Cloud NAT – Überblick
Cloud NAT bietet Network Address Translation (NAT) für ausgehenden Traffic zum Internet, zu VPC-Netzwerken (Virtual Private Cloud), zu lokalen Netzwerken und zu anderen Cloud-Anbieternetzwerken.
Cloud NAT bietet NAT für die folgenden Google Cloud-Ressourcen:
- Compute Engine-VM-Instanzen
- Google Kubernetes Engine (GKE)-Cluster
- Cloud Run-Instanzen über serverlosen VPC-Zugriff oder ausgehenden Direct VPC-Traffic
- Cloud Run-Funktionsinstanzen über serverlosen VPC-Zugriff
- Instanzen der App Engine-Standardumgebung über serverlosen VPC-Zugriff
- Regionale Internet-NEGs (Netzwerk-Endpunktgruppen)
Cloud NAT unterstützt die Adressübersetzung nur für etablierte eingehende Antwortpakete. Unerwünschte eingehende Verbindungen werden nicht zugelassen.
Arten von Cloud NAT
In Google Cloud verwenden Sie Cloud NAT, um NAT-Gateways zu erstellen, mit denen Instanzen in einem privaten Subnetz eine Verbindung zu Ressourcen außerhalb Ihres VPC-Netzwerk herstellen können.
Mit einem NAT-Gateway können Sie die folgenden NAT-Typen aktivieren:
- Public NAT
- Private NAT
Sie können sowohl öffentliche NAT- als auch private NAT-Gateways haben, die NAT-Dienste für dasselbe Subnetz in einem VPC-Netzwerk anbieten.
Public NAT
Mit Public NAT können Google Cloud-Ressourcen ohne öffentliche IP-Adressen mit dem Internet kommunizieren. Diese VMs verwenden eine Reihe freigegebener öffentlicher IP-Adressen, um eine Verbindung zum Internet herzustellen. Public NAT benötigt keine Proxy-VMs. Stattdessen weist ein öffentliches NAT- Gateway jeder VM, die über das Gateway ausgehende Verbindungen zum Internet herstellt, eine Reihe externer IP-Adressen und Quellports zu.
Angenommen, Sie haben VM-1
in subnet-1
, dessen Netzwerkschnittstelle keine externe IP-Adresse hat. VM-1
muss jedoch mit dem Internet verbunden sein, um wichtige Updates herunterladen zu können. Um eine Internetverbindung zu ermöglichen, können Sie einPublic NAT-Gateway erstellen, das für den IP-Adressbereich von subnet-1
konfiguriert ist. Jetzt kann VM-1
Traffic über die interne IP-Adresse von subnet-1
an das Internet senden.
Weitere Informationen finden Sie unter Öffentliche NAT.
Private NAT
Private NAT ermöglicht Private-zu-Private-NAT für den folgenden Traffic.
Traffic | Beschreibung |
---|---|
Von einem VPC-Netzwerk zu einem anderen VPC-Netzwerk | Private NAT unterstützt die private-zu-private NAT für VPC-Netzwerke, die als VPC-Spokes mit einem Network Connectivity Center-Hub verbunden sind. Weitere Informationen finden Sie unter Private NAT für Spokes des Network Connectivity Center. |
Von einem VPC-Netzwerk zu einem Netzwerk außerhalb von Google Cloud | Private NAT unterstützt die folgenden Optionen für Traffic zwischen VPC-Netzwerken und lokalen Netzwerken oder Netzwerken anderer Cloud-Anbieter:
|
Angenommen, die Ressourcen in Ihrem VPC-Netzwerk müssen mit den Ressourcen in einem VPC-Netzwerk oder einem lokalen Netzwerk oder einem anderen Cloud-Anbieternetzwerk kommunizieren, das zu einer anderen Geschäftseinheit gehört. Dieses Netzwerk enthält jedoch Subnetze, deren IP-Adressen sich mit den IP-Adressen Ihres VPC-Netzwerk überschneiden. In diesem Szenario erstellen Sie ein privates NAT-Gateway, das den Traffic zwischen den Subnetzen in Ihrem VPC-Netzwerk in die nicht überlappenden Subnetze des anderen Netzwerks übersetzt.
Weitere Informationen zu Private NAT finden Sie unter Private NAT.
Unterstützte Ressourcen
In der folgenden Tabelle sind die Google Cloud-Ressourcen aufgeführt, die von den einzelnen Cloud NAT-Typen unterstützt werden. Ein Häkchen bedeutet, dass die Ressource unterstützt wird, und ein -Symbol, dass sie nicht unterstützt wird.
Ressource | Public NAT | Private NAT |
---|---|---|
Compute Engine-VM-Instanzen | ||
GKE-Cluster | ||
Cloud Run, Cloud Run-Funktionen und App Engine-Standardumgebung | ||
Regionale Internet-NEGs | Nicht zutreffend |
Architektur
Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst. Cloud NAT basiert nicht auf Proxy-VMs oder -Appliances. Cloud NAT konfiguriert die Andromeda-Software, die Ihr VPC-Netzwerk (Virtual Private Cloud) unterstützt, um SNAT (Source Network Address Translation) oder NAT (Network Address Translation) für Ressourcen zu ermöglichen. Cloud NAT bietet auch Destination Network Address Translation (Ziel-NAT oder DNAT) für etablierte eingehende Antwortpakete.
Vorteile
Cloud NAT bietet folgende Vorteile:
Sicherheit
Wenn Sie ein öffentliches NAT-Gateway verwenden, müssen nicht alle VMs externe IP-Adressen haben. Je nach Firewallregeln für ausgehenden Traffic können VMs ohne externe IP-Adressen auf Ziele im Internet zugreifen. Möglicherweise haben Sie VMs, die nur Internetzugriff benötigen, um Updates herunterzuladen oder die Bereitstellung abzuschließen.
Wenn Sie zur Konfiguration eines öffentlichen NAT-Gateways die manuelle NAT-IP-Adresszuweisung verwenden, können Sie eine Reihe häufig verwendeter externer Quell-IP-Adressen für eine Zielpartei freigeben. Ein Zieldienst lässt beispielsweise nur Verbindungen von bekannten externen IP-Adressen zu.
Mit einem privaten NAT-Gateway kann keine Ressource von VPC-Spokes, die mit dem Network Connectivity Center verbunden sind, direkt eine Verbindung zu den VMs in überlappenden Subnetzen herstellen. Wenn eine VM in einer Private NAT-Konfiguration versucht, eine Verbindung zu einer VM in einem anderen Netzwerk herzustellen, führt das Private NAT-Gateway SNAT mithilfe der IP-Adressen aus dem Private NAT-Bereich aus. Das Gateway führt auch DNAT für die Antworten auf die ausgehenden Pakete aus.
Verfügbarkeit
Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst, der nicht von VMs in Ihrem Projekt oder einem einzelnen physischen Gateway-Gerät abhängt. Sie konfigurieren ein NAT-Gateway auf einem Cloud Router, der die Steuerungsebene für NAT mit von Ihnen angegebenen Konfigurationsparametern bereitstellt. Google Cloud führt Prozesse auf den physischen Maschinen aus, auf denen Ihre Google Cloud-VMs ausgeführt werden, und verwaltet diese.
Skalierbarkeit
Cloud NAT kann so konfiguriert werden, dass die Anzahl der verwendeten NAT-IP-Adressen automatisch skaliert wird. VMs, die zu verwalteten Instanzgruppen gehören, einschließlich Autoscaling, werden unterstützt.
Leistung
Cloud NAT reduziert nicht die Netzwerkbandbreite pro VM. Cloud NAT wird vom softwarebasierten Netzwerk Andromeda von Google implementiert. Weitere Informationen finden Sie in der Dokumentation zu Compute Engine unter Netzwerkbandbreite.
Logging
Bei Cloud NAT-Traffic können Sie die Verbindungen und die Bandbreite zu Compliance-, Debugging-, Analyse- und Abrechnungszwecken erfassen.
Monitoring
Cloud NAT stellt wichtige Messwerte für Cloud Monitoring bereit, die Ihnen Einblicke in die Nutzung von NAT-Gateways durch Ihren Gerätepool geben. Messwerte werden automatisch an Cloud Monitoring gesendet. Dort können Sie benutzerdefinierte Dashboards erstellen, Benachrichtigungen einrichten und Messwerte abfragen.
Produktinteraktionen
Weitere Informationen zu den wichtigen Interaktionen zwischen Cloud NAT und anderen Google Cloud-Produkten finden Sie unter Cloud NAT-Produktinteraktionen.
Nächste Schritte
- Weitere Informationen zu Cloud NAT-Produktinteraktionen
- Weitere Informationen zu Cloud NAT-Adressen und -Ports
- Richten Sie ein öffentliches NAT-Gateway ein.
- Weitere Informationen zu Cloud NAT-Regeln
- Richten Sie ein privates NAT-Gateway ein.
- Häufige Probleme beheben
- Weitere Informationen zu Cloud NAT-Preisen