Cloud NAT – Überblick

Cloud NAT bietet Network Address Translation (NAT) für ausgehenden Traffic zum Internet, zu VPC-Netzwerken (Virtual Private Cloud), zu lokalen Netzwerken und zu Netzwerken anderer Cloud-Anbieter.

Cloud NAT übersetzt Adressen für die folgenden Ressourcen:

Cloud NAT unterstützt die Adressübersetzung nur für etablierte eingehende Antwortpakete. Unerwünschte eingehende Verbindungen werden nicht zugelassen.

Cloud NAT-Typen

Mit einem Cloud NAT-Gateway können Ihre Google Cloud Ressourcen eine Verbindung zu Ressourcen außerhalb des Quell-VPC-Netzwerks herstellen.

Ein Cloud NAT-Gateway unterstützt die folgenden NAT-Typen:

  • Public NAT
  • Private NAT

Sie können sowohl Public NAT als auch Private NAT verwenden, um NAT-Dienste für dasselbe Subnetz in einem VPC-Netzwerk bereitzustellen.

Ein Cloud NAT-Gateway für Public NAT oder Private NAT übersetzt Adressen von IPv4 in IPv4. Öffentliches NAT unterstützt auch NAT von IPv6 zu IPv4.

Public NAT

Mit Public NAT können Google Cloud Ressourcen, die keine externen IPv4-Adressen haben, mit IPv4-Zielen im Internet kommunizieren. Diese VMs verwenden eine Reihe gemeinsamer externer IP-Adressen, um eine Verbindung zum Internet herzustellen. Cloud NAT verwendet keine Proxy-VMs. Stattdessen weist ein Cloud NAT-Gateway jeder VM, die das Gateway zum Herstellen ausgehender Verbindungen zum Internet verwendet, eine Reihe von externen IP-Adressen und Quellports zu.

Stellen Sie sich ein Szenario vor, in dem Sie VM-1 in subnet-1 haben, dessen Netzwerkschnittstelle keine externe IP-Adresse hat. VM-1 muss jedoch mit dem Internet verbunden sein, um Updates herunterzuladen. Wenn Sie eine Verbindung zum Internet herstellen möchten, können Sie ein Cloud NAT-Gateway erstellen, das für den IP-Adressbereich von subnet-1 konfiguriert ist. VM-1 kann jetzt Traffic über die interne IP-Adresse von subnet-1 an das Internet senden.

Weitere Informationen finden Sie unter Öffentliches NAT.

Private NAT

Private NAT ermöglicht private-to-private NAT für den folgenden Traffic.

Traffic Beschreibung
Von einem VPC-Netzwerk zu einem anderen VPC-Netzwerk Private NAT unterstützt die private-to-private-NAT für VPC-Netzwerke, die als VPC-Spokes an einen Network Connectivity Center-Hub angehängt sind. Weitere Informationen finden Sie unter Private NAT für Network Connectivity Center-Spokes.
Von einem VPC-Netzwerk zu einem Netzwerk außerhalb von Google Cloud Private NAT unterstützt die folgenden Optionen für den Traffic zwischen VPC-Netzwerken und lokalen oder anderen Netzwerken von Cloud-Anbietern:
  • Private-to-Private-NAT für Netzwerke, die über hybride Network Connectivity Center-Spokes verbunden sind. Weitere Informationen finden Sie unter Private NAT für Network Connectivity Center-Spokes.
  • Private-to-Private-NAT für Netzwerke, die über Cloud Interconnect oder Cloud VPN verbunden sind. Weitere Informationen finden Sie unter Hybrid-NAT.

Stellen Sie sich ein Szenario vor, in dem Ihre Google Cloud Ressourcen in einem VPC-Netzwerk mit Zielen in einem anderen VPC-Netzwerk kommunizieren müssen. Das Zielnetzwerk enthält jedoch Subnetze, deren IP-Adressen sich mit den IP-Adressen Ihres Quell-VPC-Netzwerks überschneiden. In diesem Szenario erstellen Sie ein Cloud NAT-Gateway für privates NAT, das den Traffic zwischen den Subnetzen in Ihrem Quell-VPC-Netzwerk und den nicht überlappenden Subnetzen des anderen Netzwerks übersetzt.

Weitere Informationen finden Sie unter Private NAT.

Unterstützte Ressourcen

In der folgenden Tabelle sind die Google Cloud -Ressourcen aufgeführt, die von den einzelnen Cloud NAT-Typen unterstützt werden. Das -Häkchen gibt an, dass die Ressource unterstützt wird.

Ressource Public NAT Private NAT
Compute Engine-VM-Instanzen
GKE-Cluster
Cloud Run, Cloud Run Functions und App Engine-Standardumgebung1 (Vorschau)
Regionale Internet-NEGs Nicht zutreffend
1 Die folgenden serverlosen Endpunkte werden unterstützt:
  • Cloud Run-Instanzen (Dienste und Jobs) und Cloud Run-Funktionsinstanzen über ausgehenden Direct VPC-Traffic (empfohlen) oder serverlosen VPC-Zugriff
  • Instanzen der App Engine-Standardumgebung über Serverloser VPC-Zugriff

Architektur

Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst. Cloud NAT basiert nicht auf Proxy-VMs oder -Appliances. Cloud NAT konfiguriert die Andromeda-Software, die Ihr VPC-Netzwerk (Virtual Private Cloud) unterstützt, um SNAT (Source Network Address Translation) oder NAT (Network Address Translation) für Ressourcen zu ermöglichen. Cloud NAT bietet auch Destination Network Address Translation (Ziel-NAT oder DNAT) für etablierte eingehende Antwortpakete.

Traditionelle NAT im Vergleich zu Cloud NAT.
Traditionelle NAT im Vergleich zu Cloud NAT (zum Vergrößern klicken).

Vorteile

Cloud NAT bietet folgende Vorteile:

  • Sicherheit

    Wenn Sie ein Cloud NAT-Gateway für Public NAT verwenden, können Sie die Notwendigkeit der Zuweisung einzelner IP-Adressen für einzelne VMs reduzieren. Je nach Firewallregeln für ausgehenden Traffic können VMs ohne externe IP-Adressen auf Ziele im Internet zugreifen. Möglicherweise haben Sie VMs, die nur Internetzugriff benötigen, um Updates herunterzuladen oder die Bereitstellung abzuschließen.

    Wenn Sie zur Konfiguration eines Cloud NAT-Gateways für Public NAT die manuelle NAT-IP-Adresszuweisung verwenden, können Sie eine Reihe häufig verwendeter externer Quell-IP-Adressen für eine Zielpartei freigeben. Ein Zieldienst lässt beispielsweise nur Verbindungen von bekannten externen IP-Adressen zu.

    Mit Private NAT können Sie Private-to-Private-NAT zwischen VPC-Netzwerken oder zwischen VPC- und lokalen Netzwerken oder Netzwerken anderer Cloud-Anbieter einrichten. Wenn Private NAT konfiguriert ist, führt das Cloud NAT-Gateway NAT mit IP-Adressen aus dem Private NAT-Subnetzbereich aus.

  • Verfügbarkeit

    Cloud NAT ist ein verteilter, softwarebasierter verwalteter Dienst, der nicht von VMs in Ihrem Projekt oder einem einzelnen physischen Gateway-Gerät abhängt. Sie konfigurieren ein NAT-Gateway auf einem Cloud Router, der die Steuerungsebene für NAT mit den von Ihnen angegebenen Konfigurationsparametern bereitstellt. Google Cloud führt Prozesse auf den physischen Maschinen aus, auf denen Ihre Google Cloud VMs ausgeführt werden, und verwaltet diese.

  • Skalierbarkeit

    Cloud NAT kann so konfiguriert werden, dass die Anzahl der verwendeten NAT-IP-Adressen automatisch skaliert wird. VMs, die zu verwalteten Instanzgruppen gehören, einschließlich der Gruppen mit aktiviertem Autoscaling, werden unterstützt.

  • Leistung

    Cloud NAT reduziert nicht die Netzwerkbandbreite pro VM. Cloud NAT wird vom softwarebasierten Netzwerk Andromeda von Google implementiert. Weitere Informationen finden Sie in der Dokumentation zu Compute Engine unter Netzwerkbandbreite.

  • Logging

    Für Cloud NAT-Traffic können Sie die Verbindungen und Bandbreite zu Compliance-, Debugging-, Analyse- und Abrechnungszwecken nachverfolgen.

  • Monitoring

    Cloud NAT stellt wichtige Messwerte für Cloud Monitoring bereit, die Ihnen Einblicke in die Nutzung von NAT-Gateways durch Ihren Gerätepool geben. Messwerte werden automatisch an Cloud Monitoring gesendet. Dort können Sie benutzerdefinierte Dashboards erstellen, Benachrichtigungen einrichten und Messwerte abfragen.

    Außerdem veröffentlicht Network Analyzer Cloud NAT-Statistiken. Network Analyzer überwacht automatisch Ihre Cloud NAT-Konfiguration, um diese Statistiken zu erkennen und zu generieren.

Produktinteraktionen

Weitere Informationen zu den wichtigen Interaktionen zwischen Cloud NAT und anderen Google Cloud Produkten finden Sie unter Produktinteraktionen von Cloud NAT.

Nächste Schritte