NAT entre VPCs
Inter-VPC NAT, uma oferta de Private NAT, permite criar um gateway do Private NAT que funciona em conjunto com os spokes de nuvem privada virtual (VPC) do Network Connectivity Center para executar a conversão de endereços de rede (NAT, na sigla em inglês) entre redes VPC.
Especificações
Além das especificações genéricas de NAT particular, considere as seguintes especificações para a Inter-VPC NAT:
- A Inter-VPC NAT usa uma configuração NAT de
type=PRIVATE
para permitir que redes VPC com intervalos de endereços IP de sub-rede sobrepostos se comuniquem. No entanto, apenas os recursos em sub-redes não sobrepostas podem se conectar uns aos outros. - Para ativar o Inter-VPC NAT entre duas redes VPC, configure cada rede VPC como um spoke VPC de um hub do Network Connectivity Center. Ao criar o spoke, é necessário impedir que os intervalos de endereços IP sobrepostos sejam compartilhados com outros spokes VPC. Para mais informações, consulte Criar um spoke VPC.
- O Inter-VPC NAT é compatível com a conversão de endereços de rede (NAT, na sigla em inglês) entre spokes de nuvem privada virtual (VPC, na sigla em inglês) do Network Connectivity Center, e não com redes de nuvem privada virtual conectadas por meio do peering de rede VPC.
- Você precisa criar uma regra NAT personalizada referenciando um hub do Network Connectivity Center.
A regra NAT especifica um intervalo de endereços IP NAT de uma sub-rede de finalidade
PRIVATE_NAT
que as VMs podem usar para se comunicar com outra rede VPC. - A NAT entre VPCs é compatível com a conversão de endereços para sub-redes VPC em uma região, bem como entre regiões.
Configuração e fluxo de trabalho básicos de NAT entre VPCs
O diagrama a seguir mostra uma configuração básica da Inter-VPC NAT:
Neste exemplo, a Inter-VPC NAT é configurada da seguinte maneira:
- O gateway
pvt-nat-gw
está configurado emvpc-a
para ser aplicado a todos os intervalos de endereços IP desubnet-a
na regiãous-east1
. Usando os intervalos de IP NAT depvt-nat-gw
, uma instância de máquina virtual (VM) emsubnet-a
devpc-a
pode enviar tráfego para uma VM emsubnet-b
devpc-b
, mesmo quesubnet-a
devpc-a
se sobreponha asubnet-c
devpc-b
. vpc-a
evpc-b
são configurados como spokes de um hub do Network Connectivity Center.- O gateway
pvt-nat-gw
está configurado para fornecer NAT entre redes VPC configuradas como spokes VPC no mesmo hub do Network Connectivity Center.
Exemplo de fluxo de trabalho de NAT entre VPCs
No diagrama anterior, vm-a
com o endereço IP interno 192.168.1.2
em
subnet-a
de vpc-a
precisa fazer o download de uma atualização de vm-b
com o endereço IP
interno 192.168.2.2
em subnet-b
de vpc-b
. As duas redes VPC estão conectadas ao mesmo hub do Network Connectivity Center que os spokes VPC. Suponha que vpc-b
contenha outra sub-rede 192.168.1.0/24
que se sobreponha à sub-rede em vpc-a
. Para que subnet-a
de vpc-a
se comunique com subnet-b
de vpc-b
, é necessário configurar um gateway NAT particular, pvt-nat-gw
, em vpc-a
da seguinte maneira:
Sub-rede NAT particular: antes de configurar o gateway NAT particular, crie essa sub-rede com o intervalo de endereços IP da sub-rede como
10.1.2.0/29
e a finalidade comoPRIVATE_NAT
. Verifique se essa sub-rede não se sobrepõe a uma sub-rede atual em qualquer um dos spokes VPC anexados ao mesmo hub do Network Connectivity Center.Uma regra NAT cujo
nexthop.hub
corresponde ao URL do hub do Network Connectivity Center.NAT para todos os intervalos de endereços de
subnet-a
.
A tabela a seguir resume a configuração de rede especificada no exemplo anterior:
Nome da rede | Componente de rede | Endereço / intervalo IP | Região |
---|---|---|---|
vpc-a | subnet-a | 192.168.1.0/24 | us-east1 |
vm-a | 192.168.1.2 | ||
pvt-nat-gw | 10.1.2.0/29 | ||
vpc-b | subnet-b | 192.168.2.0/24 | us-west1 |
vm-b | 192.168.2.2 | ||
subnet-c | 192.168.1.0/24 | ||
vm-c | 192.168.1.3 |
A Inter-VPC NAT segue o procedimento de reserva de porta
para reservar o seguinte endereço IP de origem NAT
e as tuplas de porta de origem para cada uma das VMs na rede. Por exemplo, o gateway do Private NAT reserva 64 portas de origem para vm-a
: 10.1.2.2:34000
a 10.1.2.2:34063
.
Quando a VM usa o protocolo TCP para enviar um pacote ao servidor de atualização
192.168.2.2
na porta de destino 80
, ocorre o seguinte:
A VM envia um pacote de solicitação com estes atributos:
- Endereço IP de origem:
192.168.1.2
, o endereço IP interno da VM - Porta de origem:
24000
, a porta de origem temporária escolhida pelo sistema operacional da VM - Endereço de destino:
192.168.2.2
, o endereço IP do servidor de atualização - Porta de destino:
80
, a porta de destino do tráfego HTTP para o servidor de atualizações - Protocolo: TCP
- Endereço IP de origem:
O gateway
pvt-nat-gw
executa a conversão de endereços de rede de origem (SNAT, na sigla em inglês) (SNAT ou NAT de origem) na saída, reescrevendo o endereço IP de origem e a porta de origem do pacote de solicitação:- Endereço IP de origem NAT:
10.1.2.2
, de um dos endereços IP de origem NAT reservados da VM e das tuplas da porta de origem - Porta de origem:
34022
, uma porta de origem não utilizada de uma das tuplas de porta de origem reservadas da VM - Endereço de destino:
192.168.2.2
, inalterado - Porta de destino:
80
, inalterada - Protocolo: TCP, inalterado
- Endereço IP de origem NAT:
O servidor de atualização envia um pacote de resposta que chega ao gateway
pvt-nat-gw
com estes atributos:- Endereço IP de origem:
192.168.2.2
, o endereço IP interno do servidor de atualização - Porta de origem:
80
, a resposta HTTP do servidor de atualização - Endereço de destino:
10.1.2.2
, que corresponde ao endereço IP de origem NAT original do pacote de solicitação - Porta de destino:
34022
, que corresponde à porta de origem do pacote de solicitação - Protocolo: TCP, inalterado
- Endereço IP de origem:
O gateway
pvt-nat-gw
executa a conversão de endereços de rede de destino (DNAT, na sigla em inglês) no pacote de resposta, reescrevendo o endereço de destino e a porta de destino do pacote de resposta para que o pacote seja entregue à VM que solicitou a atualização com o seguinte atributos:- Endereço IP de origem:
192.168.2.2
, inalterado - Porta de origem:
80
, inalterada - Endereço de destino:
192.168.1.2
, o endereço IP interno da VM - Porta de destino:
24000
, que corresponde à porta de origem temporária original do pacote de solicitação - Protocolo: TCP, inalterado
- Endereço IP de origem:
A seguir
- Configure o Inter-VPC NAT.
- Saiba mais sobre interações com produtos do Cloud NAT.
- Saiba mais sobre endereços e portas do Cloud NAT.
- Saiba mais sobre as regras do Cloud NAT.
- Resolver problemas comuns.