专用 NAT
Private NAT 支持在网络之间进行专用到专用地址转换:
- 用于 Network Connectivity Center spoke 的 Private NAT 可为连接到 Network Connectivity Center 中心的 Virtual Private Cloud (VPC) 网络启用私有到私有的网络地址转换 (NAT),包括 VPC spoke 和 VPC spoke 与混合 spoke 之间的流量的私有到私有的 NAT。
- Hybrid NAT 可在 VPC 网络与通过 Cloud Interconnect 或 Cloud VPN 连接到 Google Cloud 的本地网络或其他云服务商网络之间实现从专用到专用的 NAT。
规格
以下部分介绍了 Private NAT 的规范。这些规范适用于适用于 Network Connectivity Center spoke 的 Private NAT 和 Hybrid NAT。
一般规范
-
Private NAT 允许出站连接和对这些连接的入站响应。每个 Private NAT 网关都会对已建立的响应数据包执行出站来源和目标 NAT。
- 专用 NAT 不支持自动模式 VPC 网络。
-
Private NAT 不允许来自已连接网络的未经请求的入站请求,即使防火墙规则允许这些请求。如需了解详情,请参阅适用的 RFC。
-
每个 Private NAT 网关都与一个 VPC 网络、区域和 Cloud Router 路由器相关联。Private NAT 网关和 Cloud Router 路由器提供了一个控制平面 - 数据平面中并未涉及这两项服务,因此数据包不会通过 Private NAT 网关或 Cloud Router 路由器。
- 专用 NAT 不支持端点独立映射。
- 您无法使用专用 NAT 转换给定子网的特定主 IP 地址范围或辅助 IP 地址范围。Private NAT 网关会对给定子网或子网列表的所有 IPv4 地址范围执行 NAT。
- 创建子网后,您无法增加或缩减专用 NAT 子网的大小。不过,您可以为给定网关指定多个 Private NAT 子网范围。
- 专用 NAT 最多支持每个端点 64,000 个同时连接。
- 专用 NAT 仅支持 TCP 和 UDP 连接。
- VPC 网络中的虚拟机 (VM) 实例只能访问已连接网络中不重叠(而非重叠)子网中的目的地。
路由和防火墙规则
专用 NAT 使用以下路由:
- 对于 Network Connectivity Center spoke,Private NAT 使用子网路由和动态路由:
- 对于连接到仅包含 VPC spoke 的 Network Connectivity Center hub 的两个 VPC spoke 之间的流量,Private NAT 会使用所连接 VPC spoke 交换的子网路由。如需了解 VPC spoke,请参阅 VPC spoke 概览。
- 如果 Network Connectivity Center hub 同时包含 VPC spoke 和混合 spoke(例如 Cloud Interconnect 的 VLAN 连接、Cloud VPN 隧道或路由器设备虚拟机),则专用 NAT 会使用混合 spoke 通过 BGP 学习到的动态路由,以及所连接 VPC spoke 交换的子网路由。如需了解混合 spoke,请参阅混合 spoke。
- 对于混合 NAT,专用 NAT 使用 Cloud Router 通过 Cloud Interconnect 或 Cloud VPN 学习到的动态路由。
Private NAT 没有任何 Cloud NGFW 规则要求。防火墙规则直接应用于 Compute Engine 虚拟机的网络接口,而非 Private NAT 网关。
您无需创建任何特殊防火墙规则来允许连接到或从 NAT IP 地址连接。当 Private NAT 网关为虚拟机的网络接口提供 NAT 时,适用的出站防火墙规则将在 NAT 之前被评估为网络接口的数据包。入站防火墙规则将在 NAT 处理完数据包后进行评估。
子网 IP 地址范围适用性
您可配置 Private NAT 网关来为以下各项提供 NAT:
- 相应地区中所有子网的主要和次要 IP 地址范围。单个 Private NAT 网关为符合条件的虚拟机的主要内部 IP 地址和所有别名 IP 范围提供 NAT,其中这些虚拟机的网络接口使用该区域中的子网。此选项仅对每个区域使用一个 NAT 网关。
-
自定义子网列表。单个 Private NAT 网关为符合条件的虚拟机的主要内部 IP 地址和所有别名 IP 范围提供 NAT,其中这些虚拟机的网络接口使用指定子网列表中的子网。
带宽
使用 Private NAT 网关不会更改虚拟机可使用的出站或入站带宽量。如需了解带宽规范(因机器类型而异),请参阅 Compute Engine 文档中的网络带宽。
包含多个网络接口的虚拟机
如果您配置的虚拟机包含多个网络接口,则每个接口必须位于单独的 VPC 网络中。因此,Private NAT 网关只能应用于虚拟机的单个网络接口。单独的 Private NAT 网关可以为同一虚拟机提供 NAT,在这种情况下,每个网关都会应用于单独的接口。
NAT IP 地址和端口
创建Private NAT 网关时,您必须指定用途为 PRIVATE_NAT
的子网,为虚拟机分配 NAT IP 地址。如需详细了解 Private NAT IP 地址分配,请参阅 Private NAT IP 地址。
您可以配置每个 Private NAT 网关在要提供 NAT 服务的每个虚拟机上预留的源端口数量。您可以配置静态端口分配(其中,为每个虚拟机预留相同数量的端口),或动态端口分配(其中,预留端口的数量可以在您指定的下限和上限之间变化)。
应为其提供 NAT 的虚拟机由您配置该网关以提供服务的子网 IP 地址范围决定。
如需详细了解端口,请参阅端口。
适用的 RFC
Private NAT 是 RFC 3489 中定义的端口受限锥 NAT。
NAT 超时
Private NAT 会为协议连接设置超时。如需了解这些超时及其默认值,请参阅 NAT 超时。
后续步骤
- 设置 Private NAT。
- 了解 Cloud NAT 产品交互。
- 了解 Cloud NAT 地址和端口。
- 了解 Cloud NAT 规则。
- 排查常见问题。