NAT inter-VPC
La NAT inter-VPC, une offre NAT privée, vous permet de créer une passerelle NAT privée qui fonctionne avec les spokes cloud privé virtuel (VPC) de Network Connectivity Center pour effectuer la traduction d'adresses réseau (NAT) entre les réseaux VPC.
Spécifications
En plus des spécifications de NAT privé générique, tenez compte des spécifications suivantes pour la NAT inter-VPC:
- La fonctionnalité NAT inter-VPC utilise une configuration NAT de
type=PRIVATE
pour permettre aux réseaux VPC avec des plages d'adresses IP de sous-réseau qui se chevauchent de communiquer. Cependant, seules les ressources des sous-réseaux qui ne se chevauchent pas peuvent se connecter les unes aux autres. - Pour activer la NAT inter-VPC entre deux réseaux VPC, configurez chaque réseau VPC en tant que spoke VPC d'un hub Network Connectivity Center. Lorsque vous créez le spoke, vous devez empêcher le partage des plages d'adresses IP qui se chevauchent avec d'autres spokes VPC. Pour en savoir plus, consultez la page Créer un spoke VPC.
- La fonctionnalité NAT inter-VPC n'accepte la traduction d'adresse réseau (NAT) qu'entre les spokes de cloud privé virtuel (VPC) de Network Connectivity Center, et non avec les réseaux de cloud privé virtuel connectés à l'aide de l'appairage de réseaux VPC.
- Vous devez créer une règle NAT personnalisée en référençant un hub Network Connectivity Center.
La règle NAT spécifie une plage d'adresses IP NAT provenant d'un sous-réseau de rôle
PRIVATE_NAT
que les VM peuvent utiliser pour communiquer avec un autre réseau VPC. - La NAT inter-VPC prend en charge la traduction d'adresses pour les sous-réseaux VPC d'une région ainsi que d'une région.
Configuration et workflow de base de la NAT inter-VPC
Le schéma suivant illustre une configuration NAT inter-VPC de base:
![Exemple de traduction NAT entre VPC](https://cloud.google.com/static/nat/images/inter-vpc-nat-flow.png?hl=fr)
Dans cet exemple, la NAT inter-VPC est configurée comme suit:
- La passerelle
pvt-nat-gw
est configurée dansvpc-a
pour s'appliquer à toutes les plages d'adresses IP desubnet-a
dans la régionus-east1
. À l'aide des plages d'adresses IP NAT depvt-nat-gw
, une instance de machine virtuelle (VM) danssubnet-a
devpc-a
peut envoyer du trafic vers une VM danssubnet-b
devpc-b
, même sisubnet-a
devpc-a
chevauchesubnet-c
devpc-b
. vpc-a
etvpc-b
sont configurés en tant que spokes d'un hub Network Connectivity Center.- La passerelle
pvt-nat-gw
est configurée pour fournir la NAT entre les réseaux VPC configurés en tant que spokes VPC vers le même hub Network Connectivity Center.
Exemple de workflow NAT inter-VPC
Dans le schéma précédent, vm-a
avec l'adresse IP interne 192.168.1.2
dans subnet-a
de vpc-a
doit télécharger une mise à jour à partir de vm-b
avec l'adresse IP interne 192.168.2.2
dans subnet-b
de vpc-b
. Les deux réseaux VPC sont connectés au même hub Network Connectivity Center que les spokes VPC. Supposons que vpc-b
contient un autre sous-réseau 192.168.1.0/24
qui chevauche le sous-réseau de vpc-a
. Pour que subnet-a
sur vpc-a
puisse communiquer avec subnet-b
sur vpc-b
, vous devez configurer une passerelle NAT privée, pvt-nat-gw
, dans vpc-a
, comme suit:
Sous-réseau NAT privé: avant de configurer la passerelle NAT privée, créez ce sous-réseau avec la plage d'adresses IP du sous-réseau
10.1.2.0/29
et l'objectif commePRIVATE_NAT
. Assurez-vous que ce sous-réseau ne chevauche pas un sous-réseau existant dans l'un des spokes VPC associés au même hub Network Connectivity Center.Une règle NAT dont le champ
nexthop.hub
correspond à l'URL du hub Network Connectivity CenterNAT pour toutes les plages d'adresses de
subnet-a
.
Le tableau suivant récapitule la configuration réseau spécifiée dans l'exemple précédent:
Nom du réseau | Composant de réseau | Adresse IP/plage | Région |
---|---|---|---|
vpc-a | subnet-a | 192.168.1.0/24 | us-east1 |
vm-a | 192.168.1.2 | ||
pvt-nat-gw | 10.1.2.0/29 | ||
vpc-b | subnet-b | 192.168.2.0/24 | us-west1 |
vm-b | 192.168.2.2 | ||
subnet-c | 192.168.1.0/24 | ||
vm-c | 192.168.1.3 |
La fonctionnalité NAT inter-VPC suit la procédure de réservation de port pour réserver les tuples d'adresse IP source et de port source suivants pour chacune des VM du réseau. Par exemple, la passerelle NAT privée réserve 64 ports sources pour vm-a
: 10.1.2.2:34000
à 10.1.2.2:34063
.
Lorsque la VM utilise le protocole TCP pour envoyer un paquet au serveur de mise à jour 192.168.2.2
sur le port de destination 80
, voici ce qui se produit:
La VM envoie un paquet de requête avec les attributs suivants :
- Adresse IP source:
192.168.1.2
, l'adresse IP interne de la VM - Port source:
24000
, le port source éphémère choisi par le système d'exploitation de la VM - Adresse de destination:
192.168.2.2
, l'adresse IP du serveur de mise à jour - Port de destination:
80
, le port de destination du trafic HTTP vers le serveur de mise à jour - Protocol (Protocole) : TCP
- Adresse IP source:
La passerelle
pvt-nat-gw
effectue la traduction d'adresse réseau source (SNAT ou NAT source) en sortie, en réécrivant l'adresse IP source et le port source du paquet de requête:- Adresse IP source NAT:
10.1.2.2
, provenant de VM'un des tuples d'adresse IP source et de port source NAT - Port source :
34022
, un port source inutilisé de l'un des tuples de port source réservés de la VM - Adresse de destination :
192.168.2.2
, inchangée - Port de destination :
80
, inchangé - Protocole: TCP, inchangé
- Adresse IP source NAT:
Le serveur de mise à jour envoie un paquet de réponse qui arrive sur la passerelle
pvt-nat-gw
avec les attributs suivants:- Adresse IP source:
192.168.2.2
, l'adresse IP interne du serveur de mise à jour - Port source :
80
, la réponse HTTP du serveur de mise à jour - Adresse de destination:
10.1.2.2
, qui correspond à l'adresse IP source NAT d'origine du paquet de requête - Port de destination:
34022
, qui correspond au port source du paquet de requête - Protocole: TCP, inchangé
- Adresse IP source:
La passerelle
pvt-nat-gw
effectue la traduction d'adresse réseau de destination (DNAT) sur le paquet de réponse, en réécrivant l'adresse de destination et le port de destination du paquet de réponse pour que le paquet soit transmis à la VM qui a demandé la mise à jour avec les attributs suivants:- Adresse IP source :
192.168.2.2
, inchangée - Port source :
80
, inchangé - Adresse de destination:
192.168.1.2
, l'adresse IP interne de la VM - Port de destination:
24000
, correspondant au port source éphémère d'origine du paquet de requête - Protocole: TCP, inchangé
- Adresse IP source :
Étapes suivantes
- Configurez la NAT inter-VPC.
- Découvrez les interactions avec les produits Cloud NAT.
- Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
- Apprenez-en plus sur les règles Cloud NAT.
- Résolvez les problèmes courants.