Panoramica sulla porta e sugli indirizzi Cloud NAT

In questa pagina viene descritto in che modo i gateway Cloud NAT utilizzano gli indirizzi IP esterni e come allocano le porte di origine alle istanze delle macchine virtuali (VM) di Compute Engine e ai nodi Google Kubernetes Engine (GKE) che le utilizzano.

Prima di esaminare queste informazioni, consulta la panoramica di Cloud NAT.

Indirizzi IP NAT

Un indirizzo IP NAT è un indirizzo IP esterno a livello di area geografica, instradabile su Internet. Una VM senza indirizzo IP esterno, in una subnet (subnet) gestita da un gateway Cloud NAT, utilizza un indirizzo IP NAT quando invia pacchetti a una destinazione su Internet.

Per assegnare indirizzi IP NAT a un gateway Cloud NAT, utilizza uno dei seguenti metodi:

  • Allocazione automatica degli indirizzi IP NAT. Quando selezioni questa opzione o scegli le impostazioni predefinite di Google Cloud, Cloud NAT aggiunge automaticamente indirizzi IP esterni a livello di area geografica al gateway in base al numero di VM che utilizzano il gateway e al numero di porte riservate per ogni VM. Inoltre, rimuove automaticamente un indirizzo IP NAT quando non ha più bisogno di porte di origine su tale indirizzo IP.

    • Quando aggiunge un indirizzo IP NAT, un gateway Cloud NAT crea un indirizzo IP esterno a livello di area geografica (prenotato). Gli indirizzi IP NAT aggiunti automaticamente possono essere visualizzati nell'elenco di indirizzi IP esterni statici. Questi indirizzi incidono sulle quote per progetto.
    • Con l'allocazione automatica, non puoi prevedere l'indirizzo IP successivo allocato. Se dipende dalla conoscenza dell'insieme di possibili indirizzi IP NAT in anticipo (ad esempio, per creare una lista consentita), utilizza invece l'assegnazione manuale degli indirizzi IP NAT.
    • Quando gli indirizzi IP NAT aggiunti automaticamente vengono più rimossi, vengono rimossi. Tuttavia, Cloud NAT calcola un indirizzo solo quando l'ultima VM che gli è stata assegnata non utilizza più alcuna porta. Di conseguenza, quando il numero di VM che utilizzano Cloud NAT diminuisce, potresti notare una riduzione degli indirizzi IP perché Cloud NAT non rialloca in modo dinamico le VM da un indirizzo IP all'altro, perché la riassegnazione interrompe le connessioni stabilite. Se almeno una VM utilizza un indirizzo IP, l'indirizzo IP rimane attivo e gli possono essere assegnate nuove VM.

      Se vuoi riassegnare manualmente le VM da un indirizzo IP all'altro per ridurre al minimo l'utilizzo dell'indirizzo IP, utilizza le assegnazioni manuali degli indirizzi IP NAT. Consente lo svuotamento manuale degli indirizzi IP NAT.

    • Se in seguito passi all'assegnazione manuale degli indirizzi IP NAT, gli indirizzi IP esterni a livello di area geografica prenotati automaticamente vengono eliminati. Per ulteriori informazioni, consulta la sezione Cambiare il metodo di assegnazione.

  • Assegnazione manuale di indirizzi IP NAT. Quando selezioni questa opzione, crei e assegni manualmente indirizzi IP statici statici (prenotati) a livello di area geografica al tuo gateway Cloud NAT. Puoi aumentare o diminuire il numero di indirizzi IP NAT assegnati manualmente modificando il gateway Cloud NAT.

    • Quando utilizzi l'assegnazione manuale degli indirizzi IP NAT, devi calcolare il numero di indirizzi IP esterni a livello di area geografica necessari per il gateway Cloud NAT. Se il gateway esaurisce gli indirizzi IP NAT, Cloud NAT elimina i pacchetti. I pacchetti persi vengono registrati quando utilizzi il log di Cloud NAT per attivare il logging degli errori.
    • Per i calcoli di esempio, vedi l'esempio di prenotazione della porta.

Per il numero massimo di indirizzi IP NAT allocati o assegnati manualmente, consulta i limiti di Cloud NAT.

Cambio del metodo di assegnazione

Puoi sostituire un gateway Cloud NAT dall'assegnazione automatica degli indirizzi IP NAT all'assegnazione manuale di indirizzi IP NAT, ma non puoi conservare gli indirizzi IP NAT. Anche se gli indirizzi IP NAT allocati automaticamente sono statici, non possono essere spostati in un'assegnazione manuale di indirizzi IP NAT. Ad esempio, non puoi iniziare a utilizzare un gateway Cloud NAT con indirizzi IP NAT allocati automaticamente e successivamente utilizzare gli stessi indirizzi quando passi al gateway NAT per assegnare indirizzi IP NAT manualmente.

L'insieme di indirizzi IP esterni a livello di area geografica utilizzati da Cloud NAT per l'allocazione automatica degli indirizzi IP NAT è diverso dall'insieme di indirizzi IP esterni a livello di area geografica che puoi scegliere manualmente.

Svuotamento degli indirizzi IP NAT

Quando configuri un gateway Cloud NAT con l'assegnazione manuale degli indirizzi IP NAT, puoi scegliere cosa succede quando devi ridurre il numero di indirizzi IP NAT utilizzati dal gateway:

  • Se rimuovi un indirizzo IP NAT assegnato manualmente, le connessioni NAT stabilite vengono interrotte immediatamente.

  • Puoi scegliere di svuotare un indirizzo IP NAT assegnato manualmente. Lo svuotamento indica al gateway Cloud NAT di interrompere l'utilizzo dell'indirizzo IP NAT per le nuove connessioni, ma continua a utilizzarlo per le connessioni stabilite. Le connessioni stabilite possono essere chiuse normalmente anziché essere chiuse improvvisamente. Per svuotare un indirizzo IP associato a un gateway NAT che non utilizza regole NAT, consulta Svuotare gli indirizzi IP esterni associati a NAT. Per svuotare un indirizzo IP associato a un gateway NAT che utilizza le regole NAT, consulta l'articolo Aggiornare le regole NAT.

Porte

Ogni indirizzo IP NAT su un gateway Cloud NAT offre 64.512 porte di origine TCP e 64.512 porte di origine UDP. TCP e UDP supportano ciascuna 65.536 porte per indirizzo IP, ma Cloud NAT non utilizza le prime 1024 porte note (con privilegi).

Quando un gateway Cloud NAT esegue la traduzione dell'indirizzo di rete di origine su un pacchetto inviato da una VM, modifica l'indirizzo IP e la porta di origine di NAT del pacchetto.

Quando crei un gateway Cloud NAT, scegli se utilizzare l'allocazione statica delle porte o l'assegnazione dinamica delle porte.

Allocazione statica delle porte

Quando configuri l'allocazione statica delle porte, devi specificare un numero minimo di porte per istanza VM.

Poiché tutte le VM vengono allocate allo stesso numero di porte, l'allocazione statica delle porte funziona meglio se tutte le VM hanno un utilizzo Internet simile. Se alcune VM utilizzano più porte di altre, le porte nel gateway Cloud NAT potrebbero essere sottoutilizzate. Se l'utilizzo di Internet varia, valuta la possibilità di configurare l'allocazione dinamica delle porte.

Se vuoi configurare mappatura indipendente degli endpoint sul tuo gateway, devi utilizzare l'allocazione statica delle porte.

Allocazione dinamica delle porte

Quando configuri l'allocazione dinamica delle porte, devi specificare un numero minimo di porte per istanza VM e un numero massimo di porte per istanza VM.

La configurazione dell'allocazione dinamica delle porte consente allo stesso gateway di Cloud NAT di assegnare numeri diversi di porte per VM in base all'utilizzo della VM stessa. Inizialmente, a una VM viene allocato il numero minimo di porte per istanza VM. Se una VM sta per esaurire tutte le porte ad essa assegnate, il numero di porte assegnate alla VM raddoppia. La VM può richiedere ripetutamente più porte fino al numero massimo di porte per istanza VM. Quando l'utilizzo delle porte diminuisce in modo significativo, le porte vengono allocate e possono essere allocate ad altre VM che utilizzano lo stesso gateway NAT.

L'allocazione dinamica delle porte offre i seguenti vantaggi:

  • Il numero di porte allocate ma non utilizzate viene ridotto.

  • Il gateway NAT monitora l'utilizzo delle porte di ogni VM e modifica il numero di porte allocate in ciascuna VM in base alle esigenze. Non è necessario monitorare l'utilizzo delle porte o modificare la configurazione del gateway NAT.

Prima di utilizzare l'allocazione dinamica delle porte, considera quanto segue:

Procedura di prenotazione del trasferimento

Cloud NAT utilizza questa procedura per il provisioning dell'indirizzo IP di origine NAT e delle tuple di porta di origine per ogni VM fornita dal gateway Cloud NAT.

  1. Cloud NAT determina gli indirizzi IP interni delle VM per i quali deve essere eseguito NAT. Gli indirizzi IP interni della VM sono determinati dagli intervalli di indirizzi IP delle subnet che sono stati configurati per la pubblicazione del gateway.

    • Se il gateway Cloud NAT è configurato per eseguire NAT per l'intervallo di indirizzi IP principali della subnet utilizzata dall'interfaccia di rete della VM, il gateway esegue NAT sia sia per l'indirizzo IP interno principale della VM sia per tutti gli intervalli IP alias della VM.

    • Se il gateway Cloud NAT è configurato per eseguire NAT per un intervallo di indirizzi IP secondari della subnet utilizzata dall'interfaccia di rete della VM, il gateway esegue NAT per tutti gli intervalli IP alias dell'intervallo di indirizzi IP secondari della subnet.

  2. Cloud NAT regola le porte minime per istanza VM, se necessario. Se è configurata l'allocazione statica delle porte e il gateway esegue NAT per intervalli IP alias con più di un indirizzo (netmask inferiore a /32), Cloud NAT regola le porte minime per VM in modo che corrispondano al massimo dei due valori:

    • Il numero minimo di porte per istanza VM specificato

    • Il numero 1024

    In tutte le altre situazioni, anche quando è configurata l'allocazione dinamica delle porte, il gateway Cloud NAT passa al passaggio successivo utilizzando come input la porta minima specificata per istanza VM. Se il numero minimo di porte per istanza VM non è specificato, viene utilizzato il valore predefinito; 64 per l'allocazione statica delle porte e 32 per l'allocazione dinamica delle porte.

  3. Cloud NAT prenota l'indirizzo IP e le tupla delle porte di origine NAT per ogni VM. Il gateway Cloud NAT utilizza le porte minime specificate o regolate per istanza VM del passaggio precedente per calcolare il numero di placche IP di origine e di porta NAT da assegnare alla VM.

    Cloud NAT alloca l'indirizzo IP e le tupla delle porte di origine NAT utilizzando multipli di due potenze, in modo che il numero di IP di origine e le tupla delle porte di origine NAT sia maggiore o uguale al numero minimo di porte per istanza VM specificata.

    • È possibile che l'indirizzo IP dell'origine NAT e le tupla delle porte di origine includano più di un indirizzo IP NAT se il gateway Cloud NAT utilizza due o più indirizzi IP NAT. Un singolo indirizzo IP NAT potrebbe non avere un numero sufficiente di porte di origine disponibili per supportare il numero di indirizzi IP e le tupla delle porte di origine NAT di cui ha bisogno una VM.

    • Il gateway Cloud NAT alloca l'indirizzo IP e le coppie di porte di origine a ciascuna VM.

      • Se hai configurato l'allocazione statica delle porte, il numero di indirizzi IP e le tupla delle porte di origine è fisso. Ogni VM non può utilizzare più del numero di IP di origine allocato e delle tupla delle porte di origine, anche durante i burst di traffico.

      • Se hai configurato l'allocazione dinamica delle porte, il numero di indirizzi IP di origine e le tupla delle porte di origine possono cambiare in base alla domanda. Se una VM sta per esaurire l'attuale allocazione delle porte, Cloud NAT alloca ulteriori porte fino al valore numero massimo di porte per istanza VM specificato. Quando l'utilizzo delle porte della VM si riduce al di sotto di una soglia, le porte vengono rilasciate e possono essere allocate ad altre VM.

Aumento delle porte per VM

Se hai configurato un gateway Cloud NAT con allocazione statica delle porte, quando aumenti il numero minimo di porte per VM sul gateway, non si verifica alcuna interruzione del traffico.

Se hai configurato un gateway Cloud NAT con l'allocazione dinamica delle porte, ulteriori modifiche alla configurazione potrebbero interrompere il traffico. Quando viene apportata una modifica alla configurazione, il numero di porte attualmente assegnate a ogni VM potrebbe essere temporaneamente reimpostato sul numero minimo configurato.

Sia con l'allocazione statica che dinamica dell'allocazione porte devi assicurarti che il gateway disponga di un numero sufficiente di indirizzi IP NAT se utilizzi l'assegnazione manuale degli indirizzi IP NAT:

  • Se utilizzi l'assegnazione manuale degli indirizzi IP NAT, devi calcolare il numero di indirizzi IP NAT necessari. Prima di aumentare il numero minimo di porte per VM, assegna almeno quanti indirizzi IP NAT al gateway Cloud NAT.

  • Quando utilizzi l'allocazione automatica degli indirizzi IP NAT, l'aumento del numero minimo di porte per VM fa sì che il gateway Cloud NAT acquisisca e alloca automaticamente più indirizzi IP esterni a livello di area geografica.

Ridurre le porte per VM

Se hai configurato un gateway Cloud NAT con allocazione statica delle porte e riduci il numero minimo di porte per VM sul gateway, non ci sarà alcun svuotamento della connessione. Le connessioni NAT stabilite vengono interrotte immediatamente e i client devono stabilire nuove connessioni TCP.

Se hai configurato un gateway Cloud NAT con l'allocazione dinamica delle porte, ulteriori modifiche alla configurazione potrebbero interrompere il traffico. Quando viene apportata una modifica alla configurazione, il numero di porte attualmente assegnate a ogni VM potrebbe essere temporaneamente reimpostato sul numero minimo configurato.

Porte e connessioni

Il numero di tuple dell'indirizzo IP dell'origine NAT e delle tupla porte di origine, che un gateway Cloud NAT prenota per una VM, limita il numero di connessioni che la VM può effettuare a una destinazione univoca:

  • Una destinazione unica indica una tupla unica composta da un indirizzo IP di destinazione, una porta di destinazione e un protocollo IP (ad esempio TCP o UDP).

  • Una connessione indica una tupla unica 5 composta dall'indirizzo IP di origine e dalla tupla porta di origine, insieme a una tupla di destinazione 3 univoca. Poiché il protocollo UDP è senza connessione, il concetto di connessione viene ridotto a una cinque tupla associata a un datagram UDP univoco.

Supponiamo che un gateway Cloud NAT calcoli 1024 per il numero fisso di porte di una VM seguendo la procedura di prenotazione della porta. Il gateway Cloud NAT riserva 1024 combinazioni univoche di indirizzo IP di origine NAT e tupla di porta di origine per la VM. Il gateway Cloud NAT è in grado di elaborare 1024 connessioni simultanee a ogni tripla destinazione di destinazione univoca. Tuttavia, Cloud NAT considera le connessioni chiuse come inutilizzabili per 120 secondi dopo la chiusura della connessione, il che può influire sul numero di connessioni in uso alla volta.

Esempi:

  • Il gateway supporta 1024 connessioni simultanee all'indirizzo IP di destinazione 203.0.113.99 sulla porta 80 tramite il protocollo TCP.

  • Il gateway supporta altre connessioni 1024 simultanee allo stesso indirizzo IP di destinazione sulla porta 443, utilizzando anche il protocollo TCP.

  • Il gateway supporta altre connessioni 1024 simultanee a un indirizzo IP di destinazione diverso sulla porta 80, utilizzando anche il protocollo TCP.

Riutilizzo simultaneo delle porte e mappatura indipendente degli endpoint

Se almeno un'informazione nella tupla tumori di destinazione cambia, ovvero l'indirizzo IP di destinazione, la porta di destinazione, il protocollo, lo stesso indirizzo IP di origine e la tupla porta di origine possono essere utilizzati contemporaneamente per molte connessioni diverse.

Poiché Cloud NAT utilizza la mappatura indipendente degli endpoint, come definito nella sezione 2.3 della RFC 5128, il numero di connessioni simultanee che una VM client può effettuare per una destinazione univoca potrebbe essere ridotto se Cloud NAT assegna lo stesso indirizzo IP di origine e la tupla porta di origine a più di un indirizzo IP interno e a una porta di origine temporanea di una VM client. Le possibilità che ciò si verifichi se la VM client ha un numero elevato di indirizzi IP di origine interni e stabilisce un numero elevato di connessioni alla stessa tuple di destinazione. La prima volta che una VM client invia un pacchetto da un indirizzo IP interno e da una porta di origine temporanea, Cloud NAT crea una mappatura indipendente degli endpoint tra le seguenti:

  • L'indirizzo IP interno e la tupla porta di origine temporanea
  • Un indirizzo IP di origine NAT e una tupla porta di origine

Ad esempio, quando una VM client invia un pacchetto dal suo indirizzo IP interno 10.0.0.2 utilizzando la porta di origine temporanea 10001, Cloud NAT assegna 10.0.0.2:10001 un indirizzo IP sorgente e una tupla della porta di origine da utilizzare per tutte le connessioni successive da 10.0.0.2:10001 a qualsiasi tupla di destinazione.

Se la stessa VM utilizza una porta di origine temporanea diversa per inviare un pacchetto, ad esempio 10.0.0.2:20002, Cloud NAT assegna anche un indirizzo IP di origine NAT e una tupla della porta di origine per tutte le connessioni successive da 10.0.0.2:20002 a qualsiasi tupla tumori di destinazione. È possibile che Cloud NAT possa assegnare lo stesso indirizzo IP e la tupla porta di origine NAT a entrambi questi indirizzi IP interni e alla tupla porta sorgente temporanea. In alcune situazioni, questo causa un conflitto indipendente da endpoint.

Per un esempio più dettagliato, vedi Esempio di conflitto di mappatura indipendente dagli endpoint.

Ridurre i conflitti di endpoint indipendenti

Puoi apportare modifiche alla configurazione per ridurre i conflitti di endpoint indipendenti. Per ulteriori informazioni, consulta la sezione Pacchetti lasciati cadere con motivo di conflitto indipendente dagli endpoint.

Ritardo per il riutilizzo della porta di origine TCP

Dopo che un gateway Cloud NAT chiude una connessione TCP, Google Cloud impone un ritardo prima che il gateway possa riutilizzare lo stesso indirizzo IP e la tupla porta di origine NAT con la stessa destinazione (indirizzo IP, porta e destinazione di destinazione). La durata del ritardo è controllata dall'impostazione TCP TIME_WAIT Timeout.

Se necessario, puoi ridurre questo ritardo o apportare una delle seguenti modifiche:

  • Aumenta il numero minimo di porte per istanza VM in modo che la procedura di conservazione della porta assegni alla VM più indirizzi IP di origine NAT e tupla porte di origine.

  • Se una VM deve aprire e chiudere rapidamente le connessioni TCP allo stesso indirizzo IP di destinazione e alla stessa porta di destinazione utilizzando lo stesso protocollo, devi assegnare un indirizzo IP esterno alla VM e utilizzare le regole del firewall per limitare le connessioni in entrata non richieste anziché utilizzare Cloud NAT.

Porte di origine e sicurezza

Se usi la randomizzazione della porta di origine come misura di sicurezza, devi prendere in considerazione quanto segue:

Esempi

I seguenti esempi mostrano in che modo Cloud NAT prenota gli indirizzi IP e le porte di origine NAT per una VM e le sue prestazioni per i pacchetti inviati a Internet.

Prenotazione trasferimento

I seguenti esempi mostrano le applicazioni della procedura di prenotazione del trasferimento.

Supponi di configurare un gateway Cloud NAT per fornire NAT per l'intervallo di indirizzi IP principali di una subnet e che le VM che utilizzano tale subnet non hanno intervalli IP alias dall'intervallo di indirizzi IP principali della subnet. Arrotonda per difetto il risultato di qualsiasi operazione di divisione al numero intero più vicino. ⌊⌋ è la funzione Floor (il numero intero più alto), significa che il risultato della divisione è formato da qualsiasi risultato frazionario.

  • Se configuri il gateway Cloud NAT con un singolo indirizzo IP NAT utilizzando l'assegnazione manuale e imposti il numero minimo di porte per istanza VM su 64, il gateway può fornire servizi NAT per un massimo di 1008 VM:

    ⌊(1 indirizzo IP NAT) × (64.512 porte per indirizzo) / (64 porte per VM)⌋ = 1008 VM

  • Se devi supportare più di 1008 VM, puoi assegnare un secondo indirizzo IP NAT al gateway Cloud NAT. Con due indirizzi IP NAT, mantenendo il numero minimo di porte per VM a 64, puoi supportare 2016 VM:

    ⌊(2 indirizzi IP NAT) × (64.512 porte per indirizzo) / (64 porte per VM)⌋ = 2016 VM

  • Se imposti il numero minimo di porte per VM su 4096, ogni indirizzo IP NAT può supportare 15 VM. Questo calcolo viene arrotondato per difetto al numero intero più vicino:

    ⌊(1 indirizzi IP NAT) × (64.512 porte per indirizzo) / (4096 porte per VM)⌋ = 15 VM

Conflitto di mappatura indipendente dagli endpoint

L'esempio seguente illustra come la mappatura indipendente degli endpoint potrebbe ridurre il numero di connessioni simultanee da una VM client alla stessa tupla di destinazione 3, anche quando è presente un numero sufficiente di indirizzi IP e di origine NAT gratuiti per la VM client.

Supponi di aver configurato un gateway Cloud NAT per fornire NAT per l'intervallo di indirizzi IP principali di una subnet. Hai creato una VM client con un'interfaccia di rete il cui indirizzo IP interno principale è 10.0.0.2 nella subnet. La VM di esempio non ha un indirizzo IP esterno assegnato alla sua interfaccia di rete.

  1. La VM apre una connessione con queste caratteristiche:

    • Indirizzo IP e porta interni dell'origine: 10.0.0.2:10001
    • tupla destinazione 3: 203.0.113.1:80 tramite TCP
    • Cloud NAT utilizza il seguente indirizzo IP e la tupla porta di origine NAT: 192.0.2.10:30009
  2. La VM apre una seconda connessione con queste caratteristiche:

    • Indirizzo IP e porta interni dell'origine: 10.0.0.2:10002
    • tupla destinazione 3: 203.0.113.2:80 tramite TCP
    • Anche Cloud NAT potrebbe scegliere di utilizzare lo stesso indirizzo IP e la tupla porta di origine 192.0.2.10:30009, anche per questa connessione. È possibile utilizzare lo stesso indirizzo IP di origine NAT e la tupla porta di origine per un indirizzo IP client diverso e una porta di origine temporanea.
  3. Quando la prima e la seconda connessione sono attive, Cloud NAT non può aprire una terza connessione TCP con queste caratteristiche:

    • Stesso indirizzo IP e porta interni della stessa connessione: 10.0.0.2:10001
    • Stessa tripla di destinazione della seconda connessione: 203.0.113.2:80 con TCP

    Questo terzo tentativo di connessione viene interrotto con un errore di conflitto indipendente dagli endpoint perché la mappatura indipendente degli endpoint stabilita dalla prima connessione stabilisce che tutte le connessioni da 10.0.0.2:10001 devono utilizzare lo stesso indirizzo IP di origine NAT e la tupla porta di origine, ma 192.0.2.10:30009 è già in uso dalla seconda connessione TCP a 203.0.113.2:80.

  4. Per dissipare ambiguità, in un esempio di tentativo di connessione successivo è andata a buon fine se si verifica una delle seguenti condizioni:

    • La prima connessione TCP è stata chiusa. Viene rimossa la mappatura indipendente degli endpoint tra 10.0.0.2:10001 e 192.0.2.10:30009, quindi la terza connessione può essere mappata a un indirizzo IP NAT diverso e a una tupla porta di origine per comunicare con 203.0.113.2:80 tramite TCP.
    • La seconda connessione TCP è stata chiusa. In questo modo puoi liberare 10.0.0.2:10001 per utilizzare l'indirizzo IP di origine NAT e la porta di origine 192.0.2.10:30009 per comunicare con 203.0.113.2:80 usando TCP.
    • Il terzo tentativo di connessione seleziona una porta di origine temporanea (interna). In questo esempio, una mappatura indipendente degli endpoint ha stabilito una mappatura one-to-one per gli indirizzi IP e le porte di origine NAT interni, 10.0.0.2:10001 e 10.0.0.2:10002 per utilizzare 192.0.2.10:30009 durante la comunicazione con 203.0.113.2:80 mediante TCP. Se il terzo tentativo di connessione utilizza una porta di origine temporanea diversa da 10001 e 10002, c'è la possibilità che sia possibile utilizzare un indirizzo IP sorgente e una porta di origine NAT diversi per comunicare con 203.0.113.2:80 tramite TCP.
    • Disattivare l'indipendenza dell'endpoint. In questo modo la nuova connessione da 10.0.0.2:10001 non deve utilizzare 192.0.2.10:30009, quindi può utilizzare un indirizzo IP e una porta NAT di origine diversa.

Per le tecniche che puoi utilizzare per evitare conflitti, consulta la sezione Ridurre i conflitti di endpoint indipendenti.

Flusso NAT

In questo esempio, una VM con indirizzo IP interno principale 10.240.0.4, senza indirizzo esterno, deve scaricare un aggiornamento dall'indirizzo IP esterno 203.0.113.1. Hai configurato il gateway nat-gw-us-east come segue:

  • N. minimo di porte per istanza: 64
  • Sono stati assegnati manualmente due indirizzi IP NAT: 192.0.2.50 e 192.0.2.60.
  • Fornito NAT per l'intervallo di indirizzi IP principali di subnet-1.
Esempio di traduzione di Cloud NAT (fai clic per ingrandire).
Esempio di traduzione di Cloud NAT (fai clic per ingrandire)

Cloud NAT segue la procedura di prenotazione della porta per prenotare i seguenti indirizzi IP e le tupla delle porte di origine NAT per ciascuna delle VM nella rete. Ad esempio, il gateway Cloud NAT riserva 64 porte origine per la VM con indirizzo IP interno 10.240.0.4. L'indirizzo IP NAT 192.0.2.50 ha 64 porte non prenotate, quindi il gateway riserva il seguente set di 64 coppie di porte e origini IP di origine NAT per la VM in questione:

  • Dal giorno 192.0.2.50:34000 al giorno 192.0.2.50:34063

Quando la VM invia un pacchetto al server di aggiornamento 203.0.113.1 sulla porta di destinazione 80, utilizzando il protocollo TCP, si verifica quanto segue:

  • La VM invia un pacchetto di richieste con i seguenti attributi:

    • Indirizzo IP di origine NAT: 10.240.0.4, l'indirizzo IP interno principale della VM
    • Porta di origine: 24000, la porta di origine temporanea scelta dal sistema operativo della VM
    • Indirizzo di destinazione: 203.0.113.1, indirizzo IP esterno del server di aggiornamento
    • Porta di destinazione: 80, la porta di destinazione per il traffico HTTP verso il server di aggiornamento
    • Protocollo: TCP
  • Il gateway nat-gw-us-east esegue la funzione SNAT in uscita, riscrivendo la porta e il codice sorgente NAT del pacchetto di richieste. Il pacchetto modificato viene inviato a Internet se la rete VPC ha una route per la destinazione 203.0.113.1 il cui hop successivo è il gateway Internet predefinito. Un percorso predefinito solitamente soddisfa questo requisito.

    • Indirizzo IP dell'origine NAT: 192.0.2.50, da una delle indirizzi tup della porta NAT e delle porte di origine riservate della VM
    • Porta di origine: 34022, una porta di origine inutilizzata di una delle tuple di porta di origine riservate della VM
    • Indirizzo di destinazione: 203.0.113.1, invariato
    • Porta di destinazione: 80, invariato
    • Protocollo: TCP, invariato
  • Quando il server di aggiornamento invia un pacchetto di risposta, tale pacchetto arriva al gateway nat-gw-us-east con i seguenti attributi:

    • Indirizzo IP di origine NAT: 203.0.113.1, l'indirizzo IP esterno del server di aggiornamento
    • Porta di origine: 80, la risposta HTTP dal server di aggiornamento
    • Indirizzo di destinazione: 192.0.2.50, corrispondente all'indirizzo IP dell'origine NAT originale del pacchetto di richieste
    • Porta di destinazione: 34022, corrispondente alla porta di origine del pacchetto di richiesta
    • Protocollo: TCP, invariato
  • Il gateway nat-gw-us-east esegue la traduzione degli indirizzi di rete di destinazione (DNAT) sul pacchetto di risposta, riscrivendo la porta e la porta di destinazione del pacchetto di risposta in modo che il pacchetto venga recapitato alla VM:

    • Indirizzo IP di origine NAT: 203.0.113.1, invariato
    • Porta di origine: 80, invariato
    • Indirizzo di destinazione: 10.240.0.4, l'indirizzo IP interno principale della VM
    • Porta di destinazione: 24000, corrispondente alla porta di origine temporanea del pacchetto di richieste
    • Protocollo: TCP, invariato

Passaggi successivi