Présentation de Cloud NAT
Cloud NAT est l'évolution de la configuration de sortie par défaut du projet. Cloud NAT est un service zonal à portée de projet limité au trafic IPv4. Il offre les fonctionnalités suivantes :
- Plusieurs passerelles par projet peuvent faire sortir le trafic de différents ensembles de points de terminaison.
- Plusieurs adresses IP de sortie configurables par passerelle.
- Plusieurs sélecteurs de libellés de points de terminaison configurables par passerelle.
- Délais avant expiration des connexions configurables par passerelle.
- Fiabilité accrue et rayon d'impact réduit en cas de défaillance du nœud de sortie.
Le diagramme suivant illustre un exemple de présentation de Cloud NAT. Chaque passerelle fait sortir tout le trafic dirigé vers des adresses IP non internes à partir de points de terminaison de pods ou de VM (dans le même projet que la passerelle) qui comportent toutes les étiquettes du sélecteur d'étiquettes de la passerelle (correspondance AND). Les points de terminaison situés dans des projets différents ou qui ne correspondent pas entièrement au sélecteur d'étiquettes ne peuvent pas faire sortir le trafic via la passerelle. Les passerelles attribuent de manière statique l'une de leurs adresses IP de sortie à chaque point de terminaison qui fait sortir le trafic par leur intermédiaire. Les adresses IP des sous-réseaux feuilles sont utilisées pour spécifier l'ensemble des adresses IP de sortie que chaque passerelle Cloud NAT peut utiliser.
Par exemple, si un pod dans project-1, avec le libellé app:aa et l'adresse IP 192.168.0.1, émet un paquet avec l'adresse IP de destination 22.22.22.22, il sera dirigé vers la passerelle Cloud NAT. La passerelle remplacera l'adresse IP source par l'adresse IP de sortie attribuée au point de terminaison du pod (34.1.22.1) et la transmettra au VRF de données. Si une réponse est renvoyée par ce VRF, il effectue l'opération inverse et transfère le paquet résultant au point de terminaison du pod. Le même mécanisme s'appliquera aux VM de ce projet et de ce libellé.
Par défaut, les connexions sortantes créées via une passerelle Cloud NAT ont les délais d'expiration suivants. Vous pouvez les configurer manuellement si nécessaire.
Délai avant expiration |
Valeur par défaut (en secondes) |
Connexions non TCP |
60 |
Connexions TCP inactives |
8000 |
Fermeture des connexions TCP |
10 |
Établissement de la connexion TCP |
60 |
Limites
- Chaque point de terminaison ne peut sortir que par une seule passerelle Cloud NAT à l'aide d'une seule adresse IP de sortie. Cette adresse IP est automatiquement attribuée par la passerelle à chaque point de terminaison. Cette attribution ne changera que si la configuration du point de terminaison ou de la passerelle change.
- Pour que le routage entre les points de terminaison et les passerelles soit déterministe, les passerelles Cloud NAT ne doivent pas avoir de sélecteurs de libellés qui se chevauchent, et les points de terminaison ne doivent pas avoir de libellés correspondant à plusieurs passerelles.
- Si le point de terminaison comporte également des routes provenant de passerelles VPN, celles-ci seront prioritaires par rapport aux routes provenant de passerelles Cloud NAT.
Limites d'échelle
- Le nombre maximal d'adresses IP de sortie par projet est de 100. Si le nombre de sous-réseaux attribués à la passerelle Cloud NAT dépasse 100, seules les 100 premières adresses IP seront utilisées par la passerelle.
- Le nombre maximal de connexions parallèles par adresse IP de sortie et par protocole vers une adresse IP et un port de destination spécifiques est limité à 32 000. Si vous dépassez cette limite, les connexions échoueront.
- Le nombre maximal de mappages NAT est de 1 000 par VPC et par zone. Un mappage est créé pour chaque point de terminaison attribué à chaque passerelle Cloud NAT. Étant donné qu'un point de terminaison ne peut être attribué qu'à une seule passerelle NAT, le nombre maximal de points de terminaison pouvant utiliser Cloud NAT dans une zone est de 1 000. Les mappages NAT ne sont PAS mis à l'échelle en fonction du nombre de connexions.
Comportement de basculement
Si un nœud de sortie devient indisponible, les passerelles Cloud NAT qui l'utilisent migrent automatiquement leurs adresses IP externes du nœud indisponible vers d'autres nœuds de sortie disponibles. Les passerelles reconfigureront ensuite le système pour que le trafic de sortie utilise les autres nœuds disponibles. Une fois la reconfiguration terminée, les points de terminaison qui utilisaient le nœud indisponible pourront rétablir les connexions de sortie.