Hybrid-NAT

Hybrid-NAT, ein Angebot für private NAT, mit dem Sie Netzwerkadressübersetzungen (NAT) von IP-Adressen zwischen einem VPC-Netzwerk (Virtual Private Cloud) und einem lokalen Netzwerk oder einem anderen Cloud-Anbieternetzwerk ausführen können. Diese Netzwerke müssen über die Hybridkonnektivitätsprodukte von Google Cloud wie Cloud VPN mit Ihrem VPC-Netzwerk verbunden werden.

Spezifikationen

Beachten Sie neben den allgemeinen Spezifikationen für private NAT die folgenden Spezifikationen für Hybrid-NAT:

  • Hybrid-NAT ermöglicht einem VPC-Netzwerk die Kommunikation mit einem lokalen Netzwerk oder dem Netzwerk eines anderen Cloud-Anbieters, selbst wenn sich die Subnetz-IP-Adressbereiche der kommunizierenden Netzwerke überschneiden. Mithilfe der NAT-Konfiguration von type=PRIVATE können Ressourcen – sowohl in den sich überschneidenden als auch in den nicht überlappenden Subnetzen – des VPC-Netzwerk nur mit den Ressourcen in den nicht überlappenden Subnetzen des lokalen Netzwerks oder eines anderen Cloud-Anbieternetzwerks verbunden werden.

  • Zum Aktivieren von Hybrid-NAT muss das lokale Netzwerk oder das Netzwerk des anderen Cloud-Anbieters seine dynamischen Routen anbieten, damit sie von Ihrem VPC-Netzwerk erkannt und verwendet werden können. Ihr Cloud Router erkennt diese dynamischen Routen aus den Hybridkonnektivitätslösungen von Google Cloud wie HA VPN oder klassisches VPN mit konfiguriertem dynamischem Routing. Die Ziele dieser dynamischen Routen sind IP-Adressbereiche außerhalb Ihres VPC-Netzwerk.

    Ebenso muss Ihr VPC-Netzwerk für den Rücktraffic die private NAT-Subnetzroute mithilfe eines Cloud Router bewerben.

  • Hybrid-NAT führt NAT für Traffic aus, der von einem VPC-Netzwerk zu einem lokalen Netzwerk oder einem Netzwerk eines anderen Cloud-Anbieters stammt. Die Netzwerke müssen über Cloud VPN über dynamische Routen verbunden sein.

  • Hybrid-NAT unterstützt vorhandene Klassisches VPN-Tunnel nur, wenn dynamisches Routing aktiviert ist.

  • Sie müssen eine benutzerdefinierte NAT-Regel mit dem Übereinstimmungsausdruck nexthop.is_hybrid erstellen. Die NAT-Regel gibt einen NAT-IP-Adressbereich aus einem Subnetz des Zwecks PRIVATE_NAT an, den die Ressourcen in Ihrem VPC-Netzwerk für die Kommunikation mit anderen Netzwerken verwenden können.

  • Hybrid-NAT wird in allen Google Cloud-Regionen außer us-central1 und us-east4 unterstützt.

  • Der Cloud Router, auf dem Sie Hybrid-NAT konfigurieren, muss sich in derselben Region wie das VPC-Netzwerk befinden.

  • Der Cloud Router, auf dem Sie die Hybrid-NAT konfigurieren, darf keine andere NAT-Konfiguration enthalten.

  • Sie dürfen Hybrid-NAT nicht in einem VPC-Netzwerk konfigurieren, in dem Cloud Interconnect-Anhänge vorhanden sind.

Grundlegende Hybrid-NAT-Konfiguration und -Workflow

Das folgende Diagramm zeigt eine grundlegende Hybrid-NAT-Konfiguration:

Beispiel für Hybrid-NAT-Übersetzung.
Beispiel für Hybrid-NAT-Übersetzung (zum Vergrößern klicken).

In diesem Beispiel wird Hybrid-NAT so eingerichtet:

  • Das Gateway pvt-nat-gw ist in vpc-a so konfiguriert, dass es für alle IP-Adressbereiche von subnet-a in der Region us-east1 gilt.
  • Mithilfe der NAT-IP-Adressbereiche von pvt-nat-gw kann eine VM-Instanz in subnet-a von vpc-a Traffic an eine VM in subnet-b eines lokalen Netzwerks oder eines anderen Cloud-Anbieternetzwerks senden, auch wenn sich subnet-a von vpc-a mit einem anderen Subnetz im lokalen Netzwerk oder dem Netzwerk eines anderen Cloud-Anbieters überschneidet.

Beispiel für Hybrid-NAT-Workflow

Im vorherigen Diagramm muss vm-a mit der internen IP-Adresse 192.168.1.2 in subnet-a von vpc-a ein Update von vm-b mit der internen IP-Adresse 192.168.2.2 in subnet-b eines lokalen Netzwerks oder eines anderen Cloud-Anbieternetzwerks herunterladen. Cloud VPN verbindet Ihr VPC-Netzwerk mit einem lokalen Netzwerk oder einem Netzwerk eines anderen Cloud-Anbieters. Angenommen, das lokale Netzwerk oder das Netzwerk des anderen Cloud-Anbieters enthält ein weiteres Subnetz 192.168.1.0/24, das sich mit dem Subnetz in vpc-a überschneidet. Damit subnet-a von vpc-a mit subnet-b des lokalen Netzwerks oder des Netzwerks des anderen Cloud-Anbieters kommunizieren kann, müssen Sie ein privates NAT-Gateway pvt-nat-gw in vpc-a so konfigurieren:

  • Privates NAT-Subnetz: Erstellen Sie dieses Subnetz mit dem Subnetz-IP-Adressbereich 10.1.2.0/29 und dem Zweck PRIVATE_NAT, bevor Sie das private NAT-Gateway konfigurieren. Achten Sie darauf, dass sich dieses Subnetz nicht mit einem vorhandenen Subnetz in einem der verbundenen Netzwerke überschneidet.
  • Eine NAT-Regel mit match='nexthop.is_hybrid'.
  • NAT für alle Adressbereiche von subnet-a.

Hybrid-NAT folgt dem Portreservierungsverfahren, um die folgenden Tupel aus NAT-Quell-IP-Adresse und Quellport für jede der VMs im Netzwerk zu reservieren. Das private NAT-Gateway reserviert beispielsweise 64 Quellports für vm-a: 10.1.2.2:34000 bis 10.1.2.2:34063.

Wenn die VM das TCP-Protokoll verwendet, um ein Paket an den Update-Server 192.168.2.2 an den Zielport 80 zu senden, geschieht Folgendes:

  1. Die VM sendet ein Anfragepaket mit folgenden Attributen:

    • Quell-IP-Adresse: 192.168.1.2, die interne IP-Adresse der VM
    • Quellport: 24000, der sitzungsspezifische Quellport, der vom Betriebssystem der VM ausgewählt wurde
    • Zieladresse: 192.168.2.2, IP-Adresse des Update-Servers
    • Zielport: 80, der Zielport für HTTP-Traffic zum Update-Server
    • Protokoll: TCP

  2. Das Gateway pvt-nat-gw führt für ausgehenden Traffic eine Quellnetzwerkadressübersetzung (SNAT oder Quell-NAT) durch und schreibt die NAT-Quell-IP-Adresse und den Quellport des Anfragepakets um:

    • NAT-Quell-IP-Adresse: 10.1.2.2 aus einem der reservierten Tupel aus NAT-Quell-IP-Adresse und Quellport der VM
    • Quellport: 34022, ein nicht verwendeter Quellport aus einem der reservierten Quellport-Tupel der VM
    • Zieladresse: 192.168.2.2, unverändert
    • Zielport: 80, unverändert
    • Protokoll: TCP, unverändert

  3. Der Updateserver sendet ein Antwortpaket, das mit den folgenden Attributen auf dem Gateway pvt-nat-gw ankommt:

    • Quell-IP-Adresse: 192.168.2.2, die interne IP-Adresse des Update-Servers
    • Quellport: 80, die HTTP-Antwort vom Update-Server
    • Zieladresse: 10.1.2.2; entspricht der ursprünglichen NAT-Quell-IP-Adresse des Anfragepakets
    • Zielport: 34022, der mit dem Quellport des Anfragepakets übereinstimmt
    • Protokoll: TCP, unverändert

  4. Das Gateway pvt-nat-gw führt DNAT (Destination Network Address Translation) für das Antwortpaket aus und schreibt die Zieladresse und den Zielport des Antwortpakets so um, dass das Paket an die VM übertragen wird, die die Aktualisierung mit den folgenden Attributen angefordert hat:

    • Quell-IP-Adresse: 192.168.2.2, unverändert
    • Quellport: 80, unverändert
    • Zieladresse: 192.168.1.2, die interne IP-Adresse der VM
    • Zielport: 24000, entspricht dem ursprünglichen sitzungsspezifischen Quellport des Anfragepakets
    • Protokoll: TCP, unverändert

Nächste Schritte