NAT privé pour les spokes Network Connectivity Center
Le NAT privé vous permet de créer un NAT privé qui fonctionne avec Network Connectivity Center pour effectuer la traduction d'adresse réseau (NAT) entre réseaux:
- Réseaux de cloud privé virtuel (VPC) : les réseaux VPC que vous voulez connecter sont associés à un hub Network Connectivity Center en tant que spokes VPC.
- Réseaux et réseaux VPC en dehors de Google Cloud (Preview): dans ce scénario, un ou plusieurs Les réseaux VPC sont associés à un hub Network Connectivity Center en tant que et connectés à votre réseau sur site ou via des spokes hybrides.
Spécifications
Outre les spécifications générales de NAT privé, La NAT privée pour les spokes Network Connectivity Center dispose des éléments suivants : spécifications:
- Le NAT privé utilise un NAT
Configuration de
type=PRIVATE
pour autoriser les réseaux dont l'adresse IP de sous-réseau se chevauche des plages d'adresses IP communiquent. Toutefois, seuls les sous-réseaux qui ne se chevauchent pas peuvent se connecter l'un à l'autre. - Vous devez créer une règle NAT personnalisée en référençant un hub Network Connectivity Center.
La règle NAT spécifie une plage d'adresses IP NAT provenant d'un sous-réseau spécifique
PRIVATE_NAT
que Private NAT utilise pour effectuer la NAT sur le trafic entre vos réseaux connectés. - Lorsque vous créez une instance de VM dans une plage de sous-réseau dans laquelle le réseau s'applique, tout le trafic de sortie de cette instance de VM est traduit la passerelle si le spoke de destination se trouve dans le même hub Network Connectivity Center que la passerelle.
- Une passerelle NAT privée est associée à une adresse IP de sous-réseau plages d'adresses IP d'une région unique dans un seul réseau VPC. Cela signifie qu'un réseau NAT privé la passerelle VPN créée dans un réseau VPC ne peut pas fournir une NAT aux VM d'autres spokes du hub Network Connectivity Center, même si les VM se trouvent dans la même région que la passerelle.
Trafic entre les réseaux VPC
Les spécifications supplémentaires suivantes s'appliquent au trafic entre Réseaux VPC (NAT inter-VPC):
- Pour activer la NAT inter-VPC entre deux VPC réseaux VPC, chaque réseau VPC doit être configuré spoke VPC d'un hub Network Connectivity Center. Vous devez vous assurer qu'il n'y a pas de plages d'adresses IP qui se chevauchent entre les branches de votre VPC. Pour en savoir plus, consultez la section Créer un spoke VPC.
- Le hub Network Connectivity Center associé à la passerelle NAT privée doit avoir au moins deux spokes VPC, où l'un des Les spokes VPC sont le réseau VPC la passerelle NAT privée.
- La NAT inter-VPC est compatible avec la NAT entre Network Connectivity Center Spokes VPC uniquement, et non entre des réseaux VPC connecté à l'aide de l'appairage de réseaux VPC.
- La NAT inter-VPC prend en charge la traduction d'adresses et les sous-réseaux VPC d'une même région.
Trafic entre des réseaux VPC et d'autres réseaux
Les spécifications supplémentaires suivantes s'appliquent au trafic entre les spokes VPC et les réseaux en dehors de Google Cloud (Preview) :
- Pour activer le NAT privé entre un VPC :
et le réseau sur site ou d'un autre fournisseur de services cloud:
- Le réseau VPC doit être configuré en tant que spoke VPC d'un hub Network Connectivity Center. Si un Le hub Network Connectivity Center dispose de plusieurs spokes VPC, vous devez vous assurer qu'il n'y a pas de chevauchement de sous-réseau de spokes VPC. Pour en savoir plus, consultez Créez un spoke VPC.
- Un spoke hybride doit être associé au même hub Network Connectivity Center pour d'établir la connectivité entre le spoke VPC le réseau en dehors de Google Cloud. Compatibilité avec les spokes hybrides les rattachements de VLAN pour Cloud Interconnect, les tunnels Cloud VPN et les VM d'appareil de routeur. Pour en savoir plus, consultez la section À propos de la connectivité entre les spokes VPC et les spokes hybrides.
- La passerelle NAT privée doit être configurée dans la charge de travail sur le réseau VPC, et non dans le réseau VPC de routage est associée au spoke hybride. Pour en savoir plus sur les charges de travail et de routage des réseaux VPC, consultez Échange de routes avec des spokes VPC.
Configuration et workflow de base
Le schéma suivant illustre une configuration de base de NAT privé pour le trafic entre deux spokes VPC:
Dans cet exemple, le NAT privé est configuré comme suit:
- La passerelle
pvt-nat-gw
est configurée dansvpc-a
pour s'appliquer à toutes les adresses IP plages desubnet-a
dans la régionus-east1
. L'utilisation des plages d'adresses IP NAT depvt-nat-gw
, une instance de machine virtuelle (VM) danssubnet-a
devpc-a
peut envoyer trafic vers une VM dans la plagesubnet-b
devpc-b
, même sisubnet-a
devpc-a
chevauchesubnet-c
devpc-b
. vpc-a
etvpc-b
sont tous deux configurés en tant que spokes d'un hub Network Connectivity Center.- La passerelle
pvt-nat-gw
est configurée pour fournir la NAT entre les VPC configurés en tant que spokes VPC dans le même hub Network Connectivity Center.
Exemple de workflow
Dans le diagramme précédent, vm-a
avec l'adresse IP interne 192.168.1.2
dans subnet-a
de vpc-a
doit télécharger une mise à jour à partir de vm-b
avec l'adresse IP interne 192.168.2.2
dans subnet-b
de vpc-b
. Les deux réseaux VPC sont connectés au même hub Network Connectivity Center en tant que spokes VPC. Supposons que vpc-b
contient un autre sous-réseau 192.168.1.0/24
qui se chevauche
avec le sous-réseau situé dans la région vpc-a
. Pour que subnet-a
de vpc-a
communique avec subnet-b
de vpc-b
, vous devez configurer
une passerelle NAT privée, pvt-nat-gw
,
dans vpc-a
, comme suit:
Sous-réseau NAT privé: avant de configurer le NAT privé créer un sous-réseau NAT privé de l'objectif
PRIVATE_NAT
, Exemple :10.1.2.0/29
. Assurez-vous que ce sous-réseau ne chevauche pas un sous-réseau existant dans l'un des spokes VPC associés au même hub Network Connectivity Center.Une règle NAT dont l'
nexthop.hub
correspond à l'URL du hub Network Connectivity Center.NAT pour toutes les plages d'adresses de
subnet-a
.
Le tableau suivant récapitule la configuration réseau spécifiée à l'étape précédente Exemple:
Nom du réseau | Composant réseau | Adresse IP/plage | Région |
---|---|---|---|
vpc-a | subnet-a | 192.168.1.0/24 | us-east1 |
vm-a | 192.168.1.2 | ||
pvt-nat-gw | 10.1.2.0/29 | ||
vpc-b | subnet-b | 192.168.2.0/24 | us-west1 |
vm-b | 192.168.2.2 | ||
subnet-c | 192.168.1.0/24 | ||
vm-c | 192.168.1.3 |
La NAT privée pour les spokes Network Connectivity Center suit
procédure de réservation de port
pour réserver l'adresse IP source NAT suivante
et les tuples de port source pour chacune des VM du réseau. Par exemple,
La passerelle NAT privée réserve 64 ports sources pour vm-a
:
De 10.1.2.2:34000
à 10.1.2.2:34063
.
Lorsque la VM utilise le protocole TCP pour envoyer un paquet au serveur de mise à jour
192.168.2.2
sur le port de destination 80
, voici ce qui se produit:
La VM envoie un paquet de requête avec les attributs suivants :
- Adresse IP source :
192.168.1.2
, adresse IP interne de la VM - Port source:
24000
, le port source éphémère choisi par le système d'exploitation de la VM - Adresse de destination:
192.168.2.2
, l'adresse IP du serveur de mise à jour - Port de destination :
80
, le port de destination pour le trafic HTTP vers le serveur de mise à jour - Protocol (Protocole) : TCP
- Adresse IP source :
La passerelle
pvt-nat-gw
effectue la traduction d'adresse réseau source (SNAT ou NAT source) en sortie, en réécrivant l'adresse IP source et le port source du paquet de requête :- Adresse IP source NAT:
10.1.2.2
, provenant de l'une des sources NAT réservées de la VM Des tuples d'adresse IP et de port source - Port source :
34022
, un port source inutilisé de l'un des tuples de port source réservés de la VM - Adresse de destination :
192.168.2.2
, inchangée - Port de destination :
80
, inchangé - Protocole: TCP, inchangé
- Adresse IP source NAT:
Le serveur de mise à jour envoie un paquet de réponse qui arrive sur le Passerelle
pvt-nat-gw
avec les attributs suivants:- Adresse IP source :
192.168.2.2
, adresse IP interne du serveur de mise à jour - Port source :
80
, la réponse HTTP du serveur de mise à jour - Adresse de destination :
10.1.2.2
, correspondant à l'adresse IP source NAT d'origine du paquet de requête - Port de destination:
34022
, qui correspond au port source du paquet de requête - Protocole: TCP, inchangé
- Adresse IP source :
La passerelle
pvt-nat-gw
effectue la traduction de l'adresse réseau de destination (DNAT) sur le paquet de réponse, en réécrivant l'adresse de destination du paquet de réponse et le port de destination afin que le paquet soit livré à la VM qui a demandé la mise à jour avec les attributs suivants:- Adresse IP source :
192.168.2.2
, inchangée - Port source :
80
, inchangé - Adresse de destination:
192.168.1.2
, l'adresse IP interne de la VM - Port de destination:
24000
, correspondant au port source éphémère d'origine du paquet de requête - Protocole: TCP, inchangé
- Adresse IP source :
Étape suivante
- Configurez le NAT privé pour les spokes Network Connectivity Center.
- Découvrez les interactions avec les produits Cloud NAT.
- Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
- Apprenez-en plus sur les règles Cloud NAT.
- Résolvez les problèmes courants.