NAT ibrido
Hybrid NAT, un'offerta Private NAT, consente di eseguire Network Address Translation (NAT) di indirizzi IP tra una rete Virtual Private Cloud (VPC) e una rete on-premise o qualsiasi altra rete di provider cloud. Queste reti devono essere connesse alla rete VPC tramite i prodotti di connettività ibrida aziendale di Google Cloud, come Cloud VPN.
Specifiche
Oltre alle specifiche generali di Private NAT, prendi in considerazione le seguenti specifiche per Hybrid NAT:
- Il NAT ibrido consente a una rete VPC di comunicare con una rete on-premise o con qualsiasi altra rete di provider di servizi cloud anche se gli intervalli di indirizzi IP della subnet delle reti comunicanti si sovrappongono. Utilizzando una configurazione NAT di
type=PRIVATE
, le risorse (sia nelle subnet sovrapposte che non sovrapposte) della rete VPC possono connettersi alle risorse solo nelle subnet non sovrapposte della rete on-premise o di qualsiasi altra rete di provider cloud. Per abilitare Hybrid NAT, la rete on-premise o la rete dell'altra cloud provider deve pubblicizzare le proprie route dinamiche in modo che la rete VPC possa apprendere e utilizzare tali route. Il router Cloud apprende queste route dinamiche dalle soluzioni di connettività ibrida di Google Cloud come la VPN ad alta disponibilità o la VPN classica con routing dinamico configurato. Le destinazioni di queste route dinamiche sono intervalli di indirizzi IP esterni alla rete VPC.
Allo stesso modo, per il traffico di ritorno, la rete VPC deve pubblicizzare la route della subnet Private NAT utilizzando un router Cloud.
Il NAT ibrido esegue la traduzione NAT sul traffico proveniente da una rete VPC a una rete on-premise o a qualsiasi altra rete di provider cloud. Le reti devono essere connesse tramite Cloud VPN tramite route dinamiche.
Il NAT ibrido supporta i tunnel VPN classica esistenti solo se il routing dinamico è abilitato.
Devi creare una regola NAT personalizzata con un'espressione di corrispondenza
nexthop.is_hybrid
. La regola NAT specifica un intervallo di indirizzi IP NAT da una subnet di scopoPRIVATE_NAT
, che le risorse nella tua rete VPC possono utilizzare per comunicare con altre reti.Il router Cloud su cui configuri il NAT ibrido deve trovarsi nella stessa regione della rete VPC.
Il router Cloud su cui configuri il NAT ibrido non può contenere altre configurazioni NAT.
Non devi configurare Hybrid NAT in una rete VPC in cui sono presenti collegamenti Cloud Interconnect.
Flusso di lavoro e configurazione di base di Hybrid NAT
Il seguente diagramma mostra una configurazione di base di Hybrid NAT:
![Esempio di traduzione di NAT ibrido.](https://cloud.google.com/static/nat/images/hybrid-nat-flow.png?authuser=19&hl=it)
In questo esempio, Hybrid NAT è configurato come segue:
- Il gateway
pvt-nat-gw
è configurato invpc-a
per essere applicato a tutti gli intervalli di indirizzi IP disubnet-a
nella regioneus-east1
. - Utilizzando gli intervalli di indirizzi IP NAT
pvt-nat-gw
, un'istanza di macchina virtuale (VM) insubnet-a
divpc-a
può inviare traffico a una VM insubnet-b
di una rete on-premise o a qualsiasi altra rete di provider cloud, anche sesubnet-a
divpc-a
si sovrappone a un'altra subnet nella rete on-premise o in un'altra rete di provider cloud.
Esempio di flusso di lavoro di Hybrid NAT
Nel diagramma precedente, vm-a
con l'indirizzo IP interno 192.168.1.2
in subnet-a
di vpc-a
deve scaricare un aggiornamento da vm-b
con l'indirizzo IP interno 192.168.2.2
in subnet-b
di una rete on-premise o di qualsiasi altra rete di provider cloud. Cloud VPN connette la rete VPC a una rete on-premise o a qualsiasi altra rete di provider cloud. Supponiamo che la rete on-premise o l'altra rete del cloud provider contenga un'altra subnet 192.168.1.0/24
che si sovrappone alla subnet in vpc-a
. Affinché subnet-a
di vpc-a
possa comunicare con subnet-b
della rete on-premise o dell'altra rete di provider cloud, devi configurare un gateway Private NAT, pvt-nat-gw
,
in vpc-a
come segue:
- Subnet Private NAT: crea questa subnet con un intervallo di indirizzi IP della subnet
10.1.2.0/29
e uno scopoPRIVATE_NAT
prima di configurare il gateway Private NAT. Assicurati che questa subnet non si sovrapponga a una subnet esistente in nessuna delle reti connesse. - Una regola NAT con
match='nexthop.is_hybrid'
. - NAT per tutti gli intervalli di indirizzi di
subnet-a
.
Il NAT ibrido segue la procedura di prenotazione delle porte per prenotare i seguenti indirizzi IP di origine NAT e tuple di porte di origine per ciascuna delle VM nella rete. Ad esempio, il gateway Private NAT prenota 64 porte di origine per vm-a
: da 10.1.2.2:34000
a 10.1.2.2:34063
.
Quando la VM utilizza il protocollo TCP per inviare un pacchetto al server di aggiornamento 192.168.2.2
sulla porta di destinazione 80
, si verifica quanto segue:
La VM invia un pacchetto di richieste con questi attributi:
- Indirizzo IP di origine:
192.168.1.2
, l'indirizzo IP interno della VM - Porta di origine:
24000
, la porta di origine temporanea scelta dal sistema operativo della VM - Indirizzo di destinazione:
192.168.2.2
, l'indirizzo IP del server di aggiornamento - Porta di destinazione:
80
, la porta di destinazione per il traffico HTTP verso il server di aggiornamento - Protocollo: TCP
- Indirizzo IP di origine:
Il gateway
pvt-nat-gw
esegue la Network Address Translation (SNAT o NAT di origine) sul traffico in uscita, riscrivendo l'indirizzo IP e la porta di origine NAT del pacchetto di richieste:- Indirizzo IP di origine NAT:
10.1.2.2
, da uno dell'indirizzo IP di origine NAT riservato della VM e delle tuple di porte di origine - Porta di origine:
34022
, una porta di origine inutilizzata da una delle tuple di porte di origine riservate della VM - Indirizzo di destinazione:
192.168.2.2
, invariato - Porta di destinazione:
80
, invariata - Protocollo: TCP, invariato
- Indirizzo IP di origine NAT:
Il server di aggiornamento invia un pacchetto di risposta che arriva al gateway
pvt-nat-gw
con i seguenti attributi:- Indirizzo IP di origine:
192.168.2.2
, l'indirizzo IP interno del server di aggiornamento - Porta di origine:
80
, la risposta HTTP del server di aggiornamento - Indirizzo di destinazione:
10.1.2.2
, che corrisponde all'indirizzo IP di origine NAT originale del pacchetto di richiesta - Porta di destinazione:
34022
, che corrisponde alla porta di origine del pacchetto di richiesta - Protocollo: TCP, invariato
- Indirizzo IP di origine:
Il gateway
pvt-nat-gw
esegue la Network Address Translation (DNAT) di destinazione sul pacchetto di risposta e riscrive l'indirizzo e la porta di destinazione del pacchetto di risposta in modo che il pacchetto venga consegnato alla VM che ha richiesto l'aggiornamento con i seguenti attributi:- Indirizzo IP di origine:
192.168.2.2
, invariato - Porta di origine:
80
, invariata - Indirizzo di destinazione:
192.168.1.2
, l'indirizzo IP interno della VM - Porta di destinazione:
24000
, corrispondente alla porta di origine temporanea originale del pacchetto di richiesta - Protocollo: TCP, invariato
- Indirizzo IP di origine:
Passaggi successivi
- Configura Hybrid NAT.
- Scopri di più sulle interazioni con i prodotti Cloud NAT.
- Scopri di più su indirizzi e porte Cloud NAT.
- Scopri di più sulle regole Cloud NAT.
- Risolvi i problemi comuni.