NAT privé
Private NAT permet la traduction d'adresses privé-privé entre les réseaux:
- Private NAT pour les spokes Network Connectivity Center permet la traduction d'adresse réseau (NAT) de privé à privé pour les réseaux cloud privé virtuel (VPC) connectés à un hub Network Connectivity Center, y compris le NAT de privé à privé pour le trafic entre les spokes VPC et entre les spokes VPC et les spokes hybrides.
- Hybrid NAT permet de traduire des adresses privées vers des adresses privées entre les réseaux VPC et les réseaux sur site ou d'autres réseaux de fournisseurs de services cloud connectés à Google Cloud via Cloud Interconnect ou Cloud VPN.
Spécifications
Les sections suivantes décrivent les spécifications de Private NAT. Ces spécifications s'appliquent à la fois à Private NAT pour les spokes Network Connectivity Center et à Hybrid NAT.
Spécifications générales
-
Le NAT privé autorise les connexions sortantes et les réponses entrantes à destination de ces connexions. Chaque passerelle NAT privée effectue une NAT source en sortie et une NAT de destination pour les paquets de réponses établis.
- Le NAT privé n'est pas compatible avec les réseaux VPC en mode automatique.
-
Le NAT privé n'autorise pas les requêtes entrantes non sollicitées provenant de réseaux connectés, même si des règles de pare-feu autorisent ces requêtes. Pour en savoir plus, consultez la page RFC applicables.
-
Chaque passerelle NAT privée est associée à un seul réseau VPC, une seule région et un seul Cloud Router. La passerelle Private NAT et le routeur Cloud Router fournissent un plan de contrôle. Ils ne sont pas impliqués dans le plan de données. Par conséquent, les paquets ne passent pas par la passerelle Private NAT ou le routeur Cloud Router.
- Le NAT privé n'est pas compatible avec le mappage indépendant des points de terminaison.
- Vous ne pouvez pas utiliser le NAT privé pour traduire une plage d'adresses IP principale ou secondaire spécifique pour un sous-réseau donné. Une passerelle NAT privée effectue la traduction d'adresse réseau sur toutes les plages d'adresses IPv4 d'un sous-réseau ou d'une liste de sous-réseaux donnés.
- Une fois le sous-réseau créé, vous ne pouvez pas augmenter ni réduire sa taille. Toutefois, vous pouvez spécifier plusieurs plages de sous-réseaux NAT privés pour une passerelle donnée.
- Le NAT privé accepte un maximum de 64 000 connexions simultanées par point de terminaison.
- Le NAT privé n'est compatible qu'avec les connexions TCP et UDP.
- Une instance de machine virtuelle (VM) dans un réseau VPC ne peut accéder qu'aux destinations d'un sous-réseau non chevauchant (et non chevauchant) d'un réseau connecté.
Routes et règles de pare-feu
Le NAT privé utilise les routes suivantes:
- Pour les spokes Network Connectivity Center, Private NAT utilise des routes de sous-réseau et des routes dynamiques :
- Pour le trafic entre deux spokes VPC associés à un hub Network Connectivity Center qui ne contient que des spokes VPC, Private NAT utilise les routes de sous-réseau échangées par les spokes VPC associés. Pour en savoir plus sur les spokes VPC, consultez la section Présentation des spokes VPC.
- Si un hub Network Connectivity Center contient à la fois des spokes VPC et des spokes hybrides tels que des rattachements de VLAN pour Cloud Interconnect, des tunnels Cloud VPN ou des VM d'appareil de routeur, le NAT privé utilise les routes dynamiques apprises par les spokes hybrides via BGP et les routes de sous-réseau échangées par les spokes VPC associés. Pour en savoir plus sur les spokes hybrides, consultez la section Spokes hybrides.
- Pour le NAT hybride, le NAT privé utilise des routes dynamiques apprises par Cloud Router via Cloud Interconnect ou Cloud VPN.
Le NAT privé ne comporte aucune exigence de règle Cloud NGFW. Les règles de pare-feu sont appliquées directement aux interfaces réseau des VM Compute Engine, et non aux passerelles NAT privées.
Vous n'avez pas besoin de créer de règles de pare-feu spéciales autorisant les connexions vers ou depuis les adresses IP NAT. Lorsqu'une passerelle NAT privée fournit une NAT pour l'interface réseau d'une VM, les règles de pare-feu de sortie applicables sont évaluées comme des paquets pour cette interface réseau avant la NAT. Les règles de pare-feu d&#Ingress sont évaluées après que les paquets ont été traités par la NAT.
Applicabilité de la plage d'adresses IP du sous-réseau
Vous pouvez configurer une passerelle NAT privée pour fournir une NAT aux éléments suivants:
- Plages d'adresses IP principales et secondaires de tous les sous-réseaux de la région. Une seule passerelle NAT privée fournit une NAT aux adresses IP internes principales et à toutes les plages d'adresses IP d'alias des VM éligibles dont les interfaces réseau utilisent un sous-réseau dans la région. Cette option utilise exactement une passerelle NAT par région.
-
Liste de sous-réseaux personnalisés. Une seule passerelle NAT privée fournit une NAT aux adresses IP internes principales et à toutes les plages d'adresses IP d'alias des VM éligibles dont les interfaces réseau utilisent un sous-réseau d'une liste de sous-réseaux spécifiés.
Bande passante
L'utilisation d'une passerelle NAT privée ne modifie pas la quantité de bande passante sortante ou entrante qu'une VM peut utiliser. Pour connaître les spécifications de bande passante, qui varient en fonction du type de machine, consultez la section Bande passante réseau de la documentation Compute Engine.
VM dotées de plusieurs interfaces réseau
Si vous configurez une VM avec plusieurs interfaces réseau, chaque interface doit se trouver dans un réseau VPC distinct. Par conséquent, une passerelle NAT privée ne peut s'appliquer qu'à une seule interface réseau d'une VM. Des passerelles NAT privées distinctes peuvent fournir une NAT à la même VM, où chaque passerelle s'applique à une interface distincte.
Adresses IP NAT et ports
Lorsque vous créez une passerelle NAT privée, vous devez spécifier un sous-réseau de l'objet PRIVATE_NAT
à partir duquel les adresses IP NAT sont attribuées aux VM. Pour en savoir plus sur l'attribution d'adresses IP NAT privées, consultez la section Adresses IP NAT privées.
Vous pouvez configurer le nombre de ports sources que chaque passerelle NAT privée réserve sur chaque VM à laquelle elle doit fournir des services NAT. Vous pouvez configurer l'allocation de ports statique, où le même nombre de ports est réservé pour chaque VM, ou l'allocation de ports dynamique, où le nombre de ports réservés peut varier entre les limites minimale et maximale que vous spécifiez.
Les VM pour lesquelles la NAT doit être fournie sont déterminées par les plages d'adresses IP de sous-réseau que la passerelle est configurée pour diffuser.
Pour en savoir plus sur les ports, consultez la section Ports.
Documents RFC applicables
Le NAT privé est un NAT en cône à restriction de port tel que défini dans le document RFC 3489.
Expiration de la NAT
Le NAT privé définit des délais avant expiration pour les connexions de protocole. Pour en savoir plus sur ces délais avant expiration et leurs valeurs par défaut, consultez la section Délais avant expiration NAT.
Étape suivante
- Configurez le NAT privé.
- Découvrez les interactions entre les produits Cloud NAT.
- Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
- Apprenez-en plus sur les règles Cloud NAT.
- Résolvez les problèmes courants.