Cette page a été traduite par l'API Cloud Translation.

Présentation de Cloud NAT

Cloud NAT (traduction d'adresse réseau) permet à certaines ressources Google Cloud de créer des connexions sortantes vers l'Internet vers d'autres réseaux de cloud privé virtuel (VPC), des réseaux sur site ou entre les réseaux d'un fournisseur de services cloud. Cloud NAT prend en charge la traduction d'adresse uniquement pour les paquets de réponses entrants établis. Il n'autorise pas les connexions entrantes non sollicitées.

Cloud NAT fournit une connectivité sortante pour les ressources suivantes :

Instances de machine virtuelle (VM) Compute Engine
Clusters Google Kubernetes Engine (GKE) privés
des instances Cloud Run via Accès au VPC sans serveur Sortie VPC directe
Instances Cloud Functions via l'accès au VPC sans serveur
Instances de l'environnement standard App Engine via l'accès au VPC sans serveur

Types de Cloud NAT

Dans Google Cloud, vous utilisez Cloud NAT pour créer des passerelles NAT qui permettent les instances d'un sous-réseau privé se connectent à des ressources situées en dehors de votre réseau VPC.

À l'aide d'une passerelle NAT, vous pouvez activer les types de NAT suivants:

NAT public
NAT privé

Vous pouvez disposer à la fois de passerelles NAT publiques et de passerelles NAT privées offrant des services NAT sur le même sous-réseau dans un réseau VPC.

NAT public

La NAT publique permet aux ressources Google Cloud qui n'ont pas les adresses IP publiques communiquent avec Internet. Ces VM utilisent un ensemble des adresses IP publiques partagées pour se connecter à Internet. NAT public ne s'appuie pas sur des VM proxy. Au lieu de cela, un NAT public alloue un ensemble d'adresses IP externes et ports sources vers chaque VM utilisant la passerelle pour créer des adresses de connexions à Internet.

Prenons l'exemple d'une instance VM-1 dans subnet-1 dont l'interface réseau n'a pas une adresse IP externe. Cependant, VM-1 doit se connecter à Internet pour télécharger les mises à jour critiques. Pour activer la connectivité à Internet, vous pouvez : créer un NAT public qui est configurée pour s'appliquer à l'adresse IP la plage d'adresses subnet-1. VM-1 peut désormais envoyer du trafic vers Internet en utilisant l'adresse IP interne de subnet-1.

Pour en savoir plus sur NAT public , voir NAT public caractéristiques.

NAT privé

Le NAT privé active la traduction de privé en privé pour les cas d'utilisation suivants:

NAT inter-VPC: vous permet de créer une passerelle NAT privée vers effectuer la NAT entre des réseaux VPC configurés en tant que spokes VPC dans un hub Network Connectivity Center. La passerelle utilise une adresse IP NAT issue d'une passerelle pour effectuer la NAT sur le trafic entre les ressources associées au hub Network Connectivity Center.
NAT hybride (Preview): vous permet de créer une passerelle NAT privée effectue la NAT sur le trafic entre les réseaux VPC et les environnements sur site ou de tout autre fournisseur de services cloud connectés via le réseau des produits de connectivité hybride d'entreprise tels que Cloud VPN.

Supposons que les ressources de votre réseau VPC doivent communiquer avec les ressources d'un réseau VPC, d'un réseau le réseau d'un fournisseur appartenant à une autre entité commerciale. Cependant, le réseau VPC de cette entreprise entité contient des sous-réseaux dont les adresses IP chevauchent celles de à votre réseau VPC. Dans ce scénario, vous créez une couche NAT privée qui achemine le trafic entre les sous-réseaux de votre réseau VPC aux sous-réseaux qui ne se chevauchent pas.

Pour en savoir plus sur le NAT privé, consultez la page NAT privé.

Architecture

Cloud NAT est un service géré distribué et défini par logiciel. Il n'est pas basé sur les VM ou les appareils de proxy. Cloud NAT configure Andromeda logiciel qui alimente votre réseau cloud privé virtuel (VPC) afin de fournir Traduction d'adresses réseau sources (NAT ou SNAT source) pour les ressources. Cloud NAT fournit également une traduction des adresses réseau de destination (NAT de destination ou DNAT) pour les paquets de réponses entrants établis.

Comparaison de la fonctionnalité NAT traditionnelle à Cloud NAT. — NAT traditionnel et Cloud NAT (cliquez pour agrandir).

Avantages

Cloud NAT offre les avantages suivants :

Sécurité

Lorsque vous utilisez une passerelle Public NAT, vous pouvez réduire le besoin de VM individuelles afin que chacune d'entre elles dispose d'une à vos adresses IP internes. Sous réserve des règles de pare-feu de sortie, les VM sans adresse IP externe peuvent accéder aux destinations sur Internet. Pour Par exemple, vous pouvez avoir des VM qui n'ont besoin que d'un accès Internet pour télécharger des mises à jour ou pour terminer le provisionnement.

Si vous utilisez attribution manuelle d'adresses IP NAT pour configurer une passerelle Public NAT, vous pouvez partager en toute confiance un ensemble d'adresses IP sources courantes tiers de destination. Par exemple, un service de destination peut autoriser uniquement les connexions à partir d'adresses IP externes connues.

Une passerelle NAT privée n'autorise ressource provenant des spokes VPC connectés à Network Connectivity Center établir une connexion avec les VM situées à l'intérieur de sous-réseaux qui se chevauchent. Lorsqu'une VM faisant partie d'une configuration NAT privée tente d'établir une connexion avec d'une VM d'un autre réseau, le service Private NAT effectue la SNAT à l'aide des adresses IP du réseau la plage d'adresses IP. La passerelle effectue également la DNAT sur les réponses aux paquets sortants.
Disponibilité

Cloud NAT est un service géré distribué et défini par logiciel. Il ne dépend d'aucune VM de votre projet, ni d'un seul appareil avec passerelle physique. Vous configurez une passerelle NAT sur un routeur Cloud Router, qui fournit le plan de contrôle pour NAT, contenant les paramètres de configuration que vous spécifiez. Google Cloud exécute et gère les processus sur les machines physiques qui exécutent vos VM Google Cloud.
Évolutivité

Cloud NAT peut être configuré pour effectuer un scaling automatique le nombre d'adresses IP NAT qu'il utilise et accepte les VM appartenant les groupes d'instances gérés, y compris les groupes autoscaling activé.
Performances

Cloud NAT ne réduit pas la bande passante réseau par VM. Cloud NAT est mis en œuvre par le réseau défini par logiciel Andromeda de Google. Pour plus d'informations, consultez la section Bande passante réseau de la documentation Compute Engine.
Logging

Pour le trafic Cloud NAT, vous pouvez tracer les connexions et la bande passante à des fins de conformité, de débogage, d'analyse et de comptabilité.
Monitoring

Cloud NAT expose des métriques clés à Cloud Monitoring, ce qui vous permet un aperçu de l'utilisation des passerelles NAT dans votre parc. Les métriques sont envoyées automatiquement à Cloud Monitoring. Vous pouvez y créer des tableaux de bord personnalisés, configurer des alertes et les métriques de requête.

Interaction avec les produits

Pour en savoir plus sur les interactions importantes entre Cloud NAT et d'autres produits Google Cloud, consultez Interactions avec les produits Cloud NAT

Étape suivante

Découvrez les interactions avec les produits Cloud NAT.
Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
Configurez une passerelle NAT publique.
Découvrez les règles Cloud NAT.
Configurez une passerelle NAT privée.
Résolvez les problèmes courants.
Découvrez les tarifs de Cloud NAT.