Cloud NAT の概要

Cloud NAT は、インターネット、Virtual Private Cloud（VPC）ネットワーク、オンプレミスネットワーク、その他のクラウドプロバイダネットワークへのアウトバウンドトラフィックに対しネットワークアドレス変換（NAT）を提供します。

Cloud NAT は、次のリソースのアドレスを変換します。

Compute Engine 仮想マシン（VM）インスタンス
Google Kubernetes Engine（GKE）クラスタ
Cloud Run インスタンス
Cloud Run functions インスタンス
App Engine スタンダード環境のインスタンス。
リージョンインターネットネットワークエンドポイントグループ（NEG）

Cloud NAT は、確立されたインバウンドレスポンスパケットのアドレス変換のみをサポートします。未承諾のインバウンド接続は許可されません。

Cloud NAT の種類

Cloud NAT ゲートウェイを使用すると、 Google Cloud リソースは送信元 VPC ネットワーク外のリソースに接続できます。

Cloud NAT ゲートウェイは、次のタイプの NAT をサポートしています。

Public NAT
Private NAT

Public NAT と Private NAT の両方を使用して、VPC ネットワーク内の同じサブネットに NAT サービスを提供できます。

Public NAT またはプライベート NAT の Cloud NAT ゲートウェイは、アドレスを IPv4 から IPv4 に変換します。Public NAT は、IPv6 から IPv4 への NAT もサポートしています（プレビュー）。

Public NAT

Public NAT を使用すると、外部 IPv4 アドレスを持たない Google Cloud リソースがインターネット上の IPv4 宛先と通信できます。こうした VM は、一連の共有外部 IP アドレスを使用してインターネットに接続します。Cloud NAT はプロキシ VM に依存しません。代わりに、Cloud NAT ゲートウェイは、ゲートウェイを使用してインターネットへのアウトバウンド接続を行う各 VM に、外部 IP アドレスと送信元ポートのセットを割り当てます。

subnet-1 に VM-1 があり、そのネットワークインターフェースに外部 IP アドレスがないシナリオについて考えてみましょう。ただし、VM-1 は、更新をダウンロードするためにインターネットに接続する必要があります。インターネットへの接続を有効にするには、subnet-1 の IP アドレス範囲に適用するように構成された Cloud NAT ゲートウェイを作成できます。これで、VM-1 は subnet-1 の内部 IP アドレスを使用してインターネットにトラフィックを送信できるようになりました。

詳細については、Public NAT をご覧ください。

Private NAT

Private NAT を使用すると、次のトラフィックに Private-to-Private NAT が有効になります。

トラフィック	説明
VPC ネットワークから別の VPC ネットワークへ	Private NAT は、VPC スポークとして Network Connectivity Center ハブに接続された VPC ネットワークに対して、Private-to-Private NAT をサポートしています。詳細については、Network Connectivity Center スポークの Private NAT をご覧ください。
VPC ネットワークから Google Cloud外のネットワークへ	Private NAT は、VPC ネットワークとオンプレミスまたは他のクラウドプロバイダネットワークの間のトラフィックについて、次のオプションをサポートしています。 Network Connectivity Center ハイブリッドスポークを介して接続されたネットワークの Private-to-Private NAT。詳細については、Network Connectivity Center スポークの Private NAT をご覧ください。 Cloud Interconnect または Cloud VPN 経由で接続されたネットワークの Private-to-Private NAT。詳細については、ハイブリッド NAT をご覧ください。

トラフィック

説明

VPC ネットワークから別の VPC ネットワークへ

Private NAT は、VPC スポークとして Network Connectivity Center ハブに接続された VPC ネットワークに対して、Private-to-Private NAT をサポートしています。詳細については、Network Connectivity Center スポークの Private NAT をご覧ください。

VPC ネットワークから Google Cloud外のネットワークへ

Private NAT は、VPC ネットワークとオンプレミスまたは他のクラウドプロバイダネットワークの間のトラフィックについて、次のオプションをサポートしています。

Network Connectivity Center ハイブリッドスポークを介して接続されたネットワークの Private-to-Private NAT。詳細については、Network Connectivity Center スポークの Private NAT をご覧ください。
Cloud Interconnect または Cloud VPN 経由で接続されたネットワークの Private-to-Private NAT。詳細については、ハイブリッド NAT をご覧ください。

VPC ネットワーク内の Google Cloud リソースが、別の VPC ネットワーク内の宛先と通信する必要があるシナリオを考えてみましょう。ただし、宛先ネットワークには、送信元の VPC ネットワークの IP アドレスと重複する IP アドレスを持つサブネットが含まれているとします。このシナリオでは、Private NAT 用の Cloud NAT ゲートウェイを作成し、送信元 VPC ネットワーク内のサブネットと、他のネットワーク内で重複していないサブネットとの間の通信を変換します。

詳細については、Private NAT をご覧ください。

サポートされているリソース

次の表に、各タイプの Cloud NAT でサポートされている Google Cloud リソースを示します。チェックマークはリソースがサポートされていることを示します。

リソース	Public NAT	Private NAT
Compute Engine VM インスタンス
GKE クラスタ
Cloud Run、Cloud Run functions、App Engine スタンダード環境¹		（プレビュー）
リージョンインターネット NEG		該当なし

¹ 次のサーバーレスエンドポイントがサポートされています。

ダイレクト VPC 下り（外向き）（推奨）またはサーバーレス VPC アクセスを使用する Cloud Run インスタンス（サービスとジョブ）と Cloud Run functions インスタンス
サーバーレス VPC アクセスを使用する App Engine スタンダード環境インスタンス

アーキテクチャ

Cloud NAT はソフトウェア定義の分散マネージドサービスです。プロキシ VM やアプライアンスをベースにしていません。Cloud NAT は、Virtual Private Cloud（VPC）ネットワークを強化する Andromeda ソフトウェアを構成します。これにより、リソースに対して送信元ネットワークアドレス変換（送信元 NAT または SNAT）を提供します。また、Cloud NAT は、確立された受信レスポンスパケットに対してのみ宛先ネットワークアドレス変換（宛先 NAT または DNAT）を提供します。

従来の NAT と Cloud NAT の比較。 — 従来の NAT と Cloud NAT の比較（クリックして拡大）

利点

Cloud NAT には次の利点があります。

セキュリティ

Public NAT に Cloud NAT ゲートウェイを使用すると、個々の VM に外部 IP アドレスを割り当てる必要がなくなります。下り（外向き）ファイアウォールルールに従い、外部 IP アドレスを持たない VM はインターネット上の宛先にアクセスできます。たとえば、更新のダウンロードやプロビジョニングの完了のためだけに、VM にインターネットアクセスが必要になる場合があります。

手動 NAT IP アドレス割り当てで Public NAT の Cloud NAT ゲートウェイを構成すると、共通する外部の送信元 IP アドレスのセットを宛先と安全に共有できます。たとえば、宛先のサービスが既知の外部 IP アドレスからの接続のみを許可できます。

Private NAT を使用すると、VPC ネットワーク間、または VPC とオンプレミスまたは他のクラウドプロバイダネットワーク間の Private-to-Private NAT が有効になります。Private NAT が構成されている場合、Cloud NAT ゲートウェイは Private NAT サブネット範囲の IP アドレスを使用して NAT を実行します。
可用性

Cloud NAT はソフトウェア定義の分散マネージドサービスです。プロジェクト内の VM や単一の物理ゲートウェイデバイスには依存しません。Cloud Router に NAT ゲートウェイを構成することにより、指定した構成パラメータを保持する、NAT のコントロールプレーンが提供されます。 Google Cloud は、 Google Cloud VM を実行する物理マシンでプロセスを実行して維持します。
スケーラビリティ

Cloud NAT は、使用する NAT IP アドレスの数を自動的にスケーリングするように構成できます。Cloud NAT は、自動スケーリングが有効になっているグループなど、マネージドインスタンスグループに属する VM をサポートします。
パフォーマンス

Cloud NAT は VM ごとのネットワーク帯域幅を縮小しません。Cloud NAT は、Google の Andromeda ソフトウェア定義ネットワーキングによって実装されています。詳細については、Compute Engine のドキュメントのネットワーク帯域幅をご覧ください。
ロギング

Cloud NAT トラフィックに対しては、コンプライアンス、デバッグ、分析、アカウンティングを行うために接続と帯域幅をトレースできます。
モニタリング

Cloud NAT は、NAT ゲートウェイの使用状況を把握できるようにする重要な指標を Cloud Monitoring に送信します。指標は自動的に Cloud Monitoring に送信されます。カスタムダッシュボードを作成してアラートを設定し、指標をクエリできます。

また、ネットワークアナライザは Cloud NAT 分析情報を公開します。ネットワークアナライザは、Cloud NAT 構成を自動的にモニタリングして、これらの分析情報を検出して生成します。

プロダクトの相互作用

Cloud NAT と他の Google Cloud プロダクトの間の重要な相互作用の詳細については、Cloud NAT プロダクトの相互作用をご覧ください。

次のステップ

Cloud NAT プロダクトの相互作用について学習する。
Cloud NAT アドレスとポートについて学ぶ。
Public NAT を設定する。
Cloud NAT ルールについて学習する。
Private NAT を設定する。
一般的な問題のトラブルシューティングを行う。
Cloud NAT の料金について学習する。