Configurer et gérer la traduction d'adresses réseau avec Private NAT
Cette page vous explique comment configurer la traduction d'adresse réseau (NAT) à l'aide de NAT privé Avant de mettre en place votre configuration Private NAT, En savoir plus sur le NAT privé
Avant de commencer
Effectuez les tâches suivantes avant de configurer le NAT privé.
Obtenir des autorisations IAM
L'administrateur de réseaux Compute
rôle
(roles/compute.networkAdmin
) vous donne les autorisations nécessaires pour créer une passerelle NAT sur
Cloud Router, réserver et attribuer des adresses IP NAT, et spécifier
sous-réseaux dont le trafic doit utiliser la traduction d'adresse réseau
la passerelle NAT.
Configurer Google Cloud
Avant de commencer, configurez les éléments suivants dans Google Cloud.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Dans les instructions de Google Cloud CLI présentées sur cette page, nous partons du principe que vous avez défini l'ID de votre projet avant d'exécuter les commandes.
Vous pouvez définir un ID de projet avec la commande suivante :
gcloud config set project PROJECT_ID
Vous avez également la possibilité d'afficher un ID de projet déjà défini :
gcloud config list --format='text(core.project)'
Créer un sous-réseau NAT destiné à PRIVATE_NAT
Avant de configurer Private NAT, vous créez un sous-réseau NAT
objet PRIVATE_NAT
. Le sous-réseau NAT doit se trouver dans la même région que celle où vous prévoyez
pour créer votre passerelle NAT privée.
La passerelle NAT privée utilise des plages d'adresses IP de ce sous-réseau
pour effectuer la NAT. Assurez-vous que ce sous-réseau ne chevauche pas un sous-réseau existant
sur l'un des réseaux connectés. Vous ne pouvez créer aucune ressource dans ce sous-réseau.
Ce sous-réseau n'est utilisé que pour le NAT privé.
Console
Dans Google Cloud Console, accédez à la page Réseaux VPC.
Pour afficher la page "Détails du réseau VPC", cliquez sur le nom d'un réseau VPC.
Cliquez sur l'onglet Sous-réseaux.
Cliquez sur Ajouter un sous-réseau. Dans la boîte de dialogue Add a subnet (Ajouter un sous-réseau), procédez comme suit:
- Indiquez un nom pour le sous-réseau.
- Sélectionnez une région.
- Dans le champ Objectif, sélectionnez NAT privé.
Saisissez une plage d'adresses IP, qui correspond à la plage IPv4 principale du sous-réseau.
Si vous sélectionnez une plage qui n'est pas une adresse RFC 1918, vérifiez qu'elle n'entre pas en conflit avec une configuration existante. Pour plus sur les plages de sous-réseaux IPv4 valides, consultez la page Plages de sous-réseaux IPv4.
Cliquez sur Ajouter.
gcloud
Utilisez la commande compute networks subnet create
pour créer le sous-réseau.
gcloud compute networks subnets create NAT_SUBNET \ --network=NETWORK \ --region=REGION \ --range=IP_RANGE \ --purpose=PRIVATE_NAT
Remplacez les éléments suivants :
NAT_SUBNET
: nom de la plage de sous-réseau NAT privé à créer.NETWORK
: réseau auquel appartient le sous-réseau.REGION
: région du sous-réseau à créer. Si la région n'est pas spécifiée, vous pouvez être invité à sélectionner une région (mode interactif uniquement).IP_RANGE
: l'espace d'adresses IP alloué à ce sous-réseau dans CIDR. Assurez-vous que IP_RANGE tient compte de l'utilisation deux fois la taille des ports requis par VM.
Créer des configurations Private NAT
Vous pouvez configurer une passerelle NAT privée Types de NAT privés:
- La NAT privée pour les spokes Network Connectivity Center effectue la NAT sur le trafic entre:
- des réseaux VPC configurés en tant que des spokes VPC dans le même hub Network Connectivity Center. Pour en savoir plus, consultez Créez un spoke VPC.
- des réseaux VPC configurés en tant que des spokes VPC dans le même hub Network Connectivity Center et sur site ou les réseaux d'autres fournisseurs de services cloud connectés au hub via des (version preview). Pour en savoir plus, consultez À propos de la connectivité entre les spokes VPC et les spokes hybrides
- Le NAT hybride (version preview) effectue la NAT entre les réseaux VPC et les réseaux sur site les réseaux de fournisseurs de services cloud qui sont connectés à Google Cloud Cloud Interconnect ou Cloud VPN.
Configurer Private NAT
Créez une passerelle NAT privée avec une règle NAT personnalisée qui exécute la NAT sur entre votre réseau VPC et d'autres réseaux.
Console
Dans Google Cloud Console, accédez à la page Cloud NAT.
Cliquez sur Commencer ou sur Créer une passerelle Cloud NAT.
Saisissez un nom de passerelle.
Dans le champ Type de NAT, sélectionnez Privé.
Sélectionnez un réseau VPC pour la passerelle NAT.
Sélectionnez la région de la passerelle NAT.
Sélectionnez ou créez un routeur Cloud Router dans la région.
Assurez-vous que l'option Instances de VM est sélectionnée comme type de point de terminaison source.
Dans la liste Source, sélectionnez Personnalisée.
Sélectionnez un sous-réseau sur lequel vous souhaitez effectuer la NAT.
Si vous souhaitez spécifier des plages supplémentaires, cliquez sur Ajouter un sous-réseau et une plage d'adresses IP.
Cliquez sur Ajouter une règle.
Dans le champ Numéro de règle, saisissez une valeur comprise entre
1
et65000
.Pour Correspondance, sélectionnez l'une des options suivantes:
- Pour la fonctionnalité NAT privée pour les spokes Network Connectivity Center, sélectionnez Hub Network Connectivity Center.
- Pour la NAT hybride (Preview), sélectionnez Routes de connectivité hybride.
Sélectionnez ou créez une plage de sous-réseau NAT privée.
Cliquez sur OK, puis sur Créer.
gcloud
Créez un routeur Cloud dans le réseau VPC pour lequel vous souhaitez effectuer le NAT. Utilisez la commande
compute routers create
.gcloud compute routers create ROUTER_NAME \ --network=NETWORK --region=REGION
Remplacez les éléments suivants :
ROUTER_NAME
: nom du routeur à créer.NETWORK
: réseau VPC de ce routeur.REGION
: région du routeur à créer. Si non spécifiée, vous serez peut-être invité à sélectionner une région (mode interactif uniquement).
Créer une passerelle NAT privée en spécifiant les sous-réseaux du VPC source pour lequel vous souhaitez effectuer une NAT.
Exécutez la commande
compute routers nats create
. avec l'indicateur--type
défini surPRIVATE
.gcloud compute routers nats create NAT_CONFIG \ --router=ROUTER_NAME --type=PRIVATE --region=REGION \ --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL ...] | \ [--nat-all-subnet-ip-ranges]
Remplacez les éléments suivants :
NAT_CONFIG
: nom de la configuration NAT privée à créer.ROUTER_NAME
: nom du routeur à utiliser avec de passerelle VPN haute disponibilité. Le routeur est le même que celui que vous avez créé à l'étape précédente. Assurez-vous qu'aucune autre ressource n'est associée à ce routeur.SUBNETWORK
: nom du sous-réseau ou liste des doivent être autorisés à utiliser la passerelle. Vous pouvez également spécifier une liste de sous-réseaux de valeurs séparées par des virgules, par exemple SUBNETWORK_1, SUBNETWORK_2 Google Cloud exécute toujours Fonctionnalité NAT sur toutes les plages d'adresses IP de sous-réseau du sous-réseau donné ou dans la liste des sous-réseaux.
Créez une règle pour faire correspondre le trafic en fonction de vos exigences :
Pour effectuer la NAT sur le trafic sortant via le spoke VPC source vers l'un des spokes VPC ou hybrides associés à un hub Network Connectivity Center correspondant, créez une règle NAT dans la passerelle NAT privée. En fonction de la règle NAT, la passerelle NAT privée attribue des adresses IP NAT du sous-réseau NAT privé pour effectuer la NAT sur le trafic.
Exécutez la commande
compute routers nats rules create
.gcloud beta compute routers nats rules create NAT_RULE_NUMBER \ --router=ROUTER_NAME --region=REGION \ --nat=NAT_CONFIG \ --match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \ --source-nat-active-ranges=NAT_SUBNET ...
Remplacez les éléments suivants :
NAT_RULE_NUMBER
: numéro qui identifie de manière unique la règle à créer.NAT_CONFIG
: nom de votre configuration Private NAT pour la création de la règle. La configuration est la même créé à l'étape précédente.PROJECT_ID
: identifiant unique global du projet dans lequel se trouve votre routeur.HUB
: nom du hub Network Connectivity Center correspondant.NAT_SUBNET
: nom du sous-réseau NAT privé que vous avez créée précédemment. Vous pouvez également spécifier une liste de sous-réseaux séparés par une virgule.
Pour effectuer la NAT sur le trafic sortant via votre VPC source vers le réseau sur site ou d'un autre fournisseur de services cloud par rapport aux solutions de connectivité hybride de Google Cloud (version preview), créer une règle NAT dans la passerelle NAT privée. En fonction de la règle NAT, la passerelle NAT privée attribue des adresses IP NAT du sous-réseau NAT privé pour effectuer la NAT sur le trafic.
Exécutez la commande
compute routers nats rules create
.gcloud beta compute routers nats rules create NAT_RULE_NUMBER \ --router=ROUTER_NAME --region=REGION \ --nat=NAT_CONFIG \ --match='nexthop.is_hybrid' \ --source-nat-active-ranges=NAT_SUBNET ...
Remplacez les éléments suivants :
NAT_RULE_NUMBER
: numéro qui identifie de manière unique la règle à créer.NAT_CONFIG
: nom de votre configuration Private NAT pour la création de la règle. La configuration est la même créé à l'étape précédente.NAT_SUBNET
: nom du sous-réseau NAT privé que vous avez créée précédemment. Vous pouvez également spécifier une liste de sous-réseaux séparés par une virgule.
Configurer une NAT privée avec allocation de ports statique
Le NAT privé utilise l'allocation de ports dynamique par défaut. Toutefois, vous pouvez configurer le NAT privé pour qu'il utilise l'allocation de port statique.
Console
Dans Google Cloud Console, accédez à la page Cloud NAT.
Cliquez sur Commencer ou sur Créer une passerelle Cloud NAT.
Saisissez un nom de passerelle.
Dans le champ Type de NAT, sélectionnez Privé.
Sélectionnez un réseau VPC pour la passerelle NAT.
Sélectionnez la région de la passerelle NAT.
Sélectionnez ou créez un routeur Cloud Router dans la région.
Spécifiez les détails du mappage Cloud NAT et créez une règle NAT. Pour en savoir plus, consultez la section Configurer Private NAT.
Cliquez sur Configuration avancée.
Décochez la case Activer l'allocation de ports dynamique.
Renseignez le champ Nombre minimal de ports par instance de VM. La valeur par défaut est
64
.Cliquez sur OK, puis sur Créer.
gcloud
Exécutez la commande compute routers nats create
.
avec l'indicateur --no-enable-dynamic-port-allocation
.
gcloud compute routers nats create NAT_CONFIG \ --router=ROUTER_NAME --type=PRIVATE --region=REGION \ --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] \ --no-enable-dynamic-port-allocation \ [--min-ports-per-vm=VALUE]
Remplacez les éléments suivants :
NAT_CONFIG
: nom de votre configuration Private NAT à créer.ROUTER_NAME
: nom du routeur à utiliser avec cette passerelle.SUBNETWORK
: nom du sous-réseau ou liste des sous-réseaux autorisés à utiliser la passerelle.Vous pouvez également spécifier une liste de sous-réseaux de valeurs séparées par des virgules, par exemple SUBNETWORK_1, SUBNETWORK_2 Google Cloud exécute toujours Fonctionnalité NAT sur toutes les plages d'adresses IP de sous-réseau du sous-réseau donné ou dans la liste des sous-réseaux.
VALUE
: nombre minimal de ports par VM pour lequel vous souhaitez à attribuer. S'il n'est pas spécifié, Google Cloud attribue le rôle la valeur par défaut de64
.
Afficher la configuration NAT
Console
Dans Google Cloud Console, accédez à la page Cloud NAT.
Pour afficher les détails de la passerelle NAT, les informations de mappage ou les détails de configuration, cliquez sur le nom de votre passerelle NAT.
Pour afficher l'état du NAT, consultez la colonne État de votre passerelle NAT.
gcloud
Vous pouvez afficher les détails de la configuration NAT en exécutant les commandes suivantes :
Affichez la configuration de la passerelle NAT privée.
gcloud compute routers nats describe NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION
Remplacez les éléments suivants :
NAT_CONFIG
: nom de votre configuration NAT.ROUTER_NAME
: nom de votre routeur Cloud Router.REGION
: région du NAT à décrire. Si la région n'est pas spécifiée, vous pouvez être invité à sélectionner une région (mode interactif uniquement).
Affichez le mappage des plages d'adresses IP:port allouées à l'interface de chaque VM.
gcloud compute routers get-nat-mapping-info ROUTER_NAME \ --region=REGION
Affichez l'état de la passerelle NAT privée.
gcloud compute routers get-status ROUTER_NAME \ --region=REGION
Mettre à jour les configurations Private NAT
Une fois que vous avez configuré votre passerelle NAT privée, vous pouvez mettre à jour sa configuration en fonction de vos besoins. Les sections suivantes répertorient les tâches pour mettre à jour votre passerelle NAT privée.
Modifier les sous-réseaux associés au NAT privé
Console
Dans Google Cloud Console, accédez à la page Cloud NAT.
Cliquez sur votre passerelle NAT.
Cliquez sur Modifier (
).Sous Mappage Cloud NAT, sélectionnez Personnalisé dans la liste Source.
Sélectionnez un nouveau sous-réseau dans la liste des sous-réseaux disponibles.
Si vous souhaitez spécifier des plages supplémentaires, cliquez sur Ajouter un sous-réseau et une plage d'adresses IP, puis sélectionnez un autre sous-réseau.
Cliquez sur Enregistrer.
gcloud
gcloud beta compute routers nats update NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,..]
Remplacez les éléments suivants :
NAT_CONFIG
: nom de votre configuration Private NAT à mettre à jour.ROUTER_NAME
: nom du routeur à utiliser avec cette passerelle.SUBNETWORK
: nom du sous-réseau à utiliser.
Supprimer les sous-réseaux associés au NAT privé
Vous pouvez supprimer de la passerelle NAT certains sous-réseaux spécifiques qui ne sont plus utilisés.
Console
Dans Google Cloud Console, accédez à la page Cloud NAT.
Cliquez sur votre passerelle NAT.
Cliquez sur Modifier (
).Supprimez le sous-réseau que vous souhaitez retirer du mappage NAT.
Cliquez sur Enregistrer.
Ajouter des sous-réseaux NAT à votre configuration Private NAT
Pour exécuter la NAT sur le trafic,
utilise les adresses IP NAT d'un sous-réseau ayant l'objectif PRIVATE_NAT
.
Si votre configuration NAT privée nécessite plus que les ressources disponibles
d'adresses IP NAT, vous pouvez ajouter d'autres sous-réseaux de PRIVATE_NAT
la configuration.
Console
Dans Google Cloud Console, accédez à la page Cloud NAT.
Cliquez sur votre passerelle NAT.
Cliquez sur Modifier (
).Développez la règle existante.
Cliquez sur Ajouter des plages de sous-réseaux.
Sélectionnez ou créez une plage de sous-réseau NAT, puis cliquez sur OK.
Cliquez sur Enregistrer.
gcloud
gcloud beta compute routers nats rules update NAT_RULE_NUMBER \ --nat=NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...
Remplacez les éléments suivants :
NAT_RULE_NUMBER
: numéro qui identifie de manière unique la règle à mettre à jour.NAT_CONFIG
: nom de votre configuration NAT privée pour la règle à mettre à jour.PROJECT_ID
: identifiant unique global du projet dans lequel se trouve votre routeur.NAT_SUBNET
: noms des sous-réseaux NAT privés à votre configuration NAT existante.
Supprimer la configuration NAT
La suppression d'une configuration de passerelle supprime la configuration NAT d'un Cloud Router. Le routeur lui-même n'est pas supprimé.
Console
Dans Google Cloud Console, accédez à la page Cloud NAT.
Cochez la case à côté de la configuration de passerelle que vous souhaitez supprimer.
Dans le menu
, cliquez sur Supprimer.
gcloud
gcloud compute routers nats delete NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION
Remplacez les éléments suivants :
NAT_CONFIG
: nom de votre configuration NAT.ROUTER_NAME
: nom de votre routeur Cloud Router.REGION
: région du NAT à supprimer. Si la région n'est pas spécifiée, vous pouvez être invité à sélectionner une région (mode interactif uniquement).
Étape suivante
- Configurez la journalisation et la surveillance de Cloud NAT.
- Résolvez les problèmes courants liés aux configurations du NAT.