Private NAT für Spokes des Network Connectivity Centers

Mit Private NAT können Sie ein privates NAT-Gateway erstellen, das in Verbindung mit VPC-Spokes (Network Connectivity Center) für die Network Address Translation (NAT) zwischen den folgenden Netzwerken verwendet wird:

  • VPC-Netzwerke (Virtual Private Cloud): In diesem Szenario sind die VPC-Netzwerke, die Sie verbinden möchten, als VPC-Spokes mit einem Network Connectivity Center-Hub verbunden.
  • VPC-Netzwerke und Netzwerke außerhalb von Google Cloud: In diesem Szenario sind ein oder mehrere VPC-Netzwerke als VPC-Spokes an einen Network Connectivity Center-Hub angehängt und über Hybrid-Spokes mit Ihren lokalen Netzwerken oder Netzwerken anderer Cloud-Anbieter verbunden.

Spezifikationen

Zusätzlich zu den allgemeinen Spezifikationen für Private NAT gelten für Private NAT für Network Connectivity Center-Spokes die folgenden Spezifikationen:

  • Bei Private NAT wird eine NAT-Konfiguration von type=PRIVATE verwendet, damit Netzwerke mit sich überschneidenden IP-Adressbereichen von Subnetzen kommunizieren können. Nur nicht überlappende Subnetze können miteinander verbunden werden.
  • Sie müssen eine benutzerdefinierte NAT-Regel erstellen, indem Sie auf einen Network Connectivity Center-Hub verweisen. Die NAT-Regel gibt einen NAT-IP-Adressbereich aus einem Subnetz mit dem Zweck PRIVATE_NAT an, der von Private NAT für die NAT-Ausführung auf Traffic zwischen Ihren verbundenen Netzwerken verwendet wird.
  • Wenn Sie eine VM-Instanz in einem Subnetzbereich erstellen, für den Private NAT gilt, wird der gesamte ausgehende Traffic von dieser VM-Instanz vom Gateway übersetzt, wenn sich der Ziel-Spoke im selben Network Connectivity Center-Hub wie das Gateway befindet. Private NAT übersetzt Traffic zu Zielspeichen innerhalb derselben Region wie das private NAT-Gateway sowie regionenübergreifend.
  • Ein privates NAT-Gateway ist Subnetz-IP-Adressbereichen in einer einzelnen Region in einem einzelnen VPC-Netzwerk zugeordnet. Das bedeutet, dass ein Private NAT-Gateway, das in einem VPC-Netzwerk erstellt wurde, keine NAT-Dienste für VMs in anderen Spokes des Network Connectivity Center-Hubs bereitstellt, auch wenn sich die VMs in derselben Region wie das Gateway befinden.

Traffic zwischen VPC-Netzwerken

Für Traffic zwischen VPC-Netzwerken (VPC-NAT) gelten die folgenden zusätzlichen Spezifikationen:

  • Wenn Sie Inter-VPC-NAT zwischen zwei VPC-Netzwerken aktivieren möchten, muss jedes VPC-Netzwerk als VPC-Spoke eines Network Connectivity Center-Hubs konfiguriert werden. Achten Sie darauf, dass sich die IP-Adressbereiche Ihrer VPC-Spokes nicht überschneiden. Weitere Informationen finden Sie unter VPC-Spoke erstellen.
  • Der mit dem privaten NAT-Gateway verknüpfte Network Connectivity Center-Hub muss mindestens zwei VPC-Spokes haben. Einer der VPC-Spokes ist das VPC-Netzwerk des privaten NAT-Gateways.
  • Inter-VPC-NAT unterstützt nur NAT zwischen VPC-Spokes (Network Connectivity Center) und nicht zwischen VPC-Netzwerken, die über VPC-Netzwerk-Peering verbunden sind.

Traffic zwischen VPC-Netzwerken und anderen Netzwerken

Für den Traffic zwischen VPC-Netzwerken und Netzwerken außerhalb von Google Cloudgelten die folgenden zusätzlichen Spezifikationen:

  • Das Quell-VPC-Netzwerk muss als VPC-Spoke eines Network Connectivity Center-Hubs konfiguriert sein.
  • Ein Hybrid-Spoke muss mit demselben Network Connectivity Center-Hub verbunden sein, um eine Verbindung zwischen dem VPC-Spoke und dem Zielnetzwerk außerhalb von Google Cloudherzustellen. Weitere Informationen finden Sie unter Verbindung zwischen Hybrid-Spokes und VPC-Spokes herstellen.

Informationen zu den Anforderungen für die Verwendung von VPC-Spokes und Hybrid-Spokes im selben Network Connectivity Center-Hub finden Sie unter Routenaustausch mit VPC-Spokes.

Grundlegende Konfiguration und Workflow

Das folgende Diagramm zeigt eine grundlegende Private NAT-Konfiguration für Traffic zwischen zwei VPC-Spokes:

Beispiel für die Inter-VPC-NAT-Übersetzung
Beispiel für eine inter-VPC-NAT-Übersetzung (zum Vergrößern klicken)

In diesem Beispiel ist Private NAT so eingerichtet:

  • Das Gateway pvt-nat-gw ist in vpc-a so konfiguriert, dass es auf alle IP-Adressbereiche von subnet-a in der Region us-east1 angewendet wird. Mit den NAT-IP-Bereichen von pvt-nat-gw kann eine VM-Instanz in subnet-a von vpc-a Traffic an eine VM in subnet-b von vpc-b senden, auch wenn sich subnet-a von vpc-a mit subnet-c von vpc-b überschneidet.
  • Sowohl vpc-a als auch vpc-b sind als Spokes eines Network Connectivity Center-Hubs konfiguriert.
  • Das pvt-nat-gw-Gateway ist für die NAT zwischen VPC-Netzwerken konfiguriert, die als VPC-Spokes im selben Network Connectivity Center-Hub konfiguriert sind.

Beispielworkflow

Im vorherigen Diagramm muss vm-a mit der internen IP-Adresse 192.168.1.2 in subnet-a von vpc-a ein Update von vm-b mit der internen IP-Adresse 192.168.2.2 in subnet-b von vpc-b herunterladen. Beide VPC-Netzwerke sind mit demselben Network Connectivity Center-Hub wie VPC-Spokes verbunden. Angenommen, vpc-b enthält ein weiteres Subnetz 192.168.1.0/24, das sich mit dem Subnetz in vpc-a überschneidet. Damit subnet-a von vpc-a mit subnet-b von vpc-b kommunizieren kann, müssen Sie in vpc-a ein privates NAT-Gateway (pvt-nat-gw) so konfigurieren:

  • Privates NAT-Subnetz: Bevor Sie das Private NAT-Gateway konfigurieren, erstellen Sie ein Privates NAT-Subnetz mit dem Zweck PRIVATE_NAT, z. B. 10.1.2.0/29. Achten Sie darauf, dass sich dieses Subnetz nicht mit einem vorhandenen Subnetz in einem der VPC-Spokes überschneidet, die mit demselben Network Connectivity Center-Hub verbunden sind.

  • Eine NAT-Regel, deren nexthop.hub mit der URL des Network Connectivity Center-Hubs übereinstimmt.

  • NAT für alle Adressbereiche von subnet-a

In der folgenden Tabelle wird die im vorherigen Beispiel angegebene Netzwerkkonfiguration zusammengefasst:

Netzwerkname Netzwerkkomponente IP-Adresse/Adressbereich Region
vpc-a

 subnet-a 192.168.1.0/24 us-east1
vm-a 192.168.1.2
pvt-nat-gw 10.1.2.0/29
vpc-b

 subnet-b 192.168.2.0/24 us-west1
vm-b 192.168.2.2
subnet-c 192.168.1.0/24
vm-c 192.168.1.3

Privates NAT für Network Connectivity Center-Spokes folgt dem Portreservierungsverfahren, um die folgenden Tupel aus NAT-Quell-IP-Adresse und Quellport für jede der VMs im Netzwerk zu reservieren. Das private NAT-Gateway reserviert beispielsweise 64 Quellports für vm-a:10.1.2.2:34000 bis 10.1.2.2:34063.

Wenn die VM ein Paket mit dem TCP-Protokoll an den Update-Server 192.168.2.2 auf dem Zielport 80 sendet, geschieht Folgendes:

  1. Die VM sendet ein Anfragepaket mit folgenden Attributen:

    • Quell-IP-Adresse: 192.168.1.2, die interne IP-Adresse der VM
    • Quellport: 24000, der sitzungsspezifische Quellport, der vom Betriebssystem der VM ausgewählt wurde
    • Zieladresse: 192.168.2.2, die IP-Adresse des Update-Servers
    • Zielport: 80, der Zielport für HTTP-Traffic zum Update-Server
    • Protokoll: TCP

  2. Das Gateway pvt-nat-gw führt für ausgehenden Traffic eine Quellnetzwerkadressübersetzung (SNAT oder Source NAT) aus und schreibt die NAT-Quell-IP-Adresse und den Quellport des Anfragepakets um:

    • NAT-Quell-IP-Adresse: 10.1.2.2 von einem der reservierten Tupel aus NAT-Quell-IP-Adresse und Quellport
    • Quellport: 34022, ein nicht verwendeter Quellport aus einem der reservierten Quellport-Tupel der VM
    • Zieladresse: 192.168.2.2, unverändert
    • Zielport: 80, unverändert
    • Protokoll: TCP, unverändert

  3. Der Update-Server sendet ein Antwortpaket, das mit folgenden Attributen am pvt-nat-gw-Gateway ankommt:

    • Quell-IP-Adresse: 192.168.2.2, die interne IP-Adresse des Update-Servers
    • Quellport: 80, die HTTP-Antwort vom Update-Server
    • Zieladresse: 10.1.2.2, entspricht der ursprünglichen NAT-Quell-IP-Adresse des Anfragepakets
    • Zielport: 34022, entspricht dem Quellport des Anfragepakets
    • Protokoll: TCP, unverändert

  4. Das Gateway pvt-nat-gw führt DNAT für das Antwortpaket aus und schreibt die Zieladresse und den Zielport des Antwortpakets um, damit das Paket an die VM gesendet wird, die das Update angefordert hat, mit den folgenden Attributen:

    • Quell-IP-Adresse: 192.168.2.2, unverändert
    • Quellport: 80, unverändert
    • Zieladresse: 192.168.1.2, die interne IP-Adresse der VM
    • Zielport: 24000, entspricht dem ursprünglichen sitzungsspezifischen Quellport des Anfragepakets
    • Protokoll: TCP, unverändert

Nächste Schritte