Cloud NAT 概览

Cloud NAT 可为出站流量提供网络地址转换 (NAT)，以便流向互联网、虚拟私有云 (VPC) 网络、本地网络和其他云服务提供商网络。

Cloud NAT 可为以下资源转换地址：

Cloud NAT 仅支持对已建立的入站响应数据包进行地址转换。它不允许未经请求的入站连接。

Cloud NAT 的类型

通过使用 Cloud NAT 网关，您的 Google Cloud 资源可以连接到来源 VPC 网络外部的资源。

Cloud NAT 网关支持以下类型的 NAT：

Public NAT
专用 NAT

您可以同时使用 Public NAT 和 Private NAT 为 VPC 网络中的同一子网提供 NAT 服务。

用于 Public NAT 或 Private NAT 的 Cloud NAT 网关会将地址从 IPv4 转换为 IPv4。Public NAT 也支持从 IPv6 到 IPv4 的 NAT。

Public NAT

Public NAT 允许没有外部 IPv4 地址的 Google Cloud 资源与互联网上的 IPv4 目标进行通信。这些虚拟机使用一组共享的外部 IP 地址连接到互联网。 Cloud NAT 不依赖于代理虚拟机。Cloud NAT 网关会为使用网关创建与互联网的出站连接的每个虚拟机分配一组外部 IP 地址和来源端口。

考虑以下场景：subnet-1 中有 VM-1，其网络接口没有外部 IP 地址。不过，VM-1 需要连接到互联网才能下载更新。如需启用互联网连接，您可以创建一个配置为应用于 subnet-1 IP 地址范围的 Cloud NAT 网关。现在，VM-1 可以使用 subnet-1 的内部 IP 地址将流量发送到互联网。

如需了解详情，请参阅 Public NAT。

专用 NAT

Private NAT 支持对以下流量进行专用到专用 NAT。

流量	说明
从一个 VPC 网络到另一个 VPC 网络	Private NAT 支持为以 VPC spoke 形式连接到 Network Connectivity Center hub 的 VPC 网络提供专用到专用 NAT。如需了解详情，请参阅用于 Network Connectivity Center spoke 的 Private NAT。
从 VPC 网络到 Google Cloud外部的网络	Private NAT 支持以下选项，用于在 VPC 网络与本地网络或其他云服务提供商网络之间传输流量：用于通过 Network Connectivity Center 混合 spoke 连接的网络的专用到专用 NAT。如需了解详情，请参阅用于 Network Connectivity Center spoke 的 Private NAT。用于通过 Cloud Interconnect 或 Cloud VPN 连接的网络的专用到专用 NAT。如需了解详情，请参阅 Hybrid NAT。

流量

说明

从一个 VPC 网络到另一个 VPC 网络

Private NAT 支持为以 VPC spoke 形式连接到 Network Connectivity Center hub 的 VPC 网络提供专用到专用 NAT。如需了解详情，请参阅用于 Network Connectivity Center spoke 的 Private NAT。

从 VPC 网络到 Google Cloud外部的网络

Private NAT 支持以下选项，用于在 VPC 网络与本地网络或其他云服务提供商网络之间传输流量：

用于通过 Network Connectivity Center 混合 spoke 连接的网络的专用到专用 NAT。如需了解详情，请参阅用于 Network Connectivity Center spoke 的 Private NAT。
用于通过 Cloud Interconnect 或 Cloud VPN 连接的网络的专用到专用 NAT。如需了解详情，请参阅 Hybrid NAT。

假设您的 VPC 网络中的 Google Cloud 资源需要与另一个 VPC 网络中的目标进行通信。不过，目标网络包含的子网的 IP 地址与源 VPC 网络的 IP 地址重叠。在此场景中，您将创建一个 Cloud NAT 网关，用于 Private NAT，以转换来源 VPC 网络中的子网与另一个网络的非重叠子网之间的流量。

如需了解详情，请参阅 Private NAT。

支持的资源

下表列出了每种 Cloud NAT 支持的 Google Cloud 资源。对勾标记表示支持相应资源。

资源	Public NAT	专用 NAT
Compute Engine 虚拟机实例
GKE 集群
Cloud Run、Cloud Run functions 和 App Engine 标准环境¹		（预览版）
区域级互联网 NEG		不适用

¹ 系统支持以下无服务器端点：

通过直接 VPC 出站流量（推荐）或无服务器 VPC 访问通道连接的 Cloud Run 实例（服务和作业）和 Cloud Run functions实例
通过无服务器 VPC 访问通道连接的 App Engine 标准环境实例

架构

Cloud NAT 是一种软件定义的分布式托管服务。它并非基于代理虚拟机或设备。Cloud NAT 会配置 Andromeda 软件，该软件为您的虚拟私有云 (VPC) 网络提供支持，从而为资源提供来源网络地址转换（来源 NAT 或 SNAT）。此外，Cloud NAT 还会对建立的入站响应数据包执行目标网络地址转换（目标 NAT 或 DNAT）。

传统 NAT 与 Cloud NAT。 — 传统 NAT 与 Cloud NAT（点击可放大）。

优势

Cloud NAT 具有以下优势：

安全性

使用用于 Public NAT 的 Cloud NAT 网关时，您可以减少每个虚拟机都需要外部 IP 地址的需求。根据出站防火墙规则，没有外部 IP 地址的虚拟机可以访问互联网上的目标。例如，您的虚拟机可能只需访问互联网即可下载更新或完成预配。

通过使用手动 NAT IP 地址分配来配置用于 Public NAT 的 Cloud NAT 网关，您可以放心地将一组常用的外部源 IP 地址共享给目标方。例如，目标服务可能只允许来自已知外部 IP 地址的连接。

Private NAT 支持在 VPC 网络之间或 VPC 与本地网络或其他云服务提供商网络之间进行专用到专用 NAT。配置 Private NAT 后，Cloud NAT 网关会使用 Private NAT 子网范围内的 IP 地址执行 NAT。
可用性

Cloud NAT 是一种软件定义的分布式托管服务。它既不依赖于项目中的任何虚拟机，也不依赖于单个物理网关设备。您可以在 Cloud Router 上配置 NAT 网关，以便为 NAT 提供控制平面，存储您指定的配置参数。 Google Cloud 可在运行 Google Cloud 虚拟机的物理机器上运行和维护进程。
可伸缩性

您可配置 Cloud NAT 来自动扩缩其使用的 NAT IP 地址数量，Cloud NAT 还支持属于代管式实例组的虚拟机，包括已启用自动扩缩的实例组。
性能

Cloud NAT 不会降低每个虚拟机的网络带宽。Cloud NAT 可直接与 Google 的 Andlomeda 软件定义网络配合使用。如需了解详情，请参阅 Compute Engine 文档中的网络带宽。
Logging

对于 Cloud NAT 流量，您可以跟踪连接和带宽，以用于合规性、调试、分析和结算。
监控

Cloud NAT 向 Cloud Monitoring 提供关键指标，可让您深入了解机群的 NAT 网关使用情况。系统会自动将指标发送至 Cloud Monitoring。在这里，您可以创建自定义信息中心、设置提醒以及查询指标。

此外，网络分析器还会发布 Cloud NAT 分析洞见。网络分析器会自动监控您的 Cloud NAT 配置，以检测并生成这些分析洞见。

产品交互

如需详细了解 Cloud NAT 与其他 Google Cloud 产品之间的重要互动，请参阅 Cloud NAT 产品互动。

后续步骤

了解 Cloud NAT 产品交互。
了解 Cloud NAT 地址和端口。
设置 Public NAT。
了解 Cloud NAT 规则。
设置 Private NAT。
排查常见问题。
了解 Cloud NAT 价格。