Cette page a été traduite par l'API Cloud Translation.

NAT privé

Private NAT permet la traduction d'adresses privé-privé entre les réseaux :

La Private NAT pour les spokes Network Connectivity Center permet la traduction d'adresse réseau (NAT) de réseau privé à réseau privé pour les réseaux de cloud privé virtuel (VPC) connectés à un hub Network Connectivity Center. Cela inclut la NAT de réseau privé à réseau privé pour le trafic entre les spokes VPC, et entre les spokes VPC et les spokes hybrides.
Hybrid NAT permet la traduction d'adresses réseau privé-privé entre les réseaux VPC et les réseaux sur site ou d'autres fournisseurs de services cloud connectés à Google Cloud via Cloud Interconnect ou Cloud VPN.

Spécifications

Les sections suivantes décrivent les spécifications de Private NAT. Ces spécifications s'appliquent à la fois à Private NAT pour les spokes Network Connectivity Center et à Hybrid NAT.

Spécifications générales

Private NAT autorise les connexions sortantes et les réponses entrantes à destination de ces connexions. Chaque passerelle Cloud NAT pour Private NAT effectue une NAT source sur le trafic sortant et une NAT de destination pour les paquets de réponses établis.
NAT privé n'est pas compatible avec les réseaux VPC en mode automatique.
NAT privé n'autorise pas les requêtes entrantes non sollicitées provenant de réseaux connectés, même si les règles de pare-feu autorisent ces requêtes. Pour en savoir plus, consultez les documents RFC applicables.
Chaque passerelle Cloud NAT pour Private NAT est associée à un seul réseau VPC, une seule région et un seul routeur Cloud Router. La passerelle Cloud NAT et le routeur Cloud Router fournissent un plan de contrôle. Ils ne sont pas impliqués dans le plan de données. Par conséquent, les paquets ne passent pas par la passerelle Cloud NAT ni par le routeur Cloud Router.

Même si une passerelle Cloud NAT pour le NAT privé est gérée par un routeur Cloud Router, le NAT privé n'utilise ni ne dépend du protocole BGP (Border Gateway Protocol).
La NAT privée n'est pas compatible avec le mappage indépendant du point de terminaison.
Vous ne pouvez pas utiliser le NAT privé pour traduire une plage d'adresses IP principales ou secondaires spécifique à un sous-réseau donné. Une passerelle NAT privée effectue la NAT sur toutes les plages d'adresses IPv4 pour un sous-réseau ou une liste de sous-réseaux donnés.
Une fois le sous-réseau NAT privé créé, vous ne pouvez plus augmenter ni diminuer sa taille. Toutefois, vous pouvez spécifier plusieurs plages de sous-réseaux NAT privés pour une passerelle donnée.
Private NAT accepte un maximum de 64 000 connexions simultanées par point de terminaison.
Le NAT privé n'est compatible qu'avec les protocoles TCP et UDP. ICMP et les autres protocoles ne sont pas compatibles.
Une instance de machine virtuelle (VM) dans un réseau VPC ne peut accéder qu'aux destinations d'un sous-réseau non chevauchant (et non chevauchant) d'un réseau connecté.

Routes et règles de pare-feu

La NAT privée utilise les routes suivantes :

Pour les spokes Network Connectivity Center, Private NAT utilise des routes de sous-réseau et des routes dynamiques :
- Pour le trafic entre deux spokes VPC associés à un hub Network Connectivity Center qui ne contient que des spokes VPC, Private NAT utilise les routes de sous-réseau échangées par les spokes VPC associés. Pour en savoir plus sur les spokes VPC, consultez la section Présentation des spokes VPC.
- Si un hub Network Connectivity Center contient à la fois des spokes VPC et des spokes hybrides tels que des rattachements de VLAN pour Cloud Interconnect, des tunnels Cloud VPN ou des VM d'appliance de routeur, la traduction d'adresse réseau privée utilise les routes dynamiques apprises par les spokes hybrides via BGP et les routes de sous-réseau échangées par les spokes VPC associés. Pour en savoir plus sur les spokes hybrides, consultez Spokes hybrides.
Pour le NAT hybride, le NAT privé utilise des routes dynamiques apprises par Cloud Router sur Cloud Interconnect ou Cloud VPN.

Les règles de pare-feu Cloud NGFW sont appliquées directement aux interfaces réseau des VM Compute Engine, et non aux passerelles Cloud NAT pour le NAT privé.

Lorsqu'une passerelle Cloud NAT pour la NAT privée fournit une NAT pour l'interface réseau d'une VM, les règles de pare-feu de sortie applicables sont évaluées comme des paquets pour cette interface réseau avant la NAT. Les règles de pare-feu d'Ingress sont évaluées après que les paquets ont été traités par la NAT. Vous n'avez pas besoin de créer de règles de pare-feu spécifiques pour la NAT.

Applicabilité de la plage d'adresses IP du sous-réseau

Vous pouvez configurer une passerelle Cloud NAT pour la NAT privée afin de fournir une NAT pour les éléments suivants :

Plages d'adresses IP principales et secondaires de tous les sous-réseaux de la région. Une passerelle Private NAT unique fournit une NAT aux adresses IP internes principales et à toutes les plages d'adresses IP d'alias des VM éligibles dont les interfaces réseau utilisent un sous-réseau dans la région. Cette option utilise exactement une passerelle NAT par région.
Liste de sous-réseaux personnalisée : une passerelle Cloud NAT unique fournit une NAT aux adresses IP internes principales et à toutes les plages d'adresses IP d'alias des VM éligibles dont les interfaces réseau utilisent un sous-réseau d'une liste de sous-réseaux spécifiés.

Bande passante

L'utilisation d'une passerelle Cloud NAT pour le NAT privé ne modifie pas la quantité de bande passante sortante ou entrante qu'une VM peut utiliser. Pour connaître les spécifications de bande passante, qui varient en fonction du type de machine, consultez la section Bande passante réseau de la documentation Compute Engine.

VM dotées de plusieurs interfaces réseau

Si vous configurez une VM avec plusieurs interfaces réseau, chaque interface doit se trouver dans un réseau VPC distinct. Par conséquent, une passerelle Cloud NAT pour la NAT privée ne peut s'appliquer qu'à une seule interface réseau d'une VM. Des passerelles Cloud NAT distinctes pour la NAT privée peuvent fournir une NAT à la même VM, où chaque passerelle s'applique à une interface distincte.

Adresses IP NAT et ports

Lorsque vous créez une passerelle NAT privée, vous devez spécifier un sous-réseau de type PRIVATE_NAT à partir duquel les adresses IP NAT sont attribuées aux VM. Pour en savoir plus sur l'attribution d'adresses IP NAT privées, consultez Adresses IP NAT privées.

Vous pouvez configurer le nombre de ports sources que chaque passerelle Cloud NAT pour la NAT privée réserve sur chaque VM à laquelle elle doit fournir des services NAT. Vous pouvez configurer l'allocation de ports statique, où le même nombre de ports est réservé pour chaque VM, ou l'allocation de ports dynamique, où le nombre de ports réservés peut varier entre les limites minimale et maximale que vous spécifiez.

Les VM pour lesquelles la NAT doit être fournie sont déterminées par les plages d'adresses IP de sous-réseau que la passerelle est configurée pour diffuser.

Pour en savoir plus sur les ports, consultez Ports.

Documents RFC applicables

Le NAT privé est un NAT en cône à restriction de port, tel que défini dans la RFC 3489.

Expiration de la NAT

Private NAT définit des délais d'expiration pour les connexions de protocole. Pour en savoir plus sur ces délais avant expiration et leurs valeurs par défaut, consultez Délais avant expiration NAT.

Étapes suivantes

Configurez le NAT privé.
En savoir plus sur les interactions entre les produits Cloud NAT
Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
Apprenez-en plus sur les règles Cloud NAT.
Résolvez les problèmes courants.