Panoramica di Cloud NAT
Cloud NAT fornisce la Network Address Translation (NAT) per il traffico in uscita verso internet, le reti Virtual Private Cloud (VPC), le reti on-premise e altre reti di provider cloud.
Cloud NAT traduce gli indirizzi per le seguenti risorse:
- Istanze di macchine virtuali (VM) Compute Engine
- Cluster Google Kubernetes Engine (GKE)
- Istanze Cloud Run
- Istanze Cloud Run Functions
- Istanze dell'ambiente standard di App Engine
- Gruppi di endpoint di rete (NEG) internet regionali
Cloud NAT supporta la traduzione degli indirizzi solo per i pacchetti di risposta in entrata stabiliti. Non consente connessioni in entrata non richieste.
Tipi di Cloud NAT
Utilizzando un gateway Cloud NAT, le tue risorse Google Cloud possono connettersi a risorse esterne alla rete VPC di origine.
Un gateway Cloud NAT supporta i seguenti tipi di NAT:
- Public NAT
- NAT privato
Puoi utilizzare sia Public NAT che Private NAT per fornire servizi NAT alla stessa subnet in una rete VPC.
Un gateway Cloud NAT per NAT pubblico o NAT privato traduce gli indirizzi da IPv4 a IPv4. NAT pubblico supporta anche NAT da IPv6 a IPv4.
Public NAT
NAT pubblico consente alle risorse che non hanno indirizzi IPv4 esterni di comunicare con destinazioni IPv4 su internet. Google Cloud Queste VM utilizzano un insieme di indirizzi IP esterni condivisi per connettersi a internet. Cloud NAT non si basa su VM proxy. Un gateway Cloud NAT alloca invece un insieme di indirizzi IP esterni e porte di origine a ogni VM che utilizza il gateway per creare connessioni in uscita a internet.
Considera uno scenario in cui hai VM-1 in subnet-1 la cui interfaccia di rete non ha un indirizzo IP esterno. Tuttavia, VM-1 deve connettersi
a internet per scaricare gli aggiornamenti. Per abilitare la connettività a internet,
puoi creare un gateway Cloud NAT configurato per essere applicato all'intervallo
di indirizzi IP di subnet-1. Ora, VM-1 può inviare traffico a internet utilizzando l'indirizzo IP interno di subnet-1.
Per saperne di più, vedi NAT pubblico.
NAT privato
Private NAT consente la NAT private-to-private per il seguente traffico.
| Traffico | Descrizione |
|---|---|
| Da una rete VPC a un'altra rete VPC | Private NAT supporta la NAT da privato a privato per le reti VPC collegate come spoke VPC a un hub Network Connectivity Center. Per saperne di più, consulta Private NAT per gli spoke di Network Connectivity Center. |
| Da una rete VPC a una rete esterna a Google Cloud | Private NAT supporta le seguenti opzioni per
il traffico tra reti VPC e reti on-premise
o di altri provider cloud:
|
Considera uno scenario in cui le tue risorse Google Cloud in una rete VPC devono comunicare con destinazioni in un'altra rete VPC. Tuttavia, la rete di destinazione contiene subnet i cui indirizzi IP si sovrappongono agli indirizzi IP della rete VPC di origine. In questo scenario, crei un gateway Cloud NAT per Private NAT che traduce il traffico tra le subnet nella rete VPC di origine e le subnet non sovrapposte dell'altra rete.
Per maggiori informazioni, vedi NAT privato.
Risorse supportate
La tabella seguente elenca le risorse supportate da ogni tipo di Cloud NAT. Il segno di spunta indica che la risorsa è supportata. Google Cloud
| Risorsa | Public NAT | NAT privato |
|---|---|---|
| Istanze VM di Compute Engine | ||
| Cluster GKE | ||
| Cloud Run, Cloud Run Functions e ambiente standard di App Engine1 | (anteprima) | |
| NEG internet a livello di regione | Non applicabile |
- Istanze Cloud Run (servizi e job) e istanze delle funzioni Cloud Run tramite l'uscita VPC diretto (consigliata) o l'accesso VPC serverless
- Istanze dell'ambiente standard di App Engine tramite l'accesso VPC serverless
Architettura
Cloud NAT è un servizio gestito distribuito e software-defined. Non si basa su VM o appliance proxy. Cloud NAT configura il software Andromeda che alimenta la tua rete Virtual Private Cloud (VPC) in modo che fornisca la Network Address Translation di origine (NAT di origine o SNAT) per le risorse. Cloud NAT fornisce anche la traduzione degli Network Address Translation (destination NAT o DNAT) per i pacchetti di risposta in entrata stabiliti.
Vantaggi
Cloud NAT offre i seguenti vantaggi:
Sicurezza
Quando utilizzi un gateway Cloud NAT per NAT pubblico, puoi ridurre la necessità che ogni singola VM abbia indirizzi IP esterni. In base alle regole firewall in uscita, le VM senza indirizzi IP esterni possono accedere alle destinazioni su internet. Ad esempio, potresti avere VM che necessitano dell'accesso a internet solo per scaricare aggiornamenti o completare il provisioning.
Se utilizzi l'assegnazione manuale dell'indirizzo IP NAT per configurare un gateway Cloud NAT per Public NAT, puoi condividere con sicurezza un insieme di indirizzi IP di origine esterni comuni con una parte di destinazione. Ad esempio, un servizio di destinazione potrebbe consentire solo connessioni da indirizzi IP esterni noti.
Private NAT consente la NAT private-to-private tra reti VPC o tra VPC e reti on-premise o di altri provider cloud. Quando viene configurato NAT privato, il gateway Cloud NAT esegue NAT utilizzando indirizzi IP dell'intervallo di subnet NAT privato.
Disponibilità
Cloud NAT è un servizio gestito distribuito e software-defined. Non dipende da alcuna VM nel tuo progetto o da un singolo dispositivo gateway fisico. Configuri un gateway NAT su un router Cloud, che fornisce il piano di controllo per NAT, contenente i parametri di configurazione che specifichi. Google Cloud esegue e gestisce i processi sulle macchine fisiche che eseguono le tue Google Cloud VM.
Scalabilità
Cloud NAT può essere configurato per scalare automaticamente il numero di indirizzi IP NAT che utilizza e supporta le VM che appartengono a gruppi di istanze gestite, inclusi i gruppi con scalabilità automatica abilitata.
Prestazioni
Cloud NAT non riduce la larghezza di banda della rete per VM. Cloud NAT viene implementato dal networking software-defined Andromeda di Google. Per saperne di più, consulta Larghezza di banda di rete nella documentazione di Compute Engine.
Logging
Per il traffico Cloud NAT, puoi monitorare le connessioni e la larghezza di banda per scopi di conformità, debug, analisi e contabilità.
Monitoraggio
Cloud NAT espone a Cloud Monitoring metriche chiave che forniscono informazioni sull'utilizzo dei gateway NAT da parte della tua flotta. Le metriche vengono inviate automaticamente a Cloud Monitoring. Qui puoi creare dashboard personalizzate, configurare avvisi e query sulle metriche.
Inoltre, Network Analyzer pubblica gli insight di Cloud NAT. Network Analyzer monitora automaticamente la configurazione di Cloud NAT per rilevare e generare questi approfondimenti.
Interazioni con i prodotti
Per ulteriori informazioni sulle interazioni importanti tra Cloud NAT e altri prodotti Google Cloud , consulta Interazioni tra prodotti Cloud NAT.
Passaggi successivi
- Scopri di più sulle interazioni tra i prodotti Cloud NAT.
- Scopri di più su indirizzi e porte Cloud NAT.
- Configura Public NAT.
- Scopri di più sulle regole Cloud NAT.
- Configura NAT privato.
- Risolvi i problemi più comuni.
- Scopri di più sui prezzi di Cloud NAT.