Cloud NAT の概要

Cloud NAT(ネットワーク アドレス変換)を使用すると、Google Cloud の特定のリソースがインターネットや他の Virtual Private Cloud(VPC)ネットワークへのアウトバウンド接続が可能になります。Cloud NAT は、確立された受信レスポンス パケットに対してのみアドレス変換をサポートします。未承諾のインバウンド接続は許可されません。

Cloud NAT を使用すると、次のリソースからの発信接続が可能になります。

Cloud NAT の種類

Google Cloud では、Cloud NAT を使用して、限定公開サブネット内のインスタンスが VPC ネットワーク外のリソースに接続できる NAT ゲートウェイを作成します。

NAT ゲートウェイを使用すると、次の種類の NAT を有効にできます。

Public NAT

Public NAT を使用すると、パブリック IP アドレスを持たない Google Cloud リソースがインターネットと通信できます。こうした VM は、一連の共有パブリック IP アドレスを使用してインターネットに接続します。Public NAT はプロキシ VM に依存しません。代わりに、Public NAT ゲートウェイは、ゲートウェイを使用してインターネットへのアウトバウンド接続を行う各 VM に、外部 IP アドレスと送信元ポートのセットを割り当てます。

subnet-1VM-1 があり、そのネットワーク インターフェースに外部 IP アドレスがないシナリオについて考えてみます。ただし、VM-1 は重要な更新をダウンロードするためにインターネットに接続する必要があります。インターネットへの接続を有効にするには、subnet-1 の IP アドレス範囲に適用するように構成された Public NAT ゲートウェイを作成できます。これで、VM-1subnet-1 の内部 IP アドレスを使用してインターネットにトラフィックを送信できます。

Public NAT の詳細については、Public NAT の仕様をご覧ください。

プライベート NAT

Private NAT を使用すると、Google Cloud ネットワーク間でプライベートからプライベートへの変換が可能になります。Inter-VPC NAT(Private NAT サービスの 1 つ)を使用すると、Network Connectivity Center と連携して、Virtual Private Cloud ネットワーク間で NAT を実行する Private NAT ゲートウェイを作成できます。VPC ネットワーク間で Inter-VPC NAT を構成するには、各 VPC ネットワークを、Network Connectivity Center ハブにおける VPC スポーク(プレビュー)として構成する必要があります。Private NAT ゲートウェイは、Private NAT サブネットの NAT IP アドレスを使用して、Network Connectivity Center ハブに接続されたリソース間のトラフィックに NAT を行います。

お使いの VPC ネットワーク内のリソースが、別のビジネス エンティティが所有する VPC ネットワーク内のリソースと通信する必要があるが、そのビジネス エンティティの VPC ネットワークには、お使いの VPC ネットワークと IP アドレスが重複するサブネットが含まれているとします。このシナリオでは、お使いの VPC ネットワークにあるサブネット間のトラフィックを、そのビジネス エンティティの重複しないサブネットに転送する Private NAT ゲートウェイを作成します。

Private NAT の詳細については、Private NAT の仕様をご覧ください。

アーキテクチャ

Cloud NAT はソフトウェア定義の分散マネージド サービスです。プロキシ VM やアプライアンスをベースにしていません。Cloud NAT は、Virtual Private Cloud(VPC)ネットワークを強化する Andromeda ソフトウェアを構成します。これにより、リソースに対して送信元ネットワーク アドレス変換(送信元 NAT または SNAT)を提供します。また、Cloud NAT は、確立された受信レスポンス パケットに対してのみ宛先ネットワーク アドレス変換(宛先 NAT または DNAT)を提供します。

従来の NAT と Cloud NAT の比較
従来の NAT と Cloud NAT の比較(クリックして拡大)。

利点

Cloud NAT には次の利点があります。

  • セキュリティ

    Public NAT ゲートウェイを使用すると、個々の VM に外部 IP アドレスを割り当てる必要がなくなります。下り(外向き)ファイアウォール ルールに従い、外部 IP アドレスを持たない VM はインターネット上の宛先にアクセスできます。たとえば、更新のダウンロードやプロビジョニングの完了のためだけに、VM にインターネット アクセスが必要になる場合があります。

    NAT IP アドレスの手動割り当てで Public NAT ゲートウェイを構成すると、共通の外部送信元 IP アドレスのセットを宛先の組織と安全に共有できます。たとえば、宛先のサービスが既知の外部 IP アドレスからの接続のみを許可できます。

    Private NAT ゲートウェイは、Network Connectivity Center に接続された VPC スポーク(プレビュー)からのリソースが、重複するサブネットワーク内の VM と直接接続を行うことを許可しません。Private NAT 構成の VM が Network Connectivity Center の VPC スポーク ネットワークにある VM との接続を開始しようとすると、Private NAT ゲートウェイは、Private NAT 範囲の IP アドレスを使用して SNAT を実行します。また、ゲートウェイは、アウトバウンド パケットへのレスポンスに対して DNAT を実行します。

  • サービス提供状況

    Cloud NAT はソフトウェア定義の分散マネージド サービスです。プロジェクト内の VM や単一の物理ゲートウェイ デバイスには依存しません。Cloud Router に NAT ゲートウェイを構成します。これにより、指定した構成パラメータを保持する、NAT のコントロール プレーンが提供されます。Google Cloud は、Google Cloud VM を実行する物理マシンでプロセスを実行して維持します。

  • スケーラビリティ

    Cloud NAT は、使用する NAT IP アドレスの数を自動的にスケールするように構成できます。Cloud NAT は、自動スケーリングが有効になっている VM など、マネージド インスタンス グループに属する VM をサポートします。

  • パフォーマンス

    Cloud NAT は VM ごとのネットワーク帯域幅を縮小しません。Cloud NAT は、Google の Andromeda ソフトウェア定義ネットワーキングによって実装されています。詳細については、Compute Engine のドキュメントのネットワーク帯域幅をご覧ください。

  • Logging

    Cloud NAT トラフィックに対しては、コンプライアンス、デバッグ、分析、アカウンティングを行うために接続と帯域幅をトレースできます。

  • モニタリング

    Cloud NAT は、NAT ゲートウェイの使用状況を把握できるようにする重要な指標を Cloud Monitoring に送信します。指標は自動的に Cloud Monitoring に送信されます。カスタム ダッシュボードを作成して、アラートをセットアップし、指標をクエリできます。

プロダクトの相互作用

Cloud NAT と他の Google Cloud プロダクト間の重要な相互作用の詳細については、Cloud NAT プロダクトの相互作用をご覧ください。

次のステップ