIVATE_NAT, por exemplo, 10.1.2.0/29. Crie esta sub-rede antes de configurar o gateway de NAT privado. Certifique-se de que esta sub-rede não se sobrepõe a uma sub-rede existente em nenhuma das redes ligadas.
• Crie uma regra de NAT com match='nexthop.is_hybrid'.
• Configure o gateway NAT privado para aplicar a todos os intervalos de endereços IP de subnet-a.

O NAT híbrido segue o procedimento de reserva de portas para reservar as seguintes tuplas de endereço IP de origem do NAT e de porta de origem para cada uma das VMs na rede. Por exemplo, o gateway de NAT privado reserva 64 portas de origem para vm-a: 10.1.2.2:34000 a 10.1.2.2:34063.

Quando a VM usa o protocolo TCP para enviar um pacote para o servidor de atualizações 192.168.2.2 na porta de destino 80, ocorre o seguinte:

1. A VM envia um pacote de pedido com estes atributos:

   • Endereço IP de origem: 192.168.1.2, o endereço IP interno da VM
   • Porta de origem: 24000, a porta de origem efémera escolhida pelo sistema operativo da VM
   • Endereço de destino: 192.168.2.2, o endereço IP do servidor de atualizações
   • Porta de destino: 80, a porta de destino para o tráfego HTTP para o servidor de atualizações
   • Protocolo: TCP

2. O gateway pvt-nat-gw executa a tradução de endereços de rede de origem (SNAT ou NAT de origem) na saída, reescrevendo o endereço IP de origem NAT e a porta de origem do pacote de pedido:

   • Endereço IP de origem do NAT: 10.1.2.2, de uma das tuplas de porta de origem e endereço IP de origem do NAT reservadas da VM
   • Porta de origem: 34022, uma porta de origem não usada de uma das tuplas de portas de origem reservadas da VM
   • Endereço de destino: 192.168.2.2, inalterado
   • Porta de destino: 80, inalterada
   • Protocolo: TCP, sem alterações

3. O servidor de atualizações envia um pacote de resposta que chega ao gateway pvt-nat-gwcom estes atributos:

   • Endereço IP de origem: 192.168.2.2, o endereço IP interno do servidor de atualizações
   • Porta de origem: 80, a resposta HTTP do servidor de atualizações
   • Endereço de destino: 10.1.2.2, que corresponde ao endereço IP de origem da NAT original do pacote de pedido
   • Porta de destino: 34022, que corresponde à porta de origem do pacote de pedido
   • Protocolo: TCP, sem alterações

4. O gateway pvt-nat-gwexecuta a tradução de endereços de rede de destino (DNAT) no pacote de resposta e reescreve o endereço de destino e a porta de destino do pacote de resposta para que o pacote seja entregue à VM que solicitou a atualização com os seguintes atributos:

   • Endereço IP de origem: 192.168.2.2, inalterado
   • Porta de origem: 80, sem alterações
   • Endereço de destino: 192.168.1.2, o endereço IP interno da VM
   • Porta de destino: 24000, correspondente à porta de origem efémera original do pacote de pedido
   • Protocolo: TCP, sem alterações

O que se segue?

• Configure o NAT híbrido.
• Saiba mais sobre as interações do produto Cloud NAT.
• Saiba mais acerca dos endereços e das portas do Cloud NAT.
• Saiba mais sobre as regras do Cloud NAT.
• Resolva problemas comuns.