概要
ネットワーク アドレス変換(NAT)設定は、プライベート インターネット プロトコル(IP)アドレスを持つインスタンスがインターネットや他のネットワークと通信する方法を制御する構成を指します。Google Distributed Cloud(GDC)エアギャップは、外部ネットワークにアクセスするときに、仮想マシンとコンテナ化されたワークロードの両方に送信 NAT 構成を提供します。
Distributed Cloud の NAT のタイプ
Google Distributed Cloud air-gapped は、2 つの NAT 実装をサポートしています。一方は他方の代替であり、両方を同時に使用することはできません。
プロジェクトのデフォルトの下り(外向き)NAT(非推奨)
Cloud NAT の前は、プロジェクトのデフォルトの下り(外向き)NAT 構成を使用してトラフィックを送信するしかありませんでした。デフォルトでは、プロジェクトはデフォルトの下り(外向き)NAT 構成で作成されます。この構成では、ラベル egress.networking.gke.io/enabled:true を持つ VM または Pod のエンドポイントは、所属するプロジェクトに自動的に割り当てられた下り(外向き)IP を使用してトラフィックを送信できます。
この下り(外向き)ソリューションは非推奨になりました。Cloud NAT への移行をおすすめします。Cloud NAT は、Google Distributed Cloud(GDC)のエアギャップ システムの主な NAT ソリューションです。
このソリューションの使用方法と、推奨ソリューションである Cloud NAT への移行方法については、デフォルトのプロジェクトの下り(外向き)をご覧ください。
Cloud NAT
Cloud NAT を使用すると、Cloud NAT ゲートウェイを介して Google Distributed Cloud(GDC)エアギャップ デプロイからトラフィックを送信できます。各ゲートウェイがトラフィックの送信に使用する特定のインターネット プロトコル(IP)アドレスを選択するには、ゲートウェイ構成で使用する送信 IP アドレスを含む leaf サブネットを指定します。ゲートウェイ構成でラベル セレクタを指定することで、各ゲートウェイを介してトラフィックを送信できる Kubernetes Pod または仮想マシン(VM)エンドポイントを選択することもできます。Cloud NAT ゲートウェイにはプロジェクトとゾーンのスコープがあるため、指定するサブネットとエンドポイント、アウトバウンド トラフィックは、ゲートウェイと同じゾーンとプロジェクトに存在する必要があります。Cloud NAT は、外部(南北)トラフィック専用であり、内部(東西)トラフィックには使用できません。