Cloud NAT 總覽
Cloud NAT 提供網路位址轉譯 (NAT) 功能,可將傳出流量連至網際網路、虛擬私有雲 (VPC) 網路、內部部署網路和其他雲端服務供應商網路。
Cloud NAT 會為下列資源轉譯位址:
- Compute Engine 虛擬機器 (VM) 執行個體
- Google Kubernetes Engine (GKE) 叢集
- Cloud Run 執行個體
- Cloud Run functions 執行個體
- App Engine 標準環境執行個體
- 區域性網際網路網路端點群組 (NEG)
Cloud NAT 僅支援已建立的傳入回應封包的位址轉譯。不允許未經要求的內送連線。
Cloud NAT 的類型
使用 Cloud NAT 閘道後, Google Cloud 資源就能連線至來源 VPC 網路以外的資源。
Cloud NAT 閘道支援下列 NAT 類型:
- Public NAT
- 私人 NAT
您可以同時使用公開 NAT 和私人 NAT,為虛擬私有雲網路中的同一個子網路提供 NAT 服務。
公開 NAT 或私人 NAT 的 Cloud NAT 閘道會將 IPv4 轉譯為 IPv4 位址。公開 NAT 也支援從 IPv6 到 IPv4 的 NAT (預先發布版)。
Public NAT
公開 NAT 可讓沒有外部 IPv4 位址的資源與網際網路上的 IPv4 目的地通訊。 Google Cloud 這些 VM 會使用一組共用外部 IP 位址連上網際網路。Cloud NAT 不依賴 Proxy VM。相反地,Cloud NAT 閘道會將一組外部 IP 位址和來源通訊埠分配給每個使用閘道建立連至網際網路的傳出連線的 VM。
請考慮以下情境:subnet-1 中的 VM-1 網路介面沒有外部 IP 位址。不過,VM-1 需要連上網際網路才能下載更新。如要啟用網際網路連線,您可以建立 Cloud NAT 閘道,並將其套用至 subnet-1 的 IP 位址範圍。VM-1 現在可以使用 subnet-1 的內部 IP 位址,將流量傳送至網際網路。
詳情請參閱「公開 NAT」。
私人 NAT
Private NAT 可為下列流量啟用私人對私人 NAT。
| 流量 | 說明 |
|---|---|
| 從一個 VPC 網路連線至另一個 VPC 網路 | Private NAT 支援私人對私人 NAT,適用於以虛擬私有雲輪輻連接至 Network Connectivity Center 中樞的虛擬私有雲網路。詳情請參閱「Network Connectivity Center 輪輻適用的 Private NAT」。 |
| 從虛擬私有雲網路傳送至 Google Cloud以外的網路 | Private NAT 支援在 VPC 網路與內部部署或其他雲端服務供應商網路之間傳輸流量時,採用下列選項:
|
請考慮以下情境: Google Cloud 虛擬私有雲網路中的資源需要與其他虛擬私有雲網路中的目的地通訊。不過,目的地網路包含的子網路 IP 位址與來源虛擬私有雲網路的 IP 位址重疊。在這種情況下,您會為 Private NAT 建立 Cloud NAT 閘道,以便在來源虛擬私有雲網路中的子網路,以及其他網路中不重疊的子網路之間轉譯流量。
詳情請參閱「私人 NAT」。
支援的資源
下表列出各類型 Cloud NAT 支援的 Google Cloud 資源。勾號表示支援該資源。
| 資源 | Public NAT | 私人 NAT |
|---|---|---|
| Compute Engine VM 執行個體 | ||
| GKE 叢集 | ||
| Cloud Run、Cloud Run 函式和 App Engine 標準環境1 | (預覽) | |
| 區域性網際網路 NEG | 不適用 |
- Cloud Run 執行個體 (服務和工作) 和 Cloud Run 函式執行個體,透過直接虛擬私有雲輸出 (建議) 或無伺服器虛擬私有雲存取
- 透過無伺服器虛擬私有雲存取存取 App Engine 標準環境執行個體
架構
Cloud NAT 是分散式軟體定義型代管服務,並非以 Proxy VM 或設備為基礎。Cloud NAT 會設定為虛擬私有雲 (VPC) 網路提供動力的 Andromeda 軟體,為資源提供來源網路位址轉譯 (來源 NAT 或 SNAT)。Cloud NAT 也為已建立的傳入回應封包提供目的地網路位址轉譯 (目的地 NAT 或 DNAT)。
優點
Cloud NAT 具備下列優點:
安全性
使用 Cloud NAT 閘道進行公開 NAT 時,您可以減少個別 VM 需要外部 IP 位址的需求。根據輸出防火牆規則,沒有外部 IP 位址的 VM 可以存取網際網路上的目的地。舉例來說,您可能有 VM 只需要連上網際網路,才能下載更新或完成佈建作業。
如果您使用手動 NAT IP 位址指派功能設定公開 NAT 的 Cloud NAT 閘道,就能放心與目的方分享一組常見的外部來源 IP 位址。舉例來說,目的地服務可能只允許來自已知外部 IP 位址的連線。
Private NAT 可在虛擬私有雲網路之間,或在虛擬私有雲與地端部署網路或其他雲端服務供應商網路之間,啟用私人對私人 NAT。設定私人 NAT 後,Cloud NAT 閘道會使用私人 NAT 子網路範圍中的 IP 位址執行 NAT。
適用情況
Cloud NAT 是分散式軟體定義型代管服務。不依賴專案中的任何 VM 或單一實體閘道裝置。您可以在 Cloud Router 上設定 NAT 閘道,該閘道會提供 NAT 的控制平面,並保留您指定的設定參數。 Google Cloud 會在執行 Google Cloud VM 的實體機器上執行及維護程序。
擴充性
您可以設定 Cloud NAT 自動調度使用的 NAT IP 位址數量,而且支援屬於受管理執行個體群組的 VM,包括已啟用自動調度資源的群組。
效能
Cloud NAT 不會降低每個 VM 的網路頻寬。Cloud NAT 是由 Google 的 Andromeda 軟體定義網路實作。詳情請參閱 Compute Engine 說明文件中的「網路頻寬」一節。
Logging
針對 Cloud NAT 流量,您可以追蹤連線和頻寬,以便進行法規遵循、偵錯、分析和記帳。
Monitoring
Cloud NAT 會將重要指標提供給 Cloud Monitoring,讓您深入瞭解車隊使用 NAT 閘道的情況。系統會自動將指標傳送至 Cloud Monitoring。您可以在其中建立自訂資訊主頁、設定快訊和查詢指標。
此外,網路分析器也會發布 Cloud NAT 深入分析。Network Analyzer 會自動監控 Cloud NAT 設定,偵測並產生這些洞察資料。
產品互動
如要進一步瞭解 Cloud NAT 與其他 Google Cloud 產品之間的重要互動,請參閱「Cloud NAT 產品互動」。
後續步驟
- 瞭解 Cloud NAT 產品互動。
- 瞭解 Cloud NAT 位址和通訊埠。
- 設定 Public NAT。
- 瞭解 Cloud NAT 規則。
- 設定 Private NAT。
- 排解常見問題。
- 瞭解 Cloud NAT 定價。