专用 NAT

Private NAT 支持在以下网络之间进行专用到专用地址转换：

• 用于 Network Connectivity Center spoke 的 Private NAT 支持对连接到 Network Connectivity Center hub 的虚拟私有云 (VPC) 网络进行专用到专用网络地址转换 (NAT)，其中包括 VPC spoke 之间以及 VPC spoke 和混合 spoke 之间的流量的专用到专用 NAT。
• Hybrid NAT 支持在 VPC 网络与通过 Cloud Interconnect 或 Cloud VPN 连接到 Google Cloud 的本地网络或其他云提供商网络之间进行专用到专用 NAT。

规格

以下部分介绍了 Private NAT 的规范。这些规范适用于 Network Connectivity Center spoke 的 Private NAT 和 Hybrid NAT。

一般规范

• Private NAT 允许出站连接和对这些连接的入站响应。每个用于 Private NAT 的 Cloud NAT 网关都会对已建立的响应数据包执行出站流量 NAT 和目标 NAT。

• Private NAT 不支持自动模式 VPC 网络。

• Private NAT 不允许来自已连接网络的未经请求的入站请求，即使防火墙规则允许这些请求。如需了解详情，请参阅适用的 RFC。

• 每个用于 Private NAT 的 Cloud NAT 网关都与单个 VPC 网络、区域和 Cloud Router 关联。Cloud NAT 网关和 Cloud Router 提供了一个控制平面（数据平面中并未涉及这两项服务），因此数据包不会通过 Cloud NAT 网关或 Cloud Router。

  即使用于 Private NAT 的 Cloud NAT 网关由 Cloud Router 管理，Private NAT 也不使用或依赖于边界网关协议。

• Private NAT 不支持端点独立映射。
• 您无法使用 Private NAT 转换给定子网的特定主要或次要 IP 地址范围。Private NAT 网关会对给定子网或子网列表的所有 IPv4 地址范围执行 NAT。
• 创建子网后，您无法增加或减少 Private NAT 子网的大小。不过，您可以为给定网关指定多个 Private NAT 子网范围。
• Private NAT 最多支持每个端点 64,000 个并发连接。
• Private NAT 仅支持 TCP 和 UDP。不支持 ICMP 和其他协议。
• VPC 网络中的虚拟机 (VM) 实例只能访问已连接网络中非重叠子网（而不是重叠子网）中的目标。

路由和防火墙规则

Private NAT 使用以下路由：

• 对于 Network Connectivity Center spoke，Private NAT 使用子网路由和动态路由：
  • 对于连接到仅包含 VPC spoke 的 Network Connectivity Center hub 的两个 VPC spoke 之间的流量，Private NAT 会使用已连接 VPC spoke 交换的子网路由。如需了解 VPC spoke，请参阅 VPC spoke 概览。
  • 如果 Network Connectivity Center hub 同时包含 VPC spoke 和混合 spoke（例如 Cloud Interconnect、Cloud VPN 隧道或路由器设备虚拟机的 VLAN 连接），则 Private NAT 会使用混合 spoke 通过 BGP 学习到的动态路由，以及已连接 VPC spoke 交换的子网路由。如需了解混合 spoke，请参阅混合 spoke。
• 对于 Hybrid NAT，Private NAT 使用 Cloud Router 通过 Cloud Interconnect 或 Cloud VPN 学习的动态路由。

Cloud NGFW 防火墙规则直接应用于 Compute Engine 虚拟机的网络接口，而非用于 Private NAT 的 Cloud NAT 网关。

当用于 Private NAT 的 Cloud NAT 网关为虚拟机的网络接口提供 NAT 时，适用的出站防火墙规则将在 NAT 之前被评估为网络接口的数据包。入站防火墙规则将在 NAT 处理完数据包后进行评估。 您无需专门为 NAT 创建任何防火墙规则。

子网 IP 地址范围适用性

您可以配置 Private NAT 的 Cloud NAT 网关，以便为以下各项提供 NAT：

• 相应地区中所有子网的主要和次要 IP 地址范围。单个 Private NAT 网关为符合条件的虚拟机的主要内部 IP 地址和所有别名 IP 范围提供 NAT，其中这些虚拟机的网络接口使用该区域中的子网。此选项仅对每个区域使用一个 NAT 网关。

• 自定义子网列表：单个 Cloud NAT 网关为符合条件的虚拟机的主要内部 IP 地址和所有别名 IP 范围提供 NAT，其中这些虚拟机的网络接口使用指定子网列表中的子网。

带宽

使用用于 Private NAT 的 Cloud NAT 网关不会更改虚拟机可使用的出站或入站带宽量。如需了解带宽规范（因机器类型而异），请参阅 Compute Engine 文档中的网络带宽。

包含多个网络接口的虚拟机

如果您配置的虚拟机具有多个网络接口，则每个接口必须位于单独的 VPC 网络中。 因此，用于 Private NAT 的 Cloud NAT 网关只能应用于虚拟机的单个网络接口。单独的用于 Private NAT 的 Cloud NAT 网关可以为同一虚拟机提供 NAT，在这种情况下，每个网关都会应用于单独的接口。

NAT IP 地址和端口

创建Private NAT 网关时，您必须指定用途为 PRIVATE_NAT 的子网，为虚拟机分配 NAT IP 地址。如需详细了解 Private NAT IP 地址分配，请参阅 Private NAT IP 地址。

您可以配置每个用于 Private NAT 的 Cloud NAT 网关在要为其提供 NAT 服务的每个虚拟机上预留的来源端口数量。您可以配置静态端口分配（其中，为每个虚拟机预留相同数量的端口），或动态端口分配（其中，预留端口的数量可以在您指定的下限和上限之间变化）。

应为其提供 NAT 的虚拟机由您配置该网关以提供服务的子网 IP 地址范围决定。

如需详细了解端口，请参阅端口。

适用的 RFC

Private NAT 是 RFC 3489 中定义的端口受限锥 NAT。

NAT 超时

Private NAT 会为协议连接设置超时。如需了解这些超时及其默认值，请参阅 NAT 超时。

后续步骤

• 设置 Private NAT。
• 了解 Cloud NAT 产品交互。
• 了解 Cloud NAT 地址和端口。
• 了解 Cloud NAT 规则。
• 排查常见问题。