Questa pagina è stata tradotta dall'API Cloud Translation.

Indirizzi IP e porte

Questa pagina descrive come i gateway Cloud NAT utilizzano gli indirizzi IP e come allocano porte di origine alle istanze di macchine virtuali (VM) Compute Engine. e dai nodi Google Kubernetes Engine (GKE) che utilizzano i gateway.

Prima di esaminare queste informazioni, acquisisci familiarità con il Panoramica di Cloud NAT.

Indirizzi IP NAT pubblici

Un indirizzo IP pubblico NAT è un indirizzo IP esterno regionale che è instradabile su internet. Una VM senza un indirizzo IP esterno, che si trova in un una subnet (subnet) gestita da un gateway Public NAT, utilizza un Indirizzo IP pubblico NAT quando invia pacchetti a una destinazione su internet.

Per assegnare gli indirizzi IP Network Address Translation (NAT) a un gateway Public NAT, utilizza uno dei utilizza i seguenti metodi:

Allocazione automatica degli indirizzi IP NAT. Quando selezioni questo metodo, oppure per scegliere le impostazioni predefinite di Google Cloud, Public NAT aggiunge automaticamente indirizzi IP esterni a livello di regione al gateway in base a quanto segue:
- Il livello di rete selezionato
- Il numero di VM che utilizzano il gateway
- Il numero di porte riservate per ogni VM
Il servizio NAT pubblico rimuove automaticamente un indirizzo IP NAT quando non necessita più di porte di origine sull'indirizzo IP NAT.

Di seguito sono riportate le caratteristiche dell'allocazione automatica degli indirizzi IP NAT:
- Quando un gateway Public NAT aggiunge un indirizzo IP NAT, crea un è un indirizzo IP esterno a livello di regione statico (prenotato) nel livello di rete selezionato al momento della configurazione del gateway. Ad esempio, se disponi selezionato al livello Premium, il gateway Public NAT crea in quel livello. I livelli di rete supportati sono il livello Premium (predefinito) ) e il livello Standard.
  
  Gli indirizzi IP NAT aggiunti automaticamente possono essere visualizzati nell'elenco di indirizzi indirizzi IP esterni. Questi indirizzi non vengono conteggiati ai fini delle quote per progetto.
Nota: quando utilizzi il metodo automatico di allocazione degli indirizzi IP Public NAT, il logging di Cloud NAT Non registra la prenotazione di un indirizzo IP esterno statico come evento. Quindi, non è possibile monitorare la scalabilità di Public NAT allocato automaticamente e indirizzi IP.
- Se cambi il livello di rete di un gateway Public NAT, esistente Vengono rilasciati gli indirizzi IP per quel gateway e un nuovo set di indirizzi IP del livello selezionato.
- Con l'allocazione automatica, non puoi prevedere l'indirizzo IP successivo sono state assegnate. Se devi conoscere l'insieme di possibili indirizzi IP NAT in anticipo (ad esempio, per creare una lista consentita), devi utilizzare l'assegnazione manuale dell'indirizzo IP NAT.
- Quando gli indirizzi IP NAT aggiunti automaticamente non sono più in uso, rimosso. Tuttavia, Public NAT applica il deal di un indirizzo solo quando l'ultima VM assegnata all'indirizzo non usa più alcuna porta. Di conseguenza, quando di VM che utilizzano Public NAT è diminuito, potresti non vedere di riduzione dell'IP . Il motivo è che Cloud NAT non esegue dinamicamente riallocare le VM da un indirizzo IP a un altro perché interrompere le connessioni stabilite. Purché almeno una VM utilizzi un indirizzo IP , l'indirizzo IP rimane attivo e gli possono essere assegnate nuove VM.
  
  Se vuoi poter riallocare manualmente le VM da un indirizzo IP a un altro per ridurre al minimo l'utilizzo dell'indirizzo IP, usa l'indirizzo IP NAT manuale i compiti assegnati. L'assegnazione manuale dell'indirizzo IP NAT svuotamento degli indirizzi IP Public NAT.
- Se in seguito passi all'assegnazione manuale degli indirizzi IP NAT, vengono eliminati gli indirizzi IP esterni a livello di regione prenotati. Per ulteriori informazioni, consulta la sezione Modifica del metodo di assegnazione.
Assegnazione manuale dell'indirizzo IP NAT. Quando selezioni questa opzione, crei e assegnare manualmente indirizzi IP esterni a livello di regione statici (prenotati) al tuo Gateway NAT pubblico. Puoi assegnare manualmente gli indirizzi IP da Il livello Premium, dal livello Standard o da entrambi, soggetto a condizioni.
- Puoi aumentare o diminuire il numero di gli indirizzi IP NAT assegnati manualmente mediante la modifica del gateway Cloud NAT.
- Quando utilizzi l'assegnazione manuale degli indirizzi IP NAT, devi calcolare il numero di indirizzi IP esterni a livello di regione necessari per il Public NAT gateway VPN ad alta disponibilità. Se il gateway esaurisce gli indirizzi IP NAT, il servizio NAT pubblico di pacchetti. I pacchetti persi vengono registrati quando utilizzi Logging Cloud NAT per attivare il logging degli errori.
- Per calcoli di esempio, consulta esempio di prenotazione di porte.

Per il numero massimo di IP NAT allocati automaticamente o assegnati manualmente di rete, consulta i limiti di Cloud NAT.

Assegna manualmente una combinazione di indirizzi IP di livello Premium e Standard

Quando crei un gateway Public NAT con il metodo di assegnazione manuale dell'indirizzo IP NAT, puoi assegnare una combinazione di indirizzi IP di livello Premium e Standard, purché gli indirizzi IP di livelli di rete diversi non appartengono alla stessa regola (compresa la regola predefinita).

All'interno di una regola (compresa la regola predefinita), tutti gli indirizzi IP assegnati ai gruppi attivi di rete deve essere dello stesso livello di rete. Se provi a utilizzare indirizzi IP di diversi i livelli nell'ambito della stessa regola, Google Cloud rifiuta la configurazione.

Cambia metodo di assegnazione

Puoi cambiare un gateway Public NAT dall'indirizzo IP NAT automatico l'allocazione all'assegnazione manuale dell'indirizzo IP NAT; ma gli indirizzi IP NAT non possono essere conservati. Anche se gli indirizzi IP NAT allocati automaticamente statici, non possono essere spostati in un'assegnazione manuale di indirizzi IP NAT. Per ad esempio, non puoi iniziare a utilizzare un gateway Public NAT indirizzi IP NAT allocati e in seguito utilizzeranno gli stessi indirizzi quando agli indirizzi IP NAT assegnati manualmente.

Il set di indirizzi IP esterni a livello di regione utilizzato da Public NAT l'allocazione automatica degli indirizzi IP è diversa dall'insieme indirizzi IP esterni che puoi scegliere manualmente.

Svuota gli indirizzi IP NAT pubblici

Quando configuri un gateway Public NAT con indirizzo IP NAT manuale assegnata, puoi scegliere cosa fare quando devi ridurre il numero Indirizzi IP NAT utilizzati dal gateway:

Se rimuovi un indirizzo IP NAT assegnato manualmente, le connessioni NAT stabilite si interrompono immediatamente.
Puoi invece scegliere di scaricare un indirizzo IP NAT assegnato manualmente. Svuotamento indica al gateway Public NAT di interrompere l'utilizzo dell'indirizzo IP NAT per nuove connessioni, ma continua a utilizzarlo per le connessioni stabilite. Le connessioni stabilite possono chiudersi normalmente anziché improvvisamente. Per svuotare un indirizzo IP associato a un NAT pubblico che non utilizza regole NAT, consulta Svuota gli indirizzi IP esterni associati al NAT. Per svuotare un indirizzo IP associato a un gateway NAT che utilizza NAT consulta l'articolo Aggiornamento delle regole NAT.

Indirizzi IP Private NAT

Un indirizzo Private NAT è un indirizzo IPv4 interno regionale che proviene dall'intervallo di indirizzi IPv4 principale di un Private NAT una subnet situata nella stessa regione e rete VPC di il gateway Private NAT. Un indirizzo IP Private NAT è instradabili su internet. Indirizzi IP da intervalli di indirizzi IPv4 principali di Le subnet Private NAT possono essere utilizzate solo i gateway Private NAT. Creazione di un Private NAT subnet, aggiungi un indirizzo IPv4 solo utilizzando la subnet VPC Google Cloud CLI e il flag --purpose=PRIVATE_NAT.

Dopo aver configurato un gateway Private NAT per fornire i servizi NAT per una subnet in una rete VPC, le VM con interfacce di rete una subnet può inviare pacchetti alle risorse in altre reti, come le reti VPC collegate stesso hub di Network Connectivity Center della rete che ospita il Private NAT da gateway o da reti esterne a Google Cloud connesse Google Cloud tramite Cloud Interconnect o Cloud VPN. Per il traffico in uscita, Google Cloud cambia indirizzo IP di origine a un indirizzo IP dalla subnet Private NAT associato al gateway.

Di seguito sono riportate le caratteristiche degli indirizzi IP Private NAT:

Non puoi assegnare automaticamente indirizzi IP Private NAT a un il gateway Private NAT. Invece, quando crei una regola in un per il gateway Private NAT, devi specificare manualmente Subnet o subnet NAT private. NAT privato le subnet devono trovarsi nella stessa rete VPC e nella stessa regione il gateway. Il gateway utilizza solo gli indirizzi IP dell'indirizzo IPv4 principale delle subnet Private NAT.
per determinare il numero di indirizzi IP NAT per ciascuna subnet Private NAT. può fornire, utilizza la seguente formula: 2^{(32 - PREFIX_LENGTH)} - 4, dove PREFIX_LENGTH è la lunghezza della subnet mask dell'indirizzo IPv4 principale della subnet Private NAT di indirizzi IP esterni. Quattro indirizzi IP vengono inutilizzabile in ogni l'intervallo di indirizzi IPv4 principale della subnet.

Porte

Ogni indirizzo IP NAT su un gateway Cloud NAT (sia Public NAT sia Private NAT) Offre 64.512 porte di origine TCP e 64.512 porte di origine UDP. TCP e UDP ciascuno supportare 65.536 porte per indirizzo IP, ma Cloud NAT non utilizza il primo 1.024 porte note (privilegiate).

Quando un gateway Cloud NAT esegue la Network Address Translation di origine (SNAT) su un pacchetto inviato da una VM, modifica l'indirizzo IP di origine NAT del pacchetto e la porta di origine.

Quando crei un gateway Cloud NAT, scegli se utilizzare l'allocazione delle porte o l'assegnazione dinamica delle porte. Quando modifichi la modalità di assegnazione delle porte, tutte le connessioni esistenti che utilizzano il gateway Public NAT sono chiusi e devono essere ristabilita.

Se hai assegnato manualmente più IP esterni a livello di regione statici (prenotati) indirizzi IP al gateway Public NAT, una singola VM che utilizza il gateway può ottenere le porte richieste da uno qualsiasi degli IP NAT assegnati anche da più indirizzi IP NAT nello stesso momento.

Allocazione statica delle porte

Quando configuri l'allocazione statica delle porte, devi specificare un numero minimo di porte per istanza VM. Se non specifichi il numero minimo di porte per la VM, Google Cloud utilizza il valore predefinito.

L'allocazione statica delle porte è abilitata per impostazione predefinita per Public NAT. Private NAT, invece, utilizza l'allocazione dinamica delle porte per impostazione predefinita.

Poiché a tutte le VM è allocato lo stesso numero di porte, l'allocazione statica delle porte funziona meglio se tutte le VM hanno un utilizzo in uscita simile. Se alcune VM utilizzano più porte rispetto ad altre, le porte nel gateway Cloud NAT potrebbero essere poco utilizzate. Se l'utilizzo del traffico in uscita varia. Valuta la possibilità di configurare porta dinamica allocazione.

Se vuoi configurare una mappatura indipendente dagli endpoint sul gateway Public NAT, devi utilizzare l'allocazione statica delle porte. Mappatura indipendente dagli endpoint non è disponibile per i gateway Private NAT.

Allocazione dinamica delle porte

Quando configuri l'allocazione dinamica delle porte, specifichi un valore minimo di porte per istanza VM e un numero massimo di porte per istanza VM.

L'allocazione dinamica delle porte è abilitata per impostazione predefinita per Private NAT. Per Public NAT, devi configurare manualmente l'allocazione dinamica delle porte.

La configurazione dell'allocazione dinamica delle porte consente allo stesso gateway Cloud NAT allocano un numero diverso di porte per VM in base all'utilizzo. All'inizio a una VM viene allocato il numero minimo di porte per istanza VM. Se una VM è chiusa esaurire tutte le porte allocate, il numero di porte assegnato alla VM è raddoppiato. La VM può richiedere ripetutamente più porte fino il numero massimo di porte per istanza VM. Quando l'utilizzo delle porte significativamente diminuisce, le porte vengono deallocate e possono essere allocate ad altre VM che utilizzano lo stesso gateway NAT.

L'allocazione dinamica delle porte offre i seguenti vantaggi:

Il numero di porte allocate ma non utilizzate viene ridotto.
Il gateway NAT monitora l'utilizzo delle porte di ogni VM e modifica il numero di porte allocate a ogni VM in base alle esigenze. Non è necessario monitorare la porta utilizzo o regolare la configurazione del gateway NAT.

Prima di utilizzare l'allocazione dinamica delle porte, considera quanto segue:

Se la mappatura indipendente degli endpoint è abilitata sul gateway Cloud NAT, non è possibile configurare l'allocazione dinamica delle porte. Se hai bisogno di servizi indipendenti dagli endpoint Per la mappatura, utilizza l'allocazione statica delle porte.
Mentre vengono allocate porte aggiuntive alle VM, potresti vedere timeout o latenza. Per conoscere le strategie utili a evitare i problemi di connessione, vedi Riduci le connessioni interrotte con la porta dinamica allocazione

Cambia metodo di allocazione delle porte

Puoi passare dall'allocazione statica delle porte all'allocazione dinamica delle porte per un del gateway Cloud NAT.

Il passaggio al metodo di allocazione dinamica delle porte interrompe le connessioni NAT esistenti solo se viene soddisfatta una delle seguenti condizioni:

Imposti il numero massimo di porte per VM su un valore inferiore al numero minimo di porte per VM specificato nell'istruzione Configurazione NAT (con allocazione statica delle porte).

Nella configurazione precedente, il numero minimo di porte per VM è stato impostato su più di 1024 e se specifichi 1024 come numero massimo di porte per VM nella nuova configurazione, le connessioni esistenti si interrompono perché la prima condizione ha la precedenza.
Imposti il numero massimo di porte per VM su un valore inferiore a 1024.

A meno che non sia soddisfatta una delle condizioni precedenti, il passaggio all'allocazione dinamica delle porte non interrompe le connessioni NAT esistenti.

La disattivazione dell'allocazione dinamica delle porte e il passaggio all'allocazione statica delle porte di disturbo e interrompe tutte le connessioni NAT attive.

Procedura di prenotazione delle porte

Cloud NAT utilizza la seguente procedura per il provisioning dell'indirizzo IP di origine NAT e tuple di porte di origine per ogni VM a cui il Cloud NAT (sia Public NAT) e Private NAT).

Cloud NAT determina gli indirizzi IP interni della VM per i quali NAT eseguire l'upgrade. Gli indirizzi IP interni della VM sono determinati intervalli di indirizzi IP di subnet per cui il gateway è stato configurato.
- Se il gateway Public NAT è configurato per eseguire NAT per dell'intervallo di indirizzi IP principali della subnet utilizzata dall'interfaccia di rete della VM, il gateway esegue la traduzione NAT sia per l'indirizzo IP interno principale della VM uno qualsiasi degli intervalli IP alias della VM dall'interfaccia nell'intervallo di indirizzi IP principali.
- Se il gateway Public NAT è configurato per eseguire NAT per un dell'intervallo di indirizzi IP secondari della subnet utilizzata dall'interfaccia di rete della VM, il gateway esegue NAT per qualsiasi intervallo IP alias dall'istanza secondaria della subnet Intervallo di indirizzi IP.
Poiché un gateway Private NAT è configurato per eseguire NAT per tutti gli indirizzi IP di intervalli della subnet utilizzata dall'interfaccia di rete della VM, il gateway NAT per tutti gli intervalli IP di quella subnet.
Cloud NAT regola il numero minimo di porte per istanza VM necessario. Se è configurata l'allocazione statica delle porte e il gateway esegue NAT per intervalli IP alias che hanno più di un indirizzo (netmask minore di /32), Cloud NAT regola il numero minimo di porte per VM in modo che sia il numero massimo questi due valori:
- Il numero minimo di porte per istanza VM specificate
- Il numero 1024
In tutte le altre situazioni, anche quando è configurata l'allocazione dinamica delle porte, il gateway Cloud NAT passa al passaggio successivo utilizzando il numero minimo specificato di porte per istanza VM come input. Se non specifichi numero minimo di porte per istanza VM, viene utilizzato il valore predefinito: 64 per la porta statica e 32 per l'allocazione dinamica delle porte.
Cloud NAT prenota tuple di porte di origine e di indirizzo IP di origine NAT per ogni VM. Il gateway Cloud NAT utilizza il numero minimo specificato o modificato porte per istanza VM del passaggio precedente per calcolare il numero di NAT tuple di porte di origine e di indirizzo IP di origine da assegnare alla VM.

Per Public NAT, Google Cloud alloca l'IP di origine NAT di destinazione e tuple di porte di origine utilizzando multipli di potenze di due, quindi il numero L'indirizzo IP di origine NAT e le tuple di porte di origine sono maggiori o uguali al il numero minimo di porte per istanza VM specificato.

Per Private NAT, Google Cloud alloca il doppio del numero di richieste il numero minimo di porte per VM, per garantire l'affidabilità. Assicurati che la subnet da cui NAT privato che assegna indirizzi IP e le porte sono dimensionate in modo appropriato.
- Se il gateway Cloud NAT utilizza due o più indirizzi IP NAT, possibile che l'indirizzo IP di origine NAT e le tuple di porte di origine su più di un indirizzo IP NAT. Un singolo indirizzo IP NAT potrebbe non disporre di un numero sufficiente porte di origine disponibili per contenere il numero di indirizzi IP di origine NAT e le tuple di porte di origine necessarie per una VM.
- Il gateway Cloud NAT alloca l'indirizzo IP di origine e la porta di origine tuple su ogni VM.
  - Se hai configurato l'allocazione statica delle porte, il numero di IP di origine e le tuple di porte di origine sono fisse. Ogni VM può utilizzare al massimo il suo di tuple di indirizzi IP di origine e di porte di origine, anche durante burst di traffico.
  - Se hai configurato l'allocazione dinamica delle porte, il numero di IP di origine e le tuple di porte di origine possono cambiare in base alla domanda. Se una VM viene quasi esaurita l'attuale allocazione delle porte, Cloud NAT alloca porte aggiuntive, fino al numero massimo di porte per VM specificate istanza. Quando l'utilizzo delle porte della VM viene ridotto al di sotto di una soglia, vengono rilasciate e possono essere allocate ad altre VM.

Aumentare le porte per VM

Se hai configurato un gateway Cloud NAT con l'allocazione statica delle porte, quando si aumenta il numero minimo di porte per VM sul gateway, interruzione del traffico.

Se hai configurato un gateway Cloud NAT con porta dinamica allocazione, con conseguente aumento del numero minimo, massimo o di entrambe le porte per VM non interrompe le connessioni NAT esistenti né interrompe il traffico che passa il gateway NAT.

Considera quanto segue quando aumenti il numero di porte della VM:

Se utilizzi Public NAT con l'assegnazione manuale di indirizzi IP NAT, devi calcolare il numero di indirizzi IP di origine NAT di cui hai bisogno. Prima di aumentare il numero minimo di porte per VM, assegna almeno un numero il numero di indirizzi IP NAT al gateway Public NAT.
Quando utilizzi Public NAT con allocazione automatica degli indirizzi IP NAT, aumentando numero minimo di porte per VM fa sì che il gateway Public NAT acquisisca e allocano automaticamente altri indirizzi IP esterni a livello di regione.
Quando utilizzi Private NAT, assicurati che la subnet da cui il gateway alloca Gli indirizzi IP hanno un numero adeguato di indirizzi IP.

Riduci le porte per VM

Se hai configurato un gateway Cloud NAT con l'allocazione statica delle porte, e il numero minimo di porte per VM sul gateway viene ridotto, la connessione svuotando la rete. Le connessioni NAT stabilite si interrompono immediatamente e i client devono stabilire nuove connessioni TCP.

Se hai configurato un gateway Cloud NAT con porta dinamica all'allocazione, le seguenti affermazioni sono vere:

La riduzione del numero minimo di porte per VM non interrompe il servizio NAT esistente o interrompere il traffico che passa attraverso il gateway NAT.
La riduzione del numero massimo di porte per VM interrompe tutte le connessioni NAT esistenti e il numero di porte allocate per tutte le VM viene reimpostato temporaneamente al valore specificato per il numero minimo di porte per VM.

Porte e connessioni

Il numero di tuple di indirizzi IP di origine NAT e di porte di origine a cui un Il gateway Cloud NAT riserva per una VM limita il numero di connessioni che la VM può effettuare in una destinazione univoca:

Per destinazione unica si intende una tripla univoca costituita da un IP di destinazione un indirizzo IP, una porta di destinazione e un protocollo IP (ad esempio TCP o UDP).
Per connessione si intende una 5 tuple univoca costituita dall'indirizzo IP di origine NAT e tupla di porte di origine combinata con una tupla a 3 tuple di destinazione univoca. Poiché Il protocollo UDP è senza connessione, il concetto di connessione è ridotto a un 5 tuple associate a un datagramma UDP univoco.

Supponiamo che un gateway Cloud NAT calcoli 1024 per il numero fisso di porte per una VM seguendo la prenotazione delle porte di sicurezza. Il gateway Cloud NAT prenota 1024 combinazioni univoche di tuple di porte di origine e di indirizzo IP di origine NAT per la VM. Il gateway Cloud NAT può elaborare 1024 file simultanei a ciascuna destinazione unica a 3 tuple. Tuttavia, Cloud NAT considera le connessioni chiuse inutilizzabili per 120 secondi dopo la chiusura della connessione, il che può influire sul numero di connessioni in uso alla volta.

Esempi:

Il gateway supporta 1024 connessioni simultanee all'indirizzo IP di destinazione 203.0.113.99 sulla porta 80 che utilizza il protocollo TCP.
Il gateway supporta altre 1024 connessioni simultanee allo stesso gateway sull'indirizzo IP di destinazione sulla porta 443, utilizzando anche il protocollo TCP.
Il gateway supporta altre 1024 connessioni simultanee a un sull'indirizzo IP di destinazione sulla porta 80, utilizzando anche il protocollo TCP.

Riutilizzo simultaneo delle porte e mappatura indipendente dagli endpoint

Purché almeno un'informazione nella tre tupla di destinazione cambia: l'indirizzo IP di destinazione, la porta di destinazione, lo stesso indirizzo IP di origine NAT e la stessa tupla di porte di origine possono essere utilizzati contemporaneamente per molte connessioni diverse.

Il NAT pubblico utilizza la mappatura indipendente dagli endpoint, come definito in Sezione 2.3 di RFC 5128. Come il risultato è il numero di connessioni simultanee che una VM client può effettuare verso una destinazione unica La 3 tupla potrebbe essere ridotta se Public NAT assegna la stessa origine NAT indirizzo IP e tupla di porte di origine a più di uno l'indirizzo IP interno e la porta di origine temporanea di una VM client. La possibilità di questo aumento se la VM client ha un elevato numero di origini interne indirizzi IP ed effettua numerose connessioni alla stessa destinazione A 3 tupla. La prima volta che una VM client invia un pacchetto da un indirizzo IP interno e una porta di origine temporanea, Public NAT crea mappatura indipendente dagli endpoint tra i seguenti:

Indirizzo IP interno e tupla di porte di origine temporanea
Un indirizzo IP di origine NAT univoco e una tupla di porte di origine

Ad esempio, quando una VM client invia un pacchetto dal proprio indirizzo IP interno 10.0.0.2 utilizzando la porta di origine temporanea 10001, il servizio NAT pubblico assegna 10.0.0.2:10001. Vengono quindi utilizzate questo indirizzo IP di origine NAT e questa tupla di porte di origine per tutte le connessioni successive da 10.0.0.2:10001 a qualsiasi destinazione a 3 tuple.

Ad esempio, se la stessa VM utilizza una porta di origine temporanea diversa per inviare un pacchetto 10.0.0.2:20002, Public NAT assegna anche un indirizzo IP di origine NAT e tupla delle porte di origine per tutte le connessioni successive da 10.0.0.2:20002 a qualsiasi destinazione a 3 tuple. È possibile che Public NAT assegni stesso indirizzo IP di origine NAT e tupla di porte di origine su entrambi questi IP interni da un indirizzo IP e dalle tuple di porte di origine temporanee che causano un conflitto indipendente dagli endpoint in determinate situazioni.

Per un esempio più dettagliato, consulta Esempio di conflitto di mappatura indipendente dagli endpoint.

Riduci i conflitti indipendenti degli endpoint

Puoi apportare modifiche alla configurazione per ridurre i conflitti indipendenti dagli endpoint. Per ulteriori informazioni, consulta Pacchetti eliminati indipendentemente dall'endpoint del motivo in conflitto.

Ritardo per riutilizzo della porta di origine TCP

Dopo che un gateway Cloud NAT chiude una connessione TCP, Google Cloud applica un ritardo prima che il gateway possa riutilizzare lo stesso indirizzo IP di origine NAT tupla di porte di origine con la stessa destinazione (indirizzo IP di destinazione, destinazione porta e protocollo). La durata del ritardo è controllata dalla funzione TCP TIME_WAIT Timeout.

Se necessario, puoi ridurre questo ritardo modificando il valore predefinito dell'attributo TCP TIME_WAIT Timeout. Per informazioni su come modificare i timeout NAT, consulta Modifica i timeout NAT. In alternativa, puoi apportare una delle seguenti modifiche:

Aumenta il numero minimo di porte per istanza VM in modo che la porta di prenotazione assegna alla VM Indirizzo IP di origine NAT e tuple di porte di origine.
Se una VM deve aprire e chiudere rapidamente le connessioni TCP tra l'indirizzo IP e la porta di destinazione utilizzando lo stesso protocollo, anziché Cloud NAT, assegna un indirizzo IP esterno VM e usare regole firewall per limitare il traffico in entrata non richiesto e connessioni a Internet.

Porte di origine e sicurezza

Se come misura di sicurezza ti affidi alla randomizzazione delle porte di origine, devi tieni in considerazione quanto segue:

Aumenta il numero minimo di porte per istanza VM in modo che la porta di prenotazione assegna alla VM Indirizzo IP di origine NAT e tuple di porte di origine. Aumentare il numero minimo di per istanza VM assegna un intervallo di porte in modo casuale a ogni VM; ma la porta di origine scelta da questo intervallo è sequenziale.
Assegna un indirizzo IP esterno al VM invece di utilizzare Public NAT.

Esempi

I seguenti esempi dimostrano come Cloud NAT prenota l'IP di origine NAT indirizzi IP e porte di origine per una VM e come esegue la NAT per i pacchetti inviati su internet.

Prenotazione porte

I seguenti esempi dimostrano l'applicazione della prenotazione delle porte di sicurezza.

Supponiamo che tu stia configurando un gateway Public NAT per fornire NAT per di indirizzi IP principali di una subnet, mentre le VM che la utilizzano Avere qualsiasi intervallo IP alias dell'intervallo di indirizzi IP principali della subnet. Arrotondamento per difetto il risultato di qualsiasi operazione di divisione al numero intero più vicino. ⌊⌋ è il prezzo minimo (numero intero più grande) , cioè scartare qualsiasi risultato frazionario di una divisione.

Se configuri il gateway Public NAT con un singolo indirizzo IP NAT utilizzando l'assegnazione manuale e imposti il numero minimo di porte per VM istanza 64, il gateway può fornire servizi NAT per un massimo di 1008 VM:

⌊(1 indirizzo IP NAT) × (64.512 porte per indirizzo) / (64 porte per VM)⌋ = 1008 VM
Se devi supportare più di 1008 VM, puoi assegnare un secondo IP NAT al gateway Cloud NAT. Con due indirizzi IP NAT, mantenendo il numero minimo di porte per VM a 64, puoi supportare 2016 VM:

⌊(2 indirizzi IP NAT) × (64.512 porte per indirizzo) / (64 porte per VM)⌋ = 2016 VM
Se imposti il numero minimo di porte per VM su 4096, ciascun indirizzo IP NAT supportando 15 VM. Questo calcolo viene arrotondato per difetto al numero intero più vicino:

⌊(1 indirizzi IP NAT) × (64.512 porte per indirizzo) / (4096 porte per VM)⌋ = 15 VM

Supponiamo che tu stia configurando un gateway Private NAT per fornire NAT per tutti gli indirizzi IP di una subnet:

La dimensione minima della subnet che puoi creare è otto indirizzi IPv4, ovvero subnet mask di /29. Se configuri un gateway Private NAT con una subnet NAT e imposti il numero minimo di porte per istanza VM su 64. il gateway può fornire servizi NAT per un massimo di 2016 VM:

⌊(2^(32-29) - 4) Indirizzi IP NAT × (64.512 porte per indirizzo) / (64 porte per VM × 2)⌋ = 2016 VM

Nota: esistono quattro indirizzi IP inutilizzabili in una subnet NAT, quindi il numero di indirizzi IP disponibili è 2(³² - PREFIX_LENGTH) - 4.
Google Cloud alloca il doppio del numero di porte richieste per VM per l'affidabilità.

Nell'esempio precedente, se imposti il numero minimo di porte per istanza VM alla versione 1024, il gateway può fornire servizi NAT per un massimo di 126 VM:

⌊(2^(32-29) - 4) Indirizzi IP NAT × (64.512 porte per indirizzo) / (1024 porte per VM × 2)⌋ = 126 VM
Se configuri un gateway Private NAT con una subnet mask NAT di /28 e impostare il numero minimo di porte per istanza VM su 64, il gateway può Servizi NAT per un massimo di 6048 VM:

⌊(2^(32-28) - 4) Indirizzi IP NAT × (64.512 porte per indirizzo) / (64 porte per VM × 2)⌋ = 6048 VM

Conflitto di mappatura indipendente dagli endpoint

L'esempio seguente illustra come la mappatura indipendente dagli endpoint potrebbe ridurre il numero di connessioni simultanee da una VM client alla stessa destination 3-tuple, anche quando il numero di origini NAT gratuite è sufficiente Tuple di porte di indirizzo IP e origine disponibili per la VM client.

Supponi di aver configurato un gateway Public NAT per fornire NAT per di indirizzi IP principali di una subnet. Hai creato una VM client con interfaccia di rete il cui indirizzo IP interno principale è 10.0.0.2 una subnet. La VM di esempio non ha un indirizzo IP esterno assegnato alla sua interfaccia di rete.

La VM apre una connessione con le seguenti caratteristiche:
- Porta e indirizzo IP interno di origine: 10.0.0.2:10001
- 3 tuple di destinazione: 203.0.113.1:80 tramite TCP
- Il servizio NAT pubblico utilizza i seguenti indirizzi IP di origine NAT e porta di origine tupla: 192.0.2.10:30009
La VM apre una seconda connessione con queste caratteristiche:
- Porta e indirizzo IP interno di origine: 10.0.0.2:10002
- 3 tuple di destinazione: 203.0.113.2:80 tramite TCP
- Public NAT potrebbe scegliere di utilizzare lo stesso indirizzo IP di origine NAT e tupla di porta di origine,192.0.2.10:30009, anche per questa connessione. L'utilizzo del stesso indirizzo IP di origine NAT e tupla di porte di origine per un IP client diverso e una porta di origine temporanea.
Mentre entrambe le connessioni sono attive, Public NAT non può aprire una terza connessione TCP con questi caratteristiche:
- Indirizzo IP interno di origine e stessa porta della prima connessione: 10.0.0.2:10001
- Stessa destinazione a 3 tuple della seconda connessione: 203.0.113.2:80 tramite TCP
Questo terzo tentativo di connessione viene interrotto con un endpoint indipendente a causa dell'errore di conflitto poiché la mappatura indipendente dagli endpoint stabilita la prima connessione richiede che tutte le connessioni da 10.0.0.2:10001 debbano utilizzare stesso indirizzo IP di origine NAT e tupla di porte di origine, 192.0.2.10:30009. Tuttavia, 192.0.2.10:30009 è già utilizzato dalla seconda connessione TCP a 203.0.113.2:80.
Per eliminare l'ambiguità, un successivo tentativo di connessione in questo esempio solo se una delle seguenti condizioni è vera:
- La prima connessione TCP è stata chiusa. La chiusura della connessione rimuove mappatura indipendente dagli endpoint tra 10.0.0.2:10001 e 192.0.2.10:30009 in modo che la terza connessione possa essere mappata a un altro indirizzo IP di origine NAT tupla di porte di origine per comunicare con 203.0.113.2:80 tramite TCP.
- La seconda connessione TCP è stata chiusa. La chiusura della connessione libera 10.0.0.2:10001 per utilizzare l'indirizzo IP di origine NAT e la porta di origine 192.0.2.10:30009 comunicare con 203.0.113.2:80 tramite TCP.
- Il terzo tentativo di connessione seleziona un'origine temporanea (interna) diversa una porta. In questo esempio, una mappatura indipendente dagli endpoint ha stabilito un mappatura many-to-one per indirizzi IP e porte di origine NAT interni 10.0.0.2:10001 e 10.0.0.2:10002 per utilizzare 192.0.2.10:30009 quando comunicando con 203.0.113.2:80 tramite TCP. Se la terza connessione utilizza una porta di origine temporanea diversa da 10001 e 10002, è possibile che un indirizzo IP di origine NAT e una porta di origine diversi può essere utilizzato per comunicare con 203.0.113.2:80 tramite TCP.
- Disattivare l'indipendenza degli endpoint. L'attivazione/disattivazione consente connessione da 10.0.0.2:10001 a non dover utilizzare 192.0.2.10:30009, consentendo di usare porta e indirizzo IP di origine NAT diversi.

Per conoscere le tecniche utili per evitare conflitti, consulta Riduzione dei conflitti indipendenti degli endpoint.

Passaggi successivi

Configura un gateway Public NAT.
Configura un gateway Private NAT.
Crea una configurazione di Compute Engine di esempio.
Crea una configurazione GKE di esempio.
Risolvi i problemi comuni.