NAT privé
La NAT privée permet la traduction d'adresses de privé à privé entre les réseaux:
- NAT privé pour les spokes Network Connectivity Center permet la traduction d'adresse réseau (NAT) privée pour Les réseaux de cloud privé virtuel (VPC) connectés à un hub Network Connectivity Center qui inclut la NAT de privé à privé pour le trafic entre entre les spokes VPC et entre les spokes VPC et des spokes hybrides.
- Le NAT hybride (version Preview) permet de configurer un NAT privé-à-privé entre les réseaux VPC et les réseaux sur site ou d'autres réseaux de fournisseurs de services cloud connectés à Google Cloud via Cloud Interconnect ou Cloud VPN.
Spécifications
Les sections suivantes décrivent les spécifications de Private NAT. Ces spécifications s'appliquent à la fois à Private NAT pour les branches Network Connectivity Center et à Hybrid NAT.
Spécifications générales
-
Le NAT privé autorise les connexions sortantes et les réponses entrantes vers ces connexions. Chaque passerelle NAT privée effectue la NAT source en sortie et la NAT de destination pour les paquets de réponses établis.
- Le NAT privé n'est pas compatible avec les réseaux VPC en mode automatique.
-
Le NAT privé n'autorise pas les requêtes entrantes non sollicitées en provenance de réseaux connectés, même si des règles de pare-feu pour autoriser ces demandes. Pour en savoir plus, consultez les documents RFC applicables.
-
Chaque passerelle NAT privée est associée à un seul VPC réseau, région et Cloud Router. La passerelle NAT privée et Cloud Router fournissent un plan de contrôle : ils ne sont pas impliqués dans plan de données, de sorte que les paquets ne passent pas par la passerelle NAT privée ou Cloud Router.
- Le NAT privé n'est pas compatible avec le mappage indépendant du point de terminaison.
- Vous ne pouvez pas utiliser Private NAT pour traduire une adresse IP secondaire pour un sous-réseau donné. Une NAT privée effectue une NAT sur toutes les plages d'adresses IPv4 d'un sous-réseau donné ou d'une liste sous-réseaux.
- Après avoir créé le sous-réseau, vous ne pouvez pas augmenter ni diminuer le Private NAT la taille du sous-réseau. Toutefois, vous pouvez spécifier plusieurs plages de sous-réseaux NAT privés pour une passerelle donnée.
- Le NAT privé accepte un maximum de 64 000 connexions simultanées par point de terminaison.
- Le NAT privé n'accepte que les connexions TCP et UDP.
- Une instance de machine virtuelle (VM) dans un réseau VPC ne peut accéder destinations dans un sous-réseau qui ne se chevauche pas, et non dans un sous-réseau qui ne se chevauche pas sur un réseau connecté.
Routes et règles de pare-feu
Le NAT privé utilise les routes suivantes:
- Pour les spokes Network Connectivity Center, le NAT privé utilise des routes de sous-réseau
et routes dynamiques:
- Pour le trafic entre deux spokes VPC associés un hub Network Connectivity Center qui ne contient que des spokes VPC, La NAT privée utilise les routes de sous-réseau échangées par les spokes VPC associés. Pour plus d'informations sur les spokes VPC, consultez Présentation des spokes VPC
- Si un hub Network Connectivity Center contient à la fois des spokes VPC et des spokes hybrides tels que des rattachements de VLAN pour Cloud Interconnect, des tunnels Cloud VPN ou des VM d'appareil de routeur, le NAT privé utilise les routes dynamiques apprises par les spokes hybrides via BGP (Preview) et les routes de sous-réseau échangées par les spokes VPC associés. Pour en savoir plus sur les environnements consultez la section Spokes hybrides.
- Pour le NAT hybride (version preview), Le NAT privé utilise des routes dynamiques appris par Cloud Router via Cloud Interconnect ou Cloud VPN.
Le NAT privé ne comporte aucune exigence de règle Cloud NGFW. Les règles de pare-feu sont appliqué directement aux interfaces réseau des VM Compute Engine, et non aux passerelles NAT privées.
Vous n'avez pas besoin de créer de règles de pare-feu spéciales qui autorisent les connexions depuis ou vers l'adresse IP NAT des adresses IP externes. Lorsqu'une passerelle NAT privée fournit une NAT à l'interface réseau d'une VM, le trafic de sortie applicable les règles de pare-feu sont évaluées comme des paquets de cette interface réseau avant la NAT. Pare-feu d'Ingress les règles sont évaluées après le traitement des paquets par NAT.
Applicabilité de la plage d'adresses IP du sous-réseau
Vous pouvez configurer une passerelle NAT privée pour fournir la NAT aux éléments suivants:
- Plages d'adresses IP principales et secondaires de tous les sous-réseaux de la région. Une seule passerelle NAT privée fournit une NAT aux adresses IP internes principales et à toutes les plages d'adresses IP d'alias des VM éligibles dont les interfaces réseau utilisent un sous-réseau dans la région. Cette option utilise exactement une passerelle NAT par région.
-
Liste de sous-réseaux personnalisée Une seule passerelle NAT privée fournit une NAT pour l'adresse IP interne principale et toutes les plages d'adresses IP d'alias des VM éligibles dont les interfaces réseau utilisent un sous-réseau d'une liste des sous-réseaux spécifiés.
Bande passante
L'utilisation d'une passerelle NAT privée ne modifie pas le nombre de bande passante entrante qu'une VM peut utiliser. Pour les spécifications de bande passante, qui varient type de machine, consultez la section Bande passante réseau documentation Compute Engine.
VM dotées de plusieurs interfaces réseau
Si vous configurez une VM avec plusieurs réseaux interfaces Google, chaque interface doit se trouver dans un réseau VPC distinct. Par conséquent, une La passerelle NAT privée ne peut s'appliquer qu'à une seule interface réseau d'une VM. Des passerelles NAT privées distinctes peuvent fournir une NAT au même VM, où chaque passerelle s'applique à une interface distincte.
Adresses IP NAT et ports
Lorsque vous créez une passerelle NAT privée, vous devez spécifier un sous-réseau à usage PRIVATE_NAT
à partir desquelles les adresses IP NAT sont attribuées aux VM. Pour en savoir plus sur la NAT privée
Pour en savoir plus sur l'attribution d'adresses IP, consultez la section Adresses IP NAT privées.
Vous pouvez configurer le nombre de ports sources réserve sur chaque VM à laquelle elle doit fournir des services NAT. Vous pouvez configurer l'allocation de ports statique ; où le même nombre de ports est réservé pour chaque VM, ou port dynamique allocation, où le nombre d'emplacements réservés peuvent varier entre les limites minimale et maximale que vous spécifiez.
Les VM pour lesquelles la NAT doit être fournie sont déterminées par le adresse IP de sous-réseau plages d'adresses IP que la passerelle est configurée pour servir.
Pour en savoir plus sur les ports, consultez la section Ports.
Documents RFC applicables
La NAT privée est une NAT en cône à restriction de port, telle que définie dans le document RFC 3489.
Expiration de la NAT
La NAT privée définit des délais avant expiration pour les connexions de protocole. Pour des informations sur ces délais avant expiration et leurs valeurs par défaut, consultez la section Délais avant expiration NAT.
Étape suivante
- Configurer le NAT privé
- Découvrez les interactions avec les produits Cloud NAT.
- Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
- Apprenez-en plus sur les règles Cloud NAT.
- Résolvez les problèmes courants.