Network Connectivity Center 스포크의 Private NAT

Private NAT를 사용하면 Network Connectivity Center 스포크와 함께 작동하여 다음 네트워크 간 네트워크 주소 변환(NAT)을 수행하는 Private NAT 게이트웨이를 만들 수 있습니다.

• 가상 프라이빗 클라우드(VPC) 네트워크: 이 시나리오에서는 연결하려는 VPC 네트워크가 Network Connectivity Center 허브에 VPC 스포크로 연결됩니다.
• VPC 네트워크 및 Google Cloud외부의 네트워크: 이 시나리오에서는 하나 이상의 VPC 네트워크가 Network Connectivity Center 허브에 VPC 스포크로 연결되고 하이브리드 스포크를 통해 온프레미스 또는 기타 클라우드 제공업체 네트워크에 연결됩니다.

사양

일반 Private NAT 사양 외에도 Network Connectivity Center 스포크용 Private NAT에는 다음 사양이 포함됩니다.

• Private NAT는 type=PRIVATE의 NAT 구성을 사용하여 서브넷 IP 주소 범위가 겹치는 네트워크가 통신할 수 있도록 합니다. 그러나 중복되지 않는 서브넷만 서로 연결할 수 있습니다.
• Network Connectivity Center 허브를 참조하여 커스텀 NAT 규칙을 만들어야 합니다. NAT 규칙은 Private NAT가 연결된 네트워크 간의 트래픽에 NAT를 수행하는 데 사용하는 PRIVATE_NAT 용도의 서브넷에서 NAT IP 주소 범위를 지정합니다.
• Private NAT가 적용되는 서브넷 범위에서 VM 인스턴스를 만들면 대상 스포크가 게이트웨이와 동일한 Network Connectivity Center 허브에 있는 경우 이 VM 인스턴스의 모든 이그레스 트래픽이 게이트웨이에서 변환됩니다. Private NAT는 트래픽을 Private NAT 게이트웨이와 동일한 리전 내의 대상 스포크뿐만 아니라 여러 리전 간에도 변환합니다.
• Private NAT 게이트웨이는 단일 VPC 네트워크의 단일 리전에 있는 서브넷 IP 주소 범위와 연결됩니다. 즉, 하나의 VPC 네트워크에 생성된 Private NAT 게이트웨이는 VM이 게이트웨이와 동일한 리전에 있더라도 Network Connectivity Center 허브의 다른 스포크에 있는 VM에 NAT 서비스를 제공하지 않습니다.

VPC 네트워크 간 트래픽

다음 추가 사양은 VPC 네트워크(Inter-VPC NAT) 간 트래픽에 적용됩니다.

• 두 VPC 네트워크 간에 Inter-VPC NAT를 사용 설정하려면 각 VPC 네트워크를 Network Connectivity Center 허브의 VPC 스포크로 구성해야 합니다. VPC 스포크 간에 겹치는 IP 주소 범위가 없어야 합니다. 자세한 내용은 VPC 스포크 만들기를 참조하세요.
• Private NAT 게이트웨이와 연결된 Network Connectivity Center 허브에는 VPC 스포크가 2개 이상 있어야 하며, 이 중 하나는 Private NAT 게이트웨이의 VPC 네트워크여야 합니다.
• Inter-VPC NAT는 VPC 네트워크 피어링을 사용해 연결된 VPC 네트워크 간이 아닌 Network Connectivity Center VPC 스포크 간에만 NAT를 지원합니다.

VPC 네트워크와 기타 네트워크 간 트래픽

다음 추가 사양은 VPC 네트워크와 Google Cloud외부 네트워크 간의 트래픽에 적용됩니다.

• 소스 VPC 네트워크는 Network Connectivity Center 허브의 VPC 스포크로 구성되어야 합니다.
• VPC 스포크와 Google Cloud외부의 목적지 네트워크 간에 연결을 설정하려면 하이브리드 스포크를 동일한 Network Connectivity Center 허브에 연결해야 합니다. 자세한 내용은 하이브리드 스포크와 VPC 스포크 간의 연결 설정을 참조하세요.

동일한 Network Connectivity Center 허브에서 VPC 스포크 및 하이브리드 스포크 사용 관련 요구사항에 관한 자세한 내용은 VPC 스포크를 사용한 경로 교환을 참조하세요.

기본 구성 및 워크플로

다음 다이어그램은 두 VPC 스포크 간의 트래픽에 대한 기본 Private NAT 구성을 보여줍니다.

이 예시에서 Private NAT는 다음과 같이 설정됩니다.

• us-east1 리전에서 subnet-a의 모든 IP 주소 범위에 적용되도록 pvt-nat-gw 게이트웨이가 vpc-a에 구성되었습니다. vpc-a의 subnet-a에 있는 가상 머신(VM) 인스턴스는 pvt-nat-gw의 NAT IP 범위를 사용하여 vpc-a의 subnet-a가 vpc-b의 subnet-c와 겹치더라도, vpc-b의 subnet-b에 있는 VM으로 트래픽을 전송할 수 있습니다.
• vpc-a 및 vpc-b 모두 Network Connectivity Center 허브의 스포크로 구성됩니다.
• pvt-nat-gw 게이트웨이는 동일한 Network Connectivity Center 허브에서 VPC 스포크로 구성된 VPC 네트워크 간에 NAT를 제공하도록 구성됩니다.

워크플로 예시

이전 다이어그램에서 vpc-a의 subnet-a에 있는 내부 IP 주소 192.168.1.2가 있는 vm-a는 vpc-b의 subnet-b에 있는 내부 IP 주소 192.168.2.2가 포함된 vm-b에서 업데이트를 다운로드해야 합니다. 두 VPC 네트워크 모두 동일한 Network Connectivity Center 허브에 VPC 스포크로 연결됩니다. vpc-b에 vpc-a의 서브넷과 겹치는 또 다른 서브넷 192.168.1.0/24가 포함되어 있다고 가정해 보겠습니다. vpc-a의 subnet-a에서 vpc-b의 subnet-b와 통신하려면 다음과 같이 vpc-a에 Private NAT 게이트웨이 pvt-nat-gw를 구성해야 합니다.

• Private NAT 서브넷: Private NAT 게이트웨이를 구성하기 전에 PRIVATE_NAT 목적의 Private NAT 서브넷(예: 10.1.2.0/29)을 만듭니다. 이 서브넷이 동일한 Network Connectivity Center 허브에 연결된 VPC 스포크의 기존 서브넷과 겹치지 않는지 확인합니다.

• nexthop.hub가 Network Connectivity Center 허브 URL과 일치하는 NAT 규칙입니다.

• subnet-a의 모든 주소 범위에 대한 NAT입니다.

다음 표에는 앞의 예시에 명시된 네트워크 구성이 요약되어 있습니다.

네트워크 이름	네트워크 구성요소	IP 주소/범위	지역
vpc-a	subnet-a	192.168.1.0/24	us-east1
	vm-a	192.168.1.2
	pvt-nat-gw	10.1.2.0/29
vpc-b	subnet-b	192.168.2.0/24	us-west1
	vm-b	192.168.2.2
	subnet-c	192.168.1.0/24
	vm-c	192.168.1.3

Network Connectivity Center 스포크용 Private NAT는 포트 예약 절차를 따라 네트워크의 각 VM에 다음 NAT 소스 IP 주소와 소스 포트 튜플을 예약합니다. 예를 들어 Private NAT 게이트웨이는 vm-a를 통해 64개의 소스 포트(10.1.2.2:34000~10.1.2.2:34063)를 예약합니다.

VM이 TCP 프로토콜을 사용하여 목적지 포트 80의 업데이트 서버 192.168.2.2에 패킷을 전송하면 다음과 같은 결과가 발생합니다.

1. VM이 다음 속성으로 요청 패킷을 전송합니다.

   • 소스 IP 주소: 192.168.1.2, VM의 내부 IP 주소
   • 소스 포트: 24000, VM의 운영체제에서 선택한 임시 소스 포트
   • 대상 주소: 192.168.2.2, 업데이트 서버의 IP 주소
   • 목적지 포트: 80, 업데이트 서버에 대한 HTTP 트래픽에 대한 목적지 포트
   • 프로토콜: TCP

2. pvt-nat-gw 게이트웨이는 이그레스에 소스 네트워크 주소 변환(SNAT 또는 소스 NAT)을 수행하여 요청 패킷의 NAT 소스 IP 주소와 소스 포트를 재작성합니다.

   • NAT 소스 IP 주소: 10.1.2.2, VM의 예약된 NAT 소스 IP 주소 및 소스 포트 튜플 중 하나
   • 소스 포트: 34022, VM의 예약된 소스 포트 튜플 중 하나에서 가져온 사용되지 않은 소스 포트
   • 대상 주소: 192.168.2.2, 변경되지 않음
   • 목적지 포트: 80, 변경되지 않음
   • 프로토콜: TCP, 변경되지 않음

3. 업데이트 서버는 다음과 같은 속성과 함께 pvt-nat-gw 게이트웨이에 도착하는 응답 패킷을 전송합니다.

   • 소스 IP 주소: 192.168.2.2, 업데이트 서버의 내부 IP 주소
   • 소스 포트: 80, 업데이트 서버의 HTTP 응답
   • 대상 주소: 10.1.2.2, 요청 패킷의 원래 NAT 소스 IP 주소와 일치
   • 목적지 포트: 34022, 요청 패킷의 소스 포트와 일치
   • 프로토콜: TCP, 변경되지 않음

4. pvt-nat-gw 게이트웨이는 응답 패킷에 목적지 네트워크 주소 변환(DNAT)을 수행하여 다음 속성의 업데이트를 요청하는 패킷이 VM에 전달되도록 응답 패킷의 대상 주소와 목적지 포트를 재작성합니다.

   • 소스 IP 주소: 192.168.2.2, 변경되지 않음
   • 소스 포트: 80, 변경되지 않음
   • 대상 주소: 192.168.1.2, VM의 내부 IP 주소
   • 목적지 포트: 24000, 요청 패킷의 기존 임시 소스 포트와 일치
   • 프로토콜: TCP, 변경되지 않음

다음 단계

• Network Connectivity Center 스포크용 Private NAT 설정
• Cloud NAT 제품 상호작용 알아보기
• Cloud NAT 주소 및 포트 알아보기
• Cloud NAT 규칙 알아보기
• 일반적인 문제 해결하기