Private NAT untuk spoke Network Connectivity Center

Dengan Private NAT, Anda dapat membuat gateway Private NAT yang berfungsi bersama dengan spoke Network Connectivity Center untuk melakukan penafsiran alamat jaringan (NAT) antara jaringan berikut:

  • Jaringan Virtual Private Cloud (VPC): Dalam skenario ini, jaringan VPC yang ingin Anda hubungkan dilampirkan ke hub Network Connectivity Center sebagai spoke VPC.
  • Jaringan VPC dan jaringan di luar Google Cloud: Dalam skenario ini, satu atau beberapa jaringan VPC dilampirkan ke hub Network Connectivity Center sebagai spoke VPC dan terhubung ke jaringan lokal atau penyedia cloud lainnya melalui spoke hybrid.

Spesifikasi

Selain spesifikasi Private NAT umum, Private NAT untuk spoke Network Connectivity Center memiliki spesifikasi berikut:

  • NAT pribadi menggunakan konfigurasi NAT type=PRIVATE untuk memungkinkan jaringan dengan rentang alamat IP subnet yang tumpang-tindih berkomunikasi. Namun, hanya subnet yang tidak tumpang-tindih yang dapat saling terhubung.
  • Anda perlu membuat aturan NAT kustom dengan mereferensikan hub Network Connectivity Center. Aturan NAT menentukan rentang alamat IP NAT dari subnet tujuan PRIVATE_NAT yang digunakan Private NAT untuk melakukan NAT pada traffic antara jaringan yang terhubung.
  • Saat Anda membuat instance VM dalam rentang subnet tempat Private NAT berlaku, semua traffic keluar dari instance VM ini akan diterjemahkan oleh gateway jika spoke tujuan berada di hub Network Connectivity Center yang sama dengan gateway. Private NAT menerjemahkan traffic ke spoke tujuan dalam region yang sama dengan gateway Private NAT serta di seluruh region.
  • Gateway Private NAT dikaitkan dengan rentang alamat IP subnet di satu region dalam satu jaringan VPC. Artinya, gateway Private NAT yang dibuat di satu jaringan VPC tidak menyediakan layanan NAT ke VM di spoke lain dari hub Network Connectivity Center, meskipun VM berada di region yang sama dengan gateway.

Traffic antar-jaringan VPC

Spesifikasi tambahan berikut berlaku untuk traffic antarjaringan VPC (NAT Antar-VPC):

  • Untuk mengaktifkan Inter-VPC NAT antara dua jaringan VPC, setiap jaringan VPC harus dikonfigurasi sebagai spoke VPC dari hub Network Connectivity Center. Anda harus memastikan tidak ada rentang alamat IP yang tumpang tindih di seluruh spoke VPC. Untuk informasi selengkapnya, lihat Membuat spoke VPC.
  • Hub Network Connectivity Center yang terkait dengan gateway Private NAT harus memiliki minimal dua spoke VPC, dengan salah satu spoke VPC adalah jaringan VPC dari gateway Private NAT.
  • Inter-VPC NAT hanya mendukung NAT antara spoke VPC Network Connectivity Center, dan bukan antara jaringan VPC yang terhubung menggunakan Peering Jaringan VPC.

Traffic antara jaringan VPC dan jaringan lainnya

Spesifikasi tambahan berikut berlaku untuk traffic antara jaringan VPC dan jaringan di luar Google Cloud:

  • Jaringan VPC sumber harus dikonfigurasi sebagai spoke VPC dari hub Network Connectivity Center.
  • Spoke hybrid harus dilampirkan ke hub Network Connectivity Center yang sama untuk membuat konektivitas antara spoke VPC dan jaringan tujuan di luar Google Cloud. Untuk informasi selengkapnya, lihat Membangun konektivitas antara spoke hybrid dan spoke VPC.

Untuk mengetahui informasi tentang persyaratan penggunaan spoke VPC dan spoke hybrid di hub Network Connectivity Center yang sama, lihat Pertukaran rute dengan spoke VPC.

Konfigurasi dan alur kerja dasar

Diagram berikut menunjukkan konfigurasi Private NAT dasar untuk traffic antara dua spoke VPC:

Contoh terjemahan NAT antar-VPC.
Contoh terjemahan Inter-VPC NAT (klik untuk memperbesar).

Dalam contoh ini, NAT Pribadi disiapkan sebagai berikut:

  • Gateway pvt-nat-gw dikonfigurasi di vpc-a untuk diterapkan ke semua rentang alamat IP subnet-a di region us-east1. Dengan menggunakan rentang IP NAT pvt-nat-gw, instance virtual machine (VM) di subnet-a dari vpc-a dapat mengirim traffic ke VM di subnet-b dari vpc-b, meskipun subnet-a dari vpc-a tumpang-tindih dengan subnet-c dari vpc-b.
  • vpc-a dan vpc-b dikonfigurasi sebagai spoke hub Network Connectivity Center.
  • Gateway pvt-nat-gw dikonfigurasi untuk menyediakan NAT di antara jaringan VPC yang dikonfigurasi sebagai spoke VPC di hub Network Connectivity Center yang sama.

Contoh alur kerja

Pada diagram sebelumnya, vm-a dengan alamat IP internal 192.168.1.2 di subnet-a dari vpc-a perlu mendownload update dari vm-b dengan alamat IP internal 192.168.2.2 di subnet-b dari vpc-b. Kedua jaringan VPC terhubung ke hub Network Connectivity Center yang sama dengan spoke VPC. Asumsikan vpc-b berisi subnet lain 192.168.1.0/24 yang tumpang-tindih dengan subnet di vpc-a. Agar subnet-a dari vpc-a dapat berkomunikasi dengan subnet-b dari vpc-b, Anda perlu mengonfigurasi gateway Private NAT, pvt-nat-gw, di vpc-a sebagai berikut:

  • Subnet NAT pribadi: Sebelum mengonfigurasi gateway Private NAT, buat subnet Private NAT dengan tujuan PRIVATE_NAT, misalnya, 10.1.2.0/29. Pastikan subnet ini tidak tumpang-tindih dengan subnet yang ada di spoke VPC mana pun yang terpasang ke hub Network Connectivity Center yang sama.

  • Aturan NAT yang nexthop.hub-nya cocok dengan URL hub Network Connectivity Center.

  • NAT untuk semua rentang alamat subnet-a.

Tabel berikut meringkas konfigurasi jaringan yang ditentukan dalam contoh sebelumnya:

Nama jaringan Komponen jaringan Alamat/rentang IP Wilayah
vpc-a

subnet-a 192.168.1.0/24 us-east1
vm-a 192.168.1.2
pvt-nat-gw 10.1.2.0/29
vpc-b

subnet-b 192.168.2.0/24 us-west1
vm-b 192.168.2.2
subnet-c 192.168.1.0/24
vm-c 192.168.1.3

Private NAT untuk spoke Network Connectivity Center mengikuti prosedur reservasi port untuk mencadangkan alamat IP sumber NAT berikut dan tuple port sumber untuk setiap VM di jaringan. Misalnya, gateway NAT Pribadi mencadangkan 64 port sumber untuk vm-a: 10.1.2.2:34000 hingga 10.1.2.2:34063.

Saat VM menggunakan protokol TCP untuk mengirim paket ke server update 192.168.2.2 di port tujuan 80, hal berikut akan terjadi:

  1. VM mengirimkan paket permintaan dengan atribut berikut:

    • Alamat IP sumber: 192.168.1.2, alamat IP internal VM
    • Port sumber: 24000, port sumber ephemeral yang dipilih oleh sistem operasi VM
    • Alamat tujuan: 192.168.2.2, alamat IP server update
    • Port tujuan: 80, port tujuan untuk traffic HTTP ke server update
    • Protokol: TCP
  2. Gateway pvt-nat-gw melakukan penafsiran alamat jaringan sumber (SNAT atau NAT sumber) pada traffic keluar, dengan menulis ulang alamat IP sumber NAT dan port sumber paket permintaan:

    • Alamat IP sumber NAT: 10.1.2.2, dari salah satu alamat IP sumber NAT VM yang dicadangkan dan tuple port sumber
    • Port sumber: 34022, port sumber yang tidak digunakan dari salah satu tuple port sumber VM yang direservasi
    • Alamat tujuan: 192.168.2.2, tidak berubah
    • Port tujuan: 80, tidak berubah
    • Protokol: TCP, tidak berubah
  3. Server update mengirim paket respons yang tiba di gateway pvt-nat-gw dengan atribut berikut:

    • Alamat IP sumber: 192.168.2.2, alamat IP internal server update
    • Port sumber: 80, respons HTTP dari server update
    • Alamat tujuan: 10.1.2.2, yang cocok dengan alamat IP sumber NAT asli dari paket permintaan
    • Port tujuan: 34022, yang cocok dengan port sumber paket permintaan
    • Protokol: TCP, tidak berubah
  4. Gateway pvt-nat-gw melakukan terjemahan alamat jaringan tujuan (DNAT) pada paket respons, menulis ulang alamat tujuan dan port tujuan paket respons sehingga paket dikirim ke VM yang meminta update dengan atribut berikut:

    • Alamat IP sumber: 192.168.2.2, tidak berubah
    • Port sumber: 80, tidak berubah
    • Alamat tujuan: 192.168.1.2, alamat IP internal VM
    • Port tujuan: 24000, yang cocok dengan port sumber sementara asli dari paket permintaan
    • Protokol: TCP, tidak berubah

Langkah selanjutnya