NAT privato

Private NAT abilita la traduzione degli indirizzi da private a private tra le reti:

  • Private NAT per gli spoke di Network Connectivity Center consente la traduzione degli indirizzi di rete da privato a privato (NAT, Private-to-Private Network Address Translation) per Reti Virtual Private Cloud (VPC) connesse a un hub di Network Connectivity Center, che include NAT da privato a privato per il traffico tra spoke VPC e tra spoke VPC e degli spoke ibridi.
  • Hybrid NAT (anteprima) abilita il NAT da privato a privato Reti VPC e reti on-premise o di altri cloud provider collegate a Google Cloud tramite Cloud Interconnect o Cloud VPN.

Specifiche

Le seguenti sezioni descrivono le specifiche del Private NAT. Queste specifiche si applicano sia Private NAT per gli spoke di Network Connectivity Center e NAT ibrido.

Specifiche generali

  • Private NAT consente le connessioni in uscita e le risposte in entrata a queste connessioni. Ogni gateway Private NAT esegue la NAT di origine sul traffico in uscita e la NAT di destinazione per i pacchetti di risposta stabiliti.

  • Private NAT non supporta le reti VPC in modalità automatica.
  • Private NAT non consente le richieste in entrata non richieste dalle reti connesse, anche se delle regole altrimenti consentirebbero tali richieste. Per ulteriori informazioni, vedi RFC applicabili.

  • Ogni gateway Private NAT è associato a un singolo VPC rete, regione e router Cloud. Il gateway Private NAT il router Cloud fornisce un piano di controllo, non è coinvolto dal piano dati, quindi i pacchetti non passano attraverso il gateway Private NAT o router Cloud.

  • Private NAT non supporta la mappatura indipendente dagli endpoint.
  • Non puoi utilizzare Private NAT per tradurre un di indirizzi IP secondari per una data subnet. Private NAT il gateway esegue la traduzione NAT su tutti gli intervalli di indirizzi IPv4 per una data subnet o un elenco di subnet.
  • Dopo aver creato la subnet, non puoi aumentare o diminuire il Private NAT la dimensione della subnet. Tuttavia, puoi specificare più intervalli di subnet Private NAT per un determinato gateway.
  • Private NAT supporta un massimo di 64.000 connessioni simultanee per endpoint.
  • Private NAT supporta solo connessioni TCP e UDP.
  • Un'istanza di una macchina virtuale (VM) in una rete VPC può accedere solo destinazioni in una subnet non sovrapposta e non sovrapposta su una rete connessa.

Route e regole firewall

Private NAT utilizza le seguenti route:

  • Per gli spoke di Network Connectivity Center, Private NAT utilizza route di subnet e route dinamiche:
    • Per il traffico tra due spoke VPC collegati un hub di Network Connectivity Center contenente solo spoke VPC, Private NAT utilizza le route di subnet scambiati dagli spoke VPC collegati. Per informazioni sugli spoke VPC, consulta Panoramica degli spoke VPC.
    • Se un hub di Network Connectivity Center contiene entrambi gli spoke VPC e spoke ibridi come i collegamenti VLAN per Cloud Interconnect, i tunnel Cloud VPN o VM dell'appliance router; Private NAT utilizza le route dinamiche apprese dagli spoke ibridi tramite BGP (anteprima) e route di subnet scambiate dagli spoke VPC collegati. Per informazioni sugli ambienti spoke, consulta spoke ibridi.
  • Per Hybrid NAT (anteprima), Private NAT utilizza route dinamiche apprese dal router Cloud su Cloud Interconnect o Cloud VPN.

Private NAT non ha requisiti per le regole Cloud NGFW. Le regole firewall sono applicata direttamente alle interfacce di rete delle VM di Compute Engine, non ai gateway Private NAT.

Non è necessario creare regole firewall speciali che consentano le connessioni da o verso l'IP NAT indirizzi IP esterni. Quando un gateway Private NAT fornisce il servizio NAT per l'interfaccia di rete di una VM, il traffico Le regole firewall vengono valutate come pacchetti per quell'interfaccia di rete prima del NAT. Firewall in entrata vengono valutate dopo che i pacchetti sono stati elaborati da NAT.

Applicabilità dell'intervallo di indirizzi IP della subnet

Puoi configurare un gateway Private NAT per fornire NAT per quanto segue:

  • Intervalli di indirizzi IP principali e secondari di tutte le subnet nella regione. Un singolo Il gateway Private NAT fornisce il NAT per l'IP interno principale e tutti gli intervalli IP alias delle VM idonee le cui interfacce di rete una subnet nella regione. Questa opzione utilizza esattamente un gateway NAT per regione.
  • Elenco di subnet personalizzate. Un singolo gateway Private NAT fornisce il NAT per l'IP interno principale e tutti gli intervalli IP alias delle VM idonee le cui interfacce di rete utilizzano una subnet da un elenco di subnet specificate.

Larghezza di banda

L'uso di un gateway Private NAT non cambia la quantità di messaggi in uscita e la larghezza di banda in entrata utilizzabile da una VM. Per le specifiche della larghezza di banda, che variano di tipo di macchina, consulta Larghezza di banda di rete nell' documentazione di Compute Engine.

VM con più interfacce di rete

Se configuri una VM in modo che abbia più reti interfacce, ogni interfaccia deve essere in in una rete VPC separata. Di conseguenza, Il gateway Private NAT può essere applicato solo a una singola interfaccia di rete di una VM. Gateway Private NAT separati possono fornire NAT allo stesso in cui ogni gateway si applica a un'interfaccia separata.

Indirizzi IP e porte NAT

Quando crei un gateway Private NAT, devi specificare una subnet di scopo PRIVATE_NAT da cui vengono assegnati gli indirizzi IP NAT per le VM. Per ulteriori informazioni su Private NAT Per l'assegnazione degli indirizzi IP, vedi Indirizzi IP Private NAT.

Puoi configurare il numero di porte di origine per cui ogni Private NAT il gateway riserva su ogni VM per cui fornisce servizi NAT. Puoi configurare l'allocazione statica delle porte in cui viene riservato lo stesso numero di porte per ogni VM, oppure porta dinamica allocazione, dove il numero di richieste di annunci le porte possono variare tra il limite minimo e massimo specificato.

Le VM per le quali deve essere fornito NAT sono determinate IP di subnet di indirizzi IP che il gateway è configurato per la pubblicazione.

Per ulteriori informazioni sulle porte, consulta la sezione Porte.

RFC applicabili

Private NAT è un Cone NAT con limitazioni per le porte, come definito nel documento RFC 3489.

Timeout NAT

Private NAT imposta timeout per le connessioni di protocollo. Per informazioni su questi timeout e sui relativi valori predefiniti, consulta i timeout NAT.

Passaggi successivi