Inter-VPC-NAT
Inter-VPC-NAT, ein privates NAT-Angebot, ermöglicht Ihnen, ein privates NAT-Gateway zu erstellen, das in Verbindung mit VPC-Spokes (Virtual Private Cloud) von Network Connectivity Center für die Netzwerkadressübersetzung (Network Address Translation, NAT) zwischen VPC-Netzwerken funktioniert.
Spezifikationen
Zusätzlich zu den allgemeinen Spezifikationen für private NAT sollten Sie die folgenden Spezifikationen für Inter-VPC-NAT beachten:
- Inter-VPC-NAT verwendet eine NAT-Konfiguration von
type=PRIVATE, damit VPC-Netzwerke mit überlappenden Subnetz-IP-Adressbereichen kommunizieren können. Allerdings können nur die Ressourcen in nicht überlappenden Subnetzen miteinander verbunden werden. - Zum Aktivieren von Inter-VPC-NAT zwischen zwei VPC-Netzwerken konfigurieren Sie jedes VPC-Netzwerk als VPC-Spoke eines Network Connectivity Center-Hubs. Beim Erstellen des Spokes müssen Sie verhindern, dass die sich überschneidenden IP-Adressbereiche für andere VPC-Spokes freigegeben werden. Weitere Informationen finden Sie unter VPC-Spoke erstellen.
- Inter-VPC-NAT unterstützt die Network Address Translation (NAT) nur zwischen VPC-Spokes (Virtual Private Cloud) von Network Connectivity Center und nicht mit Virtual Private Cloud-Netzwerken, die über VPC-Netzwerk-Peering verbunden sind.
- Sie müssen eine benutzerdefinierte NAT-Regel erstellen, indem Sie auf einen Network Connectivity Center-Hub verweisen.
Die NAT-Regel gibt einen NAT-IP-Adressbereich aus einem Subnetz des Zwecks
PRIVATE_NATan, über den die VMs mit einem anderen VPC-Netzwerk kommunizieren können. - Inter-VPC-NAT unterstützt die Adressübersetzung für VPC-Subnetze innerhalb einer Region sowie regionsübergreifend.
Grundlegende Inter-VPC-NAT-Konfiguration und -Workflow
Das folgende Diagramm zeigt eine grundlegende NAT-Konfiguration zwischen VPC-Netzwerken:
In diesem Beispiel wird Inter-VPC-NAT so eingerichtet:
- Das Gateway
pvt-nat-gwist invpc-aso konfiguriert, dass es für alle IP-Adressbereiche vonsubnet-ain der Regionus-east1gilt. Mithilfe der NAT-IP-Bereiche vonpvt-nat-gwkann eine VM-Instanz insubnet-avonvpc-aTraffic an eine VM insubnet-bvonvpc-bsenden, auch wenn sichsubnet-avonvpc-amitsubnet-cvonvpc-büberschneidet. - Sowohl
vpc-aals auchvpc-bsind als Spokes eines Network Connectivity Center-Hubs konfiguriert. - Das Gateway
pvt-nat-gwist so konfiguriert, dass es NAT zwischen VPC-Netzwerken, die als VPC-Spokes konfiguriert sind, für denselben Network Connectivity Center-Hub bereitstellen.
Beispiel für einen Inter-VPC-NAT-Workflow
Im obigen Diagramm muss vm-a mit der internen IP-Adresse 192.168.1.2 in subnet-a von vpc-a ein Update von vm-b mit der internen IP-Adresse 192.168.2.2 in subnet-b von vpc-b herunterladen. Beide VPC-Netzwerke sind mit demselben Network Connectivity Center-Hub wie VPC-Spokes verbunden. Angenommen, vpc-b enthält ein weiteres Subnetz 192.168.1.0/24, das sich mit dem Subnetz in vpc-a überschneidet. Damit subnet-a von vpc-a mit subnet-b von vpc-b kommunizieren kann, müssen Sie das private NAT-Gateway pvt-nat-gw in vpc-a so konfigurieren:
Privates NAT-Subnetz: Erstellen Sie vor dem Konfigurieren des privaten NAT-Gateways dieses Subnetz mit dem Subnetz-IP-Adressbereich
10.1.2.0/29und dem ZweckPRIVATE_NAT. Achten Sie darauf, dass sich dieses Subnetz nicht mit einem vorhandenen Subnetz in einem der VPC-Spokes überschneidet, die mit demselben Network Connectivity Center-Hub verbunden sind.Eine NAT-Regel, deren
nexthop.hubmit der URL des Network Connectivity Center-Hubs übereinstimmt.NAT für alle Adressbereiche von
subnet-a.
In der folgenden Tabelle wird die im vorherigen Beispiel angegebene Netzwerkkonfiguration zusammengefasst:
| Netzwerkname | Netzwerkkomponente | IP-Adresse/-Adressbereich | Region |
|---|---|---|---|
| vpc-a | subnet-a | 192.168.1.0/24 | us-east1 |
| vm-a | 192.168.1.2 | ||
| pvt-nat-gw | 10.1.2.0/29 | ||
| vpc-b | subnet-b | 192.168.2.0/24 | us-west1 |
| vm-b | 192.168.2.2 | ||
| subnet-c | 192.168.1.0/24 | ||
| VM-C | 192.168.1.3 |
Inter-VPC-NAT folgt dem Portreservierungsverfahren, um die folgenden Tupel aus NAT-Quell-IP-Adresse und Quellport für jede der VMs im Netzwerk zu reservieren. Das private NAT-Gateway reserviert beispielsweise 64 Quellports für vm-a: 10.1.2.2:34000 bis 10.1.2.2:34063.
Wenn die VM das TCP-Protokoll verwendet, um ein Paket an den Update-Server 192.168.2.2 an den Zielport 80 zu senden, geschieht Folgendes:
Die VM sendet ein Anfragepaket mit folgenden Attributen:
- Quell-IP-Adresse:
192.168.1.2, die interne IP-Adresse der VM - Quellport:
24000, der sitzungsspezifische Quellport, der vom Betriebssystem der VM ausgewählt wurde - Zieladresse:
192.168.2.2, IP-Adresse des Update-Servers - Zielport:
80, der Zielport für HTTP-Traffic zum Update-Server - Protokoll: TCP
- Quell-IP-Adresse:
Das Gateway
pvt-nat-gwführt für ausgehenden Traffic eine Quellnetzwerkadressübersetzung (SNAT oder Quell-NAT) durch und schreibt die NAT-Quell-IP-Adresse und den Quellport des Anfragepakets um:- NAT-Quell-IP-Adresse:
10.1.2.2aus einem der reservierten Tupel aus NAT-Quell-IP-Adresse und Quellport der VM - Quellport:
34022, ein nicht verwendeter Quellport aus einem der reservierten Quellport-Tupel der VM - Zieladresse:
192.168.2.2, unverändert - Zielport:
80, unverändert - Protokoll: TCP, unverändert
- NAT-Quell-IP-Adresse:
Der Updateserver sendet ein Antwortpaket, das mit den folgenden Attributen auf dem Gateway
pvt-nat-gwankommt:- Quell-IP-Adresse:
192.168.2.2, die interne IP-Adresse des Update-Servers - Quellport:
80, die HTTP-Antwort vom Update-Server - Zieladresse:
10.1.2.2; entspricht der ursprünglichen NAT-Quell-IP-Adresse des Anfragepakets - Zielport:
34022, der mit dem Quellport des Anfragepakets übereinstimmt - Protokoll: TCP, unverändert
- Quell-IP-Adresse:
Das Gateway
pvt-nat-gwführt DNAT (Destination Network Address Translation) für das Antwortpaket aus und schreibt die Zieladresse und den Zielport des Antwortpakets so um, dass das Paket an die VM übertragen wird, die die Aktualisierung mit den folgenden Attributen angefordert hat:- Quell-IP-Adresse:
192.168.2.2, unverändert - Quellport:
80, unverändert - Zieladresse:
192.168.1.2, die interne IP-Adresse der VM - Zielport:
24000, entspricht dem ursprünglichen sitzungsspezifischen Quellport des Anfragepakets - Protokoll: TCP, unverändert
- Quell-IP-Adresse:
Nächste Schritte
- Richten Sie Inter-VPC-NAT ein.
- Weitere Informationen zu Cloud NAT-Produktinteraktionen
- Weitere Informationen zu Cloud NAT-Adressen und -Ports
- Weitere Informationen zu Cloud NAT-Regeln
- Häufige Probleme beheben