NAT híbrido

A NAT híbrida, um tipo de NAT particular, permite realizar a conversão de endereços de rede (NAT) entre uma rede de nuvem privada virtual (VPC) e uma rede no local ou rede de outro provedor de nuvem. A rede que não é do Google Cloud precisa ser conectada à sua rede VPC usando o Google Cloud de dados Produtos de conectividade de rede, como Cloud Interconnect ou o Cloud VPN.

Especificações

Além das especificações gerais do Private NAT, A NAT híbrida tem as seguintes especificações:

  • A NAT híbrida permite que uma rede VPC se comunique em uma rede no local ou em outra rede de provedor de nuvem, Os intervalos de endereços IP das redes se sobrepõem. Usando uma configuração NAT de type=PRIVATE, os recursos nos recursos sobrepostos e sub-redes não sobrepostas da rede VPC podem se conectar aos recursos nas sub-redes não sobrepostas do Google Cloud em uma rede VPC.

  • Para ativar o NAT híbrido, a rede que não é do Google Cloud precisa divulgar as rotas dinâmicas para que a rede VPC possa aprender e usá-las. O Cloud Router aprende essas rotas dinâmicas dos produtos de conectividade de rede do Google Cloud, como Cloud Interconnect, VPN de alta disponibilidade ou VPN clássica com roteamento dinâmico configurado. Os destinos de essas rotas dinâmicas são intervalos de endereços IP fora da sua VPC em uma rede VPC.

    Da mesma forma, para o tráfego de retorno, sua rede VPC precisa anúncios a rota da sub-rede NAT particular usando um Cloud Router, e essa rota de sub-rede não pode se sobrepor a uma sub-rede existente na redes conectadas.

  • A NAT híbrida executa NAT no tráfego proveniente de um da rede VPC a uma rede no local ou outra nuvem rede provedora. As redes devem estar conectadas por o Cloud Interconnect ou o Cloud VPN.

  • O NAT híbrido dá suporte a túneis de VPN clássica somente se o roteamento dinâmico estiver ativado.

  • Você precisa criar uma regra NAT personalizada com uma expressão de correspondência nexthop.is_hybrid: A regra NAT especifica um intervalo de endereços IP NAT sub-rede da finalidade PRIVATE_NAT que os recursos na sua VPC rede pode usar para se comunicar com outras redes.

  • O Cloud Router em que você configura o NAT híbrido precisa estar na mesma região que a rede VPC.

  • O Cloud Router em que você configura o NAT híbrido não pode conter outra configuração NAT.

Configuração básica e fluxo de trabalho do NAT híbrido

O diagrama a seguir mostra uma configuração básica de NAT híbrida:

Exemplo de conversão de NAT híbrida.
Exemplo de tradução de NAT híbrida (clique para ampliar).

Neste exemplo, o NAT híbrido é configurado da seguinte maneira:

  • O gateway pvt-nat-gw está configurado em vpc-a para ser aplicado a todos os endereços IP intervalos de endereços de subnet-a na região us-east1.
  • o Cloud Router e o roteador local ou de outro provedor de nuvem troque as seguintes rotas de sub-rede:
    • O Cloud Router anuncia 10.1.2.0/29 para o roteador externo.
    • O roteador externo anuncia 192.168.2.0/24 para e o Cloud Router.
  • Usando o intervalo de endereços IP NAT de pvt-nat-gw, uma máquina virtual (VM) instância em subnet-a de vpc-a pode enviar tráfego para uma VM em subnet-b de na rede no local ou na rede de outro provedor de nuvem, subnet-a de vpc-a se sobrepõe a outra sub-rede na fora da rede que não é do Google Cloud.

Exemplo de fluxo de trabalho de NAT híbrido

No diagrama anterior, vm-a pelo endereço IP interno 192.168.1.2 em subnet-a de vpc-a precisa fazer o download de uma atualização do vm-b com a versão interna Endereço IP 192.168.2.2 em subnet-b de um local local ou rede de outro provedor de nuvem. O Cloud Interconnect conecta sua rede VPC para a rede no local ou outra rede rede provedora. Suponha que a rede que não é do Google Cloud contém outra sub-rede 192.168.1.0/24 que se sobrepõe à sub-rede em vpc-a. Para que subnet-a de vpc-a se comunique com subnet-b dos que não seja do Google Cloud, será preciso configurar uma Gateway NAT particular, pvt-nat-gw, em vpc-a, da seguinte maneira:

  • Especifique uma sub-rede NAT particular com a finalidade PRIVATE_NAT. por exemplo, 10.1.2.0/29. Crie esta sub-rede antes de como configurar o gateway do Private NAT. Verifique se essa sub-rede não se sobrepõe a uma sub-rede existente em nenhuma das redes conectadas.
  • Crie uma regra NAT com match='nexthop.is_hybrid'.
  • Configurar o gateway NAT particular para aplicar a todos os endereços IP de subnet-a.

O NAT híbrido segue o procedimento de reserva de porta para reservar o seguinte endereço IP de origem NAT e as tuplas de porta de origem de cada uma das VMs da rede. Por exemplo, o gateway do Private NAT reserva 64 portas de origem para vm-a: 10.1.2.2:34000 a 10.1.2.2:34063.

Quando a VM usa o protocolo TCP para enviar um pacote ao servidor de atualização 192.168.2.2 na porta de destino 80, ocorre o seguinte:

  1. A VM envia um pacote de solicitação com estes atributos:

    • Endereço IP de origem: 192.168.1.2, o endereço IP interno da VM
    • Porta de origem: 24000, a porta de origem temporária escolhida pelo sistema operacional da VM
    • Endereço de destino: 192.168.2.2, o endereço IP do servidor de atualização
    • Porta de destino: 80, a porta de destino do tráfego HTTP para o servidor de atualizações
    • Protocolo: TCP

  2. O gateway pvt-nat-gw executa a conversão de endereços de rede de origem (SNAT, na sigla em inglês) (SNAT ou NAT de origem) na saída, reescrevendo o endereço IP de origem e a porta de origem do pacote de solicitação:

    • Endereço IP de origem NAT: 10.1.2.2, de um dos endereços IP de origem NAT reservados da VM e das tuplas da porta de origem
    • Porta de origem: 34022, uma porta de origem não utilizada de uma das tuplas de porta de origem reservadas da VM
    • Endereço de destino: 192.168.2.2, inalterado
    • Porta de destino: 80, inalterada
    • Protocolo: TCP, inalterado

  3. O servidor de atualização envia um pacote de resposta que chega à pvt-nat-gw com estes atributos:

    • Endereço IP de origem: 192.168.2.2, o endereço IP interno do servidor de atualização
    • Porta de origem: 80, a resposta HTTP do servidor de atualização
    • Endereço de destino: 10.1.2.2, que corresponde ao endereço IP de origem do NAT original do pacote de solicitações
    • Porta de destino: 34022, que corresponde à porta de origem do pacote de solicitação
    • Protocolo: TCP, inalterado

  4. O gateway pvt-nat-gw realiza a conversão de endereços de rede de destino. (DNAT) no pacote de resposta e reescreve o destino e a porta de destino para que o pacote seja entregue à VM que solicitou a atualização com os seguintes atributos:

    • Endereço IP de origem: 192.168.2.2, inalterado
    • Porta de origem: 80, inalterada
    • Endereço de destino: 192.168.1.2, o endereço IP interno da VM
    • Porta de destino: 24000, que corresponde à porta de origem temporária original do pacote de solicitação
    • Protocolo: TCP, inalterado

A seguir