Private NAT

‫NAT פרטי מאפשר תרגום כתובות פרטיות לפרטיות בין רשתות:

• Private NAT for Network Connectivity Center spokes מאפשר תרגום כתובות רשת (NAT) פרטיות לרשתות ענן וירטואלי פרטי (VPC) שמחוברות ל-NCC hub, כולל NAT פרטי לתעבורה בין רשתות VPC מסוג spoke ובין רשתות VPC מסוג spoke לבין רשתות היברידיות מסוג spoke.
• Hybrid NAT מאפשר NAT פרטי לפרטי בין רשתות VPC לבין רשתות מקומיות או רשתות של ספקי שירותי ענן אחרים שמחוברות ל- Google Cloud באמצעות Cloud Interconnect או Cloud VPN.

מפרטים

בקטעים הבאים מפורטים המפרטים של NAT פרטי. המפרטים האלה רלוונטיים גם ל-NAT פרטי עבור spokes של NCC וגם ל-Hybrid NAT.

מפרטים כלליים

• ‫NAT פרטי מאפשר חיבורים יוצאים ותשובות נכנסות לחיבורים האלה. כל שער Cloud NAT ל-NAT פרטי מבצע NAT למקור בתעבורת נתונים יוצאת ו-NAT ליעד בחבילות תגובה שנוצרו.

• ‫NAT פרטי לא תומך ברשתות VPC במצב אוטומטי.

• ‫NAT פרטי לא מאפשר בקשות נכנסות לא רצויות מרשתות מחוברות, גם אם כללי חומת האש מאפשרים את הבקשות האלה. מידע נוסף זמין במאמר בנושא RFC רלוונטיים.

• כל שער Cloud NAT ל-NAT פרטי משויך לרשת VPC אחת, לאזור אחד ול-Cloud Router אחד. שער Cloud NAT ו-Cloud Router מספקים מישור בקרה – הם לא מעורבים במישור הנתונים – ולכן מנות לא עוברות דרך שער Cloud NAT או Cloud Router.

  למרות ששער Cloud NAT ל-NAT פרטי מנוהל על ידי Cloud Router, ‏ NAT פרטי לא משתמש בפרוטוקול Border Gateway Protocol ‏(BGP) ולא תלוי בו.

• ‫NAT פרטי לא תומך במיפוי ללא תלות בנקודת קצה.
• אי אפשר להשתמש ב-NAT פרטי כדי לתרגם טווח כתובות IP ראשיות או משניות ספציפי עבור תת-רשת נתונה. שער NAT פרטי מבצע NAT על כל טווחי כתובות IPv4 עבור תת-רשת נתונה או רשימה של תת-רשתות.
• אחרי שיוצרים את רשת המשנה, אי אפשר להגדיל או להקטין את הגודל של רשת המשנה של NAT פרטי. עם זאת, אפשר לציין כמה טווחי רשתות משנה של NAT פרטי לשער נתון.
• ‫NAT פרטי תומך ב-64,000 חיבורים בו-זמניים לכל נקודת קצה לכל היותר.
• ‫NAT פרטי תומך רק ב-TCP וב-UDP. אין תמיכה ב-ICMP ובפרוטוקולים אחרים.
• מכונה וירטואלית (VM) ברשת VPC יכולה לגשת רק ליעדים ברשת משנה לא חופפת – לא ברשת משנה חופפת – ברשת מקושרת.

מסלולים וכללים לחומת אש

ה-NAT הפרטי משתמש בנתיבים הבאים:

• ב-NCC spokes, ‏ Private NAT משתמש במסלולים של רשתות משנה ובמסלולים דינמיים:
  • בתעבורה בין שני מרכזי VPC שמחוברים למרכז NCC שמכיל רק מרכזי VPC,‏ Private NAT משתמש בנתיבי רשת המשנה שהוחלפו על ידי מרכזי ה-VPC המחוברים. מידע על רשתות מסוג Hub and Spoke ב-VPC זמין במאמר סקירה כללית על רשתות מסוג Hub and Spoke ב-VPC.
  • אם מרכז NCC מכיל גם VPC spokes וגם spokes היברידיים כמו צירופים ל-VLAN עבור Cloud Interconnect, מנהרות Cloud VPN או מכונות וירטואליות של נתבים וירטואליים, Private NAT משתמש במסלולים הדינמיים שנלמדו על ידי ה-spokes ההיברידיים באמצעות Border Gateway Protocol ‏ (BGP) ובמסלולי רשתות המשנה שהוחלפו על ידי ה-VPC spokes המצורפים. מידע על רכזות היברידיות זמין במאמר רכזות היברידיות.
• ב-Hybrid NAT,‏ Private NAT משתמש בנתיבים דינמיים שנלמדים על ידי Cloud Router דרך Cloud Interconnect או Cloud VPN.

כללי חומת האש של Cloud NGFW מוחלים ישירות על ממשקי הרשת של מכונות וירטואליות ב-Compute Engine, ולא על שערים של Cloud NAT ל-NAT פרטי.

כששער NAT פרטי של Cloud NAT מספק NAT לממשק רשת של מכונה וירטואלית, כללי חומת אש רלוונטיים לתעבורת נתונים יוצאת נבדקים כמנות עבור ממשק הרשת הזה לפני NAT. כללי חומת אש לתעבורת נתונים נכנסת נבדקים אחרי שמנות עוברות עיבוד על ידי NAT. אין צורך ליצור כללי חומת אש במיוחד בשביל NAT.

היקף החלות של טווח כתובות IP של רשת משנה

אתם יכולים להגדיר שער Cloud NAT ל-NAT פרטי כדי לספק NAT ל:

• טווחים של כתובות IP ראשיות ומשניות של כל רשתות המשנה באזור. שער NAT פרטי יחיד מספק NAT לכתובות ה-IP הפנימיות הראשיות ולכל טווחי כתובות ה-IP של הכינויים של מכונות וירטואליות שעומדות בדרישות, שממשקי הרשת שלהן משתמשים ברשת משנה באזור. באפשרות הזו נעשה שימוש בשער NAT אחד בדיוק לכל אזור.

• רשימת רשתות משנה בהתאמה אישית: שער Cloud NAT יחיד מספק NAT לכתובות ה-IP הפנימיות הראשיות ולכל טווחי כתובות ה-IP של כינויים של מכונות וירטואליות שעומדות בדרישות, שממשקי הרשת שלהן משתמשים ברשת משנה מתוך רשימה של רשתות משנה שצוינו.

רוחב פס

שימוש בשער Cloud NAT ל-NAT פרטי לא משנה את כמות רוחב הפס היוצא או הנכנס שמכונה וירטואלית יכולה להשתמש בו. מפרטי רוחב הפס משתנים בהתאם לסוג המכונה. אפשר לעיין במאמר בנושא רוחב פס ברשת במאמרי העזרה של Compute Engine.

מכונות וירטואליות עם כמה ממשקי רשת

אם מגדירים למכונה וירטואלית כמה ממשקי רשת, הממשקים יכולים להיות באותה רשת VPC או ברשתות VPC שונות.

כמה נקודות שכדאי לחשוב עליהן:

• אם למכונה וירטואלית יש כמה ממשקי רשת באותה רשת VPC, שער Cloud NAT יחיד ל-NAT פרטי חל על כל הממשקים ברשת ה-VPC.
• אם למכונה וירטואלית יש כמה ממשקי רשת, שכל אחד מהם נמצא ברשת VPC אחרת, שער Cloud NAT יחיד ל-NAT פרטי יכול לחול רק על ממשק רשת אחד של המכונה הווירטואלית. שערי Cloud NAT נפרדים ל-NAT פרטי יכולים לספק NAT לאותה מכונה וירטואלית, כאשר כל שער חל על ממשק נפרד.

כתובות IP ויציאות של NAT

כשיוצרים שער NAT פרטי, צריך לציין תת-רשת עם ייעוד PRIVATE_NAT שממנה מוקצות כתובות ה-IP של ה-NAT למכונות הווירטואליות. מידע נוסף על הקצאת כתובות IP של NAT פרטי זמין במאמר כתובות IP של NAT פרטי.

אפשר להגדיר את מספר יציאות המקור שכל שער Cloud NAT ל-NAT פרטי שומר בכל מכונה וירטואלית שעבורה הוא מספק שירותי NAT. אפשר להגדיר הקצאת יציאות סטטית, שבה מספר היציאות זהה לכל מכונה וירטואלית, או הקצאת יציאות דינמית, שבה מספר היציאות יכול להיות בין המינימום למקסימום שאתם מציינים.

המכונות הווירטואליות שעבורן יסופק NAT נקבעות לפי טווח כתובות ה-IP של רשתות המשנה שהשער מוגדר לשרת.

מידע נוסף על יציאות זמין במאמר יציאות.

מספרי RFC רלוונטיים

‫NAT פרטי הוא NAT עם חרוט מוגבל ליציאה, כפי שמוגדר ב-RFC 3489.

הזמן הקצוב לתפוגה של NAT

ב-NAT פרטי מוגדרים ערכי timeout לחיבורי פרוטוקול. מידע על הזמנים הקצובים לתפוגה האלה ועל ערכי ברירת המחדל שלהם זמין במאמר בנושא זמנים קצובים לתפוגה של NAT.

המאמרים הבאים

• מגדירים NAT פרטי.
• מידע על אינטראקציות בין מוצרים ב-Cloud NAT
• מידע על כתובות ופורטים של Cloud NAT
• מידע על כללי Cloud NAT
• פתרון בעיות נפוצות