Network Connectivity Center 輪輻適用的 Private NAT
您可以透過 Private NAT 建立 Private NAT 閘道,並與 Network Connectivity Center 輪輻搭配使用,以便在下列網路之間執行網路位址轉譯 (NAT):
- 虛擬私有雲 (VPC) 網路:在這種情況下,您要連線的 VPC 網路會以 VPC 輪輻的形式附加至 Network Connectivity Center 中樞。
- Google Cloud以外的 VPC 網路和網路:在這種情況下,一或多個 VPC 網路會以 VPC 輪輻的形式連結至 Network Connectivity Center 中樞,並透過混合式輪輻連線至內部部署網路或其他雲端服務供應商網路。
規格
除了一般 Private NAT 規格,Network Connectivity Center 輪輻的 Private NAT 也有下列規格:
- 私人 NAT 會使用
type=PRIVATE的 NAT 設定,讓具有重疊子網路 IP 位址範圍的網路進行通訊。不過,只有不重疊的子網路才能互相連線。 - 您必須參照 Network Connectivity Center 中樞建立自訂 NAT 規則。NAT 規則會指定私人 NAT 用於在連線網路之間執行 NAT 的目的
PRIVATE_NAT子網路中,NAT IP 位址範圍。 - 在 Private NAT 適用的子網路範圍內建立 VM 執行個體時,如果目的地輪輻與閘道位於相同的 Network Connectivity Center 中樞,閘道就會轉譯來自此 VM 執行個體的所有傳出流量。Private NAT 會將流量轉譯至 Private NAT 閘道所在區域內的目的地輪輻,以及跨區域。
- 私人 NAT 閘道會與單一 VPC 網路中單一區域的子網路 IP 位址範圍建立關聯。也就是說,在一個 VPC 網路中建立的 Private NAT 閘道不會為 Network Connectivity Center 中樞其他輪輻中的 VM 提供 NAT 服務,即使 VM 位於與閘道相同的地區也一樣。
虛擬私有雲網路之間的流量
虛擬私有雲網路之間的流量 (Inter-VPC NAT) 適用下列額外規格:
- 如要在兩個虛擬私有雲網路之間啟用 Inter-VPC NAT,每個虛擬私有雲網路都必須設為 Network Connectivity Center 中樞的虛擬私有雲輪輻。您必須確保 VPC 輻射狀網路中沒有重疊的 IP 位址範圍。詳情請參閱「建立 VPC 輻射點」。
- 與 Private NAT 閘道相關聯的 Network Connectivity Center 中樞必須至少有兩個虛擬私有雲輪輻,其中一個虛擬私有雲輪輻是 Private NAT 閘道的虛擬私有雲網路。
- Inter-VPC NAT 僅支援 Network Connectivity Center VPC 輪輻之間的 NAT,不支援透過虛擬私有雲網路對等互連連線的虛擬私有雲網路。
虛擬私有雲端網路與其他網路之間的流量
以下是適用於虛擬私有雲網路與 Google Cloud以外網路之間流量的其他規格:
- 來源虛擬私有雲網路必須設為 Network Connectivity Center 中樞的虛擬私有雲輪輻。
- 混合型輪輻必須連結至同一個 Network Connectivity Center 中樞,才能在 Google Cloud以外的虛擬私有雲輪輻與目的地網路之間建立連線。詳情請參閱「在混合型輻射狀結構和虛擬私有雲輻射狀結構之間建立連線」。
如要瞭解在同一個 Network Connectivity Center 中樞中使用虛擬私有雲輪輻和混合式輪輻的相關規定,請參閱「使用虛擬私有雲輪輻進行路徑交換」。
基本設定和工作流程
下圖顯示兩個虛擬私有雲輪輻之間流量的 Private NAT 基本設定:
在這個範例中,Private NAT 的設定如下:
pvt-nat-gw閘道會在vpc-a中設定,套用至us-east1區域中subnet-a的所有 IP 位址範圍。使用pvt-nat-gw的 NAT IP 範圍,vpc-a的subnet-a中的虛擬機器 (VM) 執行個體可以將流量傳送至vpc-b的subnet-b中的 VM,即使vpc-a的subnet-a與vpc-b的subnet-c重疊也一樣。vpc-a和vpc-b都已設為 Network Connectivity Center 中樞的輪輻。pvt-nat-gw閘道會在同一個 Network Connectivity Center 中樞中,將設為虛擬私有雲輪輻的虛擬私有雲網路連結起來,並提供 NAT 服務。
工作流程範例
在上述圖表中,vm-a 在 vpc-a 的 subnet-a 中使用內部 IP 位址 192.168.1.2,需要從 vm-b 下載更新,該更新在 vpc-b 的 subnet-b 中使用內部 IP 位址 192.168.2.2。這兩個虛擬私有雲網路都會連至同一個 Network Connectivity Center 中樞,做為虛擬私有雲網路輻射線。假設 vpc-b 包含另一個與 vpc-a 中子網路重疊的子網路 192.168.1.0/24。如要讓 vpc-a 的 subnet-a 與 vpc-b 的 subnet-b 通訊,您必須在 vpc-a 中設定私人 NAT 閘道 pvt-nat-gw,如下所示:
私人 NAT 子網路:在設定私人 NAT 閘道之前,請建立用途為
PRIVATE_NAT的私人 NAT 子網路,例如10.1.2.0/29。請確認這個子網路不會與連結至同一個 Network Connectivity Center 中樞的任何 VPC 輪輻中現有子網路重疊。nexthop.hub與 Network Connectivity Center 中樞網址相符的 NAT 規則。subnet-a的所有位址範圍都會使用 NAT。
下表總結了上述範例中指定的網路設定:
| 網路名稱 | 網路元件 | IP 位址/範圍 | 地區 |
|---|---|---|---|
| vpc-a | subnet-a | 192.168.1.0/24 | us-east1 |
| vm-a | 192.168.1.2 | ||
| pvt-nat-gw | 10.1.2.0/29 | ||
| vpc-b | subnet-b | 192.168.2.0/24 | us-west1 |
| vm-b | 192.168.2.2 | ||
| subnet-c | 192.168.1.0/24 | ||
| vm-c | 192.168.1.3 |
Network Connectivity Center 輪輻的 Private NAT 會依循通訊埠保留程序,為網路中的每個 VM 保留下列 NAT 來源 IP 位址和來源通訊埠元組。舉例來說,私人 NAT 閘道會為 vm-a 保留 64 個來源通訊埠:10.1.2.2:34000 到 10.1.2.2:34063。
當 VM 使用 TCP 通訊協定,將封包傳送至目的地通訊埠 80 的更新伺服器 192.168.2.2 時,會發生以下情況:
VM 會傳送含有下列屬性的要求封包:
- 來源 IP 位址:
192.168.1.2,VM 的內部 IP 位址 - 來源埠:
24000,VM 作業系統所選的暫時性來源埠 - 目的地位址:
192.168.2.2,更新伺服器的 IP 位址 - 目的地通訊埠:
80,更新伺服器的 HTTP 流量目的地通訊埠 - 通訊協定:TCP
- 來源 IP 位址:
pvt-nat-gw閘道會在輸出端執行來源網路位址轉譯 (SNAT 或來源 NAT),重新寫要求封包的 NAT 來源 IP 位址和來源通訊埠:- NAT 來源 IP 位址:
10.1.2.2,來自 VM 的其中一個保留的 NAT 來源 IP 位址和來源通訊埠元組 - 來源通訊埠:
34022,VM 預留來源通訊埠元組中未使用的來源通訊埠 - 目的地地址:
192.168.2.2,未變更 - 目的地通訊埠:
80,未變更 - 通訊協定:TCP,未變更
- NAT 來源 IP 位址:
更新伺服器會傳送回應封包,並透過以下屬性傳送至
pvt-nat-gw閘道:- 來源 IP 位址:
192.168.2.2,更新伺服器的內部 IP 位址 - 來源通訊埠:
80,來自更新伺服器的 HTTP 回應 - 目的地位址:
10.1.2.2,與要求封包的原始 NAT 來源 IP 位址相符 - 目的地通訊埠:
34022,與要求封包的來源通訊埠相符 - 通訊協定:TCP,未變更
- 來源 IP 位址:
pvt-nat-gw閘道會在回應封包上執行目的地網路位址轉譯 (DNAT),重新寫回應封包的目的地位址和目的地通訊埠,以便將封包傳送至要求更新的 VM,並附上下列屬性:- 來源 IP 位址:
192.168.2.2,未變更 - 來源通訊埠:
80,未變更 - 目的地位址:
192.168.1.2,VM 的內部 IP 位址 - 目的地通訊埠:
24000,與要求封包的原始暫時性來源通訊埠相符 - 通訊協定:TCP,未變更
- 來源 IP 位址:
後續步驟
- 設定 Network Connectivity Center 輪輻適用的 Private NAT。
- 瞭解 Cloud NAT 產品互動。
- 瞭解 Cloud NAT 位址和通訊埠。
- 瞭解 Cloud NAT 規則。
- 排解常見問題。