Private NAT

Private NAT を使用すると、ネットワーク間で Private-to-Private へのアドレス変換が可能になります。

  • Network Connectivity Center スポークの Private NAT を使用すると、Network Connectivity Center ハブに接続されている Virtual Private Cloud(VPC)ネットワークの Private-to-Private のネットワーク アドレス変換(NAT)が有効になります。これには、VPC スポーク間、VPC スポークとハイブリッド スポーク間のトラフィックに対する Private-to-Private NAT が含まれます。
  • ハイブリッド NAT を使用すると、Cloud Interconnect または Cloud VPN を介して Google Cloud に接続されている VPC ネットワークとオンプレミスまたは他のクラウド プロバイダ ネットワークの間で Private-to-Private NAT が有効になります。

仕様

以降のセクションでは、Private NAT の仕様について説明します。これらの仕様は、Network Connectivity Center スポークの Private NAT とハイブリッド NAT の両方に適用されます。

全般的な仕様

  • Private NAT により、アウトバウンド接続とそれに対するインバウンド レスポンスを可能にしています。Private NAT の各 Cloud NAT ゲートウェイは、外向きに送信元 NAT を実行し、確立済みのレスポンス パケットに宛先 NAT を実行します。

  • Private NAT は自動モードの VPC ネットワークをサポートしていません。

  • Private NAT では、接続されたネットワークからの未承諾のインバウンド リクエストは、ファイアウォール ルールで許可されている場合でも許可されません。詳細については、該当する RFC をご覧ください。

  • Private NAT の各 Cloud NAT ゲートウェイは、1 つの VPC ネットワーク、リージョン、Cloud Router に関連付けられます。Cloud NAT ゲートウェイと Cloud Router は、データプレーンに関与していないコントロール プレーンを提供するため、パケットは Cloud NAT ゲートウェイまたは Cloud Router を通過しません。

  • Private NAT は、エンドポイントに依存しないマッピングをサポートしていません。
  • Private NAT を使用して、特定のサブネットの特定のプライマリ IP アドレス範囲やセカンダリ IP アドレス範囲を変換することはできませんPrivate NAT ゲートウェイは、特定のサブネットまたはサブネットのリストのすべての IPv4 アドレス範囲に対して NAT を実行します。
  • サブネットを作成した後、Private NAT サブネットのサイズを増減することはできません。ただし、指定したゲートウェイに複数の Private NAT サブネット範囲を指定できます。
  • Private NAT では、エンドポイントごとに最大 64,000 件の同時接続をサポートします。
  • Private NAT では、TCP 接続と UDP 接続のみをサポートします。
  • VPC ネットワーク内にある仮想マシン(VM)インスタンスは、接続されたネットワーク内の(重複するのではなく)重複しないサブネットワーク内の宛先にのみアクセスできます。

ルートとファイアウォール ルール

Private NAT は次のルートを使用します。

  • Network Connectivity Center スポークの場合、Private NAT はサブネット ルートと動的ルートを使用します。
    • VPC スポークのみを含む Network Connectivity Center ハブに接続された 2 つの VPC スポーク間のトラフィックに対して、Private NAT は、接続された VPC スポークによって交換されるサブネット ルートを使用します。VPC スポークの詳細については、VPC スポークの概要をご覧ください。
    • Network Connectivity Center ハブに VPC スポークとハイブリッド スポーク(Cloud Interconnect、Cloud VPN トンネル、ルーター アプライアンス VM の VLAN アタッチメントなど)の両方が含まれている場合、Private NAT は BGP を介したハイブリッド スポークと、接続された VPC スポークによって交換されるサブネット ルートから学習した動的ルートを使用します。ハイブリッド スポークの詳細については、ハイブリッド スポークをご覧ください。
  • ハイブリッド NAT の場合、Private NAT は Cloud Interconnect または Cloud VPN 上で Cloud Router によって学習された動的ルートを使用します。

Private NAT には Cloud NGFW ルールの要件はありません。ファイアウォール ルールは、Private NAT の Cloud NAT ゲートウェイではなく、Compute Engine VM のネットワーク インターフェースに直接適用されます。

NAT IP アドレスとの間の接続を許可する特別なファイアウォール ルールを作成する必要はありません。Private NAT の Cloud NAT ゲートウェイが VM のネットワーク インターフェースに NAT を提供する場合、NAT の前に、ネットワーク インターフェースのパケットに対して該当する外向きファイアウォール ルールが評価されます。また、NAT によって処理された後に、内向きファイアウォール ルールが評価されます。

サブネット IP アドレス範囲の適用範囲

Private NAT の Cloud NAT ゲートウェイを構成して、次のものに対して NAT を提供できます。

  • リージョン内のすべてのサブネットのプライマリおよびセカンダリ IP アドレス範囲。ネットワーク インターフェースがリージョンのサブネットを使用している対象 VM のプライマリ内部 IP アドレスとすべてのエイリアス IP 範囲に対して、単一の Private NAT ゲートウェイが NAT を実施します。このオプションは、リージョンごとに、正確に 1 つの NAT ゲートウェイを使用します。

  • カスタム サブネット リスト。ネットワーク インターフェースが指定の IPv4 サブネットのリストからサブネットを使用する対象 VM のプライマリ内部 IP アドレスとすべてのエイリアス IP 範囲に対して、単一の Cloud NAT ゲートウェイが NAT を提供します。

帯域幅

Private NAT に Cloud NAT ゲートウェイを使用しても、VM が使用できるアウトバウンドまたはインバウンドの帯域幅の総量は変わりません。帯域幅の仕様はマシンタイプによって異なります。詳しくは、Compute Engine のドキュメントでのネットワーク帯域幅をご覧ください。

複数のネットワーク インターフェースを持つ VM

VM に複数のネットワーク インターフェースを持つように構成する場合、各インターフェースは別々の VPC ネットワークに属している必要があります。そのため、Private NAT の Cloud NAT ゲートウェイは、VM の 1 つのネットワーク インターフェースにのみ適用できます。Private NAT の個別の Cloud NAT ゲートウェイは、同じ VM に NAT を提供できます。この場合、各ゲートウェイが個々の別個のインターフェースに適用されます。

NAT IP アドレスとポート

Private NAT ゲートウェイを作成する際には、VM に NAT IP アドレスを割り当てる目的 PRIVATE_NAT のサブネットを指定する必要があります。Private NAT IP アドレスの割り当ての詳細については、Private NAT IP アドレスをご覧ください。

Private NAT の各 Cloud NAT ゲートウェイが NAT サービスの提供先となる各 VM で予約する送信元ポートの数を構成できます。静的ポートの割り当てを構成できます。この場合、各 VM に同じ数のポートが予約されます。あるいは、動的ポートの割り当てを構成できます。この場合、予約済みポートの数は、指定した上限と下限の間で変更できます。

NAT を実施する VM は、ゲートウェイが提供するように構成されているサブネット IP アドレス範囲によって決まります。

ポートの詳細については、ポートをご覧ください。

適用される RFC

Cloud NAT は、RFC 3489 で定義されているポート制限付き Cone NAT です。

NAT タイムアウト

Private NAT は、プロトコル接続のタイムアウトを設定します。これらのタイムアウトとそのデフォルト値については、NAT タイムアウトをご覧ください。

次のステップ