专用 NAT
Private NAT 支持在网络之间进行专用到专用地址转换:
- 用于 Network Connectivity Center spoke 的 Private NAT 支持对连接到 Network Connectivity Center hub 的虚拟私有云 (VPC) 网络进行专用到专用网络地址转换 (NAT),其中包括 VPC spoke 之间以及 VPC spoke 和混合 spoke 之间的流量的专用到专用 NAT。
- Hybrid NAT 支持在 VPC 网络与通过 Cloud Interconnect 或 Cloud VPN 连接到 Google Cloud 的本地网络或其他云提供商网络之间进行专用到专用 NAT。
规格
以下部分介绍了 Private NAT 的规范。这些规范适用于用于 Network Connectivity Center spoke 的 Private NAT 和 Hybrid NAT。
一般规范
-
Private NAT 允许出站连接和对这些连接的入站响应。每个用于 Private NAT 的 Cloud NAT 网关都会对已建立的响应数据包执行出站来源 NAT 和目标 NAT。
- Private NAT 不支持自动模式 VPC 网络。
-
Private NAT 不允许来自已连接网络的未经请求的入站请求,即使防火墙规则允许这些请求。如需了解详情,请参阅适用的 RFC。
-
每个用于 Private NAT 的 Cloud NAT 网关都与单个 VPC 网络、区域和 Cloud Router 关联。Cloud NAT 网关和 Cloud Router 提供了一个控制平面(数据平面中并未涉及这两项服务),因此数据包不会通过 Cloud NAT 网关或 Cloud Router。
- Private NAT 不支持端点独立映射。
- 您无法使用 Private NAT 转换给定子网的特定主要或次要 IP 地址范围。Private NAT 网关会对给定子网或子网列表的所有 IPv4 地址范围执行 NAT。
- 创建子网后,您无法增加或减少 Private NAT 子网的大小。不过,您可以为给定网关指定多个 Private NAT 子网范围。
- Private NAT 最多支持每个端点 64,000 个并发连接。
- Private NAT 仅支持 TCP 和 UDP 连接。
- VPC 网络中的虚拟机 (VM) 实例只能访问已连接网络中非重叠子网(而不是重叠子网)中的目标。
路由和防火墙规则
Private NAT 使用以下路由:
- 对于 Network Connectivity Center spoke,Private NAT 使用子网路由和动态路由:
- 对于连接到仅包含 VPC spoke 的 Network Connectivity Center hub 的两个 VPC spoke 之间的流量,Private NAT 会使用已连接 VPC spoke 交换的子网路由。如需了解 VPC spoke,请参阅 VPC spoke 概览。
- 如果 Network Connectivity Center hub 同时包含 VPC spoke 和混合 spoke(例如 Cloud Interconnect、Cloud VPN 隧道或路由器设备虚拟机的 VLAN 连接),则 Private NAT 会使用混合 spoke 通过 BGP 学习到的动态路由,以及已连接 VPC spoke 交换的子网路由。如需了解混合 spoke,请参阅混合 spoke。
- 对于 Hybrid NAT,Private NAT 使用 Cloud Router 通过 Cloud Interconnect 或 Cloud VPN 学习的动态路由。
Private NAT 没有任何 Cloud NGFW 规则要求。防火墙规则直接应用于 Compute Engine 虚拟机的网络接口,而非用于 Private NAT 的 Cloud NAT 网关。
您无需创建任何特殊防火墙规则来允许连接到或从 NAT IP 地址连接。当用于 Private NAT 的 Cloud NAT 网关为虚拟机的网络接口提供 NAT 时,适用的出站防火墙规则将在 NAT 之前被评估为网络接口的数据包。入站防火墙规则将在 NAT 处理完数据包后进行评估。
子网 IP 地址范围适用性
您可以为 Private NAT 配置 Cloud NAT 网关,以便为以下各项提供 NAT:
- 相应地区中所有子网的主要和次要 IP 地址范围。单个 Private NAT 网关为符合条件的虚拟机的主要内部 IP 地址和所有别名 IP 范围提供 NAT,其中这些虚拟机的网络接口使用该区域中的子网。此选项仅对每个区域使用一个 NAT 网关。
-
自定义子网列表。单个 Cloud NAT 网关为符合条件的虚拟机的主要内部 IP 地址和所有别名 IP 范围提供 NAT,其中这些虚拟机的网络接口使用指定子网列表中的 IPv4 子网。
带宽
使用用于 Private NAT 的 Cloud NAT 网关不会更改虚拟机可使用的出站或入站带宽量。如需了解带宽规范(因机器类型而异),请参阅 Compute Engine 文档中的网络带宽。
包含多个网络接口的虚拟机
如果您配置的虚拟机具有多个网络接口,则每个接口必须位于单独的 VPC 网络中。 因此,用于 Private NAT 的 Cloud NAT 网关只能应用于虚拟机的单个网络接口。单独的用于 Private NAT 的 Cloud NAT 网关可以为同一虚拟机提供 NAT,在这种情况下,每个网关都会应用于单独的接口。
NAT IP 地址和端口
创建Private NAT 网关时,您必须指定用途为 PRIVATE_NAT 的子网,为虚拟机分配 NAT IP 地址。如需详细了解 Private NAT IP 地址分配,请参阅 Private NAT IP 地址。
您可以配置每个用于 Private NAT 的 Cloud NAT 网关在要为其提供 NAT 服务的每个虚拟机上预留的来源端口数量。您可以配置静态端口分配(其中,为每个虚拟机预留相同数量的端口),或动态端口分配(其中,预留端口的数量可以在您指定的下限和上限之间变化)。
应为其提供 NAT 的虚拟机由您配置该网关以提供服务的子网 IP 地址范围决定。
如需详细了解端口,请参阅端口。
适用的 RFC
Private NAT 是 RFC 3489 中定义的端口受限锥 NAT。
NAT 超时
Private NAT 会为协议连接设置超时。如需了解这些超时及其默认值,请参阅 NAT 超时。
后续步骤
- 设置 Private NAT。
- 了解 Cloud NAT 产品交互。
- 了解 Cloud NAT 地址和端口。
- 了解 Cloud NAT 规则。
- 排查常见问题。