Hybrid NAT

Mit Hybrid-NAT, einer Art von Privatem NAT, können Sie die Network Address Translation (NAT) zwischen einem VPC-Netzwerk (Virtual Private Cloud) und einem lokalen Netzwerk oder einem Netzwerk eines anderen Cloud-Anbieters ausführen. Das Nicht-Google Cloud-Netzwerk muss über die Netzwerkkonnektivitätsprodukte von Google Cloud wie Cloud Interconnect oder Cloud VPN mit Ihrem VPC-Netzwerk verbunden sein.

Spezifikationen

Zusätzlich zu den allgemeinen Spezifikationen für Private NAT gelten für Hybrid-NAT die folgenden Spezifikationen:

• Mit Hybrid-NAT kann ein VPC-Netzwerk mit einem lokalen Netzwerk oder einem anderen Netzwerk eines Cloud-Anbieters kommunizieren, auch wenn sich die IP-Adressbereiche der Subnetze der Netzwerke überschneiden. Mit einer NAT-Konfiguration von type=PRIVATE können Ressourcen sowohl in den sich überschneidenden als auch in den nicht überschneidenden Subnetzen des VPC-Netzwerk eine Verbindung zu Ressourcen in den nicht überschneidenden Subnetzen des nicht zu Google Cloud gehörenden Netzwerks herstellen.

• Damit Hybrid NAT aktiviert werden kann, muss das Nicht-Google Cloud-Netzwerk seine dynamischen Routen ankündigen, damit sie von Ihrem VPC-Netzwerk gelernt und verwendet werden können. Diese dynamischen Routen werden von Cloud Router aus den Network Connectivity-Produkten von Google Cloud wie Cloud Interconnect, HA VPN oder Klassisches VPN mit konfiguriertem dynamischen Routing abgeleitet. Die Ziele dieser dynamischen Routen sind IP-Adressbereiche außerhalb Ihres VPC-Netzwerks.

  Ebenso muss Ihr VPC-Netzwerk die Subnetzroute für Private NAT über einen Cloud Router anbieten. Diese Subnetzroute darf sich nicht mit einem vorhandenen Subnetz in den verbundenen Netzwerken überschneiden.

• Bei der Hybrid-NAT wird NAT für Traffic ausgeführt, der aus einem VPC-Netzwerk an ein lokales Netzwerk oder ein anderes Netzwerk eines Cloud-Anbieters weitergeleitet wird. Die Netzwerke müssen über Cloud Interconnect oder Cloud VPN verbunden sein.

• Hybrid-NAT unterstützt vorhandene Klassisches VPN-Tunnel nur, wenn dynamisches Routing aktiviert ist.

• Sie müssen eine benutzerdefinierte NAT-Regel mit einem Abgleichsausdruck erstellen. nexthop.is_hybrid Die NAT-Regel gibt einen NAT-IP-Adressbereich aus einem Subnetz mit dem Zweck PRIVATE_NAT an, den die Ressourcen in Ihrem VPC-Netzwerk für die Kommunikation mit anderen Netzwerken verwenden können.

• Der Cloud Router, auf dem Sie Hybrid NAT konfigurieren, muss sich in derselben Region wie das VPC-Netzwerk befinden.

• Der Cloud Router, auf dem Sie Hybrid-NAT konfigurieren, darf keine andere NAT-Konfiguration enthalten.

Grundlegende Hybrid-NAT-Konfiguration und -Workflow

Das folgende Diagramm zeigt eine grundlegende Hybrid-NAT-Konfiguration:

In diesem Beispiel ist Hybrid-NAT so eingerichtet:

• Das Gateway pvt-nat-gw ist in vpc-a so konfiguriert, dass es auf alle IP-Adressbereiche von subnet-a in der Region us-east1 angewendet wird.
• Der Cloud Router und der lokale oder andere Cloud-Anbieter-Router tauschen die folgenden Subnetzrouten aus:
  • Cloud Router bewirbt 10.1.2.0/29 für den externen Router.
  • Der externe Router bewirbt 192.168.2.0/24 für Cloud Router.
• Wenn der NAT-IP-Adressbereich pvt-nat-gw verwendet wird, kann eine VM-Instanz in subnet-a von vpc-a Traffic an eine VM in subnet-b des lokalen Netzwerks oder eines anderen Cloud-Anbieternetzwerks senden, auch wenn sich subnet-a von vpc-a mit einem anderen Subnetz im Netzwerk außerhalb von Google Cloud überschneidet.

Beispiel für einen Hybrid-NAT-Workflow

Im vorherigen Diagramm muss vm-a mit der internen IP-Adresse 192.168.1.2 in subnet-a von vpc-a ein Update von vm-b mit der internen IP-Adresse 192.168.2.2 in subnet-b eines lokalen Netzwerks oder eines anderen Cloud-Anbieternetzwerks herunterladen. Cloud Interconnect verbindet Ihr VPC-Netzwerk mit dem lokalen Netzwerk oder einem anderen Netzwerk eines Cloud-Anbieters. Angenommen, das Nicht-Google Cloud-Netzwerk enthält ein weiteres Subnetz 192.168.1.0/24, das sich mit dem Subnetz in vpc-a überschneidet. Damit subnet-a von vpc-a mit subnet-b des anderen Netzwerks kommunizieren kann, müssen Sie in vpc-a ein privates NAT-Gateway (pvt-nat-gw) so konfigurieren:

• Geben Sie ein Private NAT-Subnetz mit dem Zweck PRIVATE_NAT an, z. B. 10.1.2.0/29. Erstellen Sie dieses Subnetz, bevor Sie das private NAT-Gateway konfigurieren. Achten Sie darauf, dass sich dieses Subnetz nicht mit einem vorhandenen Subnetz in einem der verbundenen Netzwerke überschneidet.
• Erstellen Sie eine NAT-Regel mit match='nexthop.is_hybrid'.
• Konfigurieren Sie das private NAT-Gateway so, dass es auf alle IP-Adressbereiche von subnet-a angewendet wird.

Hybrid-NAT folgt dem Portreservierungsverfahren, um die folgenden Tupel aus NAT-Quell-IP-Adresse und Quellport für jede der VMs im Netzwerk zu reservieren. Das private NAT-Gateway reserviert beispielsweise 64 Quellports für vm-a:10.1.2.2:34000 bis 10.1.2.2:34063.

Wenn die VM ein Paket mit dem TCP-Protokoll an den Update-Server 192.168.2.2 auf dem Zielport 80 sendet, geschieht Folgendes:

1. Die VM sendet ein Anfragepaket mit folgenden Attributen:

   • Quell-IP-Adresse: 192.168.1.2, die interne IP-Adresse der VM
   • Quellport: 24000, der sitzungsspezifische Quellport, der vom Betriebssystem der VM ausgewählt wurde
   • Zieladresse: 192.168.2.2, die IP-Adresse des Update-Servers
   • Zielport: 80, der Zielport für HTTP-Traffic zum Update-Server
   • Protokoll: TCP

2. Das Gateway pvt-nat-gw führt für ausgehenden Traffic eine Quellnetzwerkadressübersetzung (SNAT oder Source NAT) aus und schreibt die NAT-Quell-IP-Adresse und den Quellport des Anfragepakets um:

   • NAT-Quell-IP-Adresse: 10.1.2.2 von einem der reservierten Tupel aus NAT-Quell-IP-Adresse und Quellport
   • Quellport: 34022, ein nicht verwendeter Quellport aus einem der reservierten Quellport-Tupel der VM
   • Zieladresse: 192.168.2.2, unverändert
   • Zielport: 80, unverändert
   • Protokoll: TCP, unverändert

3. Der Updateserver sendet ein Antwortpaket, das mit folgenden Attributen am pvt-nat-gw-Gateway ankommt:

   • Quell-IP-Adresse: 192.168.2.2, die interne IP-Adresse des Update-Servers
   • Quellport: 80, die HTTP-Antwort vom Update-Server
   • Zieladresse: 10.1.2.2, entspricht der ursprünglichen NAT-Quell-IP-Adresse des Anfragepakets
   • Zielport: 34022, entspricht dem Quellport des Anfragepakets
   • Protokoll: TCP, unverändert

4. Das Gateway pvt-nat-gw führt DNAT für das Antwortpaket aus und schreibt die Zieladresse und den Zielport des Antwortpakets um, damit das Paket an die VM gesendet wird, die das Update angefordert hat, mit den folgenden Attributen:

   • Quell-IP-Adresse: 192.168.2.2, unverändert
   • Quellport: 80, unverändert
   • Zieladresse: 192.168.1.2, die interne IP-Adresse der VM
   • Zielport: 24000, entspricht dem ursprünglichen sitzungsspezifischen Quellport des Anfragepakets
   • Protokoll: TCP, unverändert

Nächste Schritte

• Richten Sie Hybrid NAT ein.
• Weitere Informationen zu Cloud NAT-Produktinteraktionen
• Weitere Informationen zu Cloud NAT-Adressen und -Ports
• Weitere Informationen zu Cloud NAT-Regeln
• Häufige Probleme beheben