Aturan Cloud NAT

Halaman ini memberikan ringkasan aturan Cloud NAT untuk NAT Publik. Aturan ini memungkinkan Anda menentukan cara Cloud NAT digunakan untuk terhubung ke internet.

Aturan Cloud NAT untuk NAT Publik mendukung penafsiran alamat jaringan sumber (SNAT) berdasarkan alamat sumber (Pratinjau) atau tujuan.

Aturan NAT

Secara default, saat Anda mengonfigurasi gateway Cloud NAT untuk NAT Publik, paket yang diterjemahkan oleh gateway NAT tersebut menggunakan set alamat IP NAT yang sama untuk menjangkau semua alamat internet. Jika memerlukan kontrol lebih besar atas paket yang diterjemahkan oleh Cloud NAT, Anda dapat menambahkan aturan NAT.

Aturan NAT menentukan kondisi kecocokan dan tindakan yang sesuai. Setelah Anda menentukan aturan NAT, setiap paket akan dicocokkan dengan setiap aturan NAT. Jika paket cocok dengan kondisi yang ditetapkan dalam aturan, maka tindakan yang sesuai dengan kecocokan tersebut akan terjadi.

Aturan NAT untuk NAT Publik mendukung pencocokan alamat sumber dan tujuan:

• Dalam aturan berbasis sumber (Pratinjau), paket dicocokkan berdasarkan alamat IP sumbernya. Hanya alamat sumber IPv4 yang didukung.
• Dalam aturan berbasis tujuan, paket dicocokkan berdasarkan alamat IP tujuannya. Hanya alamat tujuan IPv4 yang didukung.

Menggabungkan kondisi berbasis sumber dan tujuan dalam satu aturan NAT tidak diizinkan. Untuk mengetahui informasi selengkapnya, lihat spesifikasi aturan NAT.

Contoh konfigurasi aturan Cloud NAT

Contoh berikut mengilustrasikan cara menggunakan aturan NAT saat tujuan Anda hanya mengizinkan akses dari beberapa alamat IP. Sebaiknya traffic ke tujuan tersebut dari VM Trusted Cloud Anda di subnet pribadi diterjemahkan SNAT hanya dengan alamat IP yang diizinkan. Sebaiknya Anda tidak menggunakan alamat IP ini untuk tujuan lain.

Pertimbangkan persyaratan berikut untuk VM di Subnet-1 (10.10.10.0/24), yang berada di Region A dari jaringan VPC test:

• VM harus menggunakan alamat IP NAT 203.0.113.20 untuk mengirim traffic ke tujuan 198.51.100.20/30.
• VM harus menggunakan alamat IP NAT 203.0.113.30 untuk mengirim traffic ke tujuan 198.51.100.30 atau 198.51.100.31.
• VM harus menggunakan alamat IP NAT 203.0.113.40 untuk mengirim traffic ke tujuan internet lainnya.

Jaringan VPC ini juga berisi dua subnet tambahan di region yang sama. VM ini harus menggunakan alamat IP NAT 203.0.113.10 untuk mengirim traffic ke tujuan mana pun.

Anda dapat menggunakan aturan NAT untuk contoh ini, tetapi Anda memerlukan dua gateway NAT karena Subnet-1 (10.10.10.0/24) memiliki aturan NAT yang berbeda dari subnet lainnya. Untuk membuat konfigurasi ini, ikuti langkah-langkah berikut:

1. Buat gateway bernama Cloud NAT Gateway 1 untuk Subnet-1 dengan alamat IP NAT 203.0.113.40 dan tambahkan aturan berikut:
   1. Aturan NAT 1 di Cloud NAT Gateway 1: Jika tujuannya adalah 198.51.100.20/30, gunakan 203.0.113.20 untuk NAT.
   2. Aturan NAT 2 di Cloud NAT Gateway 1: Jika tujuannya adalah 198.51.100.30 atau 198.51.100.31, gunakan 203.0.113.30 untuk NAT.
2. Buat gateway bernama Cloud NAT Gateway 2 untuk subnet lain di region dan tetapkan alamat IP NAT sebagai 203.0.113.10. Tidak ada aturan NAT yang diperlukan dalam langkah ini.

Spesifikasi aturan NAT

• Cloud NAT mendukung aturan berbasis sumber dan tujuan. Setiap aturan menentukan kondisi yang didasarkan pada alamat sumber atau tujuan, tetapi tidak keduanya.
• Prioritas aturan secara unik mengidentifikasi aturan NAT, dari 0 (prioritas tertinggi) hingga 65.000 (prioritas terendah). Tidak ada dua aturan yang dapat memiliki prioritas yang sama.
• Setiap konfigurasi NAT memiliki aturan default:
  • Aturan default diterapkan jika tidak ada aturan NAT lain yang cocok dalam konfigurasi NAT yang sama.
  • Prioritas aturan default adalah 65001.
  • Untuk aturan berbasis sumber dan tujuan, rentang IP CIDR aturan default adalah 0.0.0.0/0.
• Aturan Cloud NAT hanya didukung jika nilai opsi alokasi IP NAT adalah MANUAL_ONLY.

• Semua alamat IP yang dikonfigurasi dalam aturan tertentu harus memiliki tingkat yang sama.

  Anda tidak dapat menggunakan campuran alamat IP Paket Premium dan Paket Standar dalam aturan yang sama (termasuk aturan default).

• Rentang CIDR IP dalam kondisi kecocokan tidak boleh tumpang-tindih di seluruh aturan NAT. Paling banyak, satu aturan dapat diterapkan ke paket tertentu. Jika paket cocok dengan aturan berbasis sumber dan tujuan, Cloud NAT akan menerapkan aturan yang memiliki prioritas lebih tinggi.

  Anda tidak dapat membuat aturan NAT dengan 0.0.0.0/0 sebagai rentang sumber atau tujuan karena digunakan oleh aturan default.

• Alamat IP NAT di seluruh aturan NAT tidak boleh tumpang-tindih.

• Aturan harus memiliki alamat IP Active yang tidak kosong atau alamat IP Drain yang tidak kosong. Jika aturan memiliki alamat IP Active kosong, koneksi baru yang cocok dengan aturan NAT akan dihentikan.

• Aturan NAT tidak dapat ditambahkan ke gateway NAT yang mengaktifkan Pemetaan Independen Endpoint. Anda tidak dapat mengaktifkan Pemetaan Independen Endpoint di gateway NAT yang memiliki aturan NAT di dalamnya.

Selain itu, semua VM mendapatkan port yang ditetapkan dari nilai untuk port minimum per VM untuk setiap aturan Cloud NAT. Jika port yang dialokasikan ke VM dari aturan NAT habis, koneksi baru yang cocok dengan aturan NAT akan dihentikan.

Misalnya, jika Anda mengonfigurasi 4.096 port per VM dan memiliki 16 VM serta 2 aturan NAT (rule1 dengan 1 alamat IP dan rule2 dengan 2 alamat IP), bersama dengan aturan default (default) dengan 2 alamat IP, semua 16 VM akan mendapatkan 4.096 port di setiap paket aturan NAT. Dalam contoh ini, tidak ada masalah di default atau rule2 untuk semua VM-nya, tetapi rule1 tidak dapat mengalokasikan port untuk semua VM-nya. Oleh karena itu, traffic dari VM yang perlu melewati rule1 mungkin akan dihentikan dan menunjukkan tanda-tanda kehabisan resource karena traffic tidak menggunakan aturan default.

Bahasa ekspresi aturan

Aturan NAT ditulis menggunakan sintaksis Common Expression Language.

Ekspresi memerlukan dua komponen:

• Atribut yang dapat diperiksa dalam ekspresi aturan.
• Operasi yang dapat dilakukan pada atribut sebagai bagian dari ekspresi.

Misalnya, ekspresi berikut menggunakan atribut destination.ip dan 198.51.100.0/24 dalam operasi inIpRange(). Dalam hal ini, ekspresi akan menampilkan benar (true) jika destination.ip berada dalam rentang alamat IP 198.51.100.0/24.

inIpRange(destination.ip, '198.51.100.0/24')

Aturan NAT hanya mendukung atribut dan operasi berikut:

Atribut

Atribut merepresentasikan informasi dari paket keluar, seperti alamat IP sumber dan tujuan.

Operasi

Referensi berikut menjelaskan operator yang dapat Anda gunakan dengan atribut untuk menentukan ekspresi aturan.

Contoh ekspresi

Anda dapat mencocokkan paket berdasarkan alamat sumber atau tujuan, tetapi tidak keduanya.

Contoh pencocokan berbasis sumber

Mencocokkan paket dengan alamat IP sumber 10.0.0.25:

"source.ip == '10.0.0.25'"

Mencocokkan paket dengan alamat IP sumber 10.0.0.25 atau 10.0.0.26:

"source.ip == '10.0.0.25' || source.ip == '10.0.0.26'"

Mencocokkan paket dengan rentang alamat IP sumber 10.0.2.0/24:

"inIpRange(source.ip, '10.0.2.0/24')"

Mencocokkan paket dengan alamat IP sumber 10.0.0.25 atau rentang alamat IP sumber 10.0.2.0/24:

"source.ip == '10.0.0.25' || inIpRange(source.ip, '10.0.2.0/24')"

Contoh pencocokan berbasis tujuan

Mencocokkan paket dengan alamat IP tujuan 198.51.100.20:

"destination.ip == '198.51.100.20'"

Mencocokkan paket dengan alamat IP tujuan 198.51.100.20 atau 198.51.100.21:

"destination.ip == '198.51.100.20' || destination.ip == '198.51.100.21'"

Mencocokkan paket dengan rentang alamat IP tujuan 198.51.100.10/30:

"inIpRange(destination.ip, '198.51.100.10/30')"

Mencocokkan paket dengan alamat IP tujuan 198.51.100.20 atau rentang alamat IP tujuan 198.51.100.10/30:

"destination.ip == '198.51.100.20' || inIpRange(destination.ip, '198.51.100.10/30')"

Langkah berikutnya

• Pelajari cara mengonfigurasi aturan NAT.