Netzwerkadressübersetzung mit privatem NAT einrichten und verwalten

Auf dieser Seite erfahren Sie, wie Sie die Netzwerkadressübersetzung (NAT) mit Private NAT konfigurieren. Lesen Sie vor der Einrichtung Ihrer Private NAT-Konfiguration den Artikel Private NAT.

Hinweise

Führen Sie die folgenden Aufgaben aus, bevor Sie Private NAT einrichten.

IAM-Berechtigungen abrufen

Der Compute-Netzwerkadministrator Rolle (roles/compute.networkAdmin) gibt Ihnen Berechtigungen zum Erstellen eines NAT-Gateways auf Cloud Router, reservieren und zuweisen Sie NAT-IP-Adressen und geben Sie Subnetzwerke (Subnetze), deren Traffic die Netzwerkadressübersetzung verwenden soll, zum NAT-Gateway.

Google Cloud einrichten

Zuvor sollten Sie jedoch die folgenden Elemente in Google Cloud einrichten.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Enable the API

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine API.

    Enable the API

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init

In der Anleitung für das Google Cloud CLI auf dieser Seite wird davon ausgegangen, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.

  1. Sie können eine Projekt-ID mit dem folgenden Befehl festlegen:

    gcloud config set project PROJECT_ID
    
  2. Sie können auch eine Projekt-ID anzeigen lassen, die bereits festgelegt ist:

    gcloud config list --format='text(core.project)'
    

NAT-Subnetz des Zwecks PRIVATE_NAT erstellen

Bevor Sie Private NAT konfigurieren, erstellen Sie ein NAT-Subnetz mit dem Zweck PRIVATE_NAT. Das NAT-Subnetz muss sich in derselben Region befinden, in der Sie das private NAT-Gateway erstellen möchten. Das private NAT-Gateway verwendet IP-Adressbereiche aus diesem Subnetz um NAT durchzuführen. Achten Sie darauf, dass sich dieses Subnetz nicht mit einem vorhandenen Subnetz überschneidet in einem der verbundenen Netzwerke verbunden sind. Sie können in diesem Subnetz keine Ressourcen erstellen. Dieses Subnetz wird nur für privates NAT verwendet.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf den Namen eines VPC-Netzwerks, um die Detailseite aufzurufen.

  3. Klicken Sie auf den Tab Subnetze.

  4. Klicken Sie auf Subnetz hinzufügen. Führen Sie im Dialogfeld Subnetz hinzufügen die folgenden Schritte aus:

    1. Geben Sie einen Namen für das Subnetz an.
    2. Wählen Sie eine Region aus.
    3. Wählen Sie unter Zweck die Option Private NAT aus.
    4. Geben Sie einen IP-Adressbereich ein. Dies ist der primäre IPv4-Bereich für das Subnetz.

      Wenn Sie einen Bereich auswählen, der keine RFC 1918-Adresse ist, prüfen Sie, ob der Bereich mit einer vorhandenen Konfiguration in Konflikt steht. Weitere Informationen Informationen zu gültigen IPv4-Subnetzbereichen finden Sie unter IPv4-Subnetzbereiche.

  5. Klicken Sie auf Hinzufügen.

gcloud

Verwenden Sie den Befehl compute networks subnet create, um das Subnetz zu erstellen.

    gcloud compute networks subnets create NAT_SUBNET \
      --network=NETWORK \
      --region=REGION \
      --range=IP_RANGE \
      --purpose=PRIVATE_NAT

Ersetzen Sie Folgendes:

  • NAT_SUBNET: der Name des Zu erstellender privater NAT-Subnetzbereich
  • NETWORK: das Netzwerk, zu dem das Subnetzwerk gehört.
  • REGION: Region des Subnetzwerks, das erstellt werden soll. Wenn nicht angegeben ist, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (interaktiv Modus).
  • IP_RANGE: der IP-Bereich, der diesem Subnetz in zugewiesen ist CIDR-Format. Achten Sie darauf, dass IP_RANGE die Verwendung von doppelt so groß wie die Ports, die pro VM benötigt werden.

Private NAT-Konfigurationen erstellen

Sie können ein privates NAT-Gateway konfigurieren, um Folgendes zu unterstützen: Private NAT-Typen:

  • Private NAT für Network Connectivity Center-Spokes führt NAT für Traffic zwischen:
    • VPC-Netzwerke, die als VPC-Spokes im selben Network Connectivity Center-Hub. Weitere Informationen finden Sie unter VPC-Spoke erstellen.
    • VPC-Netzwerke, die als VPC-Spokes im selben Network Connectivity Center-Hub und lokal oder Netzwerke von anderen Cloud-Anbietern, die über Hybrid- Spokes (Vorschau) Weitere Informationen finden Sie unter Konnektivität zwischen VPC-Spokes und Hybrid-Spokes
  • Hybrid-NAT (Vorabversion) führt NAT aus zwischen VPC-Netzwerken und lokalen Netzwerken Netzwerke von Cloud-Anbietern, die über Cloud Interconnect oder Cloud VPN.

Private NAT einrichten

Privates NAT-Gateway mit einer benutzerdefinierten NAT-Regel erstellen, die NAT für zwischen Ihrem VPC-Netzwerk und anderen Netzwerken.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.

  3. Geben Sie einen Namen für das Gateway ein.

  4. Wählen Sie für NAT-Typ die Option Privat aus.

  5. Wählen Sie ein VPC-Netzwerk für das NAT-Gateway aus.

  6. Wählen Sie die Region für das NAT-Gateway aus.

  7. Wählen Sie einen Cloud Router in der Region aus oder erstellen Sie einen.

  8. Als Quellendpunkttyp muss VM-Instanzen ausgewählt sein.

  9. Wählen Sie in der Liste Quelle die Option Benutzerdefiniert aus.

  10. Wählen Sie ein Subnetz aus, für das Sie NAT ausführen möchten.

  11. Wenn Sie weitere Bereiche angeben möchten, klicken Sie auf Subnetz und IP-Bereich hinzufügen.

  12. Klicken Sie auf Regel hinzufügen.

  13. Geben Sie im Feld Regelnummer einen beliebigen Wert zwischen 1 und 65000 ein.

  14. Wählen Sie für Übereinstimmung eine der folgenden Optionen aus:

    • Wählen Sie für private NAT für Network Connectivity Center-Spokes die folgende Option aus: Network Connectivity Center-Hub.
    • Wählen Sie für Hybrid-NAT (Vorabversion) Hybridkonnektivitätsrouten aus.
  15. Wählen Sie einen privaten NAT-Subnetzbereich aus oder erstellen Sie einen.

  16. Klicken Sie auf Fertig und dann auf Erstellen.

gcloud

  1. Erstellen Sie einen Cloud Router in dem VPC-Netzwerk, für das Sie NAT ausführen möchten. Führen Sie den Befehl compute routers create aus.

    gcloud compute routers create ROUTER_NAME \
      --network=NETWORK --region=REGION
    

    Ersetzen Sie Folgendes:

    • ROUTER_NAME: der Name des Routers, der erstellt werden soll.
    • NETWORK: das VPC-Netzwerk für diesen Router.
    • REGION: Region des Routers, der erstellt werden soll. Wenn nicht angegeben ist, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).
  2. Erstellen Sie ein privates NAT-Gateway, indem Sie die Subnetze des Quell-VPC-Netzwerks angeben, für das NAT ausgeführt werden soll.

    Führen Sie den Befehl compute routers nats create aus. Dabei ist das Flag --type auf PRIVATE gesetzt.

    gcloud compute routers nats create NAT_CONFIG \
      --router=ROUTER_NAME --type=PRIVATE --region=REGION \
      --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL ...] | \
      [--nat-all-subnet-ip-ranges]
    

    Ersetzen Sie Folgendes:

    • NAT_CONFIG: der Name der privaten NAT-Konfiguration, die erstellt werden soll.
    • ROUTER_NAME: der Name des Routers, der dafür verwendet werden soll Gateway Der Router ist derselbe, den Sie im vorherigen Schritt erstellt haben. Achten Sie darauf, dass keine andere Ressource mit diesem Router verknüpft ist.
    • SUBNETWORK: Der Name des Subnetzes oder die Liste der Subnetze, die das Gateway verwenden dürfen. Sie können auch eine Liste von Subnetzen in einem durch Kommas getrennten Format angeben, z. B. SUBNETWORK_1,SUBNETWORK_2. Google Cloud führt immer NAT in allen Subnetz-IP-Bereichen für das angegebene Subnetz oder die Liste der Subnetze.
  3. Erstellen Sie eine Regel, um den Traffic gemäß Ihren Anforderungen abzugleichen:

    • Um NAT für Traffic auszuführen, der über die Quell-VPC gesendet wird mit einem der VPC- oder Hybrid-Spokes verbunden, die mit einem übereinstimmenden Network Connectivity Center-Hub, erstellen Sie eine NAT-Regel im privaten NAT-Gateway. Basierend auf der NAT-Regel weist das private NAT-Gateway NAT-IP-Adressen aus dem privaten NAT-Subnetz zu, um NAT auf den Traffic anzuwenden.

      Führen Sie den Befehl compute routers nats rules create aus.

      gcloud beta compute routers nats rules create NAT_RULE_NUMBER \
      --router=ROUTER_NAME --region=REGION \
      --nat=NAT_CONFIG \
      --match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \
      --source-nat-active-ranges=NAT_SUBNET ...
      

      Ersetzen Sie Folgendes:

      • NAT_RULE_NUMBER: die Zahl, die eindeutig identifiziert die Regel, die erstellt werden soll.
      • NAT_CONFIG: der Name Ihrer privaten NAT-Konfiguration für die Regel erstellt werden soll. Die Konfiguration ist die gleiche wie die im vorherigen Schritt erstellt wurden.
      • PROJECT_ID: die global eindeutige Kennung für das Projekt, in dem sich Ihr Router befindet.
      • HUB: der Name des übereinstimmenden Network Connectivity Center-Hubs.
      • NAT_SUBNET: der Name des privaten NAT-Subnetzes die Sie zuvor erstellt haben. Sie können auch eine Liste der Subnetze in einem kommagetrennten Format.
    • So führen Sie NAT für Traffic durch, der über die Quell-VPC gesendet wird Netzwerk mit einem lokalen Netzwerk oder dem Netzwerk eines anderen Cloud-Anbieters im Vergleich zu den hybriden Konnektivitätslösungen von Google Cloud (Vorschau) eine NAT-Regel im privaten NAT-Gateway erstellen. Das private NAT-Gateway weist gemäß der NAT-Regel NAT-IP-Adressen zu aus dem privaten NAT-Subnetz aus, um NAT für den Traffic auszuführen.

      Führen Sie den Befehl compute routers nats rules create aus.

      gcloud beta compute routers nats rules create NAT_RULE_NUMBER \
      --router=ROUTER_NAME --region=REGION \
      --nat=NAT_CONFIG \
      --match='nexthop.is_hybrid' \
      --source-nat-active-ranges=NAT_SUBNET ...
      

      Ersetzen Sie Folgendes:

      • NAT_RULE_NUMBER: die Zahl, die eindeutig identifiziert die Regel, die erstellt werden soll.
      • NAT_CONFIG: Der Name der privaten NAT-Konfiguration für die zu erstellende Regel. Die Konfiguration ist dieselbe, die Sie im vorherigen Schritt erstellt haben.
      • NAT_SUBNET: der Name des privaten NAT-Subnetzes die Sie zuvor erstellt haben. Sie können auch eine Liste der Subnetze in einem kommagetrennten Format.

Private NAT mit statischer Portzuweisung einrichten

Private NAT verwendet standardmäßig die dynamische Portzuweisung. Sie können private NAT jedoch so konfigurieren, dass die statische Portzuweisung verwendet wird.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.

  3. Geben Sie einen Namen für das Gateway ein.

  4. Wählen Sie für NAT-Typ die Option Privat aus.

  5. Wählen Sie ein VPC-Netzwerk für das NAT-Gateway aus.

  6. Wählen Sie die Region für das NAT-Gateway aus.

  7. Wählen Sie einen Cloud Router in der Region aus oder erstellen Sie einen.

  8. Geben Sie die Cloud NAT-Zuordnungsdetails an und erstellen Sie eine NAT-Regel. Weitere Informationen finden Sie unter Private NAT einrichten.

  9. Klicken Sie auf Erweiterte Konfiguration.

  10. Deaktivieren Sie Dynamische Portzuweisung aktivieren.

  11. Geben Sie den Wert für die Mindestanzahl von Ports pro VM-Instanz an. Der Standardwert ist 64.

  12. Klicken Sie auf Fertig und dann auf Erstellen.

gcloud

Führen Sie den Befehl compute routers nats create aus. mit der Markierung --no-enable-dynamic-port-allocation.

  gcloud compute routers nats create NAT_CONFIG \
    --router=ROUTER_NAME --type=PRIVATE --region=REGION \
    --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] \
    --no-enable-dynamic-port-allocation \
    [--min-ports-per-vm=VALUE]

Ersetzen Sie Folgendes:

  • NAT_CONFIG: der Name Ihrer privaten NAT-Konfiguration zu erstellen.
  • ROUTER_NAME: der Name des Routers, der mit diesem Gateway verwendet werden soll.
  • SUBNETWORK: Name des Subnetzes oder der Liste der Subnetzen, die das Gateway verwenden dürfen.

    Sie können auch eine Liste der Subnetze in einem kommagetrenntes Format, z. B. SUBNETWORK_1, SUBNETWORK_2. Google Cloud führt immer NAT in allen Subnetz-IP-Bereichen für das angegebene Subnetz oder die Liste der Subnetze.

  • VALUE: die Mindestanzahl von Ports pro VM, die der Gateway, das zugewiesen werden soll. Wenn Sie keinen Wert angeben, wird von Google Cloud der Standardwert 64 zugewiesen.

NAT-Konfiguration ansehen

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie auf den Namen des NAT-Gateways, um NAT-Gatewaydetails, Zuordnungsinformationen und Konfigurationsdetails aufzurufen.

  3. Den NAT-Status finden Sie in der Spalte Status für Ihr NAT-Gateway.

gcloud

Mit den folgenden Befehlen können Sie die NAT-Konfigurationsdetails aufrufen:

  • Sehen Sie sich die Konfiguration des privaten NAT-Gateways an.

    gcloud compute routers nats describe NAT_CONFIG \
       --router=ROUTER_NAME \
       --region=REGION
    

    Ersetzen Sie Folgendes:

    • NAT_CONFIG: Der Name Ihrer NAT-Konfiguration.
    • ROUTER_NAME: Der Name Ihres Cloud Routers.
    • REGION: Region der zu beschreibenden NAT. Wenn keine Angabe erfolgt, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).
  • Sehen Sie sich die Zuordnung der IP-Portbereiche an, die den Schnittstellen jeder VM zugewiesen sind.

    gcloud compute routers get-nat-mapping-info ROUTER_NAME \
      --region=REGION
    
  • Sehen Sie sich den Status des privaten NAT-Gateways an.

    gcloud compute routers get-status ROUTER_NAME \
      --region=REGION
    

Private NAT-Konfigurationen aktualisieren

Nachdem Sie Ihr privates NAT-Gateway eingerichtet haben, können Sie das Gateway aktualisieren Konfiguration entsprechend Ihren Anforderungen. In den folgenden Abschnitten werden die Aufgaben aufgelistet, mit dem Sie Ihr privates NAT-Gateway aktualisieren können.

Mit privater NAT verknüpfte Subnetze ändern

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie auf Ihr NAT-Gateway.

  3. Klicken Sie auf Bearbeiten.

  4. Wählen Sie für Cloud NAT-Zuordnung in der Liste Quelle die Option Benutzerdefiniert aus.

  5. Wählen Sie ein neues Subnetz aus der Liste der verfügbaren Subnetze aus.

  6. Wenn Sie weitere Bereiche angeben möchten, klicken Sie auf Subnetz und IP-Bereich hinzufügen und wählen Sie ein anderes Subnetz aus.

  7. Klicken Sie auf Speichern.

gcloud

gcloud beta compute routers nats update NAT_CONFIG \
  --router=ROUTER_NAME \
  --region=REGION \
  --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,..] 

Ersetzen Sie Folgendes:

  • NAT_CONFIG: Der Name der privaten NAT-Konfiguration, die aktualisiert werden soll.
  • ROUTER_NAME: der Name des Routers, der mit diesem Gateway verwendet werden soll.
  • SUBNETWORK ist der Name des zu verwendenden Subnetzes.

Mit Private NAT verknüpfte Subnetze löschen

Sie können nicht mehr verwendete Subnetze vom NAT-Gateway entfernen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie auf Ihr NAT-Gateway.

  3. Klicken Sie auf Bearbeiten.

  4. Löschen Sie das Subnetz, das Sie aus der NAT-Zuordnung entfernen möchten.

  5. Klicken Sie auf Speichern.

NAT-Subnetze zur privaten NAT-Konfiguration hinzufügen

Für die Ausführung von NAT für Traffic wird eine private NAT Konfiguration verwendet NAT-IP-Adressen aus einem Subnetz mit dem Zweck PRIVATE_NAT. Wenn Ihre private NAT-Konfiguration mehr als den verfügbaren Anzahl der NAT-IP-Adressen haben, können Sie weitere Subnetze mit dem Zweck PRIVATE_NAT hinzufügen, die Konfiguration.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie auf Ihr NAT-Gateway.

  3. Klicken Sie auf Bearbeiten.

  4. Maximieren Sie die vorhandene Regel.

  5. Klicken Sie auf Subnetzbereiche hinzufügen.

  6. Wählen Sie einen NAT-Subnetzbereich aus oder erstellen Sie einen neuen Bereich und klicken Sie dann auf Fertig.

  7. Klicken Sie auf Speichern.

gcloud

gcloud beta compute routers nats rules update NAT_RULE_NUMBER \
  --nat=NAT_CONFIG \
  --router=ROUTER_NAME \
  --region=REGION \
  --source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...

Ersetzen Sie Folgendes:

  • NAT_RULE_NUMBER: die Zahl, die eindeutig identifiziert die zu aktualisierende Regel.
  • NAT_CONFIG: Der Name der privaten NAT-Konfiguration für die zu aktualisierende Regel.
  • PROJECT_ID: die global eindeutige Kennung für das Projekt, in dem sich der Router befindet.
  • NAT_SUBNET: die Namen der privaten NAT-Subnetze das der vorhandenen NAT-Konfiguration hinzugefügt werden soll.

NAT-Konfiguration löschen

Durch das Löschen einer Gateway-Konfiguration wird die NAT-Konfiguration aus einem Cloud Router Der Router selbst wird nicht gelöscht.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie das Kästchen neben der Gatewaykonfiguration an, die Sie löschen möchten.

  3. Klicken Sie im Menü auf Löschen.

gcloud

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Dabei gilt:

  • NAT_CONFIG: Der Name Ihrer NAT-Konfiguration.
  • ROUTER_NAME: Der Name Ihres Cloud Routers.
  • REGION: Region der NAT, die gelöscht werden soll. Wenn keine Angabe erfolgt, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).

Nächste Schritte