Network Address Translation mit Private NAT einrichten und verwalten

Auf dieser Seite wird beschrieben, wie Sie die private Netzwerkadressübersetzung (NAT) in Cloud NAT konfigurieren.

Hinweis

Führen Sie die folgenden Aufgaben aus, bevor Sie Private NAT einrichten.

Umgebung vorbereiten

Je nachdem, ob Sie die Google Cloud Console oder die gcloud CLI zum Einrichten von Private NAT verwenden möchten, konfigurieren Sie die folgenden Ressourcen in Google Cloud.

Console

  1. Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

gcloud

  1. Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
  2. Installieren Sie die Google Cloud CLI.

  3. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  4. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

    gcloud init
  5. Erstellen Sie ein Google Cloud Projekt oder wählen Sie eines aus.

    Rollen, die zum Auswählen oder Erstellen eines Projekts erforderlich sind

    • Projekt auswählen: Für die Auswahl eines Projekts ist keine bestimmte IAM-Rolle erforderlich. Sie können jedes Projekt auswählen, für das Ihnen eine Rolle zugewiesen wurde.
    • Projekt erstellen: Zum Erstellen eines Projekts benötigen Sie die Rolle „Projektersteller“ (roles/resourcemanager.projectCreator), die die Berechtigung resourcemanager.projects.create enthält. Weitere Informationen zum Zuweisen von Rollen
    • So erstellen Sie ein Google Cloud Projekt:

      gcloud projects create PROJECT_ID

      Ersetzen Sie PROJECT_ID durch einen Namen für das Google Cloud Projekt, das Sie erstellen.

    • Wählen Sie das von Ihnen erstellte Google Cloud Projekt aus:

      gcloud config set project PROJECT_ID

      Ersetzen Sie PROJECT_ID durch den Namen Ihres Projekts in Google Cloud .

  6. Prüfen Sie, ob die Abrechnung für Ihr Google Cloud Projekt aktiviert ist.

  7. Aktivieren Sie die Compute Engine API:

    Rollen, die zum Aktivieren von APIs erforderlich sind

    Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen

    gcloud services enable compute.googleapis.com
  8. Installieren Sie die Google Cloud CLI.

  9. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  10. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

    gcloud init
  11. Erstellen Sie ein Google Cloud Projekt oder wählen Sie eines aus.

    Rollen, die zum Auswählen oder Erstellen eines Projekts erforderlich sind

    • Projekt auswählen: Für die Auswahl eines Projekts ist keine bestimmte IAM-Rolle erforderlich. Sie können jedes Projekt auswählen, für das Ihnen eine Rolle zugewiesen wurde.
    • Projekt erstellen: Zum Erstellen eines Projekts benötigen Sie die Rolle „Projektersteller“ (roles/resourcemanager.projectCreator), die die Berechtigung resourcemanager.projects.create enthält. Weitere Informationen zum Zuweisen von Rollen
    • So erstellen Sie ein Google Cloud Projekt:

      gcloud projects create PROJECT_ID

      Ersetzen Sie PROJECT_ID durch einen Namen für das Google Cloud Projekt, das Sie erstellen.

    • Wählen Sie das von Ihnen erstellte Google Cloud Projekt aus:

      gcloud config set project PROJECT_ID

      Ersetzen Sie PROJECT_ID durch den Namen Ihres Projekts in Google Cloud .

  12. Prüfen Sie, ob die Abrechnung für Ihr Google Cloud Projekt aktiviert ist.

  13. Aktivieren Sie die Compute Engine API:

    Rollen, die zum Aktivieren von APIs erforderlich sind

    Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen

    gcloud services enable compute.googleapis.com

IAM-Berechtigungen abrufen

Die Rolle Compute Network Admin (roles/compute.networkAdmin) berechtigt Sie, ein NAT-Gateway zu erstellen, NAT-IP-Adressen zu reservieren und zuzuweisen sowie Subnetze anzugeben, deren Traffic eine Netzwerkadressübersetzung vom NAT-Gateway verwenden muss.

NAT-Subnetz erstellen

Bevor Sie Private NAT konfigurieren, erstellen Sie ein NAT-Subnetz mit dem Zweck PRIVATE_NAT. Das NAT-Subnetz muss sich in derselben Region befinden, in der Sie das Private NAT-Gateway erstellen möchten. Das Private NAT-Gateway verwendet IP-Adressbereiche aus diesem Subnetz, um NAT auszuführen. Achten Sie darauf, dass sich dieses Subnetz nicht mit einem vorhandenen Subnetz in einem der verbundenen Netzwerke überschneidet. In diesem Subnetz können Sie keine Ressourcen erstellen. Dieses Subnetz wird nur für Private NAT verwendet.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf den Namen eines VPC-Netzwerks, um die Seite „VPC-Netzwerkdetails“ aufzurufen.

  3. Klicken Sie auf den Tab Subnetze.

  4. Klicken Sie auf Subnetz hinzufügen. Führen Sie im Dialogfeld Subnetz hinzufügen die folgenden Schritte aus:

    1. Geben Sie einen Namen für das Subnetz an.
    2. Wählen Sie eine Region aus.
    3. Wählen Sie als Zweck die Option Private NAT aus.
    4. Geben Sie einen IP-Adressbereich ein, der den primären IPv4-Bereich für das Subnetz darstellt.

      Wenn Sie einen Bereich auswählen, der keine RFC 1918-Adresse ist, prüfen Sie, ob der Bereich mit einer vorhandenen Konfiguration in Konflikt steht. Weitere Informationen zu gültigen IPv4-Subnetzbereichen finden Sie unter IPv4-Subnetzbereiche.

  5. Klicken Sie auf Hinzufügen.

gcloud

Erstellen Sie das Subnetz mit dem Befehl gcloud compute networks subnet create:

  gcloud compute networks subnets create NAT_SUBNET \
      --network=NETWORK \
      --region=REGION \
      --range=IP_RANGE \
      --purpose=PRIVATE_NAT

Dabei gilt:

  • NAT_SUBNET: Der Name des zu erstellenden Private NAT-Subnetzbereichs.
  • NETWORK: Das Netzwerk, zu dem das Subnetzwerk gehört.
  • REGION: Die Region des zu erstellenden Subnetzwerks. Wenn keine Angabe erfolgt, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).
  • IP_RANGE: Der diesem Subnetz zugewiesene IP-Bereich im CIDR-Format. Achten Sie darauf, dass IP_RANGE die doppelte Anzahl der Ports berücksichtigt, die pro VM erforderlich sind.

DNS64 konfigurieren

Wenn Sie die Übersetzung von IPv6 zu IPv4 (NAT64) verwenden möchten, müssen die Zieladressen mit dem Präfix 64:ff9b::/96 übereinstimmen. Sie können DNS64 konfigurieren, um automatisch in IPv4 eingebettete IPv6-Adressen zu synthetisieren, indem Sie dieses Präfix Ihren Ziel-IPv4-Adressen voranstellen.

Überspringen Sie diesen Schritt, wenn Sie Cloud NAT nur für IPv4-Traffic verwenden möchten.

Private NAT konfigurieren

Sie konfigurieren Private NAT, indem Sie ein Cloud NAT-Gateway im Quell-VPC-Netzwerk erstellen. Jedes Gateway ist einem einzelnen VPC-Netzwerk, einer Region und einem Cloud Router zugeordnet.

Beim Erstellen eines Cloud NAT-Gateways für Private NAT können Sie die folgenden Optionen konfigurieren.

Konfiguration Unterstützte Optionen Beschreibung
Quell-IP-Version
  • IPv4-Subnetzbereiche
  • IPv6-Subnetzbereiche

Private NAT unterstützt die Übersetzung von IPv4 zu IPv4 (NAT44) und von IPv6 zu IPv4 (NAT64). Sie können das Gateway für NAT44 oder NAT64 konfigurieren, aber nicht für beides.

  • Wenn Sie IPv4-Subnetzbereiche konfigurieren, können reine IPv4-VM-Instanzen und Dual-Stack-VM-Instanzen (über ihre IPv4-Adressen) in reinen IPv4- und Dual-Stack-Subnetzen mit IPv4-Zielen kommunizieren.
  • Wenn Sie IPv6-Subnetzbereiche konfigurieren, können reine IPv6-VM-Instanzen in reinen IPv6- und Dual-Stack-Subnetzen mit IPv4-Zielen kommunizieren.
Quellsubnetze

Für IPv4-Traffic:

  • Primäre und sekundäre Bereiche für alle Subnetze
  • Benutzerdefiniert

Für IPv6-Traffic:

  • Alle Subnetze
  • Benutzerdefiniert

Private NAT unterstützt die folgenden Subnetzbereiche in der Region für das von Ihnen angegebene VPC-Netzwerk:

  • Für IPv4-Traffic: primäre und sekundäre Bereiche
  • Für IPv6-Traffic: interne und externe Bereiche

Sie können einschränken, welche Subnetze NAT verwenden können.

Verbindungstyp
  • Network Connectivity Center-Hub
  • Hybridkonnektivitätsrouten
  • IPv6-Quelltraffic (für NAT64)

Private NAT unterstützt die folgenden Optionen für NAT44:

Sie können eine oder beide Optionen aktivieren.

Bei NAT64 wird mit der Option IPv6-Quelltraffic (für NAT64) Private NAT für alle unterstützten Ziele konfiguriert.

Erweiterte Konfigurationen
  • Dynamische oder statische Portzuweisung
  • Logging
  • NAT-Zeitlimits

Standardmäßig wird bei Private NAT die dynamische Portzuweisung verwendet. Das Cloud NAT-Gateway kann jeder VM je nach Nutzung dynamisch Ports zuweisen.

Logging ist standardmäßig deaktiviert. Informationen zu NAT-Zeitlimits und ihren Standardwerten finden Sie unter NAT-Zeitlimits.

Cloud NAT-Gateway erstellen

Erstellen Sie ein Cloud NAT-Gateway im VPC-Netzwerk und in der Region, in der Sie Private NAT konfigurieren möchten. Sie können das Gateway so konfigurieren, dass NAT auf IPv4-Subnetzbereiche (NAT44) oder IPv6-Subnetzbereiche (NAT64) angewendet wird, aber nicht auf beides.

Gateway für IPv4-Bereiche erstellen (NAT44)

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite „Cloud NAT”

  2. Klicken Sie auf Erste Schritte oder, wenn Sie bereits Gateways haben, auf Cloud NAT-Gateway erstellen.
  3. Geben Sie einen Gateway-Namen ein.
  4. Wählen Sie als NAT-Typ Private aus.
  5. Wählen Sie das VPC-Netzwerk und die Region aus, in der Sie das Gateway erstellen möchten.
  6. Wählen Sie einen Cloud Router in der Region aus oder erstellen Sie einen.
  7. Achten Sie im Bereich Cloud NAT-Zuordnung darauf, dass für Quellendpunkttyp die Option VM-Instanzen, GKE-Knoten, serverlose Endpunkte ausgewählt ist.
  8. Wählen Sie im Feld Quell-IP-Version die Option IPv4-Subnetzbereiche aus.
  9. Wählen Sie im Feld Quellsubnetze die Option Benutzerdefiniert aus.
  10. Wählen Sie im Bereich Subnetze ein Subnetz aus, für das Sie NAT konfigurieren möchten. Wenn Sie weitere Bereiche angeben möchten, klicken Sie auf Subnetz und IP-Bereich hinzufügen und fügen Sie ein weiteres Subnetz hinzu.
  11. Fügen Sie eine NAT-Regel hinzu, um zu definieren, welcher Typ von Private NAT für die Subnetzbereiche aktiviert ist, die Sie im vorherigen Schritt ausgewählt haben, und konfigurieren Sie einen privaten Subnetzbereich, den Sie für NAT verwenden möchten:
    1. Klicken Sie auf Regel hinzufügen.
    2. Geben Sie im Feld Regelpriorität einen beliebigen Wert zwischen 0 und 65000 ein.
    3. Wählen Sie für Abgleich eine der folgenden Optionen aus:
      • Hybridkonnektivitätsrouten: Aktiviert Hybrid NAT.
      • Network Connectivity Center-Hub: Aktiviert Private NAT für NCC-Spokes.

      Wenn Sie beide Arten von Private NAT aktivieren möchten, wählen Sie Hybridkonnektivitätsrouten und Network Connectivity Center-Hub aus.

    4. Wählen Sie einen Private NAT-Subnetzbereich aus oder erstellen Sie einen.
    5. Klicken Sie auf Fertig.
  12. Optional: Passen Sie die folgenden Einstellungen im Abschnitt Erweiterte Konfigurationen an:
    • Ob das Logging konfiguriert werden soll. Standardmäßig ist Kein Logging ausgewählt.
    • Ob die Portzuweisung in Cloud NAT geändert werden soll. Standardmäßig ist Dynamische Portzuweisung aktivieren ausgewählt. Wenn Sie die statische Portzuweisung konfigurieren möchten, deaktivieren Sie Dynamische Portzuweisung aktivieren und geben Sie die Mindestanzahl an Ports pro VM-Instanz an. Der Standardwert ist 64.
    • Gibt an, ob NAT-Zeitlimits für Protokollverbindungen aktualisiert werden sollen. Informationen zu diesen Zeitlimits und ihren Standardwerten finden Sie unter NAT-Zeitlimits.
  13. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie einen Cloud Router in der Region des VPC-Netzwerk, in dem Sie Private NAT konfigurieren möchten. Sie benötigen diesen Cloud Router, um Ihr Gateway zu erstellen.

    Führen Sie den Befehl gcloud compute routers create aus.

    gcloud compute routers create ROUTER_NAME \
      --network=NETWORK --region=REGION
    

    Ersetzen Sie Folgendes:

    • ROUTER_NAME: Ein Name für den Cloud Router.
    • NETWORK: Das VPC-Netzwerk, in dem der Cloud Router erstellt werden soll.
    • REGION: Die Region, in der der Cloud Router erstellt werden soll.
  2. Erstellen Sie das Gateway und geben Sie ein oder mehrere Subnetze des VPC-Netzwerk an, für die Sie NAT konfigurieren möchten. Standardmäßig wird bei Private NAT die dynamische Portzuweisung verwendet.

    Führen Sie den Befehl gcloud compute routers nats create mit dem Flag --type=PRIVATE aus.

    gcloud compute routers nats create NAT_CONFIG \
      --router=ROUTER_NAME \
      --region=REGION \
      --type=PRIVATE \
      --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL,[SUBNETWORK_1:ALL,...]
    

    Ersetzen Sie Folgendes:

    • NAT_CONFIG: Name Ihrer NAT-Konfiguration
    • ROUTER_NAME: Name des Cloud Routers, den Sie im vorherigen Schritt erstellt haben
    • REGION: Region des Cloud Routers
    • SUBNETWORK: Der Name des Subnetzes oder der Subnetze (kommagetrennt), für die Sie NAT verwenden möchten.

    Wenn Sie ein Gateway mit statischer Portzuweisung erstellen möchten, führen Sie den vorherigen Befehl mit den Flags --no-enable-dynamic-port-allocation und --min-ports-per-vm=VALUE aus und ersetzen Sie VALUE durch die Mindestanzahl an Ports. Wenn das Flag --min-ports-per-vm nicht angegeben ist, ist der Standardwert 64.

  3. Erstellen Sie eine NAT-Regel, um Traffic basierend auf dem Typ der Private NAT-Konfiguration abzugleichen.

    Verwenden Sie den Befehl gcloud compute routers nats rules create, wobei das Flag --match auf eine der folgenden Optionen gesetzt ist:

    • --match='nexthop.hub': Aktiviert Private NAT für NCC-Spokes.
    • --match='nexthop.is_hybrid': Aktiviert Hybrid NAT.
    • --match='nexthop.hub == "HUB" || nexthop.is_hybrid': Aktiviert beide Arten von Private NAT.

    Führen Sie den folgenden Befehl aus, um eine NAT-Regel für Private NAT für NCC-Spokes zu erstellen:

    gcloud compute routers nats rules create NAT_RULE_PRIORITY \
      --router=ROUTER_NAME --region=REGION \
      --nat=NAT_CONFIG \
      --match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \
      --source-nat-active-ranges=NAT_SUBNET
    

    Führen Sie den folgenden Befehl aus, um eine NAT-Regel für Hybrid NAT zu erstellen:

    gcloud compute routers nats rules create NAT_RULE_PRIORITY \
      --router=ROUTER_NAME \
      --region=REGION \
      --nat=NAT_CONFIG \
      --match='nexthop.is_hybrid' \
      --source-nat-active-ranges=NAT_SUBNET
    

    Führen Sie den folgenden Befehl aus, um eine NAT-Regel für Private NAT für NCC-Spokes und Hybrid NAT zu erstellen:

    gcloud compute routers nats rules create NAT_RULE_PRIORITY \
      --router=ROUTER_NAME \
      --region=REGION \
      --nat=NAT_CONFIG \
      --match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB" || nexthop.is_hybrid' \
      --source-nat-active-ranges=NAT_SUBNET
    

    Ersetzen Sie Folgendes:

    • NAT_RULE_PRIORITY: Die Regelnummer, die die NAT-Regel eindeutig identifiziert. Geben Sie eine beliebige Zahl zwischen 0 und 65000 an.
    • ROUTER_NAME: Der Name des Cloud Router, den Sie zuvor erstellt haben.
    • REGION: Region des Cloud Routers
    • NAT_CONFIG: Der Name der NAT-Konfiguration, die Sie zuvor erstellt haben.
    • PROJECT_ID: Das Google Cloud Projekt des NCC-Hubs.
    • HUB: Name des NCC-Hubs
    • NAT_SUBNET: Der Name des Private NAT-Subnetzes oder der Subnetze (kommagetrennt), die Sie zuvor erstellt haben.

Gateway für IPv6-Bereiche erstellen (NAT64)

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite „Cloud NAT”

  2. Klicken Sie auf Erste Schritte oder, wenn Sie bereits Gateways haben, auf Cloud NAT-Gateway erstellen.
  3. Geben Sie einen Gateway-Namen ein.
  4. Wählen Sie als NAT-Typ Private aus.
  5. Wählen Sie das VPC-Netzwerk und die Region aus, in der Sie das Gateway erstellen möchten.
  6. Wählen Sie einen Cloud Router in der Region aus oder erstellen Sie einen.
  7. Achten Sie im Bereich Cloud NAT-Zuordnung darauf, dass für Quellendpunkttyp die Option VM-Instanzen, GKE-Knoten, serverlose Endpunkte ausgewählt ist.
  8. Wählen Sie im Feld Quell-IP-Version die Option IPv6-Subnetzbereiche aus.
  9. Führen Sie im Feld Quellsubnetze einen der folgenden Schritte aus:
    • Wenn Sie Cloud NAT für alle IPv6-Subnetze in der Region verwenden möchten, wählen Sie Alle Subnetze aus.
    • Wenn Sie einschränken möchten, welche Subnetze Cloud NAT verwenden können, wählen Sie Benutzerdefiniert aus und wählen Sie dann ein Subnetz aus. Wenn Sie weitere Subnetze angeben möchten, klicken Sie auf Subnetz hinzufügen und fügen Sie ein weiteres Subnetz hinzu.
  10. Fügen Sie eine NAT-Regel hinzu, um einen privaten Subnetzbereich zu konfigurieren, den Sie für NAT verwenden möchten:
    1. Klicken Sie auf Regel hinzufügen.
    2. Geben Sie im Feld Regelpriorität einen beliebigen Wert zwischen 0 und 65000 ein.
    3. Wählen Sie einen Private NAT-Subnetzbereich aus oder erstellen Sie einen.
    4. Klicken Sie auf Fertig.
  11. Optional: Passen Sie die folgenden Einstellungen im Abschnitt Erweiterte Konfigurationen an:
    • Ob das Logging konfiguriert werden soll. Standardmäßig ist Kein Logging ausgewählt.
    • Ob die Portzuweisung in Cloud NAT geändert werden soll. Standardmäßig ist Dynamische Portzuweisung aktivieren ausgewählt. Wenn Sie die statische Portzuweisung konfigurieren möchten, deaktivieren Sie Dynamische Portzuweisung aktivieren und geben Sie die Mindestanzahl an Ports pro VM-Instanz an. Der Standardwert ist 64.
    • Gibt an, ob NAT-Zeitlimits für Protokollverbindungen aktualisiert werden sollen. Informationen zu diesen Zeitlimits und ihren Standardwerten finden Sie unter NAT-Zeitlimits.
  12. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie einen Cloud Router in der Region des VPC-Netzwerks, in dem Sie Private NAT konfigurieren möchten. Sie benötigen diesen Cloud Router, um Ihr Gateway zu erstellen.

    Führen Sie den Befehl gcloud compute routers create aus.

    gcloud compute routers create ROUTER_NAME \
      --network=NETWORK --region=REGION
    

    Ersetzen Sie Folgendes:

    • ROUTER_NAME: Ein Name für den Cloud Router.
    • NETWORK: Das VPC-Netzwerk, in dem der Cloud Router erstellt werden soll.
    • REGION: Die Region, in der der Cloud Router erstellt werden soll.
  2. Erstellen Sie das Cloud NAT-Gateway.

    Führen Sie den Befehl gcloud compute routers nats create mit dem Flag --type=PRIVATE aus.

    • Führen Sie den folgenden Befehl aus, um Private NAT für alle IPv6-Subnetzbereiche zu konfigurieren:

      gcloud compute routers nats create NAT_CONFIG \
        --router=ROUTER_NAME \
        --region=REGION \
        --type=PRIVATE \
        --nat64-all-v6-subnet-ip-ranges
      
    • Führen Sie den folgenden Befehl aus, um Private NAT für benutzerdefinierte IPv6-Subnetzbereiche zu konfigurieren:

      gcloud compute routers nats create NAT_CONFIG \
        --router=ROUTER_NAME \
        --region=REGION \
        --type=PRIVATE \
        --nat64-custom-v6-subnet-ip-ranges=SUBNETWORK,[SUBNETWORK_1,…]
      

    Ersetzen Sie Folgendes:

    • NAT_CONFIG: Name Ihrer NAT-Konfiguration
    • ROUTER_NAME: Name des Cloud Routers, den Sie im vorherigen Schritt erstellt haben
    • REGION: Region des Cloud Routers
    • SUBNETWORK: Der Name des Subnetzes oder der Subnetze (kommagetrennt), für die Sie NAT verwenden möchten.
  3. Erstellen Sie eine NAT-Regel für NAT64. Führen Sie den Befehl gcloud beta compute routers nats rules create mit dem Flag --match aus.

    gcloud beta compute routers nats rules create NAT_RULE_PRIORITY \
      --router=ROUTER_NAME \
      --region=REGION \
      --nat=NAT_CONFIG \
      --match='isIPv6(source.ip)' \
      --source-nat-active-ranges=NAT_SUBNET
    

    Ersetzen Sie Folgendes:

    • NAT_RULE_PRIORITY: Die Regelnummer, die die NAT-Regel eindeutig identifiziert. Geben Sie eine beliebige Zahl zwischen 0 und 65000 an.
    • ROUTER_NAME: Der Name des Cloud Router, den Sie zuvor erstellt haben.
    • REGION: Region des Cloud Routers
    • NAT_CONFIG: Der Name der NAT-Konfiguration, die Sie zuvor erstellt haben.
    • NAT_SUBNET: Der Name des Private NAT-Subnetzes oder der Subnetze (kommagetrennt), die Sie zuvor erstellt haben.

Nachdem Sie die Option isIPv6(source.ip) aktiviert haben, müssen Sie für die folgenden Vorgänge die Betaversion der gcloud CLI verwenden:

  • Cloud NAT-Gateway aktualisieren, das IPv6 in IPv4 übersetzt
  • Erstellen und aktualisieren Sie ein Cloud NAT-Gateway, das denselben Cloud Router wie das Gateway verwendet, das IPv6 in IPv4 übersetzt.
  • Cloud Router aktualisieren, auf dem das Cloud NAT-Gateway konfiguriert ist

Private NAT-Konfiguration ansehen

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite „Cloud NAT”

  2. Klicken Sie auf den Namen des NAT-Gateways, um NAT-Gatewaydetails, Zuordnungsinformationen und Konfigurationsdetails aufzurufen.

  3. Den NAT-Status können Sie in der Spalte Status für das NAT-Gateway prüfen.

gcloud

Mit den folgenden Befehlen können Sie die NAT-Konfigurationsdetails aufrufen:

  • Sehen Sie sich die Private NAT-Gateway-Konfiguration an.

    gcloud compute routers nats describe NAT_CONFIG \
        --router=ROUTER_NAME \
        --region=REGION
    

    Dabei gilt:

    • NAT_CONFIG ist der Name Ihrer NAT-Konfiguration.
    • ROUTER_NAME Der Name Ihres Cloud Routers.
    • REGION: Die Region der NAT, die beschrieben werden soll. Wenn sie nicht angegeben ist, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur interaktiver Modus).
  • Sehen Sie sich die Zuordnung der IP-Portbereiche an, die den Schnittstellen jeder VM zugewiesen sind.

    gcloud compute routers get-nat-mapping-info ROUTER_NAME \
        --region=REGION
    
  • Rufen Sie den Status des Private NAT-Gateways auf.

    gcloud compute routers get-status ROUTER_NAME \
        --region=REGION
    

Private NAT-Konfiguration aktualisieren

In den folgenden Abschnitten wird beschrieben, wie Sie ein vorhandenes Cloud NAT-Gateway aktualisieren.

Subnetze in der NAT-Konfiguration aktualisieren

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite „Cloud NAT”

  2. Klicken Sie auf Ihr NAT-Gateway.

  3. Klicken Sie auf Bearbeiten.

  4. Wenn Benutzerdefiniert für Quellsubnetze ausgewählt ist, wählen Sie ein Subnetz aus. Wenn Sie weitere Bereiche angeben möchten, klicken Sie auf Subnetz und IP-Bereich hinzufügen.

  5. Nur IPv6-Subnetzbereiche: Wählen Sie im Bereich Benutzerdefinierte Regel die Option IPv6-Quelltraffic (für NAT64) aus.

  6. Klicken Sie auf Speichern.

gcloud

Führen Sie den Befehl gcloud compute routers nats update aus.

Führen Sie einen der folgenden Befehle aus, um die Quellsubnetzbereiche für ein vorhandenes Cloud NAT-Gateway zu aktualisieren. Das hängt von der IP-Version der Subnetzbereiche ab, die Sie aktualisieren möchten:

  • IPv4-Subnetzbereiche aktualisieren:

    gcloud compute routers nats update NAT_CONFIG \
        --router=NAT_ROUTER \
        --region=REGION \
        --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES
    
  • IPv6-Subnetzbereiche aktualisieren (Vorschau):

    gcloud beta compute routers nats update NAT_CONFIG \
        --router=NAT_ROUTER \
        --region=REGION \
        --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES
    

Ersetzen Sie Folgendes:

  • NAT_CONFIG ist der Name Ihrer NAT-Konfiguration.
  • NAT_ROUTER Name Ihres Cloud Routers
  • REGION: Region des NAT-Gateways
  • IPV4_SUBNET_RANGES: ein oder mehrere Subnetze im folgenden Format: SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL.
  • IPV6_SUBNET_RANGES: ein oder mehrere Subnetze im folgenden Format: SUBNET_NAME_1,SUBNET_NAME_2.

Subnetze aus der NAT-Konfiguration entfernen

Sie können Subnetze aus Ihrer NAT-Gateway-Konfiguration entfernen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite „Cloud NAT”

  2. Klicken Sie auf Ihr NAT-Gateway.

  3. Klicken Sie auf Bearbeiten.

  4. Löschen Sie das Subnetz, das Sie aus der NAT-Zuordnung entfernen möchten.

  5. Klicken Sie auf Speichern.

NAT-Subnetze zur Konfiguration hinzufügen

Um NAT für Traffic auszuführen, werden in einer Private NAT-Konfiguration NAT-IP-Adressen aus einem Subnetz mit dem Zweck PRIVATE_NAT verwendet. Wenn für Ihre Private NAT-Konfiguration mehr NAT-IP-Adressen als verfügbar erforderlich sind, können Sie der Konfiguration weitere Subnetze mit dem Zweck PRIVATE_NAT hinzufügen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite „Cloud NAT”

  2. Klicken Sie auf Ihr NAT-Gateway.

  3. Klicken Sie auf Bearbeiten.

  4. Erweitern Sie die vorhandene Regel.

  5. Klicken Sie auf Subnetzbereiche hinzufügen.

  6. Wählen Sie einen NAT-Subnetzbereich aus oder erstellen Sie einen neuen und klicken Sie dann auf Fertig.

  7. Klicken Sie auf Speichern.

gcloud

gcloud compute routers nats rules update NAT_RULE_PRIORITY \
    --nat=NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...

Ersetzen Sie Folgendes:

  • NAT_RULE_PRIORITY: Die Nummer, die die zu aktualisierende Regel eindeutig identifiziert, von 0 bis 65000.
  • NAT_CONFIG: Der Name Ihrer Private NAT-Konfiguration für die zu aktualisierende Regel.
  • ROUTER_NAME: Der Name des Routers, der mit diesem Gateway verwendet werden soll.
  • NAT_SUBNET: Die Namen der Private NAT-Subnetze, die Ihrer vorhandenen NAT-Konfiguration hinzugefügt werden sollen.

NAT-Konfiguration löschen

Wenn Sie eine Gateway-Konfiguration löschen, wird die NAT-Konfiguration von einem Cloud Router entfernt. Durch das Löschen einer Gateway-Konfiguration wird der Router selbst nicht gelöscht.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite „Cloud NAT”

  2. Klicken Sie das Kästchen neben der Gatewaykonfiguration an, die Sie löschen möchten.

  3. Klicken Sie im Menü, auf Löschen.

gcloud

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Dabei gilt:

  • NAT_CONFIG ist der Name Ihrer NAT-Konfiguration.
  • ROUTER_NAME Der Name Ihres Cloud Routers.
  • REGION: Die Region der zu löschenden NAT. Wenn nicht angegeben, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).

Nächste Schritte