Cloud NAT 總覽

Cloud NAT 可為傳出流量提供網路位址轉譯 (NAT),連至網際網路、虛擬私有雲 (VPC) 網路、內部部署網路和其他雲端服務供應商網路。

Cloud NAT 會轉譯下列資源的位址:

Cloud NAT 僅支援已建立的傳入回應封包位址轉譯。不允許未經要求的連入連線。

Cloud NAT 類型

使用 Cloud NAT 閘道後, Google Cloud 資源 就能連線至來源 VPC 網路外部的資源。

Cloud NAT 閘道支援下列 NAT 類型:

  • Public NAT
  • 私人 NAT

您可以同時使用 Public NAT 和 Private NAT,為虛擬私有雲網路中的相同子網路提供 NAT 服務。

Public NAT 或 Private NAT 的 Cloud NAT 閘道會將 IPv4 位址轉換為 IPv4 位址。公開 NAT 也支援從 IPv6 到 IPv4 的 NAT。

Public NAT

公開 NAT 可讓沒有外部 IPv4 位址的資源與網際網路上的 IPv4 目的地通訊。 Google Cloud 這些 VM 會使用一組共用的外部 IP 位址連線至網際網路。Cloud NAT 不會使用 Proxy VM。而是由 Cloud NAT 閘道為每個使用閘道建立網際網路傳出連線的 VM,分配一組外部 IP 位址和來源通訊埠。

假設您有 VM-1,但其網路介面沒有外部 IP 位址。subnet-1不過,VM-1必須連上網際網路才能下載更新。如要啟用網際網路連線,可以建立 Cloud NAT 閘道,並設定套用至 subnet-1 的 IP 位址範圍。現在,VM-1 可以使用 subnet-1 的內部 IP 位址,將流量傳送至網際網路。

詳情請參閱「Public NAT」。

私人 NAT

Private NAT 可為下列流量啟用私人對私人 NAT。

流量 說明
從一個虛擬私有雲網路連線至另一個虛擬私有雲網路 Private NAT 支援虛擬私有雲網路的私有對私有 NAT,這些網路會以虛擬私有雲輪輻的形式附加至 Network Connectivity Center 中樞。詳情請參閱「Network Connectivity Center 輪輻適用的 Private NAT」。
從虛擬私有雲網路到 Google Cloud以外的網路 Private NAT 支援下列選項,可供 VPC 網路與地端部署或其他雲端服務供應商網路之間的流量使用:

假設您虛擬私有雲網路中的資源需要與另一個虛擬私有雲網路中的目的地通訊。 Google Cloud 不過,目的地網路包含的子網路 IP 位址與來源 VPC 網路的 IP 位址重疊。在這個情境中,您會建立 Cloud NAT 閘道,用於 Private NAT,以便在來源 VPC 網路的子網路與其他網路的不重疊子網路之間轉譯流量。

詳情請參閱「私人 NAT」。

支援的資源

下表列出各類型 Cloud NAT 支援的 Google Cloud 資源。勾號表示支援該資源。

資源 Public NAT 私人 NAT
Compute Engine VM 執行個體
GKE 叢集
Cloud Run、Cloud Run 函式和 App Engine 標準環境1 (預覽)
區域性網際網路 NEG 不適用
1 系統支援下列無伺服器端點:
  • Cloud Run 執行個體 (服務和工作) 和 Cloud Run 函式執行個體,透過直接虛擬私有雲輸出 (建議) 或無伺服器虛擬私有雲存取
  • 透過無伺服器虛擬私有雲存取服務,連線至 App Engine 標準環境執行個體

架構

Cloud NAT 是分散式的軟體定義型代管服務,這項功能並非以 Proxy VM 或設備為基礎。Cloud NAT 會設定虛擬私有雲 (VPC) 網路所用的 Andromeda 軟體,為資源提供來源網路位址轉譯 (來源 NAT 或 SNAT)。Cloud NAT 也會為已建立的傳入回應封包提供目的地網路位址轉譯 (目的地 NAT 或 DNAT)

傳統 NAT 與 Cloud NAT 的比較。
傳統 NAT 與 Cloud NAT 的比較 (按一下可放大)。

優點

Cloud NAT 具有下列優點:

  • 安全性

    使用 Cloud NAT 閘道進行公開 NAT 時,您可減少個別 VM 各自擁有外部 IP 位址的需求。只要符合輸出防火牆規則,沒有外部 IP 位址的 VM 就能存取網際網路上的目的地。舉例來說,您可能擁有只需要網際網路存取權的 VM,以便下載更新或完成佈建作業。

    如果您使用手動 NAT IP 位址指派,為公開 NAT 設定 Cloud NAT 閘道,就能放心地與目的地端分享一組通用的外部來源 IP 位址。舉例來說,目的地服務可能只允許來自已知外部 IP 位址的連線。

    Private NAT 可在虛擬私有雲網路之間,或在虛擬私有雲與地端部署或其他雲端服務供應商網路之間,進行私人對私人 NAT。設定私人 NAT 後,Cloud NAT 閘道會使用私人 NAT 子網路範圍的 IP 位址執行 NAT。

  • 適用情況

    Cloud NAT 是分散式的軟體定義型代管服務,不依附於專案中的任何 VM 或單一實體閘道裝置。您可以在 Cloud Router 上設定 NAT 閘道,為 NAT 提供控制平面,並保留您指定的設定參數。 Google Cloud 會在執行 VM 的實體機器上執行及維護程序。 Google Cloud

  • 擴充性

    您可以設定 Cloud NAT,自動調度使用的 NAT IP 位址數量,並支援屬於代管執行個體群組的 VM,包括啟用自動調度資源的群組。

  • 效能

    Cloud NAT 不會減少每個 VM 的網路頻寬。Cloud NAT 是由 Google 的 Andromeda 軟體定義網路實作。詳情請參閱 Compute Engine 說明文件中的網路頻寬一節。

  • Logging

    對於 Cloud NAT 流量,您可以追蹤連線和頻寬,以利進行法規遵循、偵錯、分析和會計作業。

  • Monitoring

    Cloud NAT 會將重要指標公開給 Cloud Monitoring,讓您深入瞭解叢集使用 NAT 閘道的情況。指標會自動傳送至 Cloud Monitoring。您可以在這裡建立自訂資訊主頁、設定快訊及查詢指標。

    此外,網路分析器也會發布 Cloud NAT 深入分析。網路分析器會自動監控 Cloud NAT 設定,偵測並產生這些深入分析資訊。

產品互動

如要進一步瞭解 Cloud NAT 與其他 Google Cloud 產品的重要互動,請參閱「Cloud NAT 產品互動」。

後續步驟