Private NAT

Private NAT ermöglicht die Privat-zu-Privat-Adressübersetzung zwischen Netzwerken:

  • Private NAT für Network Connectivity Center-Spokes ermöglicht die private-zu-private Netzwerkadressübersetzung (NAT) für Virtual Private Cloud-Netzwerke (VPC), die mit einem Network Connectivity Center-Hub verbunden sind. Dazu gehört auch die private-zu-private NAT für Traffic zwischen VPC-Spokes und zwischen VPC-Spokes und Hybrid-Spokes.
  • Hybrid-NAT aktiviert Private-to-Private-NAT zwischen VPC-Netzwerke und lokale Netzwerke oder Netzwerke von anderen Cloud-Anbietern die über Cloud Interconnect mit Google Cloud verbunden sind oder Cloud VPN

Spezifikationen

In den folgenden Abschnitten werden die Spezifikationen für Private NAT beschrieben. Diese Spezifikationen gelten sowohl für Private NAT für Network Connectivity Center-Spokes als auch für Hybrid NAT.

Allgemeine Spezifikationen

  • Private NAT ermöglicht ausgehende Verbindungen und die eingehenden Antworten auf diese Verbindungen. Jedes Private NAT-Gateway führt Quell-NAT bei ausgehendem Traffic und Ziel-NAT für etablierte Antwortpakete aus.

  • Private NAT unterstützt keine VPC-Netzwerke im automatischen Modus.

  • Private NAT erlaubt keine unerwünschten eingehenden Anfragen aus verbundenen Netzwerken, auch wenn Firewallregeln diese Anfragen andernfalls zulassen würden. Weitere Informationen finden Sie unter Anwendbare RFCs.

  • Jedes private NAT-Gateway ist einer einzelnen VPC zugeordnet Netzwerk, Region und Cloud Router. Das Private NAT-Gateway und der Cloud Router bieten eine Steuerungsebene. Sie sind nicht an der Datenebene beteiligt, sodass Pakete nicht über das Private NAT-Gateway oder den Cloud Router geleitet werden.

    .

  • Private NAT unterstützt keine endpunktunabhängige Zuordnung.
  • Sie können Private NAT nicht verwenden, um einen bestimmten primären oder sekundären IP-Adressbereich für ein bestimmtes Subnetz zu übersetzen. Eine private NAT führt NAT in allen IPv4-Adressbereichen für ein bestimmtes Subnetz oder Subnetzen
  • Nachdem Sie das Subnetz erstellt haben, können Sie die Größe des privaten NAT-Subnetzes nicht mehr erhöhen oder verringern. Sie können jedoch mehrere private NAT-Subnetzbereiche für ein bestimmtes Gateway angeben.
  • Private NAT unterstützt maximal 64.000 gleichzeitige Verbindungen pro Endpunkt.
  • Private NAT unterstützt nur TCP- und UDP-Verbindungen.
  • Eine VM-Instanz in einem VPC-Netzwerk kann nur auf Ziele in einem nicht überlappenden Subnetz in einem verbundenen Netzwerk zugreifen.

Routen und Firewallregeln

Private NAT verwendet die folgenden Routen:

  • Für Network Connectivity Center-Spokes verwendet private NAT Subnetzrouten und dynamische Routen:
    • Für Traffic zwischen zwei VPC-Spokes, die mit einem Network Connectivity Center-Hub verbunden sind, der nur VPC-Spokes enthält, verwendet Private NAT die Subnetzrouten, die von den verbundenen VPC-Spokes ausgetauscht werden. Informationen zu VPC-Spokes finden Sie unter VPC-Spokes.
    • Wenn ein Network Connectivity Center-Hub sowohl VPC-Spokes als auch Hybrid-Spokes wie VLAN-Anhänge für Cloud Interconnect, Cloud VPN-Tunnel oder Router-Appliance-VMs enthält, verwendet Private NAT die dynamischen Routen, die die Hybrid-Spokes über BGP (Vorabversion) gelernt haben, und die Subnetz-Routen, die von den angehängten VPC-Spokes ausgetauscht werden. Informationen zu Hybrid Spokes finden Sie unter Hybrid-Spokes.
  • Bei Hybrid-NAT Private NAT verwendet dynamische Routen von Cloud Router über Cloud Interconnect gelernt oder Cloud VPN verwenden.

Private NAT hat keine Anforderungen an Cloud NGFW-Regeln. Firewallregeln sind angewendet direkt an die Netzwerkschnittstellen von Compute Engine-VMs und nicht an private NAT-Gateways.

Sie müssen keine speziellen Firewallregeln erstellen, die Verbindungen zu oder von NAT-IP-Adressen zulassen Adressen. Wenn ein Private NAT-Gateway NAT für die Netzwerkschnittstelle einer VM bereitstellt, werden geltende Firewallregeln für ausgehenden Traffic als Pakete für diese Netzwerkschnittstelle vor NAT ausgewertet. Firewallregeln für eingehenden Traffic werden ausgewertet, nachdem Pakete von NAT verarbeitet wurden.

Anwendbarkeit des Subnetz-IP-Adressbereichs

Sie können ein privates NAT-Gateway konfigurieren, um NAT für Folgendes bereitzustellen:

  • Primäre und sekundäre IP-Adressbereiche aller Subnetze in der Region. Ein einzelnes privates NAT-Gateway bietet NAT für die primären internen IP-Adressen und alle Alias-IP-Bereiche berechtigter VMs, deren Netzwerkschnittstellen ein Subnetz in der Region verwenden. Bei dieser Option wird genau ein NAT-Gateway pro Region verwendet.

  • Liste der benutzerdefinierten Subnetze. Ein einzelnes privates NAT-Gateway bietet NAT für die primären internen IP-Adressen und alle Alias-IP-Bereiche berechtigter VMs, deren Netzwerkschnittstellen ein Subnetz aus einer Liste angegebener Subnetze verwenden.

Bandbreite

Die Verwendung eines privaten NAT-Gateways ändert nicht die Anzahl der ausgehenden oder die eine VM nutzen kann. Für Bandbreitenspezifikationen, die je nach des Maschinentyps, siehe Netzwerkbandbreite in der Compute Engine-Dokumentation

VMs mit mehreren Netzwerkschnittstellen

Wenn Sie eine VM mit mehreren Netzwerkschnittstellen konfigurieren, muss sich jede Schnittstelle in einem separaten VPC-Netzwerk befinden. Daher kann ein privates NAT-Gateway nur auf eine einzelne Netzwerkschnittstelle einer VM angewendet werden. Separate private NAT-Gateways können NAT auf derselben VM bereitstellen, wobei jedes Gateway für eine separate Schnittstelle gilt.

NAT-IP-Adressen und -Ports

Wenn Sie ein privates NAT-Gateway erstellen, müssen Sie ein Subnetz mit dem Zweck PRIVATE_NAT angeben, aus dem den VMs NAT-IP-Adressen zugewiesen werden. Weitere Informationen zur Zuweisung privater NAT-IP-Adressen finden Sie unter Private NAT-IP-Adressen.

Sie können die Anzahl der Quellports konfigurieren, die jedes Private NAT-Gateway für jede VM reserviert, für die NAT-Dienste bereitgestellt werden sollen. Sie können die Zuweisung statischer Ports konfigurieren wobei für jede VM die gleiche Anzahl von Ports reserviert ist. Dynamischer Port Zuordnung, wobei die Anzahl der reservierten Ports können zwischen den von Ihnen angegebenen Mindest- und Höchstwerten variieren.

Die VMs, für die NAT bereitgestellt werden soll, werden durch den Subnetz-IP-Adresse Adressbereiche, für die das Gateway konfiguriert ist.

Weitere Informationen zu Ports finden Sie unter Ports.

Anwendbare RFCs

Private NAT ist eine Port-eingeschränkte Cone-NAT gemäß der Definition in RFC 3489.

NAT-Zeitlimits

Private NAT legt Zeitlimits für Protokollverbindungen fest. Informationen zu diesen Zeitlimits und ihren Standardwerten finden Sie unter NAT-Zeitlimits.

Nächste Schritte