Private NAT

Private NAT ermöglicht die private-to-private-Adressübersetzung zwischen Netzwerken:

  • Private NAT für Network Connectivity Center-Spokes ermöglicht die private Network Address Translation (NAT) für Virtual Private Cloud-Netzwerke (VPC), die mit einem Network Connectivity Center-Hub verbunden sind. Dazu gehört auch die private NAT für Traffic zwischen VPC-Spokes und zwischen VPC-Spokes und Hybrid-Spokes.
  • Hybrid-NAT ermöglicht die private-to-private-NAT zwischen VPC-Netzwerken und lokalen Netzwerken oder Netzwerken anderer Cloud-Anbieter, die über Cloud Interconnect oder Cloud VPN mit Google Cloud verbunden sind.

Spezifikationen

In den folgenden Abschnitten werden die Spezifikationen von Private NAT beschrieben. Diese Spezifikationen gelten sowohl für Private NAT für Network Connectivity Center-Spokes als auch für Hybrid NAT.

Allgemeine Spezifikationen

  • Private NAT ermöglicht ausgehende Verbindungen und die eingehenden Antworten auf diese Verbindungen. Jedes Cloud NAT-Gateway für Private NAT führt Quell-NAT bei ausgehendem Traffic und Ziel-NAT für etablierte Antwortpakete aus.

  • Privates NAT wird in VPC-Netzwerken im automatischen Modus nicht unterstützt.

  • Private NAT erlaubt keine unerwünschten eingehenden Anfragen aus verbundenen Netzwerken, auch wenn Firewallregeln diese Anfragen andernfalls zulassen würden. Weitere Informationen finden Sie unter Anwendbare RFCs.

  • Jedes Cloud NAT-Gateway für Private NAT ist einem einzelnen VPC-Netzwerk, einer Region und einem Cloud Router zugeordnet. Das Cloud NAT-Gateway und der Cloud Router bieten eine Steuerungsebene. Sie sind nicht an der Datenebene beteiligt, sodass Pakete nicht über das Cloud NAT-Gateway oder den Cloud Router geleitet werden.

    Obwohl ein Cloud NAT-Gateway für Private NAT von einem Cloud Router verwaltet wird, verwendet Private NAT nicht das Border Gateway Protocol und ist auch nicht davon abhängig.

  • Privates NAT unterstützt keine endpunktunabhängige Zuordnung.
  • Sie können Private NAT nicht verwenden, um einen bestimmten primären oder sekundären IP-Adressbereich für ein bestimmtes Subnetz zu übersetzen. Ein privates NAT-Gateway führt NAT für alle IPv4-Adressbereiche für ein bestimmtes Subnetz oder eine Liste von Subnetzen aus.
  • Nachdem Sie das Subnetz erstellt haben, können Sie die Größe des privaten NAT-Subnetzes nicht mehr erhöhen oder verringern. Sie können jedoch mehrere private NAT-Subnetzbereiche für ein bestimmtes Gateway angeben.
  • Private NAT unterstützt maximal 64.000 gleichzeitige Verbindungen pro Endpunkt.
  • Private NAT unterstützt nur TCP und UDP. ICMP und andere Protokolle werden nicht unterstützt.
  • Eine VM-Instanz in einem VPC-Netzwerk kann nur auf Ziele in einem nicht überlappenden Subnetz in einem verbundenen Netzwerk zugreifen.

Routen und Firewallregeln

Für privates NAT werden die folgenden Routen verwendet:

  • Für Network Connectivity Center-Spokes verwendet Private NAT Subnetzrouten und dynamische Routen:
    • Für Traffic zwischen zwei VPC-Spokes, die an einen Network Connectivity Center-Hub angehängt sind, der nur VPC-Spokes enthält, verwendet Private NAT die Subnetzrouten, die von den angehängten VPC-Spokes ausgetauscht werden. Informationen zu VPC-Spokes finden Sie unter VPC-Spokes.
    • Wenn ein Network Connectivity Center-Hub sowohl VPC-Spokes als auch Hybrid-Spokes wie VLAN-Anhänge für Cloud Interconnect, Cloud VPN-Tunnel oder Router-Appliance-VMs enthält, verwendet Private NAT die dynamischen Routen, die von den Hybrid-Spokes über BGP gelernt wurden, und die Subnetzrouten, die von den angehängten VPC-Spokes ausgetauscht werden. Informationen zu Hybrid-Spokes finden Sie unter Hybrid-Spokes.
  • Bei Hybrid-NAT verwendet Private NAT dynamische Routen, die vom Cloud Router über Cloud Interconnect oder Cloud VPN gelernt wurden.

Cloud NGFW-Firewallregeln werden direkt auf die Netzwerkschnittstellen von Compute Engine-VMs angewendet, nicht auf Cloud NAT-Gateways für privates NAT.

Wenn ein Cloud NAT-Gateway für Private NAT NAT für die Netzwerkschnittstelle einer VM bereitstellt, werden geltende Firewallregeln für ausgehenden Traffic als Pakete für diese Netzwerkschnittstelle vor der Ausführung von NAT ausgewertet. Firewallregeln für eingehenden Traffic werden ausgewertet, nachdem Pakete von NAT verarbeitet wurden. Sie müssen keine Firewallregeln speziell für NAT erstellen.

Anwendbarkeit des Subnetz-IP-Adressbereichs

Sie können ein Cloud NAT-Gateway für Private NAT konfigurieren, um NAT für Folgendes bereitzustellen:

  • Primäre und sekundäre IP-Adressbereiche aller Subnetze in der Region. Ein einzelnes Private NAT-Gateway bietet NAT für die primären internen IP-Adressen und alle Alias-IP-Bereiche berechtigter VMs, deren Netzwerkschnittstellen ein Subnetz in der Region verwenden. Bei dieser Option wird genau ein NAT-Gateway pro Region verwendet.

  • Benutzerdefinierte Subnetzliste: Ein einzelnes Cloud NAT-Gateway bietet NAT für die primären internen IP-Adressen und alle Alias-IP-Bereiche berechtigter VMs, deren Netzwerkschnittstellen ein Subnetz aus einer Liste angegebener Subnetze verwenden.

Bandbreite

Die Verwendung eines Cloud NAT-Gateways für Private NAT wirkt sich nicht auf die Größe der von einer VM verwendeten ausgehenden oder eingehenden Bandbreite aus. Informationen zu Bandbreitenspezifikationen, die je nach Maschinentyp variieren, finden Sie unter Netzwerkbandbreite in der Compute Engine-Dokumentation.

VMs mit mehreren Netzwerkschnittstellen

Wenn Sie eine VM mit mehreren Netzwerkschnittstellen konfigurieren, muss sich jede Schnittstelle in einem separaten VPC-Netzwerk befinden. Daher kann ein Cloud NAT-Gateway für Private NAT nur auf eine einzelne Netzwerkschnittstelle einer VM angewendet werden. Separate Cloud NAT-Gateways für Private NAT können NAT auf derselben VM bereitstellen, wobei jedes Gateway für eine separate Schnittstelle gilt.

NAT-IP-Adressen und -Ports

Wenn Sie ein privates NAT-Gateway erstellen, müssen Sie ein Subnetz mit dem Zweck PRIVATE_NAT angeben, aus dem NAT-IP-Adressen für die VMs zugewiesen werden. Weitere Informationen zur Zuweisung von privaten NAT-IP-Adressen finden Sie unter Private NAT-IP-Adressen.

Sie können die Anzahl der Quellports konfigurieren, die jedes Cloud NAT-Gateway für Private NAT für jede VM reserviert, für die NAT-Dienste bereitgestellt werden sollen. Sie können die statische Portzuweisung konfigurieren, wobei für jede VM dieselbe Anzahl von Ports reserviert ist, oder die dynamische Portzuweisung, wobei die Anzahl der reservierten Ports zwischen dem von Ihnen angegebenen Mindest- und Höchstwert variieren kann.

Die VMs, für die NAT bereitgestellt werden soll, richten sich nach den Subnetz-IP-Adressbereichen, für deren Bereitstellung das Gateway konfiguriert ist.

Weitere Informationen zu Ports finden Sie unter Ports.

Anwendbare RFCs

Private NAT ist eine Port-eingeschränkte Cone-NAT, wie in RFC 3489 definiert.

NAT-Zeitlimits

Private NAT legt Zeitlimits für Protokollverbindungen fest. Informationen zu diesen Zeitüberschreitungen und ihren Standardwerten finden Sie unter NAT-Zeitüberschreitungen.

Nächste Schritte