Présentation de Cloud NAT
Cloud NAT fournit la traduction d'adresse réseau (NAT) pour le trafic sortant vers Internet, les réseaux cloud privé virtuel (VPC), les réseaux sur site et les autres réseaux de fournisseurs cloud.
Cloud NAT fournit un NAT pour les ressources Google Cloud suivantes :
- Instances de machine virtuelle (VM) Compute Engine
- Clusters Google Kubernetes Engine (GKE) privés
- des instances Cloud Run via Accès au VPC sans serveur Sortie VPC directe
- Cloud Run fonctionne avec des instances Accès au VPC sans serveur
- Instances de l'environnement standard App Engine via l'accès au VPC sans serveur
Cloud NAT n'accepte la traduction d'adresse que pour les paquets de réponses entrants établis. Il n'autorise pas les connexions entrantes non sollicitées.
Types de Cloud NAT
Dans Google Cloud, vous utilisez Cloud NAT pour créer des passerelles NAT qui permettent aux instances d'un sous-réseau privé de se connecter aux ressources en dehors de votre réseau VPC.
À l'aide d'une passerelle NAT, vous pouvez activer les types de NAT suivants:
- NAT public
- NAT privé
Vous pouvez avoir à la fois des passerelles NAT publiques et privées proposant des services NAT au même sous-réseau dans un réseau VPC.
NAT public
La NAT publique permet aux ressources Google Cloud qui n'ont pas les adresses IP publiques communiquent avec Internet. Ces VM utilisent un ensemble des adresses IP publiques partagées pour se connecter à Internet. Public NATCloud NAT ne repose pas sur des VM proxy. Au lieu de cela, un NAT public alloue un ensemble d'adresses IP externes et ports sources vers chaque VM utilisant la passerelle pour créer des adresses de connexions à Internet.
Imaginons un scénario dans lequel VM-1
se trouve dans subnet-1
, dont l'interface réseau ne possède pas d'adresse IP externe. Cependant, VM-1
doit se connecter à Internet pour
télécharger les mises à jour critiques. Pour activer la connectivité à Internet, vous pouvez :
créer un
NAT public
qui est configurée pour s'appliquer à l'adresse IP
la plage d'adresses subnet-1
. VM-1
peut désormais envoyer du trafic sur Internet à l'aide de l'adresse IP interne de subnet-1
.
Pour en savoir plus sur Public NAT , consultez Public NAT Public NAT .
NAT privé
Le NAT privé permet le NAT privé-à-privé pour le trafic suivant.
Trafic | Description |
---|---|
D'un réseau VPC à un autre réseau VPC | Le NAT privé prend en charge le NAT privé vers privé pour réseaux VPC associés en tant que des spokes VPC à un hub Network Connectivity Center. Pour en savoir plus, consultez NAT privé pour les spokes Network Connectivity Center. |
D'un réseau VPC à un réseau situé en dehors de Google Cloud | Private NAT prend en charge les options suivantes pour
entre les réseaux VPC et les environnements sur site
ou ceux d'autres fournisseurs de services cloud:
|
Supposons que les ressources de votre réseau VPC doivent communiquer avec les ressources d'un réseau VPC, ou d'une le réseau du fournisseur de services cloud qui appartient à une autre unité commerciale. Toutefois, ce réseau contient des sous-réseaux dont les adresses IP se chevauchent avec celles de votre réseau VPC. Dans ce scénario, vous créez Passerelle NAT privée qui traduit le trafic entre les sous-réseaux votre réseau VPC aux sous-réseaux qui ne se chevauchent pas réseau.
Pour en savoir plus sur Private NAT, consultez NAT privé.
Architecture
Cloud NAT est un service géré distribué et défini par logiciel. Il n'est pas basé sur les VM ou les appareils de proxy. Cloud NAT configure Andromeda logiciel qui alimente votre réseau cloud privé virtuel (VPC) afin de fournir Traduction d'adresses réseau sources (NAT ou SNAT source) pour les ressources. Cloud NAT fournit également une traduction des adresses réseau de destination (NAT de destination ou DNAT) pour les paquets de réponses entrants établis.
Avantages
Cloud NAT offre les avantages suivants :
Sécurité
Lorsque vous utilisez une passerelle Public NAT, vous pouvez réduire le besoin de VM individuelles afin que chacune d'entre elles dispose d'une à vos adresses IP internes. Sous réserve des règles de pare-feu de sortie, les VM sans adresse IP externe peuvent accéder aux destinations sur Internet. Par exemple, vous avez peut-être des VM qui n'ont besoin que d'un accès Internet pour télécharger des mises à jour ou effectuer le provisionnement.
Si vous utilisez l'attribution manuelle d'adresses IP NAT pour configurer une passerelle NAT publique, vous pouvez partager sans difficulté un ensemble d'adresses IP sources courantes avec un groupe de destination. Par exemple, un service de destination peut autoriser uniquement les connexions à partir d'adresses IP externes connues.
Une passerelle NAT privée n'autorise ressource provenant des spokes VPC connectés à Network Connectivity Center établir une connexion avec les VM situées dans des sous-réseaux qui se chevauchent. Lorsqu'une VM faisant partie d'une configuration NAT privée tente d'établir une connexion avec d'une VM d'un autre réseau, le service Private NAT effectue la SNAT à l'aide des adresses IP du réseau la plage d'adresses IP. La passerelle effectue également la DNAT sur les réponses aux paquets sortants.
Disponibilité
Cloud NAT est un service géré distribué et défini par logiciel. Il ne dépend d'aucune VM de votre projet, ni d'un seul appareil avec passerelle physique. Vous configurez une passerelle NAT sur un routeur Cloud Router, qui fournit le plan de contrôle pour NAT, contenant les paramètres de configuration que vous spécifiez. Google Cloud exécute et gère les processus sur les machines physiques qui exécutent vos VM Google Cloud.
Évolutivité
Cloud NAT peut être configuré pour effectuer un scaling automatique le nombre d'adresses IP NAT qu'il utilise et accepte les VM appartenant des groupes d'instances gérés, y compris les groupes autoscaling activé.
Performances
Cloud NAT ne réduit pas la bande passante réseau par VM. Cloud NAT est mis en œuvre par le réseau défini par logiciel Andromeda de Google. Pour plus d'informations, consultez la section Bande passante réseau de la documentation Compute Engine.
Logging
Pour le trafic Cloud NAT, vous pouvez tracer les connexions et la bande passante à des fins de conformité, de débogage, d'analyse et de comptabilité.
Monitoring
Cloud NAT expose des métriques clés à Cloud Monitoring, ce qui vous permet un aperçu de l'utilisation des passerelles NAT dans votre parc. Les métriques sont envoyées automatiquement à Cloud Monitoring. Vous pouvez y créer des tableaux de bord personnalisés, configurer des alertes et les métriques de requête.
Interaction avec les produits
Pour en savoir plus sur les interactions importantes entre Cloud NAT et d'autres produits Google Cloud, consultez Interactions avec les produits Cloud NAT
Étape suivante
- Découvrez les interactions avec les produits Cloud NAT.
- Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
- Configurez une passerelle Public NAT.
- Découvrez les règles Cloud NAT.
- Configurez une passerelle NAT privée.
- Résolvez les problèmes courants.
- En savoir plus sur les tarifs de Cloud NAT