NAT hybride

Le NAT hybride, une offre de NAT privée, vous permet d'effectuer la traduction d'adresses réseau (NAT) d'adresses IP entre un réseau cloud privé virtuel (VPC) et un réseau sur site ou tout autre réseau de fournisseur cloud. Ces réseaux doivent être connectés à votre réseau VPC à l'aide des produits de connectivité hybride d'entreprise de Google Cloud, tels que Cloud VPN.

Spécifications

En plus des spécifications de NAT privé générique, tenez compte des spécifications suivantes pour le NAT hybride:

La NAT hybride permet à un réseau VPC de communiquer avec un réseau sur site ou avec n'importe quel réseau d'un autre fournisseur cloud, même si les plages d'adresses IP de sous-réseau des réseaux communicants se chevauchent. Avec une configuration NAT de type=PRIVATE, les ressources du réseau VPC (qu'elles se trouvent dans les sous-réseaux avec ou sans chevauchement) ne peuvent se connecter aux ressources que dans les sous-réseaux qui ne se chevauchent pas du réseau sur site ou de tout autre réseau de fournisseur cloud.
Pour activer le NAT hybride, le réseau sur site ou le réseau de l'autre fournisseur cloud doit annoncer ses routes dynamiques afin que votre réseau VPC puisse les apprendre et les utiliser. Votre routeur Cloud Router apprend ces routes dynamiques à partir des solutions de connectivité hybride de Google Cloud, telles que les VPN haute disponibilité ou les VPN classiques avec routage dynamique configuré. Les destinations de ces routes dynamiques sont des plages d'adresses IP extérieures à votre réseau VPC.

De même, pour le trafic de retour, votre réseau VPC doit annoncer la route de sous-réseau NAT privé à l'aide d'un routeur Cloud Router.

Remarque :Seules les routes de sous-réseau qui ne se chevauchent pas doivent être annoncées. Les routes de sous-réseau qui se chevauchent ne doivent pas l'être. Vous devez utiliser Cloud Router pour annoncer les routes de sous-réseau qui ne se chevauchent pas.
La fonctionnalité NAT hybride exécute la NAT sur le trafic provenant d'un réseau VPC vers un réseau sur site ou vers tout autre réseau d'un fournisseur cloud. Les réseaux doivent être connectés par Cloud VPN via des routes dynamiques.
La NAT hybride n'est compatible avec les tunnels VPN classiques existants que si le routage dynamique est activé.
Vous devez créer une règle NAT personnalisée avec une expression de correspondance nexthop.is_hybrid. La règle NAT spécifie une plage d'adresses IP NAT provenant d'un sous-réseau de rôle PRIVATE_NAT que les ressources de votre réseau VPC peuvent utiliser pour communiquer avec d'autres réseaux.
Le NAT hybride est compatible avec toutes les régions Google Cloud, à l'exception de us-central1 et us-east4.
Le routeur cloud sur lequel vous configurez la NAT hybride doit se trouver dans la même région que le réseau VPC.
Le routeur cloud sur lequel vous configurez la NAT hybride ne peut contenir aucune autre configuration NAT.
Vous ne devez pas configurer la NAT hybride dans un réseau VPC contenant des rattachements Cloud Interconnect.

Configuration et workflow hybrides de base de la NAT

Le schéma suivant illustre une configuration NAT hybride de base:

Exemple de traduction de NAT hybride. — Exemple de traduction NAT hybride (cliquez pour agrandir).

Dans cet exemple, le NAT hybride est configuré comme suit:

La passerelle pvt-nat-gw est configurée dans vpc-a pour s'appliquer à toutes les plages d'adresses IP de subnet-a dans la région us-east1.
En utilisant les plages d'adresses IP NAT de pvt-nat-gw, une instance de machine virtuelle (VM) dans subnet-a de vpc-a peut envoyer du trafic vers une VM dans la région subnet-b d'un réseau sur site ou de tout autre réseau de fournisseur cloud, même si subnet-a de vpc-a chevauche un autre sous-réseau du réseau sur site ou d'un autre fournisseur cloud.

Exemple de workflow NAT hybride

Dans le schéma précédent, vm-a avec l'adresse IP interne 192.168.1.2 dans subnet-a de vpc-a doit télécharger une mise à jour depuis vm-b avec l'adresse IP interne 192.168.2.2 dans subnet-b d'un réseau sur site ou de tout autre réseau d'un fournisseur cloud. Cloud VPN connecte votre réseau VPC à un réseau sur site ou à tout autre réseau d'un fournisseur cloud. Supposons que le réseau sur site ou le réseau de l'autre fournisseur cloud contient un autre sous-réseau 192.168.1.0/24 qui chevauche le sous-réseau de la région vpc-a. Pour que subnet-a de vpc-a puisse communiquer avec subnet-b du réseau sur site ou de l'autre fournisseur cloud, vous devez configurer une passerelle NAT privée, pvt-nat-gw, dans vpc-a comme suit:

Sous-réseau NAT privé: créez ce sous-réseau avec une plage d'adresses IP de sous-réseau 10.1.2.0/29 et une finalité PRIVATE_NAT avant de configurer la passerelle NAT privée. Assurez-vous que ce sous-réseau ne chevauche pas un sous-réseau existant dans l'un des réseaux connectés.
Une règle NAT avec match='nexthop.is_hybrid'
NAT pour toutes les plages d'adresses de subnet-a.

La NAT hybride suit la procédure de réservation de port pour réserver les tuples d'adresse IP source et de port source suivants pour chacune des VM du réseau. Par exemple, la passerelle NAT privée réserve 64 ports sources pour vm-a : 10.1.2.2:34000 à 10.1.2.2:34063.

Lorsque la VM utilise le protocole TCP pour envoyer un paquet au serveur de mise à jour 192.168.2.2 sur le port de destination 80, voici ce qui se produit:

La VM envoie un paquet de requête avec les attributs suivants :
- Adresse IP source: 192.168.1.2, l'adresse IP interne de la VM
- Port source: 24000, le port source éphémère choisi par le système d'exploitation de la VM
- Adresse de destination: 192.168.2.2, l'adresse IP du serveur de mise à jour
- Port de destination: 80, le port de destination du trafic HTTP vers le serveur de mise à jour
- Protocol (Protocole) : TCP
La passerelle pvt-nat-gw effectue la traduction d'adresse réseau source (SNAT ou NAT source) en sortie, en réécrivant l'adresse IP source et le port source du paquet de requête:
- Adresse IP source NAT: 10.1.2.2, provenant de VM'un des tuples d'adresse IP source et de port source NAT
- Port source : 34022, un port source inutilisé de l'un des tuples de port source réservés de la VM
- Adresse de destination : 192.168.2.2, inchangée
- Port de destination : 80, inchangé
- Protocole: TCP, inchangé
Le serveur de mise à jour envoie un paquet de réponse qui arrive sur la passerelle pvt-nat-gw avec les attributs suivants:
- Adresse IP source: 192.168.2.2, l'adresse IP interne du serveur de mise à jour
- Port source : 80, la réponse HTTP du serveur de mise à jour
- Adresse de destination: 10.1.2.2, qui correspond à l'adresse IP source NAT d'origine du paquet de requête
- Port de destination: 34022, qui correspond au port source du paquet de requête
- Protocole: TCP, inchangé
La passerelle pvt-nat-gw effectue la traduction d'adresse réseau de destination (DNAT) sur le paquet de réponse et réécrit l'adresse et le port de destination du paquet de réponse afin que le paquet soit transmis à la VM qui a demandé la mise à jour avec les attributs suivants:
- Adresse IP source : 192.168.2.2, inchangée
- Port source : 80, inchangé
- Adresse de destination: 192.168.1.2, l'adresse IP interne de la VM
- Port de destination: 24000, correspondant au port source éphémère d'origine du paquet de requête
- Protocole: TCP, inchangé

Étapes suivantes

Configurer le NAT hybride
Découvrez les interactions avec les produits Cloud NAT.
Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
Apprenez-en plus sur les règles Cloud NAT.
Résolvez les problèmes courants.