NAT particular para spokes do Network Connectivity Center

A NAT particular permite criar um NAT particular que funciona em conjunto com o Network Connectivity Center para realizar a conversão de endereços de rede (NAT) entre as redes:

  • Redes de nuvem privada virtual (VPC): as redes VPC que você quer conectar são anexadas a um hub do Network Connectivity Center como spokes de VPC.
  • Redes VPC e redes fora do Google Cloud (Pré-lançamento): nesse caso, um ou mais As redes VPC são anexadas a um hub do Network Connectivity Center como spokes de VPC e conectados à sua rede local provedores de nuvem usando spokes híbridos.

Especificações

Além das especificações gerais do Private NAT, O NAT particular para spokes do Network Connectivity Center tem os seguintes especificações:

  • A NAT particular usa um NAT configuração de type=PRIVATE para permitir que as redes com IP de sub-rede sobreposto e os intervalos de endereços se comunicam. No entanto, apenas sub-redes não sobrepostas podem se conectar e se relacionam entre si.
  • Você precisa criar uma regra NAT personalizada referenciando um hub do Network Connectivity Center. A regra NAT especifica um intervalo de endereços IP NAT de uma sub-rede de finalidade PRIVATE_NAT que o Private NAT usa para executar a NAT no tráfego entre as redes conectadas.
  • Um gateway NAT privado está associado ao endereço IP da sub-rede em uma mesma região em uma única rede VPC. Isso significa que um NAT particular gateway criado em uma rede VPC não pode fornecem NAT para VMs em outros spokes do hub do Network Connectivity Center, mesmo que as VMs estejam na mesma região que o gateway.

Tráfego entre redes VPC

As seguintes especificações adicionais se aplicam ao tráfego entre Redes VPC (NAT entre VPCs):

  • Para ativar o Inter-VPC NAT entre duas VPCs é preciso configurar cada rede VPC A VPC falou de um hub do Network Connectivity Center. Ao criar o spoke, você precisa garantir que não haja sobrepondo intervalos de endereços IP na VPC raios. Para mais informações, consulte Criar um spoke VPC.
  • A Inter-VPC NAT oferece suporte a NAT entre o Network Connectivity Center Somente spokes VPC, e não entre redes VPC conectados usando peering de rede VPC.
  • A NAT entre VPCs é compatível com a conversão de endereços para sub-redes VPC em uma região, bem como entre regiões.

Tráfego entre redes VPC e outras redes

As seguintes especificações adicionais se aplicam ao tráfego entre Spokes e redes VPC fora do Google Cloud (Prévia):

  • Para ativar o Private NAT entre uma VPC e uma rede no local ou de outro provedor de nuvem:
    1. A rede VPC precisa ser configurada A VPC falou de um hub do Network Connectivity Center. Se um O hub do Network Connectivity Center tem mais de um spoke VPC, você precisa garantir que não haja sobreposição de sub-redes spokes de VPC. Para mais informações, consulte Criar um spoke VPC.
    2. Um spoke híbrido precisa ser anexado ao mesmo hub do Network Connectivity Center para estabelecer conectividade entre o spoke da VPC e a rede fora do Google Cloud. Suporte a spokes híbridos anexos da VLAN para o Cloud Interconnect, túneis do Cloud VPN e VMs de dispositivos roteador. Para mais informações, consulte Sobre a conectividade entre spokes de VPC e spokes híbridos.
  • O gateway NAT particular precisa ser configurado na carga de trabalho rede VPC, e não na rede VPC de roteamento que está associado ao spoke híbrido. Para mais informações sobre cargas de trabalho e roteamento de redes VPC, consulte Troca de rotas com spokes de VPC.

Configuração básica e fluxo de trabalho

O diagrama a seguir mostra uma configuração básica do Private NAT para o tráfego entre dois spokes de VPC:

Exemplo de conversão Inter-VPC NAT.
Exemplo de conversão Inter-VPC NAT (clique para ampliar).

Neste exemplo, o Private NAT é configurado da seguinte maneira:

  • O gateway pvt-nat-gw está configurado em vpc-a para ser aplicado a todos os intervalos de endereços IP de subnet-a na região us-east1. Usando os intervalos de IP NAT de pvt-nat-gw, uma instância de máquina virtual (VM) em subnet-a de vpc-a pode enviar tráfego para uma VM em subnet-b de vpc-b, mesmo que subnet-a de vpc-a se sobreponha a subnet-c de vpc-b.
  • vpc-a e vpc-b são configurados como spokes de um hub do Network Connectivity Center.
  • O gateway pvt-nat-gw está configurado para fornecer NAT entre a VPC configuradas como spokes de VPC no mesmo hub do Network Connectivity Center.

Exemplo de fluxo de trabalho

No diagrama anterior, vm-a pelo endereço IP interno 192.168.1.2 em subnet-a de vpc-a precisa fazer o download de uma atualização do vm-b com a versão interna Endereço IP 192.168.2.2 em subnet-b de vpc-b. As duas redes VPC estão conectadas ao mesmo hub do Network Connectivity Center que os spokes VPC. Suponha que vpc-b contenha outra sub-rede 192.168.1.0/24 que se sobreponha à sub-rede em vpc-a. Para subnet-a de vpc-a se comunicar com subnet-b de vpc-b, você precisa configurar um gateway NAT particular, pvt-nat-gw, em vpc-a da seguinte maneira:

  • Sub-rede NAT particular: antes de configurar o Private NAT gateway, crie uma sub-rede NAT particular com a finalidade PRIVATE_NAT, por exemplo, 10.1.2.0/29. Verifique se essa sub-rede não se sobrepõe a uma sub-rede em qualquer um dos spokes de VPC anexados ao no mesmo hub do Network Connectivity Center.

  • Uma regra NAT cujo nexthop.hub corresponde ao URL do hub do Network Connectivity Center.

  • NAT para todos os intervalos de endereços de subnet-a.

A tabela a seguir resume a configuração de rede especificada no exemplo anterior:

Nome da rede Componente de rede Endereço / intervalo IP Região
vpc-a

 subnet-a 192.168.1.0/24 us-east1
vm-a 192.168.1.2
pvt-nat-gw 10.1.2.0/29
vpc-b

 subnet-b 192.168.2.0/24 us-west1
vm-b 192.168.2.2
subnet-c 192.168.1.0/24
vm-c 192.168.1.3

A NAT particular para spokes do Network Connectivity Center segue a procedimento de reserva de porta para reservar o seguinte endereço IP de origem NAT e as tuplas de porta de origem de cada uma das VMs da rede. Por exemplo, o gateway do Private NAT reserva 64 portas de origem para vm-a: 10.1.2.2:34000 a 10.1.2.2:34063.

Quando a VM usa o protocolo TCP para enviar um pacote ao servidor de atualização 192.168.2.2 na porta de destino 80, ocorre o seguinte:

  1. A VM envia um pacote de solicitação com estes atributos:

    • Endereço IP de origem: 192.168.1.2, o endereço IP interno da VM
    • Porta de origem: 24000, a porta de origem temporária escolhida pelo sistema operacional da VM
    • Endereço de destino: 192.168.2.2, o endereço IP do servidor de atualização
    • Porta de destino: 80, a porta de destino do tráfego HTTP para o servidor de atualizações
    • Protocolo: TCP

  2. O gateway pvt-nat-gw executa a conversão de endereços de rede de origem (SNAT, na sigla em inglês) (SNAT ou NAT de origem) na saída, reescrevendo o endereço IP de origem e a porta de origem do pacote de solicitação:

    • Endereço IP de origem NAT: 10.1.2.2, de um dos endereços IP de origem NAT reservados da VM e das tuplas da porta de origem
    • Porta de origem: 34022, uma porta de origem não utilizada de uma das tuplas de porta de origem reservadas da VM
    • Endereço de destino: 192.168.2.2, inalterado
    • Porta de destino: 80, inalterada
    • Protocolo: TCP, inalterado

  3. O servidor de atualização envia um pacote de resposta que chega à pvt-nat-gw com estes atributos:

    • Endereço IP de origem: 192.168.2.2, o endereço IP interno do servidor de atualização
    • Porta de origem: 80, a resposta HTTP do servidor de atualização
    • Endereço de destino: 10.1.2.2, que corresponde ao endereço IP de origem do NAT original do pacote de solicitações
    • Porta de destino: 34022, que corresponde à porta de origem do pacote de solicitação
    • Protocolo: TCP, inalterado

  4. O gateway pvt-nat-gw executa a conversão de endereços de rede de destino (DNAT, na sigla em inglês) no pacote de resposta, reescrevendo o endereço de destino e a porta de destino do pacote de resposta para que o pacote seja entregue à VM que solicitou a atualização com o seguinte atributos:

    • Endereço IP de origem: 192.168.2.2, inalterado
    • Porta de origem: 80, inalterada
    • Endereço de destino: 192.168.1.2, o endereço IP interno da VM
    • Porta de destino: 24000, que corresponde à porta de origem temporária original do pacote de solicitação
    • Protocolo: TCP, inalterado

A seguir