Private NAT

Private NAT ermöglicht die Privat-zu-Privat-Adressübersetzung zwischen Netzwerken:

  • Private NAT für Network Connectivity Center-Spokes aktiviert private Netzwerkadressübersetzung (Network Address Translation, NAT) für VPC-Netzwerke (Virtual Private Cloud), die mit einem Network Connectivity Center-Hub verbunden sind, die private und private NAT für Traffic zwischen VPC-Spokes und zwischen VPC-Spokes und Hybrid-Spokes.
  • Hybrid-NAT (Vorschau) aktiviert Private-to-Private-NAT zwischen VPC-Netzwerke und lokale Netzwerke oder Netzwerke von anderen Cloud-Anbietern die über Cloud Interconnect mit Google Cloud verbunden sind oder Cloud VPN

Spezifikationen

In den folgenden Abschnitten werden die Spezifikationen Private NAT Diese Spezifikationen gelten sowohl für Private NAT für Network Connectivity Center-Spokes und Hybrid-NAT

Allgemeine Spezifikationen

  • Private NAT ermöglicht ausgehende Verbindungen und die eingehenden Antworten auf diese Verbindungen. Jedes private NAT-Gateway führt eine Quell-NAT für ausgehenden Traffic und eine Ziel-NAT für erstellte Antwortpakete aus.

  • Private NAT unterstützt keine VPC-Netzwerke im automatischen Modus.

  • Private NAT lässt keine unerwünschten eingehenden Anfragen von verbundenen Netzwerken zu, selbst wenn die Firewall würden diese Anfragen sonst zulässig sein. Weitere Informationen finden Sie unter Anwendbare RFCs.

  • Jedes private NAT-Gateway ist einer einzelnen VPC zugeordnet Netzwerk, Region und Cloud Router. Das private NAT-Gateway und stellt der Cloud Router eine Steuerungsebene bereit. der Datenebene, damit Pakete das private NAT-Gateway nicht passieren oder Cloud Router.

    .

  • Private NAT unterstützt keine endpunktunabhängige Zuordnung.
  • Sie können Private NAT nicht verwenden, um eine bestimmte primäre oder sekundärer IP-Adressbereich für ein bestimmtes Subnetz. Eine private NAT führt NAT in allen IPv4-Adressbereichen für ein bestimmtes Subnetz oder Subnetzen
  • Nachdem Sie das Subnetz erstellt haben, können Sie die private NAT nicht mehr erhöhen oder verringern Subnetzgröße. Sie können jedoch mehrere private NAT-Subnetzbereiche für ein bestimmtes Gateway angeben.
  • Private NAT unterstützt maximal 64.000 gleichzeitige Verbindungen pro Endpunkt.
  • Private NAT unterstützt nur TCP- und UDP-Verbindungen.
  • Eine VM-Instanz in einem VPC-Netzwerk hat nur Zugriff Ziele in einem nicht überlappenden Subnetzwerk, nicht in einem überlappenden Subnetzwerk Netzwerk verbunden sind.

Routen und Firewallregeln

Private NAT verwendet die folgenden Routen:

  • Für Network Connectivity Center-Spokes verwendet private NAT Subnetzrouten und dynamische Routen:
    • Für Traffic zwischen zwei VPC-Spokes, die an einen Network Connectivity Center-Hub, der nur VPC-Spokes enthält, Private NAT verwendet die Subnetzrouten die durch die angehängten VPC-Spokes ausgetauscht werden. Weitere Informationen zu VPC-Spokes, siehe VPC-Spokes – Übersicht
    • Wenn ein Network Connectivity Center-Hub beide VPC-Spokes enthält und Hybrid-Spokes wie VLAN-Anhänge für Cloud Interconnect oder Router-Appliance-VMs, Private NAT verwendet die dynamischen Routen von den Hybrid-Spokes über BGP ermittelt (Vorschau) und Subnetzrouten, die von den angehängten VPC-Spokes ausgetauscht werden Informationen zu Hybrid Spokes finden Sie unter Hybrid-Spokes.
  • Für Hybrid-NAT (Vorabversion) Private NAT verwendet dynamische Routen von Cloud Router über Cloud Interconnect gelernt oder Cloud VPN verwenden.

Private NAT hat keine Anforderungen an Cloud NGFW-Regeln. Firewallregeln sind angewendet direkt an die Netzwerkschnittstellen von Compute Engine-VMs und nicht an private NAT-Gateways.

Sie müssen keine speziellen Firewallregeln erstellen, die Verbindungen zu oder von NAT-IP-Adressen zulassen Adressen. Wenn ein privates NAT-Gateway NAT für die Netzwerkschnittstelle einer VM bereitstellt, anwendbarer ausgehender Traffic Firewallregeln werden vor NAT als Pakete für diese Netzwerkschnittstelle ausgewertet. Firewall für eingehenden Traffic nach der Verarbeitung von Paketen durch NAT ausgewertet.

Anwendbarkeit des Subnetz-IP-Adressbereichs

Sie können ein privates NAT-Gateway konfigurieren, um NAT für Folgendes bereitzustellen:

  • Primäre und sekundäre IP-Adressbereiche aller Subnetze in der Region. Eine einzelne Privates NAT-Gateway bietet NAT für die primäre interne IP-Adresse Adressen und alle Alias-IP-Bereiche zulässiger VMs, deren Netzwerkschnittstellen Verwenden Sie ein Subnetz in der Region. Bei dieser Option wird genau ein NAT-Gateway pro Region verwendet.

  • Liste der benutzerdefinierten Subnetze. Ein einzelnes privates NAT-Gateway bietet NAT für die primäre interne IP-Adresse Adressen und alle Alias-IP-Bereiche zulässiger VMs, deren Netzwerkschnittstellen ein Subnetz aus einer Liste verwenden bestimmter Subnetze.

Bandbreite

Die Verwendung eines privaten NAT-Gateways ändert nicht die Anzahl der ausgehenden oder die eine VM nutzen kann. Für Bandbreitenspezifikationen, die je nach des Maschinentyps, siehe Netzwerkbandbreite in der Compute Engine-Dokumentation

VMs mit mehreren Netzwerkschnittstellen

Wenn Sie eine VM mit mehreren Netzwerken konfigurieren muss sich jede Schnittstelle in einer separaten VPC-Netzwerk. Folglich ist ein Privates NAT-Gateway kann nur auf eine einzelne Netzwerkschnittstelle angewendet werden einer VM. Separate private NAT-Gateways können demselben NAT-Dienst VM, bei der jedes Gateway für eine separate Schnittstelle gilt.

NAT-IP-Adressen und -Ports

Wenn Sie ein privates NAT-Gateway erstellen, müssen Sie ein Subnetz mit dem Zweck PRIVATE_NAT angeben über die NAT-IP-Adressen für die VMs zugewiesen werden. Weitere Informationen zu Private NAT Weitere Informationen zur Zuweisung von IP-Adressen finden Sie unter Private NAT-IP-Adressen.

Sie können die Anzahl der Quellports konfigurieren, Gateway für jede VM reserviert, für die NAT-Dienste bereitgestellt werden sollen. Sie können die Zuweisung statischer Ports konfigurieren wobei für jede VM die gleiche Anzahl von Ports reserviert ist. Dynamischer Port Zuordnung, wobei die Anzahl der reservierten Ports können zwischen den von Ihnen angegebenen Mindest- und Höchstwerten variieren.

Die VMs, für die NAT bereitgestellt werden soll, werden durch den Subnetz-IP-Adresse Adressbereiche, für die das Gateway konfiguriert ist.

Weitere Informationen zu Ports finden Sie unter Ports.

Anwendbare RFCs

Eine private NAT ist eine Port-eingeschränkte Cone-NAT gemäß der Definition in RFC 3489.

NAT-Zeitlimits

Private NAT legt Zeitlimits für Protokollverbindungen fest. Für Informationen zu diesen Zeitüberschreitungen und ihren Standardwerten, Siehe NAT-Zeitlimits.

Nächste Schritte