Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Indirizzi IP e porte

In questa pagina viene descritto in che modo i gateway Cloud NAT utilizzano gli indirizzi IP esterni e in che modo allocano le porte di origine alle istanze delle macchine virtuali (VM) di Compute Engine e ai nodi Google Kubernetes Engine (GKE) che utilizzano i gateway.

Prima di esaminare queste informazioni, consulta la panoramica di Cloud NAT.

Indirizzi IP NAT

Un indirizzo IP NAT è un indirizzo IP esterno a livello di area geografica, instradabile su Internet. Una VM senza indirizzo IP esterno, in una subnet (subnet) fornita da un gateway Cloud NAT, utilizza un indirizzo IP NAT quando invia i pacchetti a una destinazione su Internet.

Per assegnare gli indirizzi IP NAT a un gateway Cloud NAT, utilizza uno dei seguenti metodi:

  • Allocazione automatica degli indirizzi IP NAT. Quando selezioni questa opzione o scegli i valori predefiniti di Google Cloud, Cloud NAT aggiunge automaticamente indirizzi IP esterni a livello di regione al tuo gateway in base al numero di VM che utilizzano il gateway e al numero di porte prenotate per ciascuna VM. Inoltre, rimuove automaticamente un indirizzo IP NAT quando non ha più bisogno di porte di origine su quell'indirizzo IP NAT.

    • Quando un gateway Cloud NAT aggiunge un indirizzo IP NAT, viene creato un indirizzo IP esterno a livello di area geografica (prenotato). Gli indirizzi IP NAT aggiunti automaticamente possono essere visualizzati nell'elenco di indirizzi IP esterni statici. Questi indirizzi incidono sulle quote per progetto.
    • Con l'allocazione automatica, non puoi prevedere il prossimo indirizzo IP assegnato. Se hai bisogno di conoscere il set di possibili indirizzi IP NAT in anticipo (ad esempio, per creare una lista consentita), dovresti utilizzare l'assegnazione manuale degli indirizzi IP NAT.
    • Quando gli indirizzi IP NAT aggiunti automaticamente non vengono più utilizzati, vengono rimossi. Tuttavia, Cloud NAT alloca un indirizzo solo quando l'ultima VM assegnata non usa più porte. Di conseguenza, quando il numero di VM che utilizzano Cloud NAT diminuisce, potresti non visualizzare una riduzione degli indirizzi IP perché Cloud NAT non rialloca le VM in modo dinamico da un indirizzo IP a un altro, perché la riassegnazione interrompe le connessioni stabilite. Se almeno una VM utilizza un indirizzo IP, l'indirizzo IP rimane attivo e può essere assegnato a una nuova VM.

      Se vuoi riuscire a riassegnare manualmente le VM da un indirizzo IP a un altro, per ridurre al minimo l'utilizzo dell'indirizzo IP, utilizza le assegnazioni manuali degli indirizzi IP NAT. Consente lo svuotamento manuale degli indirizzi IP NAT.

    • Se in seguito passi all'assegnazione manuale degli indirizzi IP NAT, gli indirizzi IP esterni a livello di area geografica prenotati automaticamente vengono eliminati. Per ulteriori informazioni, consulta la sezione Cambiare il metodo di assegnazione.

  • Assegnazione manuale dell'indirizzo IP NAT. Quando selezioni questa opzione, crei e assegni manualmente indirizzi IP esterni a livello di regione statici (prenotati) al tuo gateway Cloud NAT. Puoi aumentare o diminuire il numero di indirizzi IP NAT assegnati manualmente modificando il gateway Cloud NAT.

    • Quando utilizzi l'assegnazione manuale degli indirizzi IP NAT, devi calcolare il numero di indirizzi IP esterni a livello di area geografica di cui hai bisogno per il gateway Cloud NAT. Se il gateway esaurisce gli indirizzi IP NAT, Cloud NAT elimina i pacchetti. I pacchetti persi vengono registrati quando utilizzi il log di Cloud NAT per attivare il logging degli errori.
    • Per i calcoli di esempio, vedi l'esempio di prenotazione delle porte.

Per il numero massimo di indirizzi IP NAT assegnati o assegnati automaticamente, consulta i limiti di Cloud NAT.

Cambio del metodo di assegnazione

Puoi spostare un gateway Cloud NAT dall'assegnazione automatica degli indirizzi IP NAT all'assegnazione manuale degli indirizzi IP NAT; tuttavia, gli indirizzi IP NAT non possono essere conservati. Anche se gli indirizzi IP NAT assegnati automaticamente sono statici, non possono essere spostati in un'assegnazione manuale di indirizzi IP NAT. Ad esempio, non puoi iniziare a utilizzare un gateway Cloud NAT con indirizzi IP NAT assegnati automaticamente e successivamente utilizzare gli stessi indirizzi quando passi al gateway NAT per indirizzi IP NAT assegnati manualmente.

Il set di indirizzi IP esterni a livello di regione utilizzati da Cloud NAT per l'allocazione automatica degli indirizzi IP NAT è diverso dal set di indirizzi IP esterni a livello di regione che puoi scegliere manualmente.

Svuotamento degli indirizzi IP NAT

Quando configuri un gateway Cloud NAT con l'assegnazione manuale di indirizzi IP NAT, puoi scegliere cosa fare quando devi ridurre il numero di indirizzi IP NAT utilizzati dal gateway:

  • Se rimuovi un indirizzo IP NAT assegnato manualmente, le connessioni NAT stabilite vengono interrotte immediatamente.

  • Puoi invece scegliere di svuotare un indirizzo IP NAT assegnato manualmente. Lo svuotamento indica al gateway Cloud NAT di smettere di utilizzare l'indirizzo IP NAT per le nuove connessioni, ma continua a utilizzarlo per le connessioni stabilite. Le connessioni stabilite possono chiudersi normalmente invece di essere terminate improvvisamente. Per scaricare un indirizzo IP associato a un gateway NAT che non utilizza regole NAT, consulta Svuotare gli indirizzi IP esterni associati a NAT. Per scaricare un indirizzo IP associato a un gateway NAT che utilizza regole NAT, consulta la sezione Aggiornare le regole NAT.

Porte

Ogni indirizzo IP NAT su un gateway Cloud NAT offre 64.512 porte di origine TCP e 64.512 porte di origine UDP. TCP e UDP supportano ciascuna 65.536 porte per indirizzo IP, ma Cloud NAT non utilizza le prime 1024 porte note (con privilegi).

Quando un gateway Cloud NAT esegue la traduzione dell'indirizzo di rete (SNAT) di origine su un pacchetto inviato da una VM, modifica l'indirizzo IP di origine e la porta di origine del pacchetto.

Quando crei un gateway Cloud NAT, scegli se utilizzare l'allocazione delle porte statiche o l'assegnazione dinamica delle porte.

Allocazione statica delle porte

Quando configuri l'allocazione statica delle porte, devi specificare un numero minimo di porte per istanza VM.

Dato che tutte le VM hanno lo stesso numero di porte assegnate, l'allocazione statica delle porte funziona meglio se tutte le VM hanno un utilizzo Internet simile. Se alcune VM utilizzano più porte di altre, le porte nel gateway Cloud NAT potrebbero essere sottoutilizzate. Se l'utilizzo di Internet varia, valuta la possibilità di configurare l'allocazione dinamica delle porte.

Se vuoi configurare la mappatura indipendente dagli endpoint sul gateway, devi utilizzare l'allocazione statica delle porte.

Allocazione dinamica delle porte

Quando configuri l'allocazione dinamica delle porte, specifichi un numero minimo di porte per istanza VM e un numero massimo di porte per istanza VM.

La configurazione dell'allocazione dinamica delle porte consente allo stesso gateway di Cloud NAT di assegnare numeri diversi di porte per VM in base all'utilizzo di quest'ultima. Inizialmente, a una VM viene assegnato il numero minimo di porte per istanza VM. Se una VM sta per esaurire tutte le porte ad essa assegnate, il numero di porte assegnate alla VM raddoppia. La VM può richiedere più porte fino al numero massimo di porte per istanza VM. Quando l'utilizzo della porta diminuisce in modo significativo, le porte vengono allocate e possono essere allocate ad altre VM che utilizzano lo stesso gateway NAT.

L'allocazione dinamica delle porte offre i seguenti vantaggi:

  • Il numero di porte allocate ma non utilizzate viene ridotto.

  • Il gateway NAT monitora l'utilizzo delle porte di ogni VM e modifica il numero di porte allocate a ciascuna VM in base alle esigenze. Non è necessario monitorare l'utilizzo della porta o modificare la configurazione del gateway NAT.

Prima di utilizzare l'allocazione dinamica delle porte, considera quanto segue:

Procedura di prenotazione delle porte

Cloud NAT utilizza questa procedura per il provisioning di indirizzi IP di origine e di tupla porta sorgente per ogni VM utilizzata dal gateway Cloud NAT.

  1. Cloud NAT determina gli indirizzi IP interni delle VM per cui deve essere eseguito NAT. Gli indirizzi IP interni delle VM sono determinati dagli intervalli di indirizzi IP delle subnet che il gateway è stato configurato per la pubblicazione.

    • Se il gateway Cloud NAT è configurato per eseguire NAT per l'intervallo di indirizzi IP principali della subnet utilizzata dall'interfaccia di rete della VM, verrà eseguito NAT sia per sia per l'indirizzo IP interno principale della VM sia per qualsiasi intervallo IP alias della VM.

    • Se il gateway Cloud NAT è configurato per eseguire NAT per un intervallo di indirizzi IP secondari della subnet utilizzata dall'interfaccia di rete di VM, il gateway esegue NAT per qualsiasi intervallo IP alias della subnet della subnet.

  2. Cloud NAT regola le porte minime per istanza VM, se necessario. Se è configurata l'allocazione statica delle porte e il gateway esegue NAT per intervalli IP alias con più di un indirizzo (netmask inferiore a /32), Cloud NAT regola le porte minime per VM in modo che siano il numero massimo di questi due valori:

    • La numero minimo di porte per istanza VM specificata

    • Il numero 1024

    In tutte le altre situazioni, anche quando è configurata l'allocazione dinamica delle porte, il gateway Cloud NAT procede al passaggio successivo utilizzando come input il numero minimo di porte specificate per istanza VM. Se il numero minimo di porte per istanza VM non è specificato, viene utilizzato il valore predefinito; 64 per l'allocazione statica delle porte e 32 per l'allocazione dinamica delle porte.

  3. Cloud NAT prenota indirizzo IP di origine NAT e tupla porta di origine per ogni VM. Il gateway Cloud NAT utilizza le porte minime o modificate per istanza VM del passaggio precedente per calcolare il numero di indirizzi IP di origine NAT e tupla porte di origine da assegnare alla VM.

    Cloud NAT alloca l'indirizzo IP e le tuple della porta di origine NAT utilizzando più potenze di due, in modo che il numero di tupla degli indirizzi IP e delle porte di origine NAT sia superiore o uguale al numero minimo di porte per istanza VM specificata.

    • È possibile che le tuplare dell'indirizzo IP di origine e della porta di origine coprano più di un indirizzo IP NAT se il gateway Cloud NAT utilizza due o più indirizzi IP NAT. Un singolo indirizzo IP NAT potrebbe non avere porte di origine disponibili sufficienti per supportare il numero di tuple di origine e di tupla porta di origine di cui una VM ha bisogno.

    • Il gateway Cloud NAT alloca l'indirizzo IP di origine e le coppie di porte di origine a ciascuna VM.

      • Se hai configurato l'allocazione statica delle porte, il numero di indirizzi IP di origine e le tupla porte di origine è fisso. Ogni VM non può utilizzare più del numero allocato di indirizzi IP di origine e tupla porte di origine, anche durante i burst del traffico.

      • Se hai configurato l'allocazione dinamica delle porte, il numero di indirizzi IP e le tupla porte di origine può cambiare in base alla domanda. Se una VM sta per esaurire l'attuale allocazione delle porte, Cloud NAT alloca ulteriori porte fino al valore specificato per numero massimo di porte per istanza VM. Dopo che l'utilizzo delle porte della VM si è ridotto al di sotto di una soglia, le porte vengono rilasciate e possono essere allocate ad altre VM.

Aumento delle porte per VM

Se hai configurato un gateway Cloud NAT con allocazione statica delle porte, quando aumenti le porte minime per VM sul gateway, il traffico non subisce interruzioni.

Se hai configurato un gateway Cloud NAT con l'allocazione dinamica delle porte, ulteriori modifiche alla configurazione potrebbero interrompere il traffico. Quando viene apportata una modifica alla configurazione, il numero di porte attualmente assegnate a ogni VM potrebbe essere temporaneamente reimpostato sul numero minimo configurato.

Con l'allocazione statica e dinamica delle porte, devi assicurarti che il gateway abbia un numero sufficiente di indirizzi IP NAT se utilizzi l'assegnazione manuale degli indirizzi IP NAT:

  • Quando utilizzi l'assegnazione manuale degli indirizzi IP NAT, devi calcolare il numero di indirizzi IP di origine NAT di cui hai bisogno. Prima di aumentare il numero minimo di porte per VM, assegna almeno molti indirizzi IP NAT al gateway Cloud NAT.

  • Quando utilizzi l'allocazione automatica degli indirizzi IP NAT, l'aumento del numero minimo di porte per VM fa sì che il gateway Cloud NAT acquisisca e alloca automaticamente più indirizzi IP esterni a livello di regione.

Riduzione delle porte per VM

Se hai configurato un gateway Cloud NAT con allocazione statica delle porte e riduci le porte minime per VM sul gateway, non sarà presente alcun consumo di connessione. Le connessioni NAT stabilite vengono immediatamente interrotte e i client devono stabilire nuove connessioni TCP.

Se hai configurato un gateway Cloud NAT con l'allocazione dinamica delle porte, ulteriori modifiche alla configurazione potrebbero interrompere il traffico. Quando viene apportata una modifica alla configurazione, il numero di porte attualmente assegnate a ogni VM potrebbe essere temporaneamente reimpostato sul numero minimo configurato.

Porte e connessioni

Il numero di tupla porte e indirizzi IP di origine NAT che un gateway Cloud NAT prenota per una VM limita il numero di connessioni che la VM può effettuare a una destinazione univoca:

  • Una destinazione univoca indica una 3 tupla univoca composta da un indirizzo IP di destinazione, una porta di destinazione e un protocollo IP (come TCP o UDP).

  • Una connessione indica una 5 tupla univoca composta dall'indirizzo IP di origine NAT e dalla tupla porta di origine combinata con una 3 tuple di destinazione univoca. Poiché il protocollo UDP è senza connessione, il concetto di connessione viene ridotto a un 5 tuple associato a un datagram UDP univoco.

Supponiamo che un gateway Cloud NAT calcoli un numero fisso di 1024 porte per una VM seguendo la procedura di prenotazione delle porte. Il gateway Cloud NAT riserva 1024 combinazioni univoche di indirizzo IP di origine NAT e tupla porta di origine per la VM. Il gateway Cloud NAT può elaborare 1024 connessioni simultanee a ogni 3 tuple di destinazione univoca. Tuttavia, Cloud NAT considera le connessioni chiuse inutilizzabili per 120 secondi dopo la chiusura delle connessioni, il che può influire sul numero di connessioni in uso alla volta.

Esempi:

  • Il gateway supporta 1024 connessioni simultanee all'indirizzo IP di destinazione 203.0.113.99 sulla porta 80 utilizzando il protocollo TCP.

  • Il gateway supporta altre 1024 connessioni simultanee allo stesso indirizzo IP di destinazione sulla porta 443, utilizzando anche il protocollo TCP.

  • Il gateway supporta altre 1024 connessioni simultanee a un indirizzo IP di destinazione diverso sulla porta 80, utilizzando anche il protocollo TCP.

Riutilizzo simultaneo delle porte e mappatura indipendente dagli endpoint

Se almeno un'informazione nella destinazione di tre tuffi cambia, l'indirizzo IP di destinazione, la porta di destinazione e il protocollo, lo stesso indirizzo IP di origine NAT e la tupla porta di origine possono essere utilizzati contemporaneamente per molte connessioni diverse.

Poiché Cloud NAT utilizza la mappatura indipendente dagli endpoint, come definito nella sezione 2.3 della RFC 5128, il numero di connessioni simultanee che una VM client può effettuare a una destinazione univoca potrebbe essere ridotto a 3 tuple se Cloud NAT assegna lo stesso indirizzo IP di origine e la tupla porta di origine a più di un indirizzo IP interno e a una porta di origine temporanea di una VM client. Le possibilità che ciò si verifichino se la VM client ha un numero elevato di indirizzi IP di origine interni e crea un numero elevato di connessioni alla stessa tupla di destinazione. La prima volta che una VM client invia un pacchetto da un indirizzo IP interno e da una porta di origine temporanea, Cloud NAT crea una mappatura indipendente tra endpoint indipendente, tra le seguenti:

  • L'indirizzo IP interno e la tupla porta di origine temporanea
  • Un indirizzo IP di origine NAT e una tupla porta di origine

Ad esempio, quando una VM client invia un pacchetto dal relativo indirizzo IP interno 10.0.0.2 utilizzando la porta di origine temporanea 10001, Cloud NAT assegna a 10.0.0.2:10001 un indirizzo IP di origine NAT e una tupla porta di origine da utilizzare per tutte le connessioni successive da 10.0.0.2:10001 a qualsiasi tupla di destinazione.

Se la stessa VM utilizza una porta di origine temporanea diversa per inviare un pacchetto, ad esempio 10.0.0.2:20002, Cloud NAT assegna anche un indirizzo IP di origine NAT e una tupla porta di origine per tutte le connessioni successive da 10.0.0.2:20002 a qualsiasi tupla 3 di destinazione. È possibile che Cloud NAT possa assegnare lo stesso indirizzo IP di origine NAT e la tupla porta di origine a entrambi questi tufo indirizzi interni e tupla porta sorgente temporanea. In alcune situazioni, ciò causa un conflitto indipendente di endpoint.

Per un esempio più dettagliato, vedi Esempio di conflitto di mappatura indipendente dagli endpoint.

Ridurre i conflitti indipendenti degli endpoint

Puoi apportare modifiche alla configurazione per ridurre i conflitti indipendenti degli endpoint. Per ulteriori informazioni, consulta la sezione Pacchetti eliminati con motivo dell'endpoint indipendente.

Ritardo per il riutilizzo della porta di origine TCP

Dopo che un gateway Cloud NAT chiude una connessione TCP, Google Cloud applica un ritardo prima che possa riutilizzare lo stesso indirizzo IP di origine NAT e la tupla porta di origine con la stessa destinazione (indirizzo IP di destinazione, porta di destinazione e protocollo). La durata del ritardo è controllata dall'impostazione TCP TIME_WAIT Timeout.

Se necessario, puoi ridurre questo ritardo oppure apportare una delle seguenti modifiche:

  • Aumenta il numero minimo di porte per istanza VM in modo che la procedura di prenotazione delle porte assegni alla VM più indirizzi IP di origine NAT e tupla porta sorgente.

  • Se una VM deve aprire e chiudere rapidamente le connessioni TCP allo stesso indirizzo IP di destinazione e alla porta di destinazione utilizzando lo stesso protocollo, devi assegnare un indirizzo IP esterno alla VM e utilizzare le regole del firewall per limitare le connessioni in entrata indesiderate invece di utilizzare Cloud NAT.

Porte di origine e sicurezza

Se utilizzi la randomizzazione delle porte di origine come misura di sicurezza, devi considerare quanto segue:

Esempi

Gli esempi seguenti mostrano come Cloud NAT prenota indirizzi IP e porte di origine NAT per una VM e come esegue NAT per i pacchetti inviati a Internet.

Prenotazione porte

Gli esempi seguenti illustrano le applicazioni della procedura di prenotazione delle porte.

Supponiamo che tu stia configurando un gateway Cloud NAT per fornire un NAT per l'intervallo di indirizzi IP principali di una subnet e che le VM che utilizzano quella subnet non abbiano intervalli IP alias compresi nell'intervallo di indirizzi IP principali della subnet. Arrotonda per difetto il risultato di qualsiasi operazione di divisione al numero intero più vicino. ⌊⌋ È la funzione Floor (il numero intero più grande), che scarta qualsiasi risultato frazionario della divisione.

  • Se configuri il gateway Cloud NAT con un singolo indirizzo IP NAT utilizzando l'assegnazione manuale e imposti il numero minimo di porte per istanza VM su 64, il gateway può fornire servizi NAT per un massimo di 1008 VM:

    ⌊(1 indirizzo IP NAT) × (64.512 porte per indirizzo) / (64 porte per VM)⌋ = 1008 VM

  • Se devi supportare più di 1008 VM, puoi assegnare un secondo indirizzo IP NAT al gateway Cloud NAT. Con due indirizzi IP NAT, mantenendo il numero minimo di porte per VM a 64, puoi supportare 2016 VM:

    ⌊(2 indirizzi IP NAT) × (64.512 porte per indirizzo) / (64 porte per VM)⌋ = 2016 VM

  • Se imposti un numero minimo di porte per VM su 4096, ogni indirizzo IP NAT può supportare 15 VM. Questo calcolo viene arrotondato per difetto al numero intero più vicino:

    ⌊(1 indirizzo IP NAT) × (64.512 porte per indirizzo) / (4096 porte per VM)⌋ = 15 VM

Conflitto di mappatura indipendente dagli endpoint

L'esempio seguente mostra come la mappatura indipendente degli endpoint potrebbe ridurre il numero di connessioni simultanee da una VM client alla stessa tupla di destinazione 3, anche quando è presente un numero sufficiente di tuple gratuito dell'indirizzo IP e della porta di origine NAT per la VM client.

Supponi di aver configurato un gateway Cloud NAT per fornire NAT per l'intervallo di indirizzi IP principali di una subnet. Hai creato una VM client con un'interfaccia di rete il cui indirizzo IP interno principale è 10.0.0.2 in quella subnet. La VM di esempio non ha un indirizzo IP esterno assegnato alla relativa interfaccia di rete.

  1. La VM apre una connessione con queste caratteristiche:

    • Porta e indirizzo IP interno di origine: 10.0.0.2:10001
    • Tupla di destinazione 3: 203.0.113.1:80 tramite TCP
    • Cloud NAT utilizza il seguente indirizzo IP e la tupla porta di origine NAT: 192.0.2.10:30009
  2. La VM apre una seconda connessione con le seguenti caratteristiche:

    • Porta e indirizzo IP interno di origine: 10.0.0.2:10002
    • Tupla di destinazione 3: 203.0.113.2:80 tramite TCP
    • Cloud NAT potrebbe scegliere di utilizzare lo stesso indirizzo IP di origine NAT e la tupla porta di origine,192.0.2.10:30009 anche per questa connessione. È possibile utilizzare lo stesso indirizzo IP di origine NAT e la tupla porta di origine per un indirizzo IP client e una porta di origine temporanei diversi.
  3. Se sono attive sia la prima che la seconda connessione, Cloud NAT non può aprire una terza connessione TCP con le seguenti caratteristiche:

    • Stesso indirizzo IP e porta interni dell'origine della prima connessione: 10.0.0.2:10001
    • Stessa tufo di destinazione a 3 punti della seconda connessione: 203.0.113.2:80 utilizzando TCP

    Questo terzo tentativo di connessione viene interrotto con un errore di conflitto indipendente dall'endpoint perché la mappatura indipendente dagli endpoint stabilita dalla prima connessione impone che tutte le connessioni da 10.0.0.2:10001 devono utilizzare lo stesso indirizzo IP di origine NAT e la tupla porta di origine, 192.0.2.10:30009, ma 192.0.2.10:30009 è già in uso nella seconda connessione TCP in 203.0.113.2:80.

  4. Per disorientare l'ambiguità, un tentativo di connessione successivo in questo esempio ha esito positivo purché una delle seguenti condizioni sia vera:

    • La prima connessione TCP è stata chiusa. Questa operazione rimuove la mappatura indipendente degli endpoint tra 10.0.0.2:10001 e 192.0.2.10:30009, in modo che la terza connessione possa essere mappata a un altro indirizzo IP di origine NAT e a una tupla porta di origine per comunicare con 203.0.113.2:80 utilizzando TCP.
    • La seconda connessione TCP è stata chiusa. In questo modo, 10.0.0.2:10001 potrà utilizzare l'indirizzo IP di origine NAT e la porta di origine 192.0.2.10:30009 per comunicare con 203.0.113.2:80 tramite TCP.
    • Il terzo tentativo di connessione seleziona una porta di origine temporanea (interna) diversa. In questo esempio, una mappatura indipendente degli endpoint ha stabilito una mappatura one-to-one per gli indirizzi IP e le porte di origine NAT interni 10.0.0.2:10001 e 10.0.0.2:10002 per utilizzare 192.0.2.10:30009 per la comunicazione con 203.0.113.2:80 tramite TCP. Se il terzo tentativo di connessione utilizza una porta di origine temporanea diversa da 10001 e 10002, c'è la possibilità che sia possibile utilizzare un indirizzo IP e una porta di origine NAT diversi per comunicare con 203.0.113.2:80 mediante TCP.
    • Attivazione/disattivazione dell'indipendenza dell'endpoint. Ciò consente alla nuova connessione da 10.0.0.2:10001 di non utilizzare 192.0.2.10:30009, che consente di utilizzare un indirizzo IP e una porta di origine NAT diversi.

Per le tecniche che puoi utilizzare per evitare conflitti, consulta la sezione Ridurre i conflitti indipendenti degli endpoint.

Flusso NAT

In questo esempio, una VM con indirizzo IP interno principale 10.240.0.4, senza un indirizzo IP esterno, deve scaricare un aggiornamento dall'indirizzo IP esterno 203.0.113.1. Hai configurato il gateway nat-gw-us-east nel seguente modo:

  • N. minimo di porte per istanza: 64
  • Sono stati assegnati manualmente due indirizzi IP NAT: 192.0.2.50 e 192.0.2.60.
  • È stato fornito un NAT per l'intervallo di indirizzi IP principali di subnet-1.
Esempio di traduzione di Cloud NAT (fai clic per ingrandire).
Esempio di traduzione di Cloud NAT (fai clic per ingrandire)

Cloud NAT segue la procedura di prenotazione delle porte per prenotare i seguenti indirizzi IP e sorgenti di porte di origine NAT per ogni VM nella rete. Ad esempio, il gateway Cloud NAT riserva 64 porte di origine per la VM con indirizzo IP interno 10.240.0.4. L'indirizzo IP NAT 192.0.2.50 ha 64 porte non prenotate, quindi il gateway riserva il seguente set di 64 coppie di porte e indirizzi IP di origine NAT per la VM:

  • Dal 192.0.2.50:34000 al 192.0.2.50:34063

Quando la VM invia un pacchetto al server di aggiornamento 203.0.113.1 sulla porta di destinazione 80, utilizzando il protocollo TCP, si verifica quanto segue:

  • La VM invia un pacchetto di richieste con i seguenti attributi:

    • Indirizzo IP di origine: 10.240.0.4, l'indirizzo IP interno principale della VM
    • Porta di origine: 24000, la porta di origine temporanea scelta dal sistema operativo della VM
    • Indirizzo di destinazione: 203.0.113.1, indirizzo IP esterno del server di aggiornamento
    • Porta di destinazione: 80, la porta di destinazione per il traffico HTTP verso il server di aggiornamento
    • Protocollo: TCP
  • Il gateway nat-gw-us-east esegue SNAT sul traffico in uscita, riscrivendo l'indirizzo IP e la porta di origine NAT del pacchetto richiesta. Il pacchetto modificato viene inviato a Internet se la rete VPC ha una route per la destinazione 203.0.113.1 il cui hop successivo è il gateway Internet predefinito. Un percorso predefinito di solito soddisfa questo requisito.

    • Indirizzo IP di origine NAT: 192.0.2.50, da uno degli indirizzi IP di origine e da una VM di origine riservati della VM
    • Porta di origine: 34022, una porta di origine inutilizzata da una delle tupla di origine della VM riservata.
    • Indirizzo di destinazione: 203.0.113.1, invariato
    • Porta di destinazione: 80, invariato
    • Protocollo: TCP, invariato
  • Quando il server di aggiornamento invia un pacchetto di risposta, tale pacchetto arriva sul gateway nat-gw-us-east con questi attributi:

    • Indirizzo IP di origine: 203.0.113.1, indirizzo IP esterno del server di aggiornamento
    • Porta di origine: 80, la risposta HTTP dal server di aggiornamento
    • Indirizzo di destinazione: 192.0.2.50, corrispondente all'indirizzo IP di origine NAT originale del pacchetto della richiesta
    • Porta di destinazione: 34022, corrispondente alla porta di origine del pacchetto della richiesta
    • Protocollo: TCP, invariato
  • Il gateway nat-gw-us-east esegue la traduzione degli indirizzi di rete (DNAT) di destinazione sul pacchetto di risposta, riscrivendo l'indirizzo di destinazione e la porta di destinazione del pacchetto di risposta in modo che il pacchetto venga consegnato alla VM:

    • Indirizzo IP di origine: 203.0.113.1, invariato
    • Porta di origine: 80, non modificata
    • Indirizzo di destinazione: 10.240.0.4, l'indirizzo IP interno principale della VM
    • Porta di destinazione: 24000, corrispondente alla porta di origine temporanea originale del pacchetto della richiesta
    • Protocollo: TCP, invariato

Passaggi successivi