Cloud NAT – Überblick
Cloud NAT (Netzwerkadressübersetzung) Ermöglicht es bestimmten Ressourcen in Google Cloud, ausgehende Verbindungen zum Internet herzustellen oder anderen VPC-Netzwerken (Virtual Private Cloud), lokalen Netzwerken die Netzwerke von Cloud-Anbietern. Cloud NAT unterstützt die Adressübersetzung nur für erstellte eingehende Antwortpakete. Unerwünschte eingehende Verbindungen werden nicht zugelassen.
Cloud NAT bietet ausgehende Verbindungen für die folgenden Ressourcen:
- Compute Engine-VM-Instanzen
- Private Google Kubernetes Engine-Cluster (GKE)
- Cloud Run-Instanzen über Serverloser VPC-Zugriff oder Direkter ausgehender VPC-Traffic
- Cloud Run-Funktionsinstanzen über serverlosen VPC-Zugriff
- Instanzen der App Engine-Standardumgebung über serverlosen VPC-Zugriff
Arten von Cloud NAT
In Google Cloud verwenden Sie Cloud NAT, um NAT-Gateways zu erstellen, mit denen Instanzen in einem privaten Subnetz eine Verbindung zu Ressourcen außerhalb Ihres VPC-Netzwerks herstellen können.
Mit einem NAT-Gateway können Sie die folgenden NAT-Typen aktivieren:
- Öffentliche NAT
- Private NAT
Sie können sowohl öffentliche NAT- als auch private NAT-Gateways haben, die NAT-Dienste für dasselbe Subnetz in einem VPC-Netzwerk anbieten.
Public NAT
Mit Public NAT können Google Cloud-Ressourcen ohne öffentliche IP-Adressen mit dem Internet kommunizieren. Diese VMs verwenden eine Reihe von gemeinsame öffentliche IP-Adressen, um eine Verbindung zum Internet herzustellen. Öffentliche NAT stützt sich nicht auf auf Proxy-VMs. Stattdessen weist einPublic NAT-Gateway jeder VM, die über das Gateway ausgehende Verbindungen zum Internet herstellt, eine Reihe externer IP-Adressen und Quellports zu.
Stellen Sie sich ein Szenario vor, in dem Sie VM-1
in subnet-1
haben, deren Netzwerkschnittstelle keine
eine externe IP-Adresse. VM-1
benötigt jedoch eine Internetverbindung, um
wichtige Updates herunterladen. So stellen Sie eine Internetverbindung her:
erstelle ein
Öffentliche NAT
Gateway, das für die Anwendung auf die IP-Adresse konfiguriert ist
Adressbereich von subnet-1
. Jetzt kann VM-1
Traffic an das Internet senden, indem er
die interne IP-Adresse von subnet-1
Weitere Informationen zu Öffentliche NAT , siehe Öffentliche NAT
Private NAT
Private NAT aktiviert private-to-private NAT für Folgendes: Zugriffe.
Traffic | Beschreibung |
---|---|
Von einem VPC-Netzwerk zu einer anderen VPC Netzwerk | Private NAT unterstützt private-zu-private NAT für Angehängte VPC-Netzwerke als VPC-Spokes zu einem Network Connectivity Center-Hub. Weitere Informationen finden Sie unter Private NAT für Network Connectivity Center-Spokes |
Von einem VPC-Netzwerk in ein Netzwerk außerhalb Google Cloud | Private NAT unterstützt die folgenden Optionen für
Traffic zwischen VPC-Netzwerken und lokalen Systemen
oder in Netzwerken von anderen Cloud-Anbietern:
|
Davon ausgehen, dass die Ressourcen in Ihrem VPC-Netzwerk miteinander kommunizieren müssen mit den Ressourcen in einem VPC-Netzwerk oder einem lokalen Cloud-Anbieternetzwerks, das zu einer anderen Geschäftseinheit gehört. Dieses Netzwerk enthält jedoch Subnetze, deren IP-Adressen sich mit der IP-Adresse überschneiden. Ihres VPC-Netzwerk. In diesem Szenario erstellen Sie ein Privates NAT-Gateway, das den Traffic zwischen den Subnetzen in mit den nicht überlappenden Subnetzen des anderen VPC-Netzwerk, Netzwerk.
Weitere Informationen zu Private NAT finden Sie unter Private NAT
Architektur
Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst. Cloud NAT basiert nicht auf Proxy-VMs oder -Appliances. Cloud NAT konfiguriert die Andromeda Software der Ihr VPC-Netzwerk (Virtual Private Cloud) unterstützt, Quell-Netzwerkadressübersetzung (Quell-NAT oder SNAT) für Ressourcen. Cloud NAT bietet auch Destination Network Address Translation (Ziel-NAT oder DNAT) für etablierte eingehende Antwortpakete.
Vorteile
Cloud NAT bietet folgende Vorteile:
Sicherheit
Wenn Sie ein öffentliches NAT-Gateway verwenden, müssen nicht alle VMs externe IP-Adressen haben. Je nach Firewallregeln für ausgehenden Traffic können VMs ohne externe IP-Adressen auf Ziele im Internet zugreifen. Für z. B. VMs, die nur Internetzugriff benötigen, um Updates herunterzuladen. oder die Bereitstellung abzuschließen.
Wenn Sie Manuelle NAT-IP-Adresszuweisung ein öffentliches NAT-Gateway konfigurieren möchten, eine Reihe gemeinsamer externer Quell-IP-Adressen mit einem Zielparty. Ein Zieldienst lässt beispielsweise nur Verbindungen von bekannten externen IP-Adressen zu.
Ein privates NAT-Gateway lässt keine Ressource aus über Network Connectivity Center verbundenen VPC-Spokes, zu denen direkt eine Verbindung mit den VMs in überlappenden Subnetzwerken. Wenn eine VM in einer Private NAT-Konfiguration versucht, eine Verbindung zu einer VM in einem anderen Netzwerk herzustellen, führt das Private NAT-Gateway SNAT mithilfe der IP-Adressen aus dem Private NAT-Bereich aus. Das Gateway führt auch DNAT für die Antworten auf die ausgehenden Pakete aus.
Verfügbarkeit
Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst, der nicht von VMs in Ihrem Projekt oder einem einzelnen physischen Gateway-Gerät abhängt. Sie konfigurieren ein NAT-Gateway auf einem Cloud Router, der die Steuerungsebene für NAT mit von Ihnen angegebenen Konfigurationsparametern bereitstellt. Google Cloud führt Prozesse auf den physischen Maschinen aus, auf denen Ihre Google Cloud-VMs ausgeführt werden, und verwaltet diese.
Skalierbarkeit
Cloud NAT kann für automatische Skalierung konfiguriert werden Anzahl der verwendeten NAT-IP-Adressen und unterstützt VMs, die zu verwalteten Instanzgruppen einschließlich der Gruppen mit Autoscaling ist aktiviert.
Leistung
Cloud NAT reduziert nicht die Netzwerkbandbreite pro VM. Cloud NAT wird vom softwarebasierten Netzwerk Andromeda von Google implementiert. Weitere Informationen finden Sie in der Dokumentation zu Compute Engine unter Netzwerkbandbreite.
Logging
Für Cloud NAT-Traffic können Sie die Verbindungen und die Bandbreite Compliance, Debugging, Analysen und Buchhaltung.
Monitoring
Cloud NAT stellt Cloud Monitoring wichtige Messwerte zur Verfügung, mit denen Sie Einblick in die Nutzung von NAT-Gateways in Ihrer Flotte. Messwerte werden automatisch gesendet zu Cloud Monitoring. Hier können Sie benutzerdefinierte Dashboards erstellen, Benachrichtigungen einrichten, und Abfragemesswerte.
Produktinteraktionen
Weitere Informationen zu den wichtigen Interaktionen zwischen Cloud NAT und andere Google Cloud-Produkte, siehe Cloud NAT-Produktinteraktionen:
Nächste Schritte
- Cloud NAT-Produktinteraktionen
- Weitere Informationen zu Cloud NAT-Adressen und -Ports
- Richten Sie ein öffentliches NAT-Gateway ein.
- Cloud NAT-Regeln
- Richten Sie ein privates NAT-Gateway ein.
- Häufige Probleme beheben
- Cloud NAT-Preise