NAT privé

Le NAT privé permet de traduire de privé à privé entre les réseaux Google Cloud et d'autres réseaux sur site ou de fournisseurs cloud. La fonctionnalité NAT privée propose les options de traduction de privée à privée suivantes:

La NAT inter-VPC permet des traductions de privé à privé entre les réseaux de cloud privé virtuel (VPC) connectés à un hub Network Connectivity Center.
Hybrid NAT (Preview) : permet des traductions de privé à privé entre les réseaux VPC et les réseaux sur site ou de fournisseurs cloud connectés via les solutions de connectivité hybride d'entreprise de Google Cloud.

Spécifications

Les sections suivantes décrivent les spécifications du NAT privé, qui s'appliquent à la fois au NAT inter-VPC et au NAT hybride.

Spécifications générales

La NAT privée autorise les connexions sortantes et les réponses entrantes à ces connexions. Chaque passerelle NAT privée effectue la NAT source en sortie et la NAT de destination pour les paquets de réponses établis.
La NAT privée n'est pas compatible avec les réseaux VPC en mode automatique.
La fonctionnalité NAT privée n'autorise pas les requêtes entrantes non sollicitées provenant de réseaux connectés, même si des règles de pare-feu autorisent ces requêtes. Pour en savoir plus, consultez les documents RFC applicables.
Chaque passerelle NAT privée est associée à un seul réseau VPC, à une seule région et à un seul routeur Cloud Router. La passerelle NAT privée et Cloud Router fournissent un plan de contrôle. Ils ne sont pas impliqués dans le plan de données. Par conséquent, les paquets ne passent pas par la passerelle NAT privée ni par Cloud Router.

Remarque:Même si une passerelle NAT privée est gérée par un routeur Cloud Router, la fonctionnalité NAT privée n'utilise pas le protocole BGP (Border Gateway Protocol) et ne dépend pas de lui.
La NAT privée n'est pas compatible avec le mappage indépendant des points de terminaison.
Vous ne pouvez pas utiliser la fonctionnalité NAT privée pour traduire une plage d'adresses IP principale ou secondaire spécifique pour un sous-réseau donné. Une passerelle NAT privée effectue la NAT sur toutes les plages d'adresses IPv4 d'un sous-réseau ou d'une liste de sous-réseaux donnés.
Une fois le sous-réseau créé, vous ne pouvez plus augmenter ni réduire sa taille. Toutefois, vous pouvez spécifier plusieurs plages de sous-réseaux NAT privés pour une passerelle donnée.
La fonctionnalité NAT privée accepte un maximum de 64 000 connexions simultanées par point de terminaison.
La NAT privée n'accepte que les connexions TCP et UDP.
Une instance de machine virtuelle (VM) dans un réseau VPC ne peut accéder aux destinations que sur un sous-réseau qui ne se chevauche pas (et non au sein d'un sous-réseau qui se chevauche) dans un réseau connecté.

Routes et règles de pare-feu

La fonctionnalité NAT privée utilise les routes suivantes:

Pour la NAT inter-VPC, la NAT privée n'utilise que les routes de sous-réseau échangées par deux spokes VPC Network Connectivity Center associés à un hub Network Connectivity Center. Pour en savoir plus sur les spokes VPC Network Connectivity Center, consultez la page Présentation des spokes VPC.
Pour le NAT hybride (Preview), le NAT privé utilise les routes dynamiques apprises par Cloud Router via les options de connectivité hybride de Google Cloud.

La NAT privée n'a aucune règle Cloud NGFW. Les règles de pare-feu sont appliquées directement aux interfaces réseau des VM Compute Engine, et non aux passerelles NAT privées.

Vous n'avez pas besoin de créer de règles de pare-feu spéciales qui autorisent les connexions vers ou depuis des adresses IP NAT. Lorsqu'une passerelle NAT privée fournit une NAT à l'interface réseau d'une VM, les règles de pare-feu de sortie applicables sont évaluées en tant que paquets pour cette interface réseau avant la NAT. Les règles de pare-feu d&#Ingress sont évaluées après le traitement des paquets par la NAT.

Applicabilité de la plage d'adresses IP du sous-réseau

Vous pouvez configurer une passerelle NAT privée pour fournir la NAT aux éléments suivants:

Plages d'adresses IP principales et secondaires de tous les sous-réseaux de la région. Une seule passerelle NAT privée fournit une NAT pour les adresses IP internes principales et toutes les plages d'adresses IP d'alias des VM éligibles dont les interfaces réseau utilisent un sous-réseau dans la région. Cette option utilise exactement une passerelle NAT par région.
Liste de sous-réseaux personnalisée Une seule passerelle NAT privée fournit une NAT pour les adresses IP internes principales et toutes les plages d'adresses IP d'alias des VM éligibles dont les interfaces réseau utilisent un sous-réseau provenant d'une liste de sous-réseaux spécifiés.

Bande passante

L'utilisation d'une passerelle NAT privée ne modifie pas la quantité de bande passante sortante ou entrante qu'une VM peut utiliser. Pour connaître les spécifications de bande passante, qui varient selon le type de machine, consultez la section Bande passante réseau dans la documentation Compute Engine.

VM dotées de plusieurs interfaces réseau

Si vous configurez une VM pour qu'elle comporte plusieurs interfaces réseau, chaque interface doit se trouver dans un réseau VPC distinct. Par conséquent, une passerelle NAT privée ne peut s'appliquer qu'à une seule interface réseau d'une VM. Des passerelles NAT privées distinctes peuvent fournir une NAT à la même VM, où chaque passerelle s'applique à une interface distincte.

Adresses IP NAT et ports

Lorsque vous créez une passerelle NAT privée, vous devez spécifier un sous-réseau nommé PRIVATE_NAT à partir duquel les adresses IP NAT sont attribuées aux VM. Pour en savoir plus sur l'attribution d'adresses IP NAT privées, consultez la section Adresses IP NAT privées.

Vous pouvez configurer le nombre de ports sources que chaque passerelle NAT privée réserve sur chaque VM à laquelle elle doit fournir des services NAT. Vous pouvez configurer l'allocation de ports statique, où le même nombre de ports est réservé pour chaque VM, ou l'allocation de ports dynamique, où le nombre de ports réservés peut varier entre les limites minimale et maximale que vous spécifiez.

Les VM pour lesquelles la NAT doit être fournie sont déterminées par les plages d'adresses IP de sous-réseau que la passerelle est configurée pour diffuser.

Pour en savoir plus sur les ports, consultez la section Ports.

Documents RFC applicables

La NAT privée est une NAT en cône restreint par port, telle que définie dans la RFC 3489.

Expiration de la NAT

La NAT privée définit des délais avant expiration pour les connexions de protocole. Pour en savoir plus sur ces délais avant expiration et leurs valeurs par défaut, consultez la section Expirations de délai NAT.

Étapes suivantes

Configurez la NAT inter-VPC.
Découvrez les interactions avec les produits Cloud NAT.
Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
Apprenez-en plus sur les règles Cloud NAT.
Résolvez les problèmes courants.