Cloud NAT

Cloud NAT の概要

Cloud NAT は、プロジェクトのデフォルトの下り(外向き)構成の進化形です。Cloud NAT は、IPv4 トラフィックに限定されたプロジェクト スコープのゾーン サービスであり、次の機能を提供します。

  • プロジェクトごとに複数のゲートウェイ。異なるエンドポイント セットからトラフィックを送信できます。
  • ゲートウェイごとに複数の構成可能な下り(外向き)IP。
  • ゲートウェイごとに複数の構成可能なエンドポイント ラベル セレクタ。
  • ゲートウェイごとに構成可能な接続タイムアウト。
  • エグレスノードの障害発生時の信頼性が向上し、影響範囲が縮小します。

次の図は、Cloud NAT の概要の例を示しています。各ゲートウェイは、ゲートウェイ ラベル セレクタ内のすべてのラベルを持つ(AND 一致)ポッドまたは VM(ゲートウェイと同じプロジェクト内)のエンドポイントから内部 IP 以外のアドレスに送信されるすべてのトラフィックを送信します。異なるプロジェクトにあるエンドポイントや、ラベルセレクタと完全に一致しないエンドポイントは、ゲートウェイを介してトラフィックを送信できません。ゲートウェイは、下り(外向き)トラフィックを通過する各エンドポイントに、下り(外向き)IP のいずれかを静的に割り当てます。リーフ サブネットの IP は、各 Cloud NAT ゲートウェイが使用できる下り(外向き)IP のセットを指定するために使用されます。

2 つのゲートウェイを介して接続する複数のエンドポイントを示すデプロイ例

たとえば、ラベル app:aa と IP 192.168.0.1 を持つ project-1 の Pod が宛先 IP 22.22.22.22 のパケットを発行すると、Cloud NAT ゲートウェイに転送されます。ゲートウェイは、送信元 IP を Pod のエンドポイント(34.1.22.1)に割り当てられた下り(外向き)IP に置き換え、データ VRF に転送します。その VRF から返信が届くと、逆のオペレーションを実行し、結果のパケットを Pod のエンドポイントに転送します。同じメカニズムが、そのプロジェクトとラベルの VM に適用されます。

外部に公開された個別の IP アドレスを示すデプロイ例の詳細

デフォルトでは、Cloud NAT ゲートウェイを介して作成された下り(外向き)接続には次のタイムアウトが設定されます。必要に応じて手動で構成できます。

タイムアウト

デフォルト値(秒)

非 TCP 接続

60

アイドル状態の TCP 接続

8000

TCP 接続の切断

10

TCP 接続の確立

60

制限事項

  • 各エンドポイントは、単一の下り(外向き)IP アドレスを使用して、単一の Cloud NAT ゲートウェイを介してのみ下り(外向き)できます。この IP アドレスは、ゲートウェイによって各エンドポイントに自動的に割り当てられます。この割り当ては、エンドポイントまたはゲートウェイの構成が変更されない限り変更されません。
  • エンドポイントとゲートウェイ間のルーティングを決定論的にするには、Cloud NAT ゲートウェイのラベルセレクタが重複しないようにし、エンドポイントに複数のゲートウェイと一致するラベルがないようにする必要があります。
  • エンドポイントに VPN ゲートウェイからのルートもある場合、Cloud NAT ゲートウェイからのルートよりも優先されます。

スケールの上限

  • プロジェクトあたりの下り(外向き)IP アドレスの最大数は 100 です。Cloud NAT ゲートウェイに割り当てられたサブネットが 100 を超える場合、ゲートウェイで使用されるのは最初の 100 個の IP のみです。
  • 特定の宛先 IP とポートへのプロトコルごとの下り(外向き)IP あたりの並列接続の最大数は 32k に制限されます。この上限を超えると、接続が失敗します。
  • NAT マッピングの最大数は、VPC、ゾーンあたり 1,000 です。各 Cloud NAT ゲートウェイに割り当てられたエンドポイントごとに 1 つのマッピングが作成されます。1 つのエンドポイントを割り当てることができる NAT ゲートウェイは 1 つのみであるため、ゾーンで Cloud NAT を使用できるエンドポイントの最大数は 1, 000 です。NAT マッピングは接続数に応じてスケーリングされません。

フェイルオーバーの動作

下り(外向き)ノードが使用できなくなった場合、その下り(外向き)ノードを使用している Cloud NAT ゲートウェイは、使用できないノードから他の使用可能な下り(外向き)ノードに外部 IP を自動的に移行します。ゲートウェイは、他の使用可能なノードを使用してトラフィックを送信するようにシステムを再構成します。再構成が完了すると、使用できないノードを使用していたエンドポイントは、下り(外向き)接続を再確立できるようになります。