Cloud NAT – Überblick

Cloud NAT bietet Network Address Translation (NAT) für ausgehenden Traffic zum Internet, zu VPC-Netzwerken (Virtual Private Cloud), zu lokalen Netzwerken und zu Netzwerken anderer Cloud-Anbieter.

Cloud NAT übersetzt Adressen für die folgenden Ressourcen:

Cloud NAT unterstützt die Adressübersetzung nur für eingehende Antwortpakete zu bestehenden Verbindungen. Unerwünschte eingehende Verbindungen werden nicht zugelassen.

Cloud NAT-Typen

Mit einem Cloud NAT-Gateway können Ihre Ressourcen von Google Cloud eine Verbindung zu Ressourcen außerhalb des Quell-VPC-Netzwerks herstellen.

Ein Cloud NAT-Gateway unterstützt die folgenden NAT-Typen:

  • Public NAT
  • Private NAT

Sie können sowohl Public NAT als auch Private NAT verwenden, um NAT-Dienste für dasselbe Subnetz in einem VPC-Netzwerk bereitzustellen.

Ein Cloud NAT-Gateway für Public NAT oder Private NAT übersetzt Adressen von IPv4 zu IPv4. Public NAT unterstützt auch NAT von IPv6 zu IPv4 (Vorschau).

Public NAT

Mit Public NAT können Ressourcen von Google Cloud , die keine externen IPv4-Adressen haben, mit IPv4-Zielen im Internet kommunizieren. Diese VMs verwenden eine Reihe gemeinsamer externer IP-Adressen, um eine Verbindung zum Internet herzustellen. Cloud NAT verwendet keine Proxy-VMs. Stattdessen weist ein Cloud NAT-Gateway jeder VM, die das Gateway zum Herstellen ausgehender Verbindungen zum Internet verwendet, eine Reihe von externen IP-Adressen und Quellports zu.

Stellen Sie sich ein Szenario vor, in dem Sie VM-1 in subnet-1 haben, dessen Netzwerkschnittstelle keine externe IP-Adresse hat. VM-1 muss jedoch mit dem Internet verbunden sein, um Updates herunterzuladen. Wenn Sie eine Verbindung zum Internet herstellen möchten, können Sie ein Cloud NAT-Gateway erstellen, das für den IP-Adressbereich von subnet-1 konfiguriert ist. VM-1 kann jetzt über die interne IP-Adresse von subnet-1 Traffic an das Internet senden.

Weitere Informationen finden Sie unter Public NAT.

Private NAT

Private NAT ermöglicht Privat-zu-privat-NAT für den folgenden Traffic.

Traffic Beschreibung
Von einem VPC-Netzwerk zu einem anderen VPC-Netzwerk Private NAT unterstützt die Privat-zu-privat-NAT für VPC-Netzwerke, die als VPC-Spokes an einen Network Connectivity Center-Hub angehängt sind. Weitere Informationen finden Sie unter Private NAT für Network Connectivity Center-Spokes.
Von einem VPC-Netzwerk zu einem Netzwerk außerhalb von Google Cloud Private NAT unterstützt die folgenden Optionen für den Traffic zwischen VPC-Netzwerken und lokalen Netzwerken oder Netzwerken anderer Cloud-Anbieter:
  • Privat-zu-privat-NAT für Netzwerke, die über Network Connectivity Center-Hybrid-Spokes verbunden sind. Weitere Informationen finden Sie unter Private NAT für Network Connectivity Center-Spokes.
  • Privat-zu-privat-NAT für Netzwerke, die über Cloud Interconnect oder Cloud VPN verbunden sind. Weitere Informationen finden Sie unter Hybrid NAT.

Stellen Sie sich ein Szenario vor, in dem Ihre Ressourcen von Google Cloud in einem VPC-Netzwerk mit Zielen in einem anderen VPC-Netzwerk kommunizieren müssen. Das Zielnetzwerk enthält jedoch Subnetze, deren IP-Adressen sich mit den IP-Adressen Ihres Quell-VPC-Netzwerks überschneiden. In diesem Szenario erstellen Sie ein Cloud NAT-Gateway für Private NAT, das den Traffic zwischen den Subnetzen in Ihrem Quell-VPC-Netzwerk und den sich nicht überschneidenden Subnetzen des anderen Netzwerks übersetzt.

Weitere Informationen finden Sie unter Private NAT.

Unterstützte Ressourcen

In der folgenden Tabelle sind die Google Cloud -Ressourcen aufgeführt, die von den einzelnen Cloud NAT-Typen unterstützt werden. Das Häkchen () gibt an, dass die Ressource unterstützt wird.

Ressource Public NAT Private NAT
Compute Engine-VM-Instanzen
GKE-Cluster
Cloud Run, Cloud Run Functions und App Engine-Standardumgebung1 (Vorschau)
Regionale Internet-NEGs Nicht zutreffend
1 Die folgenden serverlosen Endpunkte werden unterstützt:
  • Cloud Run-Instanzen (Dienste und Jobs) und Cloud Run Functions-Instanzen über ausgehenden Direct VPC-Traffic (empfohlen) oder serverlosen VPC-Zugriff
  • Instanzen der App Engine-Standardumgebung über serverlosen VPC-Zugriff

Architektur

Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst. Cloud NAT basiert nicht auf Proxy-VMs oder -Appliances. Cloud NAT konfiguriert die Andromeda-Software, die Ihr VPC-Netzwerk (Virtual Private Cloud) unterstützt, um für Ressourcen SNAT (Source Network Address Translation oder Quell-NAT) zu ermöglichen. Cloud NAT bietet auch Destination Network Address Translation (DNAT oder Ziel-NAT) für eingehende Antwortpakete zu bestehenden Verbindungen.

Traditionelle NAT im Vergleich zu Cloud NAT
Traditionelle NAT im Vergleich zu Cloud NAT (zum Vergrößern klicken)

Vorteile

Cloud NAT bietet folgende Vorteile:

  • Sicherheit

    Wenn Sie ein Cloud NAT-Gateway für Public NAT verwenden, können Sie die Notwendigkeit der Zuweisung einzelner IP-Adressen für einzelne VMs reduzieren. Je nach Firewallregeln für ausgehenden Traffic können VMs ohne externe IP-Adressen auf Ziele im Internet zugreifen. Möglicherweise haben Sie VMs, die Internetzugriff nur benötigen, um Updates herunterzuladen oder die Bereitstellung abzuschließen.

    Wenn Sie zur Konfiguration eines Cloud NAT-Gateways für Public NAT die manuelle NAT-IP-Adresszuweisung verwenden, können Sie eine Reihe häufig verwendeter externer Quell-IP-Adressen für eine Zielpartei freigeben. Ein Zieldienst lässt beispielsweise nur Verbindungen von bekannten externen IP-Adressen zu.

    Mit Private NAT können Sie Privat-zu-privat-NAT zwischen VPC-Netzwerken oder zwischen VPC- und lokalen Netzwerken oder Netzwerken anderer Cloud-Anbieter einrichten. Wenn Private NAT konfiguriert ist, führt das Cloud NAT-Gateway NAT mit IP-Adressen aus dem Private NAT-Subnetzbereich aus.

  • Verfügbarkeit

    Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst, der nicht von VMs in Ihrem Projekt oder einem einzelnen physischen Gateway-Gerät abhängt. Sie konfigurieren ein NAT-Gateway auf einem Cloud Router, der die Steuerungsebene für NAT mit den von Ihnen angegebenen Konfigurationsparametern bereitstellt. Google Cloud führt Prozesse auf den physischen Maschinen aus, auf denen Ihre VMs von Google Cloud ausgeführt werden, und verwaltet sie.

  • Skalierbarkeit

    Cloud NAT kann so konfiguriert werden, dass die Anzahl der verwendeten NAT-IP-Adressen automatisch skaliert wird. VMs, die zu verwalteten Instanzgruppen gehören, einschließlich Gruppen mit Autoscaling, werden unterstützt.

  • Leistung

    Cloud NAT reduziert nicht die Netzwerkbandbreite pro VM. Cloud NAT wird vom softwarebasierten Netzwerk Andromeda von Google implementiert. Weitere Informationen finden Sie in der Dokumentation zu Compute Engine unter Netzwerkbandbreite.

  • Logging

    Für Cloud NAT-Traffic können Sie zu Compliance-, Debugging- und Analysezwecken und zur Ressourcenerfassung die Verbindungen und die Bandbreite nachverfolgen.

  • Monitoring

    Cloud NAT stellt wichtige Messwerte für Cloud Monitoring bereit, die Ihnen Einblicke in die Nutzung von NAT-Gateways durch Ihre Flotte geben. Messwerte werden automatisch an Cloud Monitoring gesendet. Dort können Sie benutzerdefinierte Dashboards erstellen, Benachrichtigungen einrichten und Messwerte abfragen.

    Außerdem veröffentlicht Network Analyzer Cloud NAT-Statistiken. Network Analyzer überwacht automatisch Ihre Cloud NAT-Konfiguration, um diese Statistiken zu generieren.

Produktinteraktionen

Weitere Informationen zu den wichtigen Interaktionen zwischen Cloud NAT und anderen Produkten von Google Cloud finden Sie unter Cloud NAT-Produktinteraktionen.

Nächste Schritte