Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud NAT – Übersicht

Mit Cloud NAT (Network Address Translation) können bestimmte Ressourcen in Google Cloud ausgehende Verbindungen zum Internet oder zu anderen VPC-Netzwerken (Virtual Private Cloud), lokalen Netzwerken oder den Netzwerken anderer Cloudanbieter herstellen. Cloud NAT unterstützt die Adressübersetzung nur für eingerichtete eingehende Antwortpakete. Unerwünschte eingehende Verbindungen sind nicht zulässig.

Cloud NAT bietet ausgehende Verbindungen für die folgenden Ressourcen:

Compute Engine-VM-Instanzen
Private Google Kubernetes Engine-Cluster (GKE)
Cloud Run-Instanzen über serverlosen VPC-Zugriff oder ausgehenden VPC-Traffic
Cloud Functions-Instanzen über serverlosen VPC-Zugriff
Instanzen der App Engine-Standardumgebung über serverlosen VPC-Zugriff

Arten von Cloud NAT

In Google Cloud verwenden Sie Cloud NAT zum Erstellen von NAT-Gateways, über die Instanzen in einem privaten Subnetz eine Verbindung zu Ressourcen außerhalb Ihres VPC-Netzwerk herstellen können.

Mit einem NAT-Gateway können Sie die folgenden Arten von NAT aktivieren:

Öffentliche NAT
Private NAT

Sie können sowohl öffentliche als auch private NAT-Gateways verwenden, die NAT-Dienste für dasselbe Subnetz in einem VPC-Netzwerk anbieten.

Öffentliche NAT

Über eine öffentliche NAT können Google Cloud-Ressourcen ohne öffentliche IP-Adressen mit dem Internet kommunizieren. Diese VMs verwenden eine Reihe von freigegebenen öffentlichen IP-Adressen, um eine Verbindung zum Internet herzustellen. Öffentliche NAT basiert nicht auf Proxy-VMs. Stattdessen weist ein öffentliches NAT-Gateway jeder VM, die das Gateway zum Herstellen ausgehender Verbindungen zum Internet verwendet, eine Reihe externer IP-Adressen und Quellports zu.

Stellen Sie sich ein Szenario vor, in dem Sie VM-1 in subnet-1 verwenden, dessen Netzwerkschnittstelle keine externe IP-Adresse hat. VM-1 muss jedoch mit dem Internet verbunden sein, um wichtige Updates herunterzuladen. Wenn Sie eine Verbindung zum Internet ermöglichen möchten, können Sie ein öffentliches NAT-Gateway erstellen, das für den IP-Adressbereich von subnet-1 konfiguriert ist. Jetzt kann VM-1 Traffic über die interne IP-Adresse von subnet-1 an das Internet senden.

Weitere Informationen zu öffentlicher NAT finden Sie unter Spezifikationen für öffentliche NAT.

Private NAT

Private NAT ermöglicht private Übersetzungen für die folgenden Anwendungsfälle:

Inter-VPC-NAT: Hiermit können Sie ein privates NAT-Gateway erstellen, um NAT zwischen VPC-Netzwerken auszuführen, die als VPC-Spokes in einem Network Connectivity Center-Hub konfiguriert sind. Das Gateway verwendet eine NAT-IP-Adresse aus einem privaten NAT-Subnetz, um NAT für Traffic zwischen Ressourcen auszuführen, die mit dem Network Connectivity Center-Hub verbunden sind.
Hybrid-NAT (Vorabversion): Hiermit können Sie ein privates NAT-Gateway erstellen, das NAT für Traffic zwischen VPC-Netzwerken und lokalen Netzwerken oder den Netzwerken anderer Cloudanbieter ausführt, die über Hybridkonnektivitätsprodukte für Unternehmen von Google Cloud wie Cloud VPN verbunden sind.

Angenommen, die Ressourcen in Ihrem VPC-Netzwerk müssen mit den Ressourcen in einem VPC-Netzwerk, einem lokalen Netzwerk oder einem Netzwerk eines anderen Cloud-Anbieters kommunizieren, das einer anderen Geschäftseinheit gehört. Das VPC-Netzwerk dieser Geschäftseinheit enthält jedoch Subnetze, deren IP-Adressen sich mit den IP-Adressen Ihres VPC-Netzwerks überschneiden. In diesem Szenario erstellen Sie ein privates NAT-Gateway, das den Traffic zwischen den Subnetzen in Ihrem VPC-Netzwerk an die nicht überlappenden Subnetze dieser Geschäftseinheit weiterleitet.

Weitere Informationen zu privater NAT finden Sie unter Private NAT.

Architektur

Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst. Cloud NAT basiert nicht auf Proxy-VMs oder -Appliances. Cloud NAT konfiguriert die Andromeda-Software für Ihr VPC-Netzwerk (Virtual Private Cloud) so, dass sie Source Network Address Translation (Quell-NAT oder SNAT) für Ressourcen bietet. Cloud NAT bietet auch Destination Network Address Translation (Ziel-NAT oder DNAT) für etablierte eingehende Antwortpakete.

Herkömmliche NAT im Vergleich zu Cloud NAT. — Herkömmliche NAT im Vergleich zu Cloud NAT (zum Vergrößern klicken).

Vorteile

Cloud NAT bietet folgende Vorteile:

Sicherheit

Wenn Sie ein öffentliches NAT-Gateway verwenden, können Sie die Notwendigkeit für einzelne VMs reduzieren, die jeweils externe IP-Adressen haben. Je nach Firewallregeln für ausgehenden Traffic können VMs ohne externe IP-Adressen auf Ziele im Internet zugreifen. Beispiel: Sie haben VMs, die nur Internetzugriff benötigen, um Updates herunterzuladen oder die Bereitstellung abzuschließen.

Wenn Sie zum Konfigurieren eines öffentlichen NAT-Gateways die manuelle NAT-IP-Adresszuweisung verwenden, können Sie eine Reihe gemeinsamer externer Quell-IP-Adressen für eine Zielpartei freigeben. Ein Zieldienst lässt beispielsweise nur Verbindungen von bekannten externen IP-Adressen zu.

Wenn eine VM in einer privaten NAT-Konfiguration versucht, eine Verbindung zu einer VM in einem anderen Netzwerk zu initiieren, führt das private NAT-Gateway SNAT mithilfe der IP-Adressen aus dem privaten NAT-Bereich aus. Das Gateway führt auch DNAT für die Antworten auf die ausgehenden Pakete aus.
Verfügbarkeit

Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst, der nicht von VMs in Ihrem Projekt oder einem einzelnen physischen Gateway-Gerät abhängt. Sie konfigurieren ein NAT-Gateway auf einem Cloud Router, der die Steuerungsebene für NAT mit von Ihnen angegebenen Konfigurationsparametern bereitstellt. Google Cloud führt Prozesse auf den physischen Maschinen aus, auf denen Ihre Google Cloud-VMs ausgeführt werden, und verwaltet diese.
Skalierbarkeit

Cloud NAT kann so konfiguriert werden, dass die Anzahl der verwendeten NAT-IP-Adressen automatisch skaliert wird. Es unterstützt VMs, die zu verwalteten Instanzgruppen gehören, einschließlich der Gruppen mit aktiviertem Autoscaling.
Leistung

Cloud NAT reduziert nicht die Netzwerkbandbreite pro VM. Cloud NAT wird vom softwarebasierten Netzwerk Andromeda von Google implementiert. Weitere Informationen finden Sie in der Dokumentation zu Compute Engine unter Netzwerkbandbreite.
Logging

Bei Cloud NAT-Traffic können Sie die Verbindungen und die Bandbreite zu Compliance-, Debugging-, Analyse- und Buchhaltungszwecken verfolgen.
Monitoring

Cloud NAT stellt Cloud Monitoring wichtige Messwerte zur Verfügung, mit denen Sie einen Einblick in die Verwendung von NAT-Gateways in Ihrer Flotte erhalten. Messwerte werden automatisch an Cloud Monitoring gesendet. Dort können Sie benutzerdefinierte Dashboards erstellen, Benachrichtigungen einrichten und Messwerte abfragen.

Produktinteraktionen

Weitere Informationen zu den wichtigen Interaktionen zwischen Cloud NAT und anderen Google Cloud-Produkten finden Sie unter Cloud NAT-Produktinteraktionen.

Nächste Schritte

Cloud NAT-Produktinteraktionen
Weitere Informationen zu Cloud NAT-Adressen und -Ports
Richten Sie ein öffentliches NAT-Gateway ein.
Weitere Informationen zu Cloud NAT-Regeln
Richten Sie ein privates NAT-Gateway ein.
Häufige Probleme beheben
Cloud NAT-Preise