NAT privé pour les spokes Network Connectivity Center

Le NAT privé vous permet de créer un NAT privé qui fonctionne avec Network Connectivity Center pour effectuer la traduction d'adresse réseau (NAT) entre réseaux:

  • Réseaux de cloud privé virtuel (VPC) : les réseaux VPC que vous voulez connecter sont associés à un hub Network Connectivity Center en tant que spokes VPC.
  • Réseaux et réseaux VPC en dehors de Google Cloud (Aperçu): dans ce scénario, un ou plusieurs Les réseaux VPC sont associés à un hub Network Connectivity Center en tant que et connectés à votre réseau sur site ou via des spokes hybrides.

Spécifications

Outre les spécifications générales de NAT privé, La NAT privée pour les spokes Network Connectivity Center dispose des éléments suivants : spécifications:

  • Le NAT privé utilise un NAT Configuration de type=PRIVATE pour autoriser les réseaux dont l'adresse IP de sous-réseau se chevauche des plages d'adresses IP communiquent. Toutefois, seuls les sous-réseaux qui ne se chevauchent pas peuvent se connecter les uns aux autres.
  • Vous devez créer une règle NAT personnalisée en référençant un hub Network Connectivity Center. La règle NAT spécifie une plage d'adresses IP NAT provenant d'un sous-réseau spécifique PRIVATE_NAT que Private NAT utilise pour effectuer la NAT sur le trafic entre vos réseaux connectés.
  • Une passerelle NAT privée est associée à une adresse IP de sous-réseau plages d'adresses IP d'une région unique dans un seul réseau VPC. Cela signifie qu'un réseau NAT privé la passerelle VPN créée dans un réseau VPC fournir une NAT aux VM d'autres spokes du hub Network Connectivity Center, même si les VM se trouvent dans la même région que la passerelle.

Trafic entre les réseaux VPC

Les spécifications supplémentaires suivantes s'appliquent au trafic entre Réseaux VPC (NAT inter-VPC):

  • Pour activer la NAT inter-VPC entre deux VPC réseaux VPC, chaque réseau VPC doit être configuré spoke VPC d'un hub Network Connectivity Center. Lorsque vous créez le spoke, vous devez vous assurer qu'aucun des plages d'adresses IP qui se chevauchent dans votre VPC de réseau VPC. Pour en savoir plus, consultez Créez un spoke VPC.
  • La NAT inter-VPC est compatible avec la NAT entre Network Connectivity Center Spokes VPC uniquement, et non entre des réseaux VPC connecté à l'aide de l'appairage de réseaux VPC.
  • La NAT inter-VPC prend en charge la traduction d'adresses et les sous-réseaux VPC d'une même région.

Trafic entre des réseaux VPC et d'autres réseaux

Les spécifications supplémentaires suivantes s'appliquent au trafic entre Spokes et réseaux VPC en dehors de Google Cloud (Aperçu):

  • Pour activer le NAT privé entre un VPC : et le réseau sur site ou d'un autre fournisseur de services cloud:
    1. Le réseau VPC doit être configuré spoke VPC d'un hub Network Connectivity Center. Si un Le hub Network Connectivity Center dispose de plusieurs spokes VPC, vous devez vous assurer qu'il n'y a pas de chevauchement de sous-réseau de spokes VPC. Pour en savoir plus, consultez Créez un spoke VPC.
    2. Un spoke hybride doit être associé au même hub Network Connectivity Center pour d'établir la connectivité entre le spoke VPC le réseau en dehors de Google Cloud. Compatibilité avec les spokes hybrides les rattachements de VLAN pour Cloud Interconnect, les tunnels Cloud VPN et les VM d'appareil de routeur. Pour plus d'informations, consultez la section À propos de la connectivité entre les spokes VPC et les spokes hybrides.
  • La passerelle NAT privée doit être configurée dans la charge de travail sur le réseau VPC, et non dans le réseau VPC de routage est associée au spoke hybride. Pour en savoir plus sur les charges de travail et de routage des réseaux VPC, consultez Échange de routes avec des spokes VPC.

Configuration et workflow de base

Le schéma suivant illustre une configuration de base de NAT privé pour le trafic entre deux spokes VPC:

Exemple de traduction NAT inter-VPC
Exemple de traduction NAT inter-VPC (cliquez pour agrandir).

Dans cet exemple, le NAT privé est configuré comme suit:

  • La passerelle pvt-nat-gw est configurée dans vpc-a pour s'appliquer à toutes les adresses IP plages de subnet-a dans la région us-east1. L'utilisation des plages d'adresses IP NAT de pvt-nat-gw, une instance de machine virtuelle (VM) dans subnet-a de vpc-a peut envoyer trafic vers une VM dans la plage subnet-b de vpc-b, même si subnet-a de vpc-a chevauche subnet-c de vpc-b.
  • vpc-a et vpc-b sont tous deux configurés en tant que spokes d'un hub Network Connectivity Center.
  • La passerelle pvt-nat-gw est configurée pour fournir la NAT entre les VPC configurés en tant que spokes VPC dans le même hub Network Connectivity Center.

Exemple de workflow

Dans le schéma précédent, vm-a avec l'adresse IP interne 192.168.1.2 dans subnet-a sur vpc-a doit télécharger une mise à jour à partir de vm-b avec la couche interne Adresse IP 192.168.2.2 dans subnet-b sur vpc-b. Le VPC sont connectés au même hub Network Connectivity Center que le VPC de réseau VPC. Supposons que vpc-b contient un autre sous-réseau 192.168.1.0/24 qui se chevauche avec le sous-réseau situé dans la région vpc-a. Pour que subnet-a de vpc-a communique avec subnet-b de vpc-b, vous devez configurer une passerelle NAT privée, pvt-nat-gw, dans vpc-a, comme suit:

  • Sous-réseau NAT privé: avant de configurer le NAT privé créer un sous-réseau NAT privé de l'objectif PRIVATE_NAT, Exemple : 10.1.2.0/29. Assurez-vous que ce sous-réseau ne se chevauche pas avec un sous-réseau existant dans l'un des spokes VPC associés au même hub Network Connectivity Center.

  • Une règle NAT dont nexthop.hub correspond à l'URL du hub Network Connectivity Center.

  • NAT pour toutes les plages d'adresses de subnet-a.

Le tableau suivant récapitule la configuration réseau spécifiée à l'étape précédente Exemple:

Nom du réseau Composant réseau Adresse IP/plage Région
vpc-a

 subnet-a 192.168.1.0/24 us-east1
vm-a 192.168.1.2
pvt-nat-gw 10.1.2.0/29
vpc-b

 subnet-b 192.168.2.0/24 us-west1
vm-b 192.168.2.2
subnet-c 192.168.1.0/24
vm-c 192.168.1.3

La NAT privée pour les spokes Network Connectivity Center suit procédure de réservation de port pour réserver l'adresse IP source NAT suivante et les tuples de port source pour chacune des VM du réseau. Par exemple, La passerelle NAT privée réserve 64 ports sources pour vm-a: De 10.1.2.2:34000 à 10.1.2.2:34063.

Lorsque la VM utilise le protocole TCP pour envoyer un paquet au serveur de mise à jour 192.168.2.2 sur le port de destination 80, voici ce qui se produit:

  1. La VM envoie un paquet de requête avec les attributs suivants :

    • Adresse IP source: 192.168.1.2, l'adresse IP interne de la VM
    • Port source: 24000, le port source éphémère choisi par le système d'exploitation de la VM
    • Adresse de destination: 192.168.2.2, l'adresse IP du serveur de mise à jour
    • Port de destination: 80, port de destination du trafic HTTP vers le serveur de mise à jour
    • Protocol (Protocole) : TCP

  2. La passerelle pvt-nat-gw effectue une traduction d'adresse réseau source (SNAT ou NAT source) à la sortie, la réécriture de la requête l'adresse IP source et le port source NAT du paquet:

    • Adresse IP source NAT: 10.1.2.2, provenant de l'une des sources NAT réservées de la VM Des tuples d'adresse IP et de port source
    • Port source : 34022, un port source inutilisé de l'un des tuples de port source réservés de la VM
    • Adresse de destination : 192.168.2.2, inchangée
    • Port de destination : 80, inchangé
    • Protocole: TCP, inchangé

  3. Le serveur de mise à jour envoie un paquet de réponse qui arrive sur le Passerelle pvt-nat-gw avec les attributs suivants:

    • Adresse IP source: 192.168.2.2, l'adresse IP interne du serveur de mise à jour
    • Port source : 80, la réponse HTTP du serveur de mise à jour
    • Adresse de destination: 10.1.2.2, qui correspond à l'adresse IP source NAT d'origine du paquet de requête
    • Port de destination: 34022, qui correspond au port source du paquet de requête
    • Protocole: TCP, inchangé

  4. La passerelle pvt-nat-gw effectue la traduction de l'adresse réseau de destination (DNAT) sur le paquet de réponse, en réécrivant l'adresse de destination du paquet de réponse et le port de destination afin que le paquet soit livré à la VM qui a demandé la mise à jour avec les attributs suivants:

    • Adresse IP source : 192.168.2.2, inchangée
    • Port source : 80, inchangé
    • Adresse de destination: 192.168.1.2, l'adresse IP interne de la VM
    • Port de destination: 24000, correspondant au port source éphémère d'origine du paquet de requête
    • Protocole: TCP, inchangé

Étape suivante