Network Address Translation mit Private NAT einrichten und verwalten
Auf dieser Seite wird beschrieben, wie Sie die private Netzwerkadressübersetzung (NAT) in Cloud NAT konfigurieren.
Hinweise
Führen Sie die folgenden Aufgaben aus, bevor Sie Private NAT einrichten.
Private NAT-Spezifikationen prüfen
Beachten Sie die folgenden Spezifikationen und Anforderungen:
- Allgemeine Spezifikationen finden Sie unter Private NAT.
- Informationen zum Traffic zwischen Spokes eines Network Connectivity Center-Hubs, einschließlich VPC-Spokes und Hybrid-Spokes, finden Sie unter Privates NAT für Network Connectivity Center-Spokes.
- Informationen zum Traffic zwischen VPC-Netzwerken (Virtual Private Cloud) und Nicht-Google Cloud -Netzwerken über Cloud Interconnect oder Cloud VPN finden Sie unter Hybrid-NAT.
IAM-Berechtigungen abrufen
Die Compute Network Admin-Rolle (roles/compute.networkAdmin
) berechtigt Sie, ein NAT-Gateway in Cloud Router zu erstellen, NAT-IP-Adressen zu reservieren und zuzuweisen sowie Subnetzwerke (Subnetze) anzugeben, deren Traffic eine Netzwerkadressübersetzung vom NAT-Gateway verwenden sollte.
Google Cloudeinrichten
Zuvor sollten Sie jedoch die folgenden Elemente in Google Cloudeinrichten.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Sie können eine Projekt-ID mit dem folgenden Befehl festlegen:
gcloud config set project PROJECT_ID
Sie können auch eine Projekt-ID anzeigen lassen, die bereits festgelegt ist:
gcloud config list --format='text(core.project)'
Rufen Sie in der Google Cloud -Console die Seite VPC-Netzwerke auf.
Klicken Sie auf den Namen eines VPC-Netzwerks, um die Seite „VPC-Netzwerkdetails“ aufzurufen.
Klicken Sie auf den Tab Subnetze.
Klicken Sie auf Subnetz hinzufügen. Führen Sie im Dialogfeld Subnetz hinzufügen die folgenden Schritte aus:
- Geben Sie einen Namen für das Subnetz an.
- Wählen Sie eine Region aus.
- Wählen Sie als Zweck die Option Privates NAT aus.
Geben Sie einen IP-Adressbereich ein, der den primären IPv4-Bereich für das Subnetz darstellt.
Wenn Sie einen Bereich auswählen, der keine RFC 1918-Adresse ist, prüfen Sie, ob der Bereich mit einer vorhandenen Konfiguration in Konflikt steht. Weitere Informationen zu gültigen IPv4-Subnetzbereichen finden Sie unter IPv4-Subnetzbereiche.
Klicken Sie auf Hinzufügen.
NAT_SUBNET
: Der Name des zu erstellenden privaten NAT-Subnetzbereichs.NETWORK
: das Netzwerk, zu dem das Subnetzwerk gehört.REGION
: die Region des zu erstellenden Subnetzwerks. Wenn keine Angabe erfolgt, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).IP_RANGE
: Der diesem Subnetz zugewiesene IP-Bereich im CIDR-Format. Achten Sie darauf, dass IP_RANGE die doppelte Anzahl der Ports berücksichtigt, die pro VM erforderlich sind.Private NAT für Network Connectivity Center-Spokes Aktiviert NAT für den Traffic zwischen den folgenden Elementen:
- Ein Quell-VPC-Netzwerk und ein Ziel-VPC-Netzwerk im selben Network Connectivity Center-Hub. Beide Netzwerke müssen als VPC-Spokes konfiguriert sein.
- Ein Quell-VPC-Netzwerk, das als VPC-Spoke in einem Network Connectivity Center-Hub konfiguriert ist, und ein Zielnetzwerk eines lokalen oder anderen Cloud-Anbieters, das über einen Hybrid-Spoke mit dem Hub verbunden ist.
Wenn Sie weitergeleitete Private Service Connect-Verbindungen im selben VPC-Spoke wie Private NAT verwenden möchten, lesen Sie Interaktionen mit weitergeleiteten Private Service Connect-Verbindungen, bevor Sie Private NAT konfigurieren.
Hybrid-NAT: Ermöglicht NAT für Traffic zwischen einem Quell-VPC-Netzwerk und einem Zielnetzwerk, das lokal oder bei einem anderen Cloud-Anbieter gehostet wird. Die Netzwerke müssen über Cloud Interconnect oder Cloud VPN verbunden sein.
Rufen Sie in der Google Cloud -Console die Seite Cloud NAT auf.
Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.
Geben Sie einen Namen für das Gateway ein.
Wählen Sie als NAT-Typ Privat aus.
Wählen Sie ein VPC-Netzwerk für das NAT-Gateway aus.
Wählen Sie die Region für das NAT-Gateway aus.
Wählen Sie einen Cloud Router in der Region aus oder erstellen Sie einen.
Achten Sie darauf, dass VM-Instanzen als Quellendpunkttyp ausgewählt ist.
Wählen Sie in der Liste Quelle die Option Benutzerdefiniert aus.
Wählen Sie ein Subnetz aus, für das Sie NAT ausführen möchten.
Wenn Sie weitere Bereiche angeben möchten, klicken Sie auf Subnetz und IP-Bereich hinzufügen.
Klicken Sie auf Regel hinzufügen.
Geben Sie im Feld Regelnummer einen beliebigen Wert zwischen
0
und65000
ein.Wählen Sie für Abgleich eine der folgenden Optionen aus:
- Wenn Sie Hybrid-NAT aktivieren möchten, wählen Sie Hybridkonnektivitätsrouten aus.
- Wenn Sie Private NAT für Network Connectivity Center-Spokes aktivieren möchten, wählen Sie Network Connectivity Center-Hub aus.
- Wenn Sie beide Optionen aktivieren möchten, wählen Sie Hybridkonnektivitätsrouten und Network Connectivity Center-Hub aus.
Wählen Sie einen privaten NAT-Subnetzbereich aus oder erstellen Sie einen.
Klicken Sie auf Fertig.
Optional: Passen Sie die folgenden Einstellungen im Abschnitt Erweiterte Konfigurationen an:
- Ob das Logging konfiguriert werden soll. Standardmäßig ist Kein Logging ausgewählt.
- Ob die Portzuweisung in Cloud NAT geändert werden soll. Standardmäßig ist Dynamische Portzuweisung aktivieren ausgewählt. Wenn Sie die statische Portzuweisung konfigurieren möchten, deaktivieren Sie Dynamische Portzuweisung aktivieren und geben Sie die Mindestanzahl an Ports pro VM-Instanz an. Der Standardwert ist
64
. - Gibt an, ob NAT-Zeitlimits für Protokollverbindungen aktualisiert werden sollen. Weitere Informationen zu diesen Zeitlimits und ihren Standardwerten finden Sie unter NAT-Zeitlimits.
Klicken Sie auf Erstellen.
Erstellen Sie einen Cloud Router im VPC-Netzwerk, für das Sie NAT konfigurieren möchten.
Führen Sie den Befehl
gcloud compute routers create
aus.gcloud compute routers create ROUTER_NAME \ --network=NETWORK --region=REGION
Ersetzen Sie Folgendes:
ROUTER_NAME
: Ein Name für den Cloud Router.NETWORK
: Das VPC-Netzwerk, in dem der Cloud Router erstellt werden soll.REGION
: Die Region, in der der Cloud Router erstellt werden soll.
Erstellen Sie ein privates NAT-Gateway und geben Sie ein oder mehrere Subnetze des Quell-VPC-Netzwerk an, für die Sie NAT konfigurieren möchten.
Verwenden Sie den Befehl
gcloud compute routers nats create
, wobei das Flag--type
aufPRIVATE
gesetzt ist.gcloud compute routers nats create NAT_CONFIG \ --router=ROUTER_NAME --type=PRIVATE --region=REGION \ --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] | \ [--nat-all-subnet-ip-ranges]
Ersetzen Sie Folgendes:
NAT_CONFIG
: Ein Name für die Private NAT-Konfiguration, die Sie erstellen.ROUTER_NAME
: Der Name des Cloud Router, der mit diesem Gateway verwendet werden soll. Dies ist der Cloud Router, den Sie im vorherigen Schritt erstellt haben. Er darf nicht von anderen Ressourcen verwendet werden.SUBNETWORK
: Der Name des Subnetzes oder der Liste von Subnetzen, für die Sie NAT verwenden möchten.Sie können auch eine Liste von Subnetzen in einem durch Kommas getrennten Format angeben, z. B.
SUBNETWORK_1
,SUBNETWORK_2
. Bei privatem NAT wird immer NAT für alle Subnetz-IP-Bereiche für das angegebene Subnetz oder die angegebene Liste von Subnetzen ausgeführt.
Standardmäßig wird bei Private NAT die dynamische Portzuweisung verwendet. Wenn Sie ein privates NAT-Gateway mit statischer Portzuweisung erstellen möchten, führen Sie den vorherigen Befehl mit dem Flag
--no-enable-dynamic-port-allocation
aus:gcloud compute routers nats create NAT_CONFIG \ --router=ROUTER_NAME --type=PRIVATE --region=REGION \ --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] | \ [--nat-all-subnet-ip-ranges] --no-enable-dynamic-port-allocation \ [--min-ports-per-vm=VALUE]
Ersetzen Sie
VALUE
durch die Mindestanzahl an Ports, die pro VM zugewiesen werden sollen. Wenn keine Angabe erfolgt, wird mitGoogle Cloud der Standardwert64
zugewiesen.Erstellen Sie eine NAT-Regel, um Traffic basierend auf dem Typ der NAT-Konfiguration abzugleichen.
Verwenden Sie den Befehl
gcloud compute routers nats rules create
, wobei das Flag--match
auf eine der folgenden Optionen gesetzt ist:nexthop.is_hybrid
: übersetzt ausgehenden Traffic aus dem Quell-VPC-Netzwerk in ein lokales Netzwerk oder ein Netzwerk eines anderen Cloud-Anbieters, das über Cloud Interconnect oder Cloud VPN mit Google Cloud verbunden ist.nexthop.hub
: Übersetzt ausgehenden Traffic vom Quell-VPC-Spoke zu einem der VPC- oder Hybrid-Spokes, die an denselben Network Connectivity Center-Hub wie der Quell-VPC-Spoke angehängt sind.nexthop.is_hybrid || nexthop.hub
: Konfiguriert beide Arten von Private NAT.
Führen Sie den folgenden Befehl aus, um eine NAT-Regel für Hybrid-NAT zu erstellen:
gcloud compute routers nats rules create NAT_RULE_NUMBER \ --router=ROUTER_NAME --region=REGION \ --nat=NAT_CONFIG \ --match='nexthop.is_hybrid' \ --source-nat-active-ranges=NAT_SUBNET
Führen Sie den folgenden Befehl aus, um eine NAT-Regel für Private NAT für Network Connectivity Center-Spokes zu erstellen:
gcloud compute routers nats rules create NAT_RULE_NUMBER \ --router=ROUTER_NAME --region=REGION \ --nat=NAT_CONFIG \ --match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \ --source-nat-active-ranges=NAT_SUBNET
Führen Sie den folgenden Befehl aus, um eine NAT-Regel für Hybrid-NAT und Private NAT für Network Connectivity Center-Spokes zu erstellen:
gcloud compute routers nats rules create NAT_RULE_NUMBER \ --router=ROUTER_NAME --region=REGION \ --nat=NAT_CONFIG \ --match='nexthop.is_hybrid || nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \ --source-nat-active-ranges=NAT_SUBNET
Ersetzen Sie Folgendes:
NAT_RULE_NUMBER
: Die Regelnummer, die die NAT-Regel eindeutig identifiziert, von0
bis65000
.ROUTER_NAME
: Der Name des Cloud Router, den Sie zuvor erstellt haben.REGION
: Die Region des Cloud Router.NAT_CONFIG
: Der Name der Private NAT-Konfiguration, die Sie zuvor erstellt haben.PROJECT_ID
: Das Google Cloud Projekt des Network Connectivity Center-Hubs.HUB
: der Name des Network Connectivity Center-Hubs.NAT_SUBNET
: Der Name des Private NAT-Subnetzes, das Sie zuvor erstellt haben. Sie können auch eine Liste von Subnetzen in einem durch Kommas getrennten Format angeben.
Rufen Sie in der Google Cloud -Console die Seite Cloud NAT auf.
Klicken Sie auf den Namen des NAT-Gateways, um NAT-Gatewaydetails, Zuordnungsinformationen und Konfigurationsdetails aufzurufen.
Den NAT-Status können Sie in der Spalte Status für das NAT-Gateway prüfen.
Sehen Sie sich die Private NAT-Gateway-Konfiguration an.
gcloud compute routers nats describe NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION
Ersetzen Sie Folgendes:
NAT_CONFIG
ist der Name Ihrer NAT-Konfiguration.ROUTER_NAME
ist der Name Ihres Cloud Routers.REGION
: Die Region des NAT, die beschrieben werden soll. Wenn sie nicht angegeben ist, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur interaktiver Modus).
Sehen Sie sich die Zuordnung der IP-Portbereiche an, die den Schnittstellen jeder VM zugewiesen sind.
gcloud compute routers get-nat-mapping-info ROUTER_NAME \ --region=REGION
Rufen Sie den Status des Private NAT-Gateways auf.
gcloud compute routers get-status ROUTER_NAME \ --region=REGION
Rufen Sie in der Google Cloud -Console die Seite Cloud NAT auf.
Klicken Sie auf Ihr NAT-Gateway.
Klicken Sie auf
Bearbeiten.Wählen Sie für Cloud NAT-Zuordnung in der Liste Quelle die Option Benutzerdefiniert aus.
Wählen Sie ein neues Subnetz aus der Liste der verfügbaren Subnetze aus.
Wenn Sie weitere Bereiche angeben möchten, klicken Sie auf Subnetz und IP-Bereich hinzufügen und wählen Sie ein weiteres Subnetz aus.
Klicken Sie auf Speichern.
NAT_CONFIG
: Der Name Ihrer privaten NAT-Konfiguration, die aktualisiert werden soll.ROUTER_NAME
: Der Name des Routers, der mit diesem Gateway verwendet werden soll.SUBNETWORK
: der Name des zu verwendenden Subnetzes.Rufen Sie in der Google Cloud -Console die Seite Cloud NAT auf.
Klicken Sie auf Ihr NAT-Gateway.
Klicken Sie auf
Bearbeiten.Löschen Sie das Subnetz, das Sie aus der NAT-Zuordnung entfernen möchten.
Klicken Sie auf Speichern.
Rufen Sie in der Google Cloud -Console die Seite Cloud NAT auf.
Klicken Sie auf Ihr NAT-Gateway.
Klicken Sie auf
Bearbeiten.Erweitern Sie die vorhandene Regel.
Klicken Sie auf Subnetzbereiche hinzufügen.
Wählen Sie einen NAT-Subnetzbereich aus oder erstellen Sie einen neuen und klicken Sie dann auf Fertig.
Klicken Sie auf Speichern.
NAT_RULE_NUMBER
: Die Nummer, die die zu aktualisierende Regel eindeutig identifiziert.NAT_CONFIG
: Der Name Ihrer privaten NAT-Konfiguration für die zu aktualisierende Regel.ROUTER_NAME
: Der Name des Routers, der mit diesem Gateway verwendet werden soll.NAT_SUBNET
: Die Namen der Private NAT-Subnetze, die Ihrer vorhandenen NAT-Konfiguration hinzugefügt werden sollen.Rufen Sie in der Google Cloud -Console die Seite Cloud NAT auf.
Klicken Sie das Kästchen neben der Gatewaykonfiguration an, die Sie löschen möchten.
Klicken Sie im
Menü auf Löschen.NAT_CONFIG
ist der Name Ihrer NAT-Konfiguration.ROUTER_NAME
ist der Name Ihres Cloud Routers.REGION
: Die Region des zu löschenden NAT. Wenn nicht angegeben, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).- Logging und Monitoring für Cloud NAT konfigurieren.
- Häufige Probleme mit NAT-Konfigurationen beheben
In der Anleitung für das Google Cloud CLI auf dieser Seite wird davon ausgegangen, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.
NAT-Subnetz mit dem Zweck PRIVATE_NAT erstellen
Bevor Sie Private NAT konfigurieren, erstellen Sie ein NAT-Subnetz mit dem Zweck PRIVATE_NAT
. Das NAT-Subnetz muss sich in derselben Region befinden, in der Sie das Private NAT-Gateway erstellen möchten.
Das Private NAT-Gateway verwendet IP-Adressbereiche aus diesem Subnetz, um NAT auszuführen. Achten Sie darauf, dass sich dieses Subnetz nicht mit einem vorhandenen Subnetz in einem der verbundenen Netzwerke überschneidet. In diesem Subnetz können Sie keine Ressourcen erstellen.
Dieses Subnetz wird nur für private NAT verwendet.
Console
gcloud
Verwenden Sie den gcloud compute networks subnet create
-Befehl, um das Subnetz zu erstellen.
gcloud compute networks subnets create NAT_SUBNET \ --network=NETWORK \ --region=REGION \ --range=IP_RANGE \ --purpose=PRIVATE_NAT
Ersetzen Sie Folgendes:
Private NAT konfigurieren
Sie konfigurieren Private NAT, indem Sie ein privates NAT-Gateway im Quell-VPC-Netzwerk erstellen. Jedes Gateway ist einem einzelnen VPC-Netzwerk, einer Region und einem Cloud Router zugeordnet.
Beim Konfigurieren von Private NAT können Sie eine oder beide der folgenden Optionen aktivieren:
Privates NAT-Gateway erstellen
Erstellen Sie ein Private NAT-Gateway im Quell-VPC-Netzwerk, für das Sie NAT konfigurieren möchten.
Console
gcloud
Private NAT-Konfiguration ansehen
Console
gcloud
Mit den folgenden Befehlen können Sie die NAT-Konfigurationsdetails aufrufen:
Private NAT-Konfiguration aktualisieren
Nachdem Sie Ihr privates NAT-Gateway eingerichtet haben, können Sie die Gateway-Konfiguration entsprechend Ihren Anforderungen aktualisieren. In den folgenden Abschnitten werden die Aufgaben aufgeführt, die Sie ausführen können, um Ihr privates NAT-Gateway zu aktualisieren.
Mit privater NAT verknüpfte Subnetze ändern
Console
gcloud
gcloud compute routers nats update NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,..]
Ersetzen Sie Folgendes:
Mit Private NAT verknüpfte Subnetze löschen
Sie können bestimmte Subnetze aus dem NAT-Gateway entfernen, die nicht mehr verwendet werden.
Console
NAT-Subnetze zur Private NAT-Konfiguration hinzufügen
Um NAT für Traffic auszuführen, werden in einer privaten NAT-Konfiguration NAT-IP-Adressen aus einem Subnetz mit dem Zweck PRIVATE_NAT
verwendet.
Wenn für Ihre Private NAT-Konfiguration mehr NAT-IP-Adressen als verfügbar erforderlich sind, können Sie der Konfiguration weitere Subnetze mit dem Zweck PRIVATE_NAT
hinzufügen.
Console
gcloud
gcloud compute routers nats rules update NAT_RULE_NUMBER \ --nat=NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...
Ersetzen Sie Folgendes:
NAT-Konfiguration löschen
Wenn Sie eine Gateway-Konfiguration löschen, wird die NAT-Konfiguration von einem Cloud Router entfernt. Durch das Löschen einer Gateway-Konfiguration wird der Router selbst nicht gelöscht.
Console
gcloud
gcloud compute routers nats delete NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION
Dabei gilt: