Hybrid NAT

Hybrid-NAT, eine Art privater NAT, können Sie Network Address Translation (NAT) zwischen einem VPC-Netzwerk (Virtual Private Cloud) und einem lokalen eines anderen Cloud-Anbieters. Das Nicht-Google Cloud-Netzwerk muss über die Netzwerkkonnektivitätsprodukte von Google Cloud wie Cloud Interconnect oder Cloud VPN mit Ihrem VPC-Netzwerk verbunden sein.

Spezifikationen

Zusätzlich zu den allgemeinen Spezifikationen für private NAT Für Hybrid-NAT gelten die folgenden Spezifikationen:

• Mit Hybrid-NAT kann ein VPC-Netzwerk mit einem lokalen Netzwerk oder einem anderen Netzwerk eines Cloud-Anbieters kommunizieren, auch wenn sich die IP-Adressbereiche der Subnetze der Netzwerke überschneiden. Durch die Verwendung von eine NAT-Konfiguration von type=PRIVATE, Ressourcen sowohl in der sich überschneidenden und nicht überlappende Subnetze des VPC-Netzwerk können eine Verbindung auf Ressourcen in nicht überlappenden Subnetzen der Nicht-Google Cloud-Umgebung Netzwerk.

• Damit Hybrid NAT aktiviert werden kann, muss das Nicht-Google Cloud-Netzwerk seine dynamischen Routen ankündigen, damit Ihr VPC-Netzwerk sie lernen und verwenden kann. Diese dynamischen Routen werden von Cloud Router aus den Network Connectivity-Produkten von Google Cloud wie Cloud Interconnect, HA VPN oder Classic VPN mit konfiguriertem dynamischen Routing abgeleitet. Die Ziele dieser dynamischen Routen sind IP-Adressbereiche außerhalb Ihres VPC-Netzwerks.

  Ebenso muss Ihr VPC-Netzwerk die Subnetzroute für Private NAT über einen Cloud Router anbieten. Diese Subnetzroute darf sich nicht mit einem vorhandenen Subnetz in den verbundenen Netzwerken überschneiden.

• Bei der Hybrid-NAT wird NAT für Traffic ausgeführt, der aus einem VPC-Netzwerk an ein lokales Netzwerk oder ein anderes Netzwerk eines Cloud-Anbieters weitergeleitet wird. Die Netzwerke müssen über Cloud Interconnect oder Cloud VPN verbunden sein.

• Hybrid-NAT unterstützt vorhandene Klassisches VPN-Tunnel wenn dynamisches Routing aktiviert ist.

• Sie müssen eine benutzerdefinierte NAT-Regel mit einem Abgleichsausdruck erstellen. nexthop.is_hybrid Die NAT-Regel gibt einen NAT-IP-Adressbereich aus einem Subnetz mit dem Zweck PRIVATE_NAT an, den die Ressourcen in Ihrem VPC-Netzwerk für die Kommunikation mit anderen Netzwerken verwenden können.

• Der Cloud Router, auf dem Sie Hybrid-NAT konfigurieren muss sich in derselben Region wie das VPC-Netzwerk befinden.

• Der Cloud Router, auf dem Sie Hybrid-NAT konfigurieren keine andere NAT-Konfiguration enthalten darf.

Grundlegende Hybrid-NAT-Konfiguration und -Workflow

Das folgende Diagramm zeigt eine grundlegende Hybrid-NAT-Konfiguration:

In diesem Beispiel ist Hybrid-NAT so eingerichtet:

• Das Gateway pvt-nat-gw ist in vpc-a so konfiguriert, dass es für alle IP-Adressen gilt die Adressbereiche von subnet-a in der Region us-east1.
• Cloud Router und der lokale Router oder Router eines anderen Cloud-Anbieters die folgenden Subnetzrouten austauschen:
  • Cloud Router bewirbt 10.1.2.0/29 für den externen Router.
  • Der externe Router bewirbt 192.168.2.0/24 für Cloud Router.
• Mit dem NAT-IP-Adressbereich von pvt-nat-gw kann eine virtuelle Maschine (VM) Instanz in subnet-a von vpc-a kann Traffic an eine VM in subnet-b von aus dem lokalen Netzwerk oder dem Netzwerk eines anderen Cloud-Anbieters, subnet-a von vpc-a überschneidet sich mit einem anderen Subnetz im nicht zu Google Cloud gehören.

Beispiel für einen Hybrid-NAT-Workflow

Im obigen Diagramm ist vm-a mit der internen IP-Adresse 192.168.1.2 in subnet-a von vpc-a muss ein Update von vm-b mit der internen IP-Adresse 192.168.2.2 in subnet-b einer lokalen eines anderen Cloud-Anbieters. Cloud Interconnect verbindet Ihrem VPC-Netzwerk mit dem lokalen Netzwerk oder einer anderen Cloud im Netzwerk Ihres Anbieters. Angenommen, das Nicht-Google Cloud-Netzwerk enthält ein weiteres Subnetz 192.168.1.0/24, das sich mit dem Subnetz in vpc-a überschneidet. Damit subnet-a von vpc-a mit subnet-b des anderen Netzwerks kommunizieren kann, müssen Sie in vpc-a ein privates NAT-Gateway (pvt-nat-gw) so konfigurieren:

• Geben Sie ein Private NAT-Subnetz mit dem Zweck PRIVATE_NAT an, z. B. 10.1.2.0/29. Erstellen Sie dieses Subnetz, bevor Sie das private NAT-Gateway konfigurieren. Achten Sie darauf, dass sich dieses Subnetz nicht mit einem vorhandenen Subnetz in einem der verbundenen Netzwerke überschneidet.
• Erstellen Sie eine NAT-Regel mit match='nexthop.is_hybrid'.
• Konfigurieren Sie das private NAT-Gateway so, dass es auf alle IP-Adressbereiche von subnet-a angewendet wird.

Bei Hybrid-NAT wird das Verfahren zur Portreservierung befolgt. zum Reservieren der folgenden NAT-Quell-IP-Adresse und Quellport-Tupel für jede der VMs im Netzwerk. Das private NAT-Gateway reserviert beispielsweise 64 Quellports für vm-a:10.1.2.2:34000 bis 10.1.2.2:34063.

Wenn die VM das TCP-Protokoll verwendet, um ein Paket an den Updateserver zu senden 192.168.2.2 an Ziel-Port 80:

1. Die VM sendet ein Anfragepaket mit folgenden Attributen:

   • Quell-IP-Adresse: 192.168.1.2, die interne IP-Adresse der VM
   • Quellport: 24000, der sitzungsspezifische Quellport, der vom Betriebssystem der VM ausgewählt wurde
   • Zieladresse: 192.168.2.2, die IP-Adresse des Update-Servers
   • Zielport: 80, der Zielport für HTTP-Traffic zum Updateserver
   • Protokoll: TCP

2. Das Gateway pvt-nat-gw führt eine SNAT (Source Network Address Translation, SNAT oder Quell-NAT) bei ausgehendem Traffic, indem Sie die Anfrage umschreiben NAT-Quell-IP-Adresse und Quellport des Pakets:

   • NAT-Quell-IP-Adresse: 10.1.2.2 von einem der reservierten Tupel aus NAT-Quell-IP-Adresse und Quellport
   • Quellport: 34022, ein nicht verwendeter Quellport aus einem der reservierten Quellport-Tupel der VM
   • Zieladresse: 192.168.2.2, unverändert
   • Zielport: 80, unverändert
   • Protokoll: TCP, unverändert

3. Der Update-Server sendet ein Antwortpaket, das im pvt-nat-gw-Gateway mit diesen Attributen:

   • Quell-IP-Adresse: 192.168.2.2, die interne IP-Adresse des Update-Servers
   • Quellport: 80, die HTTP-Antwort vom Update-Server
   • Zieladresse: 10.1.2.2, entspricht der ursprünglichen NAT-Quell-IP-Adresse des Anfragepakets
   • Zielport: 34022, entspricht dem Quellport des Anfragepakets
   • Protokoll: TCP, unverändert

4. Das pvt-nat-gw-Gateway führt eine Zielnetzwerkadressübersetzung durch (DNAT) auf dem Antwortpaket und schreibt das Ziel des Antwortpakets um und Zielport an, damit das Paket an die VM gesendet wird, die Aktualisierung mit den folgenden Attributen angefordert:

   • Quell-IP-Adresse: 192.168.2.2, unverändert
   • Quellport: 80, unverändert
   • Zieladresse: 192.168.1.2, die interne IP-Adresse der VM
   • Zielport: 24000, entspricht dem ursprünglichen sitzungsspezifischen Quellport des Anfragepakets
   • Protokoll: TCP, unverändert

Nächste Schritte

• Richten Sie Hybrid NAT ein.
• Weitere Informationen zu Cloud NAT-Produktinteraktionen
• Weitere Informationen zu Cloud NAT-Adressen und -Ports
• Weitere Informationen zu Cloud NAT-Regeln
• Häufige Probleme beheben