Panoramica di Cloud NAT

Cloud NAT (Network Address Translation) consente a determinate risorse di Google Cloud di creare connessioni in uscita verso internet o altre reti Virtual Private Cloud (VPC), reti on-premise o qualsiasi altra rete di provider cloud. Cloud NAT supporta la traduzione degli indirizzi solo per i pacchetti di risposta in entrata stabiliti. Non consente connessioni in entrata non richieste.

Cloud NAT fornisce connettività in uscita per le seguenti risorse:

• Istanze di macchine virtuali (VM) Compute Engine
• Cluster Google Kubernetes Engine (GKE) privati
• Istanze Cloud Run tramite Accesso VPC serverless o Traffico VPC diretto
• Istanze Cloud Functions tramite accesso VPC serverless
• le istanze dell'ambiente standard di App Engine tramite l'accesso VPC serverless

Tipi di Cloud NAT

In Google Cloud, puoi utilizzare Cloud NAT per creare gateway NAT che consentono alle istanze in una subnet privata di connettersi alle risorse esterne alla tua rete VPC.

Utilizzando un gateway NAT, puoi abilitare i seguenti tipi di NAT:

• NAT pubblico
• NAT privato

Puoi avere gateway NAT pubblico e Private NAT che offrono servizi NAT nella stessa subnet in una rete VPC.

NAT pubblico

Il NAT pubblico consente alle risorse di Google Cloud che non hanno indirizzi IP pubblici di comunicare con internet. Queste VM usano un insieme di indirizzi IP pubblici condivisi per connettersi a internet. Public NAT non si basa su VM proxy. Invece, un gateway Public NAT alloca un insieme di indirizzi IP esterni e porte di origine a ogni VM che utilizza il gateway per creare connessioni in uscita a internet.

Considera uno scenario in cui hai VM-1 in subnet-1 la cui interfaccia di rete non ha un indirizzo IP esterno. Tuttavia, VM-1 deve connettersi a internet per scaricare aggiornamenti critici. Per abilitare la connettività a internet, puoi creare un gateway Public NAT configurato per essere applicato all'intervallo di indirizzi IP di subnet-1. Ora VM-1 può inviare traffico a internet utilizzando l'indirizzo IP interno di subnet-1.

Per ulteriori informazioni su Public NAT, vedi le specifiche del Public NAT.

NAT privato

Private NAT abilita le traduzioni da private a private per i seguenti casi d'uso:

• Inter-VPC NAT: consente di creare un gateway Private NAT per eseguire NAT tra le reti VPC configurate come spoke VPC in un hub di Network Connectivity Center. Il gateway utilizza un indirizzo IP NAT di una subnet NAT privata per eseguire la traduzione NAT sul traffico tra le risorse collegate all'hub di Network Connectivity Center.

• NAT ibrido (anteprima): consente di creare un gateway Private NAT che esegue la NAT sul traffico tra reti VPC e reti on-premise o qualsiasi altra rete di provider di servizi cloud connessa tramite prodotti di connettività ibrida aziendali di Google Cloud come Cloud VPN.

Supponiamo che le risorse nella tua rete VPC debbano comunicare con le risorse in una rete VPC o in una rete on-premise o di un altro cloud provider di proprietà di un'entità aziendale diversa. Tuttavia, la rete VPC dell'entità aziendale contiene subnet i cui indirizzi IP si sovrappongono agli indirizzi IP della rete VPC. In questo scenario, crei un gateway Private NAT che instrada il traffico tra le subnet nella tua rete VPC alle subnet non sovrapposte di quell'entità aziendale.

Per ulteriori informazioni su Private NAT, vedi Private NAT.

Architettura

Cloud NAT è un servizio gestito distribuito e software-defined. Non si basa su VM o appliance proxy. Cloud NAT configura il software Andromeda utilizzato per la rete Virtual Private Cloud (VPC) in modo da fornire la traduzione degli Network Address Translation (NAT di origine o SNAT) per le risorse. Cloud NAT fornisce anche la Network Address Translation di destinazione (NAT di destinazione o DNAT) per i pacchetti di risposta in entrata stabiliti.

Vantaggi

Cloud NAT offre i seguenti vantaggi:

• Sicurezza

  Quando utilizzi un gateway Public NAT, puoi ridurre la necessità di singole VM con indirizzi IP esterni. Soggette alle regole firewall in uscita, le VM senza indirizzi IP esterni possono accedere alle destinazioni su internet. Ad esempio, potresti avere VM che hanno bisogno dell'accesso a internet solo per scaricare aggiornamenti o per completare il provisioning.

  Se utilizzi l'assegnazione manuale degli indirizzi IP NAT per configurare un gateway Public NAT, puoi condividere con sicurezza un set di indirizzi IP di origine esterni comuni con una parte di destinazione. Ad esempio, un servizio di destinazione potrebbe consentire solo connessioni da indirizzi IP esterni noti.

  Quando una VM in una configurazione Private NAT tenta di avviare una connessione con una VM in un'altra rete, il gateway Private NAT esegue la funzione SNAT utilizzando gli indirizzi IP dell'intervallo Private NAT. Il gateway esegue anche il DNAT sulle risposte ai pacchetti in uscita.

• Disponibilità

  Cloud NAT è un servizio gestito, distribuito e software-defined. Non dipende da nessuna VM nel progetto o da un singolo dispositivo gateway fisico. Configuri un gateway NAT su un router Cloud, che fornisce il piano di controllo per NAT e contiene i parametri di configurazione da te specificati. Google Cloud esegue e gestisce i processi sulle macchine fisiche che eseguono le VM di Google Cloud.

• Scalabilità

  Cloud NAT può essere configurato per scalare automaticamente il numero di indirizzi IP NAT che utilizza e supporta le VM che appartengono a gruppi di istanze gestite, inclusi i gruppi in cui è abilitata la scalabilità automatica.

• Prestazioni

  Cloud NAT non riduce la larghezza di banda di rete per VM. Il servizio Cloud NAT è implementato dalla networking software-defined di Google per Andromeda. Per ulteriori informazioni, consulta Larghezza di banda di rete nella documentazione di Compute Engine.

• Logging

  Per il traffico di Cloud NAT, puoi tracciare le connessioni e la larghezza di banda per scopi di conformità, debug, analisi e contabilità.

• Monitoraggio

  Cloud NAT espone a Cloud Monitoring le metriche chiave, che forniscono informazioni dettagliate sull'utilizzo dei gateway NAT da parte del parco risorse. Le metriche vengono inviate automaticamente a Cloud Monitoring. Qui puoi creare dashboard personalizzate, configurare avvisi e metriche di query.

Interazioni con i prodotti

Per ulteriori informazioni sulle interazioni importanti tra Cloud NAT e altri prodotti Google Cloud, consulta Interazioni con i prodotti Cloud NAT.

Passaggi successivi

• Scopri di più sulle interazioni con i prodotti Cloud NAT.
• Scopri di più su indirizzi e porte Cloud NAT.
• Configura un gateway Public NAT.
• Scopri di più sulle regole Cloud NAT.
• Configura un gateway NAT privato.
• Risolvi i problemi comuni.
• Scopri di più sui prezzi di Cloud NAT.