NAT híbrido

A NAT híbrida, um tipo de NAT particular, permite realizar a conversão de endereços de rede (NAT) entre uma rede de nuvem privada virtual (VPC) e uma rede no local ou rede de outro provedor de nuvem. A rede que não é do Google Cloud precisa ser conectada à sua rede VPC usando o Google Cloud de dados Produtos de conectividade de rede, como Cloud Interconnect ou o Cloud VPN.

Especificações

Além das especificações gerais do Private NAT, o NAT híbrido tem as seguintes especificações:

• A NAT híbrida permite que uma rede VPC se comunique em uma rede no local ou em outra rede de provedor de nuvem, Os intervalos de endereços IP das redes se sobrepõem. Usando uma configuração NAT de type=PRIVATE, os recursos nos recursos sobrepostos e sub-redes não sobrepostas da rede VPC podem se conectar aos recursos nas sub-redes não sobrepostas do Google Cloud em uma rede VPC.

• Para ativar o NAT híbrido, a rede que não é do Google Cloud precisa anunciar as rotas dinâmicas para que a rede VPC possa aprender e usá-las. O Cloud Router aprende essas rotas dinâmicas com base nos produtos de conectividade de rede do Google Cloud, como o Cloud Interconnect, o HA VPN ou a VPN clássica com o roteamento dinâmico configurado. Os destinos de essas rotas dinâmicas são intervalos de endereços IP fora da sua VPC em uma rede VPC.

  Da mesma forma, para o tráfego de retorno, sua rede VPC precisa anúncios a rota da sub-rede NAT particular usando um Cloud Router, e essa rota de sub-rede não pode se sobrepor a uma sub-rede existente na redes conectadas.

• A NAT híbrida executa a NAT no tráfego originado de uma rede VPC para uma rede local ou outra rede de provedor de nuvem. As redes devem estar conectadas por o Cloud Interconnect ou o Cloud VPN.

• O NAT híbrido dá suporte a túneis de VPN clássica somente se o roteamento dinâmico estiver ativado.

• Você precisa criar uma regra NAT personalizada com uma expressão de correspondência nexthop.is_hybrid: A regra NAT especifica um intervalo de endereços IP NAT sub-rede da finalidade PRIVATE_NAT que os recursos na sua VPC rede pode usar para se comunicar com outras redes.

• O Cloud Router em que você configura o NAT híbrido precisa estar na mesma região que a rede VPC.

• O Cloud Router em que você configura o NAT híbrido não pode conter outra configuração NAT.

Fluxo de trabalho e configuração básica do NAT híbrido

O diagrama a seguir mostra uma configuração básica de NAT híbrida:

Neste exemplo, o NAT híbrido é configurado da seguinte maneira:

• O gateway pvt-nat-gw está configurado em vpc-a para ser aplicado a todos os endereços IP intervalos de endereços de subnet-a na região us-east1.
• O Cloud Router e o roteador local ou de outro provedor de nuvem trocam as seguintes rotas de sub-rede:
  • O Cloud Router divulga 10.1.2.0/29 para o roteador externo.
  • O roteador externo anuncia 192.168.2.0/24 para e o Cloud Router.
• Usando o intervalo de endereços IP NAT de pvt-nat-gw, uma instância de máquina virtual (VM) em subnet-a de vpc-a pode enviar tráfego para uma VM em subnet-b da rede local ou de outra rede de provedor de nuvem, mesmo que subnet-a de vpc-a se sobreponha a outra sub-rede na rede que não é do Google Cloud.

Exemplo de fluxo de trabalho de Hybrid NAT

No diagrama anterior, vm-a com o endereço IP interno 192.168.1.2 em subnet-a de vpc-a precisa fazer o download de uma atualização de vm-b com o endereço IP interno 192.168.2.2 em subnet-b de uma rede local ou de outra rede de provedor de nuvem. O Cloud Interconnect conecta sua rede VPC para a rede no local ou outra rede rede provedora. Suponha que uma rede que não seja do Google Cloud contenha outra sub-rede 192.168.1.0/24 que se sobrepõe à sub-rede em vpc-a. Para que subnet-a de vpc-a se comunique com subnet-b da rede que não é do Google Cloud, é necessário configurar um gateway NAT privado, pvt-nat-gw, em vpc-a da seguinte maneira:

• Especifique uma sub-rede NAT particular de finalidade PRIVATE_NAT, por exemplo, 10.1.2.0/29. Crie esta sub-rede antes de como configurar o gateway do Private NAT. Verifique se essa sub-rede não se sobrepõe a uma sub-rede existente em nenhuma das redes conectadas.
• Crie uma regra NAT com match='nexthop.is_hybrid'.
• Configure o gateway do Private NAT para ser aplicado a todos os intervalos de endereços IP de subnet-a.

O NAT híbrido segue o procedimento de reserva de porta para reservar o seguinte endereço IP de origem NAT e as tuplas de origem da NAT para cada uma das VMs na rede. Por exemplo, o gateway do Private NAT reserva 64 portas de origem para vm-a: 10.1.2.2:34000 a 10.1.2.2:34063.

Quando a VM usa o protocolo TCP para enviar um pacote ao servidor de atualização 192.168.2.2 na porta de destino 80, ocorre o seguinte:

1. A VM envia um pacote de solicitação com estes atributos:

   • Endereço IP de origem: 192.168.1.2, o endereço IP interno da VM
   • Porta de origem: 24000, a porta de origem temporária escolhida pelo sistema operacional da VM
   • Endereço de destino: 192.168.2.2, o endereço IP do servidor de atualização
   • Porta de destino: 80, a porta de destino do tráfego HTTP para o servidor de atualizações
   • Protocolo: TCP

2. O gateway pvt-nat-gw executa a conversão de endereços de rede de origem (SNAT, na sigla em inglês) (SNAT ou NAT de origem) na saída, reescrevendo o endereço IP de origem e a porta de origem do pacote de solicitação:

   • Endereço IP de origem NAT: 10.1.2.2, de um dos endereços IP de origem NAT reservados da VM e das tuplas da porta de origem
   • Porta de origem: 34022, uma porta de origem não utilizada de uma das tuplas de porta de origem reservadas da VM
   • Endereço de destino: 192.168.2.2, inalterado
   • Porta de destino: 80, inalterada
   • Protocolo: TCP, inalterado

3. O servidor de atualização envia um pacote de resposta que chega ao gateway pvt-nat-gw com estes atributos:

   • Endereço IP de origem: 192.168.2.2, o endereço IP interno do servidor de atualização
   • Porta de origem: 80, a resposta HTTP do servidor de atualização
   • Endereço de destino: 10.1.2.2, que corresponde ao endereço IP de origem do NAT original do pacote de solicitações
   • Porta de destino: 34022, que corresponde à porta de origem do pacote de solicitação
   • Protocolo: TCP, inalterado

4. O gateway pvt-nat-gw executa a conversão de endereços de rede de destino (DNAT, na sigla em inglês) no pacote de resposta e reescreve o endereço de destino e a porta de destino do pacote de resposta para que o pacote seja entregue à VM que solicitou a atualização com os seguintes atributos:

   • Endereço IP de origem: 192.168.2.2, inalterado
   • Porta de origem: 80, inalterada
   • Endereço de destino: 192.168.1.2, o endereço IP interno da VM
   • Porta de destino: 24000, que corresponde à porta de origem temporária original do pacote de solicitação
   • Protocolo: TCP, inalterado

A seguir

• Configure o Hybrid NAT.
• Saiba mais sobre interações com produtos do Cloud NAT.
• Saiba mais sobre endereços e portas do Cloud NAT.
• Saiba mais sobre as regras do Cloud NAT.
• Resolver problemas comuns.