Questa pagina è stata tradotta dall'API Cloud Translation.

NAT ibrido

Hybrid NAT, un'offerta Private NAT, consente di eseguire Network Address Translation (NAT) di indirizzi IP tra una rete Virtual Private Cloud (VPC) e una rete on-premise o qualsiasi altra rete di provider cloud. Queste reti devono essere connesse alla rete VPC tramite i prodotti di connettività ibrida aziendale di Google Cloud, come Cloud VPN.

Specifiche

Oltre alle specifiche generali di Private NAT, prendi in considerazione le seguenti specifiche per Hybrid NAT:

Il NAT ibrido consente a una rete VPC di comunicare con una rete on-premise o con qualsiasi altra rete di provider di servizi cloud anche se gli intervalli di indirizzi IP della subnet delle reti comunicanti si sovrappongono. Utilizzando una configurazione NAT di type=PRIVATE, le risorse (sia nelle subnet sovrapposte che non sovrapposte) della rete VPC possono connettersi alle risorse solo nelle subnet non sovrapposte della rete on-premise o di qualsiasi altra rete di provider cloud.
Per abilitare Hybrid NAT, la rete on-premise o la rete dell'altra cloud provider deve pubblicizzare le proprie route dinamiche in modo che la rete VPC possa apprendere e utilizzare tali route. Il router Cloud apprende queste route dinamiche dalle soluzioni di connettività ibrida di Google Cloud come la VPN ad alta disponibilità o la VPN classica con routing dinamico configurato. Le destinazioni di queste route dinamiche sono intervalli di indirizzi IP esterni alla rete VPC.

Allo stesso modo, per il traffico di ritorno, la rete VPC deve pubblicizzare la route della subnet Private NAT utilizzando un router Cloud.

Nota: devono essere annunciate solo le route di subnet che non si sovrappongono; non devono essere annunciate route di subnet sovrapposte. Devi utilizzare il router Cloud per pubblicizzare route di subnet non sovrapposte.
Il NAT ibrido esegue la traduzione NAT sul traffico proveniente da una rete VPC a una rete on-premise o a qualsiasi altra rete di provider cloud. Le reti devono essere connesse tramite Cloud VPN tramite route dinamiche.
Il NAT ibrido supporta i tunnel VPN classica esistenti solo se il routing dinamico è abilitato.
Devi creare una regola NAT personalizzata con un'espressione di corrispondenza nexthop.is_hybrid. La regola NAT specifica un intervallo di indirizzi IP NAT da una subnet di scopo PRIVATE_NAT, che le risorse nella tua rete VPC possono utilizzare per comunicare con altre reti.
Il router Cloud su cui configuri il NAT ibrido deve trovarsi nella stessa regione della rete VPC.
Il router Cloud su cui configuri il NAT ibrido non può contenere altre configurazioni NAT.
Non devi configurare Hybrid NAT in una rete VPC in cui sono presenti collegamenti Cloud Interconnect.

Flusso di lavoro e configurazione di base di Hybrid NAT

Il seguente diagramma mostra una configurazione di base di Hybrid NAT:

Esempio di traduzione di NAT ibrido. — Esempio di traduzione di NAT ibrido (fai clic per ingrandire).

In questo esempio, Hybrid NAT è configurato come segue:

Il gateway pvt-nat-gw è configurato in vpc-a per essere applicato a tutti gli intervalli di indirizzi IP di subnet-a nella regione us-east1.
Utilizzando gli intervalli di indirizzi IP NAT pvt-nat-gw, un'istanza di macchina virtuale (VM) in subnet-a di vpc-a può inviare traffico a una VM in subnet-b di una rete on-premise o a qualsiasi altra rete di provider cloud, anche se subnet-a di vpc-a si sovrappone a un'altra subnet nella rete on-premise o in un'altra rete di provider cloud.

Esempio di flusso di lavoro di Hybrid NAT

Nel diagramma precedente, vm-a con l'indirizzo IP interno 192.168.1.2 in subnet-a di vpc-a deve scaricare un aggiornamento da vm-b con l'indirizzo IP interno 192.168.2.2 in subnet-b di una rete on-premise o di qualsiasi altra rete di provider cloud. Cloud VPN connette la rete VPC a una rete on-premise o a qualsiasi altra rete di provider cloud. Supponiamo che la rete on-premise o l'altra rete del cloud provider contenga un'altra subnet 192.168.1.0/24 che si sovrappone alla subnet in vpc-a. Affinché subnet-a di vpc-a possa comunicare con subnet-b della rete on-premise o dell'altra rete di provider cloud, devi configurare un gateway Private NAT, pvt-nat-gw, in vpc-a come segue:

Subnet Private NAT: crea questa subnet con un intervallo di indirizzi IP della subnet 10.1.2.0/29 e uno scopo PRIVATE_NAT prima di configurare il gateway Private NAT. Assicurati che questa subnet non si sovrapponga a una subnet esistente in nessuna delle reti connesse.
Una regola NAT con match='nexthop.is_hybrid'.
NAT per tutti gli intervalli di indirizzi di subnet-a.

Il NAT ibrido segue la procedura di prenotazione delle porte per prenotare i seguenti indirizzi IP di origine NAT e tuple di porte di origine per ciascuna delle VM nella rete. Ad esempio, il gateway Private NAT prenota 64 porte di origine per vm-a: da 10.1.2.2:34000 a 10.1.2.2:34063.

Quando la VM utilizza il protocollo TCP per inviare un pacchetto al server di aggiornamento 192.168.2.2 sulla porta di destinazione 80, si verifica quanto segue:

La VM invia un pacchetto di richieste con questi attributi:
- Indirizzo IP di origine: 192.168.1.2, l'indirizzo IP interno della VM
- Porta di origine: 24000, la porta di origine temporanea scelta dal sistema operativo della VM
- Indirizzo di destinazione: 192.168.2.2, l'indirizzo IP del server di aggiornamento
- Porta di destinazione: 80, la porta di destinazione per il traffico HTTP verso il server di aggiornamento
- Protocollo: TCP
Il gateway pvt-nat-gw esegue la Network Address Translation (SNAT o NAT di origine) sul traffico in uscita, riscrivendo l'indirizzo IP e la porta di origine NAT del pacchetto di richieste:
- Indirizzo IP di origine NAT: 10.1.2.2, da uno dell'indirizzo IP di origine NAT riservato della VM e delle tuple di porte di origine
- Porta di origine: 34022, una porta di origine inutilizzata da una delle tuple di porte di origine riservate della VM
- Indirizzo di destinazione: 192.168.2.2, invariato
- Porta di destinazione: 80, invariata
- Protocollo: TCP, invariato
Il server di aggiornamento invia un pacchetto di risposta che arriva al gateway pvt-nat-gw con i seguenti attributi:
- Indirizzo IP di origine: 192.168.2.2, l'indirizzo IP interno del server di aggiornamento
- Porta di origine: 80, la risposta HTTP del server di aggiornamento
- Indirizzo di destinazione: 10.1.2.2, che corrisponde all'indirizzo IP di origine NAT originale del pacchetto di richiesta
- Porta di destinazione: 34022, che corrisponde alla porta di origine del pacchetto di richiesta
- Protocollo: TCP, invariato
Il gateway pvt-nat-gw esegue la Network Address Translation (DNAT) di destinazione sul pacchetto di risposta e riscrive l'indirizzo e la porta di destinazione del pacchetto di risposta in modo che il pacchetto venga consegnato alla VM che ha richiesto l'aggiornamento con i seguenti attributi:
- Indirizzo IP di origine: 192.168.2.2, invariato
- Porta di origine: 80, invariata
- Indirizzo di destinazione: 192.168.1.2, l'indirizzo IP interno della VM
- Porta di destinazione: 24000, corrispondente alla porta di origine temporanea originale del pacchetto di richiesta
- Protocollo: TCP, invariato

Passaggi successivi

Configura Hybrid NAT.
Scopri di più sulle interazioni con i prodotti Cloud NAT.
Scopri di più su indirizzi e porte Cloud NAT.
Scopri di più sulle regole Cloud NAT.
Risolvi i problemi comuni.