NAT ציבורי

שירות NAT ציבורי מאפשר למכונות וירטואליות (VM) ב-Compute Engine לתקשר עם האינטרנט. השירות מקצה לכל מכונה וירטואלית שמשתמשת ב-NAT ציבורי קבוצה של כתובות IPv4 חיצוניות משותפות ויציאות מקור, כדי ליצור חיבורים יוצאים לאינטרנט.

עם NAT ציבורי, מכונות וירטואליות שאין להן כתובות IPv4 חיצוניות יכולות לתקשר עם יעדי IPv4 באינטרנט. בנוסף, NAT ציבורי מאפשר למכונות וירטואליות עם כתובות IPv6 חיצוניות או פנימיות להתחבר ליעדי IPv4 באינטרנט.

מפרטים

‫Cloud NAT תומך בסוגים הבאים של תרגום כתובות ל-NAT ציבורי:

  • מ-IPv4 ל-IPv4, או NAT44. מידע נוסף זמין במאמר בנושא NAT44 ב-Public NAT.

  • מ-IPv6 ל-IPv4, או NAT64. ‫NAT64 זמין למכונות וירטואליות ב-Compute Engine. בצמתים של Google Kubernetes Engine‏ (GKE), בנקודות קצה ללא שרת ובקבוצות אזוריות של נקודות קצה ברשת האינטרנט, שירות Cloud NAT מתרגם רק כתובות IPv4. מידע נוסף על NAT64 ב-Public NAT

מפרטים כלליים

  • ‫NAT ציבורי מאפשר חיבורים יוצאים ותשובות נכנסות לחיבורים האלה. כל שער Cloud NAT ל-NAT ציבורי מבצע NAT של מקור בתעבורת נתונים יוצאת ו-NAT של יעד בחבילות תגובה שנוצרו.

  • ‫NAT ציבורי לא מאפשר בקשות נכנסות לא רצויות מהאינטרנט, גם אם כללי חומת האש מאפשרים את הבקשות האלה. מידע נוסף זמין במאמר בנושא RFC רלוונטיים.

  • כל שער Cloud NAT ל-NAT ציבורי משויך לרשת VPC אחת, לאזור אחד ול-Cloud Router אחד. שער Cloud NAT ו-Cloud Router מספקים מישור בקרה – הם לא מעורבים במישור הנתונים – ולכן מנות לא עוברות דרך שער Cloud NAT או Cloud Router.

    למרות ששער Cloud NAT ל-NAT ציבורי מנוהל על ידי Cloud Router, ‏ NAT ציבורי לא משתמש בפרוטוקול Border Gateway ולא תלוי בו.

  • ב-NAT44, ‏ Public NAT יכול לספק NAT לחבילות יוצאות שנשלחות מהמקורות הבאים:

    • כתובת ה-IP הפנימית הראשית של ממשק הרשת של המכונה הווירטואלית, בתנאי שלא הוקצתה לממשק הרשת כתובת IP חיצונית: אם הוקצתה לממשק הרשת כתובת IP חיצונית, Cloud de Confiance מבצעת אוטומטית NAT של אחד לאחד למנות שהמקורות שלהן תואמים לכתובת ה-IP הפנימית הראשית של הממשק, כי ממשק הרשת עומד בדרישות של Cloud de Confiance גישה לאינטרנט. הקדימות תמיד ניתנת לקיום של כתובת IP חיצונית בממשק, ותמיד מתבצע NAT אחד-לאחד, בלי להשתמש ב-NAT ציבורי.

    • טווח כתובות IP של כינוי שהוקצה לממשק הרשת של המכונה הווירטואלית: גם אם לממשק הרשת הוקצתה כתובת IP חיצונית, אפשר להגדיר שער Cloud NAT ל-NAT ציבורי כדי לספק NAT לחבילות שהמקורות שלהן מגיעים מטווח כתובות IP של כינוי של הממשק. כתובת IP חיצונית בממשק אף פעם לא מבצעת NAT של אחד לאחד עבור כתובות IP של כינויים.

    • כתובות IP שמשמשות מכונות וירטואליות להעברת IP. כדי להגדיר NAT לכתובות האלה, יוצרים כלל NAT שתואם לכתובת ה-IP של המקור שבה המכונה הווירטואלית משתמשת כשהיא מעבירה מנות. מידע נוסף זמין במאמר בנושא כללים שמבוססים על מקור.

    • אשכולות GKE: ‏ NAT ציבורי יכול לספק שירות גם אם לאשכול יש כתובות IP חיצוניות בנסיבות מסוימות. פרטים נוספים זמינים במאמר אינטראקציה עם GKE.

  • ב-NAT64, ‏ Public NAT יכול לספק NAT לחבילות יוצאות שנשלחות מהמקורות הבאים:

    • טווח הכתובות הפנימיות /96 של ממשק הרשת של המכונה הווירטואלית מסוג IPv6 בלבד.
    • טווח הכתובות החיצוניות /96 של ממשק הרשת של המכונה הווירטואלית עם IPv6 בלבד.

מסלולים וכללים לחומת אש

‫NAT ציבורי מסתמך על מסלולים סטטיים מקומיים שהצעד הבא שלהם הוא שער האינטרנט שמוגדר כברירת מחדל. בדרך כלל מסלול ברירת מחדל עומד בדרישה הזו. מידע נוסף מופיע במאמר בנושא אינטראקציות עם מסלולים.

כללי חומת האש של Cloud NGFW מוחלים ישירות על ממשקי הרשת של מכונות וירטואליות ב-Compute Engine, ולא על שערים של Cloud NAT ל-NAT ציבורי.

כששער Cloud NAT ל-NAT ציבורי מספק NAT לממשק רשת של מכונה וירטואלית, כללי חומת האש הרלוונטיים לתעבורת נתונים יוצאת מוערכים כמנות עבור ממשק הרשת הזה לפני ה-NAT. כללי חומת האש לתעבורת נתונים נכנסת מוערכים אחרי שמנות עוברות עיבוד על ידי ה-NAT. אין צורך ליצור כללי חומת אש במיוחד בשביל NAT.

עם זאת, אם רוצים להפעיל NAT64 ברשת VPC שיש בה כלל חומת אש שמונע תעבורת נתונים יוצאת (egress) ליעד IPv4, מומלץ ליצור כלל חומת אש נוסף שמונע תעבורת נתונים יוצאת (egress) לכתובת IPv6 שמוטמעת ב-IPv4 של היעד. כך מוודאים שתעבורת הנתונים מהמכונות הווירטואליות שמשתמשות ב-NAT64 לא יכולה לעקוף את כלל חומת האש של IPv4. לדוגמה, אם היעד בכלל IPv4 הוא 1.2.3.4/32, היעד בכלל IPv6 חייב להיות 64:ff9b:0102:0304/128. מידע נוסף על כתובות IPv6 מוטמעות ב-IPv4 זמין במאמר בנושא NAT64.

היקף החלות של טווח כתובות IP של רשת משנה

‫NAT ציבורי מספק NAT לטווחים של רשתות משנה של IPv4, לטווחים של רשתות משנה של IPv6 או לשניהם:

  • כדי להגדיר NAT לטווחים של כתובות IP ראשיות, לטווחים של כתובות IP של כינויים או לשניהם, אפשר להשתמש באפשרויות הבאות לטווחים של תת-רשתות IPv4:

    • טווחי כתובות IPv4 ראשיים ומשניים של כל רשתות המשנה באזור: שער Cloud NAT יחיד מספק NAT לכתובות ה-IP הפנימיות הראשיות ולכל טווחי כתובות ה-IP של הכינויים של מכונות וירטואליות שעומדות בדרישות, שממשקי הרשת שלהן משתמשים ברשת משנה של IPv4 באזור.

    • טווחים של כתובות IPv4 ראשיות של כל רשתות המשנה באזור: שער NAT יחיד של Cloud NAT מספק NAT לכתובות ה-IP הפנימיות הראשיות ולטווחים של כתובות IP של כינויים מרשתות משנה של כתובות IP ראשיות של מכונות וירטואליות שעומדות בדרישות, שממשקי הרשת שלהן משתמשים ברשת משנה של IPv4 באזור. אפשר ליצור עוד שערים של Cloud NAT ל-NAT ציבורי באזור כדי לספק NAT לטווחים של כתובות IP של כינויים מטווחים של כתובות IP משניות של רשתות משנה של מכונות וירטואליות שעומדות בדרישות.

    • רשימת רשתות משנה בהתאמה אישית: שער Cloud NAT יחיד מספק NAT לכתובות ה-IP הפנימיות הראשיות ולכל טווחי כתובות ה-IP של כינויים של מכונות וירטואליות שעומדות בדרישות, שממשקי הרשת שלהן משתמשים ברשת משנה מתוך רשימה של רשתות משנה שצוינו.

    • טווחי כתובות IPv4 של תת-רשתות בהתאמה אישית: אפשר ליצור כמה שערים של Cloud NAT ל-NAT ציבורי שרוצים, בכפוף למכסות ולמגבלות של NAT ציבורי. אתם בוחרים אילו טווחי כתובות IP ראשיים או משניים של תת-רשת יטופלו על ידי כל שער.

  • בטווחים של רשתות משנה מסוג IPv6, אפשר להשתמש באפשרויות הבאות כדי להגדיר NAT לטווחים של כתובות IP פנימיות, לטווחים של כתובות IP חיצוניות או לשניהם:

    • טווחים של כתובות IP פנימיות וחיצוניות של כל רשתות המשנה באזור: שער Cloud NAT יחיד מספק NAT לכל הטווחים של כתובות IP פנימיות וחיצוניות באזור.
    • רשימה מותאמת אישית של רשתות משנה: שער Cloud NAT יחיד מספק NAT לטווחים של כתובות IP פנימיות וכתובות IP חיצוניות של מכונות וירטואליות שעומדות בדרישות, שממשקי הרשת שלהן משתמשים ברשת משנה מתוך רשימה של רשתות משנה שצוינו.

כמה שערי Cloud NAT

יכולים להיות לכם כמה שערים של Cloud NAT ל-NAT ציבורי באותו אזור של רשת VPC, אם מתקיים אחד מהתנאים הבאים:

  • כל שער מוגדר לתת-רשת אחרת.

  • בתוך תת-רשת אחת, כל שער מוגדר לטווח כתובות IP שונה. אפשר למפות שער Cloud NAT ל-NAT ציבורי לכתובת IP או לטווח כתובות IP ספציפיות ברשת משנה באמצעות מיפוי Cloud NAT בהתאמה אישית.

כל עוד שער ה-NAT הממופה לא חופף לשער אחר, אפשר ליצור כמה שערים של Cloud NAT ל-NAT ציבורי שרוצים, בכפוף למכסות ולמגבלות של NAT ציבורי. מידע נוסף מופיע במאמר בנושא מגבלות של שערים של Cloud NAT.

רוחב פס

שימוש בשער Cloud NAT ל-NAT ציבורי לא משנה את כמות רוחב הפס היוצא או הנכנס שמכונה וירטואלית יכולה להשתמש בו. מפרטי רוחב הפס משתנים בהתאם לסוג המכונה. אפשר לקרוא על כך במאמר רוחב פס ברשת במאמרי העזרה של Compute Engine.

מכונות וירטואליות עם כמה ממשקי רשת

אם מגדירים למכונה וירטואלית כמה ממשקי רשת, הממשקים יכולים להיות באותה רשת VPC או ברשתות VPC שונות.

כמה נקודות שכדאי לחשוב עליהן:

  • אם למכונה וירטואלית יש כמה ממשקי רשת באותה רשת VPC, שער Cloud NAT יחיד ל-NAT ציבורי חל על כל הממשקים ברשת ה-VPC.
  • אם למכונה וירטואלית יש כמה ממשקי רשת, שכל אחד מהם נמצא ברשת VPC אחרת, שער Cloud NAT יחיד ל-NAT ציבורי יכול לחול רק על ממשק רשת אחד של המכונה הווירטואלית. שערי Cloud NAT נפרדים ל-NAT ציבורי יכולים לספק NAT לאותה מכונה וירטואלית, כאשר כל שער חל על ממשק נפרד.
  • לממשק אחד של מכונת VM עם כמה ממשקי רשת יכולה להיות כתובת IPv4 חיצונית, ולכן הממשק הזה לא יכול להשתמש ב-NAT ציבורי. לעומת זאת, ממשק אחר של אותה מכונה יכול להשתמש ב-NAT אם אין לו כתובת IPv4 חיצונית והגדרתם שער Cloud NAT ל-NAT ציבורי שיחול על טווח כתובות ה-IP המתאים של תת-הרשת. ב-IPv6 יש תמיכה בכתובות IPv6 פנימיות וחיצוניות.

כתובות IP ויציאות של NAT

כשיוצרים שער Cloud NAT ל-NAT ציבורי, אפשר לבחור שהשער יקצה באופן אוטומטי כתובות IP חיצוניות אזוריות. לחלופין, אפשר להקצות ידנית מספר קבוע של כתובות IP חיצוניות אזוריות לשער.

כשמגדירים שער Cloud NAT ל-NAT ציבורי עם הקצאה אוטומטית של כתובות IP של NAT, צריך לשים לב לנקודות הבאות:

  • אתם יכולים לבחור את מסלולי שירות הרשת (מסלול פרימיום או מסלול רגיל) שמתוכם שער Cloud NAT מקצה את כתובות ה-IP.
  • כשמשנים את רמת השירות של שער Cloud NAT ל-NAT ציבורי שהוקצו לו אוטומטית כתובות IP של NAT, Cloud de Confiance המערכת משחררת את כל כתובות ה-IP שהוקצו לשער הזה ומבטלת את כל הקצאות הפורטים.

    מוקצה באופן אוטומטי קבוצה חדשה של כתובות IP מהרמה שנבחרה, ומוקצים יציאות חדשות לכל נקודות הקצה.

בשער Cloud NAT נתון ל-NAT ציבורי, אפשר גם להקצות כתובות IP באופן ידני ממסלול פרימיום או ממסלול רגיל, או משניהם, בכפוף לתנאים מסוימים.

פרטים על הקצאת כתובות IP של NAT מופיעים במאמר כתובות IP ציבוריות של NAT.

אפשר להגדיר את מספר יציאות המקור שכל שער Cloud NAT ל-NAT ציבורי שומר בכל מכונה וירטואלית שעבורה הוא מספק שירותי NAT. אתם יכולים להגדיר הקצאת יציאות סטטית, שבה מספר היציאות זהה לכל מכונה וירטואלית, או הקצאת יציאות דינמית, שבה מספר היציאות יכול להיות בין המינימום למקסימום שאתם מציינים.

המכונות הווירטואליות שעבורן יסופק NAT נקבעות לפי טווח כתובות ה-IP של רשת המשנה שהשער מוגדר לשרת.

מידע נוסף על יציאות זמין במאמר יציאות.

מסמכי RFC רלוונטיים

‫NAT ציבורי תומך במיפוי ללא תלות בנקודת הקצה ובסינון שתלוי בנקודת הקצה, כפי שמוגדר ב-RFC 5128. אפשר להפעיל או להשבית מיפוי ללא תלות בנקודת קצה. כברירת מחדל, מיפוי ללא תלות בנקודת קצה מושבת כשיוצרים שער NAT.

מיפוי ללא תלות בנקודת קצה פירושו שאם מכונה וירטואלית שולחת חבילות מכתובת IP פנימית ומזוג יציאות נתון למספר יעדים שונים, השער ממפה את כל החבילות האלה לאותה כתובת IP של NAT ולזוג יציאות, ללא קשר ליעד של החבילות. פרטים והשלכות שרלוונטיים למיפוי ללא תלות בנקודת קצה זמינים במאמר שימוש חוזר בו-זמני ביציאות ומיפוי ללא תלות בנקודת קצה.

סינון שתלוי בנקודת הקצה פירושו שמותר לחבילות תגובה מהאינטרנט להיכנס רק אם הן מגיעות מכתובת IP ומפורט שהמכונה הווירטואלית כבר שלחה אליהן חבילות. הסינון תלוי בנקודת הקצה, ללא קשר לסוג מיפוי נקודת הקצה. התכונה הזו מופעלת תמיד ואי אפשר להגדיר אותה.

מידע נוסף על הקשר בין יציאות לחיבורים זמין במאמרים יציאות וחיבורים ודוגמה לזרימת NAT.

‫NAT ציבורי הוא Port Restricted Cone NAT כפי שמוגדר ב-RFC 3489.

מעבר NAT

אם מופעלת מיפוי ללא תלות בנקודת קצה, NAT ציבורי תואם לפרוטוקולים נפוצים של מעבר NAT כמו STUN ו-TURN, אם אתם פורסים שרתי STUN או TURN משלכם:

  • ‫STUN (Session Traversal Utilities for NAT,‏ RFC 5389) מאפשר תקשורת ישירה בין מכונות וירטואליות מאחורי NAT כשנוצר ערוץ תקשורת.
  • ‫TURN (Traversal Using Relays around NAT,‏ RFC 5766) מאפשר תקשורת בין מכונות וירטואליות מאחורי NAT באמצעות שרת צד שלישי, שבו לשרת יש כתובת IP חיצונית. כל מכונה וירטואלית מתחברת לכתובת ה-IP החיצונית של השרת, והשרת הזה מעביר את התקשורת בין שתי המכונות הווירטואליות. פרוטוקול TURN חזק יותר, אבל צורך יותר רוחב פס ומשאבים.

פג הזמן הקצוב של NAT

ב-NAT ציבורי מוגדרים ערכי הזמן הקצוב לתפוגה לחיבורי פרוטוקול. מידע על הזמנים הקצובים האלה וערכי ברירת המחדל שלהם זמין במאמר בנושא זמנים קצובים של NAT.

‫NAT44 ב-Public NAT

התרשים הבא מציג הגדרת NAT ציבורית בסיסית לתנועת נתונים ב-IPv4:

דוגמה לתרגום של כתובת IPv4 ב-NAT ציבורי.
דוגמה לתרגום NAT ציבורי (לחצו כדי להגדיל).

בדוגמה הזו:

  • השער nat-gw-us-east מוגדר לחול על טווח כתובות ה-IP הראשי של subnet-1 באזור us-east1. מכונה וירטואלית שממשק הרשת שלה לא כולל כתובת IP חיצונית יכולה לשלוח תנועה לאינטרנט באמצעות כתובת ה-IP הפנימית הראשית שלה או טווח כתובות IP של כינוי מטווח כתובות ה-IP הראשי של subnet-1, ‏ 10.240.0.0/16.

  • מכונה וירטואלית שממשק הרשת שלה לא כולל כתובת IP חיצונית וכתובת ה-IP הפנימית הראשית שלה נמצאת ב-subnet-2, לא יכולה לגשת לאינטרנט כי אף שער Cloud NAT לא חל על אף טווח כתובות IP של רשת המשנה הזו.

  • השער nat-gw-eu מוגדר לחול על טווח כתובות ה-IP הראשי של subnet-3 באזור europe-west1. מכונה וירטואלית שממשק הרשת שלה לא כולל כתובת IP חיצונית יכולה לשלוח תנועה לאינטרנט באמצעות כתובת ה-IP הפנימית הראשית שלה או טווח כתובות IP של כינוי מטווח כתובות ה-IP הראשי של subnet-3, ‏ 192.168.1.0/24.

תהליך עבודה לדוגמה

בתרשים שלמעלה, מכונה וירטואלית עם כתובת IP פנימית ראשית 10.240.0.4, ללא כתובת IP חיצונית, צריכה להוריד עדכון מכתובת ה-IP החיצונית 203.0.113.1. בתרשים, השער nat-gw-us-east מוגדר באופן הבא:

  • מספר היציאות המינימלי לכל מכונה: 64
  • הוקצו ידנית שתי כתובות IP של NAT: ‏ 192.0.2.50 ו-192.0.2.60
  • הוזן NAT לטווח כתובות ה-IP הראשי של subnet-1

ב-NAT ציבורי פועלים לפי התהליך של שמירת יציאות כדי לשמור את כתובת ה-IP של מקור ה-NAT ואת טפלי מקור היציאות לכל אחת מהמכונות הווירטואליות ברשת. לדוגמה, שער Cloud NAT ל-NAT ציבורי שומר 64 יציאות מקור למכונת ה-VM עם כתובת ה-IP הפנימית 10.240.0.4. לכתובת ה-IP של NAT‏ 192.0.2.50 יש 64 יציאות לא שמורות, לכן השער שומר את קבוצת הטפלים הבאה של כתובת ה-IP של מקור NAT ויציאת המקור עבור המכונה הווירטואלית הזו:

  • 192.0.2.50:34000 עד 192.0.2.50:34063

כשמכונה וירטואלית שולחת חבילת נתונים לשרת העדכון 203.0.113.1 ביעד, יציאה 80, באמצעות פרוטוקול TCP, מתרחשים הדברים הבאים:

  • המכונה הווירטואלית שולחת מנה של בקשה עם המאפיינים הבאים:

    • כתובת ה-IP של המקור: 10.240.0.4, כתובת ה-IP הפנימית הראשית של מכונת ה-VM
    • יציאת המקור: 24000, יציאת המקור הארעית שנבחרה על ידי מערכת ההפעלה של המכונה הווירטואלית
    • כתובת היעד: 203.0.113.1, כתובת ה-IP החיצונית של שרת העדכון
    • יציאת היעד: 80, יציאת היעד לתעבורת HTTP לשרת העדכונים
    • פרוטוקול: TCP
  • שער nat-gw-us-east מבצע תרגום כתובות רשת של המקור (SNAT) ביציאה, וכותב מחדש את כתובת ה-IP של המקור של חבילת הבקשה ואת יציאת המקור. החבילה ששונתה נשלחת לאינטרנט אם ברשת הענן הווירטואלי הפרטי (VPC) יש מסלול ליעד 203.0.113.1 שהניתוב הבא שלו הוא שער האינטרנט שמוגדר כברירת מחדל. נתיב ברירת מחדל בדרך כלל עומד בדרישה הזו.

    • כתובת ה-IP של מקור ה-NAT: ‏ 192.0.2.50, מתוך אחד מהטפלים של כתובת ה-IP של מקור ה-NAT והיציאה של המקור ששמורים למכונה הווירטואלית
    • יציאת מקור: 34022, יציאת מקור לא בשימוש מאחת הטבלאות של יציאות המקור השמורות של המכונה הווירטואלית
    • כתובת היעד: 203.0.113.1, ללא שינוי
    • יציאת היעד: 80, ללא שינוי
    • פרוטוקול: TCP, ללא שינוי
  • כששרת העדכון שולח מנה של תגובה, המנה הזו מגיעה לשער nat-gw-us-east עם המאפיינים הבאים:

    • כתובת ה-IP של המקור: 203.0.113.1, כתובת ה-IP החיצונית של שרת העדכון
    • יציאת המקור: 80, תגובת ה-HTTP משרת העדכון
    • כתובת היעד: 192.0.2.50, זהה לכתובת ה-IP המקורית של המקור ב-NAT של חבילת הבקשה
    • יציאת היעד: 34022, תואמת ליציאת המקור של חבילת הבקשה
    • פרוטוקול: TCP, ללא שינוי
  • שער nat-gw-us-east מבצע תרגום כתובות רשת של יעד (DNAT) בחבילת התגובה, וכותב מחדש את כתובת היעד ואת יציאת היעד של חבילת התגובה, כך שהחבילה מועברת למכונה הווירטואלית:

    • כתובת ה-IP של המקור: 203.0.113.1, ללא שינוי
    • יציאה של המקור: 80, ללא שינוי
    • כתובת היעד: 10.240.0.4, כתובת ה-IP הפנימית הראשית של מכונת ה-VM
    • יציאת היעד: 24000, שתואמת ליציאת המקור הארעית המקורית של חבילת הבקשה
    • פרוטוקול: TCP, ללא שינוי

‫NAT64 ב-NAT ציבורי

‫NAT64 מאפשר למכונות וירטואליות עם ממשקי רשת IPv6 בלבד לתקשר עם יעדי IPv4 באינטרנט.

כדי להשתמש ב-NAT64, כתובות היעד צריכות להיות בטווח 64:ff9b::/96. אתם יכולים להגדיר DNS64 כדי ליצור באופן אוטומטי כתובות IPv6 שמוטמעות בהן כתובות IPv4, על ידי הוספת הקידומת הזו לפני כתובות היעד של IPv4.

כשמכונה וירטואלית עם IPv6 בלבד שולחת בקשה ליעד בטווח 64:ff9b::/96 והבקשה מגיעה לשער Cloud NAT עם NAT64 מופעל, השער מבצע NAT באופן הבא:

  • תרגום של כתובת ה-IPv6 והיציאה של המקור לאחת מכתובות ה-IPv4 והיציאות החיצוניות שהוקצו לשער.
  • תרגום כתובת היעד המסונתזת מסוג IPv6 לכתובת המקורית מסוג IPv4 על ידי חילוץ 32 הביטים האחרונים של הכתובת המסונתזת.

    שער Cloud NAT משתמש גם ב-32 הביטים האחרונים של כתובת ה-IPv6 המסונתזת כדי לקבוע איך חבילת הבקשה מנותבת לאינטרנט. כשמכונה וירטואלית עם IPv6 בלבד שולחת חבילה ליעד בטווח 64:ff9b::/96, השער מחיל את טבלת הניתוב של IPv4 ברשת ה-VPC על כתובת היעד של IPv4 שחולצה. אם בטבלת הניתוב של IPv4 יש מסלול לכתובת הזו עם שער האינטרנט שמוגדר כברירת מחדל כצעד הבא, החבילה ששונתה נשלחת לאינטרנט.

כשמתקבלת תגובה, שער Cloud NAT מבצע NAT על ידי הפעולות הבאות:

  • הוספת הקידומת 64:ff9b::/96 לכתובת ה-IP של המקור של מנת הנתונים של התגובה.
  • כתיבה מחדש של כתובת היעד ויציאת היעד של מנת התגובה לכתובת ולפורט המקוריים של המכונה הווירטואלית.

לפני שמגדירים NAT64, כדאי לעיין במגבלות ובכללי הניתוב וחומת האש.

המאמרים הבאים