Cloud NAT 概览
Cloud NAT 提供网络地址转换 针对互联网的出站流量 (NAT),虚拟私有云 (VPC) 本地网络、本地网络和其他云提供商网络。
Cloud NAT 为以下 Google Cloud 资源提供 NAT:
- Compute Engine 虚拟机 (VM) 实例
- 专用 Google Kubernetes Engine (GKE) 集群
- Cloud Run 实例 无服务器 VPC 访问通道或 直接 VPC 出站流量
- Cloud Run 函数实例 无服务器 VPC 访问通道
- 通过无服务器 VPC 访问通道的 App Engine 标准环境实例
Cloud NAT 仅支持已建立的入站响应数据包的地址转换功能。它不允许未经请求的入站连接。
Cloud NAT 的类型
在 Google Cloud 中,您使用 Cloud NAT 创建 NAT 网关, 专用子网中的实例会连接到 VPC 网络外部的资源。
使用 NAT 网关,您可以启用以下类型的 NAT:
- Public NAT
- 专用 NAT
您可以同时拥有 Public NAT 和 Private NAT 网关 为 VPC 网络中的同一子网提供 NAT 服务。
Public NAT
Public NAT 允许没有公共 IP 地址的 Google Cloud 资源与互联网进行通信。这些虚拟机使用一组 共享公共 IP 地址以连接到互联网。 Public NAT 不依赖于代理虚拟机。相反, 公共 NAT 网关分配一组外部 IP 发送到使用网关创建出站的每个虚拟机的地址和来源端口 连接互联网。
考虑以下场景:subnet-1
中有 VM-1
,其网络接口没有外部 IP 地址。不过,VM-1
需要连接到互联网才能
下载重要更新。如需启用互联网连接,您可以执行以下操作:
创建
公共 NAT
该网关配置为应用到
subnet-1
的地址范围。现在,VM-1
可以使用 subnet-1
的内部 IP 地址将流量发送到互联网。
如需详细了解Public NAT,请参阅 Public NAT。
专用 NAT
Private NAT 针对以下各项启用从专用到专用 NAT 功能 流量。
流量 | 说明 |
---|---|
从一个 VPC 网络到另一个 VPC 网络 | Private NAT 支持从专用 NAT 到专用 NAT, VPC 网络以 VPC 与 Network Connectivity Center hub 进行通信。如需了解详情,请参阅 用于 Network Connectivity Center spoke 的 Private NAT。 |
从 VPC 网络到 Google Cloud 外部的网络 | 专用 NAT 支持以下选项
VPC 网络与本地之间的流量
或其他云服务提供商网络:
|
假设您的 VPC 网络中的资源需要 与 VPC 网络、本地部署或其他项目中的资源 其他业务部门拥有的云服务提供商网络 但是,该网络包含的子网的 IP 地址与 IP 地址重叠 您的 VPC 网络地址。在这种情况下,您需要创建一个 一个专用 NAT 网关,可在以下位置的子网之间转换流量: 连接到另一个 VPC 网络的非重叠子网 。
如需详细了解 Private NAT,请参阅 Private NAT。
架构
Cloud NAT 是一种软件定义的分布式代管式服务。它并非基于代理虚拟机或设备。Cloud NAT 会将 Andromeda 软件 可为 Virtual Private Cloud (VPC) 网络提供支持, 用于资源的来源网络地址转换(来源 NAT 或 SNAT)。此外,Cloud NAT 还会对建立的入站响应数据包执行目标网络地址转换(目标 NAT 或 DNAT)。
优势
Cloud NAT 具有以下优势:
安全性
使用Public NAT 网关时,您可以减少各个虚拟机对外部 IP 地址的需求。根据出站防火墙规则,没有外部 IP 地址的虚拟机可以访问互联网上的目标。例如,您的虚拟机可能只需访问互联网即可下载更新或完成预配。
如果您使用手动 NAT IP 地址分配来配置 Public NAT 网关,则可以放心地与目标方共享一组常用的外部来源 IP 地址。例如,目标服务可能只允许来自已知外部 IP 地址的连接。
Private NAT 网关不允许来自 Network Connectivity Center 连接的 VPC Spoke 的任何资源直接启动与重叠子网内的虚拟机的连接。当专用 NAT 配置中的虚拟机尝试发起与 另一个网络中的虚拟机(专用 NAT) 网关使用专用 NAT 中的 IP 地址执行 SNAT 范围。网关还会对对出站数据包的响应执行 DNAT。
可用性
Cloud NAT 是一种软件定义的分布式代管式服务。它既不依赖于项目中的任何虚拟机,也不依赖于单个物理网关设备。您可以在 Cloud Router 路由器上配置 NAT 网关,以便为 NAT 提供控制平面,并保存您指定的配置参数。Google Cloud 可在运行 Google Cloud 虚拟机的物理机器上运行和维护进程。
可伸缩性
您可配置 Cloud NAT 来自动扩缩其使用的 NAT IP 地址数量,Cloud NAT 还支持属于代管式实例组的虚拟机,包括已启用自动扩缩的实例组。
性能
Cloud NAT 不会降低每个虚拟机的网络带宽。Cloud NAT 可直接与 Google 的 Andlomeda 软件定义网络配合使用。如需了解详情,请参阅 Compute Engine 文档中的网络带宽。
Logging
对于 Cloud NAT 流量,您可以跟踪 合规性、调试、分析和会计目的。
监控
Cloud NAT 向 Cloud Monitoring 提供关键指标,可让您深入了解机群的 NAT 网关使用情况。系统会自动将指标发送至 Cloud Monitoring。在这里,您可以创建自定义信息中心、设置提醒以及查询指标。
产品交互
如需详细了解 Cloud NAT 与其他 Google Cloud 产品之间的重要交互,请参阅 Cloud NAT 产品交互。
后续步骤
- 了解 Cloud NAT 产品交互。
- 了解 Cloud NAT 地址和端口。
- 设置 Public NAT 网关。
- 了解 Cloud NAT 规则。
- 设置 Private NAT 网关。
- 排查常见问题。
- 了解 Cloud NAT 价格。