Interaksi produk Cloud NAT
Halaman ini menjelaskan interaksi penting antara Cloud NAT dan produk Google Cloud lainnya.
Interaksi rute
Gateway
NAT Publik
hanya dapat menggunakan rute yang next hop-nya adalah gateway internet default. Setiap jaringan Virtual Private Cloud (VPC) dimulai dengan rute default yang tujuannya adalah 0.0.0.0/0
dan next hop-nya adalah gateway internet default. Untuk informasi latar belakang yang penting, lihat
ringkasan rute.
Contoh berikut mengilustrasikan situasi yang dapat menyebabkan gateway NAT Publik tidak dapat beroperasi:
Jika Anda membuat rute statis dengan next hop yang ditetapkan ke jenis next hop rute statis lainnya, paket dengan alamat IP tujuan yang cocok dengan tujuan rute akan dikirim ke next hop tersebut, bukan ke gateway internet default. Misalnya, jika menggunakan instance virtual machine (VM) yang menjalankan software gateway NAT, firewall, atau proxy, Anda akan membuat rute statis untuk mengarahkan traffic ke VM tersebut sebagai hop berikutnya. VM next-hop memerlukan alamat IP eksternal. Dengan demikian, traffic dari VM yang mengandalkan VM next hop atau VM next hop itu sendiri tidak dapat menggunakan gatewayPublic NAT.
Jika Anda membuat rute statis kustom yang next hop-nya adalah tunnel Cloud VPN,NAT Publiktidak akan menggunakan rute tersebut. Misalnya, rute statis dengan tujuan
0.0.0.0/0
dan tunnel Cloud VPN next hop mengarahkan traffic ke tunnel tersebut, bukan ke gateway internet default. Oleh karena itu, gateway NAT Publik tidak dapat menggunakan rute tersebut. Demikian pula, gateway NAT Publik tidak dapat menggunakan rute statis dengan tujuan yang lebih spesifik, termasuk0.0.0.0/1
dan128.0.0.0/1
.Jika router lokal mengiklankan rute dinamis ke Cloud Router yang mengelola tunnel Cloud VPN atau lampiran VLAN, gatewayNAT Publik,tidak dapat menggunakan rute tersebut. Misalnya, jika router lokal Anda mengumumkan rute dinamis dengan tujuan
0.0.0.0/0
,0.0.0.0/0
akan diarahkan ke tunnel Cloud VPN atau lampiran VLAN. Perilaku ini berlaku bahkan untuk tujuan yang lebih spesifik, termasuk0.0.0.0/1
dan128.0.0.0/1
.
NAT pribadi menggunakan rute berikut:
- Untuk spoke Network Connectivity Center, Private NAT menggunakan rute
subnet dan rute dinamis:
- Untuk traffic antara dua spoke VPC yang dilampirkan ke hub Network Connectivity Center yang hanya berisi spoke VPC, Private NAT menggunakan rute subnet yang dipertukarkan oleh spoke VPC yang dilampirkan. Untuk mengetahui informasi tentang spoke VPC, lihat Ringkasan spoke VPC.
- Jika hub Network Connectivity Center berisi spoke VPC dan spoke campuran seperti lampiran VLAN untuk Cloud Interconnect, tunnel Cloud VPN, atau VM perangkat Router, NAT Pribadi menggunakan rute dinamis yang dipelajari oleh spoke campuran melalui BGP dan rute subnet yang dipertukarkan oleh spoke VPC yang terpasang. Untuk mengetahui informasi tentang spoke hybrid, lihat Spoke hybrid.
- Untuk NAT Hybrid, NAT Pribadi menggunakan rute dinamis yang dipelajari oleh Cloud Router melalui Cloud Interconnect atau Cloud VPN.
Interaksi Akses Google Pribadi
Gateway NAT Publik tidak pernah melakukan NAT untuk traffic yang dikirim ke alamat IP eksternal tertentu untuk Google API dan layanan Google. Sebagai gantinya, Google Cloud akan otomatis mengaktifkan Akses Google Pribadi untuk rentang alamat IP subnet saat Anda mengonfigurasi gateway NAT Publik untuk diterapkan ke rentang subnet tersebut, baik utama maupun sekunder. Selama gateway menyediakan NAT untuk rentang subnet, Akses Google Pribadi berlaku untuk rentang tersebut dan tidak dapat dinonaktifkan secara manual.
Gateway Public NAT tidak mengubah cara kerja Akses Google Pribadi. Untuk informasi selengkapnya, lihat Akses Google Pribadi.
Gateway NAT pribadi tidak berlaku untuk Akses Google Pribadi.
Interaksi VPC Bersama
VPC Bersama memungkinkan beberapa project layanan dalam satu organisasi menggunakan jaringan VPC Bersama yang sama dalam project host. Untuk menyediakan NAT bagi VM dalam project layanan yang menggunakan jaringan VPC Bersama, Anda harus membuat gateway Cloud NAT di project host.
Interaksi Peering Jaringan VPC
Gateway Cloud NAT dikaitkan dengan rentang alamat IP subnet dalam satu region dan satu jaringan VPC. Gateway Cloud NAT yang dibuat di satu jaringan VPC tidak dapat menyediakan NAT ke VM di jaringan VPC lain yang terhubung menggunakan Peering Jaringan VPC, meskipun VM di jaringan yang di-peering berada di region yang sama dengan gateway.
Interaksi GKE
Gateway NAT Publik dapat melakukan NAT untuk node dan Pod di cluster pribadi, yang merupakan jenis cluster native VPC. Gateway NAT Publik harus dikonfigurasi untuk diterapkan ke setidaknya rentang alamat IP subnet berikut untuk subnet yang digunakan cluster Anda:
- Rentang alamat IP primer subnet (digunakan oleh node)
- Rentang alamat IP sekunder subnet yang digunakan untuk Pod di cluster
- Rentang alamat IP sekunder subnet yang digunakan untuk Service di cluster
Cara termudah untuk menyediakan NAT bagi seluruh cluster pribadi adalah dengan mengonfigurasi gateway NAT Publik agar berlaku untuk semua rentang alamat IP subnet subnet cluster.
Untuk informasi latar belakang tentang cara cluster VPC native menggunakan rentang alamat IP subnet, lihat Rentang IP untuk cluster VPC native.
Saat gateway NAT Publik dikonfigurasi untuk menyediakan NAT bagi cluster pribadi, gateway tersebut akan mencadangkan alamat IP sumber NAT dan port sumber untuk setiap VM node. Alamat IP sumber NAT dan port sumber tersebut dapat digunakan oleh Pod karena alamat IP Pod diterapkan sebagai rentang IP alias yang ditetapkan ke setiap VM node.
Cluster native VPC Google Kubernetes Engine (GKE) selalu menetapkan setiap node dengan rentang IP alias yang berisi lebih dari satu alamat IP (netmask lebih kecil dari /32
).
Jika alokasi port statis dikonfigurasi, prosedur reservasi port NAT Publik akan mencadangkan minimal 1.024 port sumber per node. Jika nilai yang ditentukan untuk port minimum per VM lebih besar dari 1.024, nilai tersebut akan digunakan.
Jika alokasi port dinamis dikonfigurasi, nilai yang ditentukan untuk port minimum per VM awalnya dialokasikan per node. Jumlah port yang dialokasikan kemudian bervariasi antara nilai yang ditentukan untuk port minimum dan maksimum per VM, berdasarkan permintaan.
Untuk informasi tentang rentang alamat IP Pod dan cluster native VPC, lihat Rentang alamat IP sekunder subnet untuk Pod.
Terlepas dariNAT Publik, Google Kubernetes Engine melakukan penafsiran alamat jaringan sumber (NAT sumber atau SNAT) menggunakan software yang berjalan di setiap node saat Pod mengirim paket ke internet, kecuali jika Anda telah mengubah konfigurasi penyamaran IP cluster. Jika memerlukan kontrol terperinci atas traffic keluar dari Pod, Anda dapat menggunakan kebijakan jaringan.
Dalam situasi tertentu, NAT Publik juga dapat berguna untuk cluster native VPC non-pribadi. Karena node dalam cluster non-pribadi memiliki alamat IP eksternal, paket yang dikirim dari alamat IP internal utama node tidak pernah diproses oleh Cloud NAT. Namun, jika kedua hal berikut benar, paket yang dikirim dari Pod dalam cluster non-pribadi dapat diproses oleh gateway NAT Publik :
Untuk cluster native VPC, gatewayPublic NATdikonfigurasi untuk diterapkan ke rentang alamat IP sekunder untuk Pod cluster.
Konfigurasi penyamaran IP cluster tidak dikonfigurasi untuk melakukan SNAT dalam cluster untuk paket yang dikirim dari Pod ke internet.
Contoh berikut menunjukkan interaksiPublic NATdengan GKE:
Dalam contoh ini, Anda ingin penampung diterjemahkan NAT. Untuk mengaktifkan NAT
untuk semua penampung dan node GKE, Anda harus memilih semua
rentang alamat IP Subnet 1
sebagai kandidat NAT:
- Rentang alamat IP primer subnet:
10.240.0.0/24
- Rentang alamat IP sekunder subnet yang digunakan untuk Pod:
10.0.0.0/16
NAT hanya dapat diaktifkan untuk Pod1
atau Pod2
.
Gateway Private NAT dapat melakukan NAT untuk node dan Pod di cluster pribadi dan di cluster non-pribadi. Gateway Private NAT secara otomatis diterapkan ke semua rentang alamat IP subnet untuk subnet pribadi yang digunakan cluster Anda.
Interaksi traffic keluar VPC Langsung
Gateway NAT Publik dapat melakukan NAT untuk layanan atau tugas Cloud Run yang dikonfigurasi dengan Traffic keluar VPC langsung. Agar Cloud Run dapat menggunakan gatewayNAT Publik, konfigurasikan gatewayNAT Publikdengan setelan berikut:
- Untuk mengonfigurasi subnet dan rentang alamat IP subnet yang terkait dengan instance Cloud Run Anda yang dapat menggunakan gatewayPublic NAT, tentukan flag
--nat-all-subnet-ip-ranges
atau--nat-custom-subnet-ip-ranges
:- Agar semua rentang alamat IP dari semua subnet di region tersebut dapat menggunakan gateway
NAT Publik
, tentukan flag
--nat-all-subnet-ip-ranges
. - Agar hanya subnet dan rentang alamat IP subnet tertentu yang menggunakan gateway
NAT Publik
, tentukan dengan
flag
--nat-custom-subnet-ip-ranges
.
- Agar semua rentang alamat IP dari semua subnet di region tersebut dapat menggunakan gateway
NAT Publik
, tentukan flag
- Tetapkan nilai flag
--endpoint-types
keENDPOINT_TYPE_VM
. Nilai ini memastikan bahwa hanya VM dan endpoint VM keluar VPC Langsung yang dapat menggunakan gateway NAT Publik . - Jika alokasi port statis, tetapkan nilai tanda
--min-ports-per-vm
ke empat kali jumlah port yang diperlukan oleh satu instance Cloud Run. - Jika alamat IP NAT dialokasikan secara manual, tetapkan jumlah alamat IP yang sesuai ke gatewayNAT Publikuntuk memperhitungkan jumlah instance Google Cloud dan jumlah instance Cloud Run yang di-deploy di jaringan VPC Anda.
Selain konfigurasi gateway, untuk mengirim traffic keluar dari layanan atau tugas Cloud Run, Anda harus menetapkan tanda --vpc-egress
ke all-traffic
saat membuat layanan atau tugas.
Jika Anda telah mengonfigurasi layanan atau tugas Cloud Run yang memiliki
tanda --vpc-egress
yang ditetapkan ke private-ranges-only
, layanan atau tugas tersebut hanya akan mengirim
traffic ke alamat IP internal. Anda tidak memerlukan gateway
NAT Publik
untuk merutekan traffic ke tujuan internal.
Untuk mencegah layanan atau tugas Cloud Run yang
memiliki flag --vpc-egress
yang ditetapkan ke private-ranges-only
agar tidak menggunakan gateway
NAT Publik
, lakukan hal berikut:
- Konfigurasikan gatewayPublic NATdengan tanda
--nat-custom-subnet-ip-ranges
. - Tetapkan nilai tanda
--nat-custom-subnet-ip-ranges
ke nama subnet tempat Anda telah men-deploy layanan atau tugas Cloud Run dengan tanda--vpc-egress
ditetapkan keall-traffic
.
Batasan berikut berlaku untuk layanan dan tugas Cloud Run yang menggunakan gateway NAT Publik:
- Metrik Cloud NAT untuk endpoint traffic keluar VPC Langsung tidak diekspor ke Cloud Monitoring.
- Log Cloud NAT untuk traffic keluar VPC Langsung tidak menampilkan nama layanan, revisi, atau tugas Cloud Run.
Anda tidak dapat menggunakan gateway Private NAT dengan endpoint traffic keluar VPC Langsung.
Interaksi Uji Konektivitas
Anda dapat menggunakan Uji Konektivitas untuk memeriksa konektivitas di antara endpoint jaringan yang menggunakan konfigurasi Cloud NAT. Anda dapat menjalankan Pengujian Konektivitas di jaringan yang menggunakan Gateway NAT publik atau Gateway NAT pribadi, atau keduanya.
Lihat detail konfigurasi NAT di panel Configuration analysis trace di halaman Connectivity test details.
Interaksi Cloud Load Balancing
Load Balancer Aplikasi internal regional dan Load Balancer Aplikasi eksternal regional Google Cloud berkomunikasi dengan beberapa backend grup endpoint jaringan internet regional (NEG). Dengan mengonfigurasi gateway Cloud NAT untuk NEG internet regional, Anda dapat mengalokasikan kumpulan rentang alamat IP eksternal Anda sendiri dari tempat traffic Google Cloud berasal. Health check dan traffic bidang data berasal dari alamat IP NAT yang Anda alokasikan.
Load balancer eksternal dan sistem health check Google Cloud lainnya berkomunikasi dengan VM menggunakan jalur perutean khusus. VM backend tidak memerlukan alamat IP eksternal, begitu juga gateway Cloud NAT yang mengelola komunikasi untuk load balancer dan health check. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud Load Balancing dan Ringkasan health check.
Langkah selanjutnya
- Pelajari alamat dan port Cloud NAT.
- Siapkan gateway Public NAT.
- Konfigurasikan aturan Cloud NAT.
- Siapkan gateway Private NAT.