Panoramica di Cloud NAT
Cloud NAT (Network Address Translation) consente a determinate risorse di Google Cloud di creare connessioni in uscita verso internet o altre reti Virtual Private Cloud (VPC), reti on-premise o qualsiasi altra rete di provider cloud. Cloud NAT supporta la traduzione degli indirizzi solo per i pacchetti di risposta in entrata stabiliti. Non consente connessioni in entrata non richieste.
Cloud NAT fornisce connettività in uscita per le seguenti risorse:
- Istanze di macchine virtuali (VM) Compute Engine
- Cluster Google Kubernetes Engine (GKE) privati
- Istanze Cloud Run tramite Accesso VPC serverless o Traffico VPC diretto
- Istanze Cloud Functions tramite accesso VPC serverless
- le istanze dell'ambiente standard di App Engine tramite l'accesso VPC serverless
Tipi di Cloud NAT
In Google Cloud, puoi utilizzare Cloud NAT per creare gateway NAT che consentono alle istanze in una subnet privata di connettersi alle risorse esterne alla tua rete VPC.
Utilizzando un gateway NAT, puoi abilitare i seguenti tipi di NAT:
- NAT pubblico
- NAT privato
Puoi avere gateway NAT pubblico e Private NAT che offrono servizi NAT nella stessa subnet in una rete VPC.
NAT pubblico
Il NAT pubblico consente alle risorse di Google Cloud che non hanno indirizzi IP pubblici di comunicare con internet. Queste VM usano un insieme di indirizzi IP pubblici condivisi per connettersi a internet. NAT pubblico non si basa su VM proxy. Invece, un NAT pubblico alloca un insieme di indirizzi IP esterni e porte di origine a ogni VM che utilizza il gateway per creare connessioni in uscita a internet.
Considera uno scenario in cui hai VM-1
in subnet-1
la cui interfaccia di rete non ha
un indirizzo IP esterno. Tuttavia, VM-1
deve connettersi a internet per scaricare aggiornamenti critici. Per abilitare la connettività a internet, puoi
creare un gateway
Public NAT
che sia configurato per essere applicato all'intervallo di indirizzi IP
subnet-1
. Ora VM-1
può inviare traffico a internet utilizzando
l'indirizzo IP interno di subnet-1
.
Per saperne di più su Public NAT , consulta le specifiche Public NAT .
NAT privato
Private NAT abilita le traduzioni da private a private per i seguenti casi d'uso:
Inter-VPC NAT: consente di creare un gateway Private NAT per eseguire NAT tra le reti VPC configurate come spoke VPC in un hub di Network Connectivity Center. Il gateway utilizza un indirizzo IP NAT di una subnet NAT privata per eseguire la traduzione NAT sul traffico tra le risorse collegate all'hub di Network Connectivity Center.
NAT ibrido (anteprima): consente di creare un gateway Private NAT che esegue la NAT sul traffico tra reti VPC e reti on-premise o qualsiasi altra rete di provider di servizi cloud connessa tramite prodotti di connettività ibrida aziendali di Google Cloud come Cloud VPN.
Supponiamo che le risorse nella tua rete VPC debbano comunicare con le risorse in una rete VPC o in una rete on-premise o di un altro cloud provider di proprietà di un'entità aziendale diversa. Tuttavia, la rete VPC dell'entità aziendale contiene subnet i cui indirizzi IP si sovrappongono agli indirizzi IP della rete VPC. In questo scenario, crei un gateway Private NAT che instrada il traffico tra le subnet nella tua rete VPC alle subnet non sovrapposte di quell'entità aziendale.
Per ulteriori informazioni su Private NAT, vedi Private NAT.
Architettura
Cloud NAT è un servizio gestito distribuito e software-defined. Non si basa su VM o appliance proxy. Cloud NAT configura il software Andromeda utilizzato per la rete Virtual Private Cloud (VPC) in modo da fornire la traduzione degli Network Address Translation (NAT di origine o SNAT) per le risorse. Cloud NAT fornisce anche la Network Address Translation di destinazione (NAT di destinazione o DNAT) per i pacchetti di risposta in entrata stabiliti.
Vantaggi
Cloud NAT offre i seguenti vantaggi:
Sicurezza
Quando utilizzi un gateway Public NAT, puoi ridurre la necessità di singole VM con indirizzi IP esterni. Soggette alle regole firewall in uscita, le VM senza indirizzi IP esterni possono accedere alle destinazioni su internet. Ad esempio, potresti avere VM che hanno bisogno dell'accesso a internet solo per scaricare aggiornamenti o per completare il provisioning.
Se utilizzi l'assegnazione manuale degli indirizzi IP NAT per configurare un gateway Public NAT, puoi condividere con sicurezza un set di indirizzi IP di origine esterni comuni con una parte di destinazione. Ad esempio, un servizio di destinazione potrebbe consentire solo connessioni da indirizzi IP esterni noti.
Un gateway Private NAT non consente ad alcuna risorsa degli spoke VPC connessi di Network Connectivity Center di avviare direttamente una connessione con le VM all'interno di subnet sovrapposte. Quando una VM in una configurazione Private NAT tenta di avviare una connessione con una VM in un'altra rete, il gateway Private NAT esegue la funzione SNAT utilizzando gli indirizzi IP dell'intervallo Private NAT. Il gateway esegue anche il DNAT sulle risposte ai pacchetti in uscita.
Disponibilità
Cloud NAT è un servizio gestito, distribuito e software-defined. Non dipende da nessuna VM nel progetto o da un singolo dispositivo gateway fisico. Configuri un gateway NAT su un router Cloud, che fornisce il piano di controllo per NAT e contiene i parametri di configurazione da te specificati. Google Cloud esegue e gestisce i processi sulle macchine fisiche che eseguono le VM di Google Cloud.
Scalabilità
Cloud NAT può essere configurato per scalare automaticamente il numero di indirizzi IP NAT che utilizza e supporta le VM che appartengono a gruppi di istanze gestite, inclusi i gruppi in cui è abilitata la scalabilità automatica.
Prestazioni
Cloud NAT non riduce la larghezza di banda di rete per VM. Il servizio Cloud NAT è implementato dalla networking software-defined di Google per Andromeda. Per ulteriori informazioni, consulta Larghezza di banda di rete nella documentazione di Compute Engine.
Logging
Per il traffico di Cloud NAT, puoi tracciare le connessioni e la larghezza di banda per scopi di conformità, debug, analisi e contabilità.
Monitoraggio
Cloud NAT espone a Cloud Monitoring le metriche chiave, che forniscono informazioni dettagliate sull'utilizzo dei gateway NAT da parte del parco risorse. Le metriche vengono inviate automaticamente a Cloud Monitoring. Qui puoi creare dashboard personalizzate, configurare avvisi e metriche di query.
Interazioni con i prodotti
Per ulteriori informazioni sulle interazioni importanti tra Cloud NAT e altri prodotti Google Cloud, consulta Interazioni con i prodotti Cloud NAT.
Passaggi successivi
- Scopri di più sulle interazioni con i prodotti Cloud NAT.
- Scopri di più su indirizzi e porte Cloud NAT.
- Configura un gateway Public NAT.
- Scopri di più sulle regole Cloud NAT.
- Configura un gateway NAT privato.
- Risolvi i problemi comuni.
- Scopri di più sui prezzi di Cloud NAT.