私人 NAT

Private NAT 可在網路之間進行私人對私人的位址轉譯:

  • Network Connectivity Center 輪輻適用的 Private NAT 可為連線至 Network Connectivity Center 集線器的虛擬私有雲 (VPC) 網路啟用私人對私人網路位址轉譯 (NAT),包括在虛擬私有雲輪輻之間,以及虛擬私有雲輪輻與混合輪輻之間的流量,提供私人對私人 NAT。
  • Hybrid NAT 可在 VPC 網路與透過 Cloud Interconnect 或 Cloud VPN 連線至 Google Cloud 的內部部署或其他雲端服務供應商網路之間,啟用私人對私人 NAT。

規格

以下各節說明 Private NAT 的規格。這些規格適用於 Network Connectivity Center 輪輻的 Private NAT 和 Hybrid NAT。

一般規格

  • Private NAT 可允許傳出連線和傳入回應。每個 Private NAT 的 Cloud NAT 閘道會針對傳出流量執行來源 NAT,針對已建立的回應封包執行目的地 NAT。

  • 私人 NAT 不支援自動模式的虛擬私有雲網路。

  • Private NAT 不會允許來自已連線網路的未經要求傳入要求,即使防火牆規則允許這類要求也不例外。詳情請參閱「適用的 RFC」。

  • 每個 Private NAT 的 Cloud NAT 閘道都會與單一 VPC 網路、區域和 Cloud Router 建立關聯。Cloud NAT 閘道和 Cloud Router 會提供控制層,但不會涉及資料層,因此封包不會經過 Cloud NAT 閘道或 Cloud Router。

    雖然 Private NAT 的 Cloud NAT 閘道由 Cloud Router 管理,但 Private NAT 不會使用或依賴邊界閘道通訊協定。

  • Private NAT 不支援端點獨立對應
  • 您無法使用私人 NAT 轉譯特定子網路的特定主要或次要 IP 位址範圍。Private NAT 閘道會針對特定子網路或子網路清單的所有 IPv4 位址範圍執行 NAT。
  • 建立子網路後,您無法增加或減少私人 NAT 子網路大小。不過,您可以為特定閘道指定多個私人 NAT 子網路範圍。
  • Private NAT 支援每個端點最多 64,000 個同時連線。
  • Private NAT 僅支援 TCP 和 UDP。不支援 ICMP 和其他通訊協定。
  • 虛擬私有雲網路中的虛擬機器 (VM) 執行個體只能存取連線網路中不重疊的子網路 (而非重疊的子網路) 中的目的地。

路徑和防火牆規則

私人 NAT 會使用下列路徑:

  • 對於 Network Connectivity Center 輪輻,Private NAT 會使用子網路路徑和動態路徑:
    • 如果兩個虛擬私有雲輪輻連結至只包含虛擬私有雲輪輻的 Network Connectivity Center 中樞,Private NAT 會使用由連結虛擬私有雲輪輻交換的子網路路徑。如要瞭解 VPC 輻條,請參閱VPC 輻條總覽
    • 如果網路連線中心中樞包含 VPC 輻條和混合式輻條 (例如 Cloud Interconnect 的 VLAN 連結、Cloud VPN 通道或路由器機架虛擬機器 VM),私人 NAT 會使用混合式輻條透過 BGP 學習的動態路徑,以及由已連結 VPC 輻條交換的子網路路徑。如要瞭解混合式輪輻,請參閱「混合式輪輻」。
  • 混合型 NAT 會使用 Cloud Router 透過 Cloud Interconnect 或 Cloud VPN 學習到的動態路徑。

私有 NAT 沒有任何 Cloud NGFW 規則要求。防火牆規則會直接套用至 Compute Engine VM 的網路介面,而非私人 NAT 的 Cloud NAT 閘道。

您不需要建立任何特殊防火牆規則,允許從 NAT IP 位址或到 NAT IP 位址的連線。當私有 NAT 的 Cloud NAT 閘道為 VM 網路介面提供 NAT 時,適用的傳出防火牆規則會在 NAT 之前,以該網路介面的封包形式進行評估。傳入防火牆規則會在封包經過 NAT 處理後進行評估。

子網路 IP 位址範圍適用性

您可以為私人 NAT 設定 Cloud NAT 閘道,為下列項目提供 NAT:

  • 該區域中所有子網路的主要和次要 IP 位址範圍。單一私人 NAT 閘道可為符合條件的 VM 提供網路位址轉譯 (NAT),這些 VM 的網路介面會使用該區域中的子網路。這個選項會在每個區域使用一個 NAT 閘道。

  • 自訂子網路清單:單一 Cloud NAT 閘道可為符合條件的 VM 提供 NAT,這些 VM 的網路介面會使用指定子網路清單中的子網路。

頻寬

使用 Cloud NAT 閘道進行私人 NAT 不會變更 VM 可使用的傳出或傳入頻寬數量。如要瞭解頻寬規格 (視機器類型而異),請參閱 Compute Engine 說明文件中的「網路頻寬」一節。

具有多個網路介面的 VM

如果您設定 VM 具有多個網路介面,則每個介面都必須位於個別的 VPC 網路中。因此,私人 NAT 的 Cloud NAT 閘道只能套用至 VM 的單一網路介面。私人 NAT 的個別 Cloud NAT 閘道可為同一個 VM 提供 NAT,其中每個閘道都會套用至個別介面。

NAT IP 位址和通訊埠

建立私人 NAT 閘道時,您必須指定用途 PRIVATE_NAT 的子網路,以便為 VM 指派 NAT IP 位址。如要進一步瞭解私人 NAT IP 位址指派作業,請參閱「私人 NAT IP 位址」。

您可以設定每個 Cloud NAT 閘道為私人 NAT 保留的來源通訊埠數量,以便在每個 VM 上提供 NAT 服務。您可以設定靜態通訊埠分配,為每個 VM 保留相同數量的通訊埠,或是設定動態通訊埠分配,讓保留的通訊埠數量介於您指定的最低和最高限制之間。

要提供 NAT 的 VM 取決於閘道設定的子網路 IP 位址範圍

如要進一步瞭解通訊埠,請參閱「通訊埠」。

適用的 RFC

私人 NAT 是 RFC 3489 中定義的 Port Restricted Cone NAT。

NAT 逾時

Private NAT 會設定通訊協定連線的逾時時間。如要瞭解這些逾時時間和預設值,請參閱「NAT 逾時時間」。

後續步驟