Présentation de Cloud NAT
Cloud NAT fournit la traduction d'adresse réseau (NAT) pour le trafic sortant vers Internet, les réseaux cloud privé virtuel (VPC), les réseaux sur site et les autres réseaux de fournisseurs cloud.
Cloud NAT fournit un NAT pour les ressources Google Cloud suivantes:
- Instances de machine virtuelle (VM) Compute Engine
- Clusters Google Kubernetes Engine (GKE)
- Instances Cloud Run
- Instances de fonctions Cloud Run
- Instances de l'environnement standard App Engine
- Groupes de points de terminaison du réseau Internet (NEG) régionaux
Cloud NAT n'est compatible qu'avec la traduction d'adresses pour les paquets de réponse entrants établis. Il n'autorise pas les connexions entrantes non sollicitées.
Types de Cloud NAT
Grâce à une passerelle Cloud NAT, vos Google Cloud ressources peuvent se connecter à des ressources en dehors du réseau VPC source.
Une passerelle Cloud NAT est compatible avec les types de NAT suivants:
- Public NAT
- NAT privé
Vous pouvez utiliser à la fois le NAT public et le NAT privé pour fournir des services NAT au même sous-réseau dans un réseau VPC.
Une passerelle Cloud NAT pour le NAT public ou le NAT privé traduit les adresses IPv4 en IPv4. Le NAT public est également compatible avec le NAT d'IPv6 vers IPv4 (preview).
Public NAT
Le NAT public permet aux ressources qui ne disposent pas d'adresses IPv4 externes de communiquer avec des destinations IPv4 sur Internet. Google Cloud Ces VM utilisent un ensemble d'adresses IP externes partagées pour se connecter à Internet. Cloud NAT ne repose pas sur des VM proxy. À la place, une passerelle Cloud NAT alloue un ensemble d'adresses IP externes et de ports sources à chaque VM qui utilise la passerelle pour créer des connexions sortantes vers Internet.
Imaginons un scénario dans lequel vous avez VM-1 dans subnet-1, dont l'interface réseau ne possède pas d'adresse IP externe. Toutefois, VM-1 doit se connecter à Internet pour télécharger les mises à jour. Pour activer la connectivité à Internet, vous pouvez créer une passerelle Cloud NAT configurée pour s'appliquer à la plage d'adresses IP de subnet-1. VM-1 peut désormais envoyer du trafic sur Internet à l'aide de l'adresse IP interne de subnet-1.
Pour en savoir plus, consultez la section NAT public.
NAT privé
Private NAT permet le NAT privé-privé pour le trafic suivant.
| Trafic | Description |
|---|---|
| D'un réseau VPC à un autre réseau VPC | Private NAT est compatible avec le NAT privé-à-privé pour les réseaux VPC associés en tant que spokes VPC à un hub Network Connectivity Center. Pour en savoir plus, consultez la section Private NAT pour les spokes Network Connectivity Center. |
| Depuis un réseau VPC vers un réseau en dehors de Google Cloud | Private NAT prend en charge les options suivantes pour le trafic entre les réseaux VPC et les réseaux sur site ou d'autres réseaux de fournisseurs de services cloud :
|
Supposons que vos ressources Google Cloud dans un réseau VPC doivent communiquer avec des destinations dans un VPC, sur site ou dans un autre réseau de fournisseur cloud appartenant à une autre unité commerciale. Toutefois, le réseau de destination contient des sous-réseaux dont les adresses IP chevauchent celles de votre réseau VPC. Dans ce scénario, vous créez une passerelle Cloud NAT pour Private NAT qui traduit le trafic entre les sous-réseaux de votre réseau VPC vers les sous-réseaux non chevauchants de l'autre réseau.
Pour en savoir plus, consultez la section NAT privé.
Ressources compatibles
Le tableau suivant répertorie les ressources Google Cloud compatibles avec chaque type de Cloud NAT. La coche indique que la ressource est compatible.
| Ressource | Public NAT | NAT privé |
|---|---|---|
| Instances de VM Compute Engine | ||
| Clusters GKE | ||
| Cloud Run, fonctions Cloud Run et environnement standard App Engine1 | (aperçu) | |
| NEG Internet régionaux | Non applicable |
- Instances Cloud Run (services et jobs) et instances de fonctions Cloud Run via la sortie VPC directe (recommandée) ou l'accès au VPC sans serveur
- Instances de l'environnement standard App Engine via l'accès au VPC sans serveur
Architecture
Cloud NAT est un service géré distribué et défini par logiciel. Il n'est pas basé sur les VM ou les appareils de proxy. Cloud NAT configure le logiciel Andromeda qui alimente votre réseau de cloud privé virtuel (VPC), afin qu'il effectue la traduction des adresses réseau sources (NAT source ou SNAT) pour les ressources. Cloud NAT fournit également une traduction des adresses réseau de destination (NAT de destination ou DNAT) pour les paquets de réponses entrants établis.
Avantages
Cloud NAT offre les avantages suivants :
Sécurité
Lorsque vous utilisez une passerelle Cloud NAT pour le NAT public, vous pouvez réduire le besoin de chaque VM de disposer d'une adresse IP externe. Sous réserve des règles de pare-feu de sortie, les VM sans adresse IP externe peuvent accéder aux destinations sur Internet. Par exemple, vous avez peut-être des VM qui n'ont besoin que d'un accès Internet pour télécharger des mises à jour ou effectuer le provisionnement.
Si vous utilisez l'attribution manuelle d'adresses IP NAT pour configurer une passerelle Cloud NAT pour le NAT public, vous pouvez partager en toute confiance un ensemble d'adresses IP sources courantes avec une destination. Par exemple, un service de destination peut autoriser uniquement les connexions à partir d'adresses IP externes connues.
Private NAT permet de traduire des adresses privées vers des adresses privées entre des réseaux VPC ou entre des réseaux VPC et des réseaux sur site ou d'autres réseaux de fournisseurs de services cloud. Lorsque le NAT privé est configuré, la passerelle Cloud NAT effectue la NAT à l'aide des adresses IP de la plage de sous-réseau NAT privé.
Disponibilité
Cloud NAT est un service géré distribué et défini par logiciel. Il ne dépend d'aucune VM de votre projet, ni d'un seul appareil avec passerelle physique. Vous configurez une passerelle NAT sur un routeur Cloud Router, qui fournit le plan de contrôle pour NAT, contenant les paramètres de configuration que vous spécifiez. Google Cloud exécute et gère les processus sur les machines physiques qui exécutent vos Google Cloud VM.
Évolutivité
Cloud NAT peut être configuré pour effectuer le scaling automatique du nombre d'adresses IP NAT qu'il utilise. Il accepte les VM appartenant à des groupes d'instances gérés, y compris ceux avec l'autoscaling activé.
Performances
Cloud NAT ne réduit pas la bande passante réseau par VM. Cloud NAT est mis en œuvre par le réseau défini par logiciel Andromeda de Google. Pour plus d'informations, consultez la section Bande passante réseau de la documentation Compute Engine.
Logging
Pour le trafic Cloud NAT, vous pouvez tracer les connexions et la bande passante à des fins de conformité, de débogage, d'analyse et de facturation.
Monitoring
Cloud NAT expose des métriques clés à Cloud Monitoring qui vous donnent des insights sur l'utilisation des passerelles NAT par votre parc. Les métriques sont envoyées automatiquement à Cloud Monitoring. Vous pouvez y créer des tableaux de bord personnalisés, configurer des alertes et interroger les métriques.
De plus, Network Analyzer publie des insights sur Cloud NAT. Network Analyzer surveille automatiquement votre configuration Cloud NAT pour détecter et générer ces insights.
Interaction avec les produits
Pour en savoir plus sur les interactions importantes entre Cloud NAT et d'autres Google Cloud produits, consultez la section Interactions entre les produits Cloud NAT.
Étape suivante
- Découvrez les interactions entre les produits Cloud NAT.
- Obtenez plus d'informations sur les adresses et les ports Cloud NAT.
- Configurez Public NAT.
- Découvrez les règles Cloud NAT.
- Configurez le NAT privé.
- Résolvez les problèmes courants.
- En savoir plus sur les tarifs de Cloud NAT