Cette page a été traduite par l'API Cloud Translation.

Présentation de Cloud NAT

Cloud NAT (traduction d'adresse réseau) permet à certaines ressources de Google Cloud de créer des connexions sortantes vers Internet, d'autres réseaux de cloud privé virtuel (VPC), des réseaux sur site ou d'autres réseaux de fournisseurs cloud. Cloud NAT n'accepte la traduction d'adresses que pour les paquets de réponses entrants établis. Il n'autorise pas les connexions entrantes non sollicitées.

Cloud NAT fournit une connectivité sortante pour les ressources suivantes :

Instances de machine virtuelle (VM) Compute Engine
Clusters Google Kubernetes Engine (GKE) privés
Instances Cloud Run via l'accès au VPC sans serveur
Instances Cloud Functions via l'accès au VPC sans serveur
Instances de l'environnement standard App Engine via l'accès au VPC sans serveur

Types de Cloud NAT

Dans Google Cloud, vous utilisez Cloud NAT pour créer des passerelles NAT permettant aux instances d'un sous-réseau privé de se connecter à des ressources extérieures à votre réseau VPC.

À l'aide d'une passerelle NAT, vous pouvez activer les types de NAT suivants:

NAT publique
NAT privé

Des passerelles NAT publiques et privées peuvent offrir des services NAT à un même sous-réseau d'un réseau VPC.

NAT publique

La NAT publique permet aux ressources Google Cloud qui n'ont pas d'adresse IP publique de communiquer avec Internet. Ces VM utilisent un ensemble d'adresses IP publiques partagées pour se connecter à Internet. La NAT publique ne repose pas sur des VM proxy. À la place, une passerelle NAT publique alloue un ensemble d'adresses IP externes et de ports sources à chaque VM qui l'utilise pour créer des connexions sortantes vers Internet.

Prenons l'exemple d'un scénario dans lequel vous avez VM-1 dans subnet-1, dont l'interface réseau ne possède pas d'adresse IP externe. Cependant, VM-1 doit se connecter à Internet pour télécharger les mises à jour critiques. Pour activer la connectivité à Internet, vous pouvez créer une passerelle NAT publique configurée pour s'appliquer à la plage d'adresses IP de subnet-1. Désormais, VM-1 peut envoyer du trafic vers Internet en utilisant l'adresse IP interne de subnet-1.

Pour en savoir plus sur la NAT publique, consultez la section Spécifications du NAT public.

NAT privé

Le NAT privé permet d'effectuer des traductions privées vers privées pour les cas d'utilisation suivants:

NAT inter-VPC: permet de créer une passerelle NAT privée pour effectuer la NAT entre les réseaux VPC configurés en tant que spokes VPC dans un hub Network Connectivity Center. La passerelle utilise une adresse IP NAT d'un sous-réseau NAT privé pour effectuer la NAT sur le trafic entre les ressources associées au hub Network Connectivity Center.
NAT hybride (preview): vous permet de créer une passerelle NAT privée qui exécute la NAT sur le trafic entre les réseaux VPC et les réseaux sur site ou tout autre réseau de fournisseurs cloud connectés via les produits de connectivité hybride d'entreprise de Google Cloud tels que Cloud VPN.

Supposons que les ressources de votre réseau VPC doivent communiquer avec les ressources d'un réseau VPC, ou d'un réseau sur site ou d'un autre fournisseur de cloud appartenant à une autre entité commerciale. Cependant, le réseau VPC de cette entité commerciale contient des sous-réseaux dont les adresses IP chevauchent celles de votre réseau VPC. Dans ce scénario, vous créez une passerelle NAT privée qui achemine le trafic entre les sous-réseaux de votre réseau VPC vers les sous-réseaux qui ne se chevauchent pas de cette entité commerciale.

Pour en savoir plus sur le NAT privé, consultez la section NAT privé.

Architecture

Cloud NAT est un service géré distribué et défini par logiciel. Il n'est pas basé sur les VM ou les appareils de proxy. Cloud NAT configure le logiciel Andromeda qui alimente votre réseau cloud privé virtuel (VPC) afin de fournir la traduction d'adresse réseau source (NAT ou SNAT source) pour les ressources. Cloud NAT fournit également une traduction des adresses réseau de destination (NAT de destination ou DNAT) pour les paquets de réponses entrants établis.

NAT traditionnel et Cloud NAT — Comparaison entre la fonctionnalité NAT traditionnelle et Cloud NAT (cliquez pour agrandir).

Avantages

Cloud NAT offre les avantages suivants :

Sécurité

Lorsque vous utilisez une passerelle NAT publique, vous pouvez réduire la nécessité pour chaque VM d'avoir une adresse IP externe. Sous réserve des règles de pare-feu de sortie, les VM sans adresse IP externe peuvent accéder aux destinations sur Internet. Par exemple, vous pouvez avoir des VM qui n'ont besoin d'un accès Internet que pour télécharger des mises à jour ou effectuer le provisionnement.

Si vous utilisez l'attribution manuelle d'adresses IP NAT pour configurer une passerelle NAT publique, vous pouvez partager en toute confiance un ensemble d'adresses IP sources externes communes avec une partie de destination. Par exemple, un service de destination peut autoriser uniquement les connexions à partir d'adresses IP externes connues.

Lorsqu'une VM d'une configuration NAT privée tente d'établir une connexion avec une VM située sur un autre réseau, la passerelle NAT privée effectue la SNAT en utilisant les adresses IP de la plage NAT privée. La passerelle effectue également une traduction DNAT sur les réponses aux paquets sortants.
Disponibilité

Cloud NAT est un service géré distribué et défini par logiciel. Il ne dépend d'aucune VM de votre projet, ni d'un seul appareil avec passerelle physique. Vous configurez une passerelle NAT sur un routeur Cloud Router, qui fournit le plan de contrôle pour NAT, contenant les paramètres de configuration que vous spécifiez. Google Cloud exécute et gère les processus sur les machines physiques qui exécutent vos VM Google Cloud.
Évolutivité

Cloud NAT peut être configuré pour effectuer un scaling automatique du nombre d'adresses IP NAT qu'il utilise. De plus, il accepte les VM appartenant à des groupes d'instances gérés, y compris les groupes pour lesquels l'autoscaling est activé.
Performances

Cloud NAT ne réduit pas la bande passante réseau par VM. Cloud NAT est mis en œuvre par le réseau défini par logiciel Andromeda de Google. Pour plus d'informations, consultez la section Bande passante réseau de la documentation Compute Engine.
Logging

Pour le trafic Cloud NAT, vous pouvez suivre les connexions et la bande passante à des fins de conformité, de débogage, d'analyse et de traçabilité.
Monitoring

Cloud NAT expose des métriques clés à Cloud Monitoring qui vous donnent des informations sur l'utilisation des passerelles NAT par votre parc. Les métriques sont envoyées automatiquement à Cloud Monitoring. Vous pouvez y créer des tableaux de bord personnalisés, configurer des alertes et interroger des métriques.

Interaction avec les produits

Pour en savoir plus sur les interactions importantes entre Cloud NAT et d'autres produits Google Cloud, consultez la page Interactions avec les produits Cloud NAT.

Étapes suivantes

Découvrez les interactions avec les produits Cloud NAT.
Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
Configurez une passerelle NAT publique.
Apprenez-en plus sur les règles Cloud NAT.
Configurer une passerelle NAT privée
Résolvez les problèmes courants.
Découvrez les tarifs de Cloud NAT.