Panoramica di Cloud NAT

Cloud NAT fornisce la Network Address Translation (NAT) per il traffico in uscita verso internet, le reti Virtual Private Cloud (VPC), le reti on-premise e altre reti di provider cloud.

Cloud NAT fornisce NAT per le seguenti risorse Google Cloud:

Cloud NAT supporta la traduzione degli indirizzi solo per i pacchetti di risposta in entrata stabiliti. Non consente connessioni in entrata non richieste.

Tipi di Cloud NAT

In Google Cloud, utilizzi Cloud NAT per creare gateway NAT che consentono alle istanze in una subnet privata di connettersi alle risorse esterne alla rete VPC.

Con un gateway NAT, puoi attivare i seguenti tipi di NAT:

  • Public NAT
  • NAT privato

Puoi avere gateway NAT pubblico e NAT privato che offrono servizi NAT alla stessa subnet in una rete VPC.

Public NAT

Public NAT consente alle risorse Google Cloud che non dispongono di indirizzi IP pubblici di comunicare con internet. Queste VM utilizzano un insieme di indirizzi IP pubblici condivisi per connettersi a internet. Public NAT non si basa su VM proxy. Un gatewayPublic NATinvece alloca un insieme di indirizzi IP esterni e porte di origine a ogni VM che utilizza il gateway per creare connessioni in uscita a internet.

Considera uno scenario in cui hai VM-1 in subnet-1 la cui interfaccia di rete non ha un indirizzo IP esterno. Tuttavia, VM-1 deve connettersi a internet per scaricare gli aggiornamenti critici. Per abilitare la connettività a internet, puoi creare un gateway NAT pubblico configurato per essere applicato all'intervallo di indirizzi IP di subnet-1. Ora VM-1 può inviare traffico a internet utilizzando l'indirizzo IP interno di subnet-1.

Per ulteriori informazioni, consulta NAT pubblico.

NAT privato

Private NAT consente il NAT private-to-private per il seguente traffico.

Traffico Descrizione
Da una rete VPC a un'altra rete VPC Private NAT supporta la NAT da privato a privato per le reti VPC collegate come spoke VPC a un hub di Network Connectivity Center. Per ulteriori informazioni, consulta Private NAT per gli spoke di Network Connectivity Center.
Da una rete VPC a una rete esterna a Google Cloud Private NAT supporta le seguenti opzioni per il traffico tra reti VPC e reti on-premise o di altri provider cloud:

Supponiamo che le risorse della tua rete VPC debbano comunicare con le risorse di una rete VPC o di una rete on-premise o di un altro cloud provider di proprietà di un'unità aziendale diversa. Tuttavia, questa rete contiene subnet i cui indirizzi IP si sovrappongono agli indirizzi IP della tua rete VPC. In questo scenario, crei un gateway Private NAT che traduce il traffico tra le subnet della tua rete VPC nelle subnet non sovrapposte dell'altra rete.

Per ulteriori informazioni su Private NAT, consulta Private NAT.

Risorse supportate

La tabella seguente elenca le risorse Google Cloud supportate da ogni tipo di Cloud NAT. Il segno di spunta indica che la risorsa è supportata, mentre il simbolo indica che la risorsa non è supportata.

Risorsa Public NAT NAT privato
Istanze VM di Compute Engine
Cluster GKE
Cloud Run, funzioni Cloud Run e ambiente standard di App Engine
NEG internet a livello di regione Non applicabile

Architettura

Cloud NAT è un servizio gestito distribuito e software-defined. Non si basa su appliance o VM proxy. Cloud NAT configura il software Andromeda che alimenta la tua rete Virtual Private Cloud (VPC) in modo da fornire Network Address Translation (NAT) di origine (NAT di origine o SNAT) per le risorse. Cloud NAT fornisce anche la traduzione degli Network Address Translation (NAT di destinazione o DNAT) per i pacchetti di risposta in entrata stabiliti.

NAT tradizionale e Cloud NAT.
NAT tradizionale e Cloud NAT (fai clic per ingrandire).

Vantaggi

Cloud NAT offre i seguenti vantaggi:

  • Sicurezza

    Quando utilizzi un gateway NAT pubblico, puoi ridurre la necessità che le singole VM abbiano ciascuna indirizzi IP esterni. In base alle regole firewall in uscita, le VM senza indirizzi IP esterni possono accedere alle destinazioni su internet. Ad esempio, potresti avere VM che richiedono solo l'accesso a internet per scaricare gli aggiornamenti o per completare il provisioning.

    Se utilizzi la assegnazione manuale degli indirizzi IP NAT per configurare un gateway Public NAT, puoi condividere in tutta sicurezza un insieme di indirizzi IP di origine esterni comuni con una terza parte di destinazione. Ad esempio, un servizio di destinazione potrebbe consentire solo le connessioni da indirizzi IP esterni noti.

    Un gateway Private NAT non consente a nessuna risorsa degli spoke VPC collegati di Network Connectivity Center di avviare direttamente una connessione con le VM all'interno di sottoreti sovrapposte. Quando una VM in una configurazione NAT privata tenta di avviare una connessione con una VM in un'altra rete, il gateway NAT privato esegue SNAT utilizzando gli indirizzi IP dell'intervallo NAT privato. Il gateway esegue anche il DNAT sulle risposte ai pacchetti in uscita.

  • Disponibilità

    Cloud NAT è un servizio gestito distribuito e software-defined. Non dipende da VM nel progetto o da un singolo dispositivo gateway fisico. Configura un gateway NAT su un router Cloud, che fornisce il piano di controllo per NAT, contenente i parametri di configurazione specificati. Google Cloud esegue e gestisce le procedure sulle macchine fisiche su cui vengono eseguite le VM Google Cloud.

  • Scalabilità

    Cloud NAT può essere configurato per scalare automaticamente il numero di indirizzi IP NAT utilizzati e supporta le VM che appartengono ai gruppi di istanze gestite, inclusi i gruppi con l'autoscaling abilitato.

  • Prestazioni

    Cloud NAT non riduce la larghezza di banda della rete per VM. Cloud NAT è implementato dalla networking software-defined Andromeda di Google. Per ulteriori informazioni, consulta la sezione relativa alla larghezza di banda della rete nella documentazione di Compute Engine.

  • Logging

    Per il traffico Cloud NAT, puoi tracciare le connessioni e la larghezza di banda per scopi di conformità, debug, analisi e contabilità.

  • Monitoraggio

    Cloud NAT espone a Cloud Monitoring le metriche chiave che ti forniscono informazioni sull'utilizzo dei gateway NAT del tuo parco risorse. Le metriche vengono inviate automaticamente a Cloud Monitoring. Qui puoi creare dashboard personalizzate, configurare avvisi e eseguire query sulle metriche.

Interazioni con i prodotti

Per ulteriori informazioni sulle interazioni importanti tra Cloud NAT e altri prodotti Google Cloud, consulta Interazioni tra i prodotti Cloud NAT.

Passaggi successivi