Hybrid NAT

Hybrid NAT, un type de Private NAT, vous permet d'effectuer la traduction d'adresse réseau (NAT) entre un réseau cloud privé virtuel (VPC) et un réseau sur site ou un réseau sur l'infrastructure d'un autre fournisseur de services cloud. Le réseau non-Google Cloud doit être connecté à votre réseau VPC à l'aide de produits de connectivité réseau de Google Cloud, tels que Cloud Interconnect ou Cloud VPN.

Spécifications

En plus des spécifications générales de Private NAT, Hybrid NAT présente les spécifications suivantes :

  • Hybrid NAT permet à un réseau VPC de communiquer avec un réseau sur site (ou un réseau sur l'infrastructure d'un autre fournisseur de services cloud), même si les plages d'adresses IP de sous-réseau de ces réseaux se chevauchent. Si vous utilisez une configuration NAT de type=PRIVATE, les ressources se trouvant dans les sous-réseaux du réseau VPC, que ceux-ci se chevauchent ou pas, peuvent se connecter aux ressources des sous-réseaux du réseau non-Google Cloudqui ne se chevauchent pas.

  • Pour que Hybrid NAT soit activé, le réseau non-Google Cloud doit annoncer ses routes dynamiques afin que votre réseau VPC puisse les apprendre et les utiliser. Votre routeur Cloud Router apprend ces routes dynamiques à partir des produits de connectivité réseau de Google Cloud, tels que Cloud Interconnect, le VPN haute disponibilité ou le VPN classique avec le routage dynamique configuré. Les destinations de ces routes dynamiques sont des plages d'adresses IP en dehors de votre réseau VPC.

    De même, pour le trafic de retour, votre réseau VPC doit annoncer la route de sous-réseau Private NAT à l'aide d'un routeur Cloud Router. Cette route de sous-réseau ne doit pas chevaucher un sous-réseau existant dans les réseaux connectés.

  • Hybrid NAT effectue la traduction d'adresse réseau (NAT) sur le trafic provenant d'un réseau VPC et destiné à un réseau sur site ou à un réseau sur l'infrastructure d'un autre fournisseur de services cloud. Les réseaux doivent être connectés via Cloud Interconnect ou Cloud VPN.

  • Hybrid NAT n'accepte les tunnels VPN classiques existants que si le routage dynamique est activé.

  • Vous devez créer une règle NAT personnalisée avec une expression de mise en correspondance nexthop.is_hybrid. La règle NAT spécifie une plage d'adresses IP NAT provenant d'un sous-réseau avec l'objectif PRIVATE_NAT, que les ressources de votre réseau VPC peuvent utiliser pour communiquer avec celles d'autres réseaux.

  • Le routeur Cloud Router sur lequel vous configurez Hybrid NAT doit se trouver dans la même région que le réseau VPC.

  • Le routeur Cloud Router sur lequel vous configurez Hybrid NAT ne peut contenir aucune autre configuration NAT.

Configuration et workflow de base de Hybrid NAT

Le schéma suivant illustre une configuration Hybrid NAT de base :

Exemple de traduction Hybrid NAT.
Exemple de traduction Hybrid NAT (cliquez pour agrandir).

Dans cet exemple, Hybrid NAT est configuré comme suit :

  • La passerelle pvt-nat-gw est configurée dans vpc-a pour s'appliquer à toutes les plages d'adresses IP de subnet-a dans la région us-east1.
  • Cloud Router et le routeur sur site (ou celui utilisé sur l'infrastructure d'un autre fournisseur de services cloud) échangent les routes de sous-réseau suivantes :
    • Cloud Router annonce 10.1.2.0/29 au routeur externe.
    • Le routeur externe annonce 192.168.2.0/24 à Cloud Router.
  • En utilisant la plage d'adresses IP NAT pvt-nat-gw, une instance de machine virtuelle (VM) dans le sous-réseau subnet-a de vpc-a peut envoyer du trafic vers une VM dans le sous-réseau subnet-b du réseau sur site (ou du réseau sur l'infrastructure d'un autre fournisseur de services cloud), même si le sous-réseau subnet-a de vpc-a chevauche un autre sous-réseau du réseau non-Google Cloud .

Exemple de workflow de Hybrid NAT

Dans le schéma précédent, la vm-a avec l'adresse IP interne 192.168.1.2 dans le sous-réseau subnet-a de vpc-a doit télécharger une mise à jour à partir de la vm-b portant l'adresse IP interne 192.168.2.2 dans le sous-réseau subnet-b d'un réseau sur site (ou d'un réseau sur l'infrastructure d'un autre fournisseur de services cloud). Cloud Interconnect connecte votre réseau VPC au réseau sur site (ou à un réseau sur l'infrastructure d'un autre fournisseur de services cloud). Supposons que le réseau non-Google Cloud contienne un autre sous-réseau 192.168.1.0/24 qui chevauche le sous-réseau de vpc-a. Pour que le sous-réseau subnet-a de vpc-a communique avec le sous-réseau subnet-b du réseau non-Google Cloud , vous devez configurer une passerelle Private NAT (pvt-nat-gw) dans vpc-a, comme suit :

  • Spécifiez un sous-réseau Private NAT avec l'objectif PRIVATE_NAT, par exemple 10.1.2.0/29. Créez ce sous-réseau avant de configurer la passerelle Private NAT. Assurez-vous que ce sous-réseau ne chevauche pas un sous-réseau existant dans l'un des réseaux connectés.
  • Créez une règle NAT avec match='nexthop.is_hybrid'.
  • Configurez la passerelle Private NAT pour qu'elle s'applique à toutes les plages d'adresses IP de subnet-a.

Hybrid NAT suit la procédure de réservation de port pour réserver les tuples Adresse IP source/Port source NAT suivants pour chacune des VM du réseau. Par exemple, la passerelle Private NAT réserve 64 ports sources pour vm-a : de 10.1.2.2:34000 à 10.1.2.2:34063.

Lorsque la VM utilise le protocole TCP pour envoyer un paquet au serveur de mise à jour 192.168.2.2 sur le port de destination 80, voici ce qui se produit :

  1. La VM envoie un paquet de requête avec les attributs suivants :

    • Adresse IP source : 192.168.1.2, soit l'adresse IP interne de la VM
    • Port source : 24000, soit le port source éphémère choisi par le système d'exploitation de la VM
    • Adresse de destination : 192.168.2.2, soit l'adresse IP du serveur de mise à jour
    • Port de destination : 80, soit le port de destination pour le trafic HTTP vers le serveur de mise à jour
    • Protocole : TCP

  2. La passerelle pvt-nat-gw effectue la traduction d'adresse réseau source (Source NAT, ou SNAT) en sortie, en réécrivant l'adresse IP source et le port source NAT du paquet de requête :

    • Adresse IP source NAT : 10.1.2.2, provenant de l'un des tuples Adresse IP source/Port source NAT réservés de la VM
    • Port source : 34022, un port source inutilisé de l'un des tuples de port source réservés de la VM
    • Adresse de destination : 192.168.2.2, inchangée
    • Port de destination : 80, inchangé
    • Protocole : TCP, inchangé

  3. Le serveur de mise à jour envoie un paquet de réponse qui arrive sur la passerelle pvt-nat-gw avec les attributs suivants :

    • Adresse IP source : 192.168.2.2, soit l'adresse IP interne du serveur de mise à jour
    • Port source : 80, pour la réponse HTTP du serveur de mise à jour
    • Adresse de destination : 10.1.2.2, soit l'adresse IP source NAT d'origine du paquet de requête
    • Port de destination : 34022, correspondant au port source du paquet de requête
    • Protocole : TCP, inchangé

  4. La passerelle pvt-nat-gw effectue la traduction d'adresse réseau de destination (DNAT) sur le paquet de réponse, et réécrit l'adresse et le port de destination du paquet de réponse pour que celui-ci soit transmis à la VM qui a demandé la mise à jour, avec les attributs suivants :

    • Adresse IP source : 192.168.2.2, inchangée
    • Port source : 80, inchangé
    • Adresse de destination : 192.168.1.2, soit l'adresse IP interne de la VM
    • Port de destination : 24000, soit le port source éphémère d'origine du paquet de requête
    • Protocole : TCP, inchangé

Étapes suivantes