NAT tra VPC
Inter-VPC NAT, un'offerta Private NAT, consente di creare un gateway NAT privato che funziona in combinazione con gli spoke VPC Network Connectivity Center Virtual Private Cloud (Virtual Private Cloud) per eseguire Network Address Translation (NAT) tra reti VPC.
Specifiche
Oltre alle specifiche generiche Private NAT, tieni conto delle seguenti specifiche per NAT Inter-VPC:
- Il servizio Inter-VPC NAT utilizza una configurazione NAT
type=PRIVATE
per consentire la comunicazione tra le reti VPC con intervalli di indirizzi IP di subnet sovrapposti. Tuttavia, solo le risorse in subnet non sovrapposte possono connettersi tra loro. - Per abilitare il servizio NAT Inter-VPC tra due reti VPC, configura ogni rete VPC come spoke VPC di un hub di Network Connectivity Center. Quando crei lo spoke, devi impedire che gli intervalli di indirizzi IP sovrapposti vengano condivisi con altri spoke VPC. Per maggiori informazioni, consulta Creare uno spoke VPC.
- Il servizio Inter-VPC NAT supporta Network Address Translation (NAT) solo tra spoke Virtual Private Cloud (VPC) di Network Connectivity Center e non con reti Virtual Private Cloud connesse tramite peering di rete VPC.
- Devi creare una regola NAT personalizzata facendo riferimento a un hub di Network Connectivity Center.
La regola NAT specifica un intervallo di indirizzi IP NAT di una subnet di scopo
PRIVATE_NAT
che le VM possono utilizzare per comunicare con un'altra rete VPC. - Il servizio Inter-VPC NAT supporta la traduzione degli indirizzi per le subnet VPC all'interno di una regione e tra regioni diverse.
Flusso di lavoro e configurazione NAT Inter-VPC di base
Il seguente diagramma mostra una configurazione NAT di base tra VPC:
In questo esempio, il servizio NAT inter-VPC è impostato come segue:
- Il gateway
pvt-nat-gw
è configurato invpc-a
per essere applicato a tutti gli intervalli di indirizzi IPsubnet-a
nella regioneus-east1
. Utilizzando gli intervalli IP NAT dipvt-nat-gw
, un'istanza di macchina virtuale (VM) insubnet-a
divpc-a
può inviare traffico a una VM insubnet-b
divpc-b
, anche sesubnet-a
divpc-a
si sovrappone consubnet-c
divpc-b
. - Sia
vpc-a
chevpc-b
sono configurati come spoke di un hub di Network Connectivity Center. - Il gateway
pvt-nat-gw
è configurato per fornire NAT tra reti VPC configurate come spoke VPC allo stesso hub di Network Connectivity Center.
Esempio di flusso di lavoro NAT Inter-VPC
Nel diagramma precedente, vm-a
con l'indirizzo IP interno 192.168.1.2
in subnet-a
di vpc-a
deve scaricare un aggiornamento da vm-b
con l'indirizzo IP interno 192.168.2.2
in subnet-b
di vpc-b
. Entrambe le reti VPC sono collegate allo stesso hub di Network Connectivity Center degli spoke VPC. Supponiamo che vpc-b
contenga un'altra subnet 192.168.1.0/24
che si sovrappone alla subnet in vpc-a
. Affinché subnet-a
di vpc-a
comunichi con subnet-b
di vpc-b
, devi configurare un gateway NAT privato, pvt-nat-gw
,
in vpc-a
come segue:
Subnet Private NAT: prima di configurare il gateway NAT privato, crea questa subnet con l'intervallo di indirizzi IP della subnet come
10.1.2.0/29
e lo scopo comePRIVATE_NAT
. Assicurati che questa subnet non si sovrapponga a una subnet esistente in nessuno degli spoke VPC collegati allo stesso hub di Network Connectivity Center.Una regola NAT il cui
nexthop.hub
corrisponde all'URL dell'hub di Network Connectivity Center.NAT per tutti gli intervalli di indirizzi di
subnet-a
.
La seguente tabella riassume la configurazione di rete specificata nell'esempio precedente:
Nome rete | Componente di rete | Indirizzo/intervallo IP | Regione |
---|---|---|---|
vpc-a | subnet-a | 192.168.1.0/24 | us-east1 |
vm-a | 192.168.1.2 | ||
pvt-nat-gw | 10.1.2.0/29 | ||
vpc-b | subnet-b | 192.168.2.0/24 | us-west1 |
vm-b | 192.168.2.2 | ||
subnet-c | 192.168.1.0/24 | ||
vm-c | 192.168.1.3 |
Il servizio Inter-VPC NAT segue la procedura di prenotazione delle porte per prenotare i seguenti indirizzi IP di origine NAT e tuple delle porte di origine per ciascuna delle VM nella rete. Ad esempio, il gateway NAT privato prenota 64 porte di origine per vm-a
: da 10.1.2.2:34000
a 10.1.2.2:34063
.
Quando la VM utilizza il protocollo TCP per inviare un pacchetto al server di aggiornamento 192.168.2.2
sulla porta di destinazione 80
, si verifica quanto segue:
La VM invia un pacchetto di richiesta con i seguenti attributi:
- Indirizzo IP di origine:
192.168.1.2
, l'indirizzo IP interno della VM - Porta di origine:
24000
, la porta di origine temporanea scelta dal sistema operativo della VM - Indirizzo di destinazione:
192.168.2.2
, l'indirizzo IP del server di aggiornamento - Porta di destinazione:
80
, la porta di destinazione per il traffico HTTP al server di aggiornamento - Protocollo: TCP
- Indirizzo IP di origine:
Il gateway
pvt-nat-gw
esegue Network Address Translation di origine (SNAT o NAT di origine) in uscita, riscrivendo l'indirizzo IP di origine e la porta di origine NAT del pacchetto di richiesta:- Indirizzo IP di origine NAT:
10.1.2.2
, da uno degli indirizzi IP riservati della VM di origine e delle tuple delle porte di origine - Porta di origine:
34022
, una porta di origine inutilizzata da una delle tuple di porte di origine riservate della VM - Indirizzo di destinazione:
192.168.2.2
, invariato - Porta di destinazione:
80
, invariata - Protocollo: TCP, invariato
- Indirizzo IP di origine NAT:
Il server di aggiornamento invia un pacchetto di risposta che arriva al gateway
pvt-nat-gw
con i seguenti attributi:- Indirizzo IP di origine:
192.168.2.2
, l'indirizzo IP interno del server di aggiornamento - Porta di origine:
80
, la risposta HTTP del server di aggiornamento - Indirizzo di destinazione:
10.1.2.2
, che corrisponde all'indirizzo IP di origine NAT originale del pacchetto di richiesta - Porta di destinazione:
34022
, che corrisponde alla porta di origine del pacchetto di richiesta - Protocollo: TCP, invariato
- Indirizzo IP di origine:
Il gateway
pvt-nat-gw
esegue la traduzione dell'indirizzo di rete (DNAT) di destinazione sul pacchetto di risposta, riscrivendo l'indirizzo e la porta di destinazione del pacchetto di risposta in modo che il pacchetto venga consegnato alla VM che ha richiesto l'aggiornamento con i seguenti attributi:- Indirizzo IP di origine:
192.168.2.2
, invariato - Porta di origine:
80
, non modificata - Indirizzo di destinazione:
192.168.1.2
, l'indirizzo IP interno della VM - Porta di destinazione:
24000
, corrispondente alla porta di origine temporanea originale del pacchetto di richiesta - Protocollo: TCP, invariato
- Indirizzo IP di origine:
Passaggi successivi
- Configura il servizio NAT tra VPC.
- Scopri di più sulle interazioni dei prodotti Cloud NAT.
- Scopri di più sugli indirizzi e porte di Cloud NAT.
- Scopri di più sulle regole di Cloud NAT.
- Risolvere i problemi comuni.