NAT privato

Private NAT consente traduzioni da private a private in reti Google Cloud e altre reti on-premise o di cloud provider. Private NAT offre le seguenti opzioni di traduzione da privato a privato:

  • N inter-VPC: consente la traduzione da privato a privato tra reti Virtual Private Cloud (VPC) collegate a un hub di Network Connectivity Center.
  • N ibrido (anteprima): consente le traduzioni da privato a privato tra reti VPC e reti on-premise o di cloud provider collegate tramite le soluzioni di connettività ibrida aziendale di Google Cloud.

Specifiche

Le seguenti sezioni illustrano le specifiche di Private NAT. Le specifiche si applicano sia al NAT Inter-VPC che al NAT ibrido.

Specifiche generali

  • Il NAT privato consente le connessioni in uscita e le risposte in entrata a queste connessioni. Ogni gateway NAT privato esegue la NAT di origine in uscita e la NAT di destinazione per i pacchetti di risposta stabiliti.

  • Il NAT privato non supporta le reti VPC in modalità automatica.

  • La NAT privata non consente le richieste in entrata non richieste dalle reti connesse, anche se le regole firewall le consentirebbero. Per maggiori informazioni, vedi RFC applicabili.

  • Ogni gateway NAT privato è associato a una singola rete VPC, una singola regione e un singolo router Cloud. Il gateway NAT privato e il router Cloud forniscono un piano di controllo, non sono coinvolti nel piano dati, quindi i pacchetti non passano attraverso il gateway NAT privato o il router Cloud.

  • Il NAT privato non supporta la mappatura indipendente dagli endpoint.
  • Non puoi utilizzare Private NAT per tradurre uno specifico intervallo di indirizzi IP principali o secondari per una determinata subnet. Un gateway NAT privato esegue NAT su tutti gli intervalli di indirizzi IPv4 per una determinata subnet o un elenco di subnet.
  • Dopo aver creato la subnet, non puoi aumentare o diminuire le dimensioni della subnet Private NAT. Tuttavia, puoi specificare più intervalli di subnet NAT Private per un determinato gateway.
  • Il NAT privato supporta un massimo di 64.000 connessioni simultanee per endpoint.
  • Il NAT privato supporta solo connessioni TCP e UDP.
  • Un'istanza di macchina virtuale (VM) in una rete VPC può accedere alle destinazioni solo in una subnet non sovrapposta e non in una rete connessa.

Route e regole firewall

Il servizio NAT privato utilizza le seguenti route:

  • Per il servizio Inter-VPC NAT, Private NAT utilizza solo route di subnet scambiate da due spoke VPC di Network Connectivity Center collegati a un hub di Network Connectivity Center. Per saperne di più sugli spoke VPC di Network Connectivity Center, consulta Panoramica degli spoke VPC.
  • Per Hybrid NAT (anteprima), Private NAT utilizza le route dinamiche apprese dal router Cloud rispetto alle opzioni di connettività ibrida di Google Cloud.

Il NAT privato non ha requisiti per le regole Cloud NGFW. Le regole firewall vengono applicate direttamente alle interfacce di rete delle VM di Compute Engine, non dei gateway NAT privati.

Non è necessario creare regole firewall speciali che consentano le connessioni da o verso gli indirizzi IP NAT. Quando un gateway NAT privato fornisce NAT per l'interfaccia di rete di una VM, le regole firewall in uscita applicabili vengono valutate come pacchetti per l'interfaccia di rete prima di NAT. Le regole firewall in entrata vengono valutate dopo che i pacchetti sono stati elaborati da NAT.

Applicabilità dell'intervallo di indirizzi IP della subnet

Puoi configurare un gateway NAT privato per fornire NAT per:

  • Intervalli di indirizzi IP principali e secondari di tutte le subnet nella regione. Un singolo gateway NAT privato fornisce NAT per gli indirizzi IP interni principali e tutti gli intervalli IP alias delle VM idonee le cui interfacce di rete utilizzano una subnet nella regione. Questa opzione utilizza esattamente un gateway NAT per regione.

  • Elenco di subnet personalizzate. Un singolo gateway NAT privato fornisce NAT per gli indirizzi IP interni principali e tutti gli intervalli IP alias delle VM idonee le cui interfacce di rete utilizzano una subnet da un elenco di subnet specificate.

Larghezza di banda

L'utilizzo di un gateway NAT privato non modifica la quantità di larghezza di banda in uscita o in entrata che una VM può utilizzare. Per le specifiche relative alla larghezza di banda, che variano in base al tipo di macchina, consulta Larghezza di banda di rete nella documentazione di Compute Engine.

VM con più interfacce di rete

Se configuri una VM in modo che abbia più interfacce di rete, ogni interfaccia deve trovarsi in una rete VPC separata. Di conseguenza, un gateway NAT privato può essere applicato a una sola interfaccia di rete di una VM. Gateway NAT privato separati possono fornire NAT alla stessa VM, dove ogni gateway si applica a un'interfaccia separata.

Indirizzi IP e porte NAT

Quando crei un gateway NAT privato, devi specificare una subnet di scopo PRIVATE_NAT da cui vengono assegnati gli indirizzi IP NAT alle VM. Per ulteriori informazioni sull'assegnazione degli indirizzi IP Private NAT, consulta Indirizzi IP Private NAT.

Puoi configurare il numero di porte di origine che ogni gateway Private NAT riserva a ogni VM per cui deve fornire i servizi NAT. Puoi configurare l'allocazione statica delle porte, con lo stesso numero di porte riservato a ogni VM, oppure l'allocazione dinamica delle porte, in cui il numero di porte prenotate può variare tra il limite minimo e massimo specificati.

Le VM per cui fornire NAT sono determinate dagli intervalli di indirizzi IP delle subnet che il gateway è configurato per gestire.

Per saperne di più sulle porte, consulta Porte.

RFC applicabili

Private NAT è un Cone NAT con restrizioni di porta, come definito nel documento RFC 3489.

Timeout NAT

Il NAT privato imposta i timeout per le connessioni di protocollo. Per informazioni su questi timeout e sui relativi valori predefiniti, consulta Timeout NAT.

Passaggi successivi