Panoramica di Cloud NAT
Cloud NAT provides network address translation (NAT) for outbound traffic to the internet, Virtual Private Cloud (VPC) networks, on-premises networks, and other cloud provider networks.
Cloud NAT traduce gli indirizzi per le seguenti risorse:
- Istanze di macchine virtuali (VM) di Compute Engine
Cluster di Google Kubernetes Engine (GKE)
Cloud Run istanze
Gruppi di endpoint di rete (NEG) internet a livello di regione
La NAT viene applicata automaticamente alle risorse che corrispondono alla configurazione di Cloud NAT dopo aver creato un gateway Cloud NAT e averlo configurato per gestire le subnet in cui vengono eseguite queste risorse.
Cloud NAT supporta la traduzione degli indirizzi solo per i pacchetti di risposta in entrata stabiliti. Non consente connessioni in entrata non richieste.
Tipi di Cloud NAT
Configura Cloud NAT creando un gateway Cloud NAT nella regione delle subnet che richiedono NAT. Il gateway gestisce quindi ogni subnet specificata nella sua configurazione.
Cloud NAT supporta due tipi di NAT:
- Public NAT
- Private NAT
Un singolo gateway Cloud NAT fornisce Public NAT o Private NAT. Creando due gateway separati, puoi utilizzare entrambi i tipi di NAT per gestire la stessa subnet.
Sia Public NAT sia Private NAT possono tradurre gli indirizzi da IPv4 a IPv4 e da IPv6 a IPv4.
Public NAT
Public NAT consente alle Google Cloud risorse che non dispongono di indirizzi IPv4 esterni di comunicare con le destinazioni IPv4 su internet. Queste VM utilizzano un insieme di indirizzi IP esterni condivisi per connettersi a internet. Cloud NAT non si basa su VM proxy. Un gateway Cloud NAT alloca invece un insieme di indirizzi IP esterni e porte di origine a ogni VM che utilizza il gateway per creare connessioni in uscita a internet.
Considera uno scenario in cui hai VM-1 in subnet-1 la cui interfaccia di rete non ha un indirizzo IP esterno. Tuttavia, VM-1 deve connettersi a internet per scaricare gli aggiornamenti. Per abilitare la connettività a internet, puoi creare un gateway Cloud NAT configurato per applicarsi all'intervallo di indirizzi IP di subnet-1. Ora, VM-1 può inviare traffico a internet utilizzando l'indirizzo IP interno di subnet-1.
Per saperne di più, consulta Public NAT.
Private NAT
Private NAT consente la traduzione degli indirizzi private-to-private per le seguenti destinazioni.
| Destinazione | Descrizione |
|---|---|
| Un'altra rete VPC rete | Private NAT supporta NAT per reti VPC collegate a un hub Network Connectivity Center. Per saperne di più consulta: |
| La stessa rete VPC | Private NAT supporta NAT per il traffico IPv6 all'interno della stessa rete VPC (anteprima). Per saperne di più, consulta NAT64 in Private NAT. |
| Rete on-premise o di un altro provider cloud | Private NAT supporta le seguenti opzioni per il traffico tra le reti VPC e le reti on-premise o di altri provider cloud:
|
Se la tua rete VPC ha subnet IPv4 che si sovrappongono alla rete di destinazione, puoi utilizzare Private NAT per abilitare la comunicazione tra le reti. Il gateway NAT traduce il traffico di origine in indirizzi IP univoci, consentendo alle tue Google Cloud risorse di connettersi a qualsiasi subnet non sovrapposta della rete di destinazione.
Per saperne di più, consulta Private NAT.
Risorse supportate
La tabella seguente elenca le Google Cloud risorse supportate da ogni tipo di Cloud NAT. Il segno di spunta indica che la risorsa è supportata.
| Risorsa | Public NAT | Private NAT |
|---|---|---|
| Istanze VM di Compute Engine | ||
| Cluster GKE | ||
| Cloud Run, Cloud Run Functions e App Engine1 | ||
| NEG internet a livello di regione | Non applicabile |
- Istanze di Cloud Run (servizi e job) e istanze di Cloud Run Functions tramite il traffico in uscita VPC diretto (opzione consigliata) o l'accesso VPC serverless
- Istanze dell'ambiente standard di App Engine tramite l'accesso VPC serverless
Architettura
Cloud NAT è un servizio gestito distribuito e software-defined. Non si basa su VM o appliance proxy. Cloud NAT configura il software Andromeda che alimenta la rete Virtual Private Cloud (VPC) in modo che fornisca la Network Address Translation di origine (source NAT o SNAT) per le risorse. Cloud NAT fornisce anche la Network Address Translation di destinazione (destination NAT o DNAT) per i pacchetti di risposta in entrata stabiliti.
Vantaggi
Cloud NAT offre i seguenti vantaggi:
Sicurezza
Quando utilizzi un gateway Cloud NAT per Public NAT, puoi ridurre la necessità che ogni VM abbia indirizzi IP esterni. In base alle regole firewall in uscita, le VM senza indirizzi IP esterni possono accedere alle destinazioni su internet. Ad esempio, potresti avere VM che richiedono l'accesso a internet solo per scaricare gli aggiornamenti o completare il provisioning.
Se utilizzi l'assegnazione manuale degli indirizzi IP NAT per configurare un gateway Cloud NAT per Public NAT, puoi condividere con sicurezza un insieme di indirizzi IP di origine esterni comuni con una parte di destinazione. Ad esempio, un servizio di destinazione potrebbe consentire solo le connessioni da indirizzi IP esterni noti.
Private NAT consente la NAT private-to-private tra le reti VPC o tra le reti VPC e on-premise o di altri provider cloud. Quando Private NAT è configurato, il gateway Cloud NAT esegue la NAT utilizzando gli indirizzi IP dell'intervallo di subnet Private NAT.
Disponibilità
Cloud NAT è un servizio gestito distribuito e software-defined. Non dipende da alcuna VM nel tuo progetto o da un singolo dispositivo gateway fisico. Configuri un gateway NAT su un router Cloud, che fornisce il piano di controllo per NAT, contenendo i parametri di configurazione specificati. Google Cloud Esegue e gestisce i processi sulle macchine fisiche che eseguono le tue Google Cloud VM.
Scalabilità
Cloud NAT può essere configurato per scalare automaticamente il numero di indirizzi IP NAT utilizzati e supporta le VM che appartengono a gruppi di istanze gestite, inclusi i gruppi con scalabilità automatica abilitata.
Prestazioni
Cloud NAT non riduce la larghezza di banda della rete per VM. Cloud NAT viene implementato dal networking software-defined Andromeda di Google. Per ulteriori informazioni, vedi Larghezza di banda della rete nella documentazione di Compute Engine.
Logging
Per il traffico Cloud NAT, puoi monitorare le connessioni e la larghezza di banda per scopi di conformità, debug, analisi e contabilità.
Monitoraggio
Cloud NAT espone le metriche chiave a Cloud Monitoring, che ti forniscono informazioni sull'utilizzo dei gateway NAT da parte della tua flotta. Le metriche vengono inviate automaticamente a Cloud Monitoring. Lì puoi creare dashboard personalizzate, configurare avvisi ed eseguire query sulle metriche.
Inoltre, Network Analyzer pubblica gli insight di Cloud NAT. Network Analyzer monitora automaticamente la configurazione di Cloud NAT per rilevare e generare questi insight.
Interazioni con il prodotto
Per saperne di più sulle interazioni importanti tra Cloud NAT e altri Google Cloud prodotti, consulta Interazioni con il prodotto Cloud NAT.
Passaggi successivi
- Scopri di più sulle interazioni con il prodotto Cloud NAT
- Scopri di più su indirizzi IP e porte
- Configura e gestisci la Network Address Translation con Public NAT
- Scopri di più sulle regole di Cloud NAT
- Configura e gestisci la Network Address Translation con Private NAT
- Risolvi i problemi di configurazione
- Scopri di più sui prezzi di Cloud NAT