Cette page a été traduite par l'API Cloud Translation.

NAT hybride

Le NAT hybride, une offre de NAT privé, vous permet d'effectuer des traductions d'adresses réseau (NAT) d'adresses IP entre un réseau cloud privé virtuel (VPC) et un réseau sur site ou tout autre réseau de fournisseur de services cloud. Ces réseaux doivent être connectés à votre réseau VPC à l'aide des produits de connectivité hybride d'entreprise de Google Cloud tels que Cloud VPN.

Spécifications

Outre les spécifications génériques de NAT privé, prenez en compte les spécifications suivantes pour le NAT hybride:

Le NAT hybride permet à un réseau VPC de communiquer avec un réseau sur site ou avec tout autre réseau de fournisseur de services cloud, même si les plages d'adresses IP de sous-réseau des réseaux qui communiquent se chevauchent. En utilisant une configuration NAT de type=PRIVATE, les ressources du réseau VPC, qu'elles se trouvent dans les sous-réseaux qui se chevauchent ou non, ne peuvent se connecter qu'aux ressources des sous-réseaux qui ne se chevauchent pas du réseau sur site ou du réseau d'un autre fournisseur de services cloud.
Pour activer le NAT hybride, le réseau sur site ou le réseau de l'autre fournisseur de services cloud doit annoncer ses routes dynamiques afin que votre réseau VPC puisse les apprendre et les utiliser. Votre routeur Cloud Router apprend ces routes dynamiques à partir des solutions de connectivité hybride de Google Cloud, telles que les VPN haute disponibilité ou les VPN classiques, avec un routage dynamique configuré. Les destinations de ces routes dynamiques sont des plages d'adresses IP externes à votre réseau VPC.

De même, pour le trafic de retour, votre réseau VPC doit annoncer la route de sous-réseau NAT privée à l'aide d'un routeur Cloud Router.

Remarque :Seules les routes de sous-réseau qui ne se chevauchent pas doivent être annoncées. Les routes de sous-réseau qui se chevauchent ne doivent pas être annoncées. Vous devez utiliser Cloud Router pour annoncer les routes de sous-réseau qui ne se chevauchent pas.
Le NAT hybride effectue une NAT sur le trafic provenant d'un réseau VPC vers un réseau sur site ou le réseau de tout autre fournisseur de services cloud. Les réseaux doivent être connectés par Cloud VPN via des routes dynamiques.
Le NAT hybride n'accepte les tunnels VPN classiques existants que si le routage dynamique est activé.
Vous devez créer une règle NAT personnalisée avec une expression de correspondance nexthop.is_hybrid. La règle NAT spécifie une plage d'adresses IP NAT provenant d'un sous-réseau d'objectif PRIVATE_NAT que les ressources de votre réseau VPC peuvent utiliser pour communiquer avec d'autres réseaux.
Le routeur Cloud sur lequel vous configurez le NAT hybride doit se trouver dans la même région que le réseau VPC.
Le routeur Cloud sur lequel vous configurez le NAT hybride ne peut contenir aucune autre configuration NAT.
Vous ne devez pas configurer le NAT hybride dans un réseau VPC contenant des rattachements Cloud Interconnect.

Configuration et workflow NAT hybrides de base

Le schéma suivant illustre une configuration NAT hybride de base:

Exemple de traduction NAT hybride. — Exemple de traduction NAT hybride (cliquez pour agrandir).

Dans cet exemple, le NAT hybride est configuré comme suit:

La passerelle pvt-nat-gw est configurée dans vpc-a pour s'appliquer à toutes les plages d'adresses IP de subnet-a dans la région us-east1.
En utilisant les plages d'adresses IP NAT de pvt-nat-gw, une instance de machine virtuelle (VM) située dans la région subnet-a de vpc-a peut envoyer du trafic vers une VM située dans la région subnet-b d'un réseau sur site ou d'un autre réseau de fournisseur cloud, même si subnet-a de vpc-a chevauche un autre sous-réseau du réseau sur site ou du réseau d'un autre fournisseur de services cloud.

Exemple de workflow de NAT hybride

Dans le schéma précédent, vm-a avec l'adresse IP interne 192.168.1.2 dans subnet-a de vpc-a doit télécharger une mise à jour à partir de vm-b avec l'adresse IP interne 192.168.2.2 dans subnet-b d'un réseau sur site ou d'un réseau d'un autre fournisseur de services cloud. Cloud VPN connecte votre réseau VPC à un réseau sur site ou à tout autre réseau de fournisseur de services cloud. Supposons que le réseau sur site ou le réseau de l'autre fournisseur de services cloud contient un autre sous-réseau 192.168.1.0/24 qui chevauche le sous-réseau de la région vpc-a. Pour que la passerelle subnet-a de vpc-a communique avec l'instance subnet-b du réseau sur site ou du réseau de l'autre fournisseur cloud, vous devez configurer une passerelle NAT privée, pvt-nat-gw, dans vpc-a, comme suit:

Sous-réseau NAT privé: créez ce sous-réseau avec une plage d'adresses IP de sous-réseau 10.1.2.0/29 et un objectif PRIVATE_NAT avant de configurer la passerelle NAT privée. Assurez-vous que ce sous-réseau ne chevauche pas un sous-réseau existant dans l'un des réseaux connectés.
Une règle NAT avec match='nexthop.is_hybrid'
NAT pour toutes les plages d'adresses de subnet-a.

La NAT hybride suit la procédure de réservation de port pour réserver les tuples d'adresse IP source et de port source NAT suivants pour chacune des VM du réseau. Par exemple, la passerelle NAT privée réserve 64 ports sources pour vm-a, allant de 10.1.2.2:34000 à 10.1.2.2:34063.

Lorsque la VM utilise le protocole TCP pour envoyer un paquet au serveur de mise à jour 192.168.2.2 sur le port de destination 80, voici ce qui se produit:

La VM envoie un paquet de requête avec les attributs suivants :
- Adresse IP source: 192.168.1.2, l'adresse IP interne de la VM
- Port source: 24000, le port source éphémère choisi par le système d'exploitation de la VM
- Adresse de destination: 192.168.2.2, l'adresse IP du serveur de mise à jour
- Port de destination: 80, port de destination du trafic HTTP vers le serveur de mise à jour
- Protocol (Protocole) : TCP
La passerelle pvt-nat-gw effectue la traduction de l'adresse réseau source (SNAT ou source NAT) en sortie, en réécrivant l'adresse IP source et le port source du paquet de requête:
- Adresse IP source NAT: 10.1.2.2, provenant de l'un des tuples d'adresse IP source et de port source NAT réservés de la VM
- Port source : 34022, un port source inutilisé de l'un des tuples de port source réservés de la VM
- Adresse de destination : 192.168.2.2, inchangée
- Port de destination : 80, inchangé
- Protocole: TCP, inchangé
Le serveur de mise à jour envoie un paquet de réponse qui arrive sur la passerelle pvt-nat-gw avec les attributs suivants:
- Adresse IP source: 192.168.2.2, l'adresse IP interne du serveur de mise à jour
- Port source : 80, la réponse HTTP du serveur de mise à jour
- Adresse de destination: 10.1.2.2, qui correspond à l'adresse IP source NAT d'origine du paquet de requête
- Port de destination: 34022, qui correspond au port source du paquet de requête
- Protocole: TCP, inchangé
La passerelle pvt-nat-gw effectue une traduction d'adresse réseau de destination (DNAT) sur le paquet de réponse et réécrit l'adresse et le port de destination du paquet de réponse afin que le paquet soit transmis à la VM qui a demandé la mise à jour avec les attributs suivants:
- Adresse IP source : 192.168.2.2, inchangée
- Port source : 80, inchangé
- Adresse de destination: 192.168.1.2, l'adresse IP interne de la VM
- Port de destination: 24000, correspondant au port source éphémère d'origine du paquet de requête
- Protocole: TCP, inchangé

Étapes suivantes

Configurez le NAT hybride.
Découvrez les interactions avec les produits Cloud NAT.
Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
Apprenez-en plus sur les règles Cloud NAT.
Résolvez les problèmes courants.