Diese Seite wurde von der Cloud Translation API übersetzt.

Private NAT

Private NAT ermöglicht die private-zu-private-Adressübersetzung zwischen Netzwerken:

Private NAT für Network Connectivity Center-Spokes ermöglicht die private-zu-private Network Address Translation (NAT) für VPC-Netzwerke (Virtual Private Cloud), die mit einem Network Connectivity Center-Hub verbunden sind. Dazu gehört auch die private-zu-private NAT für Traffic zwischen VPC-Spokes und zwischen VPC-Spokes und Hybrid-Spokes.
Hybrid NAT ermöglicht eine private-zu-private NAT-Verbindung zwischen VPC-Netzwerken und lokalen Netzwerken oder Netzwerken anderer Cloud-Anbieter, die über Cloud Interconnect oder Cloud VPN mit Google Cloud verbunden sind.

Spezifikationen

In den folgenden Abschnitten werden die Spezifikationen für Private NAT beschrieben. Diese Spezifikationen gelten sowohl für Private NAT für Network Connectivity Center-Spokes als auch für Hybrid NAT.

Allgemeine Spezifikationen

Private NAT ermöglicht ausgehende Verbindungen und die eingehenden Antworten auf diese Verbindungen. Jedes Private NAT-Gateway führt Quell-NAT bei ausgehendem Traffic und Ziel-NAT für etablierte Antwortpakete aus.
Private NAT unterstützt keine VPC-Netzwerke im automatischen Modus.
Private NAT erlaubt keine unerwünschten eingehenden Anfragen aus verbundenen Netzwerken, auch wenn Firewallregeln diese Anfragen andernfalls zulassen würden. Weitere Informationen finden Sie unter Anwendbare RFCs.
Jedes private NAT-Gateway ist einem einzelnen VPC-Netzwerk, einer Region und einem Cloud Router zugeordnet. Das Private NAT-Gateway und der Cloud Router bieten eine Steuerungsebene. Sie sind nicht an der Datenebene beteiligt, sodass Pakete nicht über das Private NAT-Gateway oder den Cloud Router geleitet werden.

Hinweis: Obwohl ein Private NAT-Gateway von einem Cloud Router verwaltet wird, verwendet Private NAT nicht das Border Gateway Protocol (BGP) und ist auch nicht davon abhängig.
Private NAT unterstützt keine endpunktunabhängige Zuordnung.
Sie können Private NAT nicht verwenden, um einen bestimmten primären oder sekundären IP-Adressbereich für ein bestimmtes Subnetz zu übersetzen. Ein privates NAT-Gateway führt NAT für alle IPv4-Adressbereiche für ein bestimmtes Subnetz oder eine Liste von Subnetzen durch.
Nachdem Sie das Subnetz erstellt haben, können Sie die Größe des privaten NAT-Subnetzes nicht mehr erhöhen oder verringern. Sie können jedoch mehrere private NAT-Subnetzbereiche für ein bestimmtes Gateway angeben.
Private NAT unterstützt maximal 64.000 gleichzeitige Verbindungen pro Endpunkt.
Private NAT unterstützt nur TCP- und UDP-Verbindungen.
Eine VM-Instanz in einem VPC-Netzwerk kann nur auf Ziele in einem nicht überlappenden Subnetz in einem verbundenen Netzwerk zugreifen.

Routen und Firewallregeln

Private NAT verwendet die folgenden Routen:

Für Network Connectivity Center-Spokes verwendet Private NAT Subnetzrouten und dynamische Routen:
- Für Traffic zwischen zwei VPC-Spokes, die mit einem Network Connectivity Center-Hub verbunden sind, der nur VPC-Spokes enthält, verwendet Private NAT die Subnetzrouten, die von den verbundenen VPC-Spokes ausgetauscht werden. Informationen zu VPC-Spokes finden Sie unter VPC-Spokes.
- Wenn ein Network Connectivity Center-Hub sowohl VPC-Spokes als auch Hybrid-Spokes wie VLAN-Anhänge für Cloud Interconnect, Cloud VPN-Tunnel oder Router-Appliance-VMs enthält, verwendet Private NAT die dynamischen Routen, die die Hybrid-Spokes über BGP und Subnetz-Routen gelernt haben, die von den verbundenen VPC-Spokes ausgetauscht werden. Weitere Informationen zu Hybrid-Spokes finden Sie unter Hybrid-Spokes.
Bei Hybrid-NAT verwendet Private NAT dynamische Routen, die vom Cloud Router über Cloud Interconnect oder Cloud VPN gelernt wurden.

Für Private NAT gelten keine Anforderungen an Cloud NGFW-Regeln. Firewallregeln werden direkt auf die Netzwerkschnittstellen von Compute Engine-VMs angewendet, nicht auf private NAT-Gateways.

Sie müssen keine spezifischen Firewallregeln erstellen, die Verbindungen zu oder von NAT-IP-Adressen zulassen. Wenn ein Private NAT-Gateway NAT für die Netzwerkschnittstelle einer VM bereitstellt, werden geltende Firewallregeln für ausgehenden Traffic als Pakete für diese Netzwerkschnittstelle vor NAT ausgewertet. Firewallregeln für eingehenden Traffic werden ausgewertet, nachdem Pakete von NAT verarbeitet wurden.

Anwendbarkeit des Subnetz-IP-Adressbereichs

Sie können ein privates NAT-Gateway konfigurieren, um NAT für Folgendes bereitzustellen:

Primäre und sekundäre IP-Adressbereiche aller Subnetze in der Region. Ein einzelnes privates NAT-Gateway bietet NAT für die primären internen IP-Adressen und alle Alias-IP-Bereiche berechtigter VMs, deren Netzwerkschnittstellen ein Subnetz in der Region verwenden. Bei dieser Option wird genau ein NAT-Gateway pro Region verwendet.
Benutzerdefinierte Subnetzliste Ein einzelnes privates NAT-Gateway bietet NAT für die primären internen IP-Adressen und alle Alias-IP-Bereiche berechtigter VMs, deren Netzwerkschnittstellen ein Subnetz aus einer Liste angegebener Subnetze verwenden.

Bandbreite

Die Verwendung eines privaten NAT-Gateways wirkt sich nicht auf die Größe der von einer VM verwendeten ausgehenden oder eingehenden Bandbreite aus. Informationen zu Bandbreitenspezifikationen, die je nach Maschinentyp variieren, finden Sie unter Netzwerkbandbreite in der Compute Engine-Dokumentation.

VMs mit mehreren Netzwerkschnittstellen

Wenn Sie eine VM mit mehreren Netzwerkschnittstellen konfigurieren, muss sich jede Schnittstelle in einem separaten VPC-Netzwerk befinden. Daher kann ein privates NAT-Gateway nur auf eine einzelne Netzwerkschnittstelle einer VM angewendet werden. Separate private NAT-Gateways können NAT auf derselben VM bereitstellen, wobei jedes Gateway für eine separate Schnittstelle gilt.

NAT-IP-Adressen und -Ports

Wenn Sie ein privates NAT-Gateway erstellen, müssen Sie ein Subnetz mit dem Zweck PRIVATE_NAT angeben, aus dem den VMs NAT-IP-Adressen zugewiesen werden. Weitere Informationen zur Zuweisung von IP-Adressen für Private NAT finden Sie unter Private NAT-IP-Adressen.

Sie können die Anzahl der Quellports konfigurieren, die jedes Private NAT-Gateway für jede VM reserviert, für die NAT-Dienste bereitgestellt werden sollen. Sie können die statische Portzuweisung konfigurieren, wobei für jede VM dieselbe Anzahl von Ports reserviert ist, oder für die dynamische Portzuweisung, wobei die Anzahl der reservierten Ports zwischen dem von Ihnen angegebenen Mindest- und Höchstwert variieren kann.

Die VMs, für die NAT bereitgestellt werden soll, richten sich nach den Subnetz-IP-Adressbereichen, für deren Bereitstellung das Gateway konfiguriert ist.

Weitere Informationen zu Ports finden Sie unter Ports.

Anwendbare RFCs

Private NAT ist eine Port-eingeschränkte Cone-NAT, wie in RFC 3489 definiert.

NAT-Zeitlimits

Private NAT legt Zeitlimits für Protokollverbindungen fest. Informationen zu diesen Zeitlimits und ihren Standardwerten finden Sie unter NAT-Zeitlimits.

Nächste Schritte

Richten Sie Private NAT ein.
Weitere Informationen zu Cloud NAT-Produktinteraktionen
Weitere Informationen zu Cloud NAT-Adressen und -Ports
Weitere Informationen zu Cloud NAT-Regeln
Häufige Probleme beheben