プライベート NAT

Private NAT を使用すると、Google Cloud ネットワークと他のオンプレミスまたはクラウド プロバイダ ネットワークの間でプライベートからプライベートへの変換が可能になります。Private NAT では、次のプライベートからプライベートへの変換オプションを提供します。

  • Inter-VPC NAT: Network Connectivity Center ハブに接続されている Virtual Private Cloud(VPC)ネットワーク間でプライベートからプライベートへの変換を有効にします。
  • ハイブリッド NATプレビュー): Google Cloud のエンタープライズ ハイブリッド接続性ソリューション上で接続されている VPC ネットワークとオンプレミスまたはクラウド プロバイダ ネットワークの間で、プライベートからプライベートへの変換を有効にします。

仕様

以降のセクションでは、Private NAT の仕様について説明します。この仕様は、Inter-VPC NAT とハイブリッド NAT の両方に適用されます。

全般的な仕様

  • Private NAT により、アウトバウンド接続とそれに対するインバウンド レスポンスを可能にしています。各 Private NAT ゲートウェイは、下り(外向き)に送信元 NAT を実行し、確立済みのレスポンス パケットに宛先 NAT を実行します。

  • Private NAT は、自動モードの VPC ネットワークをサポートしていません。

  • Private NAT では、接続されたネットワークからの未承諾のインバウンド リクエストは、ファイアウォール ルールで許可されている場合でも許可されません。詳細については、該当する RFC をご覧ください。

  • 各 Private NAT ゲートウェイは、1 つの VPC ネットワーク、リージョン、Cloud Router に関連付けられます。Private NAT ゲートウェイと Cloud Router は、データプレーンに関与していないコントロール プレーンを提供するため、パケットは Private NAT ゲートウェイまたは Cloud Router を通過しません。

  • Private NAT は、エンドポイントに依存しないマッピングをサポートしていません。
  • Private NAT を使用して、特定のサブネットの特定のプライマリ IP アドレス範囲やセカンダリ IP アドレス範囲を変換することはできません。Private NAT ゲートウェイは、特定のサブネットまたはサブネットのリストのすべての IPv4 アドレス範囲に対して NAT を実行します。
  • サブネットを作成した後は、Private NAT サブネットのサイズを増減することはできません。ただし、指定したゲートウェイに複数の Private NAT サブネット範囲を指定できます。
  • Private NAT では、エンドポイントごとに最大 64,000 件の同時接続をサポートします。
  • Private NAT では、TCP 接続と UDP 接続のみをサポートします。
  • VPC ネットワーク内にある仮想マシン(VM)インスタンスは、接続されたネットワーク内の重複しない(重複するではない)サブネットワーク内の宛先にのみアクセスできます。

ルートとファイアウォール ルール

Private NAT は次のルートを使用します。

  • Inter-VPC NAT の場合、Private NAT は、Network Connectivity Center ハブに接続された 2 つの Network Connectivity Center VPC スポークによって交換されるサブネット ルートのみを使用します。Network Connectivity Center の VPC スポークの詳細については、VPC スポークの概要をご覧ください。
  • ハイブリッド NAT(プレビュー)の場合、Private NAT は Google Cloud のハイブリッド接続性オプション上で Cloud Router によって学習された動的ルートを使用します。

Private NAT には Cloud NGFW ルールの要件はありません。ファイアウォール ルールは、Private NAT ゲートウェイではなく、Compute Engine VM のネットワーク インターフェースに直接適用されます。

NAT IP アドレスとの間の接続を許可する特別なファイアウォール ルールを作成する必要はありません。Private NAT ゲートウェイが VM のネットワーク インターフェースに NAT を提供する場合、NAT の前に、ネットワーク インターフェースのパケットに対して該当する下り(外向き)ファイアウォール ルールが評価されます。また、NAT によって処理された後に、上り(内向き)ファイアウォール ルールが評価されます。

サブネット IP アドレス範囲の適用範囲

次のものに対して NAT を実施提供するように Private NAT ゲートウェイを構成できます。

  • リージョン内のすべてのサブネットのプライマリおよびセカンダリ IP アドレス範囲。ネットワーク インターフェースがリージョンのサブネットを使用している対象 VM のプライマリ内部 IP アドレスとすべてのエイリアス IP 範囲に対して、単一の Private NAT ゲートウェイが NAT を実施します。このオプションは、リージョンごとに、正確に 1 つの NAT ゲートウェイを使用します。

  • カスタム サブネット リスト。ネットワーク インターフェースが指定のサブネットのリストからサブネットを使用する対象 VM のプライマリ内部 IP アドレスとすべてのエイリアス IP 範囲に対して、単一の Private NAT ゲートウェイが NAT を提供します。

帯域幅

Private NAT ゲートウェイを使用しても、VM が使用できるアウトバウンドまたはインバウンド帯域幅の総量は変わりません。帯域幅の仕様はマシンタイプによって異なります。詳しくは、Compute Engine のドキュメントでのネットワーク帯域幅をご覧ください。

複数のネットワーク インターフェースを持つ VM

VM に複数のネットワーク インターフェースを持つように構成する場合、各インターフェースは別々の VPC ネットワークに属している必要があります。したがって、Private NAT ゲートウェイは VM の 1 つのネットワーク インターフェースにのみ適用されます。個別の Private NAT ゲートウェイは同じ VM に NAT を提供できます。この場合、各ゲートウェイが個々の別個のインターフェースに適用されます。

NAT IP アドレスとポート

Private NAT ゲートウェイを作成する際には、VM に NAT IP アドレスを割り当てる目的 PRIVATE_NAT のサブネットを指定する必要があります。Private NAT IP アドレスの割り当ての詳細については、Private NAT IP アドレスをご覧ください。

各 Private NAT ゲートウェイが NAT サービスを提供する各 VM で予約する送信元ポートの数を構成できます。静的ポートの割り当てを構成できます。この場合、各 VM に同じ数のポートが予約されます。あるいは、動的ポートの割り当てを構成できます。この場合、予約済みポートの数は、指定した上限と下限の間で変更できます。

NAT を実施する VM は、ゲートウェイが提供するように構成されているサブネット IP アドレス範囲によって決まります。

ポートの詳細については、ポートをご覧ください。

適用される RFC

Cloud NAT は、RFC 3489 で定義されているポート制限付き Cone NAT です。

NAT タイムアウト

Private NAT は、プロトコル接続のタイムアウトを設定します。これらのタイムアウトとそのデフォルト値については、NAT タイムアウトをご覧ください。

次のステップ