Network Address Translation mit Private NAT einrichten und verwalten (original) (raw)

Zum Hauptinhalt springen

• Technologiebereiche

  • Übersicht
  • Leitfäden
  • Referenzen
  • Ressourcen

• Produktübergreifende Tools

• Console

• Erste Schritte

• Produktübersicht

• Cloud NAT-Produktinteraktionen

• Los gehts

• Public NAT mit Compute Engine verwenden

• Public NAT mit GKE verwenden

• Cloud NAT konfigurieren

• IP-Adressen und Ports

• NAT-Konfiguration abstimmen

• Zugriff kontrollieren

• Einschränkungen für Organisationsrichtlinien

• Benutzerdefinierte Organisationsrichtlinien

• Überwachen

• Logs und Messwerte

• Informationen zu Audit-Logging

• Fehler beheben

• Fehlerbehebung bei der Konfiguration

Auf dieser Seite wird beschrieben, wie Sie die private Netzwerkadressübersetzung (NAT) in Cloud NAT konfigurieren.

Hinweis

Führen Sie die folgenden Aufgaben aus, bevor Sie Private NAT einrichten.

Private NAT-Spezifikationen prüfen

Beachten Sie die folgenden Spezifikationen und Anforderungen:

• Allgemeine Spezifikationen finden Sie unter Private NAT.
• Informationen zum Traffic zwischen Spokes eines Network Connectivity Center-Hubs, einschließlich VPC-Spokes und Hybrid-Spokes, finden Sie unter Private NAT für NCC-Spokes.
• Informationen zum Traffic zwischen VPC-Netzwerken (Virtual Private Cloud) und Nicht-Google Cloud Netzwerken über Cloud Interconnect oder Cloud VPN finden Sie unter Hybrid NAT.

IAM-Berechtigungen abrufen

Die Rolle Compute Network Admin (roles/compute.networkAdmin) berechtigt Sie, ein NAT-Gateway in Cloud Router zu erstellen, NAT-IP-Adressen zu reservieren und zuzuweisen sowie Subnetzwerke (Subnetze) anzugeben, deren Traffic eine Netzwerkadressübersetzung vom NAT-Gateway verwenden muss.

Einrichtung von Google Cloud

Zuvor sollten Sie jedoch die folgenden Elemente in Google Cloudeinrichten.

1. Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
   Roles required to select or create a project
   • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
   • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.create permission. Learn how to grant roles.
     Go to project selector
3. Verify that billing is enabled for your Google Cloud project.
4. Enable the Compute Engine API.
   Roles required to enable APIs
   To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
   Enable the API
5. Installieren Sie die Google Cloud CLI.
6. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.
7. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:
   gcloud init

In der Anleitung für die Google Cloud CLI auf dieser Seite wird davon ausgegangen, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.

1. Sie können eine Projekt-ID mit dem folgenden Befehl festlegen:
   gcloud config set project PROJECT_ID
   Ersetzen Sie PROJECT_ID durch die ID Ihres Projekts.
2. Sie können auch eine Projekt-ID anzeigen lassen, die bereits festgelegt ist:
   gcloud config list --format='text(core.project)'

NAT-Subnetz mit dem Zweck PRIVATE_NAT erstellen

Bevor Sie Private NAT konfigurieren, erstellen Sie ein NAT-Subnetz mit dem Zweck PRIVATE_NAT. Das NAT-Subnetz muss sich in derselben Region befinden, in der Sie das Private NAT-Gateway erstellen möchten. Das Private NAT-Gateway verwendet IP-Adressbereiche aus diesem Subnetz, um NAT auszuführen. Achten Sie darauf, dass sich dieses Subnetz nicht mit einem vorhandenen Subnetz in einem der verbundenen Netzwerke überschneidet. In diesem Subnetz können Sie keine Ressourcen erstellen. Dieses Subnetz wird nur für Private NAT verwendet.

Console

1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
   Zur Seite VPC-Netzwerke
2. Klicken Sie auf den Namen eines VPC-Netzwerks, um die Seite „VPC-Netzwerkdetails“ aufzurufen.
3. Klicken Sie auf den Tab Subnetze.
4. Klicken Sie auf Subnetz hinzufügen. Führen Sie im Dialogfeld Subnetz hinzufügen die folgenden Schritte aus:
   1. Geben Sie einen Namen für das Subnetz an.
   2. Wählen Sie eine Region aus.
   3. Wählen Sie als Zweck die Option Private NAT aus.
   4. Geben Sie einen IP-Adressbereich ein, der den primären IPv4-Bereich für das Subnetz darstellt.
      Wenn Sie einen Bereich auswählen, der keine RFC 1918-Adresse ist, prüfen Sie, ob der Bereich mit einer vorhandenen Konfiguration in Konflikt steht. Weitere Informationen zu gültigen IPv4-Subnetzbereichen finden Sie unter IPv4-Subnetzbereiche.
5. Klicken Sie auf Hinzufügen.

gcloud

Erstellen Sie das Subnetz mit dem Befehl gcloud compute networks subnet create:

gcloud compute networks subnets create NAT_SUBNET
--network=NETWORK
--region=REGION
--range=IP_RANGE
--purpose=PRIVATE_NAT

Dabei gilt:

• NAT_SUBNET: Der Name des zu erstellenden Private NAT-Subnetzbereichs.
• NETWORK: Das Netzwerk, zu dem das Subnetzwerk gehört.
• REGION: Die Region des zu erstellenden Subnetzwerks. Wenn keine Angabe erfolgt, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).
• IP_RANGE: Der diesem Subnetz zugewiesene IP-Bereich im CIDR-Format. Achten Sie darauf, dass IP_RANGE die doppelte Anzahl der Ports berücksichtigt, die pro VM erforderlich sind.

Private NAT konfigurieren

Sie konfigurieren Private NAT, indem Sie ein Private NAT-Gateway im Quell-VPC-Netzwerk erstellen. Jedes Gateway ist einem einzelnen VPC-Netzwerk, einer Region und einem Cloud Router zugeordnet.

Beim Konfigurieren von Private NAT können Sie eine oder beide der folgenden Optionen aktivieren:

• Private NAT für NCC-Spokes Aktiviert NAT für den Traffic zwischen den folgenden Elementen:
  • Ein Quell-VPC-Netzwerk und ein Ziel-VPC-Netzwerk im selben NCC-Hub. Beide Netzwerke müssen als VPC-Spokes konfiguriert sein.
  • Ein Quell-VPC-Netzwerk, das als VPC-Spoke in einem Network Connectivity Center-Hub konfiguriert ist, und ein Zielnetzwerk eines lokalen oder anderen Cloud-Anbieters, das über einen Hybrid-Spoke mit dem Hub verbunden ist.
    Wenn Sie weitergeleitete Private Service Connect-Verbindungen im selben VPC-Spoke wie Private NAT verwenden möchten, lesen Sie Interaktionen mit weitergeleiteten Private Service Connect-Verbindungen, bevor Sie Private NAT konfigurieren.
• Hybrid NAT: Ermöglicht NAT für Traffic zwischen einem Quell-VPC-Netzwerk und einem lokalen Zielnetzwerk oder einem anderen Cloud-Anbieter. Die Netzwerke müssen über Cloud Interconnect oder Cloud VPN verbunden sein.

Private NAT-Gateway erstellen

Erstellen Sie ein Private NAT-Gateway im Quell-VPC-Netzwerk, für das Sie NAT konfigurieren möchten.

Console

1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.
   Zur Seite „Cloud NAT”
2. Klicken Sie auf Erste Schritte oder Cloud NAT-Gateway erstellen.
3. Geben Sie einen Gateway-Namen ein.
4. Wählen Sie als NAT-Typ Private aus.
5. Wählen Sie ein VPC-Netzwerk für das NAT-Gateway aus.
6. Legen Sie die Region für das NAT-Gateway fest.
7. Wählen Sie einen Cloud Router in der Region aus oder erstellen Sie einen.
8. Achten Sie darauf, dass VM-Instanzen als Quellendpunkttyp ausgewählt ist.
9. Wählen Sie in der Liste Quelle die Option Benutzerdefiniert aus.
10. Wählen Sie ein Subnetz aus, für das Sie NAT ausführen möchten.
11. Wenn Sie weitere Bereiche angeben möchten, klicken Sie auf Subnetz und IP-Bereich hinzufügen.
12. Klicken Sie auf Regel hinzufügen.
13. Geben Sie im Feld Regelpriorität einen beliebigen Wert zwischen 0 und 65000 ein.
14. Wählen Sie für Abgleich eine der folgenden Optionen aus:

• Wenn Sie Hybrid NAT aktivieren möchten, wählen Sie Hybridkonnektivitätsrouten aus.
• Wenn Sie Private NAT für NCC-Spokes aktivieren möchten, wählen Sie Network Connectivity Center-Hub aus.
• Wenn Sie beide Optionen aktivieren möchten, wählen Sie Hybridkonnektivitätsrouten und Network Connectivity Center-Hub aus.

1. Wählen Sie einen Private NAT-Subnetzbereich aus oder erstellen Sie einen.
2. Klicken Sie auf Fertig.
3. Optional: Passen Sie die folgenden Einstellungen im Abschnitt Erweiterte Konfigurationen an:

• Ob das Logging konfiguriert werden soll. Standardmäßig ist Kein Logging ausgewählt.
• Ob die Portzuweisung in Cloud NAT geändert werden soll. Standardmäßig ist Dynamische Portzuweisung aktivieren ausgewählt. Wenn Sie die statische Portzuweisung konfigurieren möchten, deaktivieren Sie Dynamische Portzuweisung aktivieren und geben Sie die Mindestanzahl an Ports pro VM-Instanz an. Der Standardwert ist 64.
• Gibt an, ob NAT-Zeitlimits für Protokollverbindungen aktualisiert werden sollen. Weitere Informationen zu diesen Zeitlimits und ihren Standardwerten finden Sie unter NAT-Zeitlimits.

1. Klicken Sie auf Erstellen.

gcloud

1. Erstellen Sie einen Cloud Router im VPC-Netzwerk, für das Sie NAT konfigurieren möchten.
   Führen Sie den Befehl gcloud compute routers create aus.
   gcloud compute routers create ROUTER_NAME \
   --network=NETWORK --region=REGION
   Dabei gilt:
   • ROUTER_NAME: Ein Name für den Cloud Router.
   • NETWORK: Das VPC-Netzwerk, in dem der Cloud Router erstellt werden soll.
   • REGION: Die Region, in der der Cloud Router erstellt werden soll.
2. Erstellen Sie ein Private NAT-Gateway und geben Sie ein oder mehrere Subnetze des Quell-VPC-Netzwerks an, für die Sie NAT konfigurieren möchten.
   Verwenden Sie den Befehl gcloud compute routers nats create, wobei das Flag --type auf PRIVATE gesetzt ist.
   gcloud compute routers nats create NAT_CONFIG \
   --router=ROUTER_NAME \
   --type=PRIVATE \
   --region=REGION \
   --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] | \
   [--nat-all-subnet-ip-ranges]
   Dabei gilt:
   • NAT_CONFIG: Ein Name für die Private NAT-Konfiguration, die Sie erstellen.
   • ROUTER_NAME: Der Name des Cloud Routers, der mit diesem Gateway verwendet werden soll. Dies ist der Cloud Router, den Sie im vorherigen Schritt erstellt haben. Er darf nicht von anderen Ressourcen verwendet werden.
   • SUBNETWORK: Der Name des Subnetzes oder der Liste von Subnetzen, für die Sie NAT verwenden möchten.
     Sie können auch eine Liste von Subnetzen in einem durch Kommas getrennten Format angeben, z. B. SUBNETWORK_1, SUBNETWORK_2. Bei Private NAT wird immer NAT für alle Subnetz-IP-Bereiche für das angegebene Subnetz oder die angegebene Liste von Subnetzen ausgeführt.
     Standardmäßig wird bei Private NAT die dynamische Portzuweisung verwendet. Wenn Sie ein Private NAT-Gateway mit statischer Portzuweisung erstellen möchten, führen Sie den vorherigen Befehl mit dem Flag --no-enable-dynamic-port-allocation aus:
     gcloud compute routers nats create NAT_CONFIG \
     --router=ROUTER_NAME \
     --type=PRIVATE \
     --region=REGION \
     --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] | \
     [--nat-all-subnet-ip-ranges] \
     --no-enable-dynamic-port-allocation \
     [--min-ports-per-vm=VALUE]
     Ersetzen Sie VALUE durch die Mindestanzahl an Ports, die pro VM zugewiesen werden sollen. Wenn keine Angabe erfolgt, weistGoogle Cloud den Standardwert 64 zu.
3. Erstellen Sie eine NAT-Regel, um Traffic basierend auf dem Typ der NAT-Konfiguration abzugleichen.
   Verwenden Sie den Befehl gcloud compute routers nats rules create, wobei das Flag --match auf eine der folgenden Optionen gesetzt ist:
   • nexthop.is_hybrid: Übersetzt ausgehenden Traffic aus dem Quell-VPC-Netzwerk in ein lokales Netzwerk oder ein Netzwerk eines anderen Cloud-Anbieters, das über Cloud Interconnect oder Cloud VPN mit Google Cloud verbunden ist.
   • nexthop.hub: Übersetzt ausgehenden Traffic vom Quell-VPC-Spoke zu einem der VPC- oder Hybrid-Spokes, die an denselben NCC-Hub wie der Quell-VPC-Spoke angehängt sind.
   • nexthop.is_hybrid || nexthop.hub: Konfiguriert beide Arten von Private NAT.
     Führen Sie den folgenden Befehl aus, um eine NAT-Regel für Hybrid NAT zu erstellen:
     gcloud compute routers nats rules create NAT_RULE_PRIORITY \
     --router=ROUTER_NAME \
     --region=REGION \
     --nat=NAT_CONFIG \
     --match='nexthop.is_hybrid' \
     --source-nat-active-ranges=NAT_SUBNET
     Führen Sie den folgenden Befehl aus, um eine NAT-Regel für Private NAT für NCC-Spokes zu erstellen:
     gcloud compute routers nats rules create NAT_RULE_PRIORITY \
     --router=ROUTER_NAME --region=REGION \
     --nat=NAT_CONFIG \
     --match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \
     --source-nat-active-ranges=NAT_SUBNET
     Führen Sie den folgenden Befehl aus, um eine NAT-Regel für Hybrid NAT und Private NAT für NCC-Spokes zu erstellen:
     gcloud compute routers nats rules create NAT_RULE_PRIORITY \
     --router=ROUTER_NAME \
     --region=REGION \
     --nat=NAT_CONFIG \
     --match='nexthop.is_hybrid || nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \
     --source-nat-active-ranges=NAT_SUBNET
     Ersetzen Sie Folgendes:
   • NAT_RULE_PRIORITY: Die Regelnummer, die die NAT-Regel eindeutig identifiziert, von 0 (höchste Priorität) bis 65000 (niedrigste Priorität).
   • ROUTER_NAME: Der Name des Cloud Routers, den Sie zuvor erstellt haben.
   • REGION: Die Region des Cloud Routers.
   • NAT_CONFIG: Der Name der Private NAT-Konfiguration, die Sie zuvor erstellt haben.
   • PROJECT_ID: Das Google Cloud Projekt des NCC-Hubs.
   • HUB: der Name des NCC-Hubs.
   • NAT_SUBNET: Der Name des Private NAT-Subnetzes, das Sie zuvor erstellt haben. Sie können auch eine Liste von Subnetzen in einem durch Kommas getrennten Format angeben.

Private NAT-Konfiguration ansehen

Console

1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.
   Zur Seite „Cloud NAT”
2. Klicken Sie auf den Namen des NAT-Gateways, um NAT-Gatewaydetails, Zuordnungsinformationen und Konfigurationsdetails aufzurufen.
3. Den NAT-Status können Sie in der Spalte Status für das NAT-Gateway prüfen.

gcloud

Mit den folgenden Befehlen können Sie die NAT-Konfigurationsdetails aufrufen:

• Sehen Sie sich die Private NAT-Gateway-Konfiguration an.
  gcloud compute routers nats describe NAT_CONFIG \
  --router=ROUTER_NAME \
  --region=REGION
  Dabei gilt:
  • NAT_CONFIG ist der Name Ihrer NAT-Konfiguration.
  • ROUTER_NAME Der Name Ihres Cloud Routers.
  • REGION: Die Region der NAT, die beschrieben werden soll. Wenn sie nicht angegeben ist, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur interaktiver Modus).
• Sehen Sie sich die Zuordnung der IP-Portbereiche an, die den Schnittstellen jeder VM zugewiesen sind.
  gcloud compute routers get-nat-mapping-info ROUTER_NAME \
  --region=REGION
• Rufen Sie den Status des Private NAT-Gateways auf.
  gcloud compute routers get-status ROUTER_NAME \
  --region=REGION

Private NAT-Konfiguration aktualisieren

Nachdem Sie Ihr Private NAT-Gateway eingerichtet haben, können Sie die Gateway-Konfiguration entsprechend Ihren Anforderungen aktualisieren. In den folgenden Abschnitten werden die Aufgaben aufgeführt, die Sie ausführen können, um Ihr privates NAT-Gateway zu aktualisieren.

Mit Private NAT verknüpfte Subnetze ändern

Console

1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.
   Zur Seite „Cloud NAT”
2. Klicken Sie auf Ihr NAT-Gateway.
3. Klicken Sie auf Bearbeiten.
4. Wählen Sie für Cloud NAT-Zuordnung in der Liste Quelle die Option Benutzerdefiniert aus.
5. Wählen Sie ein neues Subnetz aus der Liste der verfügbaren Subnetze aus.
6. Wenn Sie weitere Bereiche angeben möchten, klicken Sie auf Subnetz und IP-Bereich hinzufügen und wählen ein weiteres Subnetz aus.
7. Klicken Sie auf Speichern.

gcloud

gcloud compute routers nats update NAT_CONFIG
--router=ROUTER_NAME
--region=REGION
--nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,..]

Dabei gilt:

• NAT_CONFIG: Der Name Ihrer Private NAT-Konfiguration, die aktualisiert werden soll.
• ROUTER_NAME: Der Name des Routers, der mit diesem Gateway verwendet werden soll.
• SUBNETWORK: Der Name des zu verwendenden Subnetzes.

Mit Private NAT verknüpfte Subnetze löschen

Sie können bestimmte Subnetze aus dem NAT-Gateway entfernen, die nicht mehr verwendet werden.

Console

1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.
   Zur Seite „Cloud NAT”
2. Klicken Sie auf Ihr NAT-Gateway.
3. Klicken Sie auf Bearbeiten.
4. Löschen Sie das Subnetz, das Sie aus der NAT-Zuordnung entfernen möchten.
5. Klicken Sie auf Speichern.

NAT-Subnetze zur Private NAT-Konfiguration hinzufügen

Um NAT für Traffic auszuführen, werden in einer Private NAT-Konfiguration NAT-IP-Adressen aus einem Subnetz mit dem Zweck PRIVATE_NAT verwendet. Wenn für Ihre Private NAT-Konfiguration mehr NAT-IP-Adressen als verfügbar erforderlich sind, können Sie der Konfiguration weitere Subnetze mit dem Zweck PRIVATE_NAT hinzufügen.

Console

1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.
   Zur Seite „Cloud NAT”
2. Klicken Sie auf Ihr NAT-Gateway.
3. Klicken Sie auf Bearbeiten.
4. Erweitern Sie die vorhandene Regel.
5. Klicken Sie auf Subnetzbereiche hinzufügen.
6. Wählen Sie einen NAT-Subnetzbereich aus oder erstellen Sie einen neuen und klicken Sie dann auf Fertig.
7. Klicken Sie auf Speichern.

gcloud

gcloud compute routers nats rules update NAT_RULE_PRIORITY
--nat=NAT_CONFIG
--router=ROUTER_NAME
--region=REGION
--source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...

Ersetzen Sie Folgendes:

• NAT_RULE_PRIORITY: Die Nummer, die die zu aktualisierende Regel eindeutig identifiziert, von 0 (höchste Priorität) bis 65000 (niedrigste Priorität).
• NAT_CONFIG: Der Name Ihrer Private NAT-Konfiguration für die zu aktualisierende Regel.
• ROUTER_NAME: Der Name des Routers, der mit diesem Gateway verwendet werden soll.
• NAT_SUBNET: Die Namen der Private NAT-Subnetze, die Ihrer vorhandenen NAT-Konfiguration hinzugefügt werden sollen.

NAT-Konfiguration löschen

Wenn Sie eine Gateway-Konfiguration löschen, wird die NAT-Konfiguration von einem Cloud Router entfernt. Durch das Löschen einer Gateway-Konfiguration wird der Router selbst nicht gelöscht.

Console

1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.
   Zur Seite „Cloud NAT”
2. Klicken Sie das Kästchen neben der Gatewaykonfiguration an, die Sie löschen möchten.
3. Klicken Sie im Menü, auf Löschen.

gcloud

gcloud compute routers nats delete NAT_CONFIG
--router=ROUTER_NAME
--region=REGION

Dabei gilt:

• NAT_CONFIG ist der Name Ihrer NAT-Konfiguration.
• ROUTER_NAME Der Name Ihres Cloud Routers.
• REGION: Die Region der zu löschenden NAT. Wenn nicht angegeben, werden Sie möglicherweise aufgefordert, eine Region auszuwählen (nur im interaktiven Modus).

Nächste Schritte

• Logs und Messwerte
• Fehlerbehebung bei der Konfiguration

Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.

Zuletzt aktualisiert: 2026-06-15 (UTC).