专用 NAT
Private NAT 可实现从专用到专用地址转换 网络之间:
- 用于 Network Connectivity Center spoke 的 Private NAT 支持从专用网络地址转换 (NAT) 连接到 Network Connectivity Center hub 的 Virtual Private Cloud (VPC) 网络; 其中包括用于从专用到专用 NAT 之间的流量, VPC spoke 之间 混合辐射。
- 混合 NAT(预览版) 支持从专用到专用 NAT, VPC 网络与本地或其他云提供商网络 通过 Cloud Interconnect 连接到 Google Cloud 的 Cloud VPN。
规格
以下部分介绍了 专用 NAT。这些规范同时适用于 用于 Network Connectivity Center spoke 和 混合 NAT。
一般规范
-
Private NAT 允许出站连接和对这些连接的入站响应。每个 Private NAT 网关都会对已建立的响应数据包执行出站来源和目标 NAT。
- Private NAT 不支持自动模式的 VPC 网络。
-
Private NAT 不允许来自已连接网络的未经请求的入站请求,即使防火墙 否则就会允许这些请求如需了解详情,请参阅适用的 RFC。
-
每个 Private NAT 网关都与一个 VPC 网络、区域和 Cloud Router 路由器相关联。Private NAT 网关和 Cloud Router 路由器提供了一个控制平面 - 数据平面中并未涉及这两项服务,因此数据包不会通过 Private NAT 网关或 Cloud Router 路由器。
- Private NAT 不支持端点独立映射。
- 您无法使用专用 NAT 来转换特定的主实例或 给定子网的次要 IP 地址范围专用 NAT 会在所有 IPv4 地址范围上执行 NAT,即 所有子网
- 创建子网后,无法增加或减少专用 NAT 子网大小 但是,您可以为给定网关指定多个专用 NAT 子网范围。
- Private NAT 支持每个端点最多 64,000 个并发连接。
- Private NAT 仅支持 TCP 和 UDP 连接。
- VPC 网络中的虚拟机 (VM) 实例只能访问 目的地位于非重叠(不重叠)子网中 连接网络。
路由和防火墙规则
Private NAT 使用以下路由:
- 对于 Network Connectivity Center spoke,Private NAT 会使用子网路由
和动态路由:
- 对于连接到的两个 VPC spoke 之间的流量 仅包含 VPC spoke 的 Network Connectivity Center hub; 专用 NAT 使用子网路由 由连接的 VPC spoke 进行交换。相关信息 有关 VPC spoke 的信息,请参阅 VPC spoke 概览。
- 如果 Network Connectivity Center hub 同时包含这两个 VPC spoke 和混合 spoke,例如用于 Cloud Interconnect 的 VLAN 连接; Cloud VPN 隧道,即路由器设备虚拟机 Private NAT 使用动态路由 由混合 spoke 通过 BGP(预览版)学习,以及 连接的 VPC spoke 交换的子网路由。关于 Hybrid 请参阅混合 spoke。
- 对于混合 NAT(预览版): Private NAT 使用动态路由 Cloud Router 通过 Cloud Interconnect 学习的 或 Cloud VPN
Private NAT 没有任何 Cloud NGFW 规则要求。防火墙规则直接应用于 Compute Engine 虚拟机的网络接口,而非 Private NAT 网关。
您无需创建任何特殊防火墙规则来允许连接到或从 NAT IP 地址连接。当 Private NAT 网关为虚拟机的网络接口提供 NAT 时,适用的出站防火墙规则将在 NAT 之前被评估为网络接口的数据包。入站防火墙规则将在 NAT 处理完数据包后进行评估。
子网 IP 地址范围适用性
您可配置 Private NAT 网关来为以下各项提供 NAT:
- 相应地区中所有子网的主要和次要 IP 地址范围。单个 Private NAT 网关为符合条件的虚拟机的主要内部 IP 地址和所有别名 IP 范围提供 NAT,其中这些虚拟机的网络接口使用该区域中的子网。此选项只会为每个区域使用一个 NAT 网关。
-
自定义子网列表。单个 Private NAT 网关为符合条件的虚拟机的主要内部 IP 地址和所有别名 IP 范围提供 NAT,其中这些虚拟机的网络接口使用指定子网列表中的子网。
带宽
使用 Private NAT 网关不会更改虚拟机可使用的出站或入站带宽量。如需了解带宽规范(因机器类型而异),请参阅 Compute Engine 文档中的网络带宽。
包含多个网络接口的虚拟机
如果您将虚拟机配置为拥有多个网络 接口,每个接口都必须采用 单独的 VPC 网络。 因此, Private NAT 网关只能应用于一个网络接口 虚拟机。单独的 Private NAT 网关可以为同一虚拟机提供 NAT,在这种情况下,每个网关都会应用于单独的接口。
NAT IP 地址和端口
创建Private NAT 网关时,您必须指定用途为 PRIVATE_NAT 的子网,为虚拟机分配 NAT IP 地址。如需详细了解 Private NAT IP 地址分配,请参阅 Private NAT IP 地址。
您可以配置每个 Private NAT 网关在要提供 NAT 服务的每个虚拟机上预留的源端口数量。您可以配置静态端口分配(其中,为每个虚拟机预留相同数量的端口),或动态端口分配(其中,预留端口的数量可以在您指定的下限和上限之间变化)。
应为其提供 NAT 的虚拟机由您配置该网关以提供服务的子网 IP 地址范围决定。
如需详细了解端口,请参阅端口。
适用的 RFC
Private NAT 是 RFC 3489 中定义的端口受限锥 NAT。
NAT 超时
Private NAT 会为协议连接设置超时。对于 超时及其默认值的相关信息 请参阅 NAT 超时。
后续步骤
- 设置专用 NAT。
- 了解 Cloud NAT 产品交互。
- 了解 Cloud NAT 地址和端口。
- 了解 Cloud NAT 规则。
- 排查常见问题。