Interaksi produk Cloud NAT

Halaman ini menjelaskan interaksi penting antara Cloud NAT dan produk Google Cloud lainnya.

Interaksi Rute

Gateway NAT Publik hanya dapat menggunakan rute yang hop berikutnya adalah gateway internet default. Setiap jaringan Virtual Private Cloud (VPC) dimulai dengan rute default yang tujuannya adalah 0.0.0.0/0 dan yang hop berikutnya adalah gateway internet default. Untuk informasi latar belakang penting, lihat ringkasan rute.

Contoh berikut mengilustrasikan situasi yang dapat menyebabkan gateway NAT Publik menjadi tidak dapat dioperasikan:

  • Jika Anda membuat rute statis kustom dengan hop berikutnya yang disetel ke jenis next hop rute statis kustom lainnya, paket dengan alamat IP tujuan yang cocok dengan tujuan rute akan dikirim ke hop berikutnya tersebut, bukan ke gateway internet default. Misalnya, jika menggunakan instance virtual machine (VM) yang menjalankan gateway NAT, firewall, atau software proxy, Anda membuat rute statis kustom untuk mengarahkan traffic ke VM tersebut sebagai next hop. VM next-hop memerlukan alamat IP eksternal. Oleh karena itu, traffic dari VM yang mengandalkan VM next-hop atau VM next-hop itu sendiri tidak dapat menggunakan gateway NAT Publik.

  • Jika Anda membuat rute statis kustom yang hop berikutnya adalah terowongan Cloud VPN, NAT Publik tidak akan menggunakan rute tersebut. Misalnya, rute statis kustom dengan tujuan 0.0.0.0/0 dan tunnel Cloud VPN next hop mengarahkan traffic ke tunnel tersebut, bukan ke gateway internet default. Oleh karena itu, gateway NAT Publik tidak dapat menggunakan rute tersebut. Demikian pula, gateway NAT Publik tidak dapat menggunakan rute statis kustom dengan tujuan yang lebih spesifik, termasuk 0.0.0.0/1 dan 128.0.0.0/1.

  • Jika router lokal mengiklankan rute dinamis kustom ke Cloud Router yang mengelola tunnel Cloud VPN atau lampiran VLAN, gateway NAT Publik tidak dapat menggunakan rute tersebut. Misalnya, jika router lokal Anda mengiklankan rute dinamis kustom dengan tujuan 0.0.0.0/0, 0.0.0.0/0 akan diarahkan ke tunnel Cloud VPN atau lampiran VLAN. Perilaku ini berlaku bahkan untuk tujuan yang lebih spesifik, termasuk 0.0.0.0/1 dan 128.0.0.0/1.

NAT pribadi menggunakan rute berikut:

  • Untuk NAT Antar-VPC, Private NAT hanya menggunakan rute subnet yang dipertukarkan oleh dua spoke VPC Network Connectivity Center yang terpasang ke hub Network Connectivity Center. Untuk mengetahui informasi lebih lanjut tentang spoke VPC Network Connectivity Center, lihat Ringkasan spoke VPC.
  • Untuk Hybrid NAT (Pratinjau), Private NAT menggunakan rute dinamis yang dipelajari oleh Cloud Router melalui Cloud VPN.

Interaksi Akses Google Pribadi

Gateway NAT Publik tidak pernah melakukan NAT untuk traffic yang dikirim ke alamat IP eksternal untuk Google API dan layanan Google tertentu. Sebagai gantinya, Google Cloud secara otomatis mengaktifkan Akses Google Pribadi untuk rentang alamat IP subnet saat Anda mengonfigurasi gateway NAT Publik untuk menerapkan ke rentang subnet tersebut, baik primer maupun sekunder. Selama gateway menyediakan NAT untuk rentang subnet, Akses Google Pribadi berlaku untuk rentang tersebut dan tidak dapat dinonaktifkan secara manual.

Gateway NAT Publik tidak mengubah cara kerja Akses Google Pribadi. Untuk mengetahui informasi selengkapnya, lihat Akses Google Pribadi.

Gateway NAT pribadi tidak berlaku untuk Akses Google Pribadi.

Interaksi VPC bersama

VPC Bersama memungkinkan beberapa project layanan dalam satu organisasi menggunakan jaringan VPC bersama yang umum dalam suatu project host. Untuk menyediakan NAT bagi VM di project layanan yang menggunakan jaringan VPC Bersama, Anda harus membuat gateway Cloud NAT di project host.

Interaksi Peering Jaringan VPC

Gateway Cloud NAT dikaitkan dengan rentang alamat IP subnet di satu region dan satu jaringan VPC. Gateway Cloud NAT yang dibuat di satu jaringan VPC tidak dapat memberikan NAT ke VM di jaringan VPC lain yang terhubung menggunakan Peering Jaringan VPC atau dengan menggunakan spoke VPC Network Connectivity Center, meskipun VM dalam jaringan yang di-peering berada di region yang sama dengan gateway.

Interaksi GKE

Gateway NAT Publik dapat menjalankan NAT untuk node dan Pod di cluster pribadi, yang merupakan jenis cluster VPC native. Gateway NAT Publik harus dikonfigurasi untuk diterapkan pada setidaknya rentang alamat IP subnet berikut untuk subnet yang digunakan cluster Anda:

  • Rentang alamat IP primer subnet (digunakan oleh node)
  • Rentang alamat IP sekunder subnet yang digunakan untuk Pod di cluster
  • Rentang alamat IP sekunder subnet yang digunakan untuk Service di cluster

Cara termudah menyediakan NAT untuk seluruh cluster pribadi adalah dengan mengonfigurasi gateway NAT Publik untuk diterapkan ke semua rentang alamat IP subnet dari subnet cluster.

Untuk mengetahui informasi latar belakang tentang cara cluster native VPC menggunakan rentang alamat IP subnet, lihat Rentang IP untuk cluster native VPC.

Jika gateway NAT Publik dikonfigurasi guna menyediakan NAT untuk cluster pribadi, gateway tersebut mencadangkan alamat IP sumber NAT dan port sumber untuk setiap node VM. Alamat IP sumber NAT dan port sumber tersebut dapat digunakan oleh Pod karena alamat IP Pod diterapkan sebagai rentang IP alias yang ditetapkan ke setiap node VM.

Cluster VPC native Google Kubernetes Engine (GKE) selalu menetapkan rentang IP alias ke setiap node yang berisi lebih dari satu alamat IP (netmask lebih kecil dari /32).

  • Jika alokasi port statis dikonfigurasi, prosedur reservasi port Public NAT akan mencadangkan setidaknya 1.024 port sumber per node. Jika nilai yang ditentukan untuk port minimum per VM lebih besar dari 1.024, nilai tersebut akan digunakan.

  • Jika alokasi port dinamis dikonfigurasi, nilai yang ditentukan untuk port minimum per VM pada awalnya akan dialokasikan per node. Jumlah port yang dialokasikan kemudian bervariasi antara nilai yang ditentukan untuk port minimum dan maksimum per VM, berdasarkan permintaan.

Untuk informasi tentang rentang alamat IP Pod dan cluster native VPC, lihat Rentang alamat IP sekunder subnet untuk Pod.

Terlepas dari NAT Publik, Google Kubernetes Engine melakukan penafsiran alamat jaringan sumber (NAT atau SNAT sumber) menggunakan software yang berjalan pada setiap node saat Pod mengirim paket ke internet, kecuali jika Anda telah mengubah konfigurasi penyamaran IP cluster. Jika memerlukan kontrol terperinci atas traffic keluar dari Pod, Anda dapat menggunakan kebijakan jaringan.

Dalam keadaan tertentu, NAT Publik juga dapat berguna untuk cluster berbasis VPC non-pribadi. Karena node dalam cluster non-pribadi memiliki alamat IP eksternal, paket yang dikirim dari alamat IP internal utama node tidak akan diproses oleh Cloud NAT. Namun, jika Anda ingin cluster publik menggunakan alamat IP eksternal statis yang disediakan oleh gateway NAT Publik, lakukan hal berikut:

  • Konfigurasi gateway NAT Publik agar hanya diterapkan ke rentang alamat IP sekunder objek pod cluster.
  • Konfigurasikan cluster Anda untuk menonaktifkan SNAT default, sehingga GKE menyimpan alamat IP untuk objek pod sumber dari paket yang dikirim ke internet.
  • Konfigurasi agen penyamaran IP dengan menentukan CIDR yang sesuai sebagai tujuan selain penyamaran, sehingga agen mempertahankan alamat IP untuk objek pod sumber dari paket yang dikirim ke tujuan selain penyamaran.

Contoh berikut menunjukkan interaksi umum NAT Publik dengan GKE:

NAT Publik dengan GKE.
NAT Publik dengan GKE (klik untuk memperbesar).

Dalam contoh ini, Anda ingin penampung Anda diterjemahkan NAT. Guna mengaktifkan NAT untuk semua container dan node GKE, Anda harus memilih semua rentang alamat IP Subnet 1 sebagai kandidat NAT:

  • Rentang alamat IP utama subnet: 10.240.0.0/24
  • Rentang alamat IP sekunder subnet yang digunakan untuk Pod: 10.0.0.0/16

NAT tidak dapat diaktifkan hanya untuk Pod1 atau Pod2.

Gateway NAT Pribadi dapat menjalankan NAT untuk node dan Pod di cluster pribadi dan di cluster non-pribadi. Gateway NAT Pribadi secara otomatis berlaku ke semua rentang alamat IP subnet untuk subnet pribadi yang digunakan cluster Anda.

Interaksi traffic keluar VPC langsung

Gateway NAT publik dapat menjalankan NAT untuk layanan Cloud Run atau tugas yang dikonfigurasi dengan Traffic keluar VPC Langsung. Agar instance traffic keluar VPC Langsung Anda menggunakan gateway NAT Publik, konfigurasikan gateway NAT Publik Anda dengan setelan berikut:

  • Tentukan flag --nat-all-subnet-ip-ranges untuk mengizinkan semua rentang alamat IP dari semua subnet di region menggunakan gateway NAT Publik.
  • Tetapkan nilai flag --endpoint-types ke ENDPOINT_TYPE_VM. Nilai ini memastikan bahwa hanya VM (termasuk VM traffic keluar VPC Langsung) yang dapat menggunakan gateway NAT Publik.
  • Dalam kasus alokasi port statis, tetapkan nilai flag --min-ports-per-vm menjadi empat kali lipat jumlah port yang diperlukan oleh satu instance Cloud Run.
  • Dalam kasus alokasi alamat IP NAT manual, tetapkan jumlah alamat IP yang sesuai ke gateway NAT Publik Anda untuk memperhitungkan penjumlahan jumlah instance Google Cloud dan jumlah instance traffic keluar VPC Langsung yang telah di-deploy di jaringan VPC Anda.

Selain konfigurasi gateway, untuk mengirim traffic keluar dari layanan atau tugas Cloud Run, Anda harus menetapkan flag --vpc-egress ke all-traffic saat membuat layanan atau tugas.

Jika Anda telah mengonfigurasi layanan atau tugas Cloud Run yang menetapkan flag --vpc-egress ke private-ranges-only, layanan atau tugas hanya akan mengirimkan traffic ke alamat IP internal. Anda tidak memerlukan {i>gateway<i} NAT Publik untuk mengarahkan lalu lintas ke tujuan internal.

Untuk mencegah layanan atau tugas Cloud Run yang memiliki flag --vpc-egress yang ditetapkan ke private-ranges-only agar tidak menggunakan gateway NAT Publik, lakukan tindakan berikut:

  • Konfigurasikan gateway NAT Publik dengan flag --nat-custom-subnet-ip-ranges.
  • Tetapkan nilai flag --nat-custom-subnet-ip-ranges ke nama subnet tempat Anda men-deploy layanan atau tugas Cloud Run dengan flag --vpc-egress yang ditetapkan ke all-traffic.

Batasan berikut berlaku untuk layanan Cloud Run dan tugas yang menggunakan gateway NAT Publik:

  • Metrik Cloud NAT untuk endpoint traffic keluar VPC Langsung tidak diekspor ke Cloud Monitoring.
  • Log Cloud NAT untuk traffic keluar VPC Langsung tidak menampilkan nama layanan, revisi, atau tugas Cloud Run.

Anda tidak dapat menggunakan gateway NAT Pribadi dengan instance traffic keluar VPC Langsung.

Interaksi Uji Konektivitas

Anda dapat menggunakan Uji Konektivitas untuk memeriksa konektivitas antar-endpoint jaringan yang menggunakan konfigurasi Cloud NAT. Anda dapat menjalankan Uji Konektivitas di jaringan yang menggunakan gateway NAT Publik atau Gateway NAT Pribadi, atau keduanya.

Anda dapat melihat detail konfigurasi NAT di panel Pelacakan analisis konfigurasi di halaman Detail uji konektivitas.

Interaksi Cloud Load Balancing

Load Balancer Aplikasi internal regional dan Load Balancer Aplikasi eksternal regional berkomunikasi dengan beberapa backend grup endpoint jaringan internet regional (NEG). Dengan mengonfigurasi gateway Cloud NAT untuk NEG internet regional, Anda dapat mengalokasikan kumpulan rentang alamat IP eksternal Anda sendiri dari lokasi asal traffic Google Cloud. Health check dan traffic bidang data bersumber dari alamat IP NAT yang Anda alokasikan.

Load balancer eksternal dan sistem health check Google Cloud lainnya berkomunikasi dengan VM menggunakan rute khusus. VM backend tidak memerlukan alamat IP eksternal dan gateway Cloud NAT mengelola komunikasi untuk load balancer dan health check. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud Load Balancing dan Ringkasan Health check.

Langkah selanjutnya