Questa pagina è stata tradotta dall'API Cloud Translation.

Hybrid NAT

Hybrid NAT, un tipo di Private NAT, consente di eseguire la Network Address Translation (NAT) tra una rete Virtual Private Cloud (VPC) e una rete on-premise o un'altra rete di provider cloud. La rete non Google Cloud deve essere collegata alla rete VPC utilizzando i prodotti per la connettività di rete di Google Cloud, come Cloud Interconnect o Cloud VPN.

Specifiche

Oltre alle specifiche generali di Private NAT, Hybrid NAT ha le seguenti specifiche:

Hybrid NAT consente a una rete VPC di comunicare con una rete on-premise o con la rete di un altro provider cloud anche se gli intervalli di indirizzi IP delle subnet delle reti si sovrappongono. Se utilizzi una configurazione NAT di type=PRIVATE, le risorse sia nelle subnet sovrapposte sia in quelle non sovrapposte della rete VPC possono connettersi alle risorse nelle subnet non sovrapposte della rete non Google Cloud.
Per abilitare Hybrid NAT, la rete non Google Cloud deve annunciarle route dinamiche in modo che la rete VPC possa apprenderle e utilizzarle. Il router Cloud apprende queste route dinamiche dai prodotti di connettività di rete di Google Cloud, come Cloud Interconnect, VPN ad alta disponibilità o VPN classica con il routing dinamico configurato. Le destinazioni di queste route dinamiche sono intervalli di indirizzi IP esterni alla rete VPC.

Nota: devono essere pubblicizzati solo i route subnet non sovrapposti; i route subnet sovrapposti non devono essere pubblicizzati.

Analogamente, per il traffico di ritorno, la rete VPC deve annunciare la route della subnet Private NAT utilizzando un router Cloud, e questa route della subnet non deve sovrapporsi a una subnet esistente nelle reti collegate.
Hybrid NAT esegue la NAT sul traffico proveniente da una rete VPC a una rete on-premise o a un'altra rete del provider cloud. Le reti devono essere connesse tramite Cloud Interconnect o Cloud VPN.
La tecnologia NAT ibrida supporta i tunnel VPN classica esistenti solo se è attivato il routing dinamico.
Devi creare una regola NAT personalizzata con un'espressione di corrispondenza nexthop.is_hybrid. La regola NAT specifica un intervallo di indirizzi IP NAT di una subnet di destinazione PRIVATE_NAT che le risorse della rete VPC possono utilizzare per comunicare con altre reti.
Il router Cloud su cui configuri Hybrid NAT deve trovarsi nella stessa regione della rete VPC.
Il router Cloud su cui configuri Hybrid NAT non può contenere altre configurazioni NAT.

Configurazione e flusso di lavoro di base di Hybrid NAT

Il seguente diagramma mostra una configurazione di NAT ibrido di base:

Esempio di traduzione di Hybrid NAT. — Esempio di traduzione con NAT ibrido (fai clic per ingrandire).

In questo esempio, la NAT ibrida è configurata come segue:

Il gateway pvt-nat-gw è configurato in vpc-a per essere applicato a tutti gli intervalli di indirizzi IP di subnet-a nella regione us-east1.
Il router Cloud e il router on-premise o di un altro provider cloud scambiano le seguenti route di subnet:
- Router Cloud pubblicizza 10.1.2.0/29 al router esterno.
- Il router esterno annuncia 192.168.2.0/24 al router Cloud.
Utilizzando l'intervallo di indirizzi IP NAT pvt-nat-gw, un'istanza di una macchina virtuale (VM) in subnet-a di vpc-a può inviare traffico a una VM in subnet-b della rete on-premise o della rete di un altro provider cloud, anche se subnet-a di vpc-a si sovrappone a un'altra sottorete nella rete non Google Cloud.

Esempio di flusso di lavoro Hybrid NAT

Nel diagramma precedente, vm-a con l'indirizzo IP interno 192.168.1.2 in subnet-a di vpc-a deve scaricare un aggiornamento da vm-b con l'indirizzo IP interno192.168.2.2 in subnet-b di una rete on-premise o di un'altra rete del provider cloud. Cloud Interconnect connette la tua rete VPC alla rete on-premise o alla rete di un altro provider di cloud. Supponiamo che la rete non Google Cloud contenga un'altra subnet 192.168.1.0/24 che si sovrapponga alla subnet in vpc-a. Affinché subnet-a di vpc-a possa comunicare con subnet-b della rete non Google Cloud, devi configurare un gateway Private NAT, pvt-nat-gw, in vpc-a come segue:

Specifica una subnet NAT privata con scopo PRIVATE_NAT, ad esempio 10.1.2.0/29. Crea questa subnet prima di configurare il gateway NAT privato. Assicurati che questa subnet non si sovrapponga a una subnet esistente in nessuna delle reti connesse.
Crea una regola NAT con match='nexthop.is_hybrid'.
Configura il gateway NAT privato in modo che venga applicato a tutti gli intervalli di indirizzi IP di subnet-a.

Hybrid NAT segue la procedura di prenotazione delle porte per prenotare le seguenti tuple di indirizzo IP di origine e porta di origine NAT per ciascuna delle VM nella rete. Ad esempio, il gateway NAT privato riserva 64 porte di origine per vm-a:10.1.2.2:34000 fino a 10.1.2.2:34063.

Quando la VM utilizza il protocollo TCP per inviare un pacchetto al server di aggiornamento192.168.2.2 sulla porta di destinazione 80, si verifica quanto segue:

La VM invia un pacchetto di richiesta con i seguenti attributi:
- Indirizzo IP di origine: 192.168.1.2, l'indirizzo IP interno della VM
- Porta di origine: 24000, la porta di origine temporanea scelta dal sistema operativo della VM
- Indirizzo di destinazione: 192.168.2.2, l'indirizzo IP del server di aggiornamento
- Porta di destinazione: 80, la porta di destinazione per il traffico HTTP al server di aggiornamento
- Protocollo: TCP
Il gateway pvt-nat-gw esegue la Network Address Translation dell'origine (SNAT o NAT di origine) in uscita, riscrivendo l'indirizzo IP di origine e la porta di origine NAT del pacchetto di richiesta:
- Indirizzo IP di origine NAT: 10.1.2.2, da una delle tuple di indirizzo IP di origine e porta di origine NAT riservate della VM
- Porta di origine: 34022, una porta di origine non utilizzata di una delle tuple di porte di origine riservate della VM
- Indirizzo di destinazione: 192.168.2.2, invariato
- Porta di destinazione: 80, invariata
- Protocollo: TCP, invariato
Il server di aggiornamento invia un pacchetto di risposta che arriva sul gateway pvt-nat-gw con i seguenti attributi:
- Indirizzo IP di origine: 192.168.2.2, l'indirizzo IP interno del server di aggiornamento
- Porta di origine: 80, la risposta HTTP del server di aggiornamento
- Indirizzo di destinazione: 10.1.2.2, che corrisponde all'indirizzo IP di origine NAT originale del pacchetto di richiesta
- Porta di destinazione: 34022, che corrisponde alla porta di origine del pacchetto di richiesta
- Protocollo: TCP, invariato
Il gateway pvt-nat-gw esegue la Network Address Translation di destinazione (DNAT) sul pacchetto di risposta e riscrivi l'indirizzo di destinazione e la porta di destinazione del pacchetto in modo che venga consegnato alla VM che ha richiesto l'aggiornamento con i seguenti attributi:
- Indirizzo IP di origine: 192.168.2.2, invariato
- Porta di origine: 80, invariata
- Indirizzo di destinazione: 192.168.1.2, l'indirizzo IP interno della VM
- Porta di destinazione: 24000, corrispondente alla porta di origine temporanea originale del pacchetto di richiesta
- Protocollo: TCP, invariato

Passaggi successivi

Configura Hybrid NAT.
Scopri di più sulle interazioni dei prodotti Cloud NAT.
Scopri di più su indirizzi e porte Cloud NAT.
Scopri di più sulle regole di Cloud NAT.
Risolvi i problemi comuni.