Cette page a été traduite par l'API Cloud Translation.

NAT privé

La NAT privée permet la traduction d'adresses de privé à privé entre les réseaux:

NAT privé pour les spokes Network Connectivity Center permet la traduction d'adresse réseau (NAT) privée pour Les réseaux de cloud privé virtuel (VPC) connectés à un hub Network Connectivity Center qui inclut la NAT de privé à privé pour le trafic entre entre les spokes VPC et entre les spokes VPC et des spokes hybrides.
NAT hybride (preview) permet la NAT de privé à privé entre Réseaux VPC et réseaux sur site ou d'autres fournisseurs cloud connectés à Google Cloud via Cloud Interconnect ou Cloud VPN.

Spécifications

Les sections suivantes décrivent les spécifications NAT privé Ces spécifications s'appliquent NAT privé pour les spokes Network Connectivity Center et NAT hybride

Spécifications générales

Le NAT privé autorise les connexions sortantes et les réponses entrantes vers ces connexions. Chaque passerelle NAT privée effectue la NAT source en sortie et la NAT de destination pour les paquets de réponses établis.
Le NAT privé n'est pas compatible avec les réseaux VPC en mode automatique.
La NAT privée n'autorise pas les requêtes entrantes non sollicitées provenant de réseaux connectés, même si les règles de pare-feu pour autoriser ces demandes. Pour en savoir plus, consultez les documents RFC applicables.
Chaque passerelle NAT privée est associée à un seul VPC réseau, région et Cloud Router. La passerelle NAT privée et Cloud Router fournissent un plan de contrôle : ils ne sont pas impliqués dans plan de données, de sorte que les paquets ne passent pas par la passerelle NAT privée ou Cloud Router.

Remarque:Même si une passerelle NAT privée est gérée par Cloud Router, Private NAT n'utilise pas et ne dépend pas protocole BGP (Border Gateway Protocol).
Le NAT privé n'est pas compatible avec le mappage indépendant du point de terminaison.
Vous ne pouvez pas utiliser Private NAT pour traduire une adresse IP secondaire pour un sous-réseau donné. Une NAT privée effectue une NAT sur toutes les plages d'adresses IPv4 d'un sous-réseau donné ou d'une liste sous-réseaux.
Après avoir créé le sous-réseau, vous ne pouvez pas augmenter ni diminuer le Private NAT la taille du sous-réseau. Toutefois, vous pouvez spécifier plusieurs plages de sous-réseaux NAT privés pour une passerelle donnée.
Le NAT privé accepte un maximum de 64 000 connexions simultanées par point de terminaison.
Le NAT privé n'accepte que les connexions TCP et UDP.
Une instance de machine virtuelle (VM) dans un réseau VPC ne peut accéder destinations dans un sous-réseau sans chevauchement, et non dans un sous-réseau qui ne se chevauche pas sur un réseau connecté.

Routes et règles de pare-feu

Le NAT privé utilise les routes suivantes:

Pour les spokes Network Connectivity Center, le NAT privé utilise des routes de sous-réseau et routes dynamiques:
- Pour le trafic entre deux spokes VPC associés un hub Network Connectivity Center qui ne contient que des spokes VPC, La NAT privée utilise les routes de sous-réseau échangées par les spokes VPC associés. Pour plus d'informations sur les spokes VPC, consultez Présentation des spokes VPC
- Si un hub Network Connectivity Center contient les deux spokes VPC et les spokes hybrides, comme les rattachements de VLAN pour Cloud Interconnect, Les tunnels Cloud VPN, ou VM d'appareil de routeur, Le NAT privé utilise les routes dynamiques appris par les spokes hybrides via BGP (Preview) et et les routes de sous-réseau échangées par les spokes VPC associés. Pour en savoir plus sur les environnements consultez la section Spokes hybrides.
Pour le NAT hybride (version preview), Le NAT privé utilise des routes dynamiques appris par Cloud Router via Cloud Interconnect ou Cloud VPN.

La NAT privée ne présente aucune exigence concernant les règles Cloud NGFW. Les règles de pare-feu sont appliqué directement aux interfaces réseau des VM Compute Engine, et non aux passerelles NAT privées.

Vous n'avez pas besoin de créer de règles de pare-feu spéciales qui autorisent les connexions depuis ou vers l'adresse IP NAT des adresses IP externes. Lorsqu'une passerelle NAT privée fournit une NAT à l'interface réseau d'une VM, le trafic de sortie applicable les règles de pare-feu sont évaluées comme des paquets de cette interface réseau avant la NAT. Pare-feu d'Ingress les règles sont évaluées après le traitement des paquets par NAT.

Applicabilité de la plage d'adresses IP du sous-réseau

Vous pouvez configurer une passerelle NAT privée pour fournir la NAT aux éléments suivants:

Plages d'adresses IP principales et secondaires de tous les sous-réseaux de la région. Une seule La passerelle NAT privée fournit une NAT pour l'adresse IP interne principale et toutes les plages d'adresses IP d'alias des VM éligibles dont les interfaces réseau utiliser un sous-réseau de la région. Cette option utilise exactement une passerelle NAT par région.
Liste de sous-réseaux personnalisée Une seule passerelle NAT privée fournit une NAT pour l'adresse IP interne principale et toutes les plages d'adresses IP d'alias des VM éligibles dont les interfaces réseau utilisent un sous-réseau d'une liste des sous-réseaux spécifiés.

Bande passante

L'utilisation d'une passerelle NAT privée ne modifie pas le nombre de bande passante entrante qu'une VM peut utiliser. Pour les spécifications de bande passante, qui varient type de machine, consultez la section Bande passante réseau documentation Compute Engine.

VM dotées de plusieurs interfaces réseau

Si vous configurez une VM avec plusieurs réseaux interfaces Google, chaque interface doit se trouver dans un réseau VPC distinct. Par conséquent, une La passerelle NAT privée ne peut s'appliquer qu'à une seule interface réseau d'une VM. Des passerelles NAT privées distinctes peuvent fournir une NAT au même VM, où chaque passerelle s'applique à une interface distincte.

Adresses IP NAT et ports

Lorsque vous créez une passerelle NAT privée, vous devez spécifier un sous-réseau à usage PRIVATE_NAT à partir desquelles les adresses IP NAT sont attribuées aux VM. Pour en savoir plus sur la NAT privée Pour en savoir plus sur l'attribution d'adresses IP, consultez la section Adresses IP NAT privées.

Vous pouvez configurer le nombre de ports sources réserve sur chaque VM à laquelle elle doit fournir des services NAT. Vous pouvez configurer l'allocation de ports statique ; où le même nombre de ports est réservé pour chaque VM, ou port dynamique allocation, où le nombre d'emplacements réservés peuvent varier entre les limites minimale et maximale que vous spécifiez.

Les VM pour lesquelles la NAT doit être fournie sont déterminées par le adresse IP de sous-réseau plages d'adresses IP que la passerelle est configurée pour servir.

Pour en savoir plus sur les ports, consultez la section Ports.

Documents RFC applicables

La NAT privée est une NAT en cône à restriction de port, telle que définie dans le document RFC 3489.

Expiration de la NAT

La NAT privée définit des délais avant expiration pour les connexions de protocole. Pour des informations sur ces délais avant expiration et leurs valeurs par défaut, consultez la section Délais avant expiration NAT.

Étape suivante

Configurer le NAT privé
Découvrez les interactions avec les produits Cloud NAT.
Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
Apprenez-en plus sur les règles Cloud NAT.
Résolvez les problèmes courants.