NAT ibrido

Hybrid NAT, un'offerta Private NAT, consente di eseguire traduzioni degli indirizzi di rete (NAT) di indirizzi IP tra una rete Virtual Private Cloud (VPC) e una rete on-premise o su qualsiasi altra rete di cloud provider. Queste reti devono essere connesse alla rete VPC utilizzando i prodotti di connettività ibrida aziendale di Google Cloud come Cloud VPN.

Specifiche

Oltre alle specifiche generiche Private NAT, tieni conto delle seguenti specifiche per Hybrid NAT:

Il NAT ibrido consente a una rete VPC di comunicare con una rete on-premise o con qualsiasi altra rete di cloud provider, anche se gli intervalli di indirizzi IP della subnet delle reti comunicanti si sovrappongono. Utilizzando una configurazione NAT di type=PRIVATE, le risorse (sia in subnet sovrapposte che non sovrapposte) della rete VPC possono connettersi alle risorse solo nelle subnet non sovrapposte della rete on-premise o in quella di qualsiasi altro cloud provider.
Per abilitare il NAT ibrido, la rete on-premise o la rete dell'altro cloud provider deve pubblicizzare le proprie route dinamiche in modo che la rete VPC possa impararle e utilizzarle. Il router Cloud apprende queste route dinamiche dalle soluzioni di connettività ibrida di Google Cloud come la VPN ad alta disponibilità o la VPN classica con il routing dinamico configurato. Le destinazioni di queste route dinamiche sono intervalli di indirizzi IP esterni alla rete VPC.

Allo stesso modo, per il traffico di ritorno, la rete VPC deve pubblicizzare la route della subnet NAT privato utilizzando un router Cloud.

Nota: devono essere annunciate solo le route di subnet che non si sovrappongono. Non devono essere annunciate le route di subnet sovrapposte. Devi utilizzare il router Cloud per pubblicizzare route di subnet non sovrapposte.
Il NAT ibrido esegue la traduzione NAT sul traffico proveniente da una rete VPC a una rete on-premise o a una rete di qualsiasi altro cloud provider. Le reti devono essere connesse da Cloud VPN tramite route dinamiche.
NAT ibrido supporta i tunnel VPN classica esistenti solo se il routing dinamico è abilitato.
Devi creare una regola NAT personalizzata con un'espressione di corrispondenza nexthop.is_hybrid. La regola NAT specifica un intervallo di indirizzi IP NAT di una subnet PRIVATE_NAT finalizzata a utilizzare le risorse nella tua rete VPC per comunicare con altre reti.
Il servizio NAT ibrido è supportato in tutte le regioni di Google Cloud, ad eccezione di us-central1 e us-east4.
Il router Cloud su cui configuri Hybrid NAT deve trovarsi nella stessa regione della rete VPC.
Il router Cloud su cui configuri Hybrid NAT non può contenere altre configurazioni NAT.
Non devi configurare Hybrid NAT in una rete VPC in cui sono presenti collegamenti Cloud Interconnect.

Configurazione e flusso di lavoro di Hybrid NAT di base

Il seguente diagramma mostra una configurazione di base del NAT ibrido:

Esempio di traduzione NAT ibrida. — Esempio di traduzione NAT ibrida (fai clic per ingrandire).

In questo esempio, il NAT ibrido è configurato come segue:

Il gateway pvt-nat-gw è configurato in vpc-a per essere applicato a tutti gli intervalli di indirizzi IP subnet-a nella regione us-east1.
Utilizzando gli intervalli di indirizzi IP NAT di pvt-nat-gw, un'istanza di macchina virtuale (VM) in subnet-a di vpc-a può inviare traffico a una VM in subnet-b di una rete on-premise o a qualsiasi altra rete cloud provider, anche se subnet-a di vpc-a si sovrappone a un'altra subnet nella rete on-premise o a un altro cloud provider.

Esempio di flusso di lavoro per NAT ibrido

Nel diagramma precedente, vm-a con l'indirizzo IP interno 192.168.1.2 in subnet-a di vpc-a deve scaricare un aggiornamento da vm-b con l'indirizzo IP interno 192.168.2.2 in subnet-b di una rete on-premise o di una rete di qualsiasi altro cloud provider. Cloud VPN connette la tua rete VPC a una rete on-premise o a qualsiasi altro cloud provider. Supponiamo che la rete on-premise o la rete dell'altro cloud provider contenga un'altra subnet 192.168.1.0/24 che si sovrappone alla subnet in vpc-a. Affinché subnet-a di vpc-a comunichi con subnet-b della rete on-premise o con l'altro cloud provider, devi configurare un gateway NAT privato, pvt-nat-gw, in vpc-a come segue:

Subnet Private NAT: crea questa subnet con un intervallo di indirizzi IP di 10.1.2.0/29 e lo scopo PRIVATE_NAT prima di configurare il gateway Private NAT. Assicurati che questa subnet non si sovrapponga a una subnet esistente in nessuna delle reti connesse.
Una regola NAT con match='nexthop.is_hybrid'.
NAT per tutti gli intervalli di indirizzi di subnet-a.

Il servizio NAT ibrido segue la procedura di prenotazione delle porte per prenotare i seguenti indirizzi IP di origine NAT e tuple delle porte di origine per ciascuna delle VM nella rete. Ad esempio, il gateway NAT privato prenota 64 porte di origine per vm-a: da 10.1.2.2:34000 a 10.1.2.2:34063.

Quando la VM utilizza il protocollo TCP per inviare un pacchetto al server di aggiornamento 192.168.2.2 sulla porta di destinazione 80, si verifica quanto segue:

La VM invia un pacchetto di richiesta con i seguenti attributi:
- Indirizzo IP di origine: 192.168.1.2, l'indirizzo IP interno della VM
- Porta di origine: 24000, la porta di origine temporanea scelta dal sistema operativo della VM
- Indirizzo di destinazione: 192.168.2.2, l'indirizzo IP del server di aggiornamento
- Porta di destinazione: 80, la porta di destinazione per il traffico HTTP al server di aggiornamento
- Protocollo: TCP
Il gateway pvt-nat-gw esegue Network Address Translation di origine (SNAT o NAT di origine) in uscita, riscrivendo l'indirizzo IP di origine e la porta di origine NAT del pacchetto di richiesta:
- Indirizzo IP di origine NAT: 10.1.2.2, da uno degli indirizzi IP riservati della VM di origine e delle tuple delle porte di origine
- Porta di origine: 34022, una porta di origine inutilizzata da una delle tuple di porte di origine riservate della VM
- Indirizzo di destinazione: 192.168.2.2, invariato
- Porta di destinazione: 80, invariata
- Protocollo: TCP, invariato
Il server di aggiornamento invia un pacchetto di risposta che arriva al gateway pvt-nat-gw con i seguenti attributi:
- Indirizzo IP di origine: 192.168.2.2, l'indirizzo IP interno del server di aggiornamento
- Porta di origine: 80, la risposta HTTP del server di aggiornamento
- Indirizzo di destinazione: 10.1.2.2, che corrisponde all'indirizzo IP di origine NAT originale del pacchetto di richiesta
- Porta di destinazione: 34022, che corrisponde alla porta di origine del pacchetto di richiesta
- Protocollo: TCP, invariato
Il gateway pvt-nat-gw esegue la Network Address Translation di destinazione (DNAT) sul pacchetto di risposta e riscrive l'indirizzo e la porta di destinazione del pacchetto di risposta in modo che il pacchetto venga consegnato alla VM che ha richiesto l'aggiornamento con i seguenti attributi:
- Indirizzo IP di origine: 192.168.2.2, invariato
- Porta di origine: 80, non modificata
- Indirizzo di destinazione: 192.168.1.2, l'indirizzo IP interno della VM
- Porta di destinazione: 24000, corrispondente alla porta di origine temporanea originale del pacchetto di richiesta
- Protocollo: TCP, invariato

Passaggi successivi

Configurare il servizio Hybrid NAT.
Scopri di più sulle interazioni dei prodotti Cloud NAT.
Scopri di più sugli indirizzi e porte di Cloud NAT.
Scopri di più sulle regole di Cloud NAT.
Risolvere i problemi comuni.