Questa pagina è stata tradotta dall'API Cloud Translation.

NAT privato

Private NAT consente la traduzione di indirizzi private-to-private tra le reti:

Private NAT per gli spoke di Network Connectivity Center consente la Network Address Translation (NAT) da privato a privato per le reti VPC (Virtual Private Cloud) connesse a un hub Network Connectivity Center, che include la NAT da privato a privato per il traffico tra gli spoke VPC e tra gli spoke VPC e gli spoke ibride.
Hybrid NAT consente la NAT private-to-private tra reti VPC e reti on-premise o di altri provider cloud collegate a Google Cloud tramite Cloud Interconnect o Cloud VPN.

Specifiche

Le sezioni seguenti descrivono le specifiche di Private NAT. Queste specifiche si applicano sia a Private NAT per gli spoke di Network Connectivity Center sia a Hybrid NAT.

Specifiche generali

Private NAT consente le connessioni in uscita e le risposte in entrata a queste connessioni. Ogni gateway Private NAT esegue il source NAT in uscita e il destination NAT per i pacchetti di risposta stabiliti.
Private NAT non supporta le reti VPC in modalità automatica.
Private NAT non consente richieste in entrata non richieste da reti collegate, anche se le regole del firewall consentirebbero altrimenti queste richieste. Per ulteriori informazioni, consulta le RFC applicabili.
Ogni gateway Private NAT è associato a una singola rete VPC, regione e router Cloud. Il gateway Private NAT e il router Cloud forniscono un piano di controllo: non sono coinvolti nel piano dati, pertanto i pacchetti non passano attraverso il gateway Private NAT o router Cloud.

Nota: anche se un gateway Private NAT è gestito da un router Cloud, Private NAT non utilizza né dipende dal protocollo BGP (Border Gateway Protocol).
Private NAT non supporta il mapping indipendente dagli endpoint.
Non puoi utilizzare la traduzione NAT privata per tradurre un intervallo di indirizzi IP principale o secondario specifico per una determinata subnet. Un gateway Private NAT esegue il NAT su tutti gli intervalli di indirizzi IPv4 per una determinata subnet o un elenco di subnet.
Dopo aver creato la subnet, non puoi aumentare o diminuire le dimensioni della subnet NAT privata. Tuttavia, puoi specificare più intervalli di subnet NAT privato per un determinato gateway.
Private NAT supporta un massimo di 64.000 connessioni simultanee per endpoint.
Private NAT supporta solo le connessioni TCP e UDP.
Un'istanza di una macchina virtuale (VM) in una rete VPC può accedere solo alle destinazioni in una subnet non sovrapposta, non in una sovrapposta, in una rete collegata.

Route e regole firewall

Private NAT utilizza i seguenti route:

Per gli spoke di Network Connectivity Center, Private NAT utilizza route di subnet e route dinamiche:
- Per il traffico tra due spoke VPC collegati a un hub Network Connectivity Center contenente solo spoke VPC, Private NAT utilizza le route di subnet scambiate dagli spoke VPC collegati. Per informazioni sugli spoke VPC, consulta la panoramica degli spoke VPC.
- Se un hub Network Connectivity Center contiene sia spoke VPC sia spoke ibridi, come i collegamenti VLAN per Cloud Interconnect, i tunnel Cloud VPN o le VM dell'appliance router, Private NAT utilizza le route dinamiche apprese dagli spoke ibridi tramite BGP e le route di sottorete scambiate dagli spoke VPC collegati. Per informazioni sugli spoke ibridi, consulta Spoke ibridi.
Per Hybrid NAT, Private NAT utilizza le route dinamiche imparate dal router Cloud tramite Cloud Interconnect o Cloud VPN.

Private NAT non ha requisiti per le regole Cloud NGFW. Le regole firewall vengono applicate direttamente alle interfacce di rete delle VM Compute Engine, non ai gateway Private NAT.

Non devi creare regole firewall speciali che consentano connessioni a o da indirizzi IP NAT. Quando un gateway NAT privato fornisce NAT per l'interfaccia di rete di una VM, le regole firewall in uscita applicabili vengono valutate come pacchetti per l'interfaccia di rete prima di NAT. Le regole firewall in entrata vengono valutate dopo che i pacchetti sono stati elaborati da NAT.

Applicabilità dell'intervallo di indirizzi IP della subnet

Puoi configurare un gateway Private NAT per fornire NAT per quanto segue:

Intervalli di indirizzi IP principali e secondari di tutte le subnet nella regione. Un singolo gateway NAT privato fornisce NAT per gli indirizzi IP interni principali e per tutti gli intervalli IP alias delle VM idonee le cui interfacce di rete utilizzano una subnet nella regione. Questa opzione utilizza esattamente un gateway NAT per regione.
Elenco di subnet personalizzate. Un singolo gateway NAT privato fornisce la traduzione NAT per gli indirizzi IP interni principali e per tutti gli intervalli IP alias delle VM idonee le cui interfacce di rete utilizzano una subnet da un elenco di subnet specificate.

Larghezza di banda

L'utilizzo di un gateway NAT privato non modifica la quantità di larghezza di banda in entrata o in uscita che una VM può utilizzare. Per le specifiche della larghezza di banda, che variano in base al tipo di macchina, consulta Larghezza di banda della rete nella documentazione di Compute Engine.

VM con più interfacce di rete

Se configuri una VM con più interfacce di rete, ogni interfaccia deve trovarsi in una rete VPC distinta. Di conseguenza, un gateway NAT privato può essere applicato solo a una singola interfaccia di rete di una VM. Gateway NAT privati separati possono fornire NAT alla stessa VM, dove ogni gateway si applica a un'interfaccia separata.

Indirizzi IP e porte NAT

Quando crei un gateway NAT privato, devi specificare una subnet di destinazione PRIVATE_NAT da cui vengono assegnati gli indirizzi IP NAT per le VM. Per ulteriori informazioni sull'assegnazione degli indirizzi IP Private NAT, consulta Indirizzi IP Private NAT.

Puoi configurare il numero di porte di origine che ogni gateway Private NAT riserva su ogni VM per cui deve fornire servizi NAT. Puoi configurare l'allocazione statica delle porte, in cui lo stesso numero di porte è riservato per ogni VM, o l'allocazione dinamica delle porte, in cui il numero di porte riservate può variare tra i limiti minimo e massimo specificati.

Le VM per le quali deve essere fornito il NAT sono determinate dagli intervalli di indirizzi IP della subnet per i quali il gateway è configurato per il servizio.

Per ulteriori informazioni sulle porte, consulta Porte.

RFC applicabili

Private NAT è un NAT con cono limitato alla porta come definito nel documento RFC 3489.

Timeout NAT

Private NAT imposta i timeout per le connessioni di protocollo. Per informazioni su questi timeout e sui relativi valori predefiniti, consulta Timeout NAT.

Passaggi successivi

Configura NAT privato.
Scopri di più sulle interazioni dei prodotti Cloud NAT.
Scopri di più su indirizzi e porte Cloud NAT.
Scopri di più sulle regole di Cloud NAT.
Risolvi i problemi comuni.