NAT Hybrid

Hybrid NAT, penawaran Private NAT, memungkinkan Anda melakukan terjemahan alamat jaringan (NAT) alamat IP antara jaringan Virtual Private Cloud (VPC) dan jaringan lokal atau jaringan penyedia cloud lainnya. Jaringan ini harus terhubung ke jaringan VPC Anda menggunakan produk konektivitas hybrid perusahaan dari Google Cloud seperti Cloud VPN.

Spesifikasi

Selain spesifikasi NAT Pribadi generik, pertimbangkan spesifikasi berikut untuk Hybrid NAT:

  • Hybrid NAT memungkinkan jaringan VPC berkomunikasi dengan jaringan lokal atau jaringan penyedia cloud lainnya meskipun rentang alamat IP subnet dari jaringan yang berkomunikasi tumpang tindih. Dengan menggunakan konfigurasi NAT type=PRIVATE, resource—baik dalam subnet yang tumpang-tindih maupun yang tidak tumpang-tindih—jaringan VPC dapat terhubung ke resource hanya di subnet yang tidak tumpang-tindih dari jaringan lokal atau jaringan penyedia cloud lainnya.

  • Untuk mengaktifkan Hybrid NAT, jaringan lokal atau jaringan penyedia cloud lainnya harus mengiklankan rute dinamisnya, sehingga jaringan VPC Anda dapat mempelajari dan menggunakannya. Cloud Router mempelajari rute dinamis ini dari solusi konektivitas hybrid Google Cloud, seperti VPN dengan ketersediaan tinggi (HA) atau VPN Klasik dengan perutean dinamis yang telah dikonfigurasi. Tujuan dari rute dinamis ini adalah rentang alamat IP di luar jaringan VPC Anda.

    Demikian pula, untuk traffic kembali, jaringan VPC Anda harus mengiklankan rute subnet NAT Pribadi menggunakan Cloud Router.

  • Hybrid NAT menjalankan NAT pada traffic yang berasal dari jaringan VPC ke jaringan lokal atau jaringan penyedia cloud lainnya. Jaringan harus dihubungkan oleh Cloud VPN melalui rute dinamis.

  • Hybrid NAT mendukung tunnel VPN Klasik yang sudah ada hanya jika perutean dinamis diaktifkan.

  • Anda perlu membuat aturan NAT kustom dengan ekspresi pencocokan nexthop.is_hybrid. Aturan NAT menentukan rentang alamat IP NAT dari subnet PRIVATE_NAT tujuan yang dapat digunakan resource di jaringan VPC Anda untuk berkomunikasi dengan jaringan lain.

  • Hybrid NAT didukung di semua region Google Cloud, kecuali us-central1 dan us-east4.

  • Cloud Router tempat Anda mengonfigurasi Hybrid NAT harus berada di region yang sama dengan jaringan VPC.

  • Cloud Router tempat Anda mengonfigurasi Hybrid NAT tidak boleh berisi konfigurasi NAT lainnya.

  • Anda tidak boleh mengonfigurasi Hybrid NAT di jaringan VPC yang memiliki lampiran Cloud Interconnect.

Konfigurasi dan alur kerja Hybrid NAT dasar

Diagram berikut menunjukkan konfigurasi Hybrid NAT dasar:

Contoh terjemahan Hybrid NAT.
Contoh terjemahan Hybrid NAT (klik untuk memperbesar).

Dalam contoh ini, Hybrid NAT disiapkan sebagai berikut:

  • Gateway pvt-nat-gw dikonfigurasi di vpc-a untuk diterapkan ke semua rentang alamat IP subnet-a di region us-east1.
  • Dengan menggunakan rentang alamat IP NAT pvt-nat-gw, instance virtual machine (VM) di subnet-a dari vpc-a dapat mengirim traffic ke VM di subnet-b pada jaringan lokal atau jaringan penyedia cloud lainnya, meskipun subnet-a dari vpc-a tumpang-tindih dengan subnet lain di jaringan lokal atau jaringan penyedia cloud lainnya.

Contoh alur kerja Hybrid NAT

Dalam diagram sebelumnya, vm-a dengan alamat IP internal 192.168.1.2 di subnet-a dari vpc-a perlu mendownload update dari vm-b dengan alamat IP internal 192.168.2.2 di subnet-b pada jaringan lokal atau jaringan penyedia cloud lainnya. Cloud VPN menghubungkan jaringan VPC Anda ke jaringan lokal atau jaringan penyedia cloud lainnya. Asumsikan bahwa jaringan lokal atau jaringan penyedia cloud lainnya berisi subnet lain 192.168.1.0/24 yang tumpang-tindih dengan subnet di vpc-a. Agar subnet-a dari vpc-a dapat berkomunikasi dengan subnet-b jaringan lokal atau jaringan penyedia cloud lainnya, Anda harus mengonfigurasi gateway NAT Pribadi, pvt-nat-gw, di vpc-a sebagai berikut:

  • Subnet NAT pribadi: Buat subnet ini, dengan rentang alamat IP subnet 10.1.2.0/29 dan tujuan PRIVATE_NAT sebelum mengonfigurasi gateway NAT Pribadi. Pastikan subnet ini tidak tumpang-tindih dengan subnet yang ada di jaringan yang terhubung.
  • Aturan NAT dengan match='nexthop.is_hybrid'.
  • NAT untuk semua rentang alamat subnet-a.

Hybrid NAT mengikuti prosedur reservasi port untuk mencadangkan alamat IP sumber NAT dan tuple port sumber berikut untuk setiap VM di jaringan. Misalnya, gateway NAT Pribadi mencadangkan 64 port sumber untuk vm-a: 10.1.2.2:34000 hingga 10.1.2.2:34063.

Jika VM menggunakan protokol TCP untuk mengirim paket ke server update 192.168.2.2 pada port tujuan 80, hal berikut akan terjadi:

  1. VM akan mengirimkan paket permintaan dengan atribut berikut:

    • Alamat IP sumber: 192.168.1.2, alamat IP internal VM
    • Port sumber: 24000, port sumber efemeral yang dipilih oleh sistem operasi VM
    • Alamat tujuan: 192.168.2.2, alamat IP server update
    • Port tujuan: 80, port tujuan untuk traffic HTTP ke server update
    • Protokol: TCP

  2. Gateway pvt-nat-gw melakukan penafsiran alamat jaringan sumber (SNAT atau NAT sumber) saat traffic keluar, sehingga menulis ulang alamat IP sumber dan port sumber NAT paket permintaan:

    • Alamat IP sumber NAT: 10.1.2.2, dari salah satu alamat IP sumber NAT dan tuple port sumber yang dicadangkan milik VM
    • Port sumber: 34022, port sumber yang tidak digunakan dari salah satu tuple port sumber yang dicadangkan VM
    • Alamat tujuan: 192.168.2.2, tidak berubah
    • Port tujuan: 80, tidak berubah
    • Protokol: TCP, tidak berubah

  3. Server update akan mengirimkan paket respons yang tiba di gateway pvt-nat-gw dengan atribut berikut:

    • Alamat IP sumber: 192.168.2.2, alamat IP internal server update
    • Port sumber: 80, respons HTTP dari server update
    • Alamat tujuan: 10.1.2.2, yang cocok dengan alamat IP sumber NAT asli dari paket permintaan
    • Port tujuan: 34022, yang cocok dengan port sumber paket permintaan
    • Protokol: TCP, tidak berubah

  4. Gateway pvt-nat-gw melakukan penafsiran alamat jaringan tujuan (DNAT) pada paket respons, dan menulis ulang alamat tujuan dan port tujuan paket respons sehingga paket tersebut dikirim ke VM yang meminta update dengan atribut berikut:

    • Alamat IP sumber: 192.168.2.2, tidak berubah
    • Port sumber: 80, tidak berubah
    • Alamat tujuan: 192.168.1.2, alamat IP internal VM
    • Port tujuan: 24000, cocok dengan port sumber efemeral asli paket permintaan
    • Protokol: TCP, tidak berubah

Langkah selanjutnya