Private NAT

Private NAT ermöglicht privaten zu privaten Übersetzungen in Google Cloud-Netzwerken und anderen lokalen Netzwerken oder Netzwerken von Cloud-Anbietern. Private NAT bietet die folgenden Optionen für die private in private Sprache:

  • Inter-VPC-NAT: Ermöglicht private zu private Übersetzungen zwischen VPC-Netzwerken (Virtual Private Cloud), die mit einem Network Connectivity Center-Hub verbunden sind.
  • Hybrid NAT (Vorabversion): Ermöglicht private zu private Übersetzungen zwischen VPC-Netzwerken und lokalen Netzwerken oder Netzwerken von Cloud-Anbietern, die über die Hybridkonnektivitätslösungen von Google Cloud verbunden sind.

Spezifikationen

In den folgenden Abschnitten werden die Spezifikationen einer privaten NAT beschrieben, die sowohl für Inter-VPC-NAT als auch für Hybrid-NAT gelten.

Allgemeine Spezifikationen

  • Private NAT ermöglicht ausgehende Verbindungen und die eingehenden Antworten auf diese Verbindungen. Jedes private NAT-Gateway führt Quell-NAT für ausgehenden Traffic und Ziel-NAT für erstellte Antwortpakete aus.

  • Private NAT unterstützt keine VPC-Netzwerke im automatischen Modus.

  • Private NAT erlaubt keine unerwünschten eingehenden Anfragen von verbundenen Netzwerken, auch wenn Firewallregeln diese Anfragen sonst zulassen würden. Weitere Informationen finden Sie unter Anwendbare RFCs.

  • Jedes private NAT-Gateway ist einem einzelnen VPC-Netzwerk, einer Region und einem Cloud Router zugeordnet. Das private NAT-Gateway und der Cloud Router stellen eine Steuerungsebene bereit. Sie sind nicht an der Datenebene beteiligt, sodass Pakete nicht über das private NAT-Gateway oder den Cloud Router weitergeleitet werden.

  • Private NAT unterstützt keine endpunktunabhängige Zuordnung.
  • Sie können private NAT nicht verwenden, um einen bestimmten primären oder sekundären IP-Adressbereich für ein bestimmtes Subnetz zu übersetzen. Ein privates NAT-Gateway führt NAT für alle IPv4-Adressbereiche für ein bestimmtes Subnetz oder eine Liste von Subnetzen aus.
  • Nachdem Sie das Subnetz erstellt haben, können Sie die Größe des privaten NAT-Subnetzes nicht mehr erhöhen oder verringern. Sie können jedoch mehrere private NAT-Subnetzbereiche für ein bestimmtes Gateway angeben.
  • Private NAT unterstützt maximal 64.000 gleichzeitige Verbindungen pro Endpunkt.
  • Private NAT unterstützt nur TCP- und UDP-Verbindungen.
  • Eine VM-Instanz in einem VPC-Netzwerk kann nur auf Ziele in einem nicht überlappenden Subnetzwerk in einem verbundenen Netzwerk zugreifen und nicht in einem überlappenden Subnetzwerk.

Routen und Firewallregeln

Private NAT verwendet die folgenden Routen:

  • Für Inter-VPC-NAT verwendet private NAT nur Subnetzrouten, die von zwei VPC-Spokes des Network Connectivity Center ausgetauscht werden, die an einen Network Connectivity Center-Hub angehängt sind. Weitere Informationen zu VPC-Spokes in Network Connectivity Center finden Sie unter VPC-Spokes – Übersicht.
  • Für Hybrid-NAT (Vorabversion) verwendet private NAT die dynamischen Routen, die Cloud Router über die Hybridkonnektivitätsoptionen von Google Cloud erlernt.

Private NAT hat keine Cloud NGFW-Regelanforderungen. Firewallregeln werden direkt auf die Netzwerkschnittstellen von Compute Engine-VMs angewendet, nicht auf private NAT-Gateways.

Sie müssen keine speziellen Firewallregeln erstellen, die Verbindungen zu oder von NAT-IP-Adressen zulassen. Wenn ein privates NAT-Gateway NAT für die Netzwerkschnittstelle einer VM bereitstellt, werden anwendbare Firewallregeln für ausgehenden Traffic als Pakete für diese Netzwerkschnittstelle vor NAT ausgewertet. Firewallregeln für eingehenden Traffic werden ausgewertet, nachdem Pakete durch NAT verarbeitet wurden.

Anwendbarkeit des Subnetz-IP-Adressbereichs

Sie können ein privates NAT-Gateway konfigurieren, um NAT für Folgendes bereitzustellen:

  • Primäre und sekundäre IP-Adressbereiche aller Subnetze in der Region. Ein einzelnes privates NAT-Gateway stellt NAT für die primären internen IP-Adressen und alle Alias-IP-Bereiche der zulässigen VMs bereit, deren Netzwerkschnittstellen ein Subnetz in der Region verwenden. Diese Option verwendet genau ein NAT-Gateway pro Region.

  • Liste der benutzerdefinierten Subnetze: Ein einzelnes privates NAT-Gateway bietet NAT für die primären internen IP-Adressen und alle Alias-IP-Bereiche zulässiger VMs, deren Netzwerkschnittstellen ein Subnetz aus einer Liste angegebener Subnetze verwenden.

Bandbreite

Durch die Verwendung eines privaten NAT-Gateways ändert sich nicht die Bandbreite für ausgehenden oder eingehenden Traffic, die eine VM verwenden kann. Informationen zu Bandbreitenspezifikationen, die je nach Maschinentyp variieren, finden Sie unter Netzwerkbandbreite in der Compute Engine-Dokumentation.

VMs mit mehreren Netzwerkschnittstellen

Wenn Sie eine VM mit mehreren Netzwerkschnittstellen konfigurieren, muss sich jede Schnittstelle in einem separaten VPC-Netzwerk befinden. Daher kann ein privates NAT-Gateway nur auf eine einzelne Netzwerkschnittstelle einer VM angewendet werden. Separate private NAT-Gateways können NAT für dieselbe VM bereitstellen, wobei jedes Gateway für eine separate Schnittstelle gilt.

NAT-IP-Adressen und -Ports

Beim Erstellen eines privaten NAT-Gateways müssen Sie ein Subnetz mit dem Zweck PRIVATE_NAT angeben, aus dem NAT-IP-Adressen für die VMs zugewiesen werden. Weitere Informationen zur Zuweisung einer privaten NAT-IP-Adresse finden Sie unter Private NAT-IP-Adressen.

Sie können die Anzahl der Quellports konfigurieren, die jedes private NAT-Gateway auf jeder VM reserviert, für die es NAT-Dienste bereitstellen soll. Sie können eine statische Portzuweisung konfigurieren, bei der für jede VM die gleiche Anzahl von Ports reserviert ist, oder die dynamische Portzuweisung, bei der die Anzahl der reservierten Ports zwischen dem von Ihnen angegebenen Mindest- und Höchstwert variieren kann.

Die VMs, für die NAT bereitgestellt werden soll, werden durch die Subnetz-IP-Adressbereiche bestimmt, für die das Gateway konfiguriert ist.

Weitere Informationen zu Ports finden Sie unter Ports.

Anwendbare RFCs

Private NAT ist eine Port-eingeschränkte Cone-NAT gemäß RFC 3489.

NAT-Zeitlimits

Private NAT legt Zeitlimits für Protokollverbindungen fest. Informationen zu diesen Zeitüberschreitungen und ihren Standardwerten finden Sie unter NAT-Zeitlimits.

Nächste Schritte