专用 NAT

专用 NAT 可在 Google Cloud 网络和其他本地网络或云服务提供商网络之间实现从专用到私有的转换。专用 NAT 提供以下从专用到私有的转换选项:

  • Inter-VPC NAT:可在连接到 Network Connectivity Center hub 的 Virtual Private Cloud (VPC) 网络之间实现专用到私有的转换。
  • Hybrid NAT预览版):可在 VPC 网络与通过 Google Cloud 的企业混合连接解决方案连接的本地网络或云服务商网络之间实现从私有到私有的转换。

规范

以下部分介绍了专用 NAT 的规范。这些规范适用于 VPC 间 NAT 和混合 NAT。

一般规范

  • Private NAT 允许出站连接和对这些连接的入站响应。每个 Private NAT 网关都会对已建立的响应数据包执行出站来源和目标 NAT。

  • 专用 NAT 不支持自动模式 VPC 网络。
  • 专用 NAT 不允许来自已连接网络的未经请求的入站请求,即使防火墙规则本来允许这些请求也是如此。如需了解详情,请参阅适用的 RFC

  • 每个 Private NAT 网关都与一个 VPC 网络、区域和 Cloud Router 路由器相关联。Private NAT 网关和 Cloud Router 路由器提供了一个控制平面 - 数据平面中并未涉及这两项服务,因此数据包不会通过 Private NAT 网关或 Cloud Router 路由器。

  • 专用 NAT 不支持端点独立映射
  • 您无法使用专用 NAT 来转换给定子网的特定主要或次要 IP 地址范围。专用 NAT 网关会在指定子网或子网列表的所有 IPv4 地址范围上执行 NAT。
  • 创建子网后,您无法增加或减少专用 NAT 子网大小。但是,您可以为给定网关指定多个专用 NAT 子网范围。
  • 专用 NAT 支持每个端点最多 64,000 个并发连接。
  • 专用 NAT 仅支持 TCP 和 UDP 连接。
  • VPC 网络中的虚拟机 (VM) 实例只能访问已连接网络中的非重叠(非重叠)子网中的目的地。

路由和防火墙规则

专用 NAT 使用以下路由:

  • 对于 Inter-VPC NAT,专用 NAT 仅使用由连接到 Network Connectivity Center hub 的两个 Network Connectivity Center VPC spoke 交换的子网路由。如需详细了解 Network Connectivity Center VPC spoke,请参阅 VPC spoke 概览
  • 对于混合 NAT(预览版),专用 NAT 使用 Cloud Router 通过 Google Cloud 混合连接选项获知的动态路由。

专用 NAT 没有任何 Cloud NGFW 规则要求。防火墙规则直接应用于 Compute Engine 虚拟机的网络接口,而非 Private NAT 网关。

您无需创建任何特殊防火墙规则来允许连接到或从 NAT IP 地址连接。当 Private NAT 网关为虚拟机的网络接口提供 NAT 时,适用的出站防火墙规则将在 NAT 之前被评估为网络接口的数据包。入站防火墙规则将在 NAT 处理完数据包后进行评估。

子网 IP 地址范围适用性

您可配置 Private NAT 网关来为以下各项提供 NAT:

  • 相应地区中所有子网的主要和次要 IP 地址范围。单个 Private NAT 网关为符合条件的虚拟机的主要内部 IP 地址和所有别名 IP 范围提供 NAT,其中这些虚拟机的网络接口使用该区域中的子网。此选项在每个区域中仅使用一个 NAT 网关。
  • 自定义子网列表。单个 Private NAT 网关为符合条件的虚拟机的主要内部 IP 地址和所有别名 IP 范围提供 NAT,其中这些虚拟机的网络接口使用指定子网列表中的子网。

带宽

使用 Private NAT 网关不会更改虚拟机可使用的出站或入站带宽量。如需了解带宽规范(因机器类型而异),请参阅 Compute Engine 文档中的网络带宽

包含多个网络接口的虚拟机

如果您将虚拟机配置为具有多个网络接口,则每个接口都必须位于单独的 VPC 网络中。因此,Private NAT 网关只能应用于虚拟机的单个网络接口。单独的 Private NAT 网关可以为同一虚拟机提供 NAT,在这种情况下,每个网关都会应用于单独的接口。

NAT IP 地址和端口

创建Private NAT 网关时,您必须指定用途为 PRIVATE_NAT 的子网,为虚拟机分配 NAT IP 地址。如需详细了解 Private NAT IP 地址分配,请参阅 Private NAT IP 地址

您可以配置每个 Private NAT 网关在要提供 NAT 服务的每个虚拟机上预留的源端口数量。您可以配置静态端口分配(其中,为每个虚拟机预留相同数量的端口),或动态端口分配(其中,预留端口的数量可以在您指定的下限和上限之间变化)。

应为其提供 NAT 的虚拟机由您配置该网关以提供服务的子网 IP 地址范围决定。

如需详细了解端口,请参阅端口

适用的 RFC

Private NAT 是 RFC 3489 中定义的端口受限锥 NAT。

NAT 超时

专用 NAT 会为协议连接设置超时。如需了解这些超时及其默认值,请参阅 NAT 超时

后续步骤