Visão geral do Cloud NAT
O Cloud NAT fornece conversão de endereços de rede (NAT) para tráfego de saída para a Internet, redes de nuvem privada virtual (VPC), redes locais e outras redes de provedor de nuvem.
O Cloud NAT fornece NAT para os seguintes recursos Google Cloud :
- Instâncias de máquina virtual (VM) do Compute Engine
- Clusters do Google Kubernetes Engine (GKE)
- Instâncias do Cloud Run usando o acesso VPC sem servidor ou a saída VPC direta
- Instâncias de funções do Cloud Run usando o acesso VPC sem servidor
- Instâncias de ambiente padrão do App Engine usando o acesso VPC sem servidor
- Grupos de endpoints de rede (NEGs, na sigla em inglês) regionais da Internet
O Cloud NAT é compatível com a conversão de endereços apenas para pacotes de resposta de entrada estabelecidos. Ele não permite conexões de entrada não solicitadas.
Tipos de Cloud NAT
Ao usar um gateway NAT do Cloud, seus recursos Google Cloud podem se conectar a recursos fora da rede VPC de origem.
Um gateway NAT do Cloud é compatível com os seguintes tipos de NAT:
- Public NAT
- Private NAT
É possível usar o NAT público e o NAT privado para fornecer serviços de NAT à mesma sub-rede em uma rede VPC.
Um gateway do Cloud NAT para NAT público ou NAT particular converte endereços de IPv4 para IPv4. O NAT público também oferece suporte a NAT de IPv6 para IPv4 (Pré-lançamento).
Public NAT
O NAT público permite que Google Cloud recursos que não têm endereços IPv4 externos se comuniquem com destinos IPv4 na Internet. Essas VMs usam um conjunto de endereços IP externos compartilhados para se conectar à Internet. O Cloud NAT não depende de VMs de proxy. Em vez disso, um gateway do Cloud NAT alocará um conjunto de endereços IP externos e portas de origem para cada VM que usa o gateway para criar conexões de saída com a Internet.
Considere um cenário em que você tem VM-1 em subnet-1 com uma interface de rede
que não tenha um endereço IP externo. No entanto, VM-1 precisa se conectar
à Internet para fazer o download de atualizações. Para ativar a conectividade com a Internet,
crie um gateway do Cloud NAT configurado para ser aplicado ao
intervalo de endereços IP de subnet-1. Agora, VM-1 pode enviar tráfego para a Internet usando
o endereço IP interno de subnet-1.
Para mais informações, consulte NAT público.
Private NAT
O Private NAT permite a NAT particular para particular para o seguinte tráfego.
| Tráfego | Descrição |
|---|---|
| De uma rede VPC para outra rede VPC | O Private NAT oferece suporte a NAT privada-privada para redes VPC anexadas como spokes VPC a um hub do Network Connectivity Center. Para mais informações, consulte Private NAT para os spokes do Network Connectivity Center. |
| De uma rede VPC para uma rede fora do Google Cloud | O Private NAT oferece suporte às seguintes opções de tráfego entre redes VPC e redes no local ou de outros provedores de nuvem:
|
Suponha que os recursos Google Cloud em uma rede VPC precisam se comunicar com destinos em uma VPC, local ou outra rede de provedor de nuvem que pertence a uma unidade de negócios diferente. No entanto, a rede de destino contém sub-redes com endereços IP sobrepostos aos endereços IP da sua rede VPC. Nesse cenário, você cria um gateway do Cloud NAT para o Private NAT que converte o tráfego entre as sub-redes na rede VPC para as sub-redes não sobrepostas da outra rede.
Para mais informações, consulte Private NAT.
Recursos suportados
A tabela a seguir lista os recursos Google Cloud compatíveis com cada tipo de NAT do Cloud. A marca de seleção indica que o recurso é compatível, e o símbolo indica que não há suporte para o recurso.
| Recurso | Public NAT | Private NAT |
|---|---|---|
| Instâncias de VM do Compute Engine | ||
| Clusters do GKE | ||
| Cloud Run, Cloud Run functions e ambiente padrão do App Engine | ||
| NEGs regionais da Internet | Não relevante |
Arquitetura
O Cloud NAT é um serviço gerenciado distribuído e definido por software. Ele não é baseado em VMs ou dispositivos de proxy. O Cloud NAT configura o software Andromeda que alimenta a rede de nuvem privada virtual (VPC) para fornecer conversão de endereços de rede de origem (NAT de origem ou SNAT) para recursos. O Cloud NAT também fornece conversão de endereços de rede de destino, ou NAT de destino (DNAT, na sigla em inglês), para pacotes de resposta de entrada estabelecidos.
Benefícios
O Cloud NAT fornece os seguintes benefícios:
Segurança
Ao usar um gateway do Cloud NAT para o Public NAT, é possível reduzir a necessidade de VMs individuais para que cada uma tenha endereços IP externos. Sujeito às regras de firewall de saída, as VMs sem endereços IP externos podem acessar destinos na Internet. Por exemplo, você pode ter VMs que só precisam de acesso à Internet para fazer o download de atualizações ou concluir o provisionamento.
Se você usa a atribuição de endereço IP NAT manual para configurar um gateway do Cloud NAT para o Public NAT, pode compartilhar com confiança um conjunto de endereços IP de origem externa comuns com uma parte de destino. Por exemplo, um serviço de destino só pode permitir conexões de endereços IP externos conhecidos.
O Private NAT permite NAT particular-particular entre redes VPC ou entre VPC e redes locais ou de outros provedores de nuvem. Quando o Private NAT está configurado, o gateway do Cloud NAT executa NAT usando endereços IP do intervalo de sub-rede do Private NAT.
Disponibilidade
O Cloud NAT é um serviço gerenciado distribuído e definido por software. Ele não depende de nenhuma VM no seu projeto ou de um único dispositivo de gateway físico. Você configura um gateway NAT em um Cloud Router, que fornece o plano de controle para NAT, mantendo os parâmetros de configuração especificados. Google Cloud executa e mantém processos nas máquinas físicas que executam suas Google Cloud VMs.
Escalonabilidade
O Cloud NAT pode ser configurado para escalonar automaticamente o número de endereços IP NAT usados e suporta VMs que pertencem a grupos de instâncias gerenciadas, incluindo aqueles com escalonamento automático ativado.
Desempenho
O Cloud NAT não reduz a largura de banda da rede por VM. O Cloud NAT é implementado pela rede definida pelo software Andromeda do Google. Para saber mais, consulte Largura de banda de rede na documentação do Compute Engine.
Logging
Para o tráfego do Cloud NAT, é possível rastrear as conexões e a largura de banda para fins de conformidade, depuração, análise e contabilização.
Monitoring
O Cloud NAT apresenta as principais métricas do Cloud Monitoring que fornecem informações sobre o uso de gateways NAT na sua frota. As métricas são enviadas automaticamente para o Cloud Monitoring. Lá, você pode criar painéis personalizados, configurar alertas e consultar as métricas.
Além disso, o Network Analyzer publica insights do Cloud NAT. O Network Analyzer monitora automaticamente a configuração do Cloud NAT para detectar e gerar esses insights.
Interações com o produto
Para mais informações sobre as interações importantes entre o Cloud NAT e outros Google Cloud produtos, consulte Interações com produtos do Cloud NAT.
A seguir
- Saiba mais sobre interações com produtos do Cloud NAT.
- Saiba mais sobre endereços e portas do Cloud NAT.
- Configurar o Public NAT.
- Saiba mais sobre as regras do Cloud NAT.
- Configurar o Private NAT.
- Resolver problemas comuns.
- Saiba mais sobre os preços do Cloud NAT.