Vista geral do Cloud NAT
O Cloud NAT é a evolução da configuração de saída predefinida do projeto. O Cloud NAT é um serviço zonal ao nível do projeto limitado ao tráfego IPv4 e oferece as seguintes funcionalidades:
- Vários gateways por projeto que podem enviar tráfego de diferentes conjuntos de pontos finais.
- Vários IPs de saída configuráveis por gateway.
- Vários seletores de etiquetas de pontos finais configuráveis por gateway.
- Limites de tempo da ligação configuráveis por gateway.
- Maior fiabilidade e menor raio de impacto em caso de falha do nó de saída.
O diagrama seguinte ilustra um exemplo de vista geral do Cloud NAT. Cada gateway envia todo o tráfego direcionado para IPs não internos a partir de pontos finais de pods ou VMs (no mesmo projeto que o gateway) que têm todas as etiquetas no seletor de etiquetas do gateway (correspondência AND). Os pontos finais em projetos diferentes ou que não correspondam totalmente ao seletor de etiquetas não podem enviar tráfego através do gateway. Os gateways atribuem estaticamente um dos respetivos IPs de saída a cada ponto final que envia tráfego através deles. Os IPs de sub-redes de folhas são usados para especificar o conjunto de IPs de saída que cada gateway NAT da nuvem pode usar.
Por exemplo, se um pod em project-1, com a etiqueta app:aa e com o IP 192.168.0.1, emitir um pacote com o IP de destino 22.22.22.22, este é direcionado para o gateway do Cloud NAT. O gateway troca o IP de origem pelo IP de saída atribuído ao ponto final do pod (34.1.22.1) e encaminha-o para o VRF de dados. Se receber uma resposta desse VRF, este realiza a operação inversa e encaminha o pacote resultante para o ponto final do pod. O mesmo mecanismo aplica-se às VMs nesse projeto e etiqueta.
Por predefinição, as ligações de saída criadas através de uma gateway do Cloud NAT têm os seguintes limites de tempo. Podem ser configurados manualmente, se necessário.
Intervalo de tempo |
Valor predefinido (segundos) |
Ligações não TCP |
60 |
Ligações TCP inativas |
8000 |
Encerramento de ligações TCP |
10 |
Estabelecimento de ligação TCP |
60 |
Limitações
- Cada ponto final só pode sair através de um gateway do Cloud NAT com um único endereço IP de saída. Este endereço IP é atribuído automaticamente p ao gateway a cada ponto final. Esta atribuição não se altera, a menos que a configuração do ponto final ou da porta de entrada seja alterada.
- Para garantir que o encaminhamento entre pontos finais e gateways é determinístico, os gateways NAT da nuvem não podem ter seletores de etiquetas sobrepostos, e os pontos finais não podem ter etiquetas que correspondam a vários gateways.
- Se o ponto final também tiver rotas de gateways de VPN, estas têm preferência sobre as rotas de gateways do Cloud NAT.
Limites de escala
- O número máximo de endereços IP de saída por projeto é 100. Se as sub-redes atribuídas ao gateway NAT da nuvem excederem 100, apenas os primeiros 100 IPs vão ser usados pelo gateway.
- O número máximo de ligações paralelas por IP de saída por protocolo a um IP e uma porta de destino específicos está limitado a 32 mil. Se exceder este limite, as ligações vão falhar.
- O número máximo de mapeamentos NAT é de 1000 por VPC por zona. É criada uma associação para cada ponto final atribuído a cada gateway NAT da nuvem. Uma vez que só é possível atribuir um endpoint a um único gateway NAT, o número máximo de endpoints que podem usar o Cloud NAT numa zona é de 1000. Os mapeamentos NAT NÃO são dimensionados com o número de ligações.
Comportamento de comutação por falha
Caso um nó de saída fique indisponível, os gateways de NAT na nuvem que usam esse nó de saída migram automaticamente os respetivos IPs externos do nó indisponível para outros nós de saída disponíveis. Em seguida, os gateways reconfiguram o sistema para o tráfego de saída através dos outros nós disponíveis. Quando a reconfiguração estiver concluída, os pontos finais que estavam a usar o nó indisponível vão poder restabelecer as ligações de saída.