Cette page a été traduite par l'API Cloud Translation.

Présentation de Cloud NAT

Cloud NAT (traduction d'adresse réseau) permet à certaines ressources de Google Cloud de créer des connexions sortantes vers Internet ou vers d'autres réseaux cloud privés virtuels (VPC). Cloud NAT n'accepte la traduction d'adresses que pour les paquets de réponses entrants établis. Elle n'autorise pas les connexions entrantes non sollicitées.

Cloud NAT fournit une connectivité sortante pour les ressources suivantes :

Instances de machine virtuelle (VM) Compute Engine
Clusters Google Kubernetes Engine (GKE) privés
Instances Cloud Run via l'accès au VPC sans serveur
Instances Cloud Functions via l'accès au VPC sans serveur
Instances de l'environnement standard App Engine via l'accès au VPC sans serveur

Types de Cloud NAT

Dans Google Cloud, vous utilisez Cloud NAT pour créer des passerelles NAT permettant aux instances d'un sous-réseau privé de se connecter à des ressources extérieures à votre réseau VPC.

À l'aide d'une passerelle NAT, vous pouvez activer les types de NAT suivants:

NAT public
NAT privé (Preview)

NAT public

La NAT publique permet aux ressources Google Cloud qui n'ont pas d'adresse IP publique de communiquer avec Internet. Ces VM utilisent un ensemble d'adresses IP publiques partagées pour se connecter à Internet. La NAT publique ne repose pas sur des VM proxy. À la place, une passerelle NAT publique alloue un ensemble d'adresses IP externes et de ports sources à chaque VM qui l'utilise pour créer des connexions sortantes vers l'Internet.

Prenons l'exemple d'un scénario dans lequel vous avez VM-1 dans subnet-1, dont l'interface réseau ne possède pas d'adresse IP externe. Cependant, VM-1 doit se connecter à Internet pour télécharger les mises à jour critiques. Pour activer la connectivité à Internet, vous pouvez créer une passerelle NAT publique configurée pour s'appliquer à la plage d'adresses IP de subnet-1. VM-1 peut désormais envoyer du trafic vers Internet en utilisant l'adresse IP interne de subnet-1.

Pour en savoir plus sur la NAT publique, consultez la section Spécifications de la NAT publique.

NAT privé

Le NAT privé permet de traduire du privé au privé sur les réseaux Google Cloud. La NAT inter-VPC, une offre NAT privée, vous permet de créer une passerelle NAT privée qui fonctionne conjointement avec Network Connectivity Center pour effectuer une NAT entre les réseaux de cloud privé virtuel. Pour configurer la NAT inter-VPC entre les réseaux VPC, chaque réseau VPC doit être configuré en tant que spoke VPC (Preview) dans un hub Network Connectivity Center. La passerelle NAT privée utilise une adresse IP NAT d'un sous-réseau NAT privé vers le trafic NAT entre les ressources associées à un hub Network Connectivity Center.

Supposons que les ressources de votre réseau VPC doivent communiquer avec les ressources d'un réseau VPC appartenant à une autre entité commerciale. Cependant, le réseau VPC de cette entité commerciale contient des sous-réseaux dont les adresses IP chevauchent les adresses IP de votre réseau VPC. Dans ce scénario, vous créez une passerelle NAT privée qui achemine le trafic entre les sous-réseaux de votre réseau VPC vers les sous-réseaux qui ne se chevauchent pas de cette entité commerciale.

Pour en savoir plus sur le NAT privé, consultez la section Spécifications du NAT privé.

Architecture

Cloud NAT est un service géré distribué et défini par logiciel. Il n'est pas basé sur les VM ou les appareils de proxy. Cloud NAT configure le logiciel Andromeda qui alimente votre réseau cloud privé virtuel (VPC) afin qu'il fournisse la traduction d'adresse réseau source (NAT ou SNAT source) pour les ressources. Cloud NAT fournit également une traduction des adresses réseau de destination (NAT de destination ou DNAT) pour les paquets de réponses entrants établis.

Comparaison NAT traditionnelle et Cloud NAT — Comparaison entre NAT traditionnel et Cloud NAT (cliquez pour agrandir)

Avantages

Cloud NAT offre les avantages suivants :

Sécurité

Lorsque vous utilisez une passerelle NAT publique, vous pouvez réduire le besoin que chaque VM ait une adresse IP externe. Sous réserve des règles de pare-feu de sortie, les VM sans adresse IP externe peuvent accéder aux destinations sur Internet. Par exemple, vous pouvez avoir des VM qui n'ont besoin que d'un accès à Internet pour télécharger des mises à jour ou effectuer le provisionnement.

Si vous utilisez l'attribution manuelle d'adresses IP NAT pour configurer une passerelle NAT publique, vous pouvez partager en toute confiance un ensemble d'adresses IP sources externes courantes avec une partie de destination. Par exemple, un service de destination peut autoriser uniquement les connexions à partir d'adresses IP externes connues.

Une passerelle NAT privée n'autorise aucune ressource de spokes VPC connectés à Network Connectivity Center (Preview) à établir directement une connexion avec les VM situées dans des sous-réseaux qui se chevauchent. Lorsqu'une VM d'une configuration NAT privée tente d'établir une connexion avec une VM située dans un réseau de spokes VPC Network Connectivity Center, la passerelle NAT privée effectue la SNAT en utilisant les adresses IP de la plage NAT privée. La passerelle effectue également le DNAT sur les réponses aux paquets sortants.
Disponibilité

Cloud NAT est un service géré distribué et défini par logiciel. Il ne dépend d'aucune VM de votre projet, ni d'un seul appareil avec passerelle physique. Vous configurez une passerelle NAT sur un routeur Cloud Router, qui fournit le plan de contrôle pour NAT, contenant les paramètres de configuration que vous spécifiez. Google Cloud exécute et gère les processus sur les machines physiques qui exécutent vos VM Google Cloud.
Évolutivité

Cloud NAT peut être configuré pour effectuer un scaling automatique du nombre d'adresses IP NAT qu'il utilise. De plus, il accepte les VM appartenant à des groupes d'instances gérés, y compris les groupes pour lesquels l'autoscaling est activé.
Performances

Cloud NAT ne réduit pas la bande passante réseau par VM. Cloud NAT est mis en œuvre par le réseau défini par logiciel Andromeda de Google. Pour plus d'informations, consultez la section Bande passante réseau de la documentation Compute Engine.
Logging

Pour le trafic Cloud NAT, vous pouvez suivre les connexions et la bande passante à des fins de conformité, de débogage, d'analyse et de traçabilité.
Monitoring

Cloud NAT expose à Cloud Monitoring des métriques clés qui vous donnent des informations sur l'utilisation des passerelles NAT par votre parc. Les métriques sont envoyées automatiquement à Cloud Monitoring. Vous pouvez y créer des tableaux de bord personnalisés, configurer des alertes et interroger des métriques.

Interaction avec les produits

Pour en savoir plus sur les interactions importantes entre Cloud NAT et les autres produits Google Cloud, consultez la page Interactions avec les produits Cloud NAT.

Étapes suivantes

Découvrez les interactions avec les produits Cloud NAT.
Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
Configurez une passerelle NAT publique.
Apprenez-en plus sur les règles Cloud NAT.
Configurez une passerelle NAT privée.
Résolvez les problèmes courants.
Découvrez les tarifs de Cloud NAT.