Cette page a été traduite par l'API Cloud Translation.

Présentation de Cloud NAT

Cloud NAT (traduction d'adresses réseau) permet à certaines ressources Google Cloud de créer des connexions sortantes vers Internet ou vers d'autres réseaux cloud privés virtuels (VPC), des réseaux sur site ou tout autre réseau de fournisseur de services cloud. Cloud NAT n'accepte la traduction d'adresse que pour les paquets de réponses entrants établis. Il n'autorise pas les connexions entrantes non sollicitées.

Cloud NAT fournit une connectivité sortante pour les ressources suivantes :

Instances de machine virtuelle (VM) Compute Engine
Clusters Google Kubernetes Engine (GKE) privés
Instances Cloud Run via l'accès au VPC sans serveur ou la sortie directe du VPC
Instances Cloud Functions via l'accès au VPC sans serveur
Instances de l'environnement standard App Engine via l'accès au VPC sans serveur

Types de Cloud NAT

Dans Google Cloud, vous utilisez Cloud NAT pour créer des passerelles NAT qui permettent aux instances d'un sous-réseau privé de se connecter à des ressources extérieures à votre réseau VPC.

À l'aide d'une passerelle NAT, vous pouvez activer les types de NAT suivants:

NAT public
NAT privé

Vous pouvez faire en sorte que les passerelles NAT publiques et privées offrent des services NAT au même sous-réseau dans un réseau VPC.

NAT public

Le NAT public permet aux ressources Google Cloud sans adresse IP publique de communiquer avec Internet. Ces VM utilisent un ensemble d'adresses IP publiques partagées pour se connecter à Internet. Public NAT ne s'appuie pas sur des VM proxy. À la place, une passerelle Public NAT attribue un ensemble d'adresses IP externes et de ports sources à chaque VM qui utilise la passerelle pour créer des connexions sortantes vers l'Internet.

Prenons un scénario dans lequel vous avez VM-1 dans subnet-1, dont l'interface réseau ne possède pas d'adresse IP externe. Cependant, VM-1 doit se connecter à Internet pour télécharger les mises à jour critiques. Pour activer la connectivité à Internet, vous pouvez créer une passerelle Public NAT configurée pour s'appliquer à la plage d'adresses IP de subnet-1. VM-1 peut maintenant envoyer du trafic vers Internet en utilisant l'adresse IP interne de subnet-1.

Pour en savoir plus sur Public NAT , consultez Public NAT .

NAT privé

Le NAT privé active la traduction de privé en privé pour les cas d'utilisation suivants:

NAT inter-VPC: vous permet de créer une passerelle NAT privée pour effectuer une NAT entre des réseaux VPC configurés en tant que spokes VPC dans un hub Network Connectivity Center. La passerelle utilise une adresse IP NAT provenant d'un sous-réseau NAT privé pour effectuer la NAT sur le trafic entre les ressources associées au hub Network Connectivity Center.
NAT hybride (Preview): permet de créer une passerelle NAT privée qui effectue la NAT sur le trafic entre les réseaux VPC et les réseaux sur site ou tout autre réseau de fournisseur de services cloud connectés via les produits de connectivité hybride d'entreprise de Google Cloud tels que Cloud VPN.

Supposons que les ressources de votre réseau VPC doivent communiquer avec les ressources d'un réseau VPC ou d'un réseau sur site ou d'un autre fournisseur de services cloud appartenant à une entité commerciale différente. Cependant, le réseau VPC de cette entité commerciale contient des sous-réseaux dont les adresses IP chevauchent celles de votre réseau VPC. Dans ce scénario, vous créez une passerelle NAT privée qui achemine le trafic entre les sous-réseaux de votre réseau VPC vers les sous-réseaux qui ne se chevauchent pas de cette entité commerciale.

Pour en savoir plus sur le NAT privé, consultez la page NAT privé.

Architecture

Cloud NAT est un service géré distribué et défini par logiciel. Il n'est pas basé sur les VM ou les appareils de proxy. Cloud NAT configure le logiciel Andromeda qui alimente votre réseau cloud privé virtuel (VPC) afin de fournir la traduction des adresses réseau sources (NAT ou SNAT source) pour les ressources. Cloud NAT fournit également une traduction des adresses réseau de destination (NAT de destination ou DNAT) pour les paquets de réponses entrants établis.

Comparaison de la fonctionnalité NAT traditionnelle à Cloud NAT. — Comparaison de la fonctionnalité NAT traditionnelle à Cloud NAT (cliquez pour agrandir).

Avantages

Cloud NAT offre les avantages suivants :

Sécurité

Lorsque vous utilisez une passerelle Public NAT, vous pouvez réduire le besoin de disposer d'adresses IP externes pour chacune des VM. Sous réserve des règles de pare-feu de sortie, les VM sans adresse IP externe peuvent accéder aux destinations sur Internet. Par exemple, vous avez peut-être des VM qui n'ont besoin d'un accès Internet que pour télécharger des mises à jour ou pour effectuer le provisionnement.

Si vous utilisez l'attribution manuelle d'adresses IP NAT pour configurer une passerelle Public NAT, vous pouvez partager en toute confiance un ensemble d'adresses IP sources courantes avec une partie de destination. Par exemple, un service de destination peut autoriser uniquement les connexions à partir d'adresses IP externes connues.

Une passerelle NAT privée ne permet à aucune ressource des spokes VPC connectés à Network Connectivity Center d'établir directement une connexion avec les VM situées dans des sous-réseaux qui se chevauchent. Lorsqu'une VM faisant partie d'une configuration NAT privée tente d'établir une connexion avec une VM d'un autre réseau, la passerelle NAT privée effectue la SNAT à l'aide des adresses IP de la plage NAT privée. La passerelle effectue également la DNAT sur les réponses aux paquets sortants.
Disponibilité

Cloud NAT est un service géré distribué et défini par logiciel. Il ne dépend d'aucune VM de votre projet, ni d'un seul appareil avec passerelle physique. Vous configurez une passerelle NAT sur un routeur Cloud Router, qui fournit le plan de contrôle pour NAT, contenant les paramètres de configuration que vous spécifiez. Google Cloud exécute et gère les processus sur les machines physiques qui exécutent vos VM Google Cloud.
Évolutivité

Cloud NAT peut être configuré pour effectuer le scaling automatique du nombre d'adresses IP NAT qu'il utilise. De plus, il est compatible avec les VM appartenant à des groupes d'instances gérés, y compris les groupes pour lesquels l'autoscaling est activé.
Performances

Cloud NAT ne réduit pas la bande passante réseau par VM. Cloud NAT est mis en œuvre par le réseau défini par logiciel Andromeda de Google. Pour plus d'informations, consultez la section Bande passante réseau de la documentation Compute Engine.
Logging

Pour le trafic Cloud NAT, vous pouvez suivre les connexions et la bande passante à des fins de conformité, de débogage, d'analyse et de traçabilité.
Monitoring

Cloud NAT transmet à Cloud Monitoring des métriques clés qui vous donnent des informations sur l'utilisation des passerelles NAT dans votre parc. Les métriques sont envoyées automatiquement à Cloud Monitoring. Vous pouvez y créer des tableaux de bord personnalisés, configurer des alertes et interroger des métriques.

Interaction avec les produits

Pour en savoir plus sur les interactions importantes entre Cloud NAT et d'autres produits Google Cloud, consultez la page Interactions avec les produits Cloud NAT.

Étapes suivantes

Découvrez les interactions avec les produits Cloud NAT.
Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
Configurez une passerelle NAT publique.
Découvrez les règles Cloud NAT.
Configurez une passerelle NAT privée.
Résolvez les problèmes courants.
Découvrez les tarifs de Cloud NAT.