Network Address Translation mit Private NAT einrichten und verwalten

Auf dieser Seite wird beschrieben, wie Sie die NAT (Network Address Translation, Netzwerkadressübersetzung) von privaten Netzwerken zu privaten Netzwerken in Cloud NAT konfigurieren.

Hinweise

Führen Sie die folgenden Aufgaben aus, bevor Sie Private NAT einrichten.

Spezifikationen für Private NAT prüfen

Beachten Sie die folgenden Spezifikationen und Anforderungen:

  • Allgemeine Spezifikationen finden Sie unter Private NAT.
  • Informationen zum Traffic zwischen Spokes eines Network Connectivity Center-Hubs, einschließlich VPC-Spokes und Hybrid-Spokes, finden Sie unter Private NAT für Network Connectivity Center-Spokes.
  • Informationen zu Traffic zwischen VPC-Netzwerken (Virtual Private Cloud) und Nicht-Google Cloud-Netzwerken über Cloud Interconnect oder Cloud VPN finden Sie unter Hybrid NAT.

IAM-Berechtigungen abrufen

Die Rolle Compute Network Admin (roles/compute.networkAdmin) berechtigt Sie, ein NAT-Gateway in Cloud Router zu erstellen, NAT-IP-Adressen zu reservieren und zuzuweisen sowie Subnetzwerke (Subnetze) anzugeben, deren Traffic eine Netzwerkadressübersetzung vom NAT-Gateway verwenden sollte.

Google Cloud einrichten

Zuvor sollten Sie jedoch die folgenden Elemente in Google Cloud einrichten.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Enable the API

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine API.

    Enable the API

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init

In der Anleitung für das Google Cloud CLI auf dieser Seite wird davon ausgegangen, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.

  1. Sie können eine Projekt-ID mit dem folgenden Befehl festlegen:

    gcloud config set project PROJECT_ID

  2. Sie können auch eine Projekt-ID anzeigen lassen, die bereits festgelegt ist:

    gcloud config list --format='text(core.project)'

NAT-Subnetz mit dem Zweck PRIVATE_NAT erstellen

Bevor Sie Private NAT konfigurieren, erstellen Sie ein NAT-Subnetz mit dem Zweck PRIVATE_NAT. Das NAT-Subnetz muss sich in derselben Region befinden, in der Sie das private NAT-Gateway erstellen möchten. Das private NAT-Gateway verwendet IP-Adressbereiche aus diesem Subnetz, um NAT auszuführen. Achten Sie darauf, dass sich dieses Subnetz nicht mit einem vorhandenen Subnetz in einem der verbundenen Netzwerke überschneidet. Sie können in diesem Subnetz keine Ressourcen erstellen. Dieses Subnetz wird nur für private NAT verwendet.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf den Namen eines VPC-Netzwerk, um die Detailseite aufzurufen.

  3. Klicken Sie auf den Tab Subnetze.

  4. Klicken Sie auf Subnetz hinzufügen. Führen Sie im Dialogfeld Subnetz hinzufügen die folgenden Schritte aus:

    1. Geben Sie einen Namen für das Subnetz an.
    2. Wählen Sie eine Region aus.
    3. Wählen Sie als Zweck die Option Private NAT aus.

    4. Geben Sie einen IP-Adressbereich ein, der dem primären IPv4-Bereich des Subnetzes entspricht.

      Wenn Sie einen Bereich auswählen, der keine RFC 1918-Adresse ist, prüfen Sie, ob der Bereich mit einer vorhandenen Konfiguration in Konflikt steht. Weitere Informationen zu gültigen IPv4-Subnetzbereichen finden Sie unter IPv4-Subnetzbereiche.

  5. Klicken Sie auf Hinzufügen.

gcloud

Verwenden Sie den Befehl gcloud compute networks subnet create, um das Subnetz zu erstellen.

  gcloud compute networks subnets create NAT_SUBNET \
      --network=NETWORK \
      --region=REGION \
      --range=IP_RANGE \
      --purpose=PRIVATE_NAT

Ersetzen Sie Folgendes:

  • NAT_SUBNET: Der Name des zu erstellenden privaten NAT-Subnetzbereichs.
  • NETWORK: das Netzwerk, zu dem das Subnetzwerk gehört.
  • REGION: die Region des zu erstellenden Subnetzes. Wenn Sie keine Region angeben, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).
  • IP_RANGE: Der IP‑Adressbereich, der diesem Subnetz im CIDR-Format zugewiesen ist. Achten Sie darauf, dass in IP_RANGE die doppelte Größe der erforderlichen Ports pro VM berücksichtigt wird.

Private NAT konfigurieren

Sie konfigurieren Private NAT, indem Sie ein privates NAT-Gateway im Quell-VPC-Netzwerk erstellen. Jedes Gateway ist einem einzelnen VPC-Netzwerk, einer Region und einem Cloud Router zugeordnet.

Wenn Sie Private NAT konfigurieren, können Sie eine oder beide der folgenden Optionen aktivieren:

  • Private NAT für Network Connectivity Center-Spokes Aktiviert NAT für Traffic zwischen den folgenden Elementen:
    • Ein Quell-VPC-Netzwerk und ein Ziel-VPC-Netzwerk im selben Network Connectivity Center-Hub. Beide Netzwerke müssen als VPC-Spokes konfiguriert sein.
    • Ein Quell-VPC-Netzwerk, das als VPC-Spoke in einem Network Connectivity Center-Hub konfiguriert ist, und ein lokales Zielnetzwerk oder ein Netzwerk eines anderen Cloud-Anbieters, das über einen Hybrid-Spoke mit dem Hub verbunden ist.
  • Hybrid NAT: Ermöglicht NAT für Traffic zwischen einem Quell-VPC-Netzwerk und einem lokalen oder anderen Cloud-Anbieternetzwerk. Die Netzwerke müssen über Cloud Interconnect oder Cloud VPN verbunden sein.

Privates NAT-Gateway erstellen

Erstellen Sie ein privates NAT-Gateway im Quell-VPC-Netzwerk, für das Sie NAT konfigurieren möchten.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.

  3. Geben Sie einen Gatewaynamen ein.

  4. Wählen Sie als NAT-Typ Privat aus.

  5. Wählen Sie ein VPC-Netzwerk für das NAT-Gateway aus.

  6. Wählen Sie die Region für das NAT-Gateway aus.

  7. Wählen Sie einen Cloud Router in der Region aus oder erstellen Sie einen.

  8. Als Quellendpunkttyp muss VM-Instanzen ausgewählt sein.

  9. Wählen Sie in der Liste Quelle die Option Benutzerdefiniert aus.

  10. Wählen Sie ein Subnetz aus, für das Sie NAT ausführen möchten.

  11. Wenn Sie weitere Bereiche angeben möchten, klicken Sie auf Subnetz und IP-Bereich hinzufügen.

  12. Klicken Sie auf Regel hinzufügen.

  13. Geben Sie im Feld Regelnummer einen Wert zwischen 1 und 65000 ein.

  14. Wählen Sie für Übereinstimmen eine der folgenden Optionen aus:

    • Wenn Sie Hybrid-NAT aktivieren möchten, wählen Sie Hybridkonnektivitätsrouten aus.
    • Wenn Sie Private NAT für Network Connectivity Center-Spokes aktivieren möchten, wählen Sie Network Connectivity Center-Hub aus.
    • Wenn Sie beide Optionen aktivieren möchten, wählen Sie Hybridkonnektivitätsrouten und Network Connectivity Center-Hub aus.

  15. Wählen Sie einen privaten NAT-Subnetzbereich aus oder erstellen Sie einen.

  16. Klicken Sie auf Fertig.

  17. Optional: Passen Sie die folgenden Einstellungen im Abschnitt Erweiterte Konfigurationen an:

    • Ob das Logging konfiguriert werden soll. Standardmäßig ist Kein Logging ausgewählt.
    • Ob die Zuweisung von Ports durch Cloud NAT geändert werden soll. Standardmäßig ist Dynamische Portzuweisung aktivieren ausgewählt. Wenn Sie die statische Portzuweisung konfigurieren möchten, entfernen Sie das Häkchen bei Dynamische Portzuweisung aktivieren und geben Sie die Mindestanzahl an Ports pro VM-Instanz an. Der Standardwert ist 64.
    • Ob NAT-Zeitlimits für Protokollverbindungen aktualisiert werden sollen. Informationen zu diesen Zeitlimits und ihren Standardwerten finden Sie unter NAT-Zeitlimits.

  18. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie einen Cloud Router in dem VPC-Netzwerk, für das Sie NAT konfigurieren möchten.

    Führen Sie den Befehl gcloud compute routers create aus.

    gcloud compute routers create ROUTER_NAME \
    --network=NETWORK --region=REGION

    Ersetzen Sie Folgendes:

    • ROUTER_NAME: Ein Name für den Cloud Router.
    • NETWORK: das VPC-Netzwerk, in dem der Cloud Router erstellt werden soll.
    • REGION: Die Region, in der der Cloud Router erstellt werden soll.

  2. Erstellen Sie ein privates NAT-Gateway und geben Sie ein oder mehrere Subnetze des Quell-VPC-Netzwerk an, für das Sie NAT konfigurieren möchten.

    Verwenden Sie den Befehl gcloud compute routers nats create, wobei das Flag --type auf PRIVATE gesetzt ist.

    gcloud compute routers nats create NAT_CONFIG \
    --router=ROUTER_NAME --type=PRIVATE --region=REGION \
    --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] | \
    [--nat-all-subnet-ip-ranges]

    Ersetzen Sie Folgendes:

    • NAT_CONFIG: Ein Name für die private NAT-Konfiguration, die Sie erstellen.
    • ROUTER_NAME: Der Name des Cloud Router, der mit diesem Gateway verwendet werden soll. Dies ist der Cloud Router, den Sie im vorherigen Schritt erstellt haben. Er darf von keiner anderen Ressource verwendet werden.

    • SUBNETWORK: Der Name des Subnetzes oder die Liste der Subnetze, für die Sie NAT verwenden möchten.

      Sie können auch eine Liste von Subnetzen in einem durch Kommas getrennten Format angeben, z. B. SUBNETWORK_1,SUBNETWORK_2. Bei Private NAT wird immer NAT für alle Subnetz-IP-Bereiche für das angegebene Subnetz oder die angegebene Liste von Subnetzen ausgeführt.

    Bei Private NAT wird standardmäßig die dynamische Portzuweisung verwendet. Wenn Sie ein privates NAT-Gateway mit statischer Portzuweisung erstellen möchten, führen Sie den vorherigen Befehl mit dem Flag --no-enable-dynamic-port-allocation aus:

    gcloud compute routers nats create NAT_CONFIG \
    --router=ROUTER_NAME --type=PRIVATE --region=REGION \
    --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] | \
    [--nat-all-subnet-ip-ranges]
    --no-enable-dynamic-port-allocation \
    [--min-ports-per-vm=VALUE]

    Ersetzen Sie VALUE durch die Mindestanzahl von Ports, die pro VM zugewiesen werden sollen. Wenn keine Angabe erfolgt, wird in Google Cloud der Standardwert 64 zugewiesen.

  3. Erstellen Sie eine NAT-Regel, um den Traffic basierend auf der konfigurierten NAT-Art abzugleichen.

    Verwenden Sie den Befehl gcloud compute routers nats rules create, wobei das Flag --match auf eine der folgenden Optionen gesetzt ist:

    • nexthop.is_hybrid: Hier wird ausgehender Traffic aus dem Quell-VPC-Netzwerk in ein lokales Netzwerk oder ein Netzwerk eines anderen Cloud-Anbieters übersetzt, das über Cloud Interconnect oder Cloud VPN mit Google Cloud verbunden ist.
    • nexthop.hub: Übersetzt ausgehenden Traffic vom Quell-VPC-Spoke an einen der VPC- oder Hybrid-Spokes, die mit demselben Network Connectivity Center-Hub wie der Quell-VPC-Spoke verbunden sind.
    • nexthop.is_hybrid || nexthop.hub: Konfiguriert beide Arten von Private NAT.

    Führen Sie den folgenden Befehl aus, um eine NAT-Regel für Hybrid-NAT zu erstellen:

    gcloud compute routers nats rules create NAT_RULE_NUMBER \
    --router=ROUTER_NAME --region=REGION \
    --nat=NAT_CONFIG \
    --match='nexthop.is_hybrid' \
    --source-nat-active-ranges=NAT_SUBNET

    Führen Sie den folgenden Befehl aus, um eine NAT-Regel für Private NAT für Network Connectivity Center-Spokes zu erstellen:

    gcloud compute routers nats rules create NAT_RULE_NUMBER \
    --router=ROUTER_NAME --region=REGION \
    --nat=NAT_CONFIG \
    --match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \
    --source-nat-active-ranges=NAT_SUBNET

    Führen Sie den folgenden Befehl aus, um eine NAT-Regel sowohl für Hybrid-NAT als auch für Private NAT für Network Connectivity Center-Spokes zu erstellen:

    gcloud compute routers nats rules create NAT_RULE_NUMBER \
    --router=ROUTER_NAME --region=REGION \
    --nat=NAT_CONFIG \
    --match='nexthop.is_hybrid || nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \
    --source-nat-active-ranges=NAT_SUBNET

    Ersetzen Sie Folgendes:

    • NAT_RULE_NUMBER: Die Regelnummer, die die NAT-Regel eindeutig identifiziert, von 1 bis 65000.
    • ROUTER_NAME: Der Name des Cloud Router, den Sie zuvor erstellt haben.
    • REGION: Region von Cloud Router
    • NAT_CONFIG: Der Name der privaten NAT-Konfiguration, die Sie zuvor erstellt haben.
    • PROJECT_ID: das Google Cloud-Projekt des Hubs des Network Connectivity Center.
    • HUB: der Name des Network Connectivity Center-Hubs.
    • NAT_SUBNET: Der Name des privaten NAT-Subnetzes, das Sie zuvor erstellt haben. Sie können auch eine Liste von Subnetzwerken in einem durch Kommas getrennten Format angeben.

Private NAT-Konfiguration ansehen

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie auf den Namen des NAT-Gateways, um NAT-Gatewaydetails, Zuordnungsinformationen und Konfigurationsdetails aufzurufen.

  3. Den NAT-Status können Sie in der Spalte Status für das NAT-Gateway prüfen.

gcloud

Mit den folgenden Befehlen können Sie die NAT-Konfigurationsdetails aufrufen:

  • Sehen Sie sich die Konfiguration des privaten NAT-Gateways an.

    gcloud compute routers nats describe NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

    Ersetzen Sie Folgendes:

    • NAT_CONFIG: Der Name Ihrer NAT-Konfiguration.
    • ROUTER_NAME: Der Name Ihres Cloud Routers.
    • REGION: die Region der zu beschreibenden NAT. Wenn Sie keine Region angeben, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).

  • Sehen Sie sich die Zuordnung der IP-Portbereiche an, die den Schnittstellen jeder VM zugewiesen sind.

    gcloud compute routers get-nat-mapping-info ROUTER_NAME \
    --region=REGION

  • Rufen Sie den Status des privaten NAT-Gateways auf.

    gcloud compute routers get-status ROUTER_NAME \
    --region=REGION

Private NAT-Konfiguration aktualisieren

Nachdem Sie das private NAT-Gateway eingerichtet haben, können Sie die Gateway-Konfiguration an Ihre Anforderungen anpassen. In den folgenden Abschnitten werden die Aufgaben aufgeführt, die Sie ausführen können, um Ihr privates NAT-Gateway zu aktualisieren.

Mit Private NAT verknüpfte Subnetze ändern

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie auf Ihr NAT-Gateway.

  3. Klicken Sie auf Bearbeiten.

  4. Wählen Sie für die Cloud NAT-Zuordnung in der Liste Quelle die Option Benutzerdefiniert aus.

  5. Wählen Sie in der Liste der verfügbaren Subnetze ein neues Subnetz aus.

  6. Wenn Sie weitere Bereiche angeben möchten, klicken Sie auf Subnetz und IP-Bereich hinzufügen und wählen Sie dann ein anderes Subnetz aus.

  7. Klicken Sie auf Speichern.

gcloud 

gcloud compute routers nats update NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,..]

Ersetzen Sie Folgendes:

  • NAT_CONFIG: Der Name der privaten NAT-Konfiguration, die aktualisiert werden soll.
  • ROUTER_NAME: der Name des Routers, der mit diesem Gateway verwendet werden soll.
  • SUBNETWORK: der Name des zu verwendenden Subnetzes.

Mit Private NAT verknüpfte Subnetze löschen

Sie können bestimmte Subnetze, die nicht mehr verwendet werden, aus dem NAT-Gateway entfernen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie auf Ihr NAT-Gateway.

  3. Klicken Sie auf Bearbeiten.

  4. Löschen Sie das Subnetz, das Sie aus der NAT-Zuordnung entfernen möchten.

  5. Klicken Sie auf Speichern.

NAT-Subnetze zur privaten NAT-Konfiguration hinzufügen

Für die NAT-Ausführung auf Traffic verwendet eine private NAT-Konfiguration NAT-IP-Adressen aus einem Subnetz mit dem Zweck PRIVATE_NAT. Wenn für Ihre private NAT-Konfiguration mehr NAT-IP-Adressen erforderlich sind als verfügbar sind, können Sie der Konfiguration weitere Subnetze mit dem Zweck PRIVATE_NAT hinzufügen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie auf Ihr NAT-Gateway.

  3. Klicken Sie auf Bearbeiten.

  4. Maximieren Sie die vorhandene Regel.

  5. Klicken Sie auf Subnetzbereiche hinzufügen.

  6. Wählen Sie einen NAT-Subnetzbereich aus oder erstellen Sie einen neuen und klicken Sie dann auf Fertig.

  7. Klicken Sie auf Speichern.

gcloud 

gcloud compute routers nats rules update NAT_RULE_NUMBER \
    --nat=NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...

Ersetzen Sie Folgendes:

  • NAT_RULE_NUMBER: Die Nummer, mit der die zu aktualisierende Regel eindeutig identifiziert wird.
  • NAT_CONFIG: Der Name der privaten NAT-Konfiguration für die zu aktualisierende Regel.
  • ROUTER_NAME: der Name des Routers, der mit diesem Gateway verwendet werden soll.
  • NAT_SUBNET: Die Namen der privaten NAT-Subnetze, die der vorhandenen NAT-Konfiguration hinzugefügt werden sollen.

NAT-Konfiguration löschen

Wenn Sie eine Gateway-Konfiguration löschen, wird die NAT-Konfiguration von einem Cloud Router entfernt. Der Router selbst wird nicht gelöscht.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie das Kästchen neben der Gatewaykonfiguration an, die Sie löschen möchten.

  3. Klicken Sie im Dreipunkt-Menü auf Löschen.

gcloud

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Dabei gilt:

  • NAT_CONFIG: Der Name Ihrer NAT-Konfiguration.
  • ROUTER_NAME: Der Name Ihres Cloud Routers.
  • REGION: die Region der zu löschenden NAT. Wenn Sie keine Region angeben, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).

Nächste Schritte