Private NAT für Network Connectivity Center-Spokes
Mit einer privaten NAT können Sie eine private NAT erstellen Gateway, das in Verbindung mit Network Connectivity Center funktioniert Spokes zum Ausführen von Network Address Translation (NAT) zwischen den folgenden Netzwerke:
- VPC-Netzwerke (Virtual Private Cloud): sind die VPC-Netzwerke, die Sie verbinden möchten, mit einem Network Connectivity Center-Hub als VPC-Spokes verbinden.
- VPC-Netzwerke und Netzwerke außerhalb von Google Cloud (Vorschau): In diesem Szenario werden mindestens eine VPC-Netzwerke sind an einen Network Connectivity Center-Hub angehängt als VPC-Spokes und eine Verbindung zu Ihrem lokalen oder einem anderen Netzwerke von Cloud-Anbietern über Hybrid-Spokes nutzen.
Spezifikationen
Zusätzlich zu den allgemeinen Spezifikationen für private NAT Private NAT für Network Connectivity Center-Spokes hat Folgendes: Spezifikationen:
- Private NAT verwendet eine NAT
Konfiguration von
type=PRIVATE, um Netzwerke mit überlappender Subnetz-IP-Adresse zuzulassen Adressbereiche. Allerdings können nur nicht überlappende Subnetze eine Verbindung herstellen. miteinander kommunizieren. - Sie müssen eine benutzerdefinierte NAT-Regel erstellen, indem Sie auf einen Network Connectivity Center-Hub verweisen.
Die NAT-Regel gibt einen NAT-IP-Adressbereich aus einem Subnetz an
PRIVATE_NAT, den Private NAT zum Ausführen von NAT für Traffic verwendet zwischen deinen verbundenen Netzwerken. - Ein privates NAT-Gateway ist einer Subnetz-IP-Adresse zugeordnet in einer Region in einem VPC-Netzwerk. Das bedeutet eine private NAT Gateway, das in einem VPC-Netzwerk erstellt wurde, stellen Sie NAT für VMs in anderen Spokes des Network Connectivity Center-Hubs bereit, auch wenn sich die VMs in derselben Region wie das Gateway befinden.
Traffic zwischen VPC-Netzwerken
Die folgenden zusätzlichen Spezifikationen gelten für Traffic zwischen VPC-Netzwerke (Inter-VPC-NAT):
- Zum Aktivieren von Inter-VPC-NAT zwischen zwei VPCs muss jedes VPC-Netzwerk als VPC-Spoke eines Network Connectivity Center-Hubs. Achten Sie beim Erstellen des Spokes darauf, dass keine sich überschneidende IP-Adressbereiche in Ihrer VPC Spokes. Weitere Informationen finden Sie unter Erstellen Sie einen VPC-Spoke.
- Inter-VPC-NAT unterstützt NAT zwischen Network Connectivity Center Nur VPC-Spokes und nicht zwischen VPC-Netzwerken über VPC-Netzwerk-Peering verbunden.
- Inter-VPC-NAT unterstützt die Adressübersetzung für VPC-Subnetze innerhalb einer Region sowie über Regionen hinweg.
Traffic zwischen VPC-Netzwerken und anderen Netzwerken
Die folgenden zusätzlichen Spezifikationen gelten für Traffic zwischen VPC-Spokes und Netzwerke außerhalb von Google Cloud (Vorschau):
- Private NAT zwischen einer VPC aktivieren
Netzwerk und einem lokalen oder einem anderen Cloud-Anbieter-Netzwerk:
<ph type="x-smartling-placeholder">
- </ph>
- Das VPC-Netzwerk muss als VPC-Spoke eines Network Connectivity Center-Hubs. Wenn ein Der Network Connectivity Center-Hub hat mehr als einen VPC-Spoke. müssen Sie sicherstellen, dass es keine Subnetzüberschneidungen im VPC-Spokes. Weitere Informationen finden Sie unter Erstellen Sie einen VPC-Spoke.
- Ein Hybrid-Spoke muss mit demselben Network Connectivity Center-Hub verbunden sein, um eine Verbindung zwischen dem VPC-Spoke und dem des Netzwerks außerhalb von Google Cloud. Unterstützung von Hybrid-Spokes VLAN-Anhänge für Cloud Interconnect Cloud VPN-Tunnel und Router-Appliance-VMs. Weitere Informationen Siehe Konnektivität zwischen VPC-Spokes und Hybrid-Spokes.
- Das private NAT-Gateway muss in der Arbeitslast konfiguriert sein nicht im Routing-VPC-Netzwerk, mit dem Hybrid-Spoke verknüpft ist. Weitere Informationen zur Arbeitslast und Routing von VPC-Netzwerken, finden Sie unter Routenaustausch mit VPC-Spokes
Grundlegende Konfiguration und Workflow
Das folgende Diagramm zeigt eine grundlegende Konfiguration für eine private NAT für Traffic zwischen zwei VPC-Spokes:
<ph type="x-smartling-placeholder">
In diesem Beispiel wird eine private NAT so eingerichtet:
- Das Gateway
pvt-nat-gwist invpc-aso konfiguriert, dass es für alle IP-Adressen gilt vonsubnet-ain der Regionus-east1. Die Verwendung der NAT-IP-Bereichepvt-nat-gw, kann eine VM-Instanz insubnet-avonvpc-aNachrichten senden Traffic zu einer VM insubnet-bvonvpc-b, obwohlsubnet-avonvpc-aüberschneidet sich mitsubnet-cvonvpc-b. - Sowohl
vpc-aals auchvpc-bsind als Spokes eines Network Connectivity Center-Hubs konfiguriert. - Das Gateway
pvt-nat-gwist so konfiguriert, dass es NAT zwischen VPC bereitstellt Netzwerke, die als VPC-Spokes im selben Network Connectivity Center-Hub konfiguriert sind.
Beispielworkflow
Im obigen Diagramm ist vm-a mit der internen IP-Adresse 192.168.1.2 in
subnet-a von vpc-a muss ein Update von vm-b mit der internen
IP-Adresse 192.168.2.2 in subnet-b von vpc-b. Sowohl die VPC
Netzwerke sind mit demselben Network Connectivity Center-Hub verbunden wie die VPC
Spokes. Angenommen, vpc-b enthält ein weiteres Subnetz 192.168.1.0/24, das sich überschneidet
durch das Subnetz in vpc-a. Für subnet-a von vpc-a, um mit subnet-b zu kommunizieren
von vpc-b müssen Sie das private NAT-Gateway pvt-nat-gw konfigurieren.
in vpc-a so:
Privates NAT-Subnetz: vor dem Konfigurieren des privaten NAT-Subnetzes Gateway, erstellen Sie ein privates NAT-Subnetz für den Zweck
PRIVATE_NAT. z. B.10.1.2.0/29. Achten Sie darauf, dass sich dieses Subnetz nicht überschneidet mit einem vorhandenen Subnetz in einem der VPC-Spokes, die an den Network Connectivity Center-Hub.Eine NAT-Regel, deren
nexthop.hubmit der URL des Network Connectivity Center-Hubs übereinstimmt.NAT für alle Adressbereiche von
subnet-a.
In der folgenden Tabelle ist die Netzwerkkonfiguration Beispiel:
| Netzwerkname | Netzwerkkomponente | IP-Adresse/-Adressbereich | Region |
|---|---|---|---|
| vpc-a | subnet-a | 192.168.1.0/24 | us-east1 |
| vm-a | 192.168.1.2 | ||
| pvt-nat-gw | 10.1.2.0/29 | ||
| vpc-b | subnet-b | 192.168.2.0/24 | us-west1 |
| vm-b | 192.168.2.2 | ||
| subnet-c | 192.168.1.0/24 | ||
| vm-c | 192.168.1.3 |
Private NAT für Network Connectivity Center-Spokes folgt der
Verfahren zur Portreservierung
zum Reservieren der folgenden NAT-Quell-IP-Adresse
und Quellport-Tupel für jede der VMs im Netzwerk. Beispiel: Der Parameter
Das private NAT-Gateway reserviert 64 Quellports für vm-a:
10.1.2.2:34000 bis 10.1.2.2:34063.
Wenn die VM das TCP-Protokoll verwendet, um ein Paket an den Updateserver zu senden
192.168.2.2 an Ziel-Port 80:
Die VM sendet ein Anfragepaket mit folgenden Attributen:
- Quell-IP-Adresse:
192.168.1.2, die interne IP-Adresse der VM - Quellport:
24000, der sitzungsspezifische Quellport, der vom Betriebssystem der VM ausgewählt wurde - Zieladresse:
192.168.2.2, die IP-Adresse des Update-Servers - Zielport:
80, der Zielport für HTTP-Traffic zum Updateserver - Protokoll: TCP
- Quell-IP-Adresse:
Das Gateway
pvt-nat-gwführt eine SNAT (Source Network Address Translation, SNAT oder Quell-NAT) bei ausgehendem Traffic, indem Sie die Anfrage umschreiben NAT-Quell-IP-Adresse und Quellport des Pakets:- NAT-Quell-IP-Adresse:
10.1.2.2, von einer der reservierten NAT-Quelle der VM Tupel für IP-Adresse und Quellport - Quellport:
34022, ein nicht verwendeter Quellport aus einem der reservierten Quellport-Tupel der VM - Zieladresse:
192.168.2.2, unverändert - Zielport:
80, unverändert - Protokoll: TCP, unverändert
- NAT-Quell-IP-Adresse:
Der Update-Server sendet ein Antwortpaket, das im
pvt-nat-gw-Gateway mit diesen Attributen:- Quell-IP-Adresse:
192.168.2.2, die interne IP-Adresse des Update-Servers - Quellport:
80, die HTTP-Antwort vom Update-Server - Zieladresse:
10.1.2.2, entspricht der ursprünglichen NAT-Quell-IP-Adresse des Anfragepakets - Zielport:
34022, der mit dem Quellport des Anfragepakets übereinstimmt - Protokoll: TCP, unverändert
- Quell-IP-Adresse:
Das
pvt-nat-gw-Gateway führt eine Zielnetzwerkadressübersetzung durch (DNAT) im Antwortpaket, wobei die Zieladresse des Antwortpakets umgeschrieben wird. und Zielport, damit das Paket mit den folgenden Attributen an die VM gesendet wird, die die Aktualisierung angefordert hat:- Quell-IP-Adresse:
192.168.2.2, unverändert - Quellport:
80, unverändert - Zieladresse:
192.168.1.2, die interne IP-Adresse der VM - Zielport:
24000, entspricht dem ursprünglichen sitzungsspezifischen Quellport des Anfragepakets - Protokoll: TCP, unverändert
- Quell-IP-Adresse:
Nächste Schritte
- Richten Sie Private NAT für Network Connectivity Center-Spokes ein.
- Cloud NAT-Produktinteraktionen
- Weitere Informationen zu Cloud NAT-Adressen und -Ports
- Weitere Informationen zu Cloud NAT-Regeln
- Häufige Probleme beheben