NAT híbrida
NAT híbrida, un tipo de NAT privada, te permite realizar la traducción de direcciones de red (NAT) entre una red de nube privada virtual (VPC) y una red local o la red de otro proveedor de servicios en la nube. La red ajena a Google Cloud debe estar conectadas a tu red de VPC a través de Google Cloud productos de conectividad de red, Cloud Interconnect o Cloud VPN.
Especificaciones
Además de las especificaciones generales de NAT privada, la NAT híbrida tiene las siguientes especificaciones:
- La NAT híbrida permite que una red de VPC se comunique
una red local o cualquier otra red de proveedor de servicios en la nube, incluso si la subred
Los rangos de direcciones IP de las redes se superponen. Cuando se usa una configuración de NAT de
type=PRIVATE
, los recursos de las subredes superpuestas y no superpuestas de la red de VPC pueden conectarse a los recursos de las subredes no superpuestas de la red que no es de Google Cloud. Para habilitar la NAT híbrida, la red que no sea de Google Cloud debe anunciar sus rutas dinámicas para que tu red de VPC pueda aprender y usarlas. Tu Cloud Router aprende estas rutas dinámicas de los productos de conectividad de red de Google Cloud, Cloud Interconnect, VPN con alta disponibilidad o VPN clásica con enrutamiento dinámico configurado. Los destinos de Estas rutas dinámicas son rangos de direcciones IP fuera de tu red en cada red.
Del mismo modo, para el tráfico de retorno, tu red de VPC debe publicar anuncios la ruta de subred de NAT privada con un Cloud Router, y esta ruta de subred no debe superponerse con una subred existente en el redes conectadas.
La NAT híbrida realiza una NAT en el tráfico que se origina en una red de VPC a una red local o a otra red de proveedor de servicios en la nube. Las redes deben estar conectadas a través de Cloud Interconnect o Cloud VPN.
El NAT híbrido admite túneles de VPN clásica existentes solo si el enrutamiento dinámico está habilitado.
Debes crear una regla de NAT personalizada con una expresión de coincidencia
nexthop.is_hybrid
La regla NAT especifica un rango de direcciones IP de NAT de un subred del propósitoPRIVATE_NAT
que los recursos en tu VPC red puede usar para comunicarse con otras redes.El Cloud Router en el que configures Hybrid NAT debe estar en la misma región que la red de VPC.
El Cloud Router en el que configuras la NAT híbrida no puede contener ninguna otra configuración de NAT.
Configuración y flujo de trabajo básicos de NAT híbrida
En el siguiente diagrama, se muestra una configuración básica de NAT híbrida:
En este ejemplo, la NAT híbrida se configura de la siguiente manera:
- La puerta de enlace
pvt-nat-gw
se configura envpc-a
para aplicarse a todos los rangos de direcciones IP desubnet-a
en la regiónus-east1
. - Cloud Router y el router local o de otro proveedor de servicios en la nube
intercambia las siguientes rutas de subred:
- Cloud Router anuncia
10.1.2.0/29
al router externo. - El router externo anuncia
192.168.2.0/24
a de Cloud Router.
- Cloud Router anuncia
- Con el rango de direcciones IP de NAT de
pvt-nat-gw
, una máquina virtual (VM) una instancia ensubnet-a
devpc-a
puede enviar tráfico a una VM ensubnet-b
de entre la red local o alguna otra red de proveedor de servicios en la nube, aunquesubnet-a
devpc-a
se superpone con otra subred en el red ajena a Google Cloud.
Ejemplo de flujo de trabajo de NAT híbrida
En el diagrama anterior, vm-a
con la dirección IP interna 192.168.1.2
en
subnet-a
de vpc-a
debe descargar una actualización de vm-b
con la versión interna
la dirección IP 192.168.2.2
en subnet-b
de una red local
o la red de otro proveedor de servicios en la nube. Cloud Interconnect se conecta
tu red de VPC a la red local o a otra nube
del proveedor de servicios en la nube. Supongamos que la red que no es de Google Cloud contiene
otra subred 192.168.1.0/24
que se superpone con la subred en vpc-a
.
Para que subnet-a
de vpc-a
se comunique con subnet-b
de las
una red externa a Google Cloud, debes configurar una
Puerta de enlace NAT privada, pvt-nat-gw
, en vpc-a
, de la siguiente manera:
- Especifica una subred de NAT privada con el propósito
PRIVATE_NAT
, por ejemplo,10.1.2.0/29
. Crear esta subred antes configurar la puerta de enlace NAT privada. Asegúrate de que esta subred no se superponga con una subred existente en ninguna de las redes conectadas. - Crea una regla de NAT con
match='nexthop.is_hybrid'
. - Configura la puerta de enlace NAT privada para aplicarla a todas las direcciones IP
rangos de
subnet-a
.
La NAT híbrida sigue el procedimiento de reserva de puertos
para reservar la siguiente dirección IP de origen de NAT
y las tuplas de puerto de origen
para cada una de las VMs de la red. Por ejemplo, el
La puerta de enlace NAT privada reserva 64 puertos de origen para vm-a
:
10.1.2.2:34000
a 10.1.2.2:34063
.
Cuando la VM usa el protocolo TCP para enviar un paquete al servidor de actualización
192.168.2.2
en el puerto de destino 80
, ocurre lo siguiente:
La VM envía un paquete de solicitud con estos atributos:
- Dirección IP de origen:
192.168.1.2
, la dirección IP interna de la VM - Puerto de origen:
24000
, el puerto de origen efímero que elige el sistema operativo de la VM - Dirección de destino:
192.168.2.2
, la dirección IP del servidor de actualizaciones - Puerto de destino:
80
, el puerto de destino para el tráfico HTTP al servidor de actualización - Protocolo: TCP
- Dirección IP de origen:
La puerta de enlace
pvt-nat-gw
realiza la traducción de direcciones de red de origen (SNAT o NAT de origen) en la salida, la reescritura de la solicitud la dirección IP de origen de NAT y el puerto de origen del paquete:- Dirección IP de origen de NAT:
10.1.2.2
, de una de las fuentes de NAT reservadas de la VM Dirección IP y tuplas de puerto de origen - Puerto de origen:
34022
, un puerto de origen no utilizado de una de las tuplas de puertos de origen reservadas de la VM - Dirección de destino:
192.168.2.2
, sin cambios - Puerto de destino:
80
, sin cambios - Protocolo: TCP, sin cambios
- Dirección IP de origen de NAT:
El servidor de actualización envía un paquete de respuesta que llega al
pvt-nat-gw
puerta de enlace con estos atributos:- Dirección IP de origen:
192.168.2.2
, la dirección IP interna del servidor de actualización - Puerto de origen:
80
, la respuesta HTTP del servidor de actualización - Dirección de destino:
10.1.2.2
, que coincide con la dirección IP de origen de NAT original del paquete de solicitud - Puerto de destino:
34022
, que coincide con el puerto de origen del paquete de solicitud - Protocolo: TCP, sin cambios
- Dirección IP de origen:
La puerta de enlace
pvt-nat-gw
realiza la traducción de direcciones de red de destino (DNAT) en el paquete de respuesta y reescribe el destino del paquete de respuesta. y el puerto de destino para que el paquete se entregue a la VM a la que solicitó la actualización con los siguientes atributos:- Dirección IP de origen:
192.168.2.2
, sin cambios - Puerto de origen:
80
, sin cambios - Dirección de destino:
192.168.1.2
, la dirección IP interna de la VM - Puerto de destino:
24000
, que coincide con el puerto de origen efímero original del paquete de solicitud - Protocolo: TCP, sin cambios
- Dirección IP de origen:
¿Qué sigue?
- Configura NAT híbrida.
- Obtén información sobre las interacciones de productos de Cloud NAT.
- Obtén más información sobre los puertos y las direcciones de Cloud NAT.
- Obtén información sobre las reglas de Cloud NAT.
- Soluciona los problemas comunes.