Questa pagina è stata tradotta dall'API Cloud Translation.

NAT ibrido

Hybrid NAT, un tipo di NAT privato, consente di eseguire la Network Address Translation (NAT) tra una rete Virtual Private Cloud (VPC) e una rete on-premise o la rete di un altro provider cloud. La rete non Google Cloud deve essere alla rete VPC mediante il deployment Prodotti per la connettività di rete come Cloud Interconnect o Cloud VPN.

Specifiche

Oltre alle specifiche generali di NAT privato, NAT ibrido ha le seguenti specifiche:

La NAT ibrida consente a una rete VPC di comunicare con una rete on-premise o con la rete di un altro cloud provider anche se gli intervalli di indirizzi IP delle sottoreti delle reti si sovrappongono. Se utilizzi una configurazione NAT di type=PRIVATE, le risorse sia nelle subnet sovrapposte sia in quelle non sovrapposte della rete VPC possono connettersi alle risorse nelle subnet non sovrapposte della rete non Google Cloud.
Per abilitare Hybrid NAT, la rete non Google Cloud deve annunciarle route dinamiche in modo che la rete VPC possa apprenderle e utilizzarle. Il tuo router Cloud apprende queste route dinamiche dai prodotti per la connettività di rete di Google Cloud come Cloud Interconnect, VPN ad alta disponibilità VPN classica con routing dinamico configurato. Le destinazioni di queste route dinamiche sono intervalli di indirizzi IP esterni alla rete VPC.

Nota: è necessario pubblicizzare solo le route di subnet che non si sovrappongono. non devono essere annunciate route di subnet sovrapposte.

Analogamente, per il traffico di ritorno, la tua rete VPC deve fare pubblicità la route di subnet Private NAT utilizzando un router Cloud e questa route di subnet non deve sovrapporsi a una subnet esistente reti connesse.
Hybrid NAT esegue la NAT sul traffico proveniente da una rete VPC a una rete on-premise o a un'altra rete del provider cloud. Le reti devono essere connesse tramite Cloud Interconnect o Cloud VPN.
Il NAT ibrido supporta i tunnel VPN classica esistenti solo se il routing dinamico è abilitato.
Devi creare una regola NAT personalizzata con un'espressione di corrispondenza nexthop.is_hybrid. La regola NAT specifica un intervallo di indirizzi IP NAT di una subnet di destinazione PRIVATE_NAT che le risorse della tua rete VPC possono utilizzare per comunicare con altre reti.
Il router Cloud su cui configuri il NAT ibrido deve trovarsi nella stessa regione della rete VPC.
Il router Cloud su cui configuri il NAT ibrido non può contenere altre configurazioni NAT.

Flusso di lavoro e configurazione di base di Hybrid NAT

Il seguente diagramma mostra una configurazione di base di NAT ibrido:

Esempio di traduzione di NAT ibrido. — Esempio di traduzione con Hybrid NAT (fai clic per ingrandire).

In questo esempio, la NAT ibrida è configurata come segue:

Il gateway pvt-nat-gw è configurato in vpc-a per essere applicato a tutti gli intervalli di indirizzi IP di subnet-a nella regione us-east1.
Il router Cloud e il router on-premise o di un altro provider cloud scambiano le seguenti route di subnet:
- Cloud Router pubblicizza 10.1.2.0/29 al router esterno.
- Il router esterno annuncia 192.168.2.0/24 a router Cloud.
Utilizzando l'intervallo di indirizzi IP NAT pvt-nat-gw, un'istanza di una macchina virtuale (VM) in subnet-a di vpc-a può inviare traffico a una VM in subnet-b della rete on-premise o della rete di un altro provider cloud, anche se subnet-a di vpc-a si sovrappone a un'altra sottorete nella rete non Google Cloud.

Esempio di flusso di lavoro di Hybrid NAT

Nel diagramma precedente, vm-a con l'indirizzo IP interno 192.168.1.2 in subnet-a di vpc-a deve scaricare un aggiornamento da vm-b con il Indirizzo IP 192.168.2.2 in subnet-b di un'infrastruttura on-premise o un'altra rete di provider cloud. Cloud Interconnect si connette dalla tua rete VPC alla rete on-premise o a un altro della rete del provider. Supponiamo che la rete non Google Cloud contenga un'altra subnet 192.168.1.0/24 che si sovrapponga alla subnet in vpc-a. Affinché subnet-a di vpc-a possa comunicare con subnet-b della rete non Google Cloud, devi configurare un gateway NAT privato, pvt-nat-gw, in vpc-a come segue:

Specifica una subnet NAT privata con scopo PRIVATE_NAT. ad esempio 10.1.2.0/29. Crea la subnet prima del giorno per configurare il gateway Private NAT. Assicurati che questa subnet non si sovrappone a una subnet esistente in nessuna delle reti connesse.
Crea una regola NAT con match='nexthop.is_hybrid'.
Configura il gateway Private NAT in modo che si applichi a tutti gli indirizzi IP intervalli di subnet-a.

Hybrid NAT segue la procedura di prenotazione delle porte per prenotare le seguenti tuple di indirizzo IP di origine e porta di origine NAT per ciascuna delle VM nella rete. Ad esempio, Il gateway Private NAT prenota 64 porte di origine per vm-a: Da 10.1.2.2:34000 a 10.1.2.2:34063.

Quando la VM utilizza il protocollo TCP per inviare un pacchetto al server di aggiornamento 192.168.2.2 sulla porta di destinazione 80, si verifica quanto segue:

La VM invia un pacchetto di richiesta con i seguenti attributi:
- Indirizzo IP di origine: 192.168.1.2, l'indirizzo IP interno della VM
- Porta di origine: 24000, la porta di origine temporanea scelta dal sistema operativo della VM
- Indirizzo di destinazione: 192.168.2.2, l'indirizzo IP del server di aggiornamento
- Porta di destinazione: 80, la porta di destinazione per il traffico HTTP verso il server di aggiornamento
- Protocollo: TCP
Il gateway pvt-nat-gw esegue la Network Address Translation di origine (SNAT o NAT di origine) sul traffico in uscita, riscrivendo la richiesta indirizzo IP di origine NAT del pacchetto e porta di origine:
- Indirizzo IP di origine NAT: 10.1.2.2, da una delle tuple di indirizzo IP di origine e porta di origine NAT riservate della VM
- Porta di origine: 34022, una porta di origine inutilizzata da una delle porte riservate della VM tuple di porte di origine
- Indirizzo di destinazione: 192.168.2.2, invariato
- Porta di destinazione: 80, invariata
- Protocollo: TCP, invariato
Il server di aggiornamento invia un pacchetto di risposta che arriva pvt-nat-gw gateway con questi attributi:
- Indirizzo IP di origine: 192.168.2.2, l'indirizzo IP interno del server di aggiornamento
- Porta di origine: 80, la risposta HTTP del server di aggiornamento
- Indirizzo di destinazione: 10.1.2.2, che corrisponde all'indirizzo IP di origine NAT originale del pacchetto di richiesta
- Porta di destinazione: 34022, che corrisponde alla porta di origine del pacchetto di richiesta
- Protocollo: TCP, invariato
Il gateway pvt-nat-gw esegue la traduzione dell'indirizzo di rete di destinazione (DNAT) sul pacchetto di risposta e riscrivi l'indirizzo di destinazione e la porta di destinazione del pacchetto in modo che venga consegnato alla VM che ha richiesto l'aggiornamento con i seguenti attributi:
- Indirizzo IP di origine: 192.168.2.2, invariato
- Porta di origine: 80, invariata
- Indirizzo di destinazione: 192.168.1.2, l'indirizzo IP interno della VM
- Porta di destinazione: 24000, corrispondente alla porta di origine temporanea originale del pacchetto di richiesta
- Protocollo: TCP, invariato

Passaggi successivi

Configura Hybrid NAT.
Scopri di più sulle interazioni dei prodotti Cloud NAT.
Scopri di più su indirizzi e porte Cloud NAT.
Scopri di più sulle regole Cloud NAT.
Risolvi i problemi comuni.