プライベート NAT (original) (raw)

Private NAT

Private NAT を使用すると、ネットワーク間で Private-to-Private へのアドレス変換が可能になります。

Network Connectivity Center スポークの Private NAT を使用すると、Network Connectivity Center ハブに接続されている Virtual Private Cloud（VPC）ネットワークの Private-to-Private のネットワークアドレス変換（NAT）が有効になります。これには、VPC スポーク間、VPC スポークとハイブリッドスポーク間のトラフィックに対する Private-to-Private NAT が含まれます。
ハイブリッド NAT を使用すると、Cloud Interconnect または Cloud VPN を介して Google Cloud に接続されている VPC ネットワークとオンプレミスまたは他のクラウドプロバイダネットワークの間で Private-to-Private NAT が有効になります。

仕様

以降のセクションでは、Private NAT の仕様について説明します。これらの仕様は、Network Connectivity Center スポークの Private NAT とハイブリッド NAT の両方に適用されます。

全般的な仕様

Private NAT により、アウトバウンド接続とそれに対するインバウンドレスポンスを可能にしています。Private NAT の各 Cloud NAT ゲートウェイは、下り（外向き）トラフィックに送信元 NAT を実行し、確立されたレスポンスパケットに対して宛先 NAT を実行します。
Private NAT は自動モードの VPC ネットワークをサポートしていません。
Private NAT では、接続されたネットワークからの未承諾のインバウンドリクエストは、ファイアウォールルールで許可されている場合でも許可されません。詳細については、該当する RFC をご覧ください。
Private NAT の各 Cloud NAT ゲートウェイは、1 つの VPC ネットワーク、リージョン、Cloud Router に関連付けられます。Cloud NAT ゲートウェイと Cloud Router は、データプレーンに関与していないコントロールプレーンを提供するため、パケットは Cloud NAT ゲートウェイまたは Cloud Router を通過しません。
Private NAT の Cloud NAT ゲートウェイは Cloud Router によって管理されますが、Private NAT は Border Gateway Protocol を使用することも、これに依存することもありません。
Private NAT は、エンドポイントに依存しないマッピングをサポートしていません。
Private NAT を使用して、特定のサブネットの特定のプライマリ IP アドレス範囲やセカンダリ IP アドレス範囲を変換することはできませんPrivate NAT ゲートウェイは、特定のサブネットまたはサブネットのリストのすべての IPv4 アドレス範囲に対して NAT を実行します。
サブネットを作成した後、Private NAT サブネットのサイズを増減することはできません。ただし、指定したゲートウェイに複数の Private NAT サブネット範囲を指定できます。
Private NAT では、エンドポイントごとに最大 64,000 件の同時接続をサポートします。
Private NAT では、TCP と UDP のみをサポートします。ICMP などのプロトコルはサポートされていません。
VPC ネットワーク内にある仮想マシン（VM）インスタンスは、接続されたネットワーク内の（重複するのではなく）重複しないサブネットワーク内の宛先にのみアクセスできます。

ルートとファイアウォールルール

Private NAT は次のルートを使用します。

Network Connectivity Center スポークの場合、Private NAT はサブネットルートと動的ルートを使用します。
- VPC スポークのみを含む Network Connectivity Center ハブに接続された 2 つの VPC スポーク間のトラフィックに対して、Private NAT は、接続された VPC スポークによって交換されるサブネットルートを使用します。VPC スポークの詳細については、VPC スポークの概要をご覧ください。
- Network Connectivity Center ハブに VPC スポークとハイブリッドスポーク（Cloud Interconnect、Cloud VPN トンネル、ルーターアプライアンス VM の VLAN アタッチメントなど）の両方が含まれている場合、Private NAT は BGP を介したハイブリッドスポークと、接続された VPC スポークによって交換されるサブネットルートから学習した動的ルートを使用します。ハイブリッドスポークの詳細については、ハイブリッドスポークをご覧ください。
ハイブリッド NAT の場合、Private NAT は Cloud Interconnect または Cloud VPN 上で Cloud Router によって学習された動的ルートを使用します。

Cloud NGFW ファイアウォールルールは、Private NAT の Cloud NAT ゲートウェイではなく、Compute Engine VM のネットワークインターフェースに直接適用されます。

Private NAT 用の Cloud NAT ゲートウェイが VM のネットワークインターフェースに NAT を提供する場合、NAT の前に、ネットワークインターフェースのパケットに対して該当する下り（外向き）ファイアウォールルールが評価されます。また、NAT によって処理された後に、上り（内向き）ファイアウォールルールが評価されます。NAT 専用のファイアウォールルールを作成する必要はありません。

サブネット IP アドレス範囲の適用範囲

Private NAT の Cloud NAT ゲートウェイを構成して、次のものに対して NAT を提供できます。

リージョン内のすべてのサブネットのプライマリおよびセカンダリ IP アドレス範囲。ネットワークインターフェースがリージョンのサブネットを使用している対象 VM のプライマリ内部 IP アドレスとすべてのエイリアス IP 範囲に対して、単一の Private NAT ゲートウェイが NAT を実施します。このオプションは、リージョンごとに、正確に 1 つの NAT ゲートウェイを使用します。
カスタムサブネットリスト: ネットワークインターフェースが指定のサブネットのリストからサブネットを使用する対象 VM のプライマリ内部 IP アドレスとすべてのエイリアス IP 範囲に対して、単一の Cloud NAT ゲートウェイが NAT を提供します。

帯域幅

Private NAT に Cloud NAT ゲートウェイを使用しても、VM が使用できるアウトバウンドまたはインバウンドの帯域幅の総量は変わりません。帯域幅の仕様はマシンタイプによって異なります。詳しくは、Compute Engine のドキュメントでのネットワーク帯域幅をご覧ください。

複数のネットワークインターフェースを持つ VM

VM に複数のネットワークインターフェースを持つように構成する場合、各インターフェースは別々の VPC ネットワークに属している必要があります。そのため、Private NAT の Cloud NAT ゲートウェイは、VM の 1 つのネットワークインターフェースにのみ適用できます。Private NAT の個別の Cloud NAT ゲートウェイは、同じ VM に NAT を提供できます。この場合、各ゲートウェイが個々の別個のインターフェースに適用されます。

NAT IP アドレスとポート

Private NAT ゲートウェイを作成する際には、VM に NAT IP アドレスを割り当てる目的 PRIVATE_NAT のサブネットを指定する必要があります。Private NAT IP アドレスの割り当ての詳細については、Private NAT IP アドレスをご覧ください。

Private NAT の各 Cloud NAT ゲートウェイが NAT サービスの提供先となる各 VM で予約する送信元ポートの数を構成できます。静的ポートの割り当てを構成できます。この場合、各 VM に同じ数のポートが予約されます。あるいは、動的ポートの割り当てを構成できます。この場合、予約済みポートの数は、指定した上限と下限の間で変更できます。

NAT を実施する VM は、ゲートウェイが提供するように構成されているサブネット IP アドレス範囲によって決まります。

ポートの詳細については、ポートをご覧ください。

適用される RFC

Cloud NAT は、RFC 3489 で定義されているポート制限付き Cone NAT です。

NAT タイムアウト

Private NAT は、プロトコル接続のタイムアウトを設定します。これらのタイムアウトとそのデフォルト値については、NAT タイムアウトをご覧ください。

次のステップ

Private NAT を設定する。
Cloud NAT プロダクトの相互作用について学習する。
Cloud NAT アドレスとポートについて学習する。
Cloud NAT ルールについて学習する。
一般的な問題のトラブルシューティングを行う。