Cloud NAT – Übersicht

Mit Cloud NAT (Network Address Translation) können bestimmte Ressourcen in Google Cloud ausgehende Verbindungen zum Internet oder zu anderen VPC-Netzwerken (Virtual Private Cloud) erstellen. Cloud NAT unterstützt die Adressübersetzung nur für vorhandene eingehende Antwortpakete. Unerwünschte eingehende Verbindungen sind nicht möglich.

Cloud NAT bietet ausgehende Verbindungen für die folgenden Ressourcen:

Arten von Cloud NAT

In Google Cloud verwenden Sie Cloud NAT, um NAT-Gateways zu erstellen, mit denen Instanzen in einem privaten Subnetz eine Verbindung zu Ressourcen außerhalb Ihres VPC-Netzwerk herstellen können.

Mit einem NAT-Gateway können Sie die folgenden NAT-Typen aktivieren:

  • Öffentliche NAT
  • Private NAT

Sie können sowohl öffentliche NAT- als auch private NAT-Gateways verwenden, die NAT-Dienste für dasselbe Subnetz in einem VPC-Netzwerk bereitstellen.

Öffentliche NAT

Mit einer öffentlichen NAT können Google Cloud-Ressourcen, die keine öffentlichen IP-Adressen haben, mit dem Internet kommunizieren. Diese VMs verwenden eine Reihe freigegebener öffentlicher IP-Adressen, um eine Verbindung zum Internet herzustellen. Öffentliche NAT hängt nicht von Proxy-VMs ab. Stattdessen weist ein öffentliches NAT-Gateway jeder VM, die das Gateway zum Erstellen ausgehender Verbindungen zum Internet verwendet, eine Reihe externer IP-Adressen und Quellports zu.

Stellen Sie sich ein Szenario vor, in dem VM-1 in subnet-1 vorhanden ist, deren Netzwerkschnittstelle keine externe IP-Adresse hat. VM-1 muss jedoch mit dem Internet verbunden sein, um wichtige Updates herunterladen zu können. Wenn Sie eine Verbindung zum Internet herstellen möchten, können Sie ein öffentliches NAT-Gateway erstellen, das für den IP-Adressbereich von subnet-1 konfiguriert ist. Jetzt kann VM-1 über die interne IP-Adresse von subnet-1 Traffic an das Internet senden.

Weitere Informationen zu öffentlicher NAT finden Sie unter Öffentliche NAT-Spezifikationen.

Private NAT

Private NAT ermöglicht privaten zu privaten Übersetzungen in allen Google Cloud-Netzwerken. Inter-VPC NAT, ein Angebot für private NAT, mit dem Sie ein privates NAT-Gateway erstellen können, das in Verbindung mit Network Connectivity Center verwendet wird, um NAT zwischen Virtual Private Cloud-Netzwerken auszuführen. Zum Konfigurieren von Inter-VPC-NAT zwischen VPC-Netzwerken muss jedes VPC-Netzwerk als VPC-Spoke in einem Network Connectivity Center-Hub konfiguriert werden. Das private NAT-Gateway verwendet eine NAT-IP-Adresse aus einem privaten NAT-Subnetz für NAT-Traffic zwischen Ressourcen, die an einen Network Connectivity Center-Hub angehängt sind.

Angenommen, die Ressourcen in Ihrem VPC-Netzwerk müssen mit den Ressourcen in einem VPC-Netzwerk kommunizieren, das einer anderen Geschäftseinheit gehört. Das VPC-Netzwerk dieser Geschäftseinheit enthält jedoch Subnetze, deren IP-Adressen sich mit den IP-Adressen Ihres VPC-Netzwerks überschneiden. In diesem Szenario erstellen Sie ein privates NAT-Gateway, das Traffic zwischen den Subnetzen in Ihrem VPC-Netzwerk an die nicht überlappenden Subnetze dieser Geschäftseinheit weiterleitet.

Weitere Informationen zu privater NAT finden Sie unter Spezifikationen für private NAT.

Architektur

Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst. Cloud NAT basiert nicht auf Proxy-VMs oder -Appliances. Cloud NAT konfiguriert die Andromeda-Software für Ihr VPC-Netzwerk (Virtual Private Cloud) so, dass sie eine Quellnetzwerkadressübersetzung (Quell-NAT oder SNAT) für Ressourcen bietet. Cloud NAT bietet auch Destination Network Address Translation (Ziel-NAT oder DNAT) für etablierte eingehende Antwortpakete.

Herkömmliche NAT im Vergleich zu Cloud NAT
Herkömmliche NAT im Vergleich zu Cloud NAT (zum Vergrößern klicken).

Vorteile

Cloud NAT bietet folgende Vorteile:

  • Sicherheit

    Wenn Sie ein öffentliches NAT-Gateway verwenden, können Sie die Notwendigkeit verringern, dass einzelne VMs jeweils externe IP-Adressen haben müssen. Je nach Firewallregeln für ausgehenden Traffic können VMs ohne externe IP-Adressen auf Ziele im Internet zugreifen. Angenommen, Sie haben VMs, die nur Internetzugriff benötigen, um Updates herunterzuladen oder die Bereitstellung abzuschließen.

    Wenn Sie die manuelle NAT-IP-Adresszuweisung zum Konfigurieren eines öffentlichen NAT-Gateways verwenden, können Sie eine Reihe von gemeinsamen externen Quell-IP-Adressen für eine Zielpartei freigeben. Ein Zieldienst lässt beispielsweise nur Verbindungen von bekannten externen IP-Adressen zu.

    Ein privates NAT-Gateway erlaubt keiner Ressource aus den mit Network Connectivity Center verbundenen VPC-Spokes, eine Verbindung mit den VMs in sich überschneidenden Subnetzwerken direkt zu initiieren. Wenn eine VM in einer privaten NAT-Konfiguration versucht, eine Verbindung mit einer VM in einem VPC-Spoke-Netzwerk von Network Connectivity Center zu initiieren, führt das private NAT-Gateway SNAT mithilfe der IP-Adressen aus dem privaten NAT-Bereich aus. Das Gateway führt auch DNAT für die Antworten auf die ausgehenden Pakete aus.

  • Verfügbarkeit

    Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst, der nicht von VMs in Ihrem Projekt oder einem einzelnen physischen Gateway-Gerät abhängt. Sie konfigurieren ein NAT-Gateway auf einem Cloud Router, der die Steuerungsebene für NAT mit von Ihnen angegebenen Konfigurationsparametern bereitstellt. Google Cloud führt Prozesse auf den physischen Maschinen aus, auf denen Ihre Google Cloud-VMs ausgeführt werden, und verwaltet diese.

  • Skalierbarkeit

    Cloud NAT kann so konfiguriert werden, dass die Anzahl der verwendeten NAT-IP-Adressen automatisch skaliert wird. Es unterstützt VMs, die zu verwalteten Instanzgruppen gehören, einschließlich der Gruppen, für die Autoscaling aktiviert ist.

  • Leistung

    Cloud NAT reduziert nicht die Netzwerkbandbreite pro VM. Cloud NAT wird vom softwarebasierten Netzwerk Andromeda von Google implementiert. Weitere Informationen finden Sie in der Dokumentation zu Compute Engine unter Netzwerkbandbreite.

  • Logging

    Für Cloud NAT-Traffic können Sie die Verbindungen und die Bandbreite für Compliance-, Fehlerbehebungs-, Analyse- und Ressourcenerfassungszwecke verfolgen.

  • Monitoring

    Cloud NAT stellt wichtige Messwerte für Cloud Monitoring zur Verfügung, die Ihnen einen Einblick in die Nutzung von NAT-Gateways in Ihrer Flotte geben. Messwerte werden automatisch an Cloud Monitoring gesendet. Dort können Sie benutzerdefinierte Dashboards erstellen, Benachrichtigungen einrichten und Messwerte abfragen.

Produktinteraktionen

Weitere Informationen zu den wichtigen Interaktionen zwischen Cloud NAT und anderen Google Cloud-Produkten finden Sie unter Interaktionen mit Cloud NAT-Produkten.

Nächste Schritte