Configura e gestisci Network Address Translation con Private NAT
Questa pagina mostra come configurare Network Address Translation (NAT) utilizzando Private NAT. Prima di impostare la configurazione di Private NAT, scopri di più sul Private NAT.
Prima di iniziare
Completa le seguenti attività prima di configurare Private NAT.
Ottieni autorizzazioni IAM
L'amministratore di rete Compute
ruolo
(roles/compute.networkAdmin) ti concede le autorizzazioni per creare un gateway NAT su
al router Cloud, prenotare e assegnare gli indirizzi IP NAT e specificare
subnet (subnet) il cui traffico deve utilizzare la Network Address Translation
il gateway NAT.
Configurare Google Cloud
Prima di iniziare, configura i seguenti elementi in Google Cloud.
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Compute Engine.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Compute Engine.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Le istruzioni per l'interfaccia a riga di comando di Google Cloud in questa pagina presuppongono che l'ID progetto prima di inviare comandi.
Puoi impostare un ID progetto con le seguenti informazioni :
gcloud config set project PROJECT_ID
Puoi anche visualizzare un ID progetto già impostato:
gcloud config list --format='text(core.project)'
Crea una subnet NAT con scopo PRIVATE_NAT
Prima di configurare Private NAT, crea una subnet NAT
scopo PRIVATE_NAT. La subnet NAT deve trovarsi nella stessa regione in cui prevedi
per creare il gateway Private NAT.
Il gateway Private NAT utilizza intervalli di indirizzi IP di questa subnet
per eseguire il NAT. Assicurati che questa subnet non si sovrapponga a una subnet esistente
in una qualsiasi delle reti connesse. Non puoi creare risorse in questa subnet.
Questa subnet viene utilizzata solo per Private NAT.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Per visualizzare la pagina dei dettagli della rete VPC, fai clic sul nome di una rete VPC.
Fai clic sulla scheda Subnet.
Fai clic su Aggiungi subnet. Nella finestra di dialogo Aggiungi una subnet, segui questi passaggi:
- Specifica un nome per la subnet.
- Seleziona una regione.
- Per Scopo, seleziona Private NAT.
Inserisci un intervallo di indirizzi IP, che corrisponde all'intervallo IPv4 principale per la subnet.
Se selezioni un intervallo che non è un indirizzo RFC 1918, verifica che l'intervallo non sia in conflitto con una configurazione esistente. Per maggiori informazioni per informazioni sugli intervalli di subnet IPv4 validi, consulta Intervalli di subnet IPv4.
Fai clic su Aggiungi.
gcloud
Usa il comando compute networks subnet create per creare la subnet.
gcloud compute networks subnets create NAT_SUBNET \
--network=NETWORK \
--region=REGION \
--range=IP_RANGE \
--purpose=PRIVATE_NAT
Sostituisci quanto segue:
NAT_SUBNET: il nome del Intervallo di subnet NAT private da creare.NETWORK: la rete a cui appartiene la subnet.REGION: la regione della subnet da creare. Se non specificato, è possibile che ti venga chiesto di selezionare una regione (interattivo ).IP_RANGE: lo spazio IP allocato a questa subnet in formato CIDR. Assicurati che IP_RANGE prenda in considerazione l'utilizzo il doppio delle dimensioni delle porte richieste per VM.
Creazione configurazioni Private NAT
Puoi configurare un gateway Private NAT per supportare quanto segue Tipi di Private NAT:
- Il NAT privato per gli spoke di Network Connectivity Center esegue la traduzione NAT sul traffico tra:
- Reti VPC configurate come spoke VPC nello stesso hub di Network Connectivity Center. Per ulteriori informazioni, vedi Crea uno spoke VPC.
- Reti VPC configurate come spoke VPC nello stesso hub di Network Connectivity Center e nelle reti on-premise Altre reti di cloud provider collegate all'hub tramite spoke (anteprima). Per ulteriori informazioni, vedi Informazioni sulla connettività tra spoke VPC e spoke ibridi.
- Il NAT ibrido (anteprima) esegue la traduzione NAT sul traffico tra reti VPC e reti on-premise le reti di provider di servizi cloud che sono connesse a Google Cloud Cloud Interconnect o Cloud VPN.
Configura Private NAT
Crea un gateway Private NAT con una regola NAT personalizzata che esegue NAT su il traffico tra la tua rete VPC e altre reti.
Console
Nella console Google Cloud, vai alla pagina Cloud NAT.
Fai clic su Inizia o Crea gateway Cloud NAT.
Inserisci un nome per il gateway.
Per Tipo NAT, seleziona Privato.
Seleziona una rete VPC per il gateway NAT.
Seleziona la regione per il gateway NAT.
Seleziona o crea un router Cloud nella regione.
Assicurati che sia selezionata l'opzione Istanze VM come tipo di endpoint di origine.
Nell'elenco Origine, seleziona Personalizzato.
Seleziona una subnet sulla quale vuoi eseguire NAT.
Se vuoi specificare intervalli aggiuntivi, fai clic su Aggiungi subnet e intervallo IP.
Fai clic su Aggiungi una regola.
Nel campo Numero regola, inserisci un valore compreso tra
1e65000.In Corrispondenza, seleziona una delle seguenti opzioni:
- Per Private NAT per gli spoke di Network Connectivity Center, seleziona Hub Network Connectivity Center.
- Per Hybrid NAT (Anteprima), seleziona Route di connettività ibrida.
Seleziona o crea un intervallo di subnet NAT private.
Fai clic su Fine, quindi su Crea.
gcloud
Creare un router Cloud nella rete VPC per il quale vuoi eseguire NAT. Usa il comando
compute routers create.gcloud compute routers create ROUTER_NAME \ --network=NETWORK --region=REGION
Sostituisci quanto segue:
ROUTER_NAME: il nome del router da creare.NETWORK: la rete VPC di questo router.REGION: la regione del router da creare. Se non specificato, ti potrebbe essere chiesto di selezionare una regione (solo modalità interattiva).
Crea un gateway Private NAT specificando le subnet del VPC di origine per cui vuoi eseguire NAT.
Usa il comando
compute routers nats createcon il flag--typeimpostato suPRIVATE.gcloud compute routers nats create NAT_CONFIG \ --router=ROUTER_NAME --type=PRIVATE --region=REGION \ --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL ...] | \ [--nat-all-subnet-ip-ranges]
Sostituisci quanto segue:
NAT_CONFIG: il nome della configurazione Private NAT da creare.ROUTER_NAME: il nome del router da utilizzare con questa gateway VPN ad alta disponibilità. Il router è lo stesso che hai creato nel passaggio precedente. Assicurati che non siano associate altre risorse a questo router.SUBNETWORK: il nome della subnet o l'elenco di a cui consentire l'uso del gateway. Puoi anche specificare un elenco di subnet formato separato da virgole, ad esempio SUBNETWORK_1, SUBNETWORK_2. Google Cloud esegue sempre NAT in tutti gli intervalli IP della subnet per la subnet specificata o l'elenco di subnet.
Crea una regola per abbinare il traffico in base alle tue esigenze:
Per eseguire NAT sul traffico che esce attraverso il VPC di origine a uno degli spoke VPC o ibridi collegati a uno spoke nell'hub Network Connectivity Center, crea una regola NAT nel gateway Private NAT. In base alla regola NAT, il gateway Private NAT assegna indirizzi IP NAT dalla subnet Private NAT per eseguire NAT sul traffico.
Usa il comando
compute routers nats rules create.gcloud beta compute routers nats rules create NAT_RULE_NUMBER \ --router=ROUTER_NAME --region=REGION \ --nat=NAT_CONFIG \ --match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \ --source-nat-active-ranges=NAT_SUBNET ...
Sostituisci quanto segue:
NAT_RULE_NUMBER: il numero che identifica in modo univoco la regola da creare.NAT_CONFIG: il nome della configurazione di Private NAT per creare la regola. La configurazione è la stessa utilizzata creato nel passaggio precedente.PROJECT_ID: l'identificatore univoco globale per il progetto in cui si trova il router.HUB: il nome dell'hub di Network Connectivity Center corrispondente.NAT_SUBNET: il nome della subnet Private NAT che hai creato in precedenza. Puoi anche specificare un elenco di subnet separato da virgole.
Per eseguire NAT sul traffico in uscita attraverso il VPC di origine a una rete on-premise o a un'altra rete di provider di servizi cloud sulle soluzioni di connettività ibrida di Google Cloud (anteprima), una regola NAT nel gateway Private NAT. In base alla regola NAT, il gateway Private NAT assegna indirizzi IP NAT dalla subnet Private NAT per eseguire NAT sul traffico.
Usa il comando
compute routers nats rules create.gcloud beta compute routers nats rules create NAT_RULE_NUMBER \ --router=ROUTER_NAME --region=REGION \ --nat=NAT_CONFIG \ --match='nexthop.is_hybrid' \ --source-nat-active-ranges=NAT_SUBNET ...
Sostituisci quanto segue:
NAT_RULE_NUMBER: il numero che identifica in modo univoco la regola da creare.NAT_CONFIG: il nome della configurazione di Private NAT per creare la regola. La configurazione è la stessa utilizzata creato nel passaggio precedente.NAT_SUBNET: il nome della subnet Private NAT che hai creato in precedenza. Puoi anche specificare un elenco di subnet separato da virgole.
Configura Private NAT con allocazione statica delle porte
Per impostazione predefinita, Private NAT utilizza l'allocazione dinamica delle porte. Tuttavia, puoi configurare Private NAT in modo che utilizzi l'allocazione statica delle porte.
Console
Nella console Google Cloud, vai alla pagina Cloud NAT.
Fai clic su Inizia o Crea gateway Cloud NAT.
Inserisci un nome per il gateway.
Per Tipo NAT, seleziona Privato.
Seleziona una rete VPC per il gateway NAT.
Seleziona la regione per il gateway NAT.
Seleziona o crea un router Cloud nella regione.
Specifica i dettagli di mappatura Cloud NAT e crea una regola NAT. Per ulteriori informazioni, vedi Configurare Private NAT.
Fai clic su Configurazione avanzata.
Deseleziona Abilita allocazione dinamica delle porte.
Specifica il valore per Numero minimo di porte per istanza VM. Il valore predefinito è
64.Fai clic su Fine, quindi su Crea.
gcloud
Usa il comando compute routers nats create
con la bandierina --no-enable-dynamic-port-allocation.
gcloud compute routers nats create NAT_CONFIG \
--router=ROUTER_NAME --type=PRIVATE --region=REGION \
--nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] \
--no-enable-dynamic-port-allocation \
[--min-ports-per-vm=VALUE]
Sostituisci quanto segue:
NAT_CONFIG: il nome della configurazione di Private NAT per creare.ROUTER_NAME: il nome del router da utilizzare con questo gateway.SUBNETWORK: il nome della subnet o l'elenco di a cui consentire l'uso del gateway.Puoi anche specificare un elenco di subnet formato separato da virgole, ad esempio SUBNETWORK_1, SUBNETWORK_2. Google Cloud esegue sempre NAT su tutti gli intervalli IP della subnet per la subnet specificata o l'elenco di subnet.
VALUE: il numero minimo di porte per VM che devono essere gateway VPN ad alta disponibilità. Se non specificato, Google Cloud assegna valore predefinito di64.
Visualizza configurazione NAT
Console
Nella console Google Cloud, vai alla pagina Cloud NAT.
Per visualizzare i dettagli, le informazioni di mappatura o la configurazione del gateway NAT dettagli, fai clic sul nome del gateway NAT.
Per visualizzare lo stato NAT, consulta la colonna Stato del gateway NAT.
gcloud
Puoi visualizzare i dettagli della configurazione NAT eseguendo questi comandi:
Visualizza la configurazione del gateway Private NAT.
gcloud compute routers nats describe NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION
Sostituisci quanto segue:
NAT_CONFIG: il nome della configurazione NAT.ROUTER_NAME: il nome del tuo router Cloud.REGION: la regione del NAT da descrivere. Se non specificato, ti potrebbe essere chiesto di selezionare una regione (solo modalità interattiva).
Visualizza la mappatura degli intervalli IP:porte allocati all'interfaccia di ogni VM.
gcloud compute routers get-nat-mapping-info ROUTER_NAME \ --region=REGION
Visualizza lo stato del gateway Private NAT.
gcloud compute routers get-status ROUTER_NAME \ --region=REGION
Aggiorna configurazioni Private NAT
Dopo aver configurato il gateway Private NAT, puoi aggiornarlo configurazione in base ai tuoi requisiti. Le seguenti sezioni elencano le attività che puoi eseguire per aggiornare il gateway Private NAT.
Modifica le subnet associate al Private NAT
Console
Nella console Google Cloud, vai alla pagina Cloud NAT.
Fai clic sul gateway NAT.
Fai clic su Modifica.
Per Mappatura Cloud NAT, nell'elenco Origine, seleziona Personalizzato.
Seleziona una nuova subnet dall'elenco delle subnet disponibili.
Se vuoi specificare intervalli aggiuntivi, fai clic su Aggiungi subnet e intervallo IP e seleziona un'altra subnet.
Fai clic su Salva.
gcloud
gcloud beta compute routers nats update NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,..]
Sostituisci quanto segue:
NAT_CONFIG: il nome della configurazione di Private NAT per aggiornarli.ROUTER_NAME: il nome del router da utilizzare con questo gateway.SUBNETWORK: il nome della subnet da utilizzare.
Elimina le subnet associate al Private NAT
Puoi rimuovere dal gateway NAT specifiche subnet non più in uso.
Console
Nella console Google Cloud, vai alla pagina Cloud NAT.
Fai clic sul gateway NAT.
Fai clic su Modifica.
Elimina la subnet che vuoi rimuovere dal mapping NAT.
Fai clic su Salva.
Aggiungi subnet NAT alla configurazione di Private NAT
Per eseguire la traduzione NAT sul traffico, è necessario
utilizza indirizzi IP NAT da una subnet con scopo di PRIVATE_NAT.
Se la configurazione di Private NAT richiede più risorse rispetto
di indirizzi IP NAT, puoi aggiungere altre subnet di scopo PRIVATE_NAT
la configurazione.
Console
Nella console Google Cloud, vai alla pagina Cloud NAT.
Fai clic sul gateway NAT.
Fai clic su Modifica.
Espandi la regola esistente.
Fai clic su Aggiungi intervalli di subnet.
Seleziona o crea un nuovo intervallo di subnet NAT, quindi fai clic su Fine.
Fai clic su Salva.
gcloud
gcloud beta compute routers nats rules update NAT_RULE_NUMBER \ --nat=NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...
Sostituisci quanto segue:
NAT_RULE_NUMBER: il numero che identifica in modo univoco la regola da aggiornare.NAT_CONFIG: il nome della configurazione di Private NAT per aggiornare la regola.PROJECT_ID: l'identificatore univoco globale per il progetto in cui si trova il router.NAT_SUBNET: i nomi delle subnet Private NAT da aggiungere alla configurazione NAT esistente.
Elimina configurazione NAT
L'eliminazione della configurazione di un gateway rimuove la configurazione NAT da un router Cloud. Il router non viene eliminato.
Console
Nella console Google Cloud, vai alla pagina Cloud NAT.
Seleziona la casella di controllo accanto alla configurazione del gateway che vuoi eliminare.
In Menu, fai clic su Elimina.
gcloud
gcloud compute routers nats delete NAT_CONFIG \
--router=ROUTER_NAME \
--region=REGION
Sostituisci quanto segue:
NAT_CONFIG: il nome della configurazione NAT.ROUTER_NAME: il nome del tuo router Cloud.REGION: la regione del NAT da eliminare. Se non specificato, ti potrebbe essere chiesto di selezionare una regione (solo modalità interattiva).
Passaggi successivi
- Configura il logging e il monitoraggio per Cloud NAT.
- Risolvi i problemi comuni relativi alle configurazioni NAT.