Visão geral do Cloud NAT

O Cloud NAT (conversão de endereços de rede, na sigla em inglês) permite que determinados recursos do Google Cloud criem conexões de saída para a Internet ou para outras redes de nuvem privada virtual (VPC), redes locais ou qualquer outra rede de provedor de nuvem. O Cloud NAT é compatível com a conversão de endereços apenas para pacotes de resposta de entrada estabelecidos. Ele não permite conexões de entrada não solicitadas.

O Cloud NAT fornece conectividade de saída para os seguintes recursos:

Tipos de Cloud NAT

No Google Cloud, você usa o Cloud NAT para criar gateways NAT que permitem que instâncias em uma sub-rede privada se conectem a recursos fora da rede VPC.

Usando um gateway NAT, você pode ativar os seguintes tipos de NAT:

  • Public NAT
  • NAT particular

É possível ter gateways NAT público e particular que oferecem serviços NAT para a mesma sub-rede em uma rede VPC.

Public NAT

A NAT pública permite que os recursos do Google Cloud que não têm endereços IP públicos se comuniquem com a Internet. Essas VMs usam um conjunto de endereços IP públicos compartilhados para se conectar à Internet. O Public NAT não depende de VMs de proxy. Em vez disso, um gateway do Public NAT aloca um conjunto de endereços IP externos e portas de origem para cada VM que usa o gateway para criar conexões de saída com a Internet.

Considere um cenário em que você tem VM-1 em subnet-1 com uma interface de rede não tenha um endereço IP externo. No entanto, VM-1 precisa se conectar à Internet para fazer o download de atualizações críticas. Para ativar a conectividade com a Internet, crie um gateway do Public NAT configurado para ser aplicado ao intervalo de endereços IP de subnet-1. Agora, VM-1 pode enviar tráfego para a Internet usando o endereço IP interno de subnet-1.

Para mais informações sobre o Public NAT, consulte Especificações do Public NAT.

NAT particular

A NAT particular permite traduções de particular para particular nos seguintes casos de uso:

  • Inter-VPC NAT: permite criar um gateway NAT particular para executar NAT entre redes VPC configuradas como spokes VPC em um hub do Network Connectivity Center. O gateway usa um endereço IP NAT de uma sub-rede NAT particular para executar NAT no tráfego entre recursos anexados ao hub do Network Connectivity Center.

  • NAT híbrida (pré-lançamento): permite criar um gateway NAT particular que executa NAT no tráfego entre redes VPC e redes locais ou qualquer outra rede de provedor de nuvem conectada aos produtos de conectividade híbrida empresarial do Google Cloud, como o Cloud VPN.

Suponha que os recursos na sua rede VPC precisem se comunicar com os recursos em uma rede VPC ou em uma rede local ou de outro provedor de nuvem que pertença a outra entidade comercial. No entanto, a rede VPC dessa entidade comercial contém sub-redes com endereços IP sobrepostos aos endereços IP da sua rede VPC. Nesse cenário, você cria um gateway do Private NAT que encaminha o tráfego entre as sub-redes em sua rede VPC para as sub-redes não sobrepostas dessa entidade comercial.

Para mais informações sobre NAT particular, consulte NAT particular.

Arquitetura

O Cloud NAT é um serviço gerenciado distribuído e definido por software. Ele não é baseado em VMs ou dispositivos de proxy. O Cloud NAT configura o software Andromeda que alimenta a rede da nuvem privada virtual (VPC) para fornecer conversão de endereços de rede de origem (NAT de origem ou SNAT) para recursos. O Cloud NAT também fornece conversão de endereços de rede de destino, ou NAT de destino (DNAT, na sigla em inglês), para pacotes de resposta de entrada estabelecidos.

NAT tradicional versus Cloud NAT.
NAT tradicional vs. Cloud NAT (clique para ampliar).

Benefícios

O Cloud NAT fornece os seguintes benefícios:

  • Segurança

    Ao usar um gateway do Public NAT, é possível reduzir a necessidade de VMs individuais para que cada uma tenha endereços IP externos. Sujeito às regras de firewall de saída, as VMs sem endereços IP externos podem acessar destinos na Internet. Por exemplo, você pode ter VMs que só precisam de acesso à Internet para fazer o download de atualizações ou concluir o provisionamento.

    Se você usa a atribuição de endereço IP NAT manual para configurar um gateway do Public NAT, pode compartilhar com confiança um conjunto de endereços IP de origem externa comuns com uma parte de destino. Por exemplo, um serviço de destino só pode permitir conexões de endereços IP externos conhecidos.

    Quando uma VM em uma configuração NAT particular tenta iniciar uma conexão com uma VM em outra rede, o gateway NAT particular executa SNAT usando os endereços IP do intervalo NAT particular. O gateway também realiza a DNAT nas respostas aos pacotes de saída.

  • Disponibilidade

    O Cloud NAT é um serviço gerenciado distribuído e definido por software. Ele não depende de nenhuma VM no seu projeto ou de um único dispositivo de gateway físico. Você configura um gateway NAT em um Cloud Router, que fornece o plano de controle para NAT, mantendo os parâmetros de configuração especificados. O Google Cloud executa e mantém processos nas máquinas físicas que executam suas VMs do Google Cloud.

  • Escalonabilidade

    O Cloud NAT pode ser configurado para escalonar automaticamente o número de endereços IP NAT usados e suporta VMs que pertencem a grupos de instâncias gerenciadas, incluindo aqueles com escalonamento automático ativado.

  • Desempenho

    O Cloud NAT não reduz a largura de banda da rede por VM. O Cloud NAT é implementado pela rede definida pelo software Andromeda do Google. Para saber mais, consulte Largura de banda de rede na documentação do Compute Engine.

  • Logging

    Para o tráfego do Cloud NAT, é possível rastrear as conexões e a largura de banda para fins de conformidade, depuração, análise e contabilização.

  • Monitoring

    O Cloud NAT apresenta as principais métricas do Cloud Monitoring que fornecem informações sobre o uso de gateways NAT na sua frota. As métricas são enviadas automaticamente para o Cloud Monitoring. Lá, você pode criar painéis personalizados, configurar alertas e consultar as métricas.

Interações com o produto

Para mais informações sobre as interações importantes entre o Cloud NAT e outros produtos do Google Cloud, consulte Interações com produtos do Cloud NAT.

A seguir