Private NAT para os spokes do Network Connectivity Center

Com o Private NAT, é possível criar um gateway do Private NAT que funciona em conjunto com os spokes do Network Connectivity Center para executar a conversão de endereços de rede (NAT) entre as seguintes redes:

  • Redes de nuvem privada virtual (VPC): nesse cenário, as redes VPC que você quer conectar são anexadas a um hub do Network Connectivity Center como spokes de VPC.
  • Redes VPC e redes fora de Google Cloud: nesse cenário, uma ou mais redes VPC são anexadas a um hub do Network Connectivity Center como spokes da VPC e conectadas às suas redes locais ou de outros provedores de nuvem por spokes híbridos.

Especificações

Além das especificações gerais do Private NAT, o Private NAT para spokes do Network Connectivity Center tem as seguintes especificações:

  • O Private NAT usa uma configuração de NAT de type=PRIVATE para permitir que redes com intervalos de endereços IP de sub-rede sobrepostos se comuniquem. No entanto, apenas sub-redes sem sobreposição podem se conectar uma à outra.
  • Você precisa criar uma regra NAT personalizada referenciando um hub do Network Connectivity Center. A regra NAT especifica um intervalo de endereços IP NAT de uma sub-rede de finalidade PRIVATE_NAT que o Private NAT usa para executar NAT no tráfego entre as redes conectadas.
  • Quando você cria uma instância de VM em um intervalo de sub-rede em que o Private NAT é aplicado, todo o tráfego de saída dessa instância de VM é traduzido pelo gateway se o spoke de destino estiver no mesmo hub do Network Connectivity Center que o gateway. O Private NAT converte o tráfego para raios de destino na mesma região do gateway do Private NAT e entre regiões.
  • Um gateway NAT particular é associado a intervalos de endereços IP de sub-rede em uma única região em uma única rede VPC. Isso significa que um gateway do Private NAT criado em uma rede VPC não oferece serviços de NAT para VMs em outros spokes do hub do Network Connectivity Center, mesmo que as VMs estejam na mesma região do gateway.

Tráfego entre redes VPC

As especificações adicionais a seguir se aplicam ao tráfego entre redes VPC (NAT inter-VPC):

  • Para ativar o Inter-VPC NAT entre duas redes VPC, cada rede VPC precisa ser configurada como um spoke VPC de um hub do Network Connectivity Center. É preciso garantir que não haja intervalos de endereços IP sobrepostos nos spokes da VPC. Para mais informações, consulte Criar um spoke VPC.
  • O hub do Network Connectivity Center associado ao gateway do Private NAT precisa ter pelo menos dois spokes de VPC, em que um deles é a rede VPC do gateway do Private NAT.
  • O Inter-VPC NAT é compatível com NAT entre spokes VPC do Network Connectivity Center, e não entre redes VPC conectadas usando o peering de rede VPC.

Tráfego entre redes VPC e outras redes

As especificações adicionais a seguir se aplicam ao tráfego entre redes VPC e redes fora de Google Cloud:

  • A rede VPC de origem precisa ser configurada como um spoke VPC de um hub do Network Connectivity Center.
  • Um spoke híbrido precisa ser anexado ao mesmo hub do Network Connectivity Center para estabelecer a conectividade entre o spoke VPC e a rede de destino fora de Google Cloud. Para mais informações, consulte Como estabelecer conectividade entre spokes híbridos e spokes de VPC.

Para saber mais sobre os requisitos para usar spokes VPC e híbridos no mesmo hub do Network Connectivity Center, consulte Troca de rotas com spokes VPC.

Configuração básica e fluxo de trabalho

O diagrama a seguir mostra uma configuração básica de NAT privada para o tráfego entre dois spokes da VPC:

Exemplo de conversão Inter-VPC NAT.
Exemplo de conversão Inter-VPC NAT (clique para ampliar).

Neste exemplo, o Private NAT é configurado da seguinte maneira:

  • O gateway pvt-nat-gw está configurado em vpc-a para ser aplicado a todos os intervalos de endereços IP de subnet-a na região us-east1. Usando os intervalos de IP NAT de pvt-nat-gw, uma instância de máquina virtual (VM) em subnet-a de vpc-a pode enviar tráfego para uma VM em subnet-b de vpc-b, mesmo que subnet-a de vpc-a se sobreponha a subnet-c de vpc-b.
  • vpc-a e vpc-b são configurados como spokes de um hub do Network Connectivity Center.
  • O gateway pvt-nat-gw está configurado para fornecer NAT entre redes VPC configuradas como spokes VPC no mesmo hub do Network Connectivity Center.

Exemplo de fluxo de trabalho

No diagrama anterior, vm-a com o endereço IP interno 192.168.1.2 em subnet-a de vpc-a precisa fazer o download de uma atualização de vm-b com o endereço IP interno 192.168.2.2 em subnet-b de vpc-b. As duas redes VPC estão conectadas ao mesmo hub do Network Connectivity Center que os spokes VPC. Suponha que vpc-b contenha outra sub-rede 192.168.1.0/24 que se sobreponha à sub-rede em vpc-a. Para que subnet-a de vpc-a se comunique com subnet-b de vpc-b, é necessário configurar um gateway NAT particular, pvt-nat-gw, em vpc-a da seguinte maneira:

  • Sub-rede NAT particular: antes de configurar o gateway NAT particular, crie uma sub-rede NAT particular de finalidade PRIVATE_NAT, por exemplo, 10.1.2.0/29. Verifique se essa sub-rede não se sobrepõe a uma sub-rede existente em nenhum dos spokes VPC anexados ao mesmo hub do Network Connectivity Center.

  • Uma regra NAT cujo nexthop.hub corresponde ao URL do hub do Network Connectivity Center.

  • NAT para todos os intervalos de endereços de subnet-a.

A tabela a seguir resume a configuração de rede especificada no exemplo anterior:

Nome da rede Componente de rede Endereço / intervalo IP Região
vpc-a

 subnet-a 192.168.1.0/24 us-east1
vm-a 192.168.1.2
pvt-nat-gw 10.1.2.0/29
vpc-b

 subnet-b 192.168.2.0/24 us-west1
vm-b 192.168.2.2
subnet-c 192.168.1.0/24
vm-c 192.168.1.3

O Private NAT para os spokes do Network Connectivity Center segue o procedimento de reserva de porta para reservar o seguinte endereço IP de origem NAT e as tuplas de origem da NAT para cada uma das VMs na rede. Por exemplo, o gateway do Private NAT reserva 64 portas de origem para vm-a: 10.1.2.2:34000 a 10.1.2.2:34063.

Quando a VM usa o protocolo TCP para enviar um pacote ao servidor de atualização 192.168.2.2 na porta de destino 80, ocorre o seguinte:

  1. A VM envia um pacote de solicitação com estes atributos:

    • Endereço IP de origem: 192.168.1.2, o endereço IP interno da VM
    • Porta de origem: 24000, a porta de origem temporária escolhida pelo sistema operacional da VM
    • Endereço de destino: 192.168.2.2, o endereço IP do servidor de atualização
    • Porta de destino: 80, a porta de destino do tráfego HTTP para o servidor de atualizações
    • Protocolo: TCP

  2. O gateway pvt-nat-gw executa a conversão de endereços de rede de origem (SNAT, na sigla em inglês) (SNAT ou NAT de origem) na saída, reescrevendo o endereço IP de origem e a porta de origem do pacote de solicitação:

    • Endereço IP de origem NAT: 10.1.2.2, de um dos endereços IP de origem NAT reservados da VM e das tuplas da porta de origem
    • Porta de origem: 34022, uma porta de origem não utilizada de uma das tuplas de porta de origem reservadas da VM
    • Endereço de destino: 192.168.2.2, inalterado
    • Porta de destino: 80, inalterada
    • Protocolo: TCP, inalterado

  3. O servidor de atualização envia um pacote de resposta que chega ao gateway pvt-nat-gw com estes atributos:

    • Endereço IP de origem: 192.168.2.2, o endereço IP interno do servidor de atualização
    • Porta de origem: 80, a resposta HTTP do servidor de atualização
    • Endereço de destino: 10.1.2.2, que corresponde ao endereço IP de origem da NAT original do pacote de solicitação
    • Porta de destino: 34022, que corresponde à porta de origem do pacote de solicitação
    • Protocolo: TCP, inalterado

  4. O gateway pvt-nat-gw executa a conversão de endereços de rede de destino (DNAT, na sigla em inglês) no pacote de resposta, reescrevendo o endereço de destino e a porta de destino do pacote de resposta para que o pacote seja entregue à VM que solicitou a atualização com o seguinte atributos:

    • Endereço IP de origem: 192.168.2.2, inalterado
    • Porta de origem: 80, inalterada
    • Endereço de destino: 192.168.1.2, o endereço IP interno da VM
    • Porta de destino: 24000, que corresponde à porta de origem temporária original do pacote de solicitação
    • Protocolo: TCP, inalterado

A seguir