NAT privato

NAT privato consente la traduzione di indirizzi da privato a privato tra reti:

  • NAT privato per gli spoke di Network Connectivity Center consente la Network Address Translation (NAT) da privato a privato per le reti Virtual Private Cloud (VPC) connesse a un hub di Network Connectivity Center, che include la NAT da privato a privato per il traffico tra gli spoke VPC e tra gli spoke VPC e gli spoke ibride.
  • NAT ibrido abilita il NAT da privato a privato Reti VPC e reti on-premise o di altri cloud provider collegate a Google Cloud tramite Cloud Interconnect o Cloud VPN.

Specifiche

Le sezioni seguenti descrivono le specifiche di NAT privato. Queste specifiche si applicano sia a NAT privato per gli spoke di Network Connectivity Center sia a NAT ibrido.

Specifiche generali

  • Private NAT consente le connessioni in uscita e le risposte in entrata a queste connessioni. Ogni gateway Private NAT esegue la NAT di origine sul traffico in uscita e la NAT di destinazione per i pacchetti di risposta stabiliti.

  • Private NAT non supporta le reti VPC in modalità automatica.
  • Private NAT non consente richieste in entrata non richieste da reti collegate, anche se le regole del firewall consentirebbero altrimenti queste richieste. Per ulteriori informazioni, consulta le RFC applicabili.

  • Ogni gateway Private NAT è associato a una singola rete VPC, regione e router Cloud. Il gateway Private NAT il router Cloud fornisce un piano di controllo, non è coinvolto dal piano dati, quindi i pacchetti non passano attraverso il gateway Private NAT o router Cloud.

  • Private NAT non supporta la mappatura indipendente dagli endpoint.
  • Non puoi utilizzare la traduzione NAT privata per tradurre un intervallo di indirizzi IP principale o secondario specifico per una determinata subnet. Private NAT il gateway esegue la traduzione NAT su tutti gli intervalli di indirizzi IPv4 per una data subnet o un elenco di subnet.
  • Dopo aver creato la subnet, non puoi aumentare o diminuire le dimensioni della subnet NAT privata. Tuttavia, puoi specificare più intervalli di subnet Private NAT per un determinato gateway.
  • Private NAT supporta un massimo di 64.000 connessioni simultanee per endpoint.
  • Private NAT supporta solo le connessioni TCP e UDP.
  • Un'istanza di una macchina virtuale (VM) in una rete VPC può accedere solo destinazioni in una subnet non sovrapposta e non sovrapposta su una rete connessa.

Route e regole firewall

Private NAT utilizza i seguenti route:

  • Per gli spoke di Network Connectivity Center, Private NAT utilizza route di subnet e route dinamiche:
    • Per il traffico tra due spoke VPC collegati un hub Network Connectivity Center contenente solo spoke VPC, Private NAT utilizza le route di subnet scambiati dagli spoke VPC collegati. Per informazioni sugli spoke VPC, consulta Panoramica degli spoke VPC.
    • Se un hub di Network Connectivity Center contiene entrambi gli spoke VPC e spoke ibridi come i collegamenti VLAN per Cloud Interconnect, i tunnel Cloud VPN o VM dell'appliance router; Private NAT utilizza le route dinamiche apprese dagli spoke ibridi tramite BGP (anteprima) e route di subnet scambiate dagli spoke VPC collegati. Per informazioni sugli spoke ibridi, consulta Spoke ibridi.
  • Per Hybrid NAT, Private NAT utilizza le route dinamiche imparate dal router Cloud tramite Cloud Interconnect o Cloud VPN.

Private NAT non ha requisiti per le regole Cloud NGFW. Le regole firewall vengono applicate direttamente alle interfacce di rete delle VM Compute Engine, non ai gateway Private NAT.

Non è necessario creare regole firewall speciali che consentano le connessioni da o verso l'IP NAT indirizzi IP esterni. Quando un gateway NAT privato fornisce NAT per l'interfaccia di rete di una VM, le regole firewall in uscita applicabili vengono valutate come pacchetti per l'interfaccia di rete prima di NAT. Le regole firewall in entrata vengono valutate dopo che i pacchetti sono stati elaborati da NAT.

Applicabilità dell'intervallo di indirizzi IP della subnet

Puoi configurare un gateway Private NAT per fornire NAT per quanto segue:

  • Intervalli di indirizzi IP principali e secondari di tutte le subnet nella regione. Un singolo gateway NAT privato fornisce NAT per gli indirizzi IP interni principali e per tutti gli intervalli IP alias delle VM idonee le cui interfacce di rete utilizzano una subnet nella regione. Questa opzione utilizza esattamente un gateway NAT per regione.
  • Elenco di subnet personalizzate. Un singolo gateway NAT privato fornisce la traduzione NAT per gli indirizzi IP interni principali e per tutti gli intervalli IP alias delle VM idonee le cui interfacce di rete utilizzano una subnet da un elenco di subnet specificate.

Larghezza di banda

L'utilizzo di un gateway NAT privato non modifica la quantità di larghezza di banda in entrata o in uscita che una VM può utilizzare. Per le specifiche della larghezza di banda, che variano in base al tipo di macchina, consulta Larghezza di banda della rete nella documentazione di Compute Engine.

VM con più interfacce di rete

Se configuri una VM in modo che abbia più reti interfacce, ogni interfaccia deve essere in in una rete VPC separata. Di conseguenza, Il gateway Private NAT può essere applicato solo a una singola interfaccia di rete di una VM. Gateway NAT privati separati possono fornire NAT alla stessa VM, dove ogni gateway si applica a un'interfaccia separata.

Indirizzi IP e porte NAT

Quando crei un gateway NAT privato, devi specificare una subnet di destinazione PRIVATE_NAT da cui vengono assegnati gli indirizzi IP NAT per le VM. Per ulteriori informazioni sull'assegnazione degli indirizzi IP Private NAT, consulta Indirizzi IP Private NAT.

Puoi configurare il numero di porte di origine che ogni gateway NAT privato riserva su ogni VM per cui deve fornire servizi NAT. Puoi configurare l'allocazione statica delle porte in cui viene riservato lo stesso numero di porte per ogni VM, oppure porta dinamica allocazione, dove il numero di richieste di annunci le porte possono variare tra il limite minimo e massimo specificato.

Le VM per le quali deve essere fornito il NAT sono determinate dagli intervalli di indirizzi IP della subnet per i quali il gateway è configurato per il servizio.

Per ulteriori informazioni sulle porte, consulta Porte.

RFC applicabili

Private NAT è una NAT con cono limitato alle porte come definito nel documento RFC 3489.

Timeout NAT

Private NAT imposta i timeout per le connessioni di protocollo. Per informazioni su questi timeout e sui relativi valori predefiniti, consulta i timeout NAT.

Passaggi successivi