Esta página foi traduzida pela API Cloud Translation.

Hybrid NAT

O Hybrid NAT, um tipo de Private NAT, permite fazer a conversão de endereços de rede (NAT) entre uma rede de nuvem privada virtual (VPC) e uma rede local ou de outro provedor de nuvem. A rede não-Google Cloud VPC precisa estar conectada à rede VPC usando Google Cloud's produtos de conectividade de rede, como Cloud Interconnect ou Cloud VPN.

Especificações

Além das especificações gerais do Private NAT, o Hybrid NAT tem as seguintes:

O Hybrid NAT permite que uma rede VPC se comunique com uma rede local ou de outro provedor de nuvem, mesmo que os intervalos de endereços IP de sub-rede das redes se sobreponham. Ao usar uma configuração NAT de type=PRIVATE, os recursos nas sub-redes sobrepostas e não sobrepostas da rede VPC podem se conectar a recursos nas sub-redes não sobrepostas da rede não-Google Cloud VPC.
Para ativar o Hybrid NAT, a rede não-Google Cloud VPC precisa anunciar as rotas dinâmicas para que a rede VPC possa aprendê-las e usá-las. O Cloud Router aprende essas rotas dinâmicas com Google Cloud's produtos de conectividade de rede, como Cloud Interconnect, VPN de alta disponibilidade ou VPN clássica com roteamento dinâmico configurado. Os destinos dessas rotas dinâmicas são intervalos de endereços IP fora da rede VPC.

Observação: apenas as rotas de sub-rede não sobrepostas precisam ser anunciadas. As rotas de sub-rede sobrepostas não podem ser anunciadas.

Da mesma forma, para o tráfego de retorno, a rede VPC precisa anunciar a rota de sub-rede do Private NAT usando um Cloud Router, e essa rota de sub-rede não pode se sobrepor a uma sub-rede nas redes conectadas.
O Hybrid NAT executa a NAT no tráfego originário de uma rede VPC para uma rede local ou de outro provedor de nuvem. As redes precisam estar conectadas pelo Cloud Interconnect ou pelo Cloud VPN.
O Hybrid NAT oferece suporte a túneis de VPN clássica somente se o roteamento dinâmico estiver ativado.
É necessário criar uma regra NAT personalizada com uma expressão de correspondência nexthop.is_hybrid. A regra NAT especifica um intervalo de endereços IP NAT de uma sub-rede de finalidade PRIVATE_NAT que os recursos na rede VPC podem usar para se comunicar com outras redes.
O Cloud Router em que você configura o Hybrid NAT precisa estar na mesma região da rede VPC.
O Cloud Router em que você configura o Hybrid NAT não pode conter nenhuma outra configuração de NAT.

Fluxo de trabalho e configuração básica do Hybrid NAT

O diagrama a seguir mostra uma configuração básica do Hybrid NAT:

Exemplo de tradução do Hybrid NAT. — Exemplo de tradução do Hybrid NAT (clique para ampliar).

Neste exemplo, o Hybrid NAT é configurado da seguinte maneira:

O pvt-nat-gw gateway está configurado em vpc-a para ser aplicado a todos os intervalos de endereços IP de subnet-a na região us-east1.
O Cloud Router e o roteador local ou de outro provedor de nuvem trocam as seguintes rotas de sub-rede:
- O Cloud Router anuncia 10.1.2.0/29 para o roteador externo.
- O roteador externo anuncia 192.168.2.0/24 para Cloud Router.
Ao usar o intervalo de endereços IP NAT de pvt-nat-gw, uma instância de máquina virtual (VM) em subnet-a de vpc-a pode enviar tráfego para uma VM em subnet-b da rede local ou de outro provedor de nuvem, mesmo que subnet-a de vpc-a se sobreponha a outra sub-rede na rede não-Google Cloud .

Exemplo de fluxo de trabalho do Hybrid NAT

No diagrama anterior, vm-a com o endereço IP interno 192.168.1.2 em subnet-a de vpc-a precisa fazer o download de uma atualização de vm-b com o endereço IP interno 192.168.2.2 em subnet-b de uma rede local ou de outro provedor de nuvem. O Cloud Interconnect conecta a rede VPC à rede local ou de outro provedor de nuvem. Suponha que a rede não-Google Cloud contenha outra sub-rede 192.168.1.0/24 que se sobreponha à sub-rede em vpc-a. Para que subnet-a de vpc-a se comunique com subnet-b da rede nãoGoogle Cloud , é necessário configurar um gateway do Private NAT, pvt-nat-gw, em vpc-a da seguinte maneira:

Especifique uma sub-rede do Private NAT de finalidade PRIVATE_NAT, por exemplo, 10.1.2.0/29. Crie essa sub-rede antes de configurar o gateway do Private NAT. Verifique se essa sub-rede não se sobrepõe a uma sub-rede em nenhuma das redes conectadas.
Crie uma regra NAT com match='nexthop.is_hybrid'.
Configure o gateway do Private NAT para ser aplicado a todos os intervalos de endereços IP de subnet-a.

O Hybrid NAT segue o procedimento de reserva de porta para reservar o seguinte endereço IP de origem da NAT e as tuplas de origem para cada uma das VMs na rede. Por exemplo, o gateway do Private NAT reserva 64 portas de origem para vm-a: 10.1.2.2:34000 a 10.1.2.2:34063.

Quando a VM usa o protocolo TCP para enviar um pacote ao servidor de atualização 192.168.2.2 na porta de destino 80, ocorre o seguinte:

A VM envia um pacote de solicitação com estes atributos:
- Endereço IP de origem: 192.168.1.2, o endereço IP interno da VM
- Porta de origem: 24000, a porta de origem temporária escolhida pelo sistema operacional da VM
- Endereço de destino: 192.168.2.2, o endereço IP do servidor de atualização
- Porta de destino: 80, a porta de destino do tráfego HTTP para o servidor de atualizações
- Protocolo: TCP
O gateway pvt-nat-gw executa a conversão de endereços de rede de origem (SNAT ou NAT de origem) para o tráfego de saída, reescrevendo o endereço IP de origem e a porta de origem do pacote de solicitação:
- Endereço IP de origem NAT: 10.1.2.2, de um dos endereços IP de origem NAT reservados da VM e das tuplas da porta de origem
- Porta de origem: 34022, uma porta de origem não utilizada de uma das tuplas de porta de origem reservadas da VM
- Endereço de destino: 192.168.2.2, inalterado
- Porta de destino: 80, inalterada
- Protocolo: TCP, inalterado
O servidor de atualização envia um pacote de resposta que chega ao pvt-nat-gw gateway com estes atributos:
- Endereço IP de origem: 192.168.2.2, o endereço IP interno do servidor de atualização
- Porta de origem: 80, a resposta HTTP do servidor de atualização
- Endereço de destino: 10.1.2.2, que corresponde ao endereço IP de origem da NAT original do pacote de solicitação
- Porta de destino: 34022, que corresponde à porta de origem do pacote de solicitação
- Protocolo: TCP, inalterado
O gateway pvt-nat-gw executa a conversão de endereços de rede de destino (DNAT, na sigla em inglês) no pacote de resposta e reescreve o endereço de destino e a porta de destino do pacote de resposta para que o pacote seja entregue à VM que solicitou a atualização com os seguintes atributos:
- Endereço IP de origem: 192.168.2.2, inalterado
- Porta de origem: 80, inalterada
- Endereço de destino: 192.168.1.2, o endereço IP interno da VM
- Porta de destino: 24000, que corresponde à porta de origem temporária original do pacote de solicitação
- Protocolo: TCP, inalterado

A seguir

Configure o Hybrid NAT.
Saiba mais sobre interações com produtos do Cloud NAT.
Saiba mais sobre endereços e portas do Cloud NAT.
Saiba mais sobre as regras do Cloud NAT.
Resolver problemas comuns.