Panoramica di Cloud NAT

Cloud NAT (Network Address Translation) consente a determinate risorse in Google Cloud di creare connessioni in uscita verso internet o altre reti VPC (Virtual Private Cloud), reti on-premise o qualsiasi altra rete del cloud provider. Cloud NAT supporta la traduzione degli indirizzi solo per i pacchetti di risposta in entrata stabiliti. Non consente connessioni in entrata non richieste.

Cloud NAT fornisce connettività in uscita per le seguenti risorse:

Tipi di Cloud NAT

In Google Cloud, puoi utilizzare Cloud NAT per creare gateway NAT che consentono alle istanze in una subnet privata di connettersi a risorse esterne alla rete VPC.

Con un gateway NAT, puoi abilitare i seguenti tipi di NAT:

  • NAT pubblico
  • NAT privato

Puoi avere gateway NAT pubblico e NAT privato che offrono servizi NAT alla stessa subnet in una rete VPC.

NAT pubblico

Il NAT pubblico consente alle risorse Google Cloud che non hanno indirizzi IP pubblici di comunicare con internet. Queste VM utilizzano un insieme di indirizzi IP pubblici condivisi per connettersi a internet. La NAT pubblica non si basa su VM proxy. Al contrario, un gateway NAT pubblico alloca un insieme di indirizzi IP esterni e porte di origine a ogni VM che utilizza il gateway per creare connessioni in uscita a internet.

Considera uno scenario in cui VM-1 in subnet-1 la cui interfaccia di rete non ha un indirizzo IP esterno. Tuttavia, VM-1 deve connettersi a internet per scaricare aggiornamenti critici. Per abilitare la connettività a internet, puoi creare un gateway NAT pubblico configurato per essere applicato all'intervallo di indirizzi IP di subnet-1. Ora VM-1 può inviare traffico a internet utilizzando l'indirizzo IP interno di subnet-1.

Per ulteriori informazioni su Public NAT, consulta le specifiche di Public NAT.

NAT privato

Private NAT consente traduzioni da private a private per i seguenti casi d'uso:

  • Inter-VPC NAT: consente di creare un gateway NAT privato per eseguire NAT tra reti VPC configurate come spoke VPC in un hub Network Connectivity Center. Il gateway utilizza un indirizzo IP NAT da una subnet NAT Private per eseguire NAT sul traffico tra le risorse collegate all'hub di Network Connectivity Center.

  • Hybrid NAT (Anteprima): consente di creare un gateway NAT privato che esegue NAT sul traffico tra le reti VPC e le reti on-premise o qualsiasi altra rete di cloud provider connessa tramite i prodotti di connettività ibrida aziendale di Google Cloud come Cloud VPN.

Supponiamo che le risorse nella tua rete VPC debbano comunicare con le risorse di una rete VPC, di una rete on-premise o di un altro cloud provider di proprietà di un'altra entità aziendale. Tuttavia, la rete VPC di tale entità aziendale contiene subnet i cui indirizzi IP si sovrappongono a quelli della rete VPC. In questo scenario, creerai un gateway NAT privato che instrada il traffico tra le subnet nella tua rete VPC alle subnet non sovrapposte dell'entità aziendale.

Per ulteriori informazioni su Private NAT, vedi Private NAT.

Architettura

Cloud NAT è un servizio gestito distribuito e software-defined. Non si basa su VM o appliance proxy. Cloud NAT configura il software Andromeda alla base della rete VPC (Virtual Private Cloud) in modo da fornire la traduzione degli Network Address Translation (NAT di origine o SNAT) per le risorse. Cloud NAT fornisce inoltre la traduzione degli Network Address Translation (NAT o DNAT di destinazione) per i pacchetti di risposta in entrata stabiliti.

tradizionale NAT rispetto a Cloud NAT.
NAT tradizionale e Cloud NAT (fai clic per ingrandire).

Vantaggi

Cloud NAT offre i seguenti vantaggi:

  • Sicurezza

    Con un gateway NAT pubblico, puoi ridurre la necessità di utilizzare singole VM con un indirizzo IP esterno. Soggetto alle regole firewall in uscita, le VM senza indirizzi IP esterni possono accedere alle destinazioni su internet. Ad esempio, potresti avere VM che necessitano solo dell'accesso a internet per scaricare gli aggiornamenti o completare il provisioning.

    Se utilizzi l'assegnazione manuale di indirizzi IP NAT per configurare un gateway NAT pubblico, puoi condividere in sicurezza un insieme di indirizzi IP di origine esterni comuni con una parte di destinazione. Ad esempio, un servizio di destinazione potrebbe consentire le connessioni solo da indirizzi IP esterni noti.

    Quando una VM in una configurazione NAT privato tenta di avviare una connessione con una VM in un'altra rete, il gateway NAT privato esegue SNAT utilizzando gli indirizzi IP dell'intervallo Private NAT. Il gateway esegue anche il DNAT sulle risposte ai pacchetti in uscita.

  • Disponibilità

    Cloud NAT è un servizio distribuito gestito software-defined. Non dipende da nessuna VM nel progetto o da un singolo dispositivo gateway fisico. Puoi configurare un gateway NAT su un router Cloud, che fornisce il piano di controllo per NAT, tenendo i parametri di configurazione da te specificati. Google Cloud esegue e gestisce i processi sulle macchine fisiche che eseguono le VM Google Cloud.

  • Scalabilità

    Cloud NAT può essere configurato per scalare automaticamente il numero di indirizzi IP NAT che utilizza e supporta le VM che appartengono ai gruppi di istanze gestite, compresi i gruppi con scalabilità automatica abilitata.

  • Prestazioni

    Cloud NAT non riduce la larghezza di banda di rete per VM. e Cloud NAT è implementato dal networking software-defined Andromeda Per ulteriori informazioni, consulta Larghezza di banda di rete nella documentazione di Compute Engine.

  • Logging

    Per il traffico di Cloud NAT, puoi tenere traccia delle connessioni e della larghezza di banda per scopi di conformità, debug, analisi e contabilità.

  • Monitoraggio

    Cloud NAT espone a Cloud Monitoring metriche chiave che ti forniscono informazioni sull'utilizzo dei gateway NAT da parte del tuo parco risorse. Le metriche vengono inviate automaticamente a Cloud Monitoring. Qui puoi creare dashboard personalizzate, configurare avvisi ed eseguire query su metriche.

Interazioni con i prodotti

Per ulteriori informazioni sulle interazioni importanti tra Cloud NAT e altri prodotti Google Cloud, consulta Interazioni con i prodotti Cloud NAT.

Passaggi successivi