Private NAT für Spokes des Network Connectivity Center
Mit Private NAT können Sie ein privates NAT-Gateway erstellen, das in Verbindung mit VPC-Spokes (Network Connectivity Center) für die Network Address Translation (NAT) zwischen den folgenden Netzwerken verwendet wird:
- VPC-Netzwerke (Virtual Private Cloud): In diesem Szenario sind die VPC-Netzwerke, die Sie verbinden möchten, als VPC-Spokes mit einem Network Connectivity Center-Hub verbunden.
- VPC-Netzwerke und Netzwerke außerhalb von Google Cloud: In diesem Szenario sind ein oder mehrere VPC-Netzwerke als VPC-Speichen mit einem Network Connectivity Center-Hub verbunden und über hybride Speichen mit Ihren lokalen Netzwerken oder Netzwerken anderer Cloud-Anbieter verbunden.
Spezifikationen
Zusätzlich zu den allgemeinen Spezifikationen für Private NAT gelten für Private NAT für Network Connectivity Center-Spokes die folgenden Spezifikationen:
- Bei Private NAT wird eine NAT-Konfiguration von
type=PRIVATEverwendet, damit Netzwerke mit sich überschneidenden IP-Adressbereichen von Subnetzen kommunizieren können. Nur nicht überlappende Subnetze können miteinander verbunden werden. - Sie müssen eine benutzerdefinierte NAT-Regel erstellen, indem Sie auf einen Network Connectivity Center-Hub verweisen.
Die NAT-Regel gibt einen NAT-IP-Adressbereich aus einem Subnetz mit dem Zweck
PRIVATE_NATan, der von Private NAT für die NAT-Ausführung auf Traffic zwischen Ihren verbundenen Netzwerken verwendet wird. - Wenn Sie eine VM-Instanz in einem Subnetzbereich erstellen, für den Private NAT gilt, wird der gesamte ausgehende Traffic von dieser VM-Instanz vom Gateway übersetzt, wenn sich der Ziel-Spoke im selben Network Connectivity Center-Hub wie das Gateway befindet. Private NAT übersetzt Traffic zu Zielspeichen innerhalb derselben Region wie das private NAT-Gateway sowie regionenübergreifend.
- Ein privates NAT-Gateway ist Subnetz-IP-Adressbereichen in einer einzelnen Region in einem einzelnen VPC-Netzwerk zugeordnet. Das bedeutet, dass ein privates NAT-Gateway, das in einem VPC-Netzwerk erstellt wurde, keine NAT-Dienste für VMs in anderen Spokes des Network Connectivity Center-Hubs bereitstellt, selbst wenn sich die VMs in derselben Region wie das Gateway befinden.
Traffic zwischen VPC-Netzwerken
Für Traffic zwischen VPC-Netzwerken (VPC-NAT) gelten die folgenden zusätzlichen Spezifikationen:
- Wenn Sie Inter-VPC-NAT zwischen zwei VPC-Netzwerken aktivieren möchten, muss jedes VPC-Netzwerk als VPC-Spoke eines Network Connectivity Center-Hubs konfiguriert werden. Achten Sie darauf, dass sich die IP-Adressbereiche Ihrer VPC-Spokes nicht überschneiden. Weitere Informationen finden Sie unter VPC-Spoke erstellen.
- Der mit dem privaten NAT-Gateway verknüpfte Network Connectivity Center-Hub muss mindestens zwei VPC-Spokes haben. Einer der VPC-Spokes ist das VPC-Netzwerk des privaten NAT-Gateways.
- Inter-VPC-NAT unterstützt nur NAT zwischen VPC-Spokes in Network Connectivity Center und nicht zwischen VPC-Netzwerken, die über VPC-Netzwerk-Peering verbunden sind.
Traffic zwischen VPC-Netzwerken und anderen Netzwerken
Für den Traffic zwischen VPC-Netzwerken und Netzwerken außerhalb von Google Cloud gelten die folgenden zusätzlichen Spezifikationen:
- Das Quell-VPC-Netzwerk muss als VPC-Spoke eines Network Connectivity Center-Hubs konfiguriert sein.
- Ein Hybrid-Spoke muss mit demselben Network Connectivity Center-Hub verbunden sein, um eine Verbindung zwischen dem VPC-Spoke und dem Zielnetzwerk außerhalb von Google Cloud herzustellen. Weitere Informationen finden Sie unter Verbindung zwischen Hybrid-Spokes und VPC-Spokes herstellen.
Informationen zu den Anforderungen für die Verwendung von VPC-Spokes und Hybrid-Spokes im selben Network Connectivity Center-Hub finden Sie unter Routenaustausch mit VPC-Spokes.
Grundlegende Konfiguration und Workflow
Das folgende Diagramm zeigt eine grundlegende Private NAT-Konfiguration für Traffic zwischen zwei VPC-Spokes:
In diesem Beispiel ist Private NAT so eingerichtet:
- Das Gateway
pvt-nat-gwist invpc-aso konfiguriert, dass es auf alle IP-Adressbereiche vonsubnet-ain der Regionus-east1angewendet wird. Mit den NAT-IP-Bereichen vonpvt-nat-gwkann eine VM-Instanz insubnet-avonvpc-aTraffic an eine VM insubnet-bvonvpc-bsenden, auch wenn sichsubnet-avonvpc-amitsubnet-cvonvpc-büberschneidet. - Sowohl
vpc-aals auchvpc-bsind als Spokes eines Network Connectivity Center-Hubs konfiguriert. - Das
pvt-nat-gw-Gateway ist für die NAT zwischen VPC-Netzwerken konfiguriert, die als VPC-Spokes im selben Network Connectivity Center-Hub konfiguriert sind.
Beispielworkflow
Im vorherigen Diagramm muss vm-a mit der internen IP-Adresse 192.168.1.2 in subnet-a von vpc-a ein Update von vm-b mit der internen IP-Adresse 192.168.2.2 in subnet-b von vpc-b herunterladen. Beide VPC-Netzwerke sind mit demselben Network Connectivity Center-Hub wie VPC-Spokes verbunden. Angenommen, vpc-b enthält ein weiteres Subnetz 192.168.1.0/24, das sich mit dem Subnetz in vpc-a überschneidet. Damit subnet-a von vpc-a mit subnet-b von vpc-b kommunizieren kann, müssen Sie in vpc-a ein privates NAT-Gateway (pvt-nat-gw) so konfigurieren:
Privates NAT-Subnetz: Bevor Sie das Private NAT-Gateway konfigurieren, erstellen Sie ein Privates NAT-Subnetz mit dem Zweck
PRIVATE_NAT, z. B.10.1.2.0/29. Achten Sie darauf, dass sich dieses Subnetz nicht mit einem vorhandenen Subnetz in einem der VPC-Spokes überschneidet, die mit demselben Network Connectivity Center-Hub verbunden sind.Eine NAT-Regel, deren
nexthop.hubmit der URL des Network Connectivity Center-Hubs übereinstimmt.NAT für alle Adressbereiche von
subnet-a
In der folgenden Tabelle wird die im vorherigen Beispiel angegebene Netzwerkkonfiguration zusammengefasst:
| Netzwerkname | Netzwerkkomponente | IP-Adresse/-Adressbereich | Region |
|---|---|---|---|
| vpc-a | subnet-a | 192.168.1.0/24 | us-east1 |
| vm-a | 192.168.1.2 | ||
| pvt-nat-gw | 10.1.2.0/29 | ||
| vpc-b | subnet-b | 192.168.2.0/24 | us-west1 |
| vm-b | 192.168.2.2 | ||
| subnet-c | 192.168.1.0/24 | ||
| vm-c | 192.168.1.3 |
Private NAT für Network Connectivity Center-Spokes folgt dem Portreservierungsverfahren, um die folgenden Tupel aus NAT-Quell-IP-Adresse und Quellport für jede der VMs im Netzwerk zu reservieren. Das private NAT-Gateway reserviert beispielsweise 64 Quellports für vm-a:10.1.2.2:34000 bis 10.1.2.2:34063.
Wenn die VM ein Paket mit dem TCP-Protokoll an den Updateserver 192.168.2.2 auf dem Zielport 80 sendet, geschieht Folgendes:
Die VM sendet ein Anfragepaket mit folgenden Attributen:
- Quell-IP-Adresse:
192.168.1.2, die interne IP-Adresse der VM - Quellport:
24000, der sitzungsspezifische Quellport, der vom Betriebssystem der VM ausgewählt wurde - Zieladresse:
192.168.2.2, die IP-Adresse des Update-Servers - Zielport:
80, der Zielport für HTTP-Traffic zum Update-Server - Protokoll: TCP
- Quell-IP-Adresse:
Das Gateway
pvt-nat-gwführt für ausgehenden Traffic eine Quellnetzwerkadressübersetzung (SNAT oder Source NAT) aus und schreibt die NAT-Quell-IP-Adresse und den Quellport des Anfragepakets um:- NAT-Quell-IP-Adresse:
10.1.2.2von einem der reservierten Tupel aus NAT-Quell-IP-Adresse und Quellport - Quellport:
34022, ein nicht verwendeter Quellport aus einem der reservierten Quellport-Tupel der VM - Zieladresse:
192.168.2.2, unverändert - Zielport:
80, unverändert - Protokoll: TCP, unverändert
- NAT-Quell-IP-Adresse:
Der Updateserver sendet ein Antwortpaket, das mit folgenden Attributen am
pvt-nat-gw-Gateway ankommt:- Quell-IP-Adresse:
192.168.2.2, die interne IP-Adresse des Update-Servers - Quellport:
80, die HTTP-Antwort vom Update-Server - Zieladresse:
10.1.2.2, entspricht der ursprünglichen NAT-Quell-IP-Adresse des Anfragepakets - Zielport:
34022, entspricht dem Quellport des Anfragepakets - Protokoll: TCP, unverändert
- Quell-IP-Adresse:
Das Gateway
pvt-nat-gwführt DNAT für das Antwortpaket aus und schreibt die Zieladresse und den Zielport des Antwortpakets um, damit das Paket an die VM gesendet wird, die das Update angefordert hat, mit den folgenden Attributen:- Quell-IP-Adresse:
192.168.2.2, unverändert - Quellport:
80, unverändert - Zieladresse:
192.168.1.2, die interne IP-Adresse der VM - Zielport:
24000, entspricht dem ursprünglichen sitzungsspezifischen Quellport des Anfragepakets - Protokoll: TCP, unverändert
- Quell-IP-Adresse:
Nächste Schritte
- Richten Sie Private NAT für Network Connectivity Center-Spokes ein.
- Weitere Informationen zu Cloud NAT-Produktinteraktionen
- Weitere Informationen zu Cloud NAT-Adressen und -Ports
- Weitere Informationen zu Cloud NAT-Regeln
- Häufige Probleme beheben