Private NAT pour les spokes Network Connectivity Center

Private NAT vous permet de créer une passerelle Private NAT qui fonctionne conjointement avec les branches de Network Connectivity Center pour effectuer la traduction d'adresse réseau (NAT) entre les réseaux suivants:

  • Réseaux de cloud privé virtuel (VPC) : dans ce scénario, les réseaux VPC que vous souhaitez connecter sont associés à un hub Network Connectivity Center en tant que spokes VPC.
  • Réseaux VPC et réseaux en dehors de Google Cloud: dans ce scénario, un ou plusieurs réseaux VPC sont associés à un hub Network Connectivity Center en tant que spokes VPC et connectés à vos réseaux sur site ou à ceux d'autres fournisseurs de services cloud via des spokes hybrides.

Spécifications

En plus des spécifications générales de Private NAT, Private NAT pour les spokes Network Connectivity Center présente les spécifications suivantes:

  • Le NAT privé utilise une configuration NAT de type=PRIVATE pour permettre aux réseaux dont les plages d'adresses IP de sous-réseau se chevauchent de communiquer. Toutefois, seuls les sous-réseaux qui ne se chevauchent pas peuvent se connecter les uns aux autres.
  • Vous devez créer une règle NAT personnalisée en référençant un hub Network Connectivity Center. La règle NAT spécifie une plage d'adresses IP NAT à partir d'un sous-réseau à usage PRIVATE_NAT que Private NAT utilise pour effectuer la NAT sur le trafic entre vos réseaux connectés.
  • Lorsque vous créez une instance de VM dans une plage de sous-réseau où le NAT privé s'applique, tout le trafic sortant de cette instance de VM est traduit par la passerelle si le rayon de destination se trouve dans le même hub Network Connectivity Center que la passerelle. Private NAT traduit le trafic vers les rayons de destination dans la même région que la passerelle Private NAT, ainsi que dans d'autres régions.
  • Une passerelle NAT privée est associée à des plages d'adresses IP de sous-réseau dans une seule région et un seul réseau VPC. Cela signifie qu'une passerelle Private NAT créée dans un réseau VPC ne fournit pas de services NAT aux VM des autres branches du hub Network Connectivity Center, même si elles se trouvent dans la même région que la passerelle.

Trafic entre les réseaux VPC

Les spécifications supplémentaires suivantes s'appliquent au trafic entre les réseaux VPC (NAT inter-VPC):

  • Pour activer le NAT inter-VPC entre deux réseaux VPC, chaque réseau VPC doit être configuré en tant que spoke VPC d'un hub Network Connectivity Center. Vous devez vous assurer qu'il n'y a pas de plages d'adresses IP qui se chevauchent entre les branches de votre VPC. Pour en savoir plus, consultez la section Créer un spoke VPC.
  • Le hub Network Connectivity Center associé à la passerelle Private NAT doit comporter au moins deux spokes VPC, dont l'un est le réseau VPC de la passerelle Private NAT.
  • Inter-VPC NAT n'est compatible qu'avec le NAT entre les spokes VPC de Network Connectivity Center, et non entre les réseaux VPC connectés à l'aide de l'appairage de réseaux VPC.

Trafic entre les réseaux VPC et d'autres réseaux

Les spécifications supplémentaires suivantes s'appliquent au trafic entre les réseaux VPC et les réseaux en dehors de Google Cloud:

  • Le réseau VPC source doit être configuré en tant que spoke VPC d'un hub Network Connectivity Center.
  • Un spoke hybride doit être associé au même hub Network Connectivity Center pour établir la connectivité entre le spoke VPC et le réseau de destination en dehors de Google Cloud. Pour en savoir plus, consultez la section Établir une connectivité entre les spokes hybrides et les spokes VPC.

Pour en savoir plus sur les conditions requises pour utiliser des spokes VPC et des spokes hybrides dans le même hub Network Connectivity Center, consultez la section Échange de routes avec des spokes VPC.

Configuration et workflow de base

Le schéma suivant illustre une configuration Private NAT de base pour le trafic entre deux branches VPC:

Exemple de traduction NAT inter-VPC.
Exemple de traduction NAT inter-VPC (cliquez pour agrandir).

Dans cet exemple, le NAT privé est configuré comme suit:

  • La passerelle pvt-nat-gw est configurée dans vpc-a pour s'appliquer à toutes les plages d'adresses IP de subnet-a dans la région us-east1. À l'aide des plages d'adresses IP NAT de pvt-nat-gw, une instance de machine virtuelle (VM) dans subnet-a de vpc-a peut envoyer du trafic à une VM dans subnet-b de vpc-b, même si subnet-a de vpc-a chevauche subnet-c de vpc-b.
  • vpc-a et vpc-b sont tous deux configurés en tant que spokes d'un hub Network Connectivity Center.
  • La passerelle pvt-nat-gw est configurée pour fournir un NAT entre les réseaux VPC configurés en tant que spokes VPC dans le même hub Network Connectivity Center.

Exemple de workflow

Dans le diagramme précédent, vm-a avec l'adresse IP interne 192.168.1.2 dans subnet-a de vpc-a doit télécharger une mise à jour à partir de vm-b avec l'adresse IP interne 192.168.2.2 dans subnet-b de vpc-b. Les deux réseaux VPC sont connectés au même hub Network Connectivity Center en tant que spokes VPC. Supposons que vpc-b contienne un autre sous-réseau 192.168.1.0/24 qui chevauche le sous-réseau de vpc-a. Pour que subnet-a de vpc-a communique avec subnet-b de vpc-b, vous devez configurer une passerelle NAT privée, pvt-nat-gw, dans vpc-a comme suit:

  • Sous-réseau Private NAT: avant de configurer la passerelle Private NAT, créez un sous-réseau Private NAT à usage PRIVATE_NAT, par exemple 10.1.2.0/29. Assurez-vous que ce sous-réseau ne chevauche pas un sous-réseau existant dans l'un des spokes VPC associés au même hub Network Connectivity Center.

  • Une règle NAT dont l'nexthop.hub correspond à l'URL du hub Network Connectivity Center.

  • NAT pour toutes les plages d'adresses de subnet-a.

Le tableau suivant récapitule la configuration réseau spécifiée dans l'exemple précédent:

Nom du réseau Composant réseau Adresse IP/plage Région
vpc-a

 subnet-a 192.168.1.0/24 us-east1
vm-a 192.168.1.2
pvt-nat-gw 10.1.2.0/29
vpc-b

 subnet-b 192.168.2.0/24 us-west1
vm-b 192.168.2.2
subnet-c 192.168.1.0/24
vm-c 192.168.1.3

Private NAT pour les spokes Network Connectivity Center suit la procédure de réservation de port pour réserver les tuples d'adresses IP NAT sources et de ports sources suivants pour chacune des VM du réseau. Par exemple, la passerelle NAT privée réserve 64 ports sources pour vm-a : 10.1.2.2:34000 à 10.1.2.2:34063.

Lorsque la VM utilise le protocole TCP pour envoyer un paquet au serveur de mise à jour 192.168.2.2 sur le port de destination 80, voici ce qui se produit:

  1. La VM envoie un paquet de requête avec les attributs suivants :

    • Adresse IP source: 192.168.1.2, adresse IP interne de la VM
    • Port source: 24000, le port source éphémère choisi par le système d'exploitation de la VM
    • Adresse de destination: 192.168.2.2, adresse IP du serveur de mise à jour
    • Port de destination: 80, le port de destination pour le trafic HTTP vers le serveur de mise à jour
    • Protocol (Protocole) : TCP

  2. La passerelle pvt-nat-gw effectue la traduction d'adresse réseau source (SNAT ou NAT source) en sortie, en réécrivant l'adresse IP source et le port source du paquet de requête:

    • Adresse IP source NAT: 10.1.2.2, provenant de l'un des tuples d'adresse IP source et de port source NAT réservés de la VM
    • Port source : 34022, un port source inutilisé de l'un des tuples de port source réservés de la VM
    • Adresse de destination : 192.168.2.2, inchangée
    • Port de destination : 80, inchangé
    • Protocole: TCP, inchangé

  3. Le serveur de mise à jour envoie un paquet de réponse qui arrive sur la passerelle pvt-nat-gw avec les attributs suivants:

    • Adresse IP source: 192.168.2.2, adresse IP interne du serveur de mise à jour
    • Port source : 80, la réponse HTTP du serveur de mise à jour
    • Adresse de destination: 10.1.2.2, correspondant à l'adresse IP source NAT d'origine du paquet de requête
    • Port de destination: 34022, correspondant au port source du paquet de requête
    • Protocole: TCP, inchangé

  4. La passerelle pvt-nat-gw effectue la traduction d'adresse réseau de destination (DNAT) sur le paquet de réponse, en réécrivant l'adresse et le port de destination du paquet de réponse pour que celui-ci soit transmis à la VM ayant demandé la mise à jour avec les attributs suivants:

    • Adresse IP source : 192.168.2.2, inchangée
    • Port source : 80, inchangé
    • Adresse de destination: 192.168.1.2, adresse IP interne de la VM
    • Port de destination: 24000, correspondant au port source éphémère d'origine du paquet de requête
    • Protocole: TCP, inchangé

Étape suivante