NAT privada para radios de Network Connectivity Center
NAT privada te permite crear una NAT privada que funciona junto con Network Connectivity Center radios para realizar la traducción de direcciones de red (NAT) entre redes:
- Redes de nube privada virtual (VPC): las redes de VPC a las que quieres conectarte se conectarán a un concentrador de Network Connectivity Center como radios de VPC.
- Redes de VPC y redes fuera de Google Cloud (Vista previa): En este caso, una o más Las redes de VPC se conectan a un concentrador de Network Connectivity Center, como radios de VPC y conectados a redes locales o a otras y las redes de proveedores de servicios en la nube a través de radios híbridos.
Especificaciones
Además de las especificaciones generales de NAT privadas, Private NAT para radios de Network Connectivity Center tiene lo siguiente: específicas:
- NAT privada usa una NAT
de
type=PRIVATE
para permitir redes con direcciones IP de subredes superpuestas se comunican los rangos de direcciones. Sin embargo, solo las subredes que no se superponen pueden conectarse entre sí. - Debes crear una regla de NAT personalizada haciendo referencia a un concentrador de Network Connectivity Center.
La regla NAT especifica un rango de direcciones IP de NAT de una subred de propósito
PRIVATE_NAT
que usa NAT privada para realizar NAT en el tráfico entre tus redes conectadas. - Cuando creas una instancia de VM en un rango de subredes donde la NAT privada se aplica todo el tráfico de salida de esta instancia de VM, la puerta de enlace si el radio de destino está en el mismo concentrador de Network Connectivity Center la puerta de enlace.
- Una puerta de enlace NAT privada está asociada con la dirección IP de la subred en una sola región en una sola red de VPC. Esto significa que una NAT privada de enlace creada en una red de VPC no puede proporcionan NAT a las VMs en otros radios del concentrador de Network Connectivity Center, incluso si las VMs están en la misma región que la puerta de enlace.
Tráfico entre redes de VPC
Las siguientes especificaciones adicionales se aplican al tráfico entre Redes de VPC (NAT entre VPC):
- Habilitar la NAT entre VPC entre dos VPC redes, cada red de VPC debe configurarse como Radio de VPC de un concentrador de Network Connectivity Center. Debes asegurarte de que no haya los rangos de direcciones IP superpuestos en tu VPC radios. Para obtener más información, consulta Crea un radio de VPC.
- El concentrador de Network Connectivity Center asociado con la puerta de enlace NAT privada debe tener al menos dos radios de VPC, donde uno de los Los radios de VPC son la red de VPC de la puerta de enlace NAT privada.
- La NAT entre VPC admite NAT entre Network Connectivity Center Solo radios de VPC, no entre redes de VPC conectadas mediante el intercambio de tráfico entre redes de VPC.
- La NAT entre VPC admite la traducción de direcciones Subredes de VPC dentro de una región y entre regiones.
Tráfico entre redes de VPC y otras redes
Las siguientes especificaciones adicionales se aplican al tráfico entre Radios y redes de VPC fuera de Google Cloud (Vista previa):
- Para habilitar la NAT privada entre una VPC
y una red local o de otro proveedor de servicios en la nube:
- La red de VPC debe configurarse como Radio de VPC de un concentrador de Network Connectivity Center. Si un El concentrador de Network Connectivity Center tiene más de un radio de VPC debes asegurarte de que no haya superposiciones de subredes entre radios de VPC. Para obtener más información, consulta Crea un radio de VPC.
- Un radio híbrido se debe conectar al mismo concentrador de Network Connectivity Center para establecer la conectividad entre el radio de VPC y la red fuera de Google Cloud. Compatibilidad con radios híbridos adjuntos de VLAN para Cloud Interconnect, túneles de Cloud VPN y VMs de dispositivo de router. Para obtener más información, consulta Información sobre la conectividad entre radios de VPC y radios híbridos.
- La puerta de enlace NAT privada se debe configurar en la carga de trabajo de VPC común, no en la red de VPC de enrutamiento que está asociada con el radio híbrido. Para obtener más información sobre las cargas de trabajo y el enrutamiento de redes de VPC, consulta Intercambio de rutas con radios de VPC.
Configuración básica y flujo de trabajo
En el siguiente diagrama, se muestra una configuración básica de NAT privada para el tráfico entre dos radios de VPC:
En este ejemplo, NAT privada se configura de la siguiente manera:
- La puerta de enlace
pvt-nat-gw
se configura envpc-a
para aplicarse a todos los rangos de direcciones IP desubnet-a
en la regiónus-east1
. Con los rangos de IP NAT depvt-nat-gw
, una instancia de máquina virtual (VM) ensubnet-a
devpc-a
puede enviar tráfico a una VM ensubnet-b
devpc-b
, aunquesubnet-a
devpc-a
se superpone consubnet-c
devpc-b
. vpc-a
yvpc-b
se configuran como radios de un concentrador de Network Connectivity Center.- La puerta de enlace
pvt-nat-gw
está configurada para proporcionar NAT entre las VPC redes que están configuradas como radios de VPC en el mismo concentrador de Network Connectivity Center.
Ejemplo de flujo de trabajo
En el diagrama anterior, vm-a
con la dirección IP interna 192.168.1.2
en subnet-a
de vpc-a
debe descargar una actualización de vm-b
con la dirección IP interna 192.168.2.2
en subnet-b
de vpc-b
. Tanto la VPC
redes están conectadas al mismo concentrador de Network Connectivity Center que la
radios. Supongamos que vpc-b
contiene otra subred 192.168.1.0/24
que se superpone
con la subred en vpc-a
. Para que subnet-a
de vpc-a
se comunique con subnet-b
de vpc-b
, debes configurar una puerta de enlace NAT privada, pvt-nat-gw
,
en vpc-a
de la siguiente manera:
Subred NAT privada: Antes de configurar Private NAT crear una subred NAT privada con el propósito
PRIVATE_NAT
por ejemplo,10.1.2.0/29
. Asegúrate de que esta subred no se superponga con una subred existente en cualquiera de los radios de VPC adjuntos al mismo concentrador de Network Connectivity Center.Una regla de NAT cuyo
nexthop.hub
coincide con la URL del concentrador de Network Connectivity Center.NAT para todos los rangos de direcciones de
subnet-a
.
En la siguiente tabla, se resume la configuración de red especificada en los ejemplos anteriores ejemplo:
Nombre de la red | Componente de red | Rango o dirección IP | Región |
---|---|---|---|
vpc-a | subnet-a | 192.168.1.0/24 | us-east1 |
vm-a | 192.168.1.2 | ||
pvt-nat-gw | 10.1.2.0/29 | ||
vpc-b | subnet-b | 192.168.2.0/24 | us-west1 |
vm-b | 192.168.2.2 | ||
subnet-c | 192.168.1.0/24 | ||
vm-c | 192.168.1.3 |
Private NAT para los radios de Network Connectivity Center sigue el
procedimiento de reserva de puertos
para reservar la siguiente dirección IP de origen de NAT
y las tuplas de puerto de origen
para cada una de las VMs de la red. Por ejemplo, el
La puerta de enlace NAT privada reserva 64 puertos de origen para vm-a
:
10.1.2.2:34000
a 10.1.2.2:34063
.
Cuando la VM usa el protocolo TCP para enviar un paquete al servidor de actualización 192.168.2.2
en el puerto de destino 80
, sucede lo siguiente:
La VM envía un paquete de solicitud con estos atributos:
- Dirección IP de origen:
192.168.1.2
, la dirección IP interna de la VM - Puerto de origen:
24000
, el puerto de origen efímero que elige el sistema operativo de la VM - Dirección de destino:
192.168.2.2
, la dirección IP del servidor de actualización - Puerto de destino:
80
, el puerto de destino para el tráfico HTTP al servidor de actualización - Protocolo: TCP
- Dirección IP de origen:
La puerta de enlace
pvt-nat-gw
realiza la traducción de direcciones de red de origen (SNAT o NAT de origen) en la salida, la reescritura de la solicitud la dirección IP de origen de NAT y el puerto de origen del paquete:- Dirección IP de origen de NAT:
10.1.2.2
, de una de las fuentes de NAT reservadas de la VM Dirección IP y tuplas de puerto de origen - Puerto de origen:
34022
, un puerto de origen no utilizado de una de las tuplas de puertos de origen reservadas de la VM - Dirección de destino:
192.168.2.2
, sin cambios - Puerto de destino:
80
, sin cambios - Protocolo: TCP, sin cambios
- Dirección IP de origen de NAT:
El servidor de actualización envía un paquete de respuesta que llega al
pvt-nat-gw
puerta de enlace con estos atributos:- Dirección IP de origen:
192.168.2.2
, la dirección IP interna del servidor de actualización - Puerto de origen:
80
, la respuesta HTTP del servidor de actualización - Dirección de destino:
10.1.2.2
, que coincide con la dirección IP de origen de NAT original del paquete de solicitud - Puerto de destino:
34022
, que coincide con el puerto de origen del paquete de solicitud - Protocolo: TCP, sin cambios
- Dirección IP de origen:
La puerta de enlace
pvt-nat-gw
realiza la traducción de direcciones de red de destino (DNAT) en el paquete de respuesta, reescribiendo la dirección de destino del paquete de respuesta destino y el puerto de destino para que el paquete se entregue a la VM que solicitó la actualización con los siguientes atributos:- Dirección IP de origen:
192.168.2.2
, sin cambios - Puerto de origen:
80
, sin cambios - Dirección de destino:
192.168.1.2
, la dirección IP interna de la VM - Puerto de destino:
24000
, que coincide con el puerto de origen efímero original del paquete de solicitud - Protocolo: TCP, sin cambios
- Dirección IP de origen:
¿Qué sigue?
- Configura NAT privada para radios de Network Connectivity Center.
- Obtén información sobre las interacciones con productos de Cloud NAT.
- Obtén más información sobre los puertos y las direcciones de Cloud NAT.
- Obtén información sobre las reglas de Cloud NAT.
- Soluciona los problemas comunes.