Private NAT

Private NAT permet la traduction d'adresses entre réseaux privés :

  • Private NAT pour les spokes Network Connectivity Center permet la traduction d'adresse réseau (NAT) entre réseaux privés pour les réseaux de cloud privé virtuel (VPC) connectés à un hub Network Connectivity Center. Cela inclut la NAT de réseau privé à réseau privé pour le trafic entre les spokes VPC, et entre les spokes VPC et les spokes hybrides.
  • Hybrid NAT permet la traduction d'adresses réseau de type "privé-privé" entre les réseaux VPC et les réseaux sur site (ou sur l'infrastructure d'autres fournisseurs de services cloud) connectés à Google Cloud via Cloud Interconnect ou Cloud VPN.

Spécifications

Les sections suivantes décrivent les spécifications de Private NAT. Celles-ci s'appliquent à la fois à Private NAT pour les spokes Network Connectivity Center et à Hybrid NAT.

Spécifications générales

  • Private NAT autorise les connexions sortantes et les réponses entrantes à destination de ces connexions. Chaque passerelle Cloud NAT pour Private NAT effectue une opération de NAT source sur le trafic sortant et une opération de NAT de destination pour les paquets de réponse établis.

  • Private NAT n'est pas compatible avec les réseaux VPC en mode automatique.

  • Private NAT n'autorise pas les requêtes entrantes non sollicitées provenant de réseaux connectés, même si les règles de pare-feu autorisent ces requêtes. Pour en savoir plus, consultez les documents RFC applicables.

  • Chaque passerelle Cloud NAT pour Private NAT est associée à un seul réseau VPC, une seule région et un seul routeur Cloud Router. La passerelle Cloud NAT et le routeur Cloud Router fournissent un plan de contrôle. Ces éléments ne sont pas impliqués dans le plan de données. Par conséquent, les paquets ne passent ni par la passerelle Cloud NAT, ni par le routeur Cloud Router.

    Même si une passerelle Cloud NAT pour Private NAT est gérée par un routeur Cloud Router, Private NAT n'utilise pas le protocole BGP (Border Gateway Protocol) et n'en dépend pas.

  • Private NAT n'est pas compatible avec le mappage indépendant du point de terminaison.
  • Vous ne pouvez pas utiliser Private NAT pour traduire une plage d'adresses IP principale ou secondaire spécifique pour un sous-réseau donné. Une passerelle Private NAT effectue des opérations de NAT sur toutes les plages d'adresses IPv4 pour un sous-réseau ou une liste de sous-réseaux donnés.
  • Une fois le sous-réseau Private NAT créé, vous ne pouvez plus augmenter ni diminuer sa taille. Toutefois, vous pouvez spécifier plusieurs plages de sous-réseaux Private NAT pour une passerelle donnée.
  • Private NAT accepte un maximum de 64 000 connexions simultanées par point de terminaison.
  • Private NAT n'est compatible qu'avec les protocoles TCP et UDP. ICMP et les autres protocoles ne sont pas compatibles.
  • Une instance de machine virtuelle (VM) d'un réseau VPC ne peut accéder qu'aux destinations d'un sous-réseau d'un réseau connecté ne présentant aucun chevauchement.

Routes et règles de pare-feu

Private NAT utilise les routes suivantes :

  • Pour les spokes Network Connectivity Center, Private NAT utilise des routes de sous-réseau et des routes dynamiques :
    • Pour le trafic entre deux spokes VPC associés à un hub Network Connectivity Center qui ne contient que des spokes VPC, Private NAT utilise les routes de sous-réseau échangées par les spokes VPC associés. Pour en savoir plus sur les spokes VPC, consultez la présentation des spokes VPC.
    • Si un hub Network Connectivity Center contient à la fois des spokes VPC et des spokes hybrides tels que des rattachements de VLAN pour Cloud Interconnect, des tunnels Cloud VPN ou des VM d'appareil de routeur, Private NAT utilise les routes dynamiques apprises par les spokes hybrides via BGP et les routes de sous-réseau échangées par les spokes VPC associés. Pour en savoir plus sur les spokes hybrides, consultez Spokes hybrides.
  • Pour Hybrid NAT, Private NAT utilise les routes dynamiques apprises par Cloud Router sur Cloud Interconnect ou Cloud VPN.

Les règles de pare-feu Cloud NGFW sont appliquées directement aux interfaces réseau des VM Compute Engine, et non aux passerelles Cloud NAT pour Private NAT.

Lorsqu'une passerelle Cloud NAT pour Private NAT fournit une fonctionnalité NAT pour l'interface réseau d'une VM, les règles de pare-feu de sortie applicables sont évaluées comme des paquets pour cette interface réseau avant l'opération NAT. Les règles de pare-feu d'entrée sont évaluées après que les paquets ont été traités par le NAT. Vous n'avez pas besoin de créer de règles de pare-feu spécifiques pour le NAT.

Applicabilité des plages d'adresses IP de sous-réseau

Vous pouvez configurer une passerelle Cloud NAT pour Private NAT afin de fournir une fonctionnalité NAT pour les éléments suivants :

  • Plages d'adresses IP principales et secondaires de tous les sous-réseaux de la région. Une passerelle Private NAT unique fournit une fonctionnalité NAT pour les adresses IP internes principales et toutes les plages d'adresses IP d'alias des VM éligibles dont les interfaces réseau utilisent un sous-réseau de la région. Cette option utilise exactement une passerelle NAT par région.

  • Liste de sous-réseaux personnalisée : une passerelle Cloud NAT unique fournit une fonctionnalité NAT pour les adresses IP internes principales et toutes les plages d'adresses IP d'alias des VM éligibles dont les interfaces réseau utilisent un sous-réseau faisant partie d'une liste de sous-réseaux spécifiés.

Bande passante

L'utilisation d'une passerelle Cloud NAT pour Private NAT ne modifie pas la quantité de bande passante sortante ou entrante qu'une VM peut utiliser. Pour connaître les spécifications de bande passante, qui varient en fonction du type de machine, consultez Bande passante réseau dans la documentation Compute Engine.

VM dotées de plusieurs interfaces réseau

Si vous configurez une VM avec plusieurs interfaces réseau, chaque interface doit se trouver dans un réseau VPC distinct. Par conséquent, une passerelle Cloud NAT pour Private NAT ne peut s'appliquer qu'à une seule interface réseau d'une VM. Des passerelles Cloud NAT pour Private NAT distinctes peuvent fournir une fonctionnalité NAT à la même VM, chaque passerelle étant associée à une interface distincte.

Adresses IP NAT et ports

Lorsque vous créez une passerelle Private NAT, vous devez spécifier un sous-réseau avec l'objectif PRIVATE_NAT, à partir duquel les adresses IP NAT sont attribuées aux VM. Pour en savoir plus sur l'attribution d'adresses IP Private NAT, consultez Adresses IP Private NAT.

Vous pouvez configurer le nombre de ports sources que chaque passerelle Cloud NAT pour Private NAT réserve sur chaque VM à laquelle elle doit fournir des services NAT. Vous pouvez configurer l'allocation de ports statique, où le même nombre de ports est réservé pour chaque VM, ou l'allocation de ports dynamique, où le nombre de ports réservés peut varier entre les limites minimale et maximale que vous spécifiez.

Les VM pour lesquelles une fonctionnalité NAT doit être fournie sont déterminées par les plages d'adresses IP de sous-réseau que la passerelle est configurée pour desservir.

Pour en savoir plus sur les ports, consultez Ports.

RFC applicable

Private NAT est un NAT en cône à restriction de port tel que défini dans la RFC 3489.

Délais d'inactivité NAT

Private NAT définit des délais d'inactivité pour les connexions de protocole. Pour en savoir plus sur ces délais et leurs valeurs par défaut, consultez Délais d'inactivité NAT.

Étapes suivantes