Network Connectivity Center 스포크용 Private NAT는 Network Connectivity Center 허브에 연결된 가상 프라이빗 클라우드(VPC) 네트워크에 대해 비공개-비공개 네트워크 주소 변환(NAT)을 사용 설정합니다. 여기에는 VPC 스포크 간 및 VPC 스포크와 하이브리드 스포크 간의 트래픽에 대한 비공개-비공개 NAT가 포함됩니다.
Hybrid NAT는 VPC 네트워크와 Cloud Interconnect 또는 Cloud VPN을 통해 Google Cloud 에 연결된 온프레미스 또는 기타 클라우드 제공업체 네트워크 간에 비공개-비공개 네트워크 주소 변환을 사용 설정합니다.
사양
다음 섹션에서는 Private NAT의 사양을 설명합니다. 이 사양은 Network Connectivity Center 스포크용 Private NAT와 Hybrid NAT에 모두 적용됩니다.
일반 사양
Private NAT에서는 아웃바운드 연결과 해당 연결에 대한 인바운드 응답을 허용합니다.
Private NAT용 각 Cloud NAT 게이트웨이는 이그레스에 소스 NAT를 수행하고 설정된 응답 패킷에 대해 목적지 NAT를 수행합니다.
Private NAT는 자동 모드 VPC 네트워크를 지원하지 않습니다.
Private NAT는 방화벽 규칙에서 허용되었더라도 연결된 네트워크에서 요청하지 않은 인바운드 요청을 허용하지 않습니다. 자세한 내용은 관련 RFC를 참조하세요.
Private NAT용 각 Cloud NAT 게이트웨이는 단일 VPC 네트워크, 리전, Cloud Router와 연결됩니다. Cloud NAT 게이트웨이 및 Cloud Router는 컨트롤 플레인을 제공합니다. 따라서 데이터 영역에 포함되지 않으므로 패킷이 Cloud NAT 게이트웨이 또는 Cloud Router를 통과하지 않습니다.
Private NAT용 Cloud NAT 게이트웨이가 Cloud Router에서 관리되더라도 Private NAT는 경계 게이트웨이 프로토콜을 사용하지 않거나 의존하지 않습니다.
Private NAT를 사용하여 특정 서브넷의 특정 기본 또는 보조 IP 주소 범위를 변환할 수 없습니다. Private NAT 게이트웨이는 지정된 서브넷 또는 서브넷 목록에 대한 모든 IPv4 주소 범위에서 NAT를 수행합니다.
서브넷을 만든 후에는 Private NAT 서브넷 크기를 늘리거나 줄일 수 없습니다.
하지만 특정 게이트웨이에 여러 Private NAT 서브넷 범위를 지정할 수 있습니다.
Private NAT는 엔드포인트당 최대 64,000개의 동시 연결을 지원합니다.
Private NAT는 TCP 및 UDP만 지원합니다. ICMP 및 기타 프로토콜은 지원되지 않습니다.
VPC 네트워크의 가상 머신(VM) 인스턴스는 연결된 네트워크에서 겹치지 않는 서브네트워크의 목적지에만 액세스할 수 있습니다.
경로 및 방화벽 규칙
Private NAT는 다음 경로를 사용합니다.
Network Connectivity Center 스포크의 경우 Private NAT는 서브넷 경로와 동적 경로를 사용합니다.
VPC 스포크만 포함된 Network Connectivity Center 허브에 연결된 두 VPC 스포크 간의 트래픽인 경우 Private NAT는 연결된 VPC 스포크로 교환되는 서브넷 경로를 사용합니다. VPC 스포크에 대한 내용은 VPC 스포크 개요를 참조하세요.
Network Connectivity Center 허브에 VPC 스포크, Cloud Interconnect, Cloud VPN 터널 또는 라우터 어플라이언스 VM용 VLAN 연결과 같은 하이브리드 스포크가 모두 포함된 경우 Private NAT는 BGP를 통해 학습한 동적 경로와 연결된 VPC 스포크로 교환되는 서브넷 경로를 사용합니다. 하이브리드 스포크에 대한 자세한 내용은 하이브리드 스포크를 참고하세요.
Hybrid NAT의 경우 Private NAT는 Cloud Interconnect 또는 Cloud VPN을 통해 Cloud Router에서 학습한 동적 경로를 사용합니다.
Cloud NGFW 방화벽 규칙은 Private NAT용 Cloud NAT 게이트웨이가 아닌 Compute Engine VM의 네트워크 인터페이스에 직접 적용됩니다.
Private NAT용 Cloud NAT 게이트웨이가 VM의 네트워크 인터페이스에 대해 NAT를 제공할 때 관련 이그레스 방화벽 규칙은 NAT 전에 해당 네트워크 인터페이스의 패킷으로 평가됩니다. 인그레스 방화벽 규칙은 패킷이 NAT에 의해 처리된 후에 평가됩니다. 사용자는 NAT를 위해 특별히 방화벽 규칙을 만들 필요는 없습니다.
서브넷 IP 주소 범위 관련성
다음에 대해 NAT를 제공하도록 Private NAT용 Cloud NAT 게이트웨이를 구성할 수 있습니다.
리전 내 모든 서브넷의 기본 및 보조 IP 주소 범위. 단일 Private NAT 게이트웨이는 네트워크 인터페이스가 해당 리전의 서브넷을 사용하는 적격한 VM의 기본 내부 IP 주소 및 모든 별칭 IP 범위로 NAT를 제공합니다. 이 옵션은 리전별로 정확히 하나의 NAT 게이트웨이를 사용합니다.
커스텀 서브넷 목록: 단일 Cloud NAT 게이트웨이는 네트워크 인터페이스가 지정된 서브넷 목록의 서브넷을 사용하는 적격한 VM의 기본 내부 IP 주소 및 모든 별칭 IP 범위에 대해 NAT를 제공합니다.
대역폭
Private NAT용 Cloud NAT 게이트웨이를 사용해도 VM이 사용할 수 있는 아웃바운드 또는 인바운드 대역폭 양이 변경되지 않습니다. 머신 유형별로 달라지는 대역폭 사양은 Compute Engine 문서의 네트워크 대역폭을 참조하세요.
여러 네트워크 인터페이스가 있는 VM
여러 네트워크 인터페이스가 포함된 VM을 구성할 때 각 인터페이스는 개별 VPC 네트워크에 있어야 합니다.
따라서 Private NAT용 Cloud NAT 게이트웨이는 VM의 단일 네트워크 인터페이스에만 적용될 수 있습니다. Private NAT용 개별 Cloud NAT 게이트웨이는 각 게이트웨이가 개별 인터페이스에 적용되는 동일 VM에 NAT를 제공할 수 있습니다.
NAT IP 주소 및 포트
Private NAT 게이트웨이를 만들 때는 NAT IP 주소가 VM에 할당되는 PRIVATE_NAT 용도의 서브넷을 지정해야 합니다. Private NAT IP 주소 할당에 대한 자세한 내용은 Private NAT IP 주소를 참조하세요.
NAT 서비스를 제공하기 위해 각 VM에 대해 각 Private NAT용 Cloud NAT 게이트웨이가 예약하는 소스 포트 수를 구성할 수 있습니다. 각 VM에 대해 동일 개수의 포트가 예약되는 정적 포트 할당 또는 지정한 최소 및 최대 한도 사이에 예약된 포트 수가 변동될 수 있는 동적 포트 할당을 구성할 수 있습니다.
NAT가 제공할 VM은 게이트웨이가 제공하도록 구성된 서브넷 IP 주소 범위에 의해 결정됩니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-04(UTC)"],[],[],null,["# Private NAT\n===========\n\nPrivate NAT enables *private-to-private* address translation\nbetween networks:\n\n- [Private NAT for Network Connectivity Center spokes](/nat/docs/about-private-nat-for-ncc) enables private-to-private network address translation (NAT) for Virtual Private Cloud (VPC) networks that are connected to a Network Connectivity Center hub, which includes private-to-private NAT for traffic between VPC spokes and between VPC spokes and hybrid spokes.\n- [Hybrid NAT](/nat/docs/about-hybrid-nat) enables private-to-private NAT between VPC networks and on-premises or other cloud provider networks that are connected to Google Cloud over Cloud Interconnect or Cloud VPN.\n\nSpecifications\n--------------\n\nThe following sections describe the specifications of\nPrivate NAT. These specifications apply to both\nPrivate NAT for Network Connectivity Center spokes and\nHybrid NAT.\n\n### General specifications\n\n- Private NAT allows outbound connections and the inbound responses to those connections.\n Each Cloud NAT gateway for Private NAT performs source NAT on egress traffic and\n destination NAT for established response packets.\n\n- Private NAT does not support auto mode VPC networks.\n- Private NAT doesn't permit unsolicited inbound requests from connected networks, even if firewall\n rules would otherwise permit those requests. For more information, see [Applicable RFCs](#specs-pvt-nat-rfcs).\n\n- Each Cloud NAT gateway for Private NAT is associated with a single VPC\n network, region, and Cloud Router. The Cloud NAT gateway and\n the Cloud Router provide a control plane---they aren't involved in\n the data plane---so packets don't pass through the Cloud NAT gateway\n or Cloud Router.\n\n Even though a Cloud NAT gateway for Private NAT is\n managed by a Cloud Router, Private NAT doesn't use or depend on the\n Border Gateway Protocol.\n- Private NAT does not support [Endpoint-Independent Mapping](https://tools.ietf.org/html/rfc5128).\n- You cannot use Private NAT to translate a specific primary or secondary IP address range for a given subnet. A Private NAT gateway performs NAT on all IPv4 address ranges for a given subnet or list of subnets.\n- After you create the subnet, you cannot increase or decrease the Private NAT subnet size. However, you can specify multiple Private NAT subnet ranges for a given gateway.\n- Private NAT supports a maximum of 64,000 simultaneous connections per endpoint.\n- Private NAT supports only TCP and UDP. ICMP and other protocols are not supported.\n- A virtual machine (VM) instance in a VPC network can only access destinations in a non-overlapping---not in an overlapping---subnetwork in a connected network.\n\n### Routes and firewall rules\n\nPrivate NAT uses the following routes:\n\n- For Network Connectivity Center spokes, Private NAT uses subnet routes and dynamic routes:\n - For traffic between two VPC spokes attached to a Network Connectivity Center hub that contains only VPC spokes, Private NAT uses the subnet routes exchanged by the attached VPC spokes. For information about VPC spokes, see [VPC spokes overview](/network-connectivity/docs/network-connectivity-center/concepts/vpc-spokes-overview).\n - If a Network Connectivity Center hub contains both VPC spokes and hybrid spokes such as VLAN attachments for Cloud Interconnect, Cloud VPN tunnels, or Router appliance VMs, Private NAT uses the dynamic routes learned by the hybrid spokes through BGP and subnet routes exchanged by the attached VPC spokes. For information about hybrid spokes, see [Hybrid spokes](/network-connectivity/docs/network-connectivity-center/concepts/overview#hybrid_spokes).\n- For Hybrid NAT, Private NAT uses dynamic routes learned by Cloud Router over Cloud Interconnect or Cloud VPN.\n\n\nCloud NGFW firewall rules are applied directly to the network interfaces of\nCompute Engine VMs, not Cloud NAT gateways for Private NAT.\n\nWhen a Cloud NAT gateway for Private NAT provides NAT for a VM's network\ninterface, applicable egress firewall rules are evaluated as packets for that network interface\nbefore NAT. Ingress firewall rules are evaluated after packets have been processed by NAT.\nYou don't need to create any firewall rules specifically for NAT.\n\n\u003cbr /\u003e\n\n### Subnet IP address range applicability\n\n\n\u003cbr /\u003e\n\n| **Important:** In Google Cloud, the terms *subnet* and *IP address range* are not synonyms. Each subnet has one primary IP address range, and, optionally, multiple secondary IP address ranges. For background information essential to understanding subnet IP address range applicability, see the [VPC network overview](/vpc/docs/vpc).\n\n\u003cbr /\u003e\n\nYou can configure a Cloud NAT gateway for Private NAT to provide NAT for the\nfollowing:\n\n\u003cbr /\u003e\n\n- **Primary and secondary IP address ranges of all subnets in the region.** A single Private NAT gateway provides NAT for the primary internal IP addresses and all alias IP ranges of eligible VMs whose network interfaces use a subnet in the region. This option uses exactly one NAT gateway per region.\n- **Custom subnet list**: a single Cloud NAT gateway provides NAT for\n the primary internal IP addresses and all alias IP ranges of eligible VMs whose network\n interfaces use a subnet from a list of specified subnets.\n\n### Bandwidth\n\n\nUsing a Cloud NAT gateway for Private NAT doesn't change the amount of outbound or\ninbound bandwidth that a VM can use. For bandwidth specifications, which vary by\nmachine type, see [Network bandwidth](/compute/docs/network-bandwidth) in the\nCompute Engine documentation.\n\n\u003cbr /\u003e\n\n### VMs with multiple network interfaces\n\n\nIf you configure a VM to have [multiple network\ninterfaces](/vpc/docs/multiple-interfaces-concepts), each interface must be in a\nseparate VPC network.\nConsequently, a\nCloud NAT gateway for Private NAT can only apply to a single network interface\nof a VM. Separate Cloud NAT gateways for Private NAT can provide NAT to the same\nVM, where each gateway applies to a separate interface.\n\n### NAT IP addresses and ports\n\nWhen you create a Private NAT gateway, you must specify a subnet of purpose `PRIVATE_NAT`\nfrom which NAT IP addresses are assigned for the VMs. For more information about Private NAT\nIP address assignment, see [Private NAT IP addresses](/nat/docs/ports-and-addresses#pvt-nat-ip).\n\n\nYou can configure the number of source ports that each Cloud NAT gateway for Private NAT\nreserves on each VM for which it is to provide NAT services. You can\nconfigure [static port allocation](/nat/docs/ports-and-addresses#static-port),\nwhere the same number of ports is reserved for each VM, or\n[dynamic port\nallocation](/nat/docs/ports-and-addresses#dynamic-port), where the number of reserved\nports can vary between the minimum and maximum limits that you specify.\n\nThe VMs for which NAT is to be provided are determined by the\n[subnet IP\naddress ranges](#specs-subnet-ranges) that the gateway is configured to serve.\n\nFor more information about ports, see [Ports](/nat/docs/ports-and-addresses#ports).\n\n\u003cbr /\u003e\n\n### Applicable RFCs\n\nPrivate NAT is a Port Restricted Cone NAT as defined in [RFC 3489](https://www.ietf.org/rfc/rfc3489.txt).\n\n### NAT timeouts\n\nPrivate NAT sets timeouts for protocol connections. For\ninformation about these timeouts and their default values,\nsee [NAT timeouts](/nat/docs/tune-nat-configuration#nat-timeouts).\n\nWhat's next\n-----------\n\n- Set up [Private NAT](/nat/docs/set-up-private-nat).\n- Learn about [Cloud NAT product interactions](/nat/docs/nat-product-interactions).\n- Learn about [Cloud NAT addresses and ports](/nat/docs/ports-and-addresses).\n- Learn about [Cloud NAT rules](/nat/docs/nat-rules-overview).\n- Troubleshoot [common issues](/nat/docs/troubleshooting)."]]