Network Connectivity Center 스포크용 Private NAT

Private NAT를 사용하면 Network Connectivity Center 스포크와 함께 작동하여 다음 네트워크 간 네트워크 주소 변환(NAT)을 수행하는 Private NAT 게이트웨이를 만들 수 있습니다.

  • 가상 프라이빗 클라우드(VPC) 네트워크: 이 시나리오에서는 연결하려는 VPC 네트워크가 Network Connectivity Center 허브에 VPC 스포크로 연결됩니다.
  • VPC 네트워크 및 Google Cloud 외부의 네트워크(미리보기): 이 시나리오에서는 하나 이상의 VPC 네트워크가 Network Connectivity Center 허브에 VPC 스포크로 연결되고 하이브리드 스포크를 통해 온프레미스 또는 기타 클라우드 제공업체 네트워크에 연결됩니다.

사양

일반 Private NAT 사양 외에도 Network Connectivity Center 스포크용 Private NAT에는 다음 사양이 포함됩니다.

  • Private NAT는 type=PRIVATE의 NAT 구성을 사용하여 서브넷 IP 주소 범위가 겹치는 네트워크가 통신할 수 있도록 합니다. 하지만 겹치지 않는 서브넷만 서로 연결할 수 있습니다.
  • Network Connectivity Center 허브를 참조하여 커스텀 NAT 규칙을 만들어야 합니다. NAT 규칙은 Private NAT가 연결된 네트워크 간의 트래픽에 NAT를 수행하기 위해 사용하는 PRIVATE_NAT 용도의 서브넷에서 NAT IP 주소 범위를 지정합니다.
  • Private NAT 게이트웨이는 단일 VPC 네트워크의 단일 리전에 있는 서브넷 IP 주소 범위와 연결됩니다. 즉, 하나의 VPC 네트워크에 생성된 Private NAT 게이트웨이는 VM이 게이트웨이와 동일한 리전에 있더라도 Network Connectivity Center 허브의 다른 스포크에 있는 VM에 NAT를 제공할 수 없습니다.

VPC 네트워크 간의 트래픽

다음 추가 사양은 VPC 네트워크(Inter-VPC NAT) 간 트래픽에 적용됩니다.

  • 두 VPC 네트워크 간에 Inter-VPC NAT를 사용 설정하려면 각 VPC 네트워크를 Network Connectivity Center 허브의 VPC 스포크로 구성해야 합니다. 스포크를 만들 때는 VPC 스포크 간에 IP 주소 범위가 겹치지 않는지 확인해야 합니다. 자세한 내용은 VPC 스포크 만들기를 참조하세요.
  • Inter-VPC NAT는 VPC 네트워크 피어링을 사용해 연결된 VPC 네트워크 간이 아닌 Network Connectivity Center VPC 스포크 간에만 NAT를 지원합니다.
  • Inter-VPC NAT는 한 리전 내에서뿐만 아니라 여러 리전 간 VPC 서브넷에 대한 주소 변환을 지원합니다.

VPC 네트워크와 기타 네트워크 간의 트래픽

다음 추가 사양은 VPC 스포크와 Google Cloud 외부의 네트워크 간의 트래픽에 적용됩니다(미리보기).

  • VPC 네트워크와 온프레미스 또는 기타 클라우드 제공업체 네트워크 간에 Private NAT를 사용 설정하려면 다음 안내를 따르세요.
    1. VPC 네트워크는 Network Connectivity Center 허브의 VPC 스포크로 구성되어야 합니다. Network Connectivity Center 허브에 VPC 스포크가 2개 이상 있는 경우 VPC 스포크 간에 서브넷 중복이 없는지 확인해야 합니다. 자세한 내용은 VPC 스포크 만들기를 참조하세요.
    2. VPC 스포크와 Google Cloud 외부의 네트워크 간에 연결을 설정하려면 하이브리드 스포크를 동일한 Network Connectivity Center 허브에 연결해야 합니다. 하이브리드 스포크는 Cloud Interconnect, Cloud VPN 터널, 라우터 어플라이언스 VM의 VLAN 연결을 지원합니다. 자세한 내용은 VPC 스포크와 하이브리드 스포크 간의 연결 정보를 참조하세요.
  • Private NAT 게이트웨이는 하이브리드 스포크와 연결된 라우팅 VPC 네트워크가 아니라 워크로드 VPC 네트워크에 구성되어야 합니다. 워크로드 및 라우팅 VPC 네트워크에 대한 자세한 내용은 VPC 스포크로 경로 교환을 참조하세요.

기본 구성 및 워크플로

다음 다이어그램은 두 VPC 스포크 간의 트래픽에 대한 기본 Private NAT 구성을 보여줍니다.

Inter-VPC NAT 변환 예시
Inter-VPC NAT 변환 예시(확대하려면 클릭)

이 예시에서 Private NAT는 다음과 같이 설정됩니다.

  • us-east1 리전에서 subnet-a의 모든 IP 주소 범위에 적용되도록 pvt-nat-gw 게이트웨이가 vpc-a에 구성되었습니다. vpc-asubnet-a에 있는 가상 머신(VM) 인스턴스는 pvt-nat-gw의 NAT IP 범위를 사용하여 vpc-asubnet-avpc-bsubnet-c와 겹치더라도, vpc-bsubnet-b에 있는 VM으로 트래픽을 전송할 수 있습니다.
  • vpc-avpc-b 모두 Network Connectivity Center 허브의 스포크로 구성됩니다.
  • pvt-nat-gw 게이트웨이는 동일한 Network Connectivity Center 허브에서 VPC 스포크로 구성된 VPC 네트워크 간에 NAT를 제공하도록 구성됩니다.

워크플로 예시

이전 다이어그램에서 vpc-asubnet-a에 있는 내부 IP 주소 192.168.1.2가 있는 vm-avpc-bsubnet-b에 있는 내부 IP 주소 192.168.2.2가 포함된 vm-b에서 업데이트를 다운로드해야 합니다. 두 VPC 네트워크 모두 동일한 Network Connectivity Center 허브에 VPC 스포크로 연결됩니다. vpc-bvpc-a의 서브넷과 겹치는 또 다른 서브넷 192.168.1.0/24가 포함되어 있다고 가정해 보겠습니다. vpc-asubnet-a에서 vpc-bsubnet-b와 통신하려면 다음과 같이 vpc-a에 Private NAT 게이트웨이 pvt-nat-gw를 구성해야 합니다.

  • Private NAT 서브넷: Private NAT 게이트웨이를 구성하기 전에 PRIVATE_NAT 용도의 Private NAT 서브넷을 만듭니다(예: 10.1.2.0/29). 이 서브넷이 동일한 Network Connectivity Center 허브에 연결된 VPC 스포크의 기존 서브넷과 겹치지 않아야 합니다.

  • nexthop.hub가 Network Connectivity Center 허브 URL과 일치하는 NAT 규칙입니다.

  • subnet-a의 모든 주소 범위에 대한 NAT입니다.

다음 표에는 앞의 예시에 명시된 네트워크 구성이 요약되어 있습니다.

네트워크 이름 네트워크 구성요소 IP 주소/범위 리전
vpc-a

subnet-a 192.168.1.0/24 us-east1
vm-a 192.168.1.2
pvt-nat-gw 10.1.2.0/29
vpc-b

subnet-b 192.168.2.0/24 us-west1
vm-b 192.168.2.2
subnet-c 192.168.1.0/24
vm-c 192.168.1.3

Network Connectivity Center 스포크용 Private NAT는 네트워크의 각 VM에 다음 NAT 소스 IP 주소와 소스 포트 튜플을 예약하기 위해 포트 예약 절차를 따릅니다. 예를 들어 Private NAT 게이트웨이는 vm-a를 통해 64개의 소스 포트(10.1.2.2:34000~10.1.2.2:34063)를 예약합니다.

VM이 TCP 프로토콜을 사용하여 목적지 포트 80의 업데이트 서버 192.168.2.2에 패킷을 전송하면 다음과 같은 결과가 발생합니다.

  1. VM이 다음 속성으로 요청 패킷을 전송합니다.

    • 소스 IP 주소: 192.168.1.2, VM의 내부 IP 주소
    • 소스 포트: 24000, VM의 운영체제에서 선택한 임시 소스 포트
    • 대상 주소: 192.168.2.2, 업데이트 서버의 IP 주소
    • 대상 포트: 80, 업데이트 서버에 대한 HTTP 트래픽에 대한 대상 포트
    • 프로토콜: TCP
  2. pvt-nat-gw 게이트웨이는 이그레스에 소스 네트워크 주소 변환(SNAT 또는 소스 NAT)을 수행하여 요청 패킷의 NAT 소스 IP 주소와 소스 포트를 재작성합니다.

    • NAT 소스 IP 주소: 10.1.2.2, VM의 예약된 NAT 소스 IP 주소 및 소스 포트 튜플 중 하나
    • 소스 포트: 34022, VM의 예약된 소스 포트 튜플 중 하나에서 가져온 사용되지 않은 소스 포트
    • 대상 주소: 192.168.2.2, 변경되지 않음
    • 대상 포트: 80, 변경되지 않음
    • 프로토콜: TCP, 변경되지 않음
  3. 업데이트 서버는 다음과 같은 속성과 함께 pvt-nat-gw 게이트웨이에 도착하는 응답 패킷을 전송합니다.

    • 소스 IP 주소: 192.168.2.2, 업데이트 서버의 내부 IP 주소
    • 소스 포트: 80, 업데이트 서버의 HTTP 응답
    • 대상 주소: 10.1.2.2, 요청 패킷의 원래 NAT 소스 IP 주소와 일치
    • 대상 포트: 34022, 요청 패킷의 소스 포트와 일치
    • 프로토콜: TCP, 변경되지 않음
  4. pvt-nat-gw 게이트웨이는 응답 패킷에 대상 네트워크 주소 변환(DNAT)을 수행하여 다음 속성의 업데이트를 요청하는 패킷이 VM에 전달되도록 응답 패킷의 대상 주소와 대상 포트를 재작성합니다.

    • 소스 IP 주소: 192.168.2.2, 변경되지 않음
    • 소스 포트: 80, 변경되지 않음
    • 대상 주소: 192.168.1.2, VM의 내부 IP 주소
    • 대상 포트: 24000, 요청 패킷의 기존 임시 소스 포트와 일치
    • 프로토콜: TCP, 변경되지 않음

다음 단계