Private NAT
Private NAT ermöglicht die Privat-zu-Privat-Adressübersetzung zwischen Netzwerken:
- Private NAT für Network Connectivity Center-Spokes aktiviert private Netzwerkadressübersetzung (Network Address Translation, NAT) für VPC-Netzwerke (Virtual Private Cloud), die mit einem Network Connectivity Center-Hub verbunden sind, die private und private NAT für Traffic zwischen VPC-Spokes und zwischen VPC-Spokes und Hybrid-Spokes.
- Hybrid-NAT (Vorschau) aktiviert Private-to-Private-NAT zwischen VPC-Netzwerke und lokale Netzwerke oder Netzwerke von anderen Cloud-Anbietern die über Cloud Interconnect mit Google Cloud verbunden sind oder Cloud VPN
Spezifikationen
In den folgenden Abschnitten werden die Spezifikationen Private NAT Diese Spezifikationen gelten sowohl für Private NAT für Network Connectivity Center-Spokes und Hybrid-NAT
Allgemeine Spezifikationen
-
Private NAT ermöglicht ausgehende Verbindungen und die eingehenden Antworten auf diese Verbindungen. Jedes private NAT-Gateway führt eine Quell-NAT für ausgehenden Traffic und eine Ziel-NAT für erstellte Antwortpakete aus.
- Private NAT unterstützt keine VPC-Netzwerke im automatischen Modus.
-
Private NAT lässt keine unerwünschten eingehenden Anfragen von verbundenen Netzwerken zu, selbst wenn die Firewall würden diese Anfragen sonst zulässig sein. Weitere Informationen finden Sie unter Anwendbare RFCs.
-
Jedes private NAT-Gateway ist einer einzelnen VPC zugeordnet Netzwerk, Region und Cloud Router. Das private NAT-Gateway und stellt der Cloud Router eine Steuerungsebene bereit. der Datenebene, damit Pakete das private NAT-Gateway nicht passieren oder Cloud Router.
- Private NAT unterstützt keine endpunktunabhängige Zuordnung.
- Sie können Private NAT nicht verwenden, um eine bestimmte primäre oder sekundärer IP-Adressbereich für ein bestimmtes Subnetz. Eine private NAT führt NAT in allen IPv4-Adressbereichen für ein bestimmtes Subnetz oder Subnetzen
- Nachdem Sie das Subnetz erstellt haben, können Sie die private NAT nicht mehr erhöhen oder verringern Subnetzgröße. Sie können jedoch mehrere private NAT-Subnetzbereiche für ein bestimmtes Gateway angeben.
- Private NAT unterstützt maximal 64.000 gleichzeitige Verbindungen pro Endpunkt.
- Private NAT unterstützt nur TCP- und UDP-Verbindungen.
- Eine VM-Instanz in einem VPC-Netzwerk hat nur Zugriff Ziele in einem nicht überlappenden Subnetzwerk, nicht in einem überlappenden Subnetzwerk Netzwerk verbunden sind.
Routen und Firewallregeln
Private NAT verwendet die folgenden Routen:
- Für Network Connectivity Center-Spokes verwendet private NAT Subnetzrouten
und dynamische Routen:
- Für Traffic zwischen zwei VPC-Spokes, die an einen Network Connectivity Center-Hub, der nur VPC-Spokes enthält, Private NAT verwendet die Subnetzrouten die durch die angehängten VPC-Spokes ausgetauscht werden. Weitere Informationen zu VPC-Spokes, siehe VPC-Spokes – Übersicht
- Wenn ein Network Connectivity Center-Hub beide VPC-Spokes enthält und Hybrid-Spokes wie VLAN-Anhänge für Cloud Interconnect oder Router-Appliance-VMs, Private NAT verwendet die dynamischen Routen von den Hybrid-Spokes über BGP ermittelt (Vorschau) und Subnetzrouten, die von den angehängten VPC-Spokes ausgetauscht werden Informationen zu Hybrid Spokes finden Sie unter Hybrid-Spokes.
- Für Hybrid-NAT (Vorabversion) Private NAT verwendet dynamische Routen von Cloud Router über Cloud Interconnect gelernt oder Cloud VPN verwenden.
Private NAT hat keine Anforderungen an Cloud NGFW-Regeln. Firewallregeln sind angewendet direkt an die Netzwerkschnittstellen von Compute Engine-VMs und nicht an private NAT-Gateways.
Sie müssen keine speziellen Firewallregeln erstellen, die Verbindungen zu oder von NAT-IP-Adressen zulassen Adressen. Wenn ein privates NAT-Gateway NAT für die Netzwerkschnittstelle einer VM bereitstellt, anwendbarer ausgehender Traffic Firewallregeln werden vor NAT als Pakete für diese Netzwerkschnittstelle ausgewertet. Firewall für eingehenden Traffic nach der Verarbeitung von Paketen durch NAT ausgewertet.
Anwendbarkeit des Subnetz-IP-Adressbereichs
Sie können ein privates NAT-Gateway konfigurieren, um NAT für Folgendes bereitzustellen:
- Primäre und sekundäre IP-Adressbereiche aller Subnetze in der Region. Eine einzelne Privates NAT-Gateway bietet NAT für die primäre interne IP-Adresse Adressen und alle Alias-IP-Bereiche zulässiger VMs, deren Netzwerkschnittstellen Verwenden Sie ein Subnetz in der Region. Bei dieser Option wird genau ein NAT-Gateway pro Region verwendet.
-
Liste der benutzerdefinierten Subnetze. Ein einzelnes privates NAT-Gateway bietet NAT für die primäre interne IP-Adresse Adressen und alle Alias-IP-Bereiche zulässiger VMs, deren Netzwerkschnittstellen ein Subnetz aus einer Liste verwenden bestimmter Subnetze.
Bandbreite
Die Verwendung eines privaten NAT-Gateways ändert nicht die Anzahl der ausgehenden oder die eine VM nutzen kann. Für Bandbreitenspezifikationen, die je nach des Maschinentyps, siehe Netzwerkbandbreite in der Compute Engine-Dokumentation
VMs mit mehreren Netzwerkschnittstellen
Wenn Sie eine VM mit mehreren Netzwerken konfigurieren muss sich jede Schnittstelle in einer separaten VPC-Netzwerk. Folglich ist ein Privates NAT-Gateway kann nur auf eine einzelne Netzwerkschnittstelle angewendet werden einer VM. Separate private NAT-Gateways können demselben NAT-Dienst VM, bei der jedes Gateway für eine separate Schnittstelle gilt.
NAT-IP-Adressen und -Ports
Wenn Sie ein privates NAT-Gateway erstellen, müssen Sie ein Subnetz mit dem Zweck PRIVATE_NAT
angeben
über die NAT-IP-Adressen für die VMs zugewiesen werden. Weitere Informationen zu Private NAT
Weitere Informationen zur Zuweisung von IP-Adressen finden Sie unter Private NAT-IP-Adressen.
Sie können die Anzahl der Quellports konfigurieren, Gateway für jede VM reserviert, für die NAT-Dienste bereitgestellt werden sollen. Sie können die Zuweisung statischer Ports konfigurieren wobei für jede VM die gleiche Anzahl von Ports reserviert ist. Dynamischer Port Zuordnung, wobei die Anzahl der reservierten Ports können zwischen den von Ihnen angegebenen Mindest- und Höchstwerten variieren.
Die VMs, für die NAT bereitgestellt werden soll, werden durch den Subnetz-IP-Adresse Adressbereiche, für die das Gateway konfiguriert ist.
Weitere Informationen zu Ports finden Sie unter Ports.
Anwendbare RFCs
Eine private NAT ist eine Port-eingeschränkte Cone-NAT gemäß der Definition in RFC 3489.
NAT-Zeitlimits
Private NAT legt Zeitlimits für Protokollverbindungen fest. Für Informationen zu diesen Zeitüberschreitungen und ihren Standardwerten, Siehe NAT-Zeitlimits.
Nächste Schritte
- Richten Sie eine private NAT ein.
- Cloud NAT-Produktinteraktionen
- Weitere Informationen zu Cloud NAT-Adressen und -Ports
- Weitere Informationen zu Cloud NAT-Regeln
- Häufige Probleme beheben