Esta página foi traduzida pela API Cloud Translation.

NAT híbrido

A NAT híbrida, uma oferta de NAT particular, permite realizar conversões de endereços de rede (NAT, na sigla em inglês) de endereços IP entre uma rede de nuvem privada virtual (VPC) e uma rede local ou qualquer outra rede de provedor de nuvem. Essas redes precisam estar conectadas à sua rede VPC usando os produtos empresariais de conectividade híbrida do Google Cloud, como o Cloud VPN.

Especificações

Além das especificações genéricas de Private NAT, considere as seguintes especificações para NAT híbrida:

A NAT híbrida permite que uma rede VPC se comunique com uma rede local ou qualquer outro provedor de nuvem, mesmo que os intervalos de endereços IP da sub-rede das redes em comunicação se sobreponham. Ao usar uma configuração NAT de type=PRIVATE, os recursos (nas sub-redes sobrepostas e não sobrepostas) da rede VPC podem se conectar aos recursos apenas nas sub-redes não sobrepostas da rede local ou de qualquer outra rede do provedor de nuvem.
Para ativar a NAT híbrida, a rede local ou a rede do outro provedor de nuvem precisa divulgar as rotas dinâmicas para que a rede VPC as aprenda e use. O Cloud Router aprende essas rotas dinâmicas com as soluções de conectividade híbrida do Google Cloud, como VPN de alta disponibilidade ou VPN clássica, com roteamento dinâmico configurado. Os destinos dessas rotas dinâmicas são intervalos de endereços IP fora da rede VPC.

Da mesma forma, para o tráfego de retorno, sua rede VPC precisa anunciar a rota de sub-rede Private NAT usando um Cloud Router.

Observação: somente rotas de sub-rede não sobrepostas precisam ser divulgadas. Rotas de sub-rede sobrepostas não podem ser divulgadas. É preciso usar o Cloud Router para divulgar rotas de sub-rede não sobrepostas.
A NAT híbrida executa NAT no tráfego proveniente de uma rede VPC para uma rede local ou qualquer outra rede do provedor de nuvem. As redes precisam estar conectadas pelo Cloud VPN por rotas dinâmicas.
A NAT híbrida só dá suporte a túneis de VPN clássica se o roteamento dinâmico estiver ativado.
Você precisa criar uma regra NAT personalizada com uma expressão de correspondência nexthop.is_hybrid. A regra NAT especifica um intervalo de endereços IP NAT de uma sub-rede de finalidade PRIVATE_NAT que os recursos em sua rede VPC podem usar para se comunicar com outras redes.
O Cloud Router em que você configura o NAT híbrido precisa estar na mesma região que a rede VPC.
O Cloud Router em que você configura o NAT híbrido não pode conter nenhuma outra configuração NAT.
Não configure o NAT híbrido em uma rede VPC com anexos do Cloud Interconnect.

Configuração básica e fluxo de trabalho do NAT híbrido

O diagrama a seguir mostra uma configuração básica de NAT híbrida:

Exemplo de conversão de NAT híbrida. — Exemplo de conversão de NAT híbrida (clique para ampliar).

Neste exemplo, o NAT híbrido é configurado da seguinte maneira:

O gateway pvt-nat-gw está configurado em vpc-a para ser aplicado a todos os intervalos de endereços IP de subnet-a na região us-east1.
Ao usar os intervalos de endereços IP NAT de pvt-nat-gw, uma instância de máquina virtual (VM) em subnet-a de vpc-a pode enviar tráfego para uma VM em subnet-b de uma rede local ou de qualquer outro provedor de nuvem, mesmo que subnet-a de vpc-a se sobreponha a outra sub-rede na rede local ou a outra rede do provedor de nuvem.

Exemplo de fluxo de trabalho de NAT híbrido

No diagrama anterior, vm-a com o endereço IP interno 192.168.1.2 em subnet-a de vpc-a precisa fazer o download de uma atualização de vm-b com o endereço IP interno 192.168.2.2 em subnet-b de uma rede local ou qualquer outra rede de provedor de nuvem. O Cloud VPN conecta sua rede VPC a uma rede local ou qualquer outro provedor de nuvem. Suponha que a rede local ou a rede de outro provedor de nuvem contenha outra sub-rede 192.168.1.0/24 que se sobrepõe à sub-rede em vpc-a. Para que subnet-a de vpc-a se comunique com subnet-b da rede local ou do outro provedor de nuvem, configure um gateway NAT particular, pvt-nat-gw, em vpc-a da seguinte maneira:

Sub-rede NAT particular: crie essa sub-rede com um intervalo de endereços IP de sub-rede 10.1.2.0/29 e a finalidade PRIVATE_NAT antes de configurar o gateway NAT particular. Verifique se ela não se sobrepõe a uma sub-rede atual em nenhuma das redes conectadas.
Uma regra NAT com match='nexthop.is_hybrid'
NAT para todos os intervalos de endereços de subnet-a.

A NAT híbrida segue o procedimento de reserva de porta para reservar o seguinte endereço IP de origem NAT e tuplas de porta de origem para cada uma das VMs na rede. Por exemplo, o gateway do Private NAT reserva 64 portas de origem para vm-a: 10.1.2.2:34000 a 10.1.2.2:34063.

Quando a VM usa o protocolo TCP para enviar um pacote ao servidor de atualização 192.168.2.2 na porta de destino 80, ocorre o seguinte:

A VM envia um pacote de solicitação com estes atributos:
- Endereço IP de origem: 192.168.1.2, o endereço IP interno da VM
- Porta de origem: 24000, a porta de origem temporária escolhida pelo sistema operacional da VM
- Endereço de destino: 192.168.2.2, o endereço IP do servidor de atualização
- Porta de destino: 80, a porta de destino do tráfego HTTP para o servidor de atualizações
- Protocolo: TCP
O gateway pvt-nat-gw executa a conversão de endereços de rede de origem (SNAT, na sigla em inglês) (SNAT ou NAT de origem) na saída, reescrevendo o endereço IP de origem e a porta de origem do pacote de solicitação:
- Endereço IP de origem NAT: 10.1.2.2, de um dos endereços IP de origem NAT reservados da VM e das tuplas da porta de origem
- Porta de origem: 34022, uma porta de origem não utilizada de uma das tuplas de porta de origem reservadas da VM
- Endereço de destino: 192.168.2.2, inalterado
- Porta de destino: 80, inalterada
- Protocolo: TCP, inalterado
O servidor de atualização envia um pacote de resposta que chega ao gateway pvt-nat-gw com estes atributos:
- Endereço IP de origem: 192.168.2.2, o endereço IP interno do servidor de atualização
- Porta de origem: 80, a resposta HTTP do servidor de atualização
- Endereço de destino: 10.1.2.2, que corresponde ao endereço IP de origem NAT original do pacote de solicitação
- Porta de destino: 34022, que corresponde à porta de origem do pacote de solicitação
- Protocolo: TCP, inalterado
O gateway pvt-nat-gw executa a conversão de endereços de rede de destino (DNAT, na sigla em inglês) no pacote de resposta e reescreve o endereço e a porta de destino do pacote de resposta para que o pacote seja entregue à VM que solicitou a atualização com os seguintes atributos:
- Endereço IP de origem: 192.168.2.2, inalterado
- Porta de origem: 80, inalterada
- Endereço de destino: 192.168.1.2, o endereço IP interno da VM
- Porta de destino: 24000, que corresponde à porta de origem temporária original do pacote de solicitação
- Protocolo: TCP, inalterado

A seguir

Configure o Hybrid NAT.
Saiba mais sobre interações com produtos do Cloud NAT.
Saiba mais sobre endereços e portas do Cloud NAT.
Saiba mais sobre as regras do Cloud NAT.
Resolver problemas comuns.