Visão geral do Cloud NAT
Cloud NAT (conversão de endereços de rede) permite que alguns recursos do Google Cloud criem conexões de saída com a Internet ou outras redes de nuvem privada virtual (VPC), redes no local ou outros e redes de provedores de nuvem. O Cloud NAT é compatível com a conversão de endereços apenas para pacotes de resposta de entrada estabelecidos. Ele não permite conexões de entrada não solicitadas.
O Cloud NAT fornece conectividade de saída para os seguintes recursos:
- Instâncias de máquina virtual (VM) do Compute Engine
- Clusters particulares do Google Kubernetes Engine (GKE)
- Instâncias do Cloud Run usando o acesso VPC sem servidor ou a saída VPC direta
- Instâncias de funções do Cloud Run usando o acesso VPC sem servidor
- Instâncias de ambiente padrão do App Engine usando o acesso VPC sem servidor
Tipos de Cloud NAT
No Google Cloud, você usa o Cloud NAT para criar gateways NAT que permitem que instâncias em uma sub-rede privada se conectem a recursos fora da rede VPC.
Usando um gateway NAT, você pode ativar os seguintes tipos de NAT:
- Public NAT
- NAT particular
É possível ter gateways NAT público e Private NAT oferecendo serviços NAT à mesma sub-rede em uma rede VPC.
Public NAT
O Public NAT permite que os recursos do Google Cloud que não têm endereços IP públicos se comuniquem com a Internet. Essas VMs usam um conjunto de endereços IP públicos compartilhados para se conectar à Internet. NAT público não depende em VMs de proxy. Em vez disso, uma NAT público aloca um conjunto de IP externo endereços IP e portas de origem para cada VM que usa o gateway para criar para ter acesso à Internet.
Considere um cenário em que você tem VM-1
em subnet-1
com uma interface de rede não tenha um endereço IP externo. No entanto, VM-1
precisa se conectar à Internet para
fazer o download de atualizações críticas. Para permitir a conectividade com a Internet, você pode
crie um
NAT público
configurado para ser aplicado ao endereço IP
intervalo de endereços de subnet-1
. Agora, o VM-1
pode enviar tráfego para a Internet usando
o endereço IP interno de subnet-1
.
Para mais informações sobre NAT público , consulte NAT público .
NAT particular
A NAT particular ativa a NAT privado para privado para as seguintes do tráfego de entrada.
Tráfego | Descrição |
---|---|
De uma rede VPC para outra VPC rede | A NAT particular dá suporte à NAT de privado para privado para Redes VPC anexadas como A VPC se comunica com um hub do Network Connectivity Center. Para mais informações, consulte NAT particular para spokes do Network Connectivity Center. |
De uma rede VPC para uma rede fora Google Cloud | O NAT particular é compatível com as seguintes opções para
o tráfego entre redes VPC e no local
ou outras redes de provedores de nuvem:
|
Suponha que os recursos da sua rede VPC precisam se comunicar aos recursos em uma rede VPC, em uma rede no local rede de provedor de nuvem que pertence a uma unidade de negócios diferente. No entanto, essa rede contém sub-redes com endereços IP que se sobrepõem e endereços IP da sua rede VPC. Nesse cenário, você cria Gateway NAT particular que converte o tráfego entre as sub-redes em sua rede VPC às sub-redes não sobrepostas das outras em uma rede VPC.
Para mais informações sobre o Private NAT, consulte NAT particular.
Arquitetura
O Cloud NAT é um serviço gerenciado distribuído e definido por software. Ele não é baseado em VMs ou dispositivos de proxy. O Cloud NAT configura Andromeda de software que alimenta sua rede de nuvem privada virtual (VPC) para que ela forneça conversão de endereços de rede de origem (NAT ou SNAT de origem) para recursos. O Cloud NAT também fornece conversão de endereços de rede de destino, ou NAT de destino (DNAT, na sigla em inglês), para pacotes de resposta de entrada estabelecidos.
Benefícios
O Cloud NAT fornece os seguintes benefícios:
Segurança
Ao usar um gateway do Public NAT, é possível reduzir a necessidade de VMs individuais para que cada uma tenha endereços IP externos. Sujeito às regras de firewall de saída, as VMs sem endereços IP externos podem acessar destinos na Internet. Por exemplo, você pode ter VMs que só precisam de acesso à Internet para fazer o download de atualizações ou concluir o provisionamento.
Se você usa a atribuição de endereço IP NAT manual para configurar um gateway do Public NAT, pode compartilhar com confiança um conjunto de endereços IP de origem externa comuns com uma parte de destino. Por exemplo, um serviço de destino só pode permitir conexões de endereços IP externos conhecidos.
Um gateway do Private NAT não permite recurso dos spokes de VPC conectados do Network Connectivity Center iniciar uma conexão com as VMs dentro de sub-redes sobrepostas. Quando uma VM em uma configuração de Private NAT tenta iniciar uma conexão com um VM em outra rede, a NAT particular o gateway realiza o SNAT usando os endereços IP do Private NAT do intervalo 10.240.0.0/16. O gateway também realiza a DNAT nas respostas aos pacotes de saída.
Disponibilidade
O Cloud NAT é um serviço gerenciado distribuído e definido por software. Ele não depende de nenhuma VM no seu projeto ou de um único dispositivo de gateway físico. Você configura um gateway NAT em um Cloud Router, que fornece o plano de controle para NAT, mantendo os parâmetros de configuração especificados. O Google Cloud executa e mantém processos nas máquinas físicas que executam suas VMs do Google Cloud.
Escalonabilidade
O Cloud NAT pode ser configurado para escalonar automaticamente o número de endereços IP NAT usados e suporta VMs que pertencem a grupos de instâncias gerenciadas, incluindo aqueles com escalonamento automático ativado.
Desempenho
O Cloud NAT não reduz a largura de banda da rede por VM. O Cloud NAT é implementado pela rede definida pelo software Andromeda do Google. Para saber mais, consulte Largura de banda de rede na documentação do Compute Engine.
Logging
Para o tráfego do Cloud NAT, é possível rastrear as conexões e a largura de banda para fins de conformidade, depuração, análise e contabilização.
Monitoring
O Cloud NAT apresenta as principais métricas do Cloud Monitoring que fornecem informações sobre o uso de gateways NAT na sua frota. As métricas são enviadas automaticamente para o Cloud Monitoring. Lá, você pode criar painéis personalizados, configurar alertas e consultar as métricas.
Interações com o produto
Para mais informações sobre as interações importantes entre o Cloud NAT e outros produtos do Google Cloud, consulte Interações com produtos do Cloud NAT.
A seguir
- Saiba mais sobre interações com produtos do Cloud NAT.
- Saiba mais sobre endereços e portas do Cloud NAT.
- Configurar um gateway do Public NAT.
- Saiba mais sobre as regras do Cloud NAT.
- Configure um gateway Private NAT.
- Resolver problemas comuns.
- Saiba mais sobre os preços do Cloud NAT.