NAT privada para radios de Network Connectivity Center

La NAT privada te permite crear una puerta de enlace de NAT privada que funcione en conjunto con los radios del Centro de conectividad de red para realizar la traducción de direcciones de red (NAT) entre las siguientes redes:

  • Redes de nube privada virtual (VPC): En esta situación, las redes de VPC que deseas conectar están asociadas a un concentrador de Network Connectivity Center como radios de VPC.
  • Redes de VPC y redes fuera de Google Cloud (Vista previa): En este caso, una o más Las redes de VPC se conectan a un concentrador de Network Connectivity Center, como radios de VPC y conectados a redes locales o a otras y las redes de proveedores de servicios en la nube a través de radios híbridos.

Especificaciones

Además de las especificaciones generales de NAT privadas, Private NAT para radios de Network Connectivity Center tiene lo siguiente: específicas:

  • NAT privada usa una NAT de type=PRIVATE para permitir redes con direcciones IP de subredes superpuestas se comunican los rangos de direcciones. Sin embargo, solo las subredes que no se superponen pueden conectarse entre sí.
  • Debes crear una regla de NAT personalizada haciendo referencia a un concentrador de Network Connectivity Center. La regla de NAT especifica un rango de direcciones IP de NAT de una subred de propósito PRIVATE_NAT que Private NAT usa para realizar NAT en el tráfico entre tus redes conectadas.
  • Cuando creas una instancia de VM en un rango de subred en el que se aplica la NAT privada, la puerta de enlace traduce todo el tráfico de salida de esta instancia de VM si el radio de destino se encuentra en el mismo concentrador de Network Connectivity Center que la puerta de enlace.
  • Una puerta de enlace de NAT privada está asociada con rangos de direcciones IP de subred en una sola región y una sola red de VPC. Esto significa que una NAT privada de enlace creada en una red de VPC no puede proporcionan NAT a las VMs en otros radios del concentrador de Network Connectivity Center, incluso si las VMs están en la misma región que la puerta de enlace.

Tráfico entre redes de VPC

Las siguientes especificaciones adicionales se aplican al tráfico entre redes de VPC (NAT entre VPC):

  • Habilitar la NAT entre VPC entre dos VPC redes, cada red de VPC debe configurarse como Radio de VPC de un concentrador de Network Connectivity Center. Debes asegurarte de que no haya los rangos de direcciones IP superpuestos en tu VPC radios. Para obtener más información, consulta Crea un radio de VPC.
  • El concentrador de Network Connectivity Center asociado con la puerta de enlace NAT privada debe tener al menos dos radios de VPC, donde uno de los Los radios de VPC son la red de VPC de la puerta de enlace NAT privada.
  • La NAT entre VPC admite NAT entre Network Connectivity Center Solo radios de VPC, no entre redes de VPC conectadas mediante el intercambio de tráfico entre redes de VPC.
  • La NAT entre VPC admite la traducción de direcciones para subredes de VPC dentro de una región y entre regiones.

Tráfico entre redes de VPC y otras redes

Las siguientes especificaciones adicionales se aplican al tráfico entre Radios y redes de VPC fuera de Google Cloud (Vista previa):

  • Para habilitar la NAT privada entre una red de VPC y una red local o de otro proveedor de servicios en la nube, haz lo siguiente:
    1. La red de VPC debe configurarse como Radio de VPC de un concentrador de Network Connectivity Center. Si un concentrador de Network Connectivity Center tiene más de un radio de VPC, debes asegurarte de que no haya superposiciones de subredes entre los radios de VPC. Para obtener más información, consulta Crea un radio de VPC.
    2. Se debe conectar un radio híbrido al mismo concentrador de Network Connectivity Center para establecer la conectividad entre el radio de VPC y la red fuera de Google Cloud. Los radios híbridos admiten adjuntos de VLAN para Cloud Interconnect, túneles de Cloud VPN y VMs del dispositivo de router. Para obtener más información, consulta Acerca de la conectividad entre radios de VPC y radios híbridos.
  • La puerta de enlace NAT privada se debe configurar en la red de VPC de la carga de trabajo, no en la red de VPC de enrutamiento asociada con el radio híbrido. Obtén más información sobre las cargas de trabajo y enrutamiento de redes de VPC, consulta Intercambio de rutas con radios de VPC.

Configuración básica y flujo de trabajo

En el siguiente diagrama, se muestra una configuración básica de NAT privada para el tráfico entre dos radios de VPC:

Ejemplo de traducción de NAT entre VPC.
Ejemplo de traducción de NAT entre VPC (haz clic para ampliar).

En este ejemplo, la NAT privada se configura de la siguiente manera:

  • La puerta de enlace pvt-nat-gw se configura en vpc-a para aplicarse a todos los rangos de direcciones IP de subnet-a en la región us-east1. Con los rangos de IP de NAT de pvt-nat-gw, una instancia de máquina virtual (VM) en subnet-a de vpc-a puede enviar tráfico a una VM en subnet-b de vpc-b, aunque subnet-a de vpc-a se superponga con subnet-c de vpc-b.
  • vpc-a y vpc-b se configuran como radios de un concentrador de Network Connectivity Center.
  • La puerta de enlace pvt-nat-gw está configurada para proporcionar NAT entre redes de VPC que están configuradas como radios de VPC en el mismo concentrador de Network Connectivity Center.

Ejemplo de flujo de trabajo

En el diagrama anterior, vm-a con la dirección IP interna 192.168.1.2 en subnet-a de vpc-a debe descargar una actualización de vm-b con la versión interna Dirección IP 192.168.2.2 en subnet-b de vpc-b. Tanto la VPC redes están conectadas al mismo concentrador de Network Connectivity Center que la radios. Supongamos que vpc-b contiene otra subred 192.168.1.0/24 que se superpone con la subred en vpc-a. Para que subnet-a de vpc-a se comunique con subnet-b de vpc-b, debes configurar una puerta de enlace NAT privada, pvt-nat-gw, en vpc-a de la siguiente manera:

  • Subred NAT privada: Antes de configurar Private NAT crear una subred NAT privada con el propósito PRIVATE_NAT por ejemplo, 10.1.2.0/29. Asegúrate de que esta subred no se superponga con una subred existente en cualquiera de los radios de VPC adjuntos al mismo concentrador de Network Connectivity Center.

  • Una regla de NAT cuyo nexthop.hub coincida con la URL del concentrador de Network Connectivity Center

  • NAT para todos los rangos de direcciones de subnet-a.

En la siguiente tabla, se resume la configuración de red especificada en el ejemplo anterior:

Nombre de la red Componente de red Rango o dirección IP Región
vpc-a

 subnet-a 192.168.1.0/24 us-east1
vm-a 192.168.1.2
pvt-nat-gw 10.1.2.0/29
vpc-b

 subnet-b 192.168.2.0/24 us-west1
vm-b 192.168.2.2
subnet-c 192.168.1.0/24
vm-c 192.168.1.3

La NAT privada para los radios de Network Connectivity Center sigue el procedimiento de reserva de puertos para reservar la siguiente dirección IP de origen de NAT y las tuplas de puerto de origen para cada una de las VMs de la red. Por ejemplo, la puerta de enlace de NAT privada reserva 64 puertos de origen para vm-a: de 10.1.2.2:34000 a 10.1.2.2:34063.

Cuando la VM usa el protocolo TCP para enviar un paquete al servidor de actualización 192.168.2.2 en el puerto de destino 80, ocurre lo siguiente:

  1. La VM envía un paquete de solicitud con estos atributos:

    • Dirección IP de origen: 192.168.1.2, la dirección IP interna de la VM
    • Puerto de origen: 24000, el puerto de origen efímero que elige el sistema operativo de la VM
    • Dirección de destino: 192.168.2.2, la dirección IP del servidor de actualización
    • Puerto de destino: 80, el puerto de destino para el tráfico HTTP al servidor de actualización
    • Protocolo: TCP

  2. La puerta de enlace pvt-nat-gw realiza la traducción de direcciones de red de origen (SNAT o NAT de origen) en la salida, la reescritura de la solicitud la dirección IP de origen de NAT y el puerto de origen del paquete:

    • Dirección IP de origen de NAT: 10.1.2.2, de una de las fuentes de NAT reservadas de la VM Dirección IP y tuplas de puerto de origen
    • Puerto de origen: 34022, un puerto de origen no utilizado de una de las tuplas de puertos de origen reservadas de la VM
    • Dirección de destino: 192.168.2.2, sin cambios
    • Puerto de destino: 80, sin cambios
    • Protocolo: TCP, sin cambios

  3. El servidor de actualización envía un paquete de respuesta que llega al pvt-nat-gw puerta de enlace con estos atributos:

    • Dirección IP de origen: 192.168.2.2, la dirección IP interna del servidor de actualización
    • Puerto de origen: 80, la respuesta HTTP del servidor de actualización
    • Dirección de destino: 10.1.2.2, que coincide con la dirección IP de origen de NAT original del paquete de solicitud
    • Puerto de destino: 34022, que coincide con el puerto de origen del paquete de solicitud
    • Protocolo: TCP, sin cambios

  4. La puerta de enlace pvt-nat-gw realiza la traducción de direcciones de red de destino (DNAT) en el paquete de respuesta y reescribe la dirección de destino y el puerto de destino del paquete de respuesta para que el paquete se entregue a la VM que solicitó la actualización con los siguientes atributos:

    • Dirección IP de origen: 192.168.2.2, sin cambios
    • Puerto de origen: 80, sin cambios
    • Dirección de destino: 192.168.1.2, la dirección IP interna de la VM
    • Puerto de destino: 24000, que coincide con el puerto de origen efímero original del paquete de solicitud
    • Protocolo: TCP, sin cambios

¿Qué sigue?