Cette page a été traduite par l'API Cloud Translation.

Configurer et gérer la traduction d'adresses réseau avec Private NAT

Cette page vous explique comment configurer la traduction d'adresse réseau (NAT) à l'aide de NAT privé Avant de mettre en place votre configuration Private NAT, En savoir plus sur le NAT privé

Avant de commencer

Effectuez les tâches suivantes avant de configurer le NAT privé.

Obtenir des autorisations IAM

L'administrateur de réseaux Compute rôle (roles/compute.networkAdmin) vous donne les autorisations nécessaires pour créer une passerelle NAT sur Cloud Router, réserver et attribuer des adresses IP NAT, et spécifier sous-réseaux dont le trafic doit utiliser la traduction d'adresse réseau la passerelle NAT.

Configurer Google Cloud

Avant de commencer, configurez les éléments suivants dans Google Cloud.

Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Vérifiez que la facturation est activée pour votre projet Google Cloud.

Activez l'API Compute Engine

Activer l'API

Installez Google Cloud CLI.

Pour initialiser gcloudCLI, exécutez la commande suivante :

gcloud init

Remarque : Si vous avez déjà installé gcloud CLI, assurez-vous que vous disposez de la dernière version en exécutant

gcloud components
      update

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Vérifiez que la facturation est activée pour votre projet Google Cloud.

Activez l'API Compute Engine

Activer l'API

Installez Google Cloud CLI.

Pour initialiser gcloudCLI, exécutez la commande suivante :

gcloud init

Remarque : Si vous avez déjà installé gcloud CLI, assurez-vous que vous disposez de la dernière version en exécutant

gcloud components
      update

Dans les instructions de Google Cloud CLI présentées sur cette page, nous partons du principe que vous avez défini l'ID de votre projet avant d'exécuter les commandes.

Vous pouvez définir un ID de projet avec la commande suivante :
```
gcloud config set project PROJECT_ID
```
Vous avez également la possibilité d'afficher un ID de projet déjà défini :
```
gcloud config list --format='text(core.project)'
```

Créer un sous-réseau NAT destiné à PRIVATE_NAT

Avant de configurer Private NAT, vous créez un sous-réseau NAT l'objet PRIVATE_NAT. Le sous-réseau NAT doit se trouver dans la même région que celle où vous prévoyez pour créer votre passerelle NAT privée. La passerelle NAT privée utilise des plages d'adresses IP de ce sous-réseau pour effectuer la NAT. Assurez-vous que ce sous-réseau ne chevauche pas un sous-réseau existant sur l'un des réseaux connectés. Vous ne pouvez créer aucune ressource dans ce sous-réseau. Ce sous-réseau n'est utilisé que pour le NAT privé.

Console

Dans Google Cloud Console, accédez à la page Réseaux VPC.

Accéder aux réseaux VPC
Pour afficher la page "Détails du réseau VPC", cliquez sur le nom d'un réseau VPC.
Cliquez sur l'onglet Sous-réseaux.
Cliquez sur Ajouter un sous-réseau. Dans la boîte de dialogue Add a subnet (Ajouter un sous-réseau), procédez comme suit:
1. Indiquez un nom pour le sous-réseau.
2. Sélectionnez une région.
3. Dans le champ Objectif, sélectionnez NAT privé.
4. Saisissez une plage d'adresses IP, qui correspond à la plage IPv4 principale du sous-réseau.
  
  Si vous sélectionnez une plage qui n'est pas une adresse RFC 1918, vérifiez qu'elle n'entre pas en conflit avec une configuration existante. Pour plus sur les plages de sous-réseaux IPv4 valides, consultez la section Plages de sous-réseaux IPv4.
  
  Remarque :Les plages d'adresses IP qui utilisent des adresses IPv4 publiques en mode privé ne sont pas acceptées. Pour en savoir plus, consultez la section Spokes VPC et appairage de réseaux VPC.
Cliquez sur Ajouter.

gcloud

Utilisez la commande compute networks subnet create pour créer le sous-réseau.

    gcloud compute networks subnets create NAT_SUBNET \
      --network=NETWORK \
      --region=REGION \
      --range=IP_RANGE \
      --purpose=PRIVATE_NAT

Remplacez les éléments suivants :

NAT_SUBNET: nom du Plage de sous-réseau NAT privée à créer.
NETWORK: réseau auquel appartient le sous-réseau.
REGION: région du sous-réseau à créer. Si non spécifiée, vous serez peut-être invité à sélectionner une région (interactif uniquement).
IP_RANGE: l'espace d'adresses IP alloué à ce sous-réseau dans CIDR. Assurez-vous que IP_RANGE tient compte de l'utilisation deux fois la taille des ports requis par VM.

Créer des configurations Private NAT

Vous pouvez configurer une passerelle NAT privée Types de NAT privés:

La NAT privée pour les spokes Network Connectivity Center exécute la NAT sur le trafic entre:
- des réseaux VPC configurés en tant que des spokes VPC dans le même hub Network Connectivity Center. Pour en savoir plus, consultez Créez un spoke VPC.
- des réseaux VPC configurés en tant que des spokes VPC dans le même hub Network Connectivity Center et sur site ou les réseaux d'autres fournisseurs de services cloud connectés au hub via des (version preview). Pour en savoir plus, consultez À propos de la connectivité entre les spokes VPC et les spokes hybrides
Le NAT hybride (version preview) effectue la NAT entre les réseaux VPC et les réseaux sur site ou d'autres les réseaux de fournisseurs de services cloud qui sont connectés à Google Cloud Cloud Interconnect ou Cloud VPN.

Configurer Private NAT

Créez une passerelle NAT privée avec une règle NAT personnalisée qui exécute la NAT sur entre votre réseau VPC et d'autres réseaux.

Console

Dans Google Cloud Console, accédez à la page Cloud NAT.

Accédez à Cloud NAT
Cliquez sur Commencer ou sur Créer une passerelle Cloud NAT.

Remarque : S'il s'agit de la première passerelle Cloud NAT que vous créez, cliquez sur Premiers pas. Si vous disposez de passerelles existantes, au lieu de Premiers pas, Google Cloud affiche le bouton Créer une passerelle Cloud NAT. Pour créer une autre passerelle, cliquez sur Créer une passerelle Cloud NAT.
Saisissez un nom de passerelle.
Dans le champ Type de NAT, sélectionnez Privé.
Sélectionnez un réseau VPC pour la passerelle NAT.
Sélectionnez la région de la passerelle NAT.
Sélectionnez ou créez un routeur Cloud Router dans la région.
Assurez-vous que l'option Instances de VM est sélectionnée comme type de point de terminaison source.
Dans la liste Source, sélectionnez Personnalisée.
Sélectionnez un sous-réseau sur lequel vous souhaitez effectuer la NAT.
Si vous souhaitez spécifier des plages supplémentaires, cliquez sur Ajouter un sous-réseau et une plage d'adresses IP.
Cliquez sur Ajouter une règle.
Dans le champ Numéro de règle, saisissez une valeur comprise entre 1 et 65000.
Pour Correspondance, sélectionnez l'une des options suivantes:
- Pour la NAT privée pour les spokes Network Connectivity Center, sélectionnez Hub Network Connectivity Center.
- Pour la NAT hybride (Preview), sélectionnez Routes de connectivité hybride.
Sélectionnez ou créez une plage de sous-réseau NAT privée.
Cliquez sur OK, puis sur Créer.

gcloud

Créez un routeur Cloud Router dans le réseau VPC pour lequel vous voulez effectuer la NAT. Exécutez la commande compute routers create.
```
gcloud compute routers create ROUTER_NAME \
  --network=NETWORK --region=REGION
```
Remplacez les éléments suivants :
- ROUTER_NAME: nom du routeur à créer.
- NETWORK: réseau VPC de ce routeur.
- REGION: région du routeur à créer. Si non spécifiée, vous serez peut-être invité à sélectionner une région (mode interactif uniquement).
Créer une passerelle NAT privée en spécifiant les sous-réseaux du VPC source pour lequel le NAT doit être exécuté.

Exécutez la commande compute routers nats create. avec l'indicateur --type défini sur PRIVATE.
```
gcloud compute routers nats create NAT_CONFIG \
  --router=ROUTER_NAME --type=PRIVATE --region=REGION \
  --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL ...] | \
  [--nat-all-subnet-ip-ranges]
```
Remplacez les éléments suivants :
- NAT_CONFIG: nom de la configuration NAT privée à créer.
- ROUTER_NAME: nom du routeur à utiliser avec de passerelle VPN haute disponibilité. Le routeur est le même que celui que vous avez créé à l'étape précédente. Assurez-vous qu'aucune autre ressource n'est associée à ce routeur.
- SUBNETWORK: nom du sous-réseau ou liste des doivent être autorisés à utiliser la passerelle. Vous pouvez également spécifier une liste de sous-réseaux de valeurs séparées par des virgules, par exemple SUBNETWORK_1, SUBNETWORK_2 Google Cloud exécute toujours Fonctionnalité NAT sur toutes les plages d'adresses IP de sous-réseau du sous-réseau donné ou dans la liste des sous-réseaux.
Créez une règle pour faire correspondre le trafic en fonction de vos besoins:
- Pour effectuer la NAT sur le trafic sortant via le VPC source à l'un des spokes VPC ou des spokes hybrides associés hub Network Connectivity Center, créez une règle NAT dans la passerelle NAT privée. En fonction de la règle NAT, la passerelle NAT privée attribue des adresses IP NAT du sous-réseau NAT privé pour effectuer la NAT sur le trafic.
  
  Exécutez la commande compute routers nats rules create.
```
gcloud beta compute routers nats rules create NAT_RULE_NUMBER \
--router=ROUTER_NAME --region=REGION \
--nat=NAT_CONFIG \
--match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \
--source-nat-active-ranges=NAT_SUBNET ...
```
  Remplacez les éléments suivants :
  - NAT_RULE_NUMBER: numéro qui identifie de manière unique la règle à créer.
  - NAT_CONFIG: nom de votre configuration Private NAT pour la création de la règle. La configuration est la même créé à l'étape précédente.
  - PROJECT_ID: identifiant unique global du projet dans lequel se trouve votre routeur.
  - HUB: nom du hub Network Connectivity Center correspondant.
  - NAT_SUBNET: nom du sous-réseau NAT privé que vous avez créé précédemment. Vous pouvez également spécifier une liste de sous-réseaux séparés par une virgule.
- Pour effectuer la NAT sur le trafic sortant via votre VPC source vers le réseau sur site ou d'un autre fournisseur de services cloud aux solutions de connectivité hybride de Google Cloud (version preview), créer une règle NAT dans la passerelle NAT privée. En fonction de la règle NAT, la passerelle NAT privée attribue des adresses IP NAT du sous-réseau NAT privé pour effectuer la NAT sur le trafic.
  
  Exécutez la commande compute routers nats rules create.
```
gcloud beta compute routers nats rules create NAT_RULE_NUMBER \
--router=ROUTER_NAME --region=REGION \
--nat=NAT_CONFIG \
--match='nexthop.is_hybrid' \
--source-nat-active-ranges=NAT_SUBNET ...
```
  Remplacez les éléments suivants :
  - NAT_RULE_NUMBER: numéro qui identifie de manière unique la règle à créer.
  - NAT_CONFIG: nom de votre configuration Private NAT pour la création de la règle. La configuration est la même créé à l'étape précédente.
  - NAT_SUBNET: nom du sous-réseau NAT privé que vous avez créé précédemment. Vous pouvez également spécifier une liste de sous-réseaux séparés par une virgule.

Configurer une NAT privée avec allocation de ports statique

Le NAT privé utilise l'allocation de ports dynamique par défaut. Cependant, vous pouvez configurer le NAT privé pour utiliser l'allocation de ports statiques.

Console

Dans Google Cloud Console, accédez à la page Cloud NAT.

Accédez à Cloud NAT
Cliquez sur Commencer ou sur Créer une passerelle Cloud NAT.

Remarque : S'il s'agit de la première passerelle Cloud NAT que vous créez, cliquez sur Premiers pas. Si vous disposez de passerelles existantes, au lieu de Premiers pas, Google Cloud affiche le bouton Créer une passerelle Cloud NAT. Pour créer une autre passerelle, cliquez sur Créer une passerelle Cloud NAT.
Saisissez un nom de passerelle.
Dans le champ Type de NAT, sélectionnez Privé.
Sélectionnez un réseau VPC pour la passerelle NAT.
Sélectionnez la région de la passerelle NAT.
Sélectionnez ou créez un routeur Cloud Router dans la région.
Spécifiez les détails du mappage Cloud NAT et créez une règle NAT. Pour en savoir plus, consultez la section Configurer Private NAT.
Cliquez sur Configuration avancée.
Décochez la case Activer l'allocation de ports dynamique.
Renseignez le champ Nombre minimal de ports par instance de VM. La valeur par défaut est 64.
Cliquez sur OK, puis sur Créer.

gcloud

Exécutez la commande compute routers nats create. avec l'indicateur --no-enable-dynamic-port-allocation.

  gcloud compute routers nats create NAT_CONFIG \
    --router=ROUTER_NAME --type=PRIVATE --region=REGION \
    --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] \
    --no-enable-dynamic-port-allocation \
    [--min-ports-per-vm=VALUE]

Remplacez les éléments suivants :

NAT_CONFIG: nom de votre configuration Private NAT à créer.
ROUTER_NAME: nom du routeur à utiliser avec cette passerelle.
SUBNETWORK: nom du sous-réseau ou liste des doivent être autorisés à utiliser la passerelle.

Vous pouvez également spécifier une liste de sous-réseaux de valeurs séparées par des virgules, par exemple SUBNETWORK_1, SUBNETWORK_2 Google Cloud exécute toujours Fonctionnalité NAT sur toutes les plages d'adresses IP de sous-réseau du sous-réseau donné ou dans la liste des sous-réseaux.
VALUE: nombre minimal de ports par VM pour lequel vous souhaitez à attribuer. S'il n'est pas spécifié, Google Cloud attribue le rôle la valeur par défaut de 64.

Afficher la configuration NAT

Console

Dans Google Cloud Console, accédez à la page Cloud NAT.

Accédez à Cloud NAT
Pour afficher les détails de la passerelle NAT, les informations de mappage ou les détails de configuration, cliquez sur le nom de votre passerelle NAT.
Pour afficher l'état de la NAT, consultez la colonne État de votre passerelle NAT.

gcloud

Vous pouvez afficher les détails de la configuration NAT en exécutant les commandes suivantes :

Affichez la configuration de la passerelle NAT privée.
```
gcloud compute routers nats describe NAT_CONFIG \
   --router=ROUTER_NAME \
   --region=REGION
```
Remplacez les éléments suivants :
- NAT_CONFIG : nom de votre configuration NAT.
- ROUTER_NAME : nom de votre routeur Cloud Router.
- REGION : région du NAT à décrire. Si la région n'est pas spécifiée, vous pouvez être invité à sélectionner une région (mode interactif uniquement).
Affichez le mappage des plages d'adresses IP:port allouées à l'interface de chaque VM.
```
gcloud compute routers get-nat-mapping-info ROUTER_NAME \
  --region=REGION
```

Affichez l'état de la passerelle NAT privée.

gcloud compute routers get-status ROUTER_NAME \
  --region=REGION

Mettre à jour les configurations Private NAT

Après avoir configuré votre passerelle NAT privée, vous pouvez la mettre à jour en fonction de vos besoins. Les sections suivantes répertorient les tâches que vous pouvez effectuer pour mettre à jour votre passerelle NAT privée.

Modifier les sous-réseaux associés au NAT privé

Console

Dans Google Cloud Console, accédez à la page Cloud NAT.

Accédez à Cloud NAT
Cliquez sur votre passerelle NAT.
Cliquez sur Modifier ().
Sous Mappage Cloud NAT, sélectionnez Personnalisé dans la liste Source.
Sélectionnez un nouveau sous-réseau dans la liste des sous-réseaux disponibles.
Si vous souhaitez spécifier des plages supplémentaires, cliquez sur Ajouter un sous-réseau et une plage d'adresses IP, puis sélectionnez un autre sous-réseau.
Cliquez sur Enregistrer.

gcloud

gcloud beta compute routers nats update NAT_CONFIG \
  --router=ROUTER_NAME \
  --region=REGION \
  --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,..]

Remplacez les éléments suivants :

NAT_CONFIG: nom de votre configuration Private NAT à mettre à jour.
ROUTER_NAME: nom du routeur à utiliser avec cette passerelle.
SUBNETWORK: nom du sous-réseau à utiliser.

Supprimer les sous-réseaux associés au NAT privé

Vous pouvez supprimer de la passerelle NAT des sous-réseaux spécifiques qui ne sont plus utilisés.

Console

Dans Google Cloud Console, accédez à la page Cloud NAT.

Accédez à Cloud NAT
Cliquez sur votre passerelle NAT.
Cliquez sur Modifier ().
Supprimez le sous-réseau que vous souhaitez retirer du mappage NAT.

Remarque :Si le sous-réseau que vous avez supprimé est le seul sous-réseau mappé à la passerelle NAT privée, le système vous invite à ajouter sous-réseau. Vous pouvez mapper un nouveau sous-réseau ou sélectionner Principal et secondaire pour tous les sous-réseaux de la liste Source.
Cliquez sur Enregistrer.

Ajouter des sous-réseaux NAT à votre configuration Private NAT

Pour exécuter la NAT sur le trafic, utilise les adresses IP NAT d'un sous-réseau ayant l'objectif PRIVATE_NAT. Si votre configuration NAT privée nécessite plus que les ressources disponibles d'adresses IP NAT, vous pouvez ajouter d'autres sous-réseaux de PRIVATE_NAT la configuration.

Console

Dans Google Cloud Console, accédez à la page Cloud NAT.

Accédez à Cloud NAT
Cliquez sur votre passerelle NAT.
Cliquez sur Modifier ().
Développez la règle existante.
Cliquez sur Ajouter des plages de sous-réseaux.
Sélectionnez ou créez une plage de sous-réseau NAT, puis cliquez sur OK.

Remarque :Pour ajouter d'autres sous-réseaux NAT, répétez cette étape.
Cliquez sur Enregistrer.

gcloud

gcloud beta compute routers nats rules update NAT_RULE_NUMBER \
  --nat=NAT_CONFIG \
  --router=ROUTER_NAME \
  --region=REGION \
  --source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...

Remplacez les éléments suivants :

NAT_RULE_NUMBER: numéro qui identifie de manière unique la règle à mettre à jour.
NAT_CONFIG: nom de votre configuration Private NAT pour la mise à jour de la règle.
PROJECT_ID: identifiant unique global du projet dans lequel se trouve votre routeur.
NAT_SUBNET: noms des sous-réseaux NAT privés à votre configuration NAT existante.

Supprimer la configuration NAT

La suppression d'une configuration de passerelle supprime la configuration NAT d'un Cloud Router. Le routeur lui-même n'est pas supprimé.

Console

Dans Google Cloud Console, accédez à la page Cloud NAT.

Accédez à Cloud NAT
Cochez la case à côté de la configuration de passerelle que vous souhaitez supprimer.
Dans le menu , cliquez sur Supprimer.

gcloud

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Remplacez les éléments suivants :

NAT_CONFIG : nom de votre configuration NAT.
ROUTER_NAME : nom de votre routeur Cloud Router.
REGION : région du NAT à supprimer. Si la région n'est pas spécifiée, vous pouvez être invité à sélectionner une région (mode interactif uniquement).

Étape suivante

Configurez la journalisation et la surveillance de Cloud NAT.
Résolvez les problèmes courants liés aux configurations du NAT.