Cloud NAT – Überblick

Mit Cloud NAT (Network Address Translation) können bestimmte Ressourcen in Google Cloud ausgehende Verbindungen zum Internet oder zu anderen VPC-Netzwerken (Virtual Private Cloud) erstellen. Cloud NAT unterstützt die Adressübersetzung nur für etablierte eingehende Antwortpakete. Unerwünschte eingehende Verbindungen sind nicht möglich.

Cloud NAT bietet ausgehende Verbindungen für die folgenden Ressourcen:

Cloud NAT-Typen

In Google Cloud verwenden Sie Cloud NAT, um NAT-Gateways zu erstellen, über die Instanzen in einem privaten Subnetz eine Verbindung zu Ressourcen außerhalb Ihres VPC-Netzwerk herstellen können.

Mit einem NAT-Gateway können Sie die folgenden NAT-Typen aktivieren:

  • Öffentliche NAT
  • Private NAT (Vorschau)

Öffentliche NAT

Mit einer öffentlichen NAT können Google Cloud-Ressourcen, die keine öffentlichen IP-Adressen haben, mit dem Internet kommunizieren. Diese VMs verwenden eine Reihe freigegebener öffentlicher IP-Adressen, um eine Verbindung zum Internet herzustellen. Öffentliche NAT hängt nicht von Proxy-VMs ab. Stattdessen weist ein öffentliches NAT-Gateway jeder VM, die das Gateway zum Erstellen ausgehender Verbindungen zum Internet verwendet, eine Reihe externer IP-Adressen und Quellports zu.

Stellen Sie sich ein Szenario vor, in dem VM-1 in subnet-1 vorhanden ist, dessen Netzwerkschnittstelle keine externe IP-Adresse hat. VM-1 muss jedoch mit dem Internet verbunden sein, um wichtige Updates herunterladen zu können. Zum Aktivieren der Verbindung zum Internet können Sie ein öffentliches NAT-Gateway erstellen, das für den IP-Adressbereich von subnet-1 konfiguriert ist. Jetzt kann VM-1 über die interne IP-Adresse von subnet-1 Traffic an das Internet senden.

Weitere Informationen zur öffentlichen NAT finden Sie unter Öffentliche NAT-Spezifikationen.

Private NAT

Private NAT ermöglicht private zu privaten Übersetzungen in allen Google Cloud-Netzwerken. Inter-VPC-NAT, ein privates NAT-Angebot, ermöglicht Ihnen das Erstellen eines privaten NAT-Gateways, das in Verbindung mit Network Connectivity Center verwendet wird, um NAT zwischen Virtual Private Cloud-Netzwerken auszuführen. Zum Konfigurieren von Inter-VPC-NAT zwischen VPC-Netzwerken muss jedes VPC-Netzwerk als VPC-Spoke (Vorschau) in einem Network Connectivity Center-Hub konfiguriert werden. Das private NAT-Gateway verwendet eine NAT-IP-Adresse aus einem privaten NAT-Subnetz für NAT-Traffic zwischen Ressourcen, die an einen Network Connectivity Center-Hub angehängt sind.

Angenommen, die Ressourcen in Ihrem VPC-Netzwerk müssen mit den Ressourcen in einem VPC-Netzwerk kommunizieren, das einer anderen Geschäftseinheit gehört. Das VPC-Netzwerk dieser Geschäftseinheit enthält jedoch Subnetze, deren IP-Adressen sich mit den IP-Adressen Ihres VPC-Netzwerks überschneiden. In diesem Szenario erstellen Sie ein privates NAT-Gateway, das den Traffic zwischen den Subnetzen in Ihrem VPC-Netzwerk an die sich nicht überschneidenden Subnetze dieser Geschäftseinheit weiterleitet.

Weitere Informationen zu privater NAT finden Sie unter Spezifikationen für private NAT.

Architektur

Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst. Cloud NAT basiert nicht auf Proxy-VMs oder -Appliances. Cloud NAT konfiguriert die Andromeda-Software für Ihr VPC-Netzwerk (Virtual Private Cloud) so, dass sie eine Quellnetzwerkadressübersetzung (Source NAT oder SNAT) für Ressourcen bietet. Cloud NAT bietet auch Destination Network Address Translation (Ziel-NAT oder DNAT) für etablierte eingehende Antwortpakete.

Traditionelle NAT im Vergleich zu Cloud NAT.
Herkömmliche NAT im Vergleich zu Cloud NAT (zum Vergrößern klicken).

Vorteile

Cloud NAT bietet folgende Vorteile:

  • Sicherheit

    Wenn Sie ein öffentliches NAT-Gateway verwenden, können Sie die Notwendigkeit reduzieren, dass einzelne VMs externe IP-Adressen haben. Je nach Firewallregeln für ausgehenden Traffic können VMs ohne externe IP-Adressen auf Ziele im Internet zugreifen. Angenommen, Sie haben VMs, die nur Internetzugriff benötigen, um Updates herunterzuladen oder die Bereitstellung abzuschließen.

    Wenn Sie zum Konfigurieren eines öffentlichen NAT-Gateways die manuelle NAT-IP-Adresszuweisung verwenden, können Sie eine Reihe von gemeinsamen externen Quell-IP-Adressen zuversichtlich für eine Zielpartei freigeben. Ein Zieldienst lässt beispielsweise nur Verbindungen von bekannten externen IP-Adressen zu.

    Ein privates NAT-Gateway lässt nicht zu, dass Ressourcen von mit Network Connectivity Center verbundenen VPC-Spokes (Vorschau) direkt eine Verbindung mit den VMs in sich überschneidenden Subnetzwerken initiieren. Wenn eine VM in einer privaten NAT-Konfiguration versucht, eine Verbindung mit einer VM in einem VPC-Spoke-Netzwerk des Network Connectivity Center zu initiieren, führt das private NAT-Gateway SNAT mithilfe der IP-Adressen aus dem privaten NAT-Bereich aus. Das Gateway führt auch DNAT für die Antworten auf die ausgehenden Pakete aus.

  • Verfügbarkeit

    Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst, der nicht von VMs in Ihrem Projekt oder einem einzelnen physischen Gateway-Gerät abhängt. Sie konfigurieren ein NAT-Gateway auf einem Cloud Router, der die Steuerungsebene für NAT mit von Ihnen angegebenen Konfigurationsparametern bereitstellt. Google Cloud führt Prozesse auf den physischen Maschinen aus, auf denen Ihre Google Cloud-VMs ausgeführt werden, und verwaltet diese.

  • Skalierbarkeit

    Cloud NAT kann so konfiguriert werden, dass die Anzahl der verwendeten NAT-IP-Adressen automatisch skaliert wird. Außerdem unterstützt es VMs, die zu verwalteten Instanzgruppen gehören, einschließlich der Gruppen, für die Autoscaling aktiviert ist.

  • Leistung

    Cloud NAT reduziert nicht die Netzwerkbandbreite pro VM. Cloud NAT wird vom softwarebasierten Netzwerk Andromeda von Google implementiert. Weitere Informationen finden Sie in der Dokumentation zu Compute Engine unter Netzwerkbandbreite.

  • Logging

    Für Cloud NAT-Traffic können Sie die Verbindungen und Bandbreite zu Compliance-, Fehlerbehebungs-, Analyse- und Abrechnungszwecken verfolgen.

  • Monitoring

    Cloud NAT stellt wichtige Messwerte für Cloud Monitoring zur Verfügung, die Ihnen Einblicke in die Nutzung von NAT-Gateways in Ihrer Flotte geben. Messwerte werden automatisch an Cloud Monitoring gesendet. Dort können Sie benutzerdefinierte Dashboards erstellen, Benachrichtigungen einrichten und Messwerte abfragen.

Produktinteraktionen

Weitere Informationen zu den wichtigen Interaktionen zwischen Cloud NAT und anderen Google Cloud-Produkten finden Sie unter Interaktionen mit Cloud NAT-Produkten.

Nächste Schritte