NAT híbrida

A NAT híbrida, uma oferta de NAT particular, permite que você realize conversões de endereços de rede (NAT, na sigla em inglês) de endereços IP entre uma rede de nuvem privada virtual (VPC) e uma rede local ou qualquer outra rede de provedor de nuvem. Essas redes precisam estar conectadas à sua rede VPC usando os produtos empresariais de conectividade híbrida do Google Cloud, como o Cloud VPN.

Especificações

Além das especificações genéricas de NAT particular, considere as seguintes especificações para a NAT híbrida:

  • A NAT híbrida permite que uma rede VPC se comunique com uma rede local ou com qualquer outra rede de provedor de nuvem, mesmo que os intervalos de endereços IP das sub-redes das redes em comunicação se sobreponham. Ao usar uma configuração NAT de type=PRIVATE, os recursos da rede VPC, tanto nas sub-redes sobrepostas quanto não sobrepostas, podem se conectar aos recursos apenas nas sub-redes não sobrepostas da rede local ou de qualquer outro provedor de nuvem.

  • Para ativar a NAT híbrida, a rede local ou a outra rede do provedor de nuvem precisa divulgar as rotas dinâmicas para que a rede VPC possa aprender e usá-las. O Cloud Router aprende essas rotas dinâmicas com as soluções de conectividade híbrida do Google Cloud, como VPN de alta disponibilidade ou VPN clássica com roteamento dinâmico configurado. Os destinos dessas rotas dinâmicas são intervalos de endereços IP fora da rede VPC.

    Da mesma forma, para o tráfego de retorno, sua rede VPC precisa divulgar a rota de sub-rede NAT particular usando um Cloud Router.

  • A NAT híbrida executa NAT no tráfego que se origina de uma rede VPC para uma rede local ou qualquer outra rede de provedor de nuvem. As redes precisam ser conectadas pelo Cloud VPN por rotas dinâmicas.

  • A NAT híbrida é compatível com túneis de VPN clássica somente se o roteamento dinâmico estiver ativado.

  • Você precisa criar uma regra NAT personalizada com uma expressão de correspondência nexthop.is_hybrid. A regra NAT especifica um intervalo de endereços IP NAT de uma sub-rede com a finalidade PRIVATE_NAT que os recursos em sua rede VPC podem usar para se comunicar com outras redes.

  • A NAT híbrida é compatível com todas as regiões do Google Cloud, exceto us-central1 e us-east4.

  • O Cloud Router em que você configura a NAT híbrida precisa estar na mesma região que a rede VPC.

  • O Cloud Router em que você configura a NAT híbrida não pode conter nenhuma outra configuração do NAT.

  • Não configure a NAT híbrida em uma rede VPC com anexos do Cloud Interconnect.

Configuração e fluxo de trabalho básicos de NAT híbrida

O diagrama a seguir mostra uma configuração básica de NAT híbrida:

Exemplo de conversão de NAT híbrida.
Exemplo de tradução de NAT híbrida (clique para ampliar).

Neste exemplo, a NAT híbrida é configurada da seguinte maneira:

  • O gateway pvt-nat-gw está configurado em vpc-a para ser aplicado a todos os intervalos de endereços IP de subnet-a na região us-east1.
  • Ao usar os intervalos de endereços IP NAT de pvt-nat-gw, uma instância de máquina virtual (VM) em subnet-a de vpc-a pode enviar tráfego para uma VM no subnet-b de uma rede local ou qualquer outra rede de provedor de nuvem, mesmo que subnet-a de vpc-a se sobreponha a outra sub-rede na rede local ou outra rede de provedor de nuvem.

Exemplo de fluxo de trabalho de NAT híbrida

No diagrama anterior, vm-a com o endereço IP interno 192.168.1.2 em subnet-a de vpc-a precisa fazer o download de uma atualização de vm-b com o endereço IP interno 192.168.2.2 em subnet-b de uma rede local ou qualquer outra rede de provedor de nuvem. O Cloud VPN conecta sua rede VPC a uma rede local ou a qualquer outra rede de provedor de nuvem. Suponha que a rede local ou a outra rede de provedor de nuvem contenha outra sub-rede 192.168.1.0/24 que se sobreponha à sub-rede em vpc-a. Para que subnet-a de vpc-a se comunique com subnet-b da rede local ou do outro provedor de nuvem, é necessário configurar um gateway NAT particular, pvt-nat-gw, em vpc-a da seguinte maneira:

  • Sub-rede NAT particular: crie essa sub-rede com um intervalo de endereços IP de sub-rede 10.1.2.0/29 e a finalidade PRIVATE_NAT antes de configurar o gateway NAT particular. Verifique se essa sub-rede não se sobrepõe a uma sub-rede existente em nenhuma das redes conectadas.
  • Uma regra NAT com match='nexthop.is_hybrid'.
  • NAT para todos os intervalos de endereços de subnet-a.

A NAT híbrida segue o procedimento de reserva de porta para reservar o seguinte endereço IP de origem NAT e as tuplas de porta de origem para cada uma das VMs na rede. Por exemplo, o gateway do Private NAT reserva 64 portas de origem para vm-a: 10.1.2.2:34000 a 10.1.2.2:34063.

Quando a VM usa o protocolo TCP para enviar um pacote ao servidor de atualização 192.168.2.2 na porta de destino 80, ocorre o seguinte:

  1. A VM envia um pacote de solicitação com estes atributos:

    • Endereço IP de origem: 192.168.1.2, o endereço IP interno da VM
    • Porta de origem: 24000, a porta de origem temporária escolhida pelo sistema operacional da VM
    • Endereço de destino: 192.168.2.2, o endereço IP do servidor de atualização
    • Porta de destino: 80, a porta de destino do tráfego HTTP para o servidor de atualizações
    • Protocolo: TCP

  2. O gateway pvt-nat-gw executa a conversão de endereços de rede de origem (SNAT, na sigla em inglês) (SNAT ou NAT de origem) na saída, reescrevendo o endereço IP de origem e a porta de origem do pacote de solicitação:

    • Endereço IP de origem NAT: 10.1.2.2, de um dos endereços IP de origem NAT reservados da VM e das tuplas da porta de origem
    • Porta de origem: 34022, uma porta de origem não utilizada de uma das tuplas de porta de origem reservadas da VM
    • Endereço de destino: 192.168.2.2, inalterado
    • Porta de destino: 80, inalterada
    • Protocolo: TCP, inalterado

  3. O servidor de atualização envia um pacote de resposta que chega ao gateway pvt-nat-gw com estes atributos:

    • Endereço IP de origem: 192.168.2.2, o endereço IP interno do servidor de atualização
    • Porta de origem: 80, a resposta HTTP do servidor de atualização
    • Endereço de destino: 10.1.2.2, que corresponde ao endereço IP de origem NAT original do pacote de solicitação
    • Porta de destino: 34022, que corresponde à porta de origem do pacote de solicitação
    • Protocolo: TCP, inalterado

  4. O gateway pvt-nat-gw executa a conversão de endereços de rede de destino (DNAT, na sigla em inglês) no pacote de resposta e reescreve o endereço e a porta de destino do pacote de resposta para que o pacote seja entregue à VM que solicitou a atualização com os seguintes atributos:

    • Endereço IP de origem: 192.168.2.2, inalterado
    • Porta de origem: 80, inalterada
    • Endereço de destino: 192.168.1.2, o endereço IP interno da VM
    • Porta de destino: 24000, que corresponde à porta de origem temporária original do pacote de solicitação
    • Protocolo: TCP, inalterado

A seguir