Private NAT

Private NAT는 다음 네트워크 간에 비공개-비공개 주소 변환을 사용 설정합니다.

• Network Connectivity Center 스포크용 Private NAT는 Network Connectivity Center 허브에 연결된 가상 프라이빗 클라우드(VPC) 네트워크에 대해 비공개-비공개 네트워크 주소 변환(NAT)을 사용 설정합니다. 여기에는 VPC 스포크 간 및 VPC 스포크와 하이브리드 스포크 간의 트래픽에 대한 비공개-비공개 NAT가 포함됩니다.
• Hybrid NAT는 VPC 네트워크와 Cloud Interconnect 또는 Cloud VPN을 통해 Google Cloud 에 연결된 온프레미스 또는 기타 클라우드 제공업체 네트워크 간에 비공개-비공개 네트워크 주소 변환을 사용 설정합니다.

사양

다음 섹션에서는 Private NAT의 사양을 설명합니다. 이 사양은 Network Connectivity Center 스포크용 Private NAT와 Hybrid NAT에 모두 적용됩니다.

일반 사양

• Private NAT에서는 아웃바운드 연결과 해당 연결에 대한 인바운드 응답을 허용합니다. Private NAT용 각 Cloud NAT 게이트웨이는 이그레스에 소스 NAT를 수행하고 설정된 응답 패킷에 대해 목적지 NAT를 수행합니다.

• Private NAT는 자동 모드 VPC 네트워크를 지원하지 않습니다.

• Private NAT는 방화벽 규칙에서 허용되었더라도 연결된 네트워크에서 요청하지 않은 인바운드 요청을 허용하지 않습니다. 자세한 내용은 관련 RFC를 참조하세요.

• Private NAT용 각 Cloud NAT 게이트웨이는 단일 VPC 네트워크, 리전, Cloud Router와 연결됩니다. Cloud NAT 게이트웨이 및 Cloud Router는 컨트롤 플레인을 제공합니다. 따라서 데이터 영역에 포함되지 않으므로 패킷이 Cloud NAT 게이트웨이 또는 Cloud Router를 통과하지 않습니다.

  Private NAT용 Cloud NAT 게이트웨이가 Cloud Router에서 관리되더라도 Private NAT는 경계 게이트웨이 프로토콜을 사용하지 않거나 의존하지 않습니다.

• Private NAT는 엔드포인트 독립 매핑을 지원하지 않습니다.
• Private NAT를 사용하여 특정 서브넷의 특정 기본 또는 보조 IP 주소 범위를 변환할 수 없습니다. Private NAT 게이트웨이는 지정된 서브넷 또는 서브넷 목록에 대한 모든 IPv4 주소 범위에서 NAT를 수행합니다.
• 서브넷을 만든 후에는 Private NAT 서브넷 크기를 늘리거나 줄일 수 없습니다. 하지만 특정 게이트웨이에 여러 Private NAT 서브넷 범위를 지정할 수 있습니다.
• Private NAT는 엔드포인트당 최대 64,000개의 동시 연결을 지원합니다.
• Private NAT는 TCP 및 UDP만 지원합니다. ICMP 및 기타 프로토콜은 지원되지 않습니다.
• VPC 네트워크의 가상 머신(VM) 인스턴스는 연결된 네트워크에서 겹치지 않는 서브네트워크의 목적지에만 액세스할 수 있습니다.

경로 및 방화벽 규칙

Private NAT는 다음 경로를 사용합니다.

• Network Connectivity Center 스포크의 경우 Private NAT는 서브넷 경로와 동적 경로를 사용합니다.
  • VPC 스포크만 포함된 Network Connectivity Center 허브에 연결된 두 VPC 스포크 간의 트래픽인 경우 Private NAT는 연결된 VPC 스포크로 교환되는 서브넷 경로를 사용합니다. VPC 스포크에 대한 내용은 VPC 스포크 개요를 참조하세요.
  • Network Connectivity Center 허브에 VPC 스포크, Cloud Interconnect, Cloud VPN 터널 또는 라우터 어플라이언스 VM용 VLAN 연결과 같은 하이브리드 스포크가 모두 포함된 경우 Private NAT는 BGP를 통해 학습한 동적 경로와 연결된 VPC 스포크로 교환되는 서브넷 경로를 사용합니다. 하이브리드 스포크에 대한 자세한 내용은 하이브리드 스포크를 참고하세요.
• Hybrid NAT의 경우 Private NAT는 Cloud Interconnect 또는 Cloud VPN을 통해 Cloud Router에서 학습한 동적 경로를 사용합니다.

Cloud NGFW 방화벽 규칙은 Private NAT용 Cloud NAT 게이트웨이가 아닌 Compute Engine VM의 네트워크 인터페이스에 직접 적용됩니다.

Private NAT용 Cloud NAT 게이트웨이가 VM의 네트워크 인터페이스에 대해 NAT를 제공할 때 관련 이그레스 방화벽 규칙은 NAT 전에 해당 네트워크 인터페이스의 패킷으로 평가됩니다. 인그레스 방화벽 규칙은 패킷이 NAT에 의해 처리된 후에 평가됩니다. 사용자는 NAT를 위해 특별히 방화벽 규칙을 만들 필요는 없습니다.

서브넷 IP 주소 범위 관련성

다음에 대해 NAT를 제공하도록 Private NAT용 Cloud NAT 게이트웨이를 구성할 수 있습니다.

• 리전 내 모든 서브넷의 기본 및 보조 IP 주소 범위. 단일 Private NAT 게이트웨이는 네트워크 인터페이스가 해당 리전의 서브넷을 사용하는 적격한 VM의 기본 내부 IP 주소 및 모든 별칭 IP 범위로 NAT를 제공합니다. 이 옵션은 리전별로 정확히 하나의 NAT 게이트웨이를 사용합니다.

• 커스텀 서브넷 목록: 단일 Cloud NAT 게이트웨이는 네트워크 인터페이스가 지정된 서브넷 목록의 서브넷을 사용하는 적격한 VM의 기본 내부 IP 주소 및 모든 별칭 IP 범위에 대해 NAT를 제공합니다.

대역폭

Private NAT용 Cloud NAT 게이트웨이를 사용해도 VM이 사용할 수 있는 아웃바운드 또는 인바운드 대역폭 양이 변경되지 않습니다. 머신 유형별로 달라지는 대역폭 사양은 Compute Engine 문서의 네트워크 대역폭을 참조하세요.

여러 네트워크 인터페이스가 있는 VM

여러 네트워크 인터페이스가 포함된 VM을 구성할 때 각 인터페이스는 개별 VPC 네트워크에 있어야 합니다. 따라서 Private NAT용 Cloud NAT 게이트웨이는 VM의 단일 네트워크 인터페이스에만 적용될 수 있습니다. Private NAT용 개별 Cloud NAT 게이트웨이는 각 게이트웨이가 개별 인터페이스에 적용되는 동일 VM에 NAT를 제공할 수 있습니다.

NAT IP 주소 및 포트

Private NAT 게이트웨이를 만들 때는 NAT IP 주소가 VM에 할당되는 PRIVATE_NAT 용도의 서브넷을 지정해야 합니다. Private NAT IP 주소 할당에 대한 자세한 내용은 Private NAT IP 주소를 참조하세요.

NAT 서비스를 제공하기 위해 각 VM에 대해 각 Private NAT용 Cloud NAT 게이트웨이가 예약하는 소스 포트 수를 구성할 수 있습니다. 각 VM에 대해 동일 개수의 포트가 예약되는 정적 포트 할당 또는 지정한 최소 및 최대 한도 사이에 예약된 포트 수가 변동될 수 있는 동적 포트 할당을 구성할 수 있습니다.

NAT가 제공할 VM은 게이트웨이가 제공하도록 구성된 서브넷 IP 주소 범위에 의해 결정됩니다.

포트에 관한 자세한 내용은 포트를 참고하세요.

관련 RFC

Private NAT는 RFC 3489에 정의된 포트 제한 Cone NAT입니다.

NAT 제한 시간

Private NAT는 프로토콜 연결에 대한 제한 시간을 설정합니다. 이러한 제한 시간 및 기본값에 관한 자세한 내용은 NAT 제한 시간을 참고하세요.

다음 단계

• Private NAT 설정
• Cloud NAT 제품 상호작용 알아보기
• Cloud NAT 주소 및 포트 알아보기
• Cloud NAT 규칙 알아보기
• 일반적인 문제 해결하기