Présentation de Cloud NAT

Cloud NAT fournit la traduction d'adresse réseau (NAT) pour le trafic sortant vers Internet, les réseaux cloud privé virtuel (VPC), les réseaux sur site et les autres réseaux de fournisseurs cloud.

Cloud NAT fournit un NAT pour les ressources Google Cloud suivantes:

Cloud NAT n'est compatible qu'avec la traduction d'adresses pour les paquets de réponse entrants établis. Il n'autorise pas les connexions entrantes non sollicitées.

Types de Cloud NAT

Dans Google Cloud, vous utilisez Cloud NAT pour créer des passerelles NAT qui permettent aux instances d'un sous-réseau privé de se connecter aux ressources en dehors de votre réseau VPC.

Avec une passerelle NAT, vous pouvez activer les types de NAT suivants:

  • Public NAT
  • NAT privé

Vous pouvez avoir à la fois des passerelles NAT publiques et privées proposant des services NAT au même sous-réseau dans un réseau VPC.

Public NAT

Le NAT public permet aux ressources Google Cloud qui ne disposent pas d'adresses IP publiques de communiquer avec Internet. Ces VM utilisent un ensemble d'adresses IP publiques partagées pour se connecter à Internet. NAT public ne repose pas sur des VM proxy. À la place, une passerellePublic NATalloue un ensemble d'adresses IP externes et de ports sources à chaque VM qui utilise la passerelle pour créer des connexions sortantes vers Internet.

Imaginons un scénario dans lequel VM-1 se trouve dans subnet-1, dont l'interface réseau ne possède pas d'adresse IP externe. Toutefois, VM-1 doit se connecter à Internet pour télécharger les mises à jour critiques. Pour activer la connectivité à Internet, vous pouvez créer une passerelle Public NATconfigurée pour s'appliquer à la plage d'adresses IP de subnet-1. VM-1 peut désormais envoyer du trafic sur Internet à l'aide de l'adresse IP interne de subnet-1.

Pour en savoir plus, consultez la section NAT public.

NAT privé

Private NAT permet le NAT privé-privé pour le trafic suivant.

Trafic Description
D'un réseau VPC à un autre réseau VPC Private NAT est compatible avec le NAT privé-à-privé pour les réseaux VPC associés en tant que spokes VPC à un hub Network Connectivity Center. Pour en savoir plus, consultez la section Private NAT pour les spokes Network Connectivity Center.
Depuis un réseau VPC vers un réseau en dehors de Google Cloud Private NAT prend en charge les options suivantes pour le trafic entre les réseaux VPC et les réseaux sur site ou d'autres réseaux de fournisseurs de services cloud :
  • NAT privé-à-privé pour les réseaux connectés via des spokes hybrides Network Connectivity Center. Pour en savoir plus, consultez la section Private NAT pour les spokes Network Connectivity Center.
  • NAT privé-à-privé pour les réseaux connectés via Cloud Interconnect ou Cloud VPN Pour en savoir plus, consultez la section NAT hybride.

Supposons que les ressources de votre réseau VPC doivent communiquer avec les ressources d'un réseau VPC, d'un réseau sur site ou d'un autre réseau de fournisseur cloud appartenant à une autre unité commerciale. Toutefois, ce réseau contient des sous-réseaux dont les adresses IP se chevauchent avec celles de votre réseau VPC. Dans ce scénario, vous créez une passerelle Private NAT qui traduit le trafic entre les sous-réseaux de votre réseau VPC et les sous-réseaux non superposés de l'autre réseau.

Pour en savoir plus sur le NAT privé, consultez la section NAT privé.

Ressources compatibles

Le tableau suivant liste les ressources Google Cloud compatibles avec chaque type de Cloud NAT. La coche  indique que la ressource est compatible, et le symbole  indique qu'elle ne l'est pas.

Ressource Public NAT NAT privé
Instances de VM Compute Engine
Clusters GKE
Cloud Run, Cloud Run Functions et environnement standard App Engine
NEG Internet régionaux Non applicable

Architecture

Cloud NAT est un service géré distribué et défini par logiciel. Il n'est pas basé sur les VM ou les appareils de proxy. Cloud NAT configure le logiciel Andromeda qui alimente votre réseau de cloud privé virtuel (VPC), afin qu'il effectue la traduction des adresses réseau sources (NAT source ou SNAT) pour les ressources. Cloud NAT fournit également une traduction des adresses réseau de destination (NAT de destination ou DNAT) pour les paquets de réponses entrants établis.

Comparaison du NAT traditionnel à Cloud NAT.
NAT traditionnel et Cloud NAT (cliquez pour agrandir)

Avantages

Cloud NAT offre les avantages suivants :

  • Sécurité

    Lorsque vous utilisez une passerelle NAT publique, vous pouvez réduire le besoin de chaque VM de disposer chacune d'une adresse IP externe. Sous réserve des règles de pare-feu de sortie, les VM sans adresse IP externe peuvent accéder aux destinations sur Internet. Par exemple, vous avez peut-être des VM qui n'ont besoin que d'un accès Internet pour télécharger des mises à jour ou effectuer le provisionnement.

    Si vous utilisez l'attribution manuelle d'adresses IP NAT pour configurer une passerelle NAT publique, vous pouvez partager sans difficulté un ensemble d'adresses IP sources courantes avec un groupe de destination. Par exemple, un service de destination peut autoriser uniquement les connexions à partir d'adresses IP externes connues.

    Une passerelle Private NAT n'autorise aucune ressource des spokes VPC connectés à Network Connectivity Center à établir directement une connexion avec les VM situées dans des sous-réseaux qui se chevauchent. Lorsqu'une VM dans une configuration NAT privée tente d'établir une connexion avec une VM d'un autre réseau, la passerelle NAT privée effectue la traduction NAT source à l'aide des adresses IP de la plage NAT privée. La passerelle effectue également la DNAT sur les réponses aux paquets sortants.

  • Disponibilité

    Cloud NAT est un service géré distribué et défini par logiciel. Il ne dépend d'aucune VM de votre projet, ni d'un seul appareil avec passerelle physique. Vous configurez une passerelle NAT sur un routeur Cloud Router, qui fournit le plan de contrôle pour NAT, contenant les paramètres de configuration que vous spécifiez. Google Cloud exécute et gère les processus sur les machines physiques qui exécutent vos VM Google Cloud.

  • Évolutivité

    Cloud NAT peut être configuré pour effectuer le scaling automatique du nombre d'adresses IP NAT qu'il utilise. Il accepte les VM appartenant à des groupes d'instances gérés, y compris ceux avec l'autoscaling activé.

  • Performances

    Cloud NAT ne réduit pas la bande passante réseau par VM. Cloud NAT est mis en œuvre par le réseau défini par logiciel Andromeda de Google. Pour plus d'informations, consultez la section Bande passante réseau de la documentation Compute Engine.

  • Logging

    Pour le trafic Cloud NAT, vous pouvez tracer les connexions et la bande passante à des fins de conformité, de débogage, d'analyse et de facturation.

  • Monitoring

    Cloud NAT expose des métriques clés à Cloud Monitoring qui vous donnent des insights sur l'utilisation des passerelles NAT par votre parc. Les métriques sont envoyées automatiquement à Cloud Monitoring. Vous pouvez y créer des tableaux de bord personnalisés, configurer des alertes et interroger les métriques.

Interaction avec les produits

Pour en savoir plus sur les interactions importantes entre Cloud NAT et d'autres produits Google Cloud, consultez la section Interactions entre les produits Cloud NAT.

Étape suivante