Cloud NAT – Überblick

Cloud NAT bietet Network Address Translation (NAT) für ausgehenden Traffic zum Internet, zu VPC-Netzwerken (Virtual Private Cloud), zu lokalen Netzwerken und zu anderen Cloud-Anbieternetzwerken.

Cloud NAT bietet NAT für die folgenden Google Cloud-Ressourcen:

Cloud NAT unterstützt die Adressübersetzung nur für etablierte eingehende Antwortpakete. Unerwünschte eingehende Verbindungen werden nicht zugelassen.

Arten von Cloud NAT

In Google Cloud verwenden Sie Cloud NAT, um NAT-Gateways zu erstellen, mit denen Instanzen in einem privaten Subnetz eine Verbindung zu Ressourcen außerhalb Ihres VPC-Netzwerk herstellen können.

Mit einem NAT-Gateway können Sie die folgenden NAT-Typen aktivieren:

  • Public NAT
  • Private NAT

Sie können sowohl öffentliche NAT- als auch private NAT-Gateways haben, die NAT-Dienste für dasselbe Subnetz in einem VPC-Netzwerk anbieten.

Public NAT

Mit Public NAT können Google Cloud-Ressourcen ohne öffentliche IP-Adressen mit dem Internet kommunizieren. Diese VMs verwenden eine Reihe freigegebener öffentlicher IP-Adressen, um eine Verbindung zum Internet herzustellen. Public NAT benötigt keine Proxy-VMs. Stattdessen weist einPublic NAT-Gateway jeder VM, die über das Gateway ausgehende Verbindungen zum Internet herstellt, eine Reihe externer IP-Adressen und Quellports zu.

Angenommen, Sie haben VM-1 in subnet-1, dessen Netzwerkschnittstelle keine externe IP-Adresse hat. VM-1 muss jedoch mit dem Internet verbunden sein, um wichtige Updates herunterladen zu können. Um eine Internetverbindung zu ermöglichen, können Sie einPublic NAT-Gateway erstellen, das für den IP-Adressbereich von subnet-1 konfiguriert ist. Jetzt kann VM-1 Traffic über die interne IP-Adresse von subnet-1 an das Internet senden.

Weitere Informationen finden Sie unter Öffentliche NAT.

Private NAT

Private NAT ermöglicht Private-zu-Private-NAT für den folgenden Traffic.

Traffic Beschreibung
Von einem VPC-Netzwerk zu einem anderen VPC-Netzwerk Private NAT unterstützt die private-zu-private NAT für VPC-Netzwerke, die als VPC-Spokes mit einem Network Connectivity Center-Hub verbunden sind. Weitere Informationen finden Sie unter Private NAT für Spokes des Network Connectivity Center.
Von einem VPC-Netzwerk zu einem Netzwerk außerhalb von Google Cloud Private NAT unterstützt die folgenden Optionen für Traffic zwischen VPC-Netzwerken und lokalen Netzwerken oder Netzwerken anderer Cloud-Anbieter:
  • Private-zu-private NAT für Netzwerke, die über hybride Spokes des Network Connectivity Center verbunden sind. Weitere Informationen finden Sie unter Private NAT für Spokes des Network Connectivity Center.
  • Private-zu-private NAT für Netzwerke, die über Cloud Interconnect oder Cloud VPN verbunden sind. Weitere Informationen finden Sie unter Hybrid-NAT.

Angenommen, die Ressourcen in Ihrem VPC-Netzwerk müssen mit den Ressourcen in einem VPC-Netzwerk oder einem lokalen Netzwerk oder einem anderen Cloud-Anbieternetzwerk kommunizieren, das zu einer anderen Geschäftseinheit gehört. Dieses Netzwerk enthält jedoch Subnetze, deren IP-Adressen sich mit den IP-Adressen Ihres VPC-Netzwerk überschneiden. In diesem Szenario erstellen Sie ein privates NAT-Gateway, das den Traffic zwischen den Subnetzen in Ihrem VPC-Netzwerk in die nicht überlappenden Subnetze des anderen Netzwerks übersetzt.

Weitere Informationen zu Private NAT finden Sie unter Private NAT.

Unterstützte Ressourcen

In der folgenden Tabelle sind die Google Cloud-Ressourcen aufgeführt, die von den einzelnen Cloud NAT-Typen unterstützt werden. Ein Häkchen  bedeutet, dass die Ressource unterstützt wird, und ein -Symbol, dass sie nicht unterstützt wird.

Ressource Public NAT Private NAT
Compute Engine-VM-Instanzen
GKE-Cluster
Cloud Run, Cloud Run-Funktionen und App Engine-Standardumgebung
Regionale Internet-NEGs Nicht zutreffend

Architektur

Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst. Cloud NAT basiert nicht auf Proxy-VMs oder -Appliances. Cloud NAT konfiguriert die Andromeda-Software, die Ihr VPC-Netzwerk (Virtual Private Cloud) unterstützt, um SNAT (Source Network Address Translation) oder NAT (Network Address Translation) für Ressourcen zu ermöglichen. Cloud NAT bietet auch Destination Network Address Translation (Ziel-NAT oder DNAT) für etablierte eingehende Antwortpakete.

Traditionelle NAT im Vergleich zu Cloud NAT
Traditionelle NAT im Vergleich zu Cloud NAT (zum Vergrößern klicken)

Vorteile

Cloud NAT bietet folgende Vorteile:

  • Sicherheit

    Wenn Sie ein öffentliches NAT-Gateway verwenden, müssen nicht alle VMs externe IP-Adressen haben. Je nach Firewallregeln für ausgehenden Traffic können VMs ohne externe IP-Adressen auf Ziele im Internet zugreifen. Möglicherweise haben Sie VMs, die nur Internetzugriff benötigen, um Updates herunterzuladen oder die Bereitstellung abzuschließen.

    Wenn Sie zur Konfiguration eines öffentlichen NAT-Gateways die manuelle NAT-IP-Adresszuweisung verwenden, können Sie eine Reihe häufig verwendeter externer Quell-IP-Adressen für eine Zielpartei freigeben. Ein Zieldienst lässt beispielsweise nur Verbindungen von bekannten externen IP-Adressen zu.

    Mit einem privaten NAT-Gateway kann keine Ressource von VPC-Spokes, die mit dem Network Connectivity Center verbunden sind, direkt eine Verbindung zu den VMs in überlappenden Subnetzen herstellen. Wenn eine VM in einer Private NAT-Konfiguration versucht, eine Verbindung zu einer VM in einem anderen Netzwerk herzustellen, führt das Private NAT-Gateway SNAT mithilfe der IP-Adressen aus dem Private NAT-Bereich aus. Das Gateway führt auch DNAT für die Antworten auf die ausgehenden Pakete aus.

  • Verfügbarkeit

    Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst, der nicht von VMs in Ihrem Projekt oder einem einzelnen physischen Gateway-Gerät abhängt. Sie konfigurieren ein NAT-Gateway auf einem Cloud Router, der die Steuerungsebene für NAT mit von Ihnen angegebenen Konfigurationsparametern bereitstellt. Google Cloud führt Prozesse auf den physischen Maschinen aus, auf denen Ihre Google Cloud-VMs ausgeführt werden, und verwaltet diese.

  • Skalierbarkeit

    Cloud NAT kann so konfiguriert werden, dass die Anzahl der verwendeten NAT-IP-Adressen automatisch skaliert wird. VMs, die zu verwalteten Instanzgruppen gehören, einschließlich Autoscaling, werden unterstützt.

  • Leistung

    Cloud NAT reduziert nicht die Netzwerkbandbreite pro VM. Cloud NAT wird vom softwarebasierten Netzwerk Andromeda von Google implementiert. Weitere Informationen finden Sie in der Dokumentation zu Compute Engine unter Netzwerkbandbreite.

  • Logging

    Bei Cloud NAT-Traffic können Sie die Verbindungen und die Bandbreite zu Compliance-, Debugging-, Analyse- und Abrechnungszwecken erfassen.

  • Monitoring

    Cloud NAT stellt wichtige Messwerte für Cloud Monitoring bereit, die Ihnen Einblicke in die Nutzung von NAT-Gateways durch Ihren Gerätepool geben. Messwerte werden automatisch an Cloud Monitoring gesendet. Dort können Sie benutzerdefinierte Dashboards erstellen, Benachrichtigungen einrichten und Messwerte abfragen.

Produktinteraktionen

Weitere Informationen zu den wichtigen Interaktionen zwischen Cloud NAT und anderen Google Cloud-Produkten finden Sie unter Cloud NAT-Produktinteraktionen.

Nächste Schritte