プライベート NAT
Private NAT を使用すると、ネットワーク間でプライベートからプライベートへのアドレス変換が可能になります。
- Network Connectivity Center スポークの Private NAT を使用すると、Network Connectivity Center ハブに接続されている Virtual Private Cloud(VPC)ネットワークのプライベートからプライベートへのネットワーク アドレス変換(NAT)が有効になります。これには、VPC スポーク間、VPC スポークとハイブリッド スポーク間のトラフィックに対する Private-to-Private NAT が含まれます。
- ハイブリッド NAT を使用すると、Cloud Interconnect または Cloud VPN を介して Google Cloud に接続されている VPC ネットワークとオンプレミスまたは他のクラウド プロバイダ ネットワークの間で Private-to-Private NAT が有効になります。
仕様
以降のセクションでは、Private NAT の仕様について説明します。これらの仕様は、Network Connectivity Center スポークの Private NAT とハイブリッド NAT の両方に適用されます。
全般的な仕様
-
Private NAT により、アウトバウンド接続とそれに対するインバウンド レスポンスを可能にしています。各 Private NAT ゲートウェイは、下り(外向き)に送信元 NAT を実行し、確立済みのレスポンス パケットに宛先 NAT を実行します。
- Private NAT は自動モードの VPC ネットワークをサポートしていません。
-
Private NAT では、接続されたネットワークからの未承諾のインバウンド リクエストは、ファイアウォール ルールで許可されている場合でも許可されません。詳細については、該当する RFC をご覧ください。
-
各 Private NAT ゲートウェイは、1 つの VPC ネットワーク、リージョン、Cloud Router に関連付けられます。Private NAT ゲートウェイと Cloud Router は、データプレーンに関与していないコントロール プレーンを提供するため、パケットは Private NAT ゲートウェイまたは Cloud Router を通過しません。
- Private NAT は、エンドポイントに依存しないマッピングをサポートしていません。
- Private NAT を使用して、特定のサブネットの特定のプライマリ IP アドレス範囲やセカンダリ IP アドレス範囲を変換することはできません。Private NAT ゲートウェイは、特定のサブネットまたはサブネットのリストのすべての IPv4 アドレス範囲に対して NAT を実行します。
- サブネットを作成した後、Private NAT サブネットのサイズを増減することはできません。ただし、指定したゲートウェイに複数の Private NAT サブネット範囲を指定できます。
- Private NAT では、エンドポイントごとに最大 64,000 件の同時接続をサポートします。
- Private NAT では、TCP 接続と UDP 接続のみをサポートします。
- VPC ネットワーク内にある仮想マシン(VM)インスタンスは、接続されたネットワーク内の重複しない(重複するではない)サブネットワーク内の宛先にのみアクセスできます。
ルートとファイアウォール ルール
Private NAT は次のルートを使用します。
- Network Connectivity Center スポークの場合、Private NAT はサブネット ルートと動的ルートを使用します。
- VPC スポークのみを含む Network Connectivity Center ハブに接続された 2 つの VPC スポーク間のトラフィックに、Private NAT は接続された VPC スポークによって交換されるサブネット ルートを使用します。VPC スポークの詳細については、VPC スポークの概要をご覧ください。
- Network Connectivity Center ハブに VPC スポークとハイブリッド スポーク(Cloud Interconnect の VLAN アタッチメント、Cloud VPN トンネル、ルーター アプライアンス VM など)の両方が含まれている場合、プライベート NAT は、ハイブリッド スポークが BGP を介して学習した動的ルートを使用し、接続された VPC スポークによって交換されたサブネット ルートを使用します。ハイブリッド スポークの詳細については、ハイブリッド スポークをご覧ください。
- ハイブリッド NAT の場合、Private NAT は Cloud Interconnect または Cloud VPN 上で Cloud Router によって学習された動的ルートを使用します。
Private NAT には Cloud NGFW ルールの要件はありません。ファイアウォール ルールは、Private NAT ゲートウェイではなく、Compute Engine VM のネットワーク インターフェースに直接適用されます。
NAT IP アドレスとの間の接続を許可する特別なファイアウォール ルールを作成する必要はありません。Private NAT ゲートウェイが VM のネットワーク インターフェースに NAT を提供する場合、NAT の前に、ネットワーク インターフェースのパケットに対して該当する下り(外向き)ファイアウォール ルールが評価されます。また、NAT によって処理された後に、上り(内向き)ファイアウォール ルールが評価されます。
サブネット IP アドレス範囲の適用範囲
次のものに対して NAT を実施提供するように Private NAT ゲートウェイを構成できます。
- リージョン内のすべてのサブネットのプライマリおよびセカンダリ IP アドレス範囲。ネットワーク インターフェースがリージョンのサブネットを使用している対象 VM のプライマリ内部 IP アドレスとすべてのエイリアス IP 範囲に対して、単一の Private NAT ゲートウェイが NAT を実施します。このオプションは、リージョンごとに、正確に 1 つの NAT ゲートウェイを使用します。
-
カスタム サブネット リスト。ネットワーク インターフェースが指定されたサブネットのリストからサブネットを使用している対象 VM のプライマリ内部 IP アドレスとすべてのエイリアス IP 範囲に対して、単一の Cloud NAT ゲートウェイが NAT を実施します。
帯域幅
Private NAT ゲートウェイを使用しても、VM が使用できる送信または受信帯域幅の総量は変わりません。帯域幅の仕様はマシンタイプによって異なります。詳しくは、Compute Engine のドキュメントでのネットワーク帯域幅をご覧ください。
複数のネットワーク インターフェースを持つ VM
VM に複数のネットワーク インターフェースを持つように構成する場合、各インターフェースは別々の VPC ネットワークに属している必要があります。したがって、Private NAT ゲートウェイは VM の 1 つのネットワーク インターフェースにのみ適用されます。個別の Private NAT ゲートウェイは同じ VM に NAT を提供できます。この場合、各ゲートウェイが個々の別個のインターフェースに適用されます。
NAT IP アドレスとポート
Private NAT ゲートウェイを作成する際には、VM に NAT IP アドレスを割り当てる目的 PRIVATE_NAT
のサブネットを指定する必要があります。Private NAT IP アドレスの割り当ての詳細については、Private NAT IP アドレスをご覧ください。
各 Private NAT ゲートウェイが NAT サービスを提供する各 VM に予約する送信元ポートの数を構成できます。静的ポートの割り当てを構成できます。この場合、各 VM に同じ数のポートが予約されます。あるいは、動的ポートの割り当てを構成できます。この場合、予約済みポートの数は、指定した上限と下限の間で変更できます。
NAT を実施する VM は、ゲートウェイが提供するように構成されているサブネット IP アドレス範囲によって決まります。
ポートの詳細については、ポートをご覧ください。
適用される RFC
Private NAT は、RFC 3489 で定義されているポート制限付きコーン NAT です。
NAT タイムアウト
Private NAT は、プロトコル接続のタイムアウトを設定します。これらのタイムアウトとそのデフォルト値については、NAT タイムアウトをご覧ください。
次のステップ
- Private NAT を設定する
- Cloud NAT プロダクトの相互作用について学習する。
- Cloud NAT アドレスとポートについて学ぶ。
- Cloud NAT ルールについて学習する。
- 一般的な問題のトラブルシューティングを行う。