Hybrid NAT

Hybrid NAT, jenis Private NAT, memungkinkan Anda melakukan penafsiran alamat jaringan (NAT) antara jaringan Virtual Private Cloud (VPC) dan jaringan lokal atau jaringan penyedia cloud lainnya. Jaringan non-Google Cloud harus terhubung ke jaringan VPC Anda menggunakan produk Network Connectivity Google Cloud seperti Cloud Interconnect atau Cloud VPN.

Spesifikasi

Selain spesifikasi NAT Pribadi umum, Hybrid NAT memiliki spesifikasi berikut:

  • Hybrid NAT memungkinkan jaringan VPC berkomunikasi dengan jaringan lokal atau jaringan penyedia cloud lainnya meskipun rentang alamat IP subnet jaringan tumpang-tindih. Dengan menggunakan konfigurasi NAT type=PRIVATE, resource di subnet yang tumpang-tindih dan tidak tumpang-tindih di jaringan VPC dapat terhubung ke resource di subnet yang tidak tumpang-tindih di jaringan non-Google Cloud.
  • Untuk mengaktifkan Hybrid NAT, jaringan non-Google Cloud harus mengumumkan rute dinamisnya agar jaringan VPC Anda dapat mempelajari dan menggunakannya. Cloud Router mempelajari rute dinamis ini dari produk Network Connectivity Google Cloud seperti Cloud Interconnect, VPN dengan ketersediaan tinggi (HA), atau VPN Klasik dengan perutean dinamis yang dikonfigurasi. Tujuan rute dinamis ini adalah rentang alamat IP di luar jaringan VPC Anda.

    Demikian pula, untuk traffic kembali, jaringan VPC Anda harus mengumumkan rute subnet NAT Pribadi menggunakan Cloud Router, dan rute subnet ini tidak boleh tumpang tindih dengan subnet yang ada di jaringan yang terhubung.

  • Hybrid NAT melakukan NAT pada traffic yang berasal dari jaringan VPC ke jaringan lokal atau jaringan penyedia cloud lainnya. Jaringan harus terhubung oleh Cloud Interconnect atau Cloud VPN.

  • NAT Hybrid hanya mendukung tunnel VPN Klasik yang ada jika perutean dinamis diaktifkan.

  • Anda perlu membuat aturan NAT kustom dengan ekspresi pencocokan nexthop.is_hybrid. Aturan NAT menentukan rentang alamat IP NAT dari subnet tujuan PRIVATE_NAT yang dapat digunakan resource di jaringan VPC Anda untuk berkomunikasi dengan jaringan lain.

  • Cloud Router tempat Anda mengonfigurasi Hybrid NAT harus berada di region yang sama dengan jaringan VPC.

  • Cloud Router tempat Anda mengonfigurasi Hybrid NAT tidak dapat berisi konfigurasi NAT lainnya.

Alur kerja dan konfigurasi Hybrid NAT dasar

Diagram berikut menunjukkan konfigurasi Hybrid NAT dasar:

Contoh terjemahan Hybrid NAT.
Contoh terjemahan Hybrid NAT (klik untuk memperbesar).

Dalam contoh ini, Hybrid NAT disiapkan sebagai berikut:

  • Gateway pvt-nat-gw dikonfigurasi di vpc-a untuk diterapkan ke semua rentang alamat IP subnet-a di region us-east1.
  • Cloud Router dan router penyedia cloud lokal atau lainnya bertukar rute subnet berikut:
    • Cloud Router mengiklankan 10.1.2.0/29 ke router eksternal.
    • Router eksternal mengiklankan 192.168.2.0/24 ke Cloud Router.
  • Dengan menggunakan rentang alamat IP NAT pvt-nat-gw, instance virtual machine (VM) di subnet-a dari vpc-a dapat mengirim traffic ke VM di subnet-b dari jaringan lokal atau jaringan penyedia cloud lainnya, meskipun subnet-a dari vpc-a tumpang-tindih dengan subnet lain di jaringan non-Google Cloud.

Contoh alur kerja Hybrid NAT

Pada diagram sebelumnya, vm-a dengan alamat IP internal 192.168.1.2 di subnet-a dari vpc-a perlu mendownload update dari vm-b dengan alamat IP internal 192.168.2.2 di subnet-b dari jaringan lokal atau jaringan penyedia cloud lainnya. Cloud Interconnect menghubungkan jaringan VPC Anda ke jaringan lokal atau jaringan penyedia cloud lainnya. Asumsikan bahwa jaringan non-Google Cloud berisi subnet lain 192.168.1.0/24 yang tumpang-tindih dengan subnet di vpc-a. Agar subnet-a dari vpc-a dapat berkomunikasi dengan subnet-b dari jaringan non-Google Cloud, Anda perlu mengonfigurasi gateway NAT Pribadi, pvt-nat-gw, di vpc-a sebagai berikut:

  • Tentukan subnet Private NAT dengan tujuan PRIVATE_NAT, misalnya, 10.1.2.0/29. Buat subnet ini sebelum mengonfigurasi gateway NAT Pribadi. Pastikan subnet ini tidak tumpang-tindih dengan subnet yang ada di jaringan yang terhubung.
  • Buat aturan NAT dengan match='nexthop.is_hybrid'.
  • Konfigurasikan gateway NAT Pribadi untuk diterapkan ke semua rentang alamat IP subnet-a.

NAT campuran mengikuti prosedur reservasi port untuk mencadangkan alamat IP sumber NAT dan tuple port sumber berikut untuk setiap VM di jaringan. Misalnya, gateway NAT Pribadi mencadangkan 64 port sumber untuk vm-a: 10.1.2.2:34000 hingga 10.1.2.2:34063.

Saat VM menggunakan protokol TCP untuk mengirim paket ke server update 192.168.2.2 di port tujuan 80, hal berikut akan terjadi:

  1. VM mengirimkan paket permintaan dengan atribut berikut:

    • Alamat IP sumber: 192.168.1.2, alamat IP internal VM
    • Port sumber: 24000, port sumber ephemeral yang dipilih oleh sistem operasi VM
    • Alamat tujuan: 192.168.2.2, alamat IP server update
    • Port tujuan: 80, port tujuan untuk traffic HTTP ke server update
    • Protokol: TCP
  2. Gateway pvt-nat-gw melakukan penafsiran alamat jaringan sumber (SNAT atau NAT sumber) pada traffic keluar, dengan menulis ulang alamat IP sumber NAT dan port sumber paket permintaan:

    • Alamat IP sumber NAT: 10.1.2.2, dari salah satu alamat IP sumber NAT VM yang dicadangkan dan tuple port sumber
    • Port sumber: 34022, port sumber yang tidak digunakan dari salah satu tuple port sumber VM yang direservasi
    • Alamat tujuan: 192.168.2.2, tidak berubah
    • Port tujuan: 80, tidak berubah
    • Protokol: TCP, tidak berubah
  3. Server update mengirim paket respons yang tiba di gateway pvt-nat-gw dengan atribut berikut:

    • Alamat IP sumber: 192.168.2.2, alamat IP internal server update
    • Port sumber: 80, respons HTTP dari server update
    • Alamat tujuan: 10.1.2.2, yang cocok dengan alamat IP sumber NAT asli dari paket permintaan
    • Port tujuan: 34022, yang cocok dengan port sumber paket permintaan
    • Protokol: TCP, tidak berubah
  4. Gateway pvt-nat-gw melakukan terjemahan alamat jaringan tujuan (DNAT) pada paket respons, dan menulis ulang alamat tujuan dan port tujuan paket respons sehingga paket dikirim ke VM yang meminta update dengan atribut berikut:

    • Alamat IP sumber: 192.168.2.2, tidak berubah
    • Port sumber: 80, tidak berubah
    • Alamat tujuan: 192.168.1.2, alamat IP internal VM
    • Port tujuan: 24000, yang cocok dengan port sumber sementara asli dari paket permintaan
    • Protokol: TCP, tidak berubah

Langkah selanjutnya