Vista geral do Cloud NAT
O Cloud NAT fornece tradução de endereços de rede (NAT) para tráfego de saída para a Internet, redes da nuvem virtual privada (VPC), redes no local e outras redes de fornecedores de nuvem.
O Cloud NAT traduz os endereços dos seguintes recursos:
- Instâncias de máquinas virtuais (VMs) do Compute Engine
- Clusters do Google Kubernetes Engine (GKE)
- Instâncias do Cloud Run
- Instâncias de funções do Cloud Run
- Instâncias do ambiente padrão do App Engine
- Grupos de pontos finais de rede (NEGs) da Internet regionais
O Cloud NAT suporta a tradução de endereços apenas para pacotes de resposta de entrada estabelecidos. Não permite ligações de entrada não solicitadas.
Tipos de NAT na nuvem
Ao usar um gateway Cloud NAT, os seus Google Cloud recursos podem estabelecer ligação a recursos fora da rede da VPC de origem.
Uma gateway do Cloud NAT suporta os seguintes tipos de NAT:
- NAT público
- NAT privado
Pode usar o NAT público e o NAT privado para fornecer serviços NAT à mesma sub-rede numa rede VPC.
Um gateway Cloud NAT para NAT pública ou NAT privada traduz endereços de IPv4 para IPv4. A NAT pública também suporta NAT de IPv6 para IPv4.
NAT público
O NAT público permite que os Google Cloud recursos que não têm endereços IPv4 externos comuniquem com destinos IPv4 na Internet. Estas VMs usam um conjunto de endereços IP externos partilhados para estabelecer ligação à Internet. A NAT na nuvem não depende de VMs de proxy. Em alternativa, um gateway Cloud NAT atribui um conjunto de endereços IP externos e portas de origem a cada VM que usa o gateway para criar ligações de saída à Internet.
Considere um cenário em que tem VM-1 em subnet-1 cuja interface de rede não tem um endereço IP externo. No entanto, o VM-1 precisa de estabelecer ligação à Internet para transferir atualizações. Para ativar a conetividade à Internet, pode criar um gateway NAT da nuvem configurado para se aplicar ao intervalo de endereços IP de subnet-1. Agora, VM-1 pode enviar tráfego para a Internet através do endereço IP interno de subnet-1.
Para mais informações, consulte o artigo NAT público.
NAT privado
A NAT privada permite a NAT privada a privada para o seguinte tráfego.
| Trânsito | Descrição |
|---|---|
| De uma rede VPC para outra rede VPC | O NAT privado suporta o NAT privado a privado para redes VPC anexadas como raios da VPC a um hub do Network Connectivity Center. Para mais informações, consulte o artigo NAT privado para raios do Network Connectivity Center. |
| De uma rede de VPC para uma rede fora de Google Cloud | A NAT privada suporta as seguintes opções para o tráfego entre redes da VPC e redes no local ou de outros fornecedores de nuvem:
|
Considere um cenário em que os seus Google Cloud recursos numa rede VPC têm de comunicar com destinos noutra rede VPC. No entanto, a rede de destino contém sub-redes cujos endereços IP se sobrepõem aos endereços IP da sua rede VPC de origem. Neste cenário, cria um gateway de NAT na nuvem para NAT privado que traduz o tráfego entre as sub-redes na sua rede da VPC de origem e as sub-redes não sobrepostas da outra rede.
Para mais informações, consulte o artigo NAT privado.
Recursos suportados
A tabela seguinte lista os Google Cloud recursos suportados por cada tipo de Cloud NAT. A marca de verificaçãoindica que o recurso é suportado.
| Recurso | NAT público | NAT privado |
|---|---|---|
| Instâncias de VM do Compute Engine | ||
| Clusters do GKE | ||
| Cloud Run, funções do Cloud Run e ambiente padrão do App Engine1 | (Pré-visualizar) | |
| Grupos de pontos finais de rede (NEGs) da Internet regionais | Não aplicável |
- Instâncias do Cloud Run (serviços e tarefas) e instâncias de funções do Cloud Run através da saída da VPC direta (recomendado) ou do acesso a VPC sem servidor
- Instâncias do ambiente padrão do App Engine através do Acesso a VPC sem servidor
Arquitetura
O Cloud NAT é um serviço gerido distribuído e definido por software. Não se baseia em VMs ou dispositivos proxy. O Cloud NAT configura o software Andromedaque alimenta a sua rede da nuvem virtual privada (VPC) para que forneça tradução de endereços de rede de origem (NAT de origem ou SNAT) para recursos. O Cloud NAT também fornece a tradução de endereços de rede de destino (NAT de destino ou DNAT) para pacotes de resposta de entrada estabelecidos.
Vantagens
O Cloud NAT oferece as seguintes vantagens:
Segurança
Quando usa um gateway NAT da nuvem para NAT público, pode reduzir a necessidade de cada VM ter endereços IP externos. Sujeitas a regras de firewall de saída, as VMs sem endereços IP externos podem aceder a destinos na Internet. Por exemplo, pode ter VMs que só precisam de acesso à Internet para transferir atualizações ou para concluir o aprovisionamento.
Se usar a atribuição manual de endereços IP NAT para configurar um gateway NAT da nuvem para NAT público, pode partilhar com confiança um conjunto de endereços IP de origem externos comuns com uma parte de destino. Por exemplo, um serviço de destino pode apenas permitir ligações de endereços IP externos conhecidos.
A NAT privada permite a NAT privada a privada entre redes VPC ou entre a VPC e redes no local ou de outros fornecedores de nuvem. Quando a NAT privada está configurada, o gateway da NAT da nuvem executa a NAT através de endereços IP do intervalo de sub-rede da NAT privada.
Disponibilidade
O Cloud NAT é um serviço gerido distribuído e definido por software. Não depende de nenhuma MV no seu projeto nem de um único dispositivo de gateway físico. Configura um gateway NAT num Cloud Router, que fornece o plano de controlo para NAT, com parâmetros de configuração que especifica.O Google Cloud executa e mantém processos nas máquinas físicas que executam as suas VMs Google Cloud .
Escalabilidade
O Cloud NAT pode ser configurado para dimensionar automaticamente o número de endereços IP NAT que usa e suporta VMs pertencentes a grupos de instâncias geridos, incluindo os grupos com o dimensionamento automático ativado.
Desempenho
O Cloud NAT não reduz a largura de banda da rede por VM. O Cloud NAT é implementado pelo trabalho em rede definido por software Andromeda da Google. Para mais informações, consulte o artigo Largura de banda da rede na documentação do Compute Engine.
Registo
Para o tráfego do Cloud NAT, pode rastrear as ligações e a largura de banda para fins de conformidade, depuração, estatísticas e contabilidade.
Monitorização
O Cloud NAT expõe métricas importantes ao Cloud Monitoring que lhe dão informações sobre a utilização de gateways NAT pela sua frota. As métricas são enviadas automaticamente para o Cloud Monitoring. Aí, pode criar painéis de controlo personalizados, configurar alertas e consultar métricas.
Além disso, o analisador de rede publica estatísticas do Cloud NAT. O Analisador de rede monitoriza automaticamente a configuração do Cloud NAT para detetar e gerar estas estatísticas.
Interações com o produto
Para mais informações sobre as interações importantes entre a NAT na nuvem e outros produtos, consulte o artigo Interações de produtos da NAT na nuvem. Google Cloud
O que se segue?
- Saiba mais sobre as interações do produto Cloud NAT.
- Saiba mais acerca dos endereços e das portas do Cloud NAT.
- Configure a NAT pública.
- Saiba mais sobre as regras do Cloud NAT.
- Configure o NAT privado.
- Resolva problemas comuns.
- Saiba mais sobre os preços do Cloud NAT.