NAT ציבורי

שירות NAT ציבורי מאפשר למכונות וירטואליות (VM) ב-Compute Engine לתקשר עם האינטרנט. השירות מקצה לכל מכונה וירטואלית שמשתמשת ב-NAT ציבורי קבוצה של כתובות IPv4 חיצוניות משותפות ויציאות מקור, כדי ליצור חיבורים יוצאים לאינטרנט.

עם NAT ציבורי, מכונות וירטואליות שאין להן כתובות IPv4 חיצוניות יכולות לתקשר עם יעדי IPv4 באינטרנט. בנוסף, NAT ציבורי מאפשר למכונות וירטואליות עם כתובות IPv6 חיצוניות או פנימיות להתחבר ליעדי IPv4 באינטרנט.

מפרטים

‫NAT ציבורי תומך בתרגום כתובות רשת (NAT) עבור:

  • מ-IPv4 ל-IPv4, או NAT44. מידע נוסף זמין במאמר בנושא NAT44 ב-Public NAT.

  • מ-IPv6 ל-IPv4, או NAT64. ‫NAT64 זמין למכונות וירטואליות ב-Compute Engine. בצמתים של Google Kubernetes Engine‏ (GKE), בנקודות קצה ללא שרתים ובקבוצות אזוריות של נקודות קצה ברשת האינטרנט, שירות ה-NAT הציבורי מתרגם רק כתובות IPv4. מידע נוסף על NAT64 ב-Public NAT

מפרטים כלליים

  • ‫NAT ציבורי מאפשר חיבורים יוצאים ותשובות נכנסות לחיבורים האלה. כל שער Cloud NAT ל-NAT ציבורי מבצע NAT של מקור בתעבורת נתונים יוצאת ו-NAT של יעד בחבילות תגובה שנוצרו.

  • ‫NAT ציבורי לא מאפשר בקשות נכנסות לא רצויות מהאינטרנט, גם אם כללי חומת האש היו מאפשרים את הבקשות האלה. מידע נוסף זמין במאמר בנושא RFC רלוונטיים.

  • כל שער Cloud NAT ל-NAT ציבורי משויך לרשת VPC אחת, לאזור אחד ול-Cloud Router אחד. שער Cloud NAT ו-Cloud Router מספקים מישור בקרה – הם לא מעורבים במישור הנתונים – ולכן מנות לא עוברות דרך שער Cloud NAT או Cloud Router.

    למרות ששער Cloud NAT ל-NAT ציבורי מנוהל על ידי Cloud Router, ‏ NAT ציבורי לא משתמש בפרוטוקול Border Gateway ולא תלוי בו.

  • ב-NAT44, ‏ Public NAT יכול לספק NAT לחבילות יוצאות שנשלחות מהמקורות הבאים:

    • כתובת ה-IP הפנימית הראשית של ממשק הרשת של המכונה הווירטואלית, בתנאי שלא הוקצתה לממשק הרשת כתובת IP חיצונית: אם הוקצתה לממשק הרשת כתובת IP חיצונית, Google Cloud מבצעת באופן אוטומטי NAT של אחד לאחד למנות שהמקורות שלהן תואמים לכתובת ה-IP הפנימית הראשית של הממשק, כי ממשק הרשת עומד בדרישות של Google Cloud גישה לאינטרנט. הקדימות תמיד ניתנת לקיום של כתובת IP חיצונית בממשק, ותמיד מתבצע NAT אחד-לאחד, בלי להשתמש ב-NAT ציבורי.

    • טווח כתובות IP של כינוי שהוקצה לממשק הרשת של המכונה הווירטואלית: גם אם הוקצתה לממשק הרשת כתובת IP חיצונית, אפשר להגדיר שער Cloud NAT ל-NAT ציבורי כדי לספק NAT לחבילות שהמקורות שלהן מגיעים מטווח כתובות IP של כינוי של הממשק. כתובת IP חיצונית בממשק אף פעם לא מבצעת NAT של אחד לאחד עבור כתובות IP של כינויים.

    • כתובות IP שמשמשות מכונות וירטואליות להעברת IP. כדי להגדיר NAT לכתובות האלה, יוצרים כלל NAT שתואם לכתובת ה-IP של המקור שבה המכונה הווירטואלית משתמשת כשהיא מעבירה מנות. מידע נוסף זמין במאמר בנושא כללים שמבוססים על מקור (גרסת Preview).

    • אשכולות GKE: ‏ NAT ציבורי יכול לספק שירות גם אם לאשכול יש כתובות IP חיצוניות בנסיבות מסוימות. פרטים נוספים זמינים במאמר אינטראקציה עם GKE.

  • ב-NAT64, ‏ Public NAT יכול לספק NAT לחבילות יוצאות שנשלחות מהמקורות הבאים:

    • טווח הכתובות הפנימיות /96 של ממשק הרשת של המכונה הווירטואלית מסוג IPv6 בלבד.
    • טווח הכתובות החיצוניות /96 של ממשק הרשת של המכונה הווירטואלית עם IPv6 בלבד.

מסלולים וכללים לחומת אש

‫NAT ציבורי מסתמך על נתיבים סטטיים מקומיים שהדילוג הבא שלהם הוא שער האינטרנט שמוגדר כברירת מחדל. מסלול ברירת מחדל בדרך כלל עומד בדרישה הזו. מידע נוסף מופיע במאמר בנושא אינטראקציות עם מסלולים.

כללי חומת האש של Cloud NGFW מוחלים ישירות על ממשקי הרשת של מכונות וירטואליות ב-Compute Engine, ולא על שערים של Cloud NAT ל-NAT ציבורי.

כששער Cloud NAT ל-NAT ציבורי מספק NAT לממשק רשת של מכונה וירטואלית, כללי חומת האש הרלוונטיים לתעבורת נתונים יוצאת נבדקים כמנות עבור ממשק הרשת הזה לפני ה-NAT. כללי חומת האש לתעבורת נתונים נכנסת נבדקים אחרי שמנות עוברות עיבוד על ידי ה-NAT. אין צורך ליצור כללי חומת אש במיוחד בשביל ה-NAT.

עם זאת, אם רוצים להפעיל NAT64 ברשת VPC שיש בה כלל חומת אש שמונע תעבורת נתונים יוצאת (egress) ליעד IPv4, מומלץ ליצור כלל חומת אש נוסף שמונע תעבורת נתונים יוצאת (egress) לכתובת IPv6 שמוטמעת ב-IPv4 של היעד. כך מוודאים שתעבורת הנתונים מהמכונות הווירטואליות שמשתמשות ב-NAT64 לא יכולה לעקוף את כלל חומת האש של IPv4. לדוגמה, אם היעד בכלל IPv4 הוא 1.2.3.4/32, היעד בכלל IPv6 צריך להיות 64:ff9b:0102:0304/128. מידע נוסף על כתובות IPv6 מוטמעות ב-IPv4 זמין במאמר בנושא NAT64.

היקף החלות של טווח כתובות IP של רשת משנה

‫NAT ציבורי יכול לספק NAT לטווחי תת-רשתות של IPv4, לטווחי תת-רשתות של IPv6 או לשניהם:

  • עבור טווחים של תת-רשתות IPv4, אתם יכולים להשתמש באפשרויות הבאות כדי להגדיר NAT לטווחים של כתובות IP ראשיות, לטווחים של כתובות IP של כינויים או לשניהם:

    • טווחים של כתובות IPv4 ראשיות ומשניות של כל רשתות המשנה באזור: שער Cloud NAT יחיד מספק NAT לכתובות ה-IP הפנימיות הראשיות ולכל טווחי כתובות ה-IP של כינויים של מכונות וירטואליות שעומדות בדרישות, שממשקי הרשת שלהן משתמשים ברשת משנה של IPv4 באזור.

    • טווחי כתובות IPv4 ראשיים של כל רשתות המשנה באזור: שער Cloud NAT יחיד מספק NAT לכתובות ה-IP הפנימיות הראשיות ולטווחי כתובות ה-IP של הכינויים ממכונות וירטואליות שעומדות בדרישות ומשתמשות ברשת משנה של IPv4 באזור. אתם יכולים ליצור עוד שערים של Cloud NAT ל-NAT ציבורי באזור כדי לספק NAT לטווחים של כתובות IP של כינויים מטווחים של כתובות IP משניות של רשתות משנה של מכונות וירטואליות שעומדות בדרישות.

    • רשימת רשתות משנה בהתאמה אישית: שער Cloud NAT יחיד מספק NAT לכתובות ה-IP הפנימיות הראשיות ולכל טווחי כתובות ה-IP של כינויים של מכונות וירטואליות שעומדות בדרישות, שממשקי הרשת שלהן משתמשים ברשת משנה מתוך רשימה של רשתות משנה שצוינו.

    • טווחי כתובות IPv4 של תת-רשתות בהתאמה אישית: אפשר ליצור כמה שערים של Cloud NAT ל-NAT ציבורי שרוצים, בכפוף למכסות ולמגבלות של NAT ציבורי. אתם בוחרים אילו טווחי כתובות IP ראשיים או משניים של רשת משנה יקבלו שירות מכל שער.

  • בטווחים של רשתות משנה מסוג IPv6, אפשר להשתמש באפשרויות הבאות כדי להגדיר NAT לטווחים של כתובות IP פנימיות, לטווחים של כתובות IP חיצוניות או לשניהם:

    • טווחים של כתובות IPv6 פנימיות וחיצוניות של כל רשתות המשנה באזור: שער Cloud NAT יחיד מספק NAT לכל הטווחים של כתובות IP פנימיות וחיצוניות באזור.
    • רשימה מותאמת אישית של רשתות משנה: שער Cloud NAT יחיד מספק NAT לטווחים של כתובות IP פנימיות וכתובות IP חיצוניות של מכונות וירטואליות שעומדות בדרישות, שממשקי הרשת שלהן משתמשים ברשת משנה מתוך רשימה של רשתות משנה שצוינו.

כמה שערי Cloud NAT

יכולים להיות לכם כמה שערים של Cloud NAT ל-NAT ציבורי באותו אזור של רשת VPC, אם מתקיים אחד מהתנאים הבאים:

  • כל שער מוגדר לרשת משנה אחרת.

  • בתוך רשת משנה אחת, כל שער מוגדר לטווח כתובות IP שונה. אפשר למפות שער Cloud NAT ל-NAT ציבורי לכתובת IP ספציפית או לטווח כתובות IP ספציפיות באמצעות מיפוי Cloud NAT בהתאמה אישית.

כל עוד אין חפיפה בין שערים של NAT שמיפיתם, אתם יכולים ליצור כמה שערים של Cloud NAT ל-NAT ציבורי שאתם צריכים, בכפוף למכסות ולמגבלות של NAT ציבורי. מידע נוסף מופיע במאמר בנושא מגבלות של שערים של Cloud NAT.

רוחב פס

שימוש בשער Cloud NAT ל-NAT ציבורי לא משנה את כמות רוחב הפס היוצא או הנכנס שמכונה וירטואלית יכולה להשתמש בו. מפרטי רוחב הפס משתנים בהתאם לסוג המכונה. אפשר לעיין במאמר בנושא רוחב פס ברשת במאמרי העזרה של Compute Engine.

מכונות וירטואליות עם כמה ממשקי רשת

אם מגדירים למכונה וירטואלית כמה ממשקי רשת, הממשקים יכולים להיות באותה רשת VPC או ברשתות VPC שונות.

כמה נקודות שכדאי לחשוב עליהן:

  • אם למכונה וירטואלית יש כמה ממשקי רשת באותה רשת VPC, שער Cloud NAT יחיד ל-NAT ציבורי חל על כל הממשקים ברשת ה-VPC.
  • אם למכונה וירטואלית יש כמה ממשקי רשת, שכל אחד מהם נמצא ברשת VPC אחרת, שער Cloud NAT יחיד ל-NAT ציבורי יכול לחול רק על ממשק רשת אחד של המכונה הווירטואלית. שערי Cloud NAT נפרדים ל-NAT ציבורי יכולים לספק NAT לאותה מכונה וירטואלית, כאשר כל שער חל על ממשק נפרד.
  • לממשק אחד של מכונת VM עם כמה ממשקי רשת יכולה להיות כתובת IPv4 חיצונית, ולכן הממשק הזה לא יכול להיות מוגדר ל-NAT ציבורי. לעומת זאת, ממשק אחר של אותה מכונה יכול להיות מוגדר ל-NAT אם אין לו כתובת IPv4 חיצונית והגדרתם שער Cloud NAT ל-NAT ציבורי שיחול על טווח כתובות ה-IP המתאים של תת-הרשת. ב-IPv6 יש תמיכה בכתובות IPv6 פנימיות וחיצוניות.

כתובות IP ויציאות של NAT

כשיוצרים שער Cloud NAT ל-NAT ציבורי, אפשר לבחור שהשער יקצה באופן אוטומטי כתובות IP חיצוניות אזוריות. לחלופין, אפשר להקצות ידנית מספר קבוע של כתובות IP חיצוניות אזוריות לשער.

כשמגדירים שער Cloud NAT ל-NAT ציבורי עם הקצאה אוטומטית של כתובות IP של NAT, צריך לשים לב לנקודות הבאות:

  • אתם יכולים לבחור את מסלולי שירות הרשת (מסלול פרימיום או מסלול רגיל) שמתוכם שער Cloud NAT מקצה את כתובות ה-IP.

  • כשמשנים את רמת השירות של שער Cloud NAT ל-NAT ציבורי שהוקצו לו באופן אוטומטי כתובות IP של NAT, Google Cloud מערכת Cloud NAT משחררת את כל כתובות ה-IP שהוקצו לשער הזה ומבטלת את כל הקצאות היציאות.

    מוקצה באופן אוטומטי קבוצה חדשה של כתובות IP מהרמה שנבחרה, ומוקצים יציאות חדשות לכל נקודות הקצה.

בשער Cloud NAT נתון ל-NAT ציבורי, אפשר גם להקצות כתובות IP באופן ידני ממסלול פרימיום, ממסלול רגיל או משניהם, בכפוף לתנאים מסוימים.

לפרטים על הקצאת כתובות IP של NAT, ראו כתובות IP ציבוריות של NAT.

אפשר להגדיר את מספר יציאות המקור שכל שער Cloud NAT ל-NAT ציבורי שומר בכל מכונה וירטואלית שעבורה הוא מספק שירותי NAT. אפשר להגדיר הקצאת יציאות סטטית, שבה מספר היציאות זהה לכל מכונה וירטואלית, או הקצאת יציאות דינמית, שבה מספר היציאות יכול להיות בין המינימום למקסימום שאתם מציינים.

המכונות הווירטואליות שעבורן יסופק NAT נקבעות לפי טווח כתובות ה-IP של רשתות המשנה שהשער מוגדר לשרת.

מידע נוסף על יציאות זמין במאמר יציאות.

מספרי RFC רלוונטיים

‫NAT ציבורי תומך במיפוי ללא תלות בנקודת קצה ובסינון שתלוי בנקודת קצה, כפי שמוגדר ב-RFC 5128. אפשר להפעיל או להשבית מיפוי ללא תלות בנקודת קצה. כברירת מחדל, מיפוי ללא תלות בנקודת קצה מושבת כשיוצרים שער NAT.

מיפוי ללא תלות בנקודת קצה פירושו שאם מכונה וירטואלית שולחת חבילות מכתובת IP פנימית ומזוג יציאות נתון לכמה יעדים שונים, השער ממפה את כל החבילות האלה לאותה כתובת IP של NAT ולזוג יציאות, ללא קשר ליעד של החבילות. פרטים והשלכות שרלוונטיים למיפוי ללא תלות בנקודת קצה זמינים במאמר בנושא שימוש חוזר בו-זמני ביציאה ומיפוי ללא תלות בנקודת קצה.

סינון שתלוי בנקודת הקצה פירושו שמותר לחבילות תגובה מהאינטרנט להיכנס רק אם הן מגיעות מכתובת IP ומפורט שהמכונה הווירטואלית כבר שלחה אליהן חבילות. הסינון תלוי בנקודת הקצה, ללא קשר לסוג מיפוי נקודות הקצה. התכונה הזו מופעלת תמיד והמשתמשים לא יכולים להגדיר אותה.

מידע נוסף על הקשר בין יציאות לחיבורים זמין במאמרים יציאות וחיבורים ודוגמה לזרימת NAT.

‫NAT ציבורי הוא Port Restricted Cone NAT כפי שמוגדר ב-RFC 3489.

NAT traversal

אם מופעלת מיפוי ללא תלות בנקודת קצה, NAT ציבורי תואם לפרוטוקולים נפוצים של מעבר NAT כמו STUN ו-TURN, אם אתם פורסים שרתי STUN או TURN משלכם:

  • ‫STUN (Session Traversal Utilities for NAT,‏ RFC 5389) מאפשר תקשורת ישירה בין מכונות וירטואליות מאחורי NAT כשנוצר ערוץ תקשורת.
  • ‫TURN (Traversal Using Relays around NAT,‏ RFC 5766) מאפשר תקשורת בין מכונות וירטואליות מאחורי NAT באמצעות שרת צד שלישי, שבו לשרת יש כתובת IP חיצונית. כל מכונה וירטואלית מתחברת לכתובת ה-IP החיצונית של השרת, והשרת הזה מעביר את התקשורת בין שתי המכונות הווירטואליות. פרוטוקול TURN חזק יותר, אבל הוא צורך יותר רוחב פס ומשאבים.

הזמן הקצוב לתפוגה של NAT

ב-NAT ציבורי מוגדרים ערכי הזמן הקצוב לתפוגה לחיבורי פרוטוקול. מידע על הזמנים הקצובים לתפוגה האלה ועל ערכי ברירת המחדל שלהם זמין במאמר בנושא זמנים קצובים לתפוגה של NAT.

‫NAT44 ב-Public NAT

התרשים הבא מציג הגדרת NAT ציבורית בסיסית לתנועת נתונים ב-IPv4:

דוגמה לתרגום של כתובת IPv4 ציבורית באמצעות NAT.
דוגמה לתרגום NAT ציבורי (לחצו כדי להגדיל).

בדוגמה הזו:

  • השער nat-gw-us-east מוגדר לחול על טווח כתובות ה-IP הראשי של subnet-1 באזור us-east1. מכונה וירטואלית שממשק הרשת שלה לא כולל כתובת IP חיצונית יכולה לשלוח תנועה לאינטרנט באמצעות כתובת ה-IP הפנימית הראשית שלה או טווח כתובות IP של כינוי מטווח כתובות ה-IP הראשי של subnet-1, ‏ 10.240.0.0/16.

  • מכונה וירטואלית שממשק הרשת שלה לא כולל כתובת IP חיצונית, וכתובת ה-IP הפנימית הראשית שלה נמצאת ב-subnet-2, לא יכולה לגשת לאינטרנט כי אף שער Cloud NAT לא חל על אף טווח כתובות IP של רשת המשנה הזו.

  • השער nat-gw-eu מוגדר לחול על טווח כתובות ה-IP הראשי של subnet-3 באזור europe-west1. מכונה וירטואלית שממשק הרשת שלה לא כולל כתובת IP חיצונית יכולה לשלוח תנועה לאינטרנט באמצעות כתובת ה-IP הפנימית הראשית שלה או טווח כתובות IP של כינוי מטווח כתובות ה-IP הראשי של subnet-3, ‏ 192.168.1.0/24.

תהליך עבודה לדוגמה

בתרשים שלמעלה, מכונה וירטואלית עם כתובת IP פנימית ראשית 10.240.0.4, ללא כתובת IP חיצונית, צריכה להוריד עדכון מכתובת ה-IP החיצונית 10.240.0.4.203.0.113.1 בתרשים, שער nat-gw-us-east מוגדר באופן הבא:

  • מספר יציאות מינימלי לכל מופע: 64
  • הוקצו ידנית שתי כתובות IP של NAT: ‏ 192.0.2.50 ו-192.0.2.60
  • הוזן NAT לטווח הכתובות הראשי של כתובות ה-IP‏ subnet-1

ב-NAT ציבורי פועלים לפי התהליך של שמירת יציאות כדי לשמור את כתובת ה-IP של מקור ה-NAT ואת הטופלים של יציאת המקור לכל אחת מהמכונות הווירטואליות ברשת. לדוגמה, שער Cloud NAT ל-NAT ציבורי שומר 64 יציאות מקור למכונה וירטואלית עם כתובת IP פנימית 10.240.0.4. לכתובת ה-IP של NAT‏ 192.0.2.50 יש 64 יציאות לא שמורות, לכן השער שומר את קבוצת הטפלים הבאה של כתובת ה-IP של מקור NAT ויציאת המקור עבור מכונת ה-VM הזו:

  • 192.0.2.50:34000 עד 192.0.2.50:34063

כשמכונה וירטואלית שולחת חבילת נתונים לשרת העדכון 203.0.113.1 ביעד, יציאה 80, באמצעות פרוטוקול TCP, מתרחשים הדברים הבאים:

  • המכונה הווירטואלית שולחת מנה של בקשה עם המאפיינים הבאים:

    • כתובת ה-IP של המקור: 10.240.0.4, כתובת ה-IP הפנימית הראשית של מכונת ה-VM
    • יציאת המקור: 24000, יציאת המקור הארעית שנבחרה על ידי מערכת ההפעלה של המכונה הווירטואלית
    • כתובת היעד: 203.0.113.1, כתובת ה-IP החיצונית של שרת העדכון
    • יציאת היעד: 80, יציאת היעד של תעבורת HTTP לשרת העדכונים
    • פרוטוקול: TCP

  • שער nat-gw-us-east מבצע תרגום כתובות רשת של המקור (SNAT) בתעבורת נתונים יוצאת (egress), וכותב מחדש את כתובת ה-IP של המקור של חבילת הבקשה ואת יציאת המקור. החבילה ששונתה נשלחת לאינטרנט אם ברשת הענן הווירטואלי הפרטי (VPC) יש מסלול ליעד 203.0.113.1 שהניתוב הבא שלו הוא שער האינטרנט שמוגדר כברירת מחדל. בדרך כלל מסלול ברירת מחדל עומד בדרישה הזו.

    • כתובת ה-IP של המקור של NAT: ‏ 192.0.2.50, מתוך אחת מהטבלאות של כתובת ה-IP של המקור של NAT והיציאה של המקור ששמורה למכונה הווירטואלית
    • יציאת מקור: 34022, יציאת מקור לא בשימוש מאחד הטפלים של יציאות המקור השמורות של המכונה הווירטואלית
    • כתובת היעד: 203.0.113.1, ללא שינוי
    • יציאת היעד: 80, ללא שינוי
    • פרוטוקול: TCP, ללא שינוי

  • כששרת העדכון שולח מנה של תגובה, המנה הזו מגיעה לשער nat-gw-us-east עם המאפיינים הבאים:

    • כתובת ה-IP של המקור: 203.0.113.1, כתובת ה-IP החיצונית של שרת העדכון
    • יציאת המקור: 80, תגובת ה-HTTP משרת העדכון
    • כתובת היעד: 192.0.2.50, זהה לכתובת ה-IP המקורית של המקור ב-NAT של חבילת הבקשה
    • יציאת היעד: 34022, תואמת ליציאת המקור של חבילת הבקשה
    • פרוטוקול: TCP, ללא שינוי

  • שער nat-gw-us-east מבצע תרגום כתובת רשת של יעד (DNAT) בחבילת התגובה, וכותב מחדש את כתובת היעד ואת יציאת היעד של חבילת התגובה, כך שהחבילה מועברת למכונה הווירטואלית:

    • כתובת ה-IP של המקור: 203.0.113.1, ללא שינוי
    • יציאה של המקור: 80, ללא שינוי
    • כתובת היעד: 10.240.0.4, כתובת ה-IP הפנימית הראשית של מכונת ה-VM
    • יציאת היעד: 24000, שתואמת ליציאת המקור הארעית המקורית של חבילת הבקשה
    • פרוטוקול: TCP, ללא שינוי

‫NAT64 ב-NAT ציבורי

‫NAT64 מאפשר למכונות וירטואליות עם ממשקי רשת IPv6 בלבד לתקשר עם יעדי IPv4 באינטרנט. ‫NAT ציבורי תומך ב-NAT64 גם לכתובות IPv6 חיצוניות וגם לכתובות IPv6 פנימיות. אם רוצים להגדיר NAT64, צריך להגדיר גם DNS64.

הגדרת DNS64 ב-Cloud DNS מאפשרת את ההתנהגות הבאה:

  • כשמכונה וירטואלית עם IPv6 בלבד יוזמת בקשה לזיהוי השם של יעד באינטרנט שיש לו רק כתובת IPv4, שרת DNS64 מחפש רשומות A.

  • אם נמצאת רשומת A, שרת DNS64 יוצר כתובת IPv6 עם כתובת IPv4 מוטמעת על ידי הוספת הקידומת 64:ff9b::/96 לפני כתובת היעד IPv4 שהתקבלה מרשומת A. לדוגמה, אם כתובת ה-IPv4 של היעד היא 203.0.113.1, השרת מחזיר את הערך 64:ff9b::cb00:7101, כאשר cb00:7101 הוא הייצוג ההקסדצימלי של 203.0.113.1.

    מידע נוסף זמין במאמר בנושא DNS64.

כשהבקשה מגיעה לשער Cloud NAT עם NAT64 מופעל, השער מבצע SNAT באופן הבא:

  • מחליף את כתובת ה-IPv6 והיציאה של המקור באחת מכתובות ה-IPv4 והיציאות החיצוניות שהוקצו לשער.

  • מתרגם את כתובת היעד הסינתטית מסוג IPv6, לדוגמה, 64:ff9b::cb00:7101, לכתובת המקורית מסוג IPv4 באמצעות 32 הביטים האחרונים של הכתובת הסינתטית.

    שער Cloud NAT משתמש גם ב-32 הביטים האחרונים של כתובת ה-IPv6 הסינתטית כדי לקבוע איך חבילת הבקשה מנותבת לאינטרנט. כשמכונה וירטואלית עם IPv6 בלבד שולחת חבילה ליעד עם הקידומת 64:ff9b::/96, השער מחיל את טבלת הניתוב של IPv4 ברשת ה-VPC על כתובת היעד של IPv4. אם בטבלת הניתוב של IPv4 יש נתיב לכתובת היעד של IPv4, והקפיצה הבאה היא שער האינטרנט שמוגדר כברירת מחדל, החבילה ששונתה נשלחת לאינטרנט.

כשמתקבלת תגובה, שער Cloud NAT מבצע DNAT באופן הבא:

  • הוספת הקידומת 64:ff9b::/96 לכתובת ה-IP של המקור של חבילת התגובה.
  • כתיבה מחדש של כתובת היעד ויציאת היעד של חבילת התגובה, כך שהחבילה תועבר למכונה הווירטואלית.

לפני שמגדירים NAT64, כדאי לעיין במגבלות ובמסלולים וכללי חומת אש.

המאמרים הבאים