Private NAT pour les spokes Network Connectivity Center
Private NAT vous permet de créer une passerelle Private NAT qui fonctionne conjointement avec les branches de Network Connectivity Center pour effectuer la traduction d'adresse réseau (NAT) entre les réseaux suivants:
- Réseaux cloud privés virtuels (VPC) : dans ce scénario, les réseaux VPC que vous souhaitez connecter sont associés à un hub Network Connectivity Center en tant que spokes VPC.
- Réseaux VPC et réseaux en dehors de Google Cloud: dans ce scénario, un ou plusieurs réseaux VPC sont associés à un hub Network Connectivity Center en tant que spokes VPC et connectés à vos réseaux sur site ou à ceux d'autres fournisseurs de services cloud via des spokes hybrides.
Spécifications
En plus des spécifications générales de Private NAT, Private NAT pour les spokes Network Connectivity Center présente les spécifications suivantes:
- Le NAT privé utilise une configuration NAT de
type=PRIVATE
pour permettre aux réseaux dont les plages d'adresses IP de sous-réseau se chevauchent de communiquer. Toutefois, seuls les sous-réseaux qui ne se chevauchent pas peuvent se connecter les uns aux autres. - Vous devez créer une règle NAT personnalisée en référençant un hub Network Connectivity Center.
La règle NAT spécifie une plage d'adresses IP NAT à partir d'un sous-réseau à usage
PRIVATE_NAT
que Private NAT utilise pour effectuer la NAT sur le trafic entre vos réseaux connectés. - Lorsque vous créez une instance de VM dans une plage de sous-réseau où le NAT privé s'applique, tout le trafic sortant de cette instance de VM est traduit par la passerelle si le spoke de destination se trouve dans le même hub Network Connectivity Center que la passerelle. Private NAT traduit le trafic vers les rayons de destination dans la même région que la passerelle Private NAT, ainsi que dans les régions.
- Une passerelle NAT privée est associée à des plages d'adresses IP de sous-réseau dans une seule région et un seul réseau VPC. Cela signifie qu'une passerelle NAT privée créée dans un réseau VPC ne fournit pas de services NAT aux VM dans d'autres spokes du hub Network Connectivity Center, même si les VM se trouvent dans la même région que la passerelle.
Trafic entre les réseaux VPC
Les spécifications supplémentaires suivantes s'appliquent au trafic entre les réseaux VPC (NAT inter-VPC):
- Pour activer le NAT inter-VPC entre deux réseaux VPC, chaque réseau VPC doit être configuré en tant que spoke VPC d'un hub Network Connectivity Center. Vous devez vous assurer qu'aucune plage d'adresses IP ne se chevauche entre les branches de votre VPC. Pour en savoir plus, consultez la section Créer un spoke VPC.
- Le hub Network Connectivity Center associé à la passerelle Private NAT doit comporter au moins deux spokes VPC, dont l'un est le réseau VPC de la passerelle Private NAT.
- Inter-VPC NAT n'est compatible qu'avec le NAT entre les spokes VPC de Network Connectivity Center, et non entre les réseaux VPC connectés à l'aide de l'appairage de réseaux VPC.
Trafic entre des réseaux VPC et d'autres réseaux
Les spécifications supplémentaires suivantes s'appliquent au trafic entre les réseaux VPC et les réseaux en dehors de Google Cloud:
- Le réseau VPC source doit être configuré en tant que spoke VPC d'un hub Network Connectivity Center.
- Un spoke hybride doit être associé au même hub Network Connectivity Center pour établir la connectivité entre le spoke VPC et le réseau de destination en dehors de Google Cloud. Pour en savoir plus, consultez la section Établir une connectivité entre les spokes hybrides et les spokes VPC.
Pour en savoir plus sur les conditions requises pour utiliser des spokes VPC et des spokes hybrides dans le même hub Network Connectivity Center, consultez la section Échange de routes avec des spokes VPC.
Configuration et workflow de base
Le schéma suivant illustre une configuration Private NAT de base pour le trafic entre deux branches VPC:
Dans cet exemple, le NAT privé est configuré comme suit:
- La passerelle
pvt-nat-gw
est configurée dansvpc-a
pour s'appliquer à toutes les plages d'adresses IP desubnet-a
dans la régionus-east1
. À l'aide des plages d'adresses IP NAT depvt-nat-gw
, une instance de machine virtuelle (VM) danssubnet-a
devpc-a
peut envoyer du trafic à une VM danssubnet-b
devpc-b
, même sisubnet-a
devpc-a
chevauchesubnet-c
devpc-b
. vpc-a
etvpc-b
sont configurés en tant que spokes d'un hub Network Connectivity Center.- La passerelle
pvt-nat-gw
est configurée pour fournir un NAT entre les réseaux VPC configurés en tant que spokes VPC dans le même hub Network Connectivity Center.
Exemple de workflow
Dans le diagramme précédent, vm-a
avec l'adresse IP interne 192.168.1.2
dans subnet-a
de vpc-a
doit télécharger une mise à jour à partir de vm-b
avec l'adresse IP interne 192.168.2.2
dans subnet-b
de vpc-b
. Les deux réseaux VPC sont connectés au même hub Network Connectivity Center en tant que spokes VPC. Supposons que vpc-b
contienne un autre sous-réseau 192.168.1.0/24
qui chevauche le sous-réseau de vpc-a
. Pour que subnet-a
de vpc-a
communique avec subnet-b
de vpc-b
, vous devez configurer une passerelle NAT privée, pvt-nat-gw
, dans vpc-a
comme suit:
Sous-réseau Private NAT: avant de configurer la passerelle Private NAT, créez un sous-réseau Private NAT à usage
PRIVATE_NAT
, par exemple10.1.2.0/29
. Assurez-vous que ce sous-réseau ne chevauche pas un sous-réseau existant dans l'un des spokes VPC associés au même hub Network Connectivity Center.Une règle NAT dont l'
nexthop.hub
correspond à l'URL du hub Network Connectivity Center.NAT pour toutes les plages d'adresses de
subnet-a
.
Le tableau suivant récapitule la configuration réseau spécifiée dans l'exemple précédent:
Nom du réseau | Composant réseau | Adresse IP/plage | Région |
---|---|---|---|
vpc-a | subnet-a | 192.168.1.0/24 | us-east1 |
vm-a | 192.168.1.2 | ||
pvt-nat-gw | 10.1.2.0/29 | ||
vpc-b | subnet-b | 192.168.2.0/24 | us-west1 |
vm-b | 192.168.2.2 | ||
subnet-c | 192.168.1.0/24 | ||
vm-c | 192.168.1.3 |
Private NAT pour les spokes Network Connectivity Center suit la procédure de réservation de port pour réserver les tuples d'adresses IP NAT sources et de ports sources suivants pour chacune des VM du réseau. Par exemple, la passerelle NAT privée réserve 64 ports sources pour vm-a
: 10.1.2.2:34000
à 10.1.2.2:34063
.
Lorsque la VM utilise le protocole TCP pour envoyer un paquet au serveur de mise à jour 192.168.2.2
sur le port de destination 80
, voici ce qui se produit:
La VM envoie un paquet de requête avec les attributs suivants :
- Adresse IP source:
192.168.1.2
, adresse IP interne de la VM - Port source:
24000
, le port source éphémère choisi par le système d'exploitation de la VM - Adresse de destination:
192.168.2.2
, adresse IP du serveur de mise à jour - Port de destination:
80
, le port de destination pour le trafic HTTP vers le serveur de mise à jour - Protocol (Protocole) : TCP
- Adresse IP source:
La passerelle
pvt-nat-gw
effectue la traduction d'adresse réseau source (SNAT ou NAT source) en sortie, en réécrivant l'adresse IP source et le port source du paquet de requête:- Adresse IP source NAT:
10.1.2.2
, provenant de l'un des tuples d'adresse IP source et de port source NAT réservés de la VM - Port source :
34022
, un port source inutilisé de l'un des tuples de port source réservés de la VM - Adresse de destination :
192.168.2.2
, inchangée - Port de destination :
80
, inchangé - Protocole: TCP, inchangé
- Adresse IP source NAT:
Le serveur de mise à jour envoie un paquet de réponse qui arrive sur la passerelle
pvt-nat-gw
avec les attributs suivants:- Adresse IP source:
192.168.2.2
, adresse IP interne du serveur de mise à jour - Port source :
80
, la réponse HTTP du serveur de mise à jour - Adresse de destination:
10.1.2.2
, correspondant à l'adresse IP source NAT d'origine du paquet de requête - Port de destination:
34022
, correspondant au port source du paquet de requête - Protocole: TCP, inchangé
- Adresse IP source:
La passerelle
pvt-nat-gw
effectue la traduction d'adresse réseau de destination (DNAT) sur le paquet de réponse, en réécrivant l'adresse et le port de destination du paquet de réponse pour que celui-ci soit transmis à la VM ayant demandé la mise à jour avec les attributs suivants:- Adresse IP source :
192.168.2.2
, inchangée - Port source :
80
, inchangé - Adresse de destination:
192.168.1.2
, adresse IP interne de la VM - Port de destination:
24000
, correspondant au port source éphémère d'origine du paquet de requête - Protocole: TCP, inchangé
- Adresse IP source :
Étape suivante
- Configurez Private NAT pour les spokes Network Connectivity Center.
- Découvrez les interactions entre les produits Cloud NAT.
- Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
- Apprenez-en plus sur les règles Cloud NAT.
- Résolvez les problèmes courants.