NAT privato per gli spoke di Network Connectivity Center

Private NAT consente di creare un Private NAT che funzioni in combinazione con il Network Connectivity Center spoke per eseguire la Network Address Translation (NAT) tra i seguenti reti:

  • Reti Virtual Private Cloud (VPC): in dello scenario, le reti VPC che vuoi connettere sono collegate a un hub di Network Connectivity Center come spoke VPC.
  • Reti VPC e reti esterne a Google Cloud (Anteprima): in questo scenario, una o più Le reti VPC sono collegate all'hub di Network Connectivity Center come spoke VPC e connessi ai tuoi ambienti on-premise o le reti dei cloud provider tramite spoke ibridi.

Specifiche

Oltre alle specifiche generali di Private NAT, Il Private NAT per gli spoke di Network Connectivity Center ha quanto segue specifiche:

  • Private NAT utilizza un NAT configurazione di type=PRIVATE per consentire alle reti con IP subnet che si sovrappongono che gli intervalli di indirizzi possano comunicare. Tuttavia, solo le subnet non sovrapposte possono connettersi l'uno con l'altro.
  • Devi creare una regola NAT personalizzata facendo riferimento a un hub di Network Connectivity Center. La regola NAT specifica un intervallo di indirizzi IP NAT da una subnet di destinazione PRIVATE_NAT utilizzato da Private NAT per eseguire NAT sul traffico tra le tue reti connesse.
  • Un gateway Private NAT è associato all'indirizzo IP della subnet in una singola regione in una singola rete VPC. Questo significa che un gateway creato in una rete VPC non può fornire NAT alle VM in altri spoke dell'hub di Network Connectivity Center, anche se le VM si trovano nella stessa regione del gateway.

Traffico tra reti VPC

Le seguenti specifiche aggiuntive si applicano al traffico tra Reti VPC (Inter-VPC NAT):

  • per abilitare Inter-VPC NAT tra due VPC rete VPC, ogni rete VPC deve essere configurata come VPC ha parlato di un hub di Network Connectivity Center. Quando crei lo spoke, devi assicurarti che non siano presenti che si sovrappongono a intervalli di indirizzi IP nel VPC spoke. Per ulteriori informazioni, vedi Crea uno spoke VPC.
  • Inter-VPC NAT supporta NAT tra Network Connectivity Center Solo spoke VPC e non tra reti VPC connesse tramite peering di rete VPC.
  • Inter-VPC NAT supporta la traduzione degli indirizzi le subnet VPC all'interno di una regione e in più regioni.

Traffico tra reti VPC e altre reti

Le seguenti specifiche aggiuntive si applicano al traffico tra Reti e spoke VPC esterni a Google Cloud (Anteprima):

  • Per abilitare Private NAT tra un VPC e una rete on-premise o di un altro cloud provider:
    1. La rete VPC deve essere configurata come VPC ha parlato di un hub di Network Connectivity Center. Se L'hub di Network Connectivity Center ha più di uno spoke VPC, devi assicurarti che non ci siano sovrapposizioni di subnet in spoke VPC. Per ulteriori informazioni, vedi Crea uno spoke VPC.
    2. Uno spoke ibrido deve essere collegato allo stesso hub di Network Connectivity Center per stabilisce la connettività tra lo spoke VPC e al di fuori di Google Cloud. Supporto di spoke ibridi Collegamenti VLAN per Cloud Interconnect, tunnel Cloud VPN e VM dell'appliance router. Per ulteriori informazioni, consulta Informazioni sulla connettività tra spoke VPC e spoke ibridi.
  • Il gateway Private NAT deve essere configurato nel carico di lavoro rete VPC, non nella rete VPC di routing che allo spoke ibrido. Per ulteriori informazioni sul carico di lavoro e il routing delle reti VPC, Scambio di route con spoke VPC.

Configurazione e flusso di lavoro di base

Il seguente diagramma mostra una configurazione di Private NAT di base per il traffico tra due spoke VPC:

Esempio di traduzione tra VPC NAT.
Esempio di traduzione tra VPC NAT (fai clic per ingrandire).

In questo esempio, Private NAT è configurato come segue:

  • Il gateway pvt-nat-gw è configurato in vpc-a per essere applicato a tutti gli indirizzi IP intervalli di subnet-a nella regione us-east1. Utilizzo degli intervalli IP NAT pvt-nat-gw, un'istanza di macchina virtuale (VM) in subnet-a di vpc-a può inviare traffico verso una VM in subnet-b di vpc-b, anche se subnet-a di vpc-a si sovrappone a subnet-c di vpc-b.
  • Sia vpc-a sia vpc-b sono configurati come spoke di un hub di Network Connectivity Center.
  • Il gateway pvt-nat-gw è configurato per fornire NAT tra VPC reti configurate come spoke VPC nello stesso hub di Network Connectivity Center.

Flusso di lavoro di esempio

Nel diagramma precedente, vm-a con l'indirizzo IP interno 192.168.1.2 in subnet-a di vpc-a deve scaricare un aggiornamento da vm-b con il Indirizzo IP 192.168.2.2 in subnet-b di vpc-b. Sia il VPC le reti sono connesse allo stesso hub di Network Connectivity Center del VPC spoke. Supponiamo che vpc-b contenga un'altra subnet 192.168.1.0/24 che si sovrappone con la subnet in vpc-a. Per consentire a subnet-a di vpc-a di comunicare con subnet-b di vpc-b, devi configurare un gateway Private NAT, pvt-nat-gw, in vpc-a come segue:

  • Subnet Private NAT: prima di configurare il Private NAT per il gateway, crea una subnet NAT privata con scopo PRIVATE_NAT, ad esempio 10.1.2.0/29. Assicurati che questa subnet non si sovrapponga con una subnet esistente in uno degli spoke VPC collegati lo stesso hub di Network Connectivity Center.

  • Una regola NAT il cui nexthop.hub corrisponde all'URL dell'hub di Network Connectivity Center.

  • NAT per tutti gli intervalli di indirizzi di subnet-a.

La tabella seguente riassume la configurazione di rete specificata nella precedente esempio:

Nome rete Componente di rete Indirizzo/intervallo IP Regione
vpc-a

 subnet-a 192.168.1.0/24 us-east1
vm-a 192.168.1.2
pvt-nat-gw 10.1.2.0/29
vpc-b

 subnet-b 192.168.2.0/24 us-west1
vm-b 192.168.2.2
subnet-c 192.168.1.0/24
vm-c 192.168.1.3

Il Private NAT per gli spoke di Network Connectivity Center segue procedura di prenotazione delle porte per prenotare il seguente indirizzo IP di origine NAT e tuple di porte di origine per ognuna delle VM nella rete. Ad esempio, Il gateway Private NAT prenota 64 porte di origine per vm-a: Da 10.1.2.2:34000 a 10.1.2.2:34063.

Quando la VM utilizza il protocollo TCP per inviare un pacchetto al server di aggiornamento 192.168.2.2 sulla porta di destinazione 80, si verifica quanto segue:

  1. La VM invia un pacchetto di richieste con questi attributi:

    • Indirizzo IP di origine: 192.168.1.2, l'indirizzo IP interno della VM
    • Porta di origine: 24000, la porta di origine temporanea scelta dal sistema operativo della VM
    • Indirizzo di destinazione: 192.168.2.2, l'indirizzo IP del server di aggiornamento
    • Porta di destinazione: 80, la porta di destinazione per il traffico HTTP verso il server di aggiornamento
    • Protocollo: TCP

  2. Il gateway pvt-nat-gw esegue la Network Address Translation di origine (SNAT o NAT di origine) sul traffico in uscita, riscrivendo la richiesta indirizzo IP di origine NAT del pacchetto e porta di origine:

    • Indirizzo IP di origine NAT: 10.1.2.2, da una delle origini NAT riservate della VM Tuple di porte di indirizzo IP e origine
    • Porta di origine: 34022, una porta di origine inutilizzata da una delle porte riservate della VM tuple di porte di origine
    • Indirizzo di destinazione: 192.168.2.2, invariato
    • Porta di destinazione: 80, invariata
    • Protocollo: TCP, invariato

  3. Il server di aggiornamento invia un pacchetto di risposta che arriva pvt-nat-gw gateway con questi attributi:

    • Indirizzo IP di origine: 192.168.2.2, l'indirizzo IP interno del server di aggiornamento
    • Porta di origine: 80, la risposta HTTP del server di aggiornamento
    • Indirizzo di destinazione: 10.1.2.2, che corrisponde all'indirizzo IP di origine NAT originale del pacchetto di richiesta
    • Porta di destinazione: 34022, che corrisponde alla porta di origine del pacchetto di richiesta
    • Protocollo: TCP, invariato

  4. Il gateway pvt-nat-gw esegue la Network Address Translation di destinazione (DNAT) sul pacchetto di risposta, riscrivendo l'indirizzo di destinazione del pacchetto di risposta e la porta di destinazione, in modo che il pacchetto venga consegnato alla VM che ha richiesto l'aggiornamento con i seguenti attributi:

    • Indirizzo IP di origine: 192.168.2.2, invariato
    • Porta di origine: 80, invariata
    • Indirizzo di destinazione: 192.168.1.2, l'indirizzo IP interno della VM
    • Porta di destinazione: 24000, corrispondente alla porta di origine temporanea originale del pacchetto di richiesta
    • Protocollo: TCP, invariato

Passaggi successivi