Panoramica di Cloud NAT

Cloud NAT (Network Address Translation) consente a determinate risorse in Google Cloud di creare connessioni in uscita verso internet o verso altre reti Virtual Private Cloud (VPC). Cloud NAT supporta la traduzione degli indirizzi solo per i pacchetti di risposta in entrata stabiliti. Non consente connessioni in entrata non richieste.

Cloud NAT fornisce connettività in uscita per le seguenti risorse:

Tipi di Cloud NAT

In Google Cloud, puoi utilizzare Cloud NAT per creare gateway NAT che consentono alle istanze in una subnet privata di connettersi a risorse esterne alla tua rete VPC.

Se utilizzi un gateway NAT, puoi abilitare i seguenti tipi di NAT:

NAT pubblico

Il NAT pubblico consente alle risorse Google Cloud che non hanno indirizzi IP pubblici di comunicare con internet. Queste VM utilizzano un insieme di indirizzi IP pubblici condivisi per connettersi a internet. La NAT pubblica non si basa sulle VM proxy. Un gateway NAT pubblico assegna invece un insieme di indirizzi IP esterni e porte di origine a ogni VM che lo utilizza per creare connessioni in uscita verso internet.

Considera uno scenario in cui VM-1 in subnet-1 la cui interfaccia di rete non ha un indirizzo IP esterno. Tuttavia, VM-1 deve connettersi a internet per scaricare aggiornamenti critici. Per abilitare la connettività a internet, puoi creare un gateway NAT pubblico configurato per l'applicazione all'intervallo di indirizzi IP subnet-1. Ora VM-1 può inviare traffico a internet utilizzando l'indirizzo IP interno di subnet-1.

Per ulteriori informazioni su Public NAT, consulta le specifiche relative a Public NAT.

NAT privato

Il NAT privato consente traduzioni da private a privato sulle reti Google Cloud. NAT tra VPC, un'offerta per NAT privato, consente di creare un gateway NAT privato che funziona in congiunzione con Network Connectivity Center per eseguire la NAT tra reti Virtual Private Cloud. Per configurare il NAT inter-VPC tra reti VPC, ogni rete VPC deve essere configurata come spoke VPC (anteprima) in un hub di Network Connectivity Center. Il gateway NAT privato utilizza un indirizzo IP NAT da una subnet NAT privata al traffico NAT tra le risorse collegate a un hub di Network Connectivity Center.

Supponiamo che le risorse nella tua rete VPC debbano comunicare con le risorse in una rete VPC di proprietà di un'entità aziendale diversa. Tuttavia, la rete VPC di tale entità aziendale contiene subnet i cui indirizzi IP si sovrappongono a quelli della rete VPC. In questo scenario, creerai un gateway NAT privato che instrada il traffico tra le subnet nella tua rete VPC e le subnet non sovrapposte dell'entità aziendale.

Per ulteriori informazioni sul Private NAT, consulta le specifiche del Private NAT.

Architettura

Cloud NAT è un servizio gestito e distribuito, definito dal software. Non si basa su VM o appliance proxy. Cloud NAT configura il software Andromeda su cui si basa la rete VPC (Virtual Private Cloud) in modo da fornire la traduzione degli Network Address Translation (NAT o SNAT di origine) per le risorse. Cloud NAT fornisce inoltre la funzionalità di traslazione dell'indirizzo di rete di destinazione (NAT o DNAT di destinazione) per i pacchetti di risposta in entrata stabiliti.

NAT tradizionale e Cloud NAT.
Confronto tra NAT tradizionale e Cloud NAT (fai clic per ingrandire).

Vantaggi

Cloud NAT offre i seguenti vantaggi:

  • Sicurezza

    Quando utilizzi un gateway NAT pubblico, puoi ridurre la necessità di utilizzare singole VM in modo che ciascuna abbia un indirizzo IP esterno. Soggette alle regole firewall in uscita, le VM senza indirizzi IP esterni possono accedere alle destinazioni su internet. Ad esempio, potresti avere VM che necessitano dell'accesso a Internet solo per scaricare gli aggiornamenti o completare il provisioning.

    Se utilizzi l'assegnazione manuale degli indirizzi IP NAT per configurare un gateway NAT pubblico, puoi condividere con sicurezza un set di indirizzi IP di origine esterni comuni con una parte di destinazione. Ad esempio, un servizio di destinazione potrebbe consentire solo le connessioni da indirizzi IP esterni noti.

    Un gateway NAT privato non consente ad alcuna risorsa degli spoke VPC connessi di Network Connectivity Center (Anteprima) di avviare direttamente una connessione con le VM all'interno di subnet sovrapposte. Quando una VM in una configurazione NAT privata tenta di avviare una connessione con una VM in una rete spoke VPC di Network Connectivity Center, il gateway NAT privato esegue SNAT utilizzando gli indirizzi IP dell'intervallo NAT privato. Il gateway esegue anche il DNAT sulle risposte ai pacchetti in uscita.

  • Disponibilità

    Cloud NAT è un servizio distribuito e gestito dal software. Non dipende da nessuna VM nel progetto o da un singolo dispositivo gateway fisico. Puoi configurare un gateway NAT su un router Cloud, che fornisce il piano di controllo per NAT, tenendo i parametri di configurazione da te specificati. Google Cloud esegue e gestisce i processi sulle macchine fisiche che eseguono le tue VM Google Cloud.

  • Scalabilità

    Cloud NAT può essere configurato per scalare automaticamente il numero di indirizzi IP NAT che utilizza e supporta le VM che appartengono a gruppi di istanze gestite, inclusi i gruppi con la scalabilità automatica abilitata.

  • Prestazioni

    Cloud NAT non riduce la larghezza di banda di rete per VM. Cloud NAT è implementato dal networking software-defined di Google Andromeda. Per ulteriori informazioni, consulta Larghezza di banda di rete nella documentazione di Compute Engine.

  • Logging

    Per il traffico di Cloud NAT, puoi tracciare le connessioni e la larghezza di banda per scopi di conformità, debug, analisi e contabilità.

  • Monitoraggio

    Cloud NAT espone a Cloud Monitoring metriche chiave che forniscono informazioni sull'utilizzo dei gateway NAT nel tuo parco risorse. Le metriche vengono inviate automaticamente a Cloud Monitoring. Qui puoi creare dashboard personalizzate, configurare avvisi e eseguire query su metriche.

Interazioni con i prodotti

Per ulteriori informazioni sulle interazioni importanti tra Cloud NAT e altri prodotti Google Cloud, consulta Interazioni dei prodotti Cloud NAT.

Passaggi successivi