Cloud NAT 概览
Cloud NAT(网络地址转换) 可让 Google Cloud 中的某些资源创建与互联网的出站连接 或其他虚拟私有云 (VPC) 网络、本地网络, 云服务提供商网络Cloud NAT 仅支持已建立的入站响应数据包的地址转换功能。它 不允许未经请求的入站连接。
Cloud NAT 为以下资源提供传出连接:
- Compute Engine 虚拟机 (VM) 实例
- 专用 Google Kubernetes Engine (GKE) 集群
- Cloud Run 实例 无服务器 VPC 访问通道或 直接 VPC 出站流量
- 通过无服务器 VPC 访问通道的 Cloud Functions 实例
- 通过无服务器 VPC 访问通道的 App Engine 标准环境实例
Cloud NAT 的类型
在 Google Cloud 中,您使用 Cloud NAT 创建 NAT 网关, 专用子网中的实例会连接到 VPC 网络外部的资源。
使用 NAT 网关,您可以启用以下类型的 NAT:
- Public NAT
- 专用 NAT
您可以同时拥有 Public NAT 和 Private NAT 网关 为 VPC 网络中的同一子网提供 NAT 服务。
Public NAT
Public NAT 允许没有公共 IP 地址的 Google Cloud 资源与互联网进行通信。这些虚拟机使用一组 共享公共 IP 地址以连接到互联网。 公共 NAT 不依赖于 虚拟机数量相反, 公共 NAT 网关分配一组外部 IP 发送到使用网关创建出站的每个虚拟机的地址和来源端口 连接互联网。
考虑以下场景:subnet-1 中有 VM-1,其网络接口没有外部 IP 地址。不过,VM-1需要连接到互联网才能
下载重要更新。如需启用互联网连接,您可以执行以下操作:
创建
公共 NAT
该网关配置为应用到
subnet-1的地址范围。现在,VM-1 可以使用
subnet-1 的内部 IP 地址。
如需详细了解 公共 NAT ,请参阅 公共 NAT 规范。
专用 NAT
Private NAT 可以为以下使用场景实现从私有到私有的转换:
Inter-VPC NAT:可让您创建专用 NAT 网关, 在配置为 VPC spoke 的 VPC 网络之间执行 NAT Network Connectivity Center hub 中运行。网关使用来自 Private NAT 的 NAT IP 地址 子网,对连接到 Network Connectivity Center hub 的资源之间的流量执行 NAT。
混合 NAT(预览版):允许您创建 一个 VPC 网关 对 VPC 网络和本地之间的流量执行 NAT 或通过 Google Cloud 的 企业混合连接产品,例如 Cloud VPN。
假设您的 VPC 网络中的资源需要 与 VPC 网络、本地或其他云平台中的资源共享 其他企业实体拥有的提供商网络。 但该企业的 VPC 网络 实体包含其 IP 地址与 VPC 网络在此场景中,您将创建一个 Private NAT 网关,用于将 VPC 网络中的子网之间的流量路由到该业务实体的非重叠子网。
如需详细了解专用 NAT,请参阅专用 NAT。
架构
Cloud NAT 是一种软件定义的分布式代管式服务。它并非基于代理虚拟机或设备。Cloud NAT 会将 仙女座 软件 可为 Virtual Private Cloud (VPC) 网络提供支持, 用于资源的来源网络地址转换(来源 NAT 或 SNAT)。此外,Cloud NAT 还会对建立的入站响应数据包执行目标网络地址转换(目标 NAT 或 DNAT)。
优势
Cloud NAT 具有以下优势:
安全性
使用Public NAT 网关时,您可以减少各个虚拟机对外部 IP 地址的需求。根据出站防火墙规则,没有外部 IP 地址的虚拟机可以访问互联网上的目标。例如,您的虚拟机可能只需访问互联网即可下载更新或完成预配。
如果您使用手动 NAT IP 地址分配来配置 Public NAT 网关,则可以放心地与目标方共享一组常用的外部来源 IP 地址。例如,目标服务可能只允许来自已知外部 IP 地址的连接。
Private NAT 网关不允许 Network Connectivity Center 连接的 VPC spoke 的资源 与重叠子网内的虚拟机建立连接。 当专用 NAT 配置中的虚拟机尝试发起与 另一个网络中的虚拟机(专用 NAT) 网关使用专用 NAT 中的 IP 地址执行 SNAT 范围。网关还会对出站数据包的响应执行 DNAT。
可用性
Cloud NAT 是一种软件定义的分布式代管式服务。它既不依赖于项目中的任何虚拟机,也不依赖于单个物理网关设备。您可以在 Cloud Router 路由器上配置 NAT 网关,以便为 NAT 提供控制平面,并保存您指定的配置参数。Google Cloud 可在运行 Google Cloud 虚拟机的物理机器上运行和维护进程。
可伸缩性
您可配置 Cloud NAT 来自动扩缩其使用的 NAT IP 地址数量,Cloud NAT 还支持属于代管式实例组的虚拟机,包括已启用自动扩缩的实例组。
性能
Cloud NAT 不会降低每个虚拟机的网络带宽。Cloud NAT 可直接与 Google 的 Andlomeda 软件定义网络配合使用。如需了解详情,请参阅 Compute Engine 文档中的网络带宽。
Logging
对于 Cloud NAT 流量,您可以跟踪 合规性、调试、分析和会计目的。
监控
Cloud NAT 向 Cloud Monitoring 提供关键指标,可让您深入了解机群的 NAT 网关使用情况。系统会自动将指标发送至 Cloud Monitoring。在这里,您可以创建自定义信息中心、设置提醒以及查询指标。
产品交互
如需详细了解 Cloud NAT 与其他 Google Cloud 产品之间的重要交互,请参阅 Cloud NAT 产品交互。
后续步骤
- 了解 Cloud NAT 产品交互。
- 了解 Cloud NAT 地址和端口。
- 设置 Public NAT 网关。
- 了解 Cloud NAT 规则。
- 设置 Private NAT 网关。
- 排查常见问题。
- 了解 Cloud NAT 价格。