Configura e gestisci Network Address Translation con Private NAT

Questa pagina mostra come configurare Network Address Translation (NAT) utilizzando Private NAT. Prima di impostare la configurazione di Private NAT, leggi informazioni su Private NAT.

Prima di iniziare

Completa le seguenti attività prima di configurare Private NAT.

Ottieni autorizzazioni IAM

Il ruolo Amministratore rete Compute (roles/compute.networkAdmin) ti consente di creare un gateway NAT sul router Cloud, prenotare e assegnare indirizzi IP NAT e specificare le subnet (subnet) il cui traffico deve utilizzare Network Address Translation da parte del gateway NAT.

Configurare Google Cloud

Prima di iniziare, configura i seguenti elementi in Google Cloud.

Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

Vai al selettore progetti

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Attiva l'API Compute Engine.

Abilita l'API

Installa Google Cloud CLI.

Per initialize gcloud CLI, esegui questo comando:

gcloud init

Nota: se hai già installato gcloud CLI in precedenza, assicurati di disporre della versione più recente eseguendo

gcloud components
      update

Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

Vai al selettore progetti

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Attiva l'API Compute Engine.

Abilita l'API

Installa Google Cloud CLI.

Per initialize gcloud CLI, esegui questo comando:

gcloud init

Nota: se hai già installato gcloud CLI in precedenza, assicurati di disporre della versione più recente eseguendo

gcloud components
      update

Le istruzioni di Google Cloud CLI in questa pagina presuppongono che tu abbia impostato l'ID progetto prima di inviare comandi.

Puoi impostare un ID progetto con il seguente comando:
```
gcloud config set project PROJECT_ID
```
Puoi anche visualizzare un ID progetto già impostato:
```
gcloud config list --format='text(core.project)'
```

Crea una subnet NAT di scopo PRIVATE_NAT

Prima di configurare Private NAT, devi creare una subnet NAT per lo scopo PRIVATE_NAT. La subnet NAT deve trovarsi nella stessa regione in cui prevedi di creare il gateway NAT privato. Il gateway NAT privato utilizza gli intervalli di indirizzi IP di questa subnet per eseguire NAT. Assicurati che questa subnet non si sovrapponga a una subnet esistente in nessuna delle reti connesse. Non puoi creare risorse in questa subnet. Questa subnet viene utilizzata solo per Private NAT.

Console

Nella console Google Cloud, vai alla pagina Reti VPC.

Vai a Reti VPC
Per visualizzare la pagina dei dettagli della rete VPC, fai clic sul nome di una rete VPC.
Fai clic sulla scheda Subnet.
Fai clic su Aggiungi subnet. Nella finestra di dialogo Aggiungi una subnet, segui questi passaggi:
1. Specifica un nome per la subnet.
2. Seleziona una regione.
3. Per Scopo, seleziona Private NAT.
4. Inserisci un intervallo di indirizzi IP, che corrisponde all'intervallo IPv4 principale per la subnet.
  
  Se selezioni un intervallo che non è un indirizzo RFC 1918, verifica che l'intervallo non sia in conflitto con una configurazione esistente. Per ulteriori informazioni sugli intervalli di subnet IPv4 validi, consulta Intervalli di subnet IPv4.
  
  Nota: gli intervalli di indirizzi IP con indirizzi IPv4 pubblici utilizzati privatamente non sono supportati. Per saperne di più, consulta Spoke VPC e peering di rete VPC.
Fai clic su Aggiungi.

gcloud

Utilizza il comando compute networks subnet create per creare la subnet.

    gcloud compute networks subnets create NAT_SUBNET \
      --network=NETWORK \
      --region=REGION \
      --range=IP_RANGE \
      --purpose=PRIVATE_NAT

Sostituisci quanto segue:

NAT_SUBNET: il nome dell'intervallo di subnet NAT Private da creare.
NETWORK: la rete a cui appartiene la subnet.
REGION: la regione della subnet da creare. Se non specificata, ti potrebbe essere chiesto di selezionare un'area geografica (solo modalità interattiva).
IP_RANGE: lo spazio IP allocato a questa subnet in formato CIDR. Assicurati che IP_RANGE tenga conto del doppio delle porte richieste per VM.

Creazione di configurazioni NAT private

Puoi configurare un gateway NAT privato per supportare le seguenti offerte Private NAT:

NAT Inter-VPC: esegue la traduzione NAT sul traffico tra reti VPC configurate come spoke VPC connessi a un hub comune di Network Connectivity Center.
Hybrid NAT (anteprima): esegue NAT sul traffico tra reti VPC e reti on-premise o altri cloud provider connessi tramite le soluzioni di connettività ibrida aziendale di Google Cloud.

Configura Private NAT

Crea un gateway NAT privato con una regola NAT personalizzata che esegue NAT sul traffico tra la tua rete VPC e altre reti.

Console

Nella console Google Cloud, vai alla pagina Cloud NAT.

Vai a Cloud NAT
Fai clic su Inizia o Crea gateway Cloud NAT.

Nota: se questo è il primo gateway Cloud NAT che stai creando, fai clic su Inizia. Se hai già dei gateway, invece di Inizia, Google Cloud visualizza il pulsante Crea gateway Cloud NAT. Per creare un altro gateway, fai clic su Crea gateway Cloud NAT.
Inserisci un nome per il gateway.
Per Tipo NAT, seleziona Privato.
Seleziona una rete VPC per il gateway NAT.
Seleziona la regione per il gateway NAT.
Seleziona o crea un router Cloud nella regione.
Assicurati che l'opzione Istanze VM sia selezionata come tipo di endpoint di origine.
Nell'elenco Origine, seleziona Personalizzato.
Seleziona una subnet sulla quale vuoi eseguire NAT.
Se vuoi specificare altri intervalli, fai clic su Aggiungi subnet e intervallo IP.
Fai clic su Aggiungi una regola.
Nel campo Numero regola, inserisci un valore compreso tra 1 e 65000.
In Corrispondenza, seleziona una delle seguenti opzioni:
- Per NAT Inter-VPC, seleziona Hub di Network Connectivity Center.
- Per Hybrid NAT (anteprima), seleziona Route di connettività ibrida.
Seleziona o crea un intervallo di subnet NAT privato.
Fai clic su Fine, quindi su Crea.

gcloud

Crea un router Cloud nella rete VPC per il quale vuoi eseguire NAT. Utilizza il comando compute routers create.
```
gcloud compute routers create ROUTER_NAME \
  --network=NETWORK --region=REGION
```
Sostituisci quanto segue:
- ROUTER_NAME: il nome del router da creare.
- NETWORK: la rete VPC di questo router.
- REGION: la regione del router da creare. Se non specificata, ti potrebbe essere chiesto di selezionare un'area geografica (solo modalità interattiva).
Crea un gateway NAT privato specificando le subnet della rete VPC di origine per le quali vuoi eseguire NAT.

Utilizza il comando compute routers nats create con il flag --type impostato su PRIVATE.
```
gcloud compute routers nats create NAT_CONFIG \
  --router=ROUTER_NAME --type=PRIVATE --region=REGION \
  --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL ...] | \
  [--nat-all-subnet-ip-ranges]
```
Sostituisci quanto segue:
- NAT_CONFIG: il nome della configurazione NAT privato da creare.
- ROUTER_NAME: il nome del router da utilizzare con questo gateway. Il router è lo stesso che hai creato nel passaggio precedente. Assicurati che nessun'altra risorsa sia associata a questo router.
- SUBNETWORK: il nome della subnet o dell'elenco di subnet a cui consentire l'utilizzo del gateway. Puoi anche specificare un elenco di subnet in un formato separato da virgole, ad esempio SUBNETWORK_1, SUBNETWORK_2. Google Cloud esegue sempre la funzione NAT su tutti gli intervalli IP di una subnet per una determinata subnet o per l'elenco di subnet.
Crea una regola per associare il traffico in base ai tuoi requisiti:
- Per eseguire la traduzione NAT sul traffico in uscita attraverso lo spoke del VPC di origine verso uno degli spoke VPC peer collegati a un hub di Network Connectivity Center corrispondente, crea una regola NAT nel gateway Private NAT. In base alla regola NAT, il gateway NAT privato assegna indirizzi IP NAT dalla subnet Private NAT per eseguire NAT sul traffico.
  
  Utilizza il comando compute routers nats rules create.
```
gcloud beta compute routers nats rules create NAT_RULE_NUMBER \
--router=ROUTER_NAME --region=REGION \
--nat=NAT_CONFIG \
--match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \
--source-nat-active-ranges=NAT_SUBNET ...
```
  Sostituisci quanto segue:
  - NAT_RULE_NUMBER: il numero che identifica in modo univoco la regola da creare.
  - NAT_CONFIG: il nome della configurazione NAT privato per la creazione della regola. La configurazione è la stessa che hai creato nel passaggio precedente.
  - PROJECT_ID: l'identificatore univoco globale per il progetto in cui si trova il router.
  - HUB: il nome dell'hub di Network Connectivity Center corrispondente.
  - NAT_SUBNET: il nome della subnet Private NAT creata in precedenza. Puoi anche specificare un elenco di subnet in formato separato da virgole.
- Per eseguire NAT sul traffico in uscita attraverso la rete VPC di origine verso una rete on-premise o un altro cloud provider sulle soluzioni di connettività ibrida aziendale di Google Cloud (anteprima), crea una regola NAT nel gateway Private NAT. In base alla regola NAT, il gateway NAT privato assegna indirizzi IP NAT dalla subnet Private NAT per eseguire NAT sul traffico.
  
  Utilizza il comando compute routers nats rules create.
```
gcloud beta compute routers nats rules create NAT_RULE_NUMBER \
--router=ROUTER_NAME --region=REGION \
--nat=NAT_CONFIG \
--match='nexthop.is_hybrid' \
--source-nat-active-ranges=NAT_SUBNET ...
```
  Sostituisci quanto segue:
  - NAT_RULE_NUMBER: il numero che identifica in modo univoco la regola da creare.
  - NAT_CONFIG: il nome della configurazione NAT privato per la creazione della regola. La configurazione è la stessa che hai creato nel passaggio precedente.
  - NAT_SUBNET: il nome della subnet Private NAT creata in precedenza. Puoi anche specificare un elenco di subnet in formato separato da virgole.

Configura Private NAT con allocazione statica delle porte

Per impostazione predefinita, Private NAT utilizza l'allocazione dinamica delle porte. Tuttavia, puoi configurare Private NAT in modo che utilizzi l'allocazione statica delle porte.

Console

Nella console Google Cloud, vai alla pagina Cloud NAT.

Vai a Cloud NAT
Fai clic su Inizia o Crea gateway Cloud NAT.

Nota: se questo è il primo gateway Cloud NAT che stai creando, fai clic su Inizia. Se hai già dei gateway, invece di Inizia, Google Cloud visualizza il pulsante Crea gateway Cloud NAT. Per creare un altro gateway, fai clic su Crea gateway Cloud NAT.
Inserisci un nome per il gateway.
Per Tipo NAT, seleziona Privato.
Seleziona una rete VPC per il gateway NAT.
Seleziona la regione per il gateway NAT.
Seleziona o crea un router Cloud nella regione.
Specifica i dettagli di mappatura di Cloud NAT e crea una regola NAT. Per ulteriori informazioni, vedi Configurare Private NAT.
Fai clic su Configurazione avanzata.
Deseleziona Abilita allocazione dinamica delle porte.
Specifica il valore per Numero minimo di porte per istanza VM. Il valore predefinito è 64.
Fai clic su Fine, quindi su Crea.

gcloud

Usa il comando compute routers nats create con il flag --no-enable-dynamic-port-allocation.

  gcloud compute routers nats create NAT_CONFIG \
    --router=ROUTER_NAME --type=PRIVATE --region=REGION \
    --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] \
    --no-enable-dynamic-port-allocation \
    [--min-ports-per-vm=VALUE]

Sostituisci quanto segue:

NAT_CONFIG: il nome della configurazione NAT privata da creare.
ROUTER_NAME: il nome del router da utilizzare con questo gateway.
SUBNETWORK: il nome della subnet o dell'elenco di subnet a cui consentire l'utilizzo del gateway.

Puoi anche specificare un elenco di subnet in un formato separato da virgole, ad esempio SUBNETWORK_1, SUBNETWORK_2. Google Cloud esegue sempre la funzione NAT su tutti gli intervalli IP di una subnet per una determinata subnet o per l'elenco di subnet.
VALUE: il numero minimo di porte per VM che vuoi assegnare il gateway. Se non specificato, Google Cloud assegna il valore predefinito di 64.

Visualizza configurazione NAT

Console

Nella console Google Cloud, vai alla pagina Cloud NAT.

Vai a Cloud NAT
Per visualizzare i dettagli del gateway NAT, le informazioni di mappatura o i dettagli di configurazione, fai clic sul nome del gateway NAT.
Per visualizzare lo stato di NAT, consulta la colonna Stato del gateway NAT.

gcloud

Puoi visualizzare i dettagli della configurazione NAT eseguendo questi comandi:

Visualizza la configurazione del gateway NAT privato.
```
gcloud compute routers nats describe NAT_CONFIG \
   --router=ROUTER_NAME \
   --region=REGION
```
Sostituisci quanto segue:
- NAT_CONFIG: il nome della configurazione NAT.
- ROUTER_NAME: il nome del tuo router Cloud.
- REGION: la regione del NAT da descrivere. Se non specificata, ti potrebbe essere chiesto di selezionare un'area geografica (solo modalità interattiva).
Visualizza la mappatura di IP:intervalli di porte allocati all'interfaccia di ogni VM.
```
gcloud compute routers get-nat-mapping-info ROUTER_NAME \
  --region=REGION
```

Visualizza lo stato del gateway NAT privato.

gcloud compute routers get-status ROUTER_NAME \
  --region=REGION

Aggiornamento delle configurazioni NAT privato

Dopo aver configurato il gateway NAT privato, puoi aggiornare la configurazione del gateway in base ai tuoi requisiti. Le seguenti sezioni elencano le attività che puoi eseguire per aggiornare il gateway NAT privato.

Modifica le subnet associate al NAT privato

Console

Nella console Google Cloud, vai alla pagina Cloud NAT.

Vai a Cloud NAT
Fai clic sul gateway NAT.
Fai clic su Modifica.
Per Mappatura Cloud NAT, nell'elenco Origine, seleziona Personalizzato.
Seleziona una nuova subnet dall'elenco di subnet disponibili.
Se vuoi specificare intervalli aggiuntivi, fai clic su Aggiungi subnet e intervallo IP, quindi seleziona un'altra subnet.
Fai clic su Salva.

gcloud

gcloud beta compute routers nats update NAT_CONFIG \
  --router=ROUTER_NAME \
  --region=REGION \
  --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,..]

Sostituisci quanto segue:

NAT_CONFIG: il nome della configurazione NAT privato da aggiornare.
ROUTER_NAME: il nome del router da utilizzare con questo gateway.
SUBNETWORK: il nome della subnet da utilizzare.

Elimina le subnet associate al NAT privato

Puoi rimuovere dal gateway NAT delle subnet specifiche che non sono più in uso.

Console

Nella console Google Cloud, vai alla pagina Cloud NAT.

Vai a Cloud NAT
Fai clic sul gateway NAT.
Fai clic su Modifica.
Elimina la subnet che vuoi rimuovere dal mapping NAT.

Nota: se la subnet che hai eliminato è l'unica mappata al gateway Private NAT, il sistema ti chiede di aggiungere una subnet. Puoi mappare una nuova subnet o selezionare Intervalli principali e secondari per tutte le subnet nell'elenco Origine.
Fai clic su Salva.

Aggiungi subnet NAT alla configurazione NAT privato

Per eseguire NAT sul traffico, una configurazione NAT privato utilizza gli indirizzi IP NAT di una subnet con scopo PRIVATE_NAT. Se la configurazione Private NAT richiede un numero di indirizzi IP NAT superiore a quello disponibile, puoi aggiungere altre subnet PRIVATE_NAT alla configurazione.

Console

Nella console Google Cloud, vai alla pagina Cloud NAT.

Vai a Cloud NAT
Fai clic sul gateway NAT.
Fai clic su Modifica.
Espandi la regola esistente.
Fai clic su Aggiungi intervalli di subnet.
Seleziona o crea un nuovo intervallo di subnet NAT, quindi fai clic su Fine.

Nota: per aggiungere altre subnet NAT, ripeti il passaggio.
Fai clic su Salva.

gcloud

gcloud beta compute routers nats rules update NAT_RULE_NUMBER \
  --nat=NAT_CONFIG \
  --router=ROUTER_NAME \
  --region=REGION \
  --source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...

Sostituisci quanto segue:

NAT_RULE_NUMBER: il numero che identifica in modo univoco la regola da aggiornare.
NAT_CONFIG: il nome della configurazione NAT privato per l'aggiornamento della regola.
PROJECT_ID: l'identificatore univoco globale per il progetto in cui si trova il router.
NAT_SUBNET: i nomi delle subnet Private NAT da aggiungere alla configurazione NAT esistente.

Elimina configurazione NAT

L'eliminazione di una configurazione di gateway rimuove la configurazione NAT da un router Cloud. Il router non viene eliminato.

Console

Nella console Google Cloud, vai alla pagina Cloud NAT.

Vai a Cloud NAT
Seleziona la casella di controllo accanto alla configurazione del gateway da eliminare.
Nel menu, fai clic su Elimina.

gcloud

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Sostituisci quanto segue:

NAT_CONFIG: il nome della configurazione NAT.
ROUTER_NAME: il nome del tuo router Cloud.
REGION: la regione del NAT da eliminare. Se non specificata, ti potrebbe essere chiesto di selezionare un'area geografica (solo modalità interattiva).

Passaggi successivi

Configurare logging e monitoraggio per Cloud NAT.
Risolvi i problemi comuni relativi alle configurazioni NAT.