Panoramica di Cloud NAT
Cloud NAT fornisce la Network Address Translation (NAT) per il traffico in uscita verso internet, le reti Virtual Private Cloud (VPC), le reti on-premise e altre reti di provider cloud.
Cloud NAT fornisce NAT per le seguenti Google Cloud risorse:
- Istanze di macchine virtuali (VM) Compute Engine
- Cluster Google Kubernetes Engine (GKE)
- Istanze Cloud Run tramite accesso VPC serverless o traffico VPC diretto in uscita
- Istanze di funzioni Cloud Run tramite accesso VPC serverless
- Istanze dell'ambiente standard di App Engine tramite accesso VPC serverless
- Gruppi di endpoint di rete internet a livello di regione
Cloud NAT supporta la traduzione degli indirizzi solo per i pacchetti di risposta in entrata stabiliti. Non consente connessioni in entrata non richieste.
Tipi di Cloud NAT
Utilizzando un gateway Cloud NAT, le tue Google Cloud risorse possono connettersi a risorse esterne alla rete VPC di origine.
Un gateway Cloud NAT supporta i seguenti tipi di NAT:
- Public NAT
- NAT privato
Puoi utilizzare sia Public NAT sia Private NAT per fornire servizi NAT alla stessa subnet in una rete VPC.
Un gateway Cloud NAT per Public NAT o Private NAT traduce gli indirizzi da IPv4 a IPv4. Il NAT pubblico supporta anche il NAT da IPv6 a IPv4 (anteprima).
Public NAT
La NAT pubblica consente alle Google Cloud risorse che non dispongono di indirizzi IPv4 esterni di comunicare con destinazioni IPv4 su internet. Queste VM utilizzano un insieme di indirizzi IP esterni condivisi per connettersi a internet. Cloud NAT non si basa su VM proxy. Un gateway Cloud NAT alloca invece un insieme di indirizzi IP esterni e porte di origine a ogni VM che utilizza il gateway per creare connessioni in uscita a internet.
Considera uno scenario in cui hai VM-1 in subnet-1 la cui interfaccia di rete non ha un indirizzo IP esterno. Tuttavia, VM-1 deve essere connesso a internet per scaricare gli aggiornamenti. Per abilitare la connettività a internet,
puoi creare un gateway Cloud NAT configurato per essere applicato all'subnet-1. Ora VM-1 può inviare traffico a internet utilizzando
l'indirizzo IP interno di subnet-1.
Per ulteriori informazioni, consulta NAT pubblico.
NAT privato
Private NAT abilita il NAT private-to-private per il seguente traffico.
| Traffico | Descrizione |
|---|---|
| Da una rete VPC a un'altra rete VPC | Private NAT supporta la NAT da privato a privato per le reti VPC collegate come spoke VPC a un hub di Network Connectivity Center. Per ulteriori informazioni, consulta Private NAT per gli spoke di Network Connectivity Center. |
| Da una rete VPC a una rete esterna Google Cloud | Private NAT supporta le seguenti opzioni per il traffico tra reti VPC e reti on-premise o di altri provider cloud:
|
Supponiamo che le tue Google Cloud risorse in una rete VPC debbano comunicare con destinazioni in una rete VPC, on-premise o di un altro provider di cloud di proprietà di un'unità aziendale diversa. Tuttavia, la rete di destinazione contiene subnet i cui indirizzi IP si sovrappongono agli indirizzi IP della tua rete VPC. In questo scenario, crei un gateway Cloud NAT per Private NAT che trasforma il traffico tra le subnet della tua rete VPC nelle subnet non sovrapposte dell'altra rete.
Per ulteriori informazioni, consulta Private NAT.
Risorse supportate
La tabella seguente elenca le Google Cloud risorse supportate da ogni tipo di Cloud NAT. Il segno di spunta indica che la risorsa è supportata, mentre il simbolo indica che la risorsa non è supportata.
| Risorsa | Public NAT | NAT privato |
|---|---|---|
| Istanze VM di Compute Engine | ||
| Cluster GKE | ||
| Cloud Run, funzioni Cloud Run e ambiente standard di App Engine | ||
| NEG internet a livello di regione | Non applicabile |
Architettura
Cloud NAT è un servizio gestito distribuito e software-defined. Non si basa su VM o appliance proxy. Cloud NAT configura il software Andromeda che alimenta la tua rete Virtual Private Cloud (VPC) in modo da fornire Network Address Translation (NAT) di origine (NAT di origine o SNAT) per le risorse. Cloud NAT fornisce anche la traduzione degli indirizzi di rete di destinazione (NAT di destinazione o DNAT) per i pacchetti di risposta in entrata stabiliti.
Vantaggi
Cloud NAT offre i seguenti vantaggi:
Sicurezza
Quando utilizzi un gateway Cloud NAT per la traduzione NAT pubblica, puoi ridurre la necessità che le singole VM abbiano ciascuna indirizzi IP esterni. In base alle regole firewall in uscita, le VM senza indirizzi IP esterni possono accedere alle destinazioni su internet. Ad esempio, potresti avere VM che richiedono solo l'accesso a internet per scaricare gli aggiornamenti o completare il provisioning.
Se utilizzi la assegnazione manuale degli indirizzi IP NAT per configurare un gateway Cloud NAT per Public NAT, puoi condividere in tutta sicurezza un insieme di indirizzi IP di origine esterni comuni con una parte di destinazione. Ad esempio, un servizio di destinazione potrebbe consentire solo le connessioni da indirizzi IP esterni noti.
Private NAT consente la NAT private-to-private tra reti VPC o tra VPC e reti on-premise o di altri provider cloud. Quando Private NAT è configurato, il gateway Cloud NAT esegue la NAT utilizzando gli indirizzi IP dell'intervallo della sottorete Private NAT.
Disponibilità
Cloud NAT è un servizio gestito distribuito e software-defined. Non dipende da VM nel progetto o da un singolo dispositivo gateway fisico. Configura un gateway NAT su un Cloud Router, che fornisce il piano di controllo per la NAT e contiene i parametri di configurazione specificati. Google Cloud Esegue e gestisce i processi sulle macchine fisiche su cui vengono eseguite le tue VM. Google Cloud
Scalabilità
Cloud NAT può essere configurato per scalare automaticamente il numero di indirizzi IP NAT utilizzati e supporta le VM che appartengono ai gruppi di istanze gestite, inclusi i gruppi con l'autoscaling abilitato.
Prestazioni
Cloud NAT non riduce la larghezza di banda della rete per VM. Cloud NAT è implementato dalla rete software-defined Andromeda di Google. Per ulteriori informazioni, consulta la sezione relativa alla larghezza di banda della rete nella documentazione di Compute Engine.
Logging
Per il traffico Cloud NAT, puoi tracciare le connessioni e la larghezza di banda per scopi di conformità, debug, analisi e contabilità.
Monitoraggio
Cloud NAT espone a Cloud Monitoring le metriche chiave che ti forniscono informazioni sull'utilizzo dei gateway NAT del tuo parco risorse. Le metriche vengono inviate automaticamente a Cloud Monitoring. Qui puoi creare dashboard personalizzate, configurare avvisi e eseguire query sulle metriche.
Inoltre, Network Analyzer pubblica insight su Cloud NAT. Network Analyzer monitora automaticamente la configurazione di Cloud NAT per rilevare e generare questi approfondimenti.
Interazioni con i prodotti
Per ulteriori informazioni sulle interazioni importanti tra Cloud NAT e altri Google Cloud prodotti, consulta Interazioni tra i prodotti Cloud NAT.
Passaggi successivi
- Scopri di più sulle interazioni dei prodotti Cloud NAT.
- Scopri di più su indirizzi e porte Cloud NAT.
- Configura Public NAT.
- Scopri di più sulle regole Cloud NAT.
- Configura NAT privato.
- Risolvi i problemi comuni.
- Scopri di più sui prezzi di Cloud NAT.