Private NAT für Network Connectivity Center-Spokes

Mit einer privaten NAT können Sie eine private NAT erstellen Gateway, das in Verbindung mit Network Connectivity Center funktioniert Spokes zum Ausführen von Network Address Translation (NAT) zwischen den folgenden Netzwerke:

  • VPC-Netzwerke (Virtual Private Cloud): sind die VPC-Netzwerke, die Sie verbinden möchten, mit einem Network Connectivity Center-Hub als VPC-Spokes verbinden.
  • VPC-Netzwerke und Netzwerke außerhalb von Google Cloud (Vorschau): In diesem Szenario werden mindestens eine VPC-Netzwerke sind an einen Network Connectivity Center-Hub angehängt als VPC-Spokes und eine Verbindung zu Ihrem lokalen oder einem anderen Netzwerke von Cloud-Anbietern über Hybrid-Spokes nutzen.

Spezifikationen

Zusätzlich zu den allgemeinen Spezifikationen für private NAT Private NAT für Network Connectivity Center-Spokes hat Folgendes Spezifikationen:

  • Private NAT verwendet eine NAT Konfiguration von type=PRIVATE, um Netzwerke mit überlappender Subnetz-IP-Adresse zuzulassen Adressbereiche. Allerdings können nur nicht überlappende Subnetze eine Verbindung herstellen. miteinander kommunizieren.
  • Sie müssen eine benutzerdefinierte NAT-Regel erstellen, indem Sie auf einen Network Connectivity Center-Hub verweisen. Die NAT-Regel gibt einen NAT-IP-Adressbereich aus einem Subnetz an PRIVATE_NAT, den Private NAT zum Ausführen von NAT für Traffic verwendet zwischen deinen verbundenen Netzwerken.
  • Wenn Sie eine VM-Instanz in einem Subnetzbereich erstellen, in dem die private NAT wird der gesamte ausgehende Traffic von dieser VM-Instanz Gateway, wenn sich der Ziel-Spoke im selben Network Connectivity Center-Hub befindet wie an das Gateway an.
  • Ein privates NAT-Gateway ist einer Subnetz-IP-Adresse zugeordnet in einer Region in einem VPC-Netzwerk. Das bedeutet eine private NAT Gateway, das in einem VPC-Netzwerk erstellt wurde, stellen Sie NAT für VMs in anderen Spokes des Network Connectivity Center-Hubs bereit, auch wenn sich die VMs in derselben Region wie das Gateway befinden.

Traffic zwischen VPC-Netzwerken

Die folgenden zusätzlichen Spezifikationen gelten für Traffic zwischen VPC-Netzwerke (Inter-VPC-NAT):

  • Zum Aktivieren von Inter-VPC-NAT zwischen zwei VPCs muss jedes VPC-Netzwerk als VPC-Spoke eines Network Connectivity Center-Hubs. Achten Sie darauf, dass sich die IP-Adressbereiche Ihrer VPC-Spokes nicht überschneiden. Weitere Informationen finden Sie unter Erstellen Sie einen VPC-Spoke.
  • Der mit dem privaten NAT-Gateway verknüpfte Network Connectivity Center-Hub muss mindestens zwei VPC-Spokes haben. Einer der VPC-Spokes ist das VPC-Netzwerk des privaten NAT-Gateways.
  • Inter-VPC-NAT unterstützt NAT zwischen Network Connectivity Center Nur VPC-Spokes und nicht zwischen VPC-Netzwerken über VPC-Netzwerk-Peering verbunden.
  • Inter-VPC-NAT unterstützt die Adressübersetzung für VPC-Subnetze innerhalb einer Region sowie über Regionen hinweg.

Traffic zwischen VPC-Netzwerken und anderen Netzwerken

Für den Traffic zwischen VPC-Spokes und Netzwerken außerhalb von Google Cloud gelten die folgenden zusätzlichen Spezifikationen (Vorabversion):

  • Private NAT zwischen einer VPC aktivieren Netzwerk und einem lokalen oder einem anderen Cloud-Anbieter-Netzwerk:
    1. Das VPC-Netzwerk muss als VPC-Spoke eines Network Connectivity Center-Hubs. Wenn ein Network Connectivity Center-Hub mehr als einen VPC-Spoke hat, dürfen keine Subnetzüberschneidungen zwischen den VPC-Spokes vorhanden sein. Weitere Informationen finden Sie unter VPC-Spoke erstellen.
    2. Ein Hybrid-Spoke muss mit demselben Network Connectivity Center-Hub verbunden sein, um eine Verbindung zwischen dem VPC-Spoke und dem außerhalb von Google Cloud. Unterstützung von Hybrid-Spokes VLAN-Anhänge für Cloud Interconnect Cloud VPN-Tunnel und Router-Appliance-VMs. Weitere Informationen Siehe Konnektivität zwischen VPC-Spokes und Hybrid-Spokes.
  • Das private NAT-Gateway muss in der Arbeitslast konfiguriert sein nicht im Routing-VPC-Netzwerk, mit dem Hybrid-Spoke verknüpft ist. Weitere Informationen zu Arbeitslasten und VPC-Netzwerken für das Routing finden Sie unter Routenaustausch mit VPC-Spokes.

Grundlegende Konfiguration und Workflow

Das folgende Diagramm zeigt eine grundlegende Private NAT-Konfiguration für Traffic zwischen zwei VPC-Spokes:

Beispiel für eine inter-VPC-NAT-Übersetzung.
Beispiel für eine inter-VPC-NAT-Übersetzung (zum Vergrößern anklicken)

In diesem Beispiel wird eine private NAT so eingerichtet:

  • Das Gateway pvt-nat-gw ist in vpc-a so konfiguriert, dass es für alle IP-Adressen gilt von subnet-a in der Region us-east1. Die Verwendung der NAT-IP-Bereiche pvt-nat-gw, kann eine VM-Instanz in subnet-a von vpc-a Nachrichten senden Traffic zu einer VM in subnet-b von vpc-b, obwohl subnet-a von vpc-a überschneidet sich mit subnet-c von vpc-b.
  • Sowohl vpc-a als auch vpc-b sind als Spokes eines Network Connectivity Center-Hubs konfiguriert.
  • Das Gateway pvt-nat-gw ist so konfiguriert, dass es NAT zwischen VPC bereitstellt Netzwerke, die als VPC-Spokes im selben Network Connectivity Center-Hub konfiguriert sind.

Beispielworkflow

Im obigen Diagramm ist vm-a mit der internen IP-Adresse 192.168.1.2 in subnet-a von vpc-a muss ein Update von vm-b mit der internen IP-Adresse 192.168.2.2 in subnet-b von vpc-b. Sowohl die VPC Netzwerke sind mit demselben Network Connectivity Center-Hub verbunden wie die VPC Spokes. Angenommen, vpc-b enthält ein weiteres Subnetz 192.168.1.0/24, das sich mit dem Subnetz in vpc-a überschneidet. Für subnet-a von vpc-a, um mit subnet-b zu kommunizieren von vpc-b müssen Sie das private NAT-Gateway pvt-nat-gw konfigurieren. in vpc-a so:

  • Privates NAT-Subnetz: vor dem Konfigurieren des privaten NAT-Subnetzes Gateway, erstellen Sie ein privates NAT-Subnetz für den Zweck PRIVATE_NAT. z. B. 10.1.2.0/29. Achten Sie darauf, dass sich dieses Subnetz nicht überschneidet mit einem vorhandenen Subnetz in einem der VPC-Spokes, die an den Network Connectivity Center-Hub.

  • Eine NAT-Regel, deren nexthop.hub mit der URL des Network Connectivity Center-Hubs übereinstimmt.

  • NAT für alle Adressbereiche von subnet-a.

In der folgenden Tabelle ist die Netzwerkkonfiguration Beispiel:

Netzwerkname Netzwerkkomponente IP-Adresse/-Adressbereich Region
vpc-a

 subnet-a 192.168.1.0/24 us-east1
vm-a 192.168.1.2
pvt-nat-gw 10.1.2.0/29
vpc-b

 subnet-b 192.168.2.0/24 us-west1
vm-b 192.168.2.2
subnet-c 192.168.1.0/24
vm-c 192.168.1.3

Private NAT für Network Connectivity Center-Spokes folgt der Verfahren zur Portreservierung zum Reservieren der folgenden NAT-Quell-IP-Adresse und Quellport-Tupel für jede der VMs im Netzwerk. Beispiel: Der Parameter Das private NAT-Gateway reserviert 64 Quellports für vm-a: 10.1.2.2:34000 bis 10.1.2.2:34063.

Wenn die VM ein Paket mit dem TCP-Protokoll an den Updateserver 192.168.2.2 auf dem Zielport 80 sendet, geschieht Folgendes:

  1. Die VM sendet ein Anfragepaket mit folgenden Attributen:

    • Quell-IP-Adresse: 192.168.1.2, die interne IP-Adresse der VM
    • Quellport: 24000, der sitzungsspezifische Quellport, der vom Betriebssystem der VM ausgewählt wurde
    • Zieladresse: 192.168.2.2, die IP-Adresse des Update-Servers
    • Zielport: 80, der Zielport für HTTP-Traffic zum Updateserver
    • Protokoll: TCP

  2. Das Gateway pvt-nat-gw führt eine SNAT (Source Network Address Translation, SNAT oder Quell-NAT) bei ausgehendem Traffic, indem Sie die Anfrage umschreiben NAT-Quell-IP-Adresse und Quellport des Pakets:

    • NAT-Quell-IP-Adresse: 10.1.2.2, von einer der reservierten NAT-Quelle der VM Tupel für IP-Adresse und Quellport
    • Quellport: 34022, ein nicht verwendeter Quellport aus einem der reservierten Quellport-Tupel der VM
    • Zieladresse: 192.168.2.2, unverändert
    • Zielport: 80, unverändert
    • Protokoll: TCP, unverändert

  3. Der Update-Server sendet ein Antwortpaket, das im pvt-nat-gw-Gateway mit diesen Attributen:

    • Quell-IP-Adresse: 192.168.2.2, die interne IP-Adresse des Update-Servers
    • Quellport: 80, die HTTP-Antwort vom Update-Server
    • Zieladresse: 10.1.2.2, entspricht der ursprünglichen NAT-Quell-IP-Adresse des Anfragepakets
    • Zielport: 34022, entspricht dem Quellport des Anfragepakets
    • Protokoll: TCP, unverändert

  4. Das Gateway pvt-nat-gw führt DNAT für das Antwortpaket aus und schreibt die Zieladresse und den Zielport des Antwortpakets um, damit das Paket an die VM gesendet wird, die das Update angefordert hat, mit den folgenden Attributen:

    • Quell-IP-Adresse: 192.168.2.2, unverändert
    • Quellport: 80, unverändert
    • Zieladresse: 192.168.1.2, die interne IP-Adresse der VM
    • Zielport: 24000, entspricht dem ursprünglichen sitzungsspezifischen Quellport des Anfragepakets
    • Protokoll: TCP, unverändert

Nächste Schritte