Configurer et gérer la traduction d'adresses réseau avec Private NAT

Cette page vous explique comment configurer la traduction d'adresse réseau (NAT) à l'aide de NAT privé Avant de mettre en place votre configuration Private NAT, En savoir plus sur le NAT privé

Avant de commencer

Effectuez les tâches suivantes avant de configurer le NAT privé.

Obtenir des autorisations IAM

L'administrateur de réseaux Compute rôle (roles/compute.networkAdmin) vous donne les autorisations nécessaires pour créer une passerelle NAT sur Cloud Router, réserver et attribuer des adresses IP NAT, et spécifier sous-réseaux dont le trafic doit utiliser la traduction d'adresse réseau la passerelle NAT.

Configurer Google Cloud

Avant de commencer, configurez les éléments suivants dans Google Cloud.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Enable the API

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine API.

    Enable the API

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init

Dans les instructions de Google Cloud CLI présentées sur cette page, nous partons du principe que vous avez défini l'ID de votre projet avant d'exécuter les commandes.

  1. Vous pouvez définir un ID de projet avec la commande suivante :

    gcloud config set project PROJECT_ID
    
  2. Vous avez également la possibilité d'afficher un ID de projet déjà défini :

    gcloud config list --format='text(core.project)'
    

Créer un sous-réseau NAT destiné à PRIVATE_NAT

Avant de configurer Private NAT, vous créez un sous-réseau NAT objet PRIVATE_NAT. Le sous-réseau NAT doit se trouver dans la même région que celle où vous prévoyez pour créer votre passerelle NAT privée. La passerelle NAT privée utilise des plages d'adresses IP de ce sous-réseau pour effectuer la NAT. Assurez-vous que ce sous-réseau ne chevauche pas un sous-réseau existant sur l'un des réseaux connectés. Vous ne pouvez créer aucune ressource dans ce sous-réseau. Ce sous-réseau n'est utilisé que pour le NAT privé.

Console

  1. Dans Google Cloud Console, accédez à la page Réseaux VPC.

    Accéder aux réseaux VPC

  2. Pour afficher la page "Détails du réseau VPC", cliquez sur le nom d'un réseau VPC.

  3. Cliquez sur l'onglet Sous-réseaux.

  4. Cliquez sur Ajouter un sous-réseau. Dans la boîte de dialogue Add a subnet (Ajouter un sous-réseau), procédez comme suit:

    1. Indiquez un nom pour le sous-réseau.
    2. Sélectionnez une région.
    3. Dans le champ Objectif, sélectionnez NAT privé.
    4. Saisissez une plage d'adresses IP, qui correspond à la plage IPv4 principale du sous-réseau.

      Si vous sélectionnez une plage qui n'est pas une adresse RFC 1918, vérifiez qu'elle n'entre pas en conflit avec une configuration existante. Pour plus sur les plages de sous-réseaux IPv4 valides, consultez la page Plages de sous-réseaux IPv4.

  5. Cliquez sur Ajouter.

gcloud

Utilisez la commande compute networks subnet create pour créer le sous-réseau.

    gcloud compute networks subnets create NAT_SUBNET \
      --network=NETWORK \
      --region=REGION \
      --range=IP_RANGE \
      --purpose=PRIVATE_NAT

Remplacez les éléments suivants :

  • NAT_SUBNET : nom de la plage de sous-réseau NAT privé à créer.
  • NETWORK: réseau auquel appartient le sous-réseau.
  • REGION: région du sous-réseau à créer. Si la région n'est pas spécifiée, vous pouvez être invité à sélectionner une région (mode interactif uniquement).
  • IP_RANGE: l'espace d'adresses IP alloué à ce sous-réseau dans CIDR. Assurez-vous que IP_RANGE tient compte de l'utilisation deux fois la taille des ports requis par VM.

Créer des configurations Private NAT

Vous pouvez configurer une passerelle NAT privée Types de NAT privés:

  • La NAT privée pour les spokes Network Connectivity Center effectue la NAT sur le trafic entre:
  • Le NAT hybride (version preview) effectue la NAT entre les réseaux VPC et les réseaux sur site les réseaux de fournisseurs de services cloud qui sont connectés à Google Cloud Cloud Interconnect ou Cloud VPN.

Configurer Private NAT

Créez une passerelle NAT privée avec une règle NAT personnalisée qui exécute la NAT sur entre votre réseau VPC et d'autres réseaux.

Console

  1. Dans Google Cloud Console, accédez à la page Cloud NAT.

    Accédez à Cloud NAT

  2. Cliquez sur Commencer ou sur Créer une passerelle Cloud NAT.

  3. Saisissez un nom de passerelle.

  4. Dans le champ Type de NAT, sélectionnez Privé.

  5. Sélectionnez un réseau VPC pour la passerelle NAT.

  6. Sélectionnez la région de la passerelle NAT.

  7. Sélectionnez ou créez un routeur Cloud Router dans la région.

  8. Assurez-vous que l'option Instances de VM est sélectionnée comme type de point de terminaison source.

  9. Dans la liste Source, sélectionnez Personnalisée.

  10. Sélectionnez un sous-réseau sur lequel vous souhaitez effectuer la NAT.

  11. Si vous souhaitez spécifier des plages supplémentaires, cliquez sur Ajouter un sous-réseau et une plage d'adresses IP.

  12. Cliquez sur Ajouter une règle.

  13. Dans le champ Numéro de règle, saisissez une valeur comprise entre 1 et 65000.

  14. Pour Correspondance, sélectionnez l'une des options suivantes:

    • Pour la fonctionnalité NAT privée pour les spokes Network Connectivity Center, sélectionnez Hub Network Connectivity Center.
    • Pour la NAT hybride (Preview), sélectionnez Routes de connectivité hybride.
  15. Sélectionnez ou créez une plage de sous-réseau NAT privée.

  16. Cliquez sur OK, puis sur Créer.

gcloud

  1. Créez un routeur Cloud dans le réseau VPC pour lequel vous souhaitez effectuer le NAT. Utilisez la commande compute routers create.

    gcloud compute routers create ROUTER_NAME \
      --network=NETWORK --region=REGION
    

    Remplacez les éléments suivants :

    • ROUTER_NAME: nom du routeur à créer.
    • NETWORK : réseau VPC de ce routeur.
    • REGION: région du routeur à créer. Si non spécifiée, vous serez peut-être invité à sélectionner une région (mode interactif uniquement).
  2. Créer une passerelle NAT privée en spécifiant les sous-réseaux du VPC source pour lequel vous souhaitez effectuer une NAT.

    Exécutez la commande compute routers nats create. avec l'indicateur --type défini sur PRIVATE.

    gcloud compute routers nats create NAT_CONFIG \
      --router=ROUTER_NAME --type=PRIVATE --region=REGION \
      --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL ...] | \
      [--nat-all-subnet-ip-ranges]
    

    Remplacez les éléments suivants :

    • NAT_CONFIG: nom de la configuration NAT privée à créer.
    • ROUTER_NAME: nom du routeur à utiliser avec de passerelle VPN haute disponibilité. Le routeur est le même que celui que vous avez créé à l'étape précédente. Assurez-vous qu'aucune autre ressource n'est associée à ce routeur.
    • SUBNETWORK: nom du sous-réseau ou liste des doivent être autorisés à utiliser la passerelle. Vous pouvez également spécifier une liste de sous-réseaux de valeurs séparées par des virgules, par exemple SUBNETWORK_1, SUBNETWORK_2 Google Cloud exécute toujours Fonctionnalité NAT sur toutes les plages d'adresses IP de sous-réseau du sous-réseau donné ou dans la liste des sous-réseaux.
  3. Créez une règle pour faire correspondre le trafic en fonction de vos exigences :

    • Pour effectuer la NAT sur le trafic sortant via le spoke VPC source vers l'un des spokes VPC ou hybrides associés à un hub Network Connectivity Center correspondant, créez une règle NAT dans la passerelle NAT privée. En fonction de la règle NAT, la passerelle NAT privée attribue des adresses IP NAT du sous-réseau NAT privé pour effectuer la NAT sur le trafic.

      Exécutez la commande compute routers nats rules create.

      gcloud beta compute routers nats rules create NAT_RULE_NUMBER \
      --router=ROUTER_NAME --region=REGION \
      --nat=NAT_CONFIG \
      --match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \
      --source-nat-active-ranges=NAT_SUBNET ...
      

      Remplacez les éléments suivants :

      • NAT_RULE_NUMBER: numéro qui identifie de manière unique la règle à créer.
      • NAT_CONFIG: nom de votre configuration Private NAT pour la création de la règle. La configuration est la même créé à l'étape précédente.
      • PROJECT_ID: identifiant unique global du projet dans lequel se trouve votre routeur.
      • HUB: nom du hub Network Connectivity Center correspondant.
      • NAT_SUBNET: nom du sous-réseau NAT privé que vous avez créée précédemment. Vous pouvez également spécifier une liste de sous-réseaux séparés par une virgule.
    • Pour effectuer la NAT sur le trafic sortant via votre VPC source vers le réseau sur site ou d'un autre fournisseur de services cloud par rapport aux solutions de connectivité hybride de Google Cloud (version preview), créer une règle NAT dans la passerelle NAT privée. En fonction de la règle NAT, la passerelle NAT privée attribue des adresses IP NAT du sous-réseau NAT privé pour effectuer la NAT sur le trafic.

      Exécutez la commande compute routers nats rules create.

      gcloud beta compute routers nats rules create NAT_RULE_NUMBER \
      --router=ROUTER_NAME --region=REGION \
      --nat=NAT_CONFIG \
      --match='nexthop.is_hybrid' \
      --source-nat-active-ranges=NAT_SUBNET ...
      

      Remplacez les éléments suivants :

      • NAT_RULE_NUMBER: numéro qui identifie de manière unique la règle à créer.
      • NAT_CONFIG: nom de votre configuration Private NAT pour la création de la règle. La configuration est la même créé à l'étape précédente.
      • NAT_SUBNET: nom du sous-réseau NAT privé que vous avez créée précédemment. Vous pouvez également spécifier une liste de sous-réseaux séparés par une virgule.

Configurer une NAT privée avec allocation de ports statique

Le NAT privé utilise l'allocation de ports dynamique par défaut. Toutefois, vous pouvez configurer le NAT privé pour qu'il utilise l'allocation de port statique.

Console

  1. Dans Google Cloud Console, accédez à la page Cloud NAT.

    Accédez à Cloud NAT

  2. Cliquez sur Commencer ou sur Créer une passerelle Cloud NAT.

  3. Saisissez un nom de passerelle.

  4. Dans le champ Type de NAT, sélectionnez Privé.

  5. Sélectionnez un réseau VPC pour la passerelle NAT.

  6. Sélectionnez la région de la passerelle NAT.

  7. Sélectionnez ou créez un routeur Cloud Router dans la région.

  8. Spécifiez les détails du mappage Cloud NAT et créez une règle NAT. Pour en savoir plus, consultez la section Configurer Private NAT.

  9. Cliquez sur Configuration avancée.

  10. Décochez la case Activer l'allocation de ports dynamique.

  11. Renseignez le champ Nombre minimal de ports par instance de VM. La valeur par défaut est 64.

  12. Cliquez sur OK, puis sur Créer.

gcloud

Exécutez la commande compute routers nats create. avec l'indicateur --no-enable-dynamic-port-allocation.

  gcloud compute routers nats create NAT_CONFIG \
    --router=ROUTER_NAME --type=PRIVATE --region=REGION \
    --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] \
    --no-enable-dynamic-port-allocation \
    [--min-ports-per-vm=VALUE]

Remplacez les éléments suivants :

  • NAT_CONFIG: nom de votre configuration Private NAT à créer.
  • ROUTER_NAME: nom du routeur à utiliser avec cette passerelle.
  • SUBNETWORK : nom du sous-réseau ou liste des sous-réseaux autorisés à utiliser la passerelle.

    Vous pouvez également spécifier une liste de sous-réseaux de valeurs séparées par des virgules, par exemple SUBNETWORK_1, SUBNETWORK_2 Google Cloud exécute toujours Fonctionnalité NAT sur toutes les plages d'adresses IP de sous-réseau du sous-réseau donné ou dans la liste des sous-réseaux.

  • VALUE: nombre minimal de ports par VM pour lequel vous souhaitez à attribuer. S'il n'est pas spécifié, Google Cloud attribue le rôle la valeur par défaut de 64.

Afficher la configuration NAT

Console

  1. Dans Google Cloud Console, accédez à la page Cloud NAT.

    Accédez à Cloud NAT

  2. Pour afficher les détails de la passerelle NAT, les informations de mappage ou les détails de configuration, cliquez sur le nom de votre passerelle NAT.

  3. Pour afficher l'état du NAT, consultez la colonne État de votre passerelle NAT.

gcloud

Vous pouvez afficher les détails de la configuration NAT en exécutant les commandes suivantes :

  • Affichez la configuration de la passerelle NAT privée.

    gcloud compute routers nats describe NAT_CONFIG \
       --router=ROUTER_NAME \
       --region=REGION
    

    Remplacez les éléments suivants :

    • NAT_CONFIG : nom de votre configuration NAT.
    • ROUTER_NAME : nom de votre routeur Cloud Router.
    • REGION : région du NAT à décrire. Si la région n'est pas spécifiée, vous pouvez être invité à sélectionner une région (mode interactif uniquement).
  • Affichez le mappage des plages d'adresses IP:port allouées à l'interface de chaque VM.

    gcloud compute routers get-nat-mapping-info ROUTER_NAME \
      --region=REGION
    
  • Affichez l'état de la passerelle NAT privée.

    gcloud compute routers get-status ROUTER_NAME \
      --region=REGION
    

Mettre à jour les configurations Private NAT

Une fois que vous avez configuré votre passerelle NAT privée, vous pouvez mettre à jour sa configuration en fonction de vos besoins. Les sections suivantes répertorient les tâches pour mettre à jour votre passerelle NAT privée.

Modifier les sous-réseaux associés au NAT privé

Console

  1. Dans Google Cloud Console, accédez à la page Cloud NAT.

    Accédez à Cloud NAT

  2. Cliquez sur votre passerelle NAT.

  3. Cliquez sur Modifier ().

  4. Sous Mappage Cloud NAT, sélectionnez Personnalisé dans la liste Source.

  5. Sélectionnez un nouveau sous-réseau dans la liste des sous-réseaux disponibles.

  6. Si vous souhaitez spécifier des plages supplémentaires, cliquez sur Ajouter un sous-réseau et une plage d'adresses IP, puis sélectionnez un autre sous-réseau.

  7. Cliquez sur Enregistrer.

gcloud

gcloud beta compute routers nats update NAT_CONFIG \
  --router=ROUTER_NAME \
  --region=REGION \
  --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,..] 

Remplacez les éléments suivants :

  • NAT_CONFIG: nom de votre configuration Private NAT à mettre à jour.
  • ROUTER_NAME: nom du routeur à utiliser avec cette passerelle.
  • SUBNETWORK: nom du sous-réseau à utiliser.

Supprimer les sous-réseaux associés au NAT privé

Vous pouvez supprimer de la passerelle NAT certains sous-réseaux spécifiques qui ne sont plus utilisés.

Console

  1. Dans Google Cloud Console, accédez à la page Cloud NAT.

    Accédez à Cloud NAT

  2. Cliquez sur votre passerelle NAT.

  3. Cliquez sur Modifier ().

  4. Supprimez le sous-réseau que vous souhaitez retirer du mappage NAT.

  5. Cliquez sur Enregistrer.

Ajouter des sous-réseaux NAT à votre configuration Private NAT

Pour exécuter la NAT sur le trafic, utilise les adresses IP NAT d'un sous-réseau ayant l'objectif PRIVATE_NAT. Si votre configuration NAT privée nécessite plus que les ressources disponibles d'adresses IP NAT, vous pouvez ajouter d'autres sous-réseaux de PRIVATE_NAT la configuration.

Console

  1. Dans Google Cloud Console, accédez à la page Cloud NAT.

    Accédez à Cloud NAT

  2. Cliquez sur votre passerelle NAT.

  3. Cliquez sur Modifier ().

  4. Développez la règle existante.

  5. Cliquez sur Ajouter des plages de sous-réseaux.

  6. Sélectionnez ou créez une plage de sous-réseau NAT, puis cliquez sur OK.

  7. Cliquez sur Enregistrer.

gcloud

gcloud beta compute routers nats rules update NAT_RULE_NUMBER \
  --nat=NAT_CONFIG \
  --router=ROUTER_NAME \
  --region=REGION \
  --source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...

Remplacez les éléments suivants :

  • NAT_RULE_NUMBER: numéro qui identifie de manière unique la règle à mettre à jour.
  • NAT_CONFIG : nom de votre configuration NAT privée pour la règle à mettre à jour.
  • PROJECT_ID: identifiant unique global du projet dans lequel se trouve votre routeur.
  • NAT_SUBNET: noms des sous-réseaux NAT privés à votre configuration NAT existante.

Supprimer la configuration NAT

La suppression d'une configuration de passerelle supprime la configuration NAT d'un Cloud Router. Le routeur lui-même n'est pas supprimé.

Console

  1. Dans Google Cloud Console, accédez à la page Cloud NAT.

    Accédez à Cloud NAT

  2. Cochez la case à côté de la configuration de passerelle que vous souhaitez supprimer.

  3. Dans le menu , cliquez sur Supprimer.

gcloud

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Remplacez les éléments suivants :

  • NAT_CONFIG : nom de votre configuration NAT.
  • ROUTER_NAME : nom de votre routeur Cloud Router.
  • REGION : région du NAT à supprimer. Si la région n'est pas spécifiée, vous pouvez être invité à sélectionner une région (mode interactif uniquement).

Étape suivante