Netzwerkadressübersetzung mit privater NAT einrichten und verwalten

Auf dieser Seite erfahren Sie, wie Sie die Network Address Translation (NAT) mit privater NAT konfigurieren. Lesen Sie vor dem Einrichten Ihrer privaten NAT-Konfiguration die Informationen zu privater NAT.

Hinweise

Führen Sie die folgenden Aufgaben aus, bevor Sie eine private NAT einrichten.

IAM-Berechtigungen abrufen

Die Rolle Compute Network Admin (roles/compute.networkAdmin) gibt Ihnen die Berechtigung, ein NAT-Gateway auf Cloud Router zu erstellen, NAT-IP-Adressen zu reservieren und zuzuweisen und Subnetzwerke (Subnetze) anzugeben, deren Traffic die Netzwerkadressübersetzung durch das NAT-Gateway verwenden soll.

Google Cloud einrichten

Zuvor sollten Sie jedoch die folgenden Elemente in Google Cloud einrichten.

Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

Zur Projektauswahl

Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

Compute Engine API aktivieren.

Aktivieren Sie die API

Installieren Sie die Google Cloud CLI.

Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Hinweis: Wenn Sie die gcloud CLI zuvor installiert haben, prüfen Sie, ob Sie die neueste Version haben, indem Sie

gcloud components
      update

ausführen.

Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

Zur Projektauswahl

Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

Compute Engine API aktivieren.

Aktivieren Sie die API

Installieren Sie die Google Cloud CLI.

Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Hinweis: Wenn Sie die gcloud CLI zuvor installiert haben, prüfen Sie, ob Sie die neueste Version haben, indem Sie

gcloud components
      update

ausführen.

In der Anleitung für das Google Cloud CLI auf dieser Seite wird davon ausgegangen, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.

Sie können eine Projekt-ID mit dem folgenden Befehl festlegen:
```
gcloud config set project PROJECT_ID
```
Sie können auch eine Projekt-ID anzeigen lassen, die bereits festgelegt ist:
```
gcloud config list --format='text(core.project)'
```

NAT-Subnetz mit dem Zweck PRIVATE_NAT erstellen

Bevor Sie eine private NAT konfigurieren, erstellen Sie ein NAT-Subnetz mit dem Zweck PRIVATE_NAT. Das NAT-Subnetz muss sich in derselben Region befinden, in der Sie das private NAT-Gateway erstellen möchten. Das private NAT-Gateway verwendet IP-Adressbereiche aus diesem Subnetz, um NAT auszuführen. Achten Sie darauf, dass sich dieses Subnetz nicht mit einem vorhandenen Subnetz in einem der verbundenen Netzwerke überschneidet. Sie können in diesem Subnetz keine Ressource erstellen. Dieses Subnetz wird nur für private NAT verwendet.

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf den Namen eines VPC-Netzwerks, um die Seite mit den VPC-Netzwerkdetails aufzurufen.
Klicken Sie auf den Tab Subnetze.
Klicken Sie auf Subnetz hinzufügen. Führen Sie im Dialogfeld Subnetz hinzufügen die folgenden Schritte aus:
1. Geben Sie einen Namen für das Subnetz an.
2. Wählen Sie eine Region aus.
3. Wählen Sie unter Zweck die Option Private NAT aus.
4. Geben Sie einen IP-Adressbereich ein. Das ist der primäre IPv4-Bereich für das Subnetz.
  
  Wenn Sie einen Bereich auswählen, der keine RFC 1918-Adresse ist, prüfen Sie, ob der Bereich mit einer vorhandenen Konfiguration in Konflikt steht. Weitere Informationen zu gültigen IPv4-Subnetzbereichen finden Sie unter IPv4-Subnetzbereiche.
  
  Hinweis: IP-Adressbereiche mit privat verwendeten öffentlichen IPv4-Adressen werden nicht unterstützt. Weitere Informationen finden Sie unter VPC-Spokes und VPC-Netzwerk-Peering.
Klicken Sie auf Hinzufügen.

gcloud

Verwenden Sie den Befehl compute networks subnet create, um das Subnetz zu erstellen.

    gcloud compute networks subnets create NAT_SUBNET \
      --network=NETWORK \
      --region=REGION \
      --range=IP_RANGE \
      --purpose=PRIVATE_NAT

Ersetzen Sie Folgendes:

NAT_SUBNET: der Name des privaten NAT-Subnetzbereichs, der erstellt werden soll.
NETWORK: das Netzwerk, zu dem das Subnetzwerk gehört.
REGION: Region des zu erstellenden Subnetzwerks. Wenn keine Angabe erfolgt, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).
IP_RANGE: der diesem Subnetz zugeordnete IP-Bereich im CIDR-Format. Sorgen Sie dafür, dass IP_RANGE die doppelte Größe der pro VM erforderlichen Ports berücksichtigt.

Private NAT-Konfigurationen erstellen

Sie können ein privates NAT-Gateway zur Unterstützung der folgenden privaten NAT-Angebote konfigurieren:

Inter-VPC-NAT: Führt NAT auf Traffic zwischen VPC-Netzwerken aus, die als VPC-Spokes konfiguriert sind und mit einem gemeinsamen Network Connectivity Center-Hub verbunden sind.
Hybrid-NAT (Vorabversion): Führt NAT für Traffic zwischen VPC-Netzwerken und lokalen Netzwerken oder den Netzwerken anderer Cloud-Anbieter aus, die über die Hybridkonnektivitätslösungen von Google Cloud verbunden sind.

Private NAT einrichten

Erstellen Sie ein privates NAT-Gateway mit einer benutzerdefinierten NAT-Regel, die NAT für Traffic zwischen Ihrem VPC-Netzwerk und anderen Netzwerken ausführt.

Console

Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

Zur Seite "Cloud NAT"
Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.

Hinweis: Wenn dies das erste Cloud NAT-Gateway ist, das Sie erstellen, klicken Sie auf Jetzt starten. Wenn bereits Gateways vorhanden sind, zeigt Google Cloud anstelle von Jetzt starten die Schaltfläche Cloud NAT-Gateway erstellen an. Klicken Sie auf Cloud NAT-Gateway erstellen, um ein weiteres Gateway zu erstellen.
Geben Sie einen Gatewaynamen ein.
Wählen Sie für NAT-Typ die Option Privat aus.
Wählen Sie ein VPC-Netzwerk für das NAT-Gateway aus.
Wählen Sie die Region für das NAT-Gateway aus.
Wählen Sie einen Cloud Router in der Region aus oder erstellen Sie einen.
Achten Sie darauf, dass VM-Instanzen als Quellendpunkttyp ausgewählt ist.
Wählen Sie in der Liste Quelle die Option Benutzerdefiniert aus.
Wählen Sie ein Subnetz aus, für das Sie NAT ausführen möchten.
Wenn Sie weitere Bereiche angeben möchten, klicken Sie auf Subnetz und IP-Bereich hinzufügen.
Klicken Sie auf Regel hinzufügen.
Geben Sie im Feld Regelnummer einen Wert zwischen 1 und 65000 ein.
Wählen Sie für Match (Übereinstimmung) eine der folgenden Optionen aus:
- Wählen Sie für Inter-VPC-NAT die Option Network Connectivity Center-Hub aus.
- Wählen Sie für Hybrid-NAT (Vorabversion) die Option Hybridkonnektivitätsrouten aus.
Wählen Sie einen privaten NAT-Subnetzbereich aus oder erstellen Sie einen.
Klicken Sie auf Fertig und dann auf Erstellen.

gcloud

Erstellen Sie einen Cloud Router in dem VPC-Netzwerk, für das Sie NAT ausführen möchten. Verwenden Sie den Befehl compute routers create.
```
gcloud compute routers create ROUTER_NAME \
  --network=NETWORK --region=REGION
```
Ersetzen Sie Folgendes:
- ROUTER_NAME: der Name des zu erstellenden Routers.
- NETWORK: das VPC-Netzwerk für diesen Router.
- REGION: Region des zu erstellenden Routers. Wenn keine Angabe erfolgt, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur interaktiver Modus).
Erstellen Sie ein privates NAT-Gateway. Geben Sie dazu die Subnetze des Quell-VPC-Netzwerks an, für das Sie NAT ausführen möchten.

Verwenden Sie den Befehl compute routers nats create und setzen Sie das Flag --type auf PRIVATE.
```
gcloud compute routers nats create NAT_CONFIG \
  --router=ROUTER_NAME --type=PRIVATE --region=REGION \
  --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL ...] | \
  [--nat-all-subnet-ip-ranges]
```
Ersetzen Sie Folgendes:
- NAT_CONFIG: der Name der privaten NAT-Konfiguration, die erstellt werden soll.
- ROUTER_NAME: der Name des Routers, der mit diesem Gateway verwendet werden soll. Der Router ist derselbe, den Sie im vorherigen Schritt erstellt haben. Stellen Sie sicher, dass diesem Router keine andere Ressource zugeordnet ist.
- SUBNETWORK: der Name des Subnetzes oder die Liste von Subnetzen, die das Gateway verwenden dürfen. Sie können auch eine Liste von Subnetzen in einem kommagetrennten Format angeben, z. B. SUBNETWORK_1, SUBNETWORK_2. Google Cloud führt NAT immer für alle Subnetz-IP-Bereiche für das angegebene Subnetz oder die Liste der Subnetze durch.
Erstellen Sie eine Regel, um Traffic entsprechend Ihren Anforderungen abzugleichen:
- Erstellen Sie eine NAT-Regel im privaten NAT-Gateway, um NAT für Traffic auszuführen, der über die Quell-VPC an einen der Peer-VPC-Spokes gesendet wird, die an einen übereinstimmenden Network Connectivity Center-Hub angehängt sind. Auf Grundlage der NAT-Regel weist das private NAT-Gateway NAT-IP-Adressen aus dem privaten NAT-Subnetz zu, um NAT für den Traffic auszuführen.
  
  Führen Sie den Befehl compute routers nats rules create aus.
```
gcloud beta compute routers nats rules create NAT_RULE_NUMBER \
--router=ROUTER_NAME --region=REGION \
--nat=NAT_CONFIG \
--match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \
--source-nat-active-ranges=NAT_SUBNET ...
```
  Ersetzen Sie Folgendes:
  - NAT_RULE_NUMBER: Die Zahl, die die zu erstellende Regel eindeutig identifiziert.
  - NAT_CONFIG: der Name Ihrer privaten NAT-Konfiguration, die durch die Regel erstellt werden soll. Die Konfiguration entspricht der, die Sie im vorherigen Schritt erstellt haben.
  - PROJECT_ID: die global eindeutige Kennung für das Projekt, in dem sich Ihr Router befindet.
  - HUB: der Name des übereinstimmenden Network Connectivity Center-Hubs.
  - NAT_SUBNET: der Name des privaten NAT-Subnetzes, das Sie zuvor erstellt haben. Sie können auch eine Liste von Subnetzen in einem kommagetrennten Format angeben.
- Erstellen Sie im privaten NAT-Gateway eine NAT-Regel, um NAT für Traffic auszuführen, der über die hybriden Konnektivitätslösungen für Unternehmen von Google Cloud über Ihr Quell-VPC-Netzwerk an ein lokales Netzwerk oder das Netzwerk eines anderen Cloud-Anbieters gesendet wird (Vorschau). Auf Grundlage der NAT-Regel weist das private NAT-Gateway NAT-IP-Adressen aus dem privaten NAT-Subnetz zu, um NAT für den Traffic auszuführen.
  
  Führen Sie den Befehl compute routers nats rules create aus.
```
gcloud beta compute routers nats rules create NAT_RULE_NUMBER \
--router=ROUTER_NAME --region=REGION \
--nat=NAT_CONFIG \
--match='nexthop.is_hybrid' \
--source-nat-active-ranges=NAT_SUBNET ...
```
  Ersetzen Sie Folgendes:
  - NAT_RULE_NUMBER: Die Zahl, die die zu erstellende Regel eindeutig identifiziert.
  - NAT_CONFIG: der Name Ihrer privaten NAT-Konfiguration, die durch die Regel erstellt werden soll. Die Konfiguration entspricht der, die Sie im vorherigen Schritt erstellt haben.
  - NAT_SUBNET: der Name des privaten NAT-Subnetzes, das Sie zuvor erstellt haben. Sie können auch eine Liste von Subnetzen in einem kommagetrennten Format angeben.

Private NAT mit statischer Portzuweisung einrichten

Private NAT verwendet standardmäßig die dynamische Portzuweisung. Sie können jedoch eine private NAT so konfigurieren, dass die statische Portzuweisung verwendet wird.

Console

Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

Zur Seite "Cloud NAT"
Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.

Hinweis: Wenn dies das erste Cloud NAT-Gateway ist, das Sie erstellen, klicken Sie auf Jetzt starten. Wenn bereits Gateways vorhanden sind, zeigt Google Cloud anstelle von Jetzt starten die Schaltfläche Cloud NAT-Gateway erstellen an. Klicken Sie auf Cloud NAT-Gateway erstellen, um ein weiteres Gateway zu erstellen.
Geben Sie einen Gatewaynamen ein.
Wählen Sie für NAT-Typ die Option Privat aus.
Wählen Sie ein VPC-Netzwerk für das NAT-Gateway aus.
Wählen Sie die Region für das NAT-Gateway aus.
Wählen Sie einen Cloud Router in der Region aus oder erstellen Sie einen.
Geben Sie die Cloud NAT-Zuordnungsdetails an und erstellen Sie eine NAT-Regel. Weitere Informationen finden Sie unter Private NAT einrichten.
Klicken Sie auf Erweiterte Konfiguration.
Deaktivieren Sie die Option Dynamische Portzuweisung aktivieren.
Geben Sie den Wert für Mindestanzahl von Ports pro VM-Instanz an. Der Standardwert ist 64.
Klicken Sie auf Fertig und dann auf Erstellen.

gcloud

Verwenden Sie den Befehl compute routers nats create mit dem Flag --no-enable-dynamic-port-allocation.

  gcloud compute routers nats create NAT_CONFIG \
    --router=ROUTER_NAME --type=PRIVATE --region=REGION \
    --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] \
    --no-enable-dynamic-port-allocation \
    [--min-ports-per-vm=VALUE]

Ersetzen Sie Folgendes:

NAT_CONFIG: der Name der privaten NAT-Konfiguration, die erstellt werden soll.
ROUTER_NAME: der Name des Routers, der mit diesem Gateway verwendet werden soll.
SUBNETWORK: der Name des Subnetzes oder die Liste von Subnetzen, die das Gateway verwenden dürfen.

Sie können auch eine Liste von Subnetzen in einem kommagetrennten Format angeben, z. B. SUBNETWORK_1, SUBNETWORK_2. Google Cloud führt NAT immer für alle Subnetz-IP-Bereiche für das angegebene Subnetz oder die Liste der Subnetze durch.
VALUE: die Mindestanzahl von Ports pro VM, die das Gateway zuweisen soll. Wenn keine Angabe erfolgt, weist Google Cloud den Standardwert 64 zu.

NAT-Konfiguration ansehen

Console

Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

Zur Seite "Cloud NAT"
Klicken Sie auf den Namen des NAT-Gateways, um NAT-Gatewaydetails, Zuordnungsinformationen und Konfigurationsdetails aufzurufen.
Den NAT-Status finden Sie in der Spalte Status des NAT-Gateways.

gcloud

Mit den folgenden Befehlen können Sie die NAT-Konfigurationsdetails aufrufen:

Sehen Sie sich die Konfiguration des privaten NAT-Gateways an.
```
gcloud compute routers nats describe NAT_CONFIG \
   --router=ROUTER_NAME \
   --region=REGION
```
Ersetzen Sie Folgendes:
- NAT_CONFIG: Der Name Ihrer NAT-Konfiguration.
- ROUTER_NAME: Der Name Ihres Cloud Routers.
- REGION: die Region der NAT, die beschrieben werden soll. Wenn keine Angabe erfolgt, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur interaktiver Modus).
Sehen Sie sich die Zuordnung der IP-Portbereiche an, die den Schnittstellen jeder VM zugewiesen sind.
```
gcloud compute routers get-nat-mapping-info ROUTER_NAME \
  --region=REGION
```

Rufen Sie den Status des privaten NAT-Gateways auf.

gcloud compute routers get-status ROUTER_NAME \
  --region=REGION

Private NAT-Konfigurationen aktualisieren

Nachdem Sie das private NAT-Gateway eingerichtet haben, können Sie die Gateway-Konfiguration Ihren Anforderungen entsprechend aktualisieren. In den folgenden Abschnitten werden die Aufgaben aufgeführt, die Sie zum Aktualisieren Ihres privaten NAT-Gateways ausführen können.

Mit privater NAT verknüpfte Subnetze ändern

Console

Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

Zur Seite "Cloud NAT"
Klicken Sie auf Ihr NAT-Gateway.
Klicken Sie auf Bearbeiten.
Wählen Sie für Cloud NAT-Zuordnung in der Liste Quelle die Option Benutzerdefiniert aus.
Wählen Sie ein neues Subnetz aus der Liste der verfügbaren Subnetze aus.
Wenn Sie weitere Bereiche angeben möchten, klicken Sie auf Subnetz und IP-Bereich hinzufügen und wählen Sie ein anderes Subnetz aus.
Klicken Sie auf Speichern.

gcloud

gcloud beta compute routers nats update NAT_CONFIG \
  --router=ROUTER_NAME \
  --region=REGION \
  --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,..]

Ersetzen Sie Folgendes:

NAT_CONFIG ist der Name der privaten NAT-Konfiguration, die aktualisiert werden soll.
ROUTER_NAME: der Name des Routers, der mit diesem Gateway verwendet werden soll.
SUBNETWORK: der Name des zu verwendenden Subnetzes

Mit privater NAT verknüpfte Subnetze löschen

Sie können bestimmte Subnetze aus dem NAT-Gateway entfernen, die nicht mehr verwendet werden.

Console

Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

Zur Seite "Cloud NAT"
Klicken Sie auf Ihr NAT-Gateway.
Klicken Sie auf Bearbeiten.
Löschen Sie das Subnetz, das Sie aus der NAT-Zuordnung entfernen möchten.

Hinweis: Wenn das gelöschte Subnetz das einzige Subnetz ist, das dem privaten NAT-Gateway zugeordnet ist, werden Sie vom System aufgefordert, ein Subnetz hinzuzufügen. Sie können ein neues Subnetz zuordnen oder in der Liste Quelle Primäre und sekundäre Bereiche für alle Subnetze auswählen.
Klicken Sie auf Speichern.

NAT-Subnetze zur privaten NAT-Konfiguration hinzufügen

Um NAT für Traffic auszuführen, verwendet eine private NAT-Konfiguration NAT-IP-Adressen aus einem Subnetz mit dem Zweck PRIVATE_NAT. Wenn für Ihre private NAT-Konfiguration mehr als die verfügbare Anzahl von NAT-IP-Adressen erforderlich ist, können Sie der Konfiguration weitere Subnetze mit dem Zweck PRIVATE_NAT hinzufügen.

Console

Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

Zur Seite "Cloud NAT"
Klicken Sie auf Ihr NAT-Gateway.
Klicken Sie auf Bearbeiten.
Maximieren Sie die vorhandene Regel.
Klicken Sie auf Subnetzbereiche hinzufügen.
Wählen oder erstellen Sie einen neuen NAT-Subnetzbereich und klicken Sie dann auf Fertig.

Hinweis: Wiederholen Sie den Schritt, um weitere NAT-Subnetze hinzuzufügen.
Klicken Sie auf Speichern.

gcloud

gcloud beta compute routers nats rules update NAT_RULE_NUMBER \
  --nat=NAT_CONFIG \
  --router=ROUTER_NAME \
  --region=REGION \
  --source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...

Ersetzen Sie Folgendes:

NAT_RULE_NUMBER: Die Zahl, die die zu aktualisierende Regel eindeutig identifiziert.
NAT_CONFIG: der Name Ihrer privaten NAT-Konfiguration für die Regel, die aktualisiert werden soll.
PROJECT_ID: die global eindeutige Kennung für das Projekt, in dem sich Ihr Router befindet.
NAT_SUBNET: die Namen der privaten NAT-Subnetze, die der vorhandenen NAT-Konfiguration hinzugefügt werden sollen

NAT-Konfiguration löschen

Durch das Löschen einer Gateway-Konfiguration wird die NAT-Konfiguration von einem Cloud Router entfernt. Der Router selbst wird nicht gelöscht.

Console

Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

Zur Seite "Cloud NAT"
Klicken Sie das Kästchen neben der Gatewaykonfiguration an, die Sie löschen möchten.
Klicken Sie im -Menü auf Löschen.

gcloud

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Ersetzen Sie Folgendes:

NAT_CONFIG: Der Name Ihrer NAT-Konfiguration.
ROUTER_NAME: Der Name Ihres Cloud Routers.
REGION: Die Region der NAT, die gelöscht werden soll. Wenn keine Angabe erfolgt, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur interaktiver Modus).

Nächste Schritte

Logging und Monitoring für Cloud NAT konfigurieren.
Häufige Probleme mit NAT-Konfigurationen beheben