Private NAT

Private NAT consente la traduzione degli indirizzi private-to-private tra le reti:

• Private NAT per gli spoke di Network Connectivity Center consente la Network Address Translation (NAT) private-to-private per le reti Virtual Private Cloud (VPC) connesse a un hub Network Connectivity Center, inclusa la NAT private-to-private per il traffico tra gli spoke VPC e tra gli spoke VPC e gli spoke ibridi.
• Hybrid NAT consente la NAT private-to-private tra le reti VPC e le reti on-premise o di altri provider cloud connesse tramite Google Cloud Cloud Interconnect o Cloud VPN.

Specifiche

Le sezioni seguenti descrivono le specifiche di Private NAT. Queste specifiche si applicano sia a Private NAT per gli spoke di Network Connectivity Center sia a Hybrid NAT.

Specifiche generali

• Private NAT consente le connessioni in uscita e le risposte in entrata a queste connessioni. Ogni gateway Cloud NAT per Private NAT esegue la NAT di origine sul traffico in uscita e la NAT di destinazione per i pacchetti di risposta stabiliti.

• Private NAT non supporta le reti VPC in modalità automatica.

• Private NAT non consente le richieste in entrata non richieste dalle reti connesse, anche se le regole firewall altrimenti le consentirebbero. Per saperne di più, consulta RFC applicabili.

• Ogni gateway Cloud NAT per Private NAT è associato a una singola rete VPC regione e router Cloud. Il gateway Cloud NAT e il router Cloud forniscono un piano di controllo, non sono coinvolti nel piano dati, quindi i pacchetti non passano attraverso il gateway Cloud NAT o il router Cloud.

  Anche se un gateway Cloud NAT per Private NAT è gestito da un router Cloud, Private NAT non utilizza né dipende dal Border Gateway Protocol.

• Private NAT non supporta la mappatura indipendente dall'endpoint.
• Non puoi utilizzare Private NAT per tradurre un intervallo di indirizzi IP primari o secondari specifico per una determinata subnet. Un gateway Private NAT esegue la NAT su tutti gli intervalli di indirizzi IPv4 per una determinata subnet o un elenco di subnet.
• Dopo aver creato la subnet, non puoi aumentare o diminuire le dimensioni della subnet Private NAT. Tuttavia, puoi specificare più intervalli di subnet Private NAT per un determinato gateway.
• Private NAT supporta un massimo di 64.000 connessioni simultanee per endpoint.
• Private NAT supporta solo TCP e UDP. ICMP e altri protocolli non sono supportati.
• Un'istanza di macchina virtuale (VM) in una rete VPC può accedere solo alle destinazioni in una sottorete non sovrapposta, non in una sottorete sovrapposta, in una rete connessa.

Route e regole firewall

Private NAT utilizza le seguenti route:

• Per gli spoke di Network Connectivity Center, Private NAT utilizza le route di subnet e le route dinamiche:
  • Per il traffico tra due spoke VPC collegati a un hub Network Connectivity Center che contiene solo spoke VPC, Private NAT utilizza le route di subnet scambiate dagli spoke VPC collegati. Per informazioni sugli spoke VPC, consulta la panoramica degli spoke VPC.
  • Se un hub Network Connectivity Center contiene sia spoke VPC sia spoke ibridi, come i collegamenti VLAN per Cloud Interconnect, i tunnel Cloud VPN o le VM appliance router, Private NAT utilizza le route dinamiche apprese dagli spoke ibridi tramite il protocollo BGP (Border Gateway Protocol) e le route di subnet scambiate dagli spoke VPC collegati. Per informazioni sugli spoke ibridi, consulta Spoke ibridi.
• Per Hybrid NAT, Private NAT utilizza le route dinamiche apprese dal router Cloud tramite Cloud Interconnect o Cloud VPN.

Le regole firewall Cloud NGFW vengono applicate direttamente alle interfacce di rete delle VM Compute Engine, non ai gateway Cloud NAT per Private NAT.

Quando un gateway Cloud NAT per Private NAT fornisce la NAT per l'interfaccia di rete di una VM, le regole firewall in uscita applicabili vengono valutate come pacchetti per quell'interfaccia di rete prima della NAT. Le regole firewall in entrata vengono valutate dopo che i pacchetti sono stati elaborati dalla NAT. Non devi creare regole firewall specifiche per la NAT.

Applicabilità dell'intervallo di indirizzi IP della subnet

Puoi configurare un gateway Cloud NAT per Private NAT in modo che fornisca la NAT per quanto segue:

• Intervalli di indirizzi IP primari e secondari di tutte le subnet nella regione. Un singolo gateway Private NAT fornisce la NAT per gli indirizzi IP interni primari e tutti gli intervalli IP alias delle VM idonee le cui interfacce di rete utilizzano una subnet nella regione. Questa opzione utilizza esattamente un gateway NAT per regione.

• Elenco di subnet personalizzato: un singolo gateway Cloud NAT fornisce la NAT per gli indirizzi IP interni primari e tutti gli intervalli IP alias delle VM idonee le cui interfacce di rete utilizzano una subnet da un elenco di subnet specificate.

Larghezza di banda

L'utilizzo di un gateway Cloud NAT per Private NAT non modifica la quantità di larghezza di banda in uscita o in entrata che una VM può utilizzare. Per le specifiche della larghezza di banda, che variano in base al tipo di macchina, consulta Larghezza di banda della rete nella documentazione di Compute Engine.

VM con più interfacce di rete

Se configuri una VM in modo che abbia più interfacce di rete, ogni interfaccia deve trovarsi in una rete VPC separata. Di conseguenza, un gateway Cloud NAT per Private NAT può essere applicato solo a una singola interfaccia di rete di una VM. Gateway Cloud NAT separati per Private NAT possono fornire la NAT alla stessa VM, dove ogni gateway si applica a un'interfaccia separata.

Indirizzi IP e porte NAT

Quando crei un gateway Private NAT, devi specificare una subnet con scopo PRIVATE_NAT da cui vengono assegnati gli indirizzi IP NAT per le VM. Per saperne di più sull'assegnazione degli indirizzi IP Private NAT, consulta Indirizzi IP Private NAT.

Puoi configurare il numero di porte di origine che ogni gateway Cloud NAT per Private NAT riserva su ogni VM per cui deve fornire servizi NAT. Puoi configurare l'allocazione statica delle porte, in cui lo stesso numero di porte viene riservato per ogni VM, o l'allocazione dinamica delle porte, in cui il numero di porte riservate può variare tra i limiti minimo e massimo specificati.

Le VM per cui deve essere fornita la NAT sono determinate dagli intervalli di indirizzi IP della subnet che il gateway è configurato per gestire.

Per saperne di più sulle porte, consulta Porte.

RFC applicabili

Private NAT è una NAT con restrizione delle porte come definita in RFC 3489.

Timeout NAT

Private NAT imposta i timeout per le connessioni di protocollo. Per informazioni su questi timeout e sui relativi valori predefiniti, consulta Timeout NAT.

Passaggi successivi

• Configura Private NAT.
• Scopri di più sulle interazioni tra i prodotti Cloud NAT.
• Scopri di più sugli indirizzi e sulle porte di Cloud NAT.
• Scopri di più sulle regole di Cloud NAT.
• Risolvi i problemi comuni.