Visão geral do Cloud NAT
O Cloud NAT faz a conversão de endereços de rede (NAT) para tráfego de saída para a Internet, redes de nuvem privada virtual (VPC), redes locais e redes de outros provedores de nuvem.
O Cloud NAT converte os endereços dos seguintes recursos:
- Instâncias de máquina virtual (VM) do Compute Engine
- Clusters do Google Kubernetes Engine (GKE)
- Instâncias do Cloud Run
- Instâncias do Cloud Run functions
- Instâncias de ambiente padrão do App Engine
- Grupos de endpoints de rede (NEGs) da Internet regionais
O Cloud NAT faz a conversão de endereços apenas para pacotes de resposta de entrada estabelecidos. Ele não permite conexões de entrada não solicitadas.
Tipos de Cloud NAT
Com um gateway do Cloud NAT, os recursos do Google Cloud podem se conectar a recursos fora da rede VPC de origem.
Um gateway do Cloud NAT faz os seguintes tipos de NAT:
- Public NAT
- Private NAT
É possível usar Public NAT e Private NAT para serviços de NAT à mesma sub-rede em uma rede VPC.
Um gateway do Cloud NAT para Public NAT ou Private NAT converte endereços de IPv4 em IPv4. O Public NAT também faz NAT de IPv6 para IPv4.
Public NAT
O Public NAT permite que os recursos do Google Cloud que não têm endereços IPv4 externos se comuniquem com destinos IPv4 na Internet. Essas VMs usam um conjunto de endereços IP públicos externos compartilhados para se conectar à Internet. O Cloud NAT não depende de VMs de proxy. Em vez disso, um gateway do Cloud NAT aloca um conjunto de endereços IP externos e portas de origem para cada VM que usa o gateway para criar conexões de saída com a Internet.
Considere um cenário em que você tem VM-1 em subnet-1 com uma interface de rede que não tem um endereço IP externo. No entanto, VM-1 precisa se conectar à Internet para baixar atualizações. Para ativar a conectividade com a Internet, crie um gateway do Cloud NAT configurado para ser aplicado ao intervalo de endereços IP de subnet-1. Agora, VM-1 pode enviar tráfego à Internet usando o endereço IP interno de subnet-1.
Saiba mais em Public NAT.
Private NAT
O Private NAT faz a NAT particular para particular no seguinte tráfego:
| Tráfego | Descrição |
|---|---|
| De uma rede VPC para outra rede VPC | O Private NAT faz NAT particular para particular em redes VPC anexadas como spokes VPC a um hub do Network Connectivity Center. Saiba mais em Private NAT para os spokes do Network Connectivity Center. |
| De uma rede VPC para uma rede fora do Google Cloud | O Private NAT oferece as seguintes opções de tráfego entre redes VPC e redes locais ou de outros provedores de nuvem:
|
Considere uma situação em que seus recursos do Google Cloud em uma rede VPC precisam se comunicar com destinos em outra rede VPC. No entanto, a rede de destino contém sub-redes com endereços IP sobrepostos aos endereços IP da rede VPC de origem. Nessa situação, você cria um gateway do Cloud NAT para Private NAT, que converte o tráfego entre as sub-redes na rede VPC de origem e as sub-redes não sobrepostas da outra rede.
Saiba mais em Private NAT.
Recursos com suporte
A tabela a seguir lista os recursos do Google Cloud compatíveis com cada tipo de Cloud NAT. A marca de seleção indica que o recurso é compatível.
| Recurso | Public NAT | Private NAT |
|---|---|---|
| Instâncias de VM do Compute Engine | ||
| Clusters do GKE | ||
| Cloud Run, Cloud Run functions e ambiente padrão do App Engine1 | (Prévia) | |
| NEGs regionais da Internet | Não aplicável |
- Instâncias de serviços e jobs do Cloud Run e instâncias do Cloud Run functions usando a saída VPC direta (recomendada) ou o acesso VPC sem servidor
- Instâncias do ambiente padrão do App Engine que usam o acesso VPC sem servidor
Arquitetura
O Cloud NAT é um serviço gerenciado distribuído e definido por software. Ele não é baseado em VMs ou dispositivos de proxy. O Cloud NAT configura o software Andromeda que alimenta a rede da nuvem privada virtual (VPC) para fazer a conversão de endereços de rede de origem (NAT de origem ou SNAT) para recursos. O Cloud NAT também faz a conversão de endereços de rede de destino, ou NAT de destino (DNAT, na sigla em inglês), para pacotes de resposta de entrada estabelecidos.
Vantagens
O Cloud NAT tem os seguintes benefícios:
Segurança
Quando você usa um gateway do Cloud NAT para Public NAT, não é preciso ter endereços IP externos para cada VM individual. Sujeito às regras de firewall de saída, as VMs sem endereços IP externos podem acessar destinos na Internet. Por exemplo, algumas VMs só precisam de acesso à Internet para baixar atualizações ou concluir o provisionamento.
Se você usa a atribuição de endereço IP de NAT manual para configurar um gateway do Cloud NAT para Public NAT, pode compartilhar um conjunto de endereços IP de origem externa comuns com o destino. Por exemplo, talvez um serviço de destino só permita conexões vindas de endereços IP externos conhecidos.
O Private NAT faz a NAT particular para particular entre redes VPC ou entre VPC e redes locais ou de outros provedores de nuvem. Quando o Private NAT está configurado, o gateway do Cloud NAT executa NAT usando endereços IP do intervalo de sub-rede do Private NAT.
Disponibilidade
O Cloud NAT é um serviço gerenciado distribuído e definido por software. Ele não depende de nenhuma VM do projeto nem de um único dispositivo de gateway físico. Você configura um gateway NAT em um Cloud Router, que atua como plano de controle para NAT, mantendo os parâmetros de configuração especificados. O Google Cloud executa e mantém processos nas máquinas físicas que executam as VMs do Google Cloud .
Escalonabilidade
O Cloud NAT pode ser configurado para escalonar automaticamente o número de endereços IP NAT usados e dá suporte a VMs que pertencem a grupos de instâncias gerenciadas, incluindo aqueles com escalonamento automático ativado.
Desempenho
O Cloud NAT não reduz a largura de banda da rede por VM. O Cloud NAT é implementado pela rede definida pelo software Andromeda do Google. Para saber mais, consulte Largura de banda de rede na documentação do Compute Engine.
Logging
É possível rastrear as conexões e a largura de banda do tráfego do Cloud NAT para fins de conformidade, depuração, análise e contabilização.
Monitoring
O Cloud NAT apresenta as principais métricas do Cloud Monitoring, que mostram o uso de gateways NAT na frota. As métricas são enviadas automaticamente ao Cloud Monitoring. Lá, você pode criar painéis personalizados, configurar alertas e consultar as métricas.
Além disso, o Network Analyzer publica insights do Cloud NAT. O Network Analyzer monitora automaticamente a configuração do Cloud NAT para detectar e gerar esses insights.
Interações com o produto
Para mais informações sobre as interações importantes entre o Cloud NAT e outros produtos do Google Cloud , consulte Interações com produtos do Cloud NAT.
A seguir
- Saiba mais sobre interações com produtos do Cloud NAT.
- Saiba mais sobre endereços e portas do Cloud NAT.
- Configure o Public NAT
- Saiba mais sobre as regras do Cloud NAT.
- Configure o Private NAT.
- Resolva problemas comuns.
- Saiba mais sobre os preços do Cloud NAT.