Ringkasan Cloud NAT
Cloud NAT adalah evolusi konfigurasi keluar default project. Cloud NAT adalah layanan zonal dengan cakupan project yang terbatas pada traffic IPv4, dan menyediakan fitur berikut:
- Beberapa gateway per project yang dapat mengirimkan traffic keluar dari berbagai set endpoint.
- Beberapa IP keluar yang dapat dikonfigurasi per gateway.
- Beberapa pemilih label endpoint yang dapat dikonfigurasi per gateway.
- Waktu tunggu koneksi yang dapat dikonfigurasi per gateway.
- Keandalan yang lebih tinggi dan radius kegagalan yang lebih rendah jika terjadi kegagalan node keluar.
Diagram berikut menggambarkan contoh ringkasan untuk Cloud NAT. Setiap gateway mengirimkan semua traffic yang ditujukan ke IP non-internal dari endpoint dari pod atau VM (dalam project yang sama dengan gateway) yang memiliki semua label dalam pemilih label gateway (cocok AND). Endpoint di project yang berbeda atau yang tidak sepenuhnya cocok dengan pemilih label tidak dapat mengirimkan traffic keluar melalui gateway. Gateway akan menetapkan salah satu IP keluarannya secara statis ke setiap endpoint yang mengirimkan traffic keluar melalui gateway tersebut. IP dari subnet leaf digunakan untuk menentukan kumpulan IP keluar yang dapat digunakan oleh setiap gateway Cloud NAT.
Misalnya, jika pod di project-1, dengan label app:aa, dan dengan IP 192.168.0.1 mengirimkan paket dengan IP tujuan 22.22.22.22, paket tersebut akan diarahkan ke gateway Cloud NAT. Gateway akan menukar IP sumber dengan
IP keluar yang ditetapkan ke endpoint pod (34.1.22.1), dan meneruskannya ke
VRF data. Jika respons kembali dari VRF tersebut, VRF akan melakukan operasi
terbalik dan meneruskan paket yang dihasilkan ke endpoint pod. Mekanisme yang sama akan diterapkan pada VM dalam project dan label tersebut.
Secara default, koneksi keluar yang dibuat melalui gateway Cloud NAT akan memiliki waktu tunggu berikut. Aturan ini dapat dikonfigurasi secara manual jika diperlukan.
Waktu tunggu |
Nilai default (detik) |
Koneksi non-TCP |
60 |
Koneksi TCP yang tidak ada aktivitas |
8000 |
Penghapusan koneksi TCP |
10 |
Pembentukan koneksi TCP |
60 |
Batasan
- Setiap endpoint hanya dapat keluar melalui satu gateway Cloud NAT menggunakan satu alamat IP keluar. Alamat IP ini ditetapkan secara otomatis oleh gateway ke setiap endpoint. Penetapan ini tidak akan berubah kecuali jika konfigurasi endpoint atau gateway berubah.
- Untuk memastikan bahwa perutean antara endpoint dan gateway bersifat deterministik, gateway Cloud NAT tidak boleh memiliki pemilih label yang tumpang-tindih, dan endpoint tidak boleh memiliki label yang cocok dengan beberapa gateway.
- Jika endpoint juga memiliki rute dari gateway VPN, rute tersebut akan lebih diutamakan daripada rute dari gateway Cloud NAT.
Batas skala
- Jumlah maksimum alamat IP keluar per project adalah 100. Jika subnet yang ditetapkan ke Gateway Cloud NAT melebihi 100, hanya 100 IP pertama yang akan digunakan oleh gateway.
- Jumlah maksimum koneksi paralel per IP keluar per protokol ke IP & port tujuan tertentu dibatasi hingga 32 ribu. Jika melebihi batas ini, koneksi akan gagal.
- Jumlah maksimum pemetaan NAT adalah 1k per VPC per zona. Satu pemetaan dibuat untuk setiap endpoint yang ditetapkan ke setiap gateway Cloud NAT. Karena satu endpoint hanya dapat ditetapkan ke satu gateway NAT, jumlah maksimum endpoint yang dapat menggunakan Cloud NAT di zona adalah 1.000. Pemetaan NAT TIDAK diskalakan dengan jumlah koneksi.
Perilaku failover
Jika node keluar tidak tersedia, gateway Cloud NAT yang menggunakan node keluar tersebut akan otomatis memigrasikan IP eksternalnya dari node yang tidak tersedia ke node keluar lain yang tersedia. Kemudian, gateway akan mengonfigurasi ulang sistem untuk keluar dari traffic menggunakan node lain yang tersedia. Setelah rekonfigurasi selesai, endpoint yang menggunakan node yang tidak tersedia akan dapat membuat ulang koneksi keluar.