Cette page a été traduite par l'API Cloud Translation.

NAT hybride

Le NAT hybride, un type de NAT privé, permet d'effectuer une traduction d'adresse réseau (NAT) entre un réseau cloud privé virtuel (VPC) et un réseau sur site ou celui d'un autre fournisseur de services cloud. Le réseau autre que Google Cloud doit être à votre réseau VPC à l'aide Google Cloud Les produits de connectivité réseau tels que Cloud Interconnect ou Cloud VPN.

Spécifications

Outre les spécifications générales de NAT privé, Le NAT hybride présente les spécifications suivantes:

Le NAT hybride permet à un réseau VPC de communiquer un réseau sur site ou celui d'un autre fournisseur de services cloud, même si le sous-réseau Les plages d'adresses IP des réseaux se chevauchent. En utilisant une configuration NAT de type=PRIVATE, les ressources et les sous-réseaux du réseau VPC qui ne se chevauchent pas aux ressources des sous-réseaux qui ne se chevauchent pas réseau.
Pour activer le NAT hybride, le réseau autre que Google Cloud doit annoncent ses routes dynamiques afin que votre réseau VPC puisse les apprendre et les utiliser. Votre routeur Cloud Router apprend ces routes dynamiques des produits de connectivité réseau de Google Cloud Cloud Interconnect, un VPN haute disponibilité VPN classique avec routage dynamique configuré. Les destinations de ces routes dynamiques sont des plages d'adresses IP externes à votre VPC réseau.

Remarque :Seules les routes de sous-réseau qui ne se chevauchent pas doivent être annoncées. les routes de sous-réseau qui se chevauchent ne doivent pas être annoncées.

De même, pour le trafic de retour, votre réseau VPC annoncer la route de sous-réseau NAT privée à l'aide d'un routeur Cloud Router, Cette route de sous-réseau ne doit pas chevaucher un sous-réseau existant réseaux connectés.
Le NAT hybride effectue la NAT sur le trafic provenant d'une d'un réseau VPC à un réseau sur site ou à un autre et le réseau d'un fournisseur d'accès. Les réseaux doivent être connectés Cloud Interconnect ou Cloud VPN.
Le NAT hybride est compatible avec les tunnels VPN classiques existants uniquement si le routage dynamique est activé.
Vous devez créer une règle NAT personnalisée avec une expression de correspondance nexthop.is_hybrid La règle NAT spécifie une plage d'adresses IP NAT à partir d'une sous-réseau de l'objectif PRIVATE_NAT que les ressources de votre VPC réseau peut utiliser pour communiquer avec d’autres réseaux.
Routeur cloud sur lequel vous configurez le NAT hybride doivent se trouver dans la même région que le réseau VPC.
Routeur cloud sur lequel vous configurez le NAT hybride ne peut contenir aucune autre configuration NAT.

Configuration et workflow NAT hybrides de base

Le schéma suivant illustre une configuration NAT hybride de base:

Exemple de traduction NAT hybride. — Exemple de traduction NAT hybride (cliquez pour agrandir).

Dans cet exemple, le NAT hybride est configuré comme suit:

La passerelle pvt-nat-gw est configurée dans vpc-a pour s'appliquer à toutes les adresses IP plages d'adresses IP de subnet-a dans la région us-east1.
Cloud Router et le routeur sur site ou d'un autre fournisseur de services cloud les routes de sous-réseau suivantes:
- Cloud Router annonce 10.1.2.0/29 au sur votre routeur externe.
- Le routeur externe annonce 192.168.2.0/24 aux Cloud Router.
En utilisant la plage d'adresses IP NAT de pvt-nat-gw, une machine virtuelle (VM) l'instance située dans la région subnet-a sur vpc-a peut envoyer du trafic vers une VM située dans la région subnet-b de au réseau sur site ou au réseau d'un autre fournisseur de services cloud, même si Le sous-réseau subnet-a de vpc-a chevauche un autre sous-réseau du autre que Google Cloud.

Exemple de workflow de NAT hybride

Dans le schéma précédent, vm-a avec l'adresse IP interne 192.168.1.2 dans subnet-a sur vpc-a doit télécharger une mise à jour à partir de vm-b avec la couche interne l'adresse IP 192.168.2.2 dans la région subnet-b d'un réseau sur site ; ou celui d'un autre fournisseur de services cloud. Cloud Interconnect se connecte de votre réseau VPC au réseau sur site ou à un autre et le réseau d'un fournisseur d'accès. Supposons que le réseau autre que Google Cloud contient un autre sous-réseau 192.168.1.0/24 qui chevauche le sous-réseau de la région vpc-a. Pour que subnet-a de vpc-a communique avec subnet-b des autre que Google Cloud, vous devez configurer Passerelle NAT privée, pvt-nat-gw, dans vpc-a, comme suit:

spécifier un sous-réseau NAT privé de l'objectif PRIVATE_NAT ; Exemple : 10.1.2.0/29. Créer ce sous-réseau avant le la configuration de la passerelle NAT privée. Assurez-vous que ce sous-réseau ne chevauche pas un sous-réseau existant dans les réseaux connectés.
Créez une règle NAT avec match='nexthop.is_hybrid'.
Configurer la passerelle NAT privée à appliquer à toutes les adresses IP plages de subnet-a.

La NAT hybride suit la procédure de réservation de port pour réserver l'adresse IP source NAT suivante et les tuples de port source pour chacune des VM du réseau. Par exemple, La passerelle NAT privée réserve 64 ports sources pour vm-a: De 10.1.2.2:34000 à 10.1.2.2:34063.

Lorsque la VM utilise le protocole TCP pour envoyer un paquet au serveur de mise à jour 192.168.2.2 sur le port de destination 80, voici ce qui se produit:

La VM envoie un paquet de requête avec les attributs suivants :
- Adresse IP source: 192.168.1.2, l'adresse IP interne de la VM
- Port source: 24000, le port source éphémère choisi par le système d'exploitation de la VM
- Adresse de destination: 192.168.2.2, l'adresse IP du serveur de mise à jour
- Port de destination: 80, port de destination du trafic HTTP vers le serveur de mise à jour
- Protocol (Protocole) : TCP
La passerelle pvt-nat-gw effectue une traduction d'adresse réseau source (SNAT ou NAT source) à la sortie, la réécriture de la requête l'adresse IP source et le port source NAT du paquet:
- Adresse IP source NAT: 10.1.2.2, provenant de l'une des sources NAT réservées de la VM Des tuples d'adresse IP et de port source
- Port source : 34022, un port source inutilisé de l'un des tuples de port source réservés de la VM
- Adresse de destination : 192.168.2.2, inchangée
- Port de destination : 80, inchangé
- Protocole: TCP, inchangé
Le serveur de mise à jour envoie un paquet de réponse qui arrive sur le Passerelle pvt-nat-gw avec les attributs suivants:
- Adresse IP source: 192.168.2.2, l'adresse IP interne du serveur de mise à jour
- Port source : 80, la réponse HTTP du serveur de mise à jour
- Adresse de destination: 10.1.2.2, qui correspond à l'adresse IP source NAT d'origine du paquet de requête
- Port de destination: 34022, qui correspond au port source du paquet de requête
- Protocole: TCP, inchangé
La passerelle pvt-nat-gw effectue la traduction de l'adresse réseau de destination (DNAT) sur le paquet de réponse et réécrit la destination du paquet de réponse l'adresse e-mail et le port de destination afin que le paquet soit livré à la VM qui a demandé la mise à jour avec les attributs suivants:
- Adresse IP source : 192.168.2.2, inchangée
- Port source : 80, inchangé
- Adresse de destination: 192.168.1.2, l'adresse IP interne de la VM
- Port de destination: 24000, correspondant au port source éphémère d'origine du paquet de requête
- Protocole: TCP, inchangé

Étape suivante

Configurez le NAT hybride.
Découvrez les interactions avec les produits Cloud NAT.
Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
Apprenez-en plus sur les règles Cloud NAT.
Résolvez les problèmes courants.