Interaksi produk Cloud NAT

Halaman ini menjelaskan interaksi penting antara Cloud NAT dan produk Google Cloud lainnya.

Interaksi rute

Gateway NAT Publik hanya dapat menggunakan rute yang hop berikutnya adalah gateway internet default. Setiap jaringan Virtual Private Cloud (VPC) dimulai dengan rute default yang tujuannya adalah 0.0.0.0/0 dan hop berikutnya adalah gateway internet default. Untuk informasi latar belakang yang penting, lihat ringkasan rute.

Contoh berikut menggambarkan situasi yang dapat menyebabkan gateway NAT Publik menjadi tidak dapat dioperasikan:

• Jika Anda membuat rute statis dengan next hop yang ditetapkan ke jenis next hop rute statis lainnya, maka paket dengan alamat IP tujuan yang cocok dengan tujuan rute akan dikirim ke next hop tersebut, bukan ke gateway internet default. Misalnya, jika Anda menggunakan instance virtual machine (VM) yang menjalankan software gateway NAT, firewall, atau proxy, Anda membuat rute statis untuk mengarahkan traffic ke VM tersebut sebagai hop berikutnya. VM next-hop memerlukan alamat IP eksternal. Oleh karena itu, traffic dari VM yang mengandalkan VM next hop atau VM next hop itu sendiri tidak dapat menggunakan gatewayNAT Publik.

• Jika Anda membuat rute statis kustom yang next hop-nya adalah tunnel Cloud VPN, NAT Publik tidak menggunakan rute tersebut. Misalnya, rute statis dengan tujuan 0.0.0.0/0 dan tunnel Cloud VPN next hop mengarahkan traffic ke tunnel tersebut, bukan ke gateway internet default. Oleh karena itu, gateway NAT Publik tidak dapat menggunakan rute tersebut. Demikian pula, gateway Public NAT tidak dapat menggunakan rute statis dengan tujuan yang lebih spesifik, termasuk 0.0.0.0/1 dan 128.0.0.0/1.

• Jika router lokal mengiklankan rute dinamis ke Cloud Router yang mengelola tunnel Cloud VPN atau lampiran VLAN, gateway Public NAT tidak dapat menggunakan rute tersebut. Misalnya, jika router lokal Anda mengiklankan rute dinamis dengan tujuan 0.0.0.0/0, 0.0.0.0/0 akan diarahkan ke tunnel Cloud VPN atau lampiran VLAN. Perilaku ini tetap berlaku bahkan untuk tujuan yang lebih spesifik, termasuk 0.0.0.0/1 dan 128.0.0.0/1.

NAT pribadi menggunakan rute berikut:

• Untuk spoke Network Connectivity Center, Private NAT menggunakan rute subnet dan rute dinamis:
  • Untuk traffic antara dua spoke VPC yang terhubung ke hub NCC yang hanya berisi spoke VPC, Private NAT menggunakan rute subnet yang dipertukarkan oleh spoke VPC yang terhubung. Untuk mengetahui informasi tentang spoke VPC, lihat Ringkasan spoke VPC.
  • Jika hub NCC berisi spoke VPC dan spoke hybrid seperti lampiran VLAN untuk Cloud Interconnect, tunnel Cloud VPN, atau VM Router appliance, NAT Pribadi menggunakan rute dinamis yang dipelajari oleh spoke hybrid melalui BGP dan rute subnet yang dipertukarkan oleh spoke VPC yang terhubung. Untuk mengetahui informasi tentang spoke hybrid, lihat Spoke hybrid.
• Untuk NAT Hybrid, NAT Pribadi menggunakan rute dinamis yang dipelajari oleh Cloud Router melalui Cloud Interconnect atau Cloud VPN.

Interaksi Akses Google Pribadi

Gateway NAT Publik tidak pernah melakukan NAT untuk traffic yang dikirim ke alamat IP eksternal untuk API dan layanan Google yang dipilih. Sebagai gantinya, gateway Google Cloud akan otomatis mengaktifkan Akses Google Pribadi untuk rentang alamat IP subnet saat Anda mengonfigurasi NAT Publik agar diterapkan ke rentang subnet tersebut, baik primer maupun sekunder. Selama gateway menyediakan NAT untuk rentang subnet, Akses Google Pribadi berlaku untuk rentang tersebut dan tidak dapat dinonaktifkan secara manual.

Gateway Public NAT tidak mengubah cara kerja Akses Google Pribadi. Untuk mengetahui informasi selengkapnya, lihat Akses Google Pribadi.

Gateway NAT pribadi tidak berlaku untuk Akses Google Pribadi.

Interaksi VPC Bersama

VPC Bersama memungkinkan beberapa project layanan dalam satu organisasi menggunakan jaringan VPC Bersama yang umum dalam project host. Untuk menyediakan NAT bagi VM dalam project layanan yang menggunakan jaringan VPC Bersama, Anda harus membuat gateway Cloud NAT di project host.

Interaksi Peering Jaringan VPC

Gateway Cloud NAT dikaitkan dengan rentang alamat IP subnet dalam satu region dan satu jaringan VPC. Gateway Cloud NAT yang dibuat di satu jaringan VPC tidak dapat menyediakan NAT ke VM di jaringan VPC lain yang terhubung dengan menggunakan Peering Jaringan VPC, meskipun VM di jaringan yang di-peering berada di region yang sama dengan gateway.

Interaksi GKE

Gateway NAT Publik dapat melakukan NAT untuk node dan Pod di cluster pribadi, yang merupakan jenis cluster native VPC. Gateway Public NAT harus dikonfigurasi agar diterapkan ke setidaknya rentang alamat IP subnet berikut untuk subnet yang digunakan cluster Anda:

• Rentang alamat IP primer subnet (digunakan oleh node)
• Rentang alamat IP sekunder subnet yang digunakan untuk Pod di cluster
• Rentang alamat IP sekunder subnet yang digunakan untuk Service di cluster

Cara termudah untuk menyediakan NAT bagi seluruh cluster pribadi adalah dengan mengonfigurasi gateway NAT Publik agar diterapkan ke semua rentang alamat IP subnet dari subnet cluster.

Untuk mengetahui informasi latar belakang tentang cara cluster VPC native menggunakan rentang alamat IP subnet, lihat Rentang IP untuk cluster VPC native.

Jika gateway Public NAT dikonfigurasi untuk menyediakan NAT bagi cluster pribadi, gateway tersebut akan mencadangkan alamat IP sumber NAT dan port sumber untuk setiap VM node. Alamat IP sumber dan port sumber NAT tersebut dapat digunakan oleh Pod karena alamat IP Pod diterapkan sebagai rentang IP alias yang ditetapkan ke setiap VM node.

Cluster native VPC Google Kubernetes Engine (GKE) selalu menetapkan rentang IP alias yang berisi lebih dari satu alamat IP (masker jaringan lebih kecil dari /32) ke setiap node.

• Jika alokasi port statis dikonfigurasi, prosedur reservasi port Public NAT akan mencadangkan minimal 1.024 port sumber per node. Jika nilai yang ditentukan untuk port minimum per VM lebih besar dari 1.024, nilai tersebut akan digunakan.

• Jika alokasi port dinamis dikonfigurasi, nilai yang ditentukan untuk port minimum per VM awalnya dialokasikan per node. Jumlah port yang dialokasikan selanjutnya bervariasi antara nilai yang ditentukan untuk port minimum dan maksimum per VM, berdasarkan permintaan.

Untuk mengetahui informasi tentang rentang alamat IP Pod dan cluster VPC native, lihat Rentang alamat IP sekunder subnet untuk Pod.

Terlepas dari NAT Publik , Google Kubernetes Engine melakukan penafsiran alamat jaringan sumber (NAT sumber atau SNAT) dengan menggunakan software yang berjalan di setiap node saat Pod mengirim paket ke internet, kecuali jika Anda telah mengubah konfigurasi penyamaran IP cluster. Jika Anda memerlukan kontrol terperinci atas traffic keluar dari Pod, Anda dapat menggunakan kebijakan jaringan.

Dalam keadaan tertentu, NAT Publik juga dapat berguna untuk cluster native VPC non-pribadi. Karena node dalam cluster non-pribadi memiliki alamat IP eksternal, paket yang dikirim dari alamat IP internal utama node tidak pernah diproses oleh Cloud NAT. Namun, jika kedua hal berikut benar, paket yang dikirim dari Pod dalam cluster non-pribadi dapat diproses oleh gateway NAT Publik :

• Untuk cluster native VPC, gateway Public NAT dikonfigurasi untuk diterapkan ke rentang alamat IP sekunder untuk Pod cluster.

• Konfigurasi penyamaran IP cluster tidak dikonfigurasi untuk melakukan SNAT dalam cluster untuk paket yang dikirim dari Pod ke internet.

Contoh berikut menunjukkan interaksi Public NAT dengan GKE:

Dalam contoh ini, Anda ingin container Anda diterjemahkan NAT. Untuk mengaktifkan NAT bagi semua container dan node GKE, Anda harus memilih semua rentang alamat IP Subnet 1 sebagai kandidat NAT:

• Rentang alamat IP primer subnet: 10.240.0.0/24
• Rentang alamat IP sekunder subnet yang digunakan untuk Pod: 10.0.0.0/16

Anda tidak dapat mengaktifkan NAT hanya untuk Pod1 atau Pod2.

Gateway Private NAT dapat melakukan NAT untuk node dan Pod dalam cluster pribadi dan dalam cluster nonpribadi. Gateway NAT Pribadi otomatis diterapkan ke semua rentang alamat IP subnet untuk subnet pribadi yang digunakan cluster Anda.

Interaksi traffic keluar VPC Langsung

Gateway Cloud NAT dapat menyediakan NAT untuk resource Cloud Run yang dikonfigurasi dengan traffic keluar VPC Langsung. Untuk mengizinkan Cloud Run menggunakan gateway Cloud NAT untuk NAT Publik atau NAT Pribadi, konfigurasikan hal berikut:

• Saat Anda men-deploy resource Cloud Run, tetapkan flag --vpc-egress. Jika Anda ingin menggunakan NAT Publik, nilai harus ditetapkan ke all-traffic.

• Konfigurasi gateway Cloud NAT dengan setelan berikut:

  • Tentukan rentang subnet sumber yang dapat menggunakan gateway dengan menetapkan flag --nat-custom-subnet-ip-ranges. Tetapkan nilai ke nama subnet tempat Anda men-deploy resource Cloud Run.
  • Tetapkan nilai flag --endpoint-types ke ENDPOINT_TYPE_VM.

  • Untuk NAT Publik, pastikan nilai flag --min-ports-per-vm ditetapkan menjadi dua kali jumlah port yang dibutuhkan oleh satu instance Cloud Run. Untuk NAT Pribadi, flag ini harus ditetapkan ke empat kali jumlah port yang diperlukan per instance Cloud Run.

  • Jika Anda ingin mengonfigurasi alokasi alamat IP NAT manual (Khusus NAT Publik), tetapkan sejumlah alamat IP ke gateway Anda yang cukup untuk mencakup jumlah instance VM dan instance Cloud Run yang dilayani oleh gateway.

Log Cloud NAT untuk traffic keluar VPC Langsung tidak menampilkan nama resource Cloud Run.

Interaksi Uji Konektivitas

Anda dapat menggunakan Uji Konektivitas untuk memeriksa konektivitas antara endpoint jaringan yang menggunakan konfigurasi Cloud NAT. Anda dapat menjalankan Uji Konektivitas di jaringan yang menggunakan gateway NAT Publik atau gateway NAT Pribadi, atau keduanya.

Lihat detail konfigurasi NAT di panel Trace analisis konfigurasi di halaman Detail uji konektivitas.

Interaksi Cloud Load Balancing

Google Cloud Load Balancer Aplikasi internal regional dan Load Balancer Aplikasi eksternal regional berkomunikasi dengan beberapa backend grup endpoint jaringan (NEG) internet regional. Dengan mengonfigurasi gateway Cloud NAT untuk NEG internet regional, Anda dapat mengalokasikan serangkaian rentang alamat IP eksternal Anda sendiri dari tempat traffic harus berasal. Google Cloud Health check dan traffic bidang data berasal dari alamat IP NAT yang Anda alokasikan.

Load balancer eksternal dan sistem health check lainnya berkomunikasi dengan VM menggunakan jalur perutean khusus. Google Cloud VM backend tidak memerlukan alamat IP eksternal dan gateway Cloud NAT tidak mengelola komunikasi untuk load balancer dan health check. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud Load Balancing dan Ringkasan health check.

Interaksi koneksi yang dipropagasi Private Service Connect

Saat menggunakan Private NAT for NCC dan koneksi yang dipropagasi Private Service Connect di spoke VPC yang sama, hal berikut berlaku:

• Jika subnet dikonfigurasi dengan Private NAT, traffic dari subnet ke koneksi yang dipropagasi Private Service Connect akan dihentikan.

• Untuk menghindari penurunan traffic dari subnet yang tidak tumpang-tindih, pertimbangkan hal berikut saat Anda mengonfigurasi NAT Pribadi:

  • Tentukan subnet yang tumpang-tindih menggunakan flag --nat-custom-subnet-ip-ranges.
  • Jangan tentukan subnet yang tidak tumpang-tindih yang perlu mengakses koneksi yang di-propagate.
  • Jangan gunakan flag --nat-all-subnet-ip-ranges.

Langkah berikutnya

• Pelajari alamat dan port Cloud NAT.
• Siapkan gateway Public NAT.
• Konfigurasi aturan Cloud NAT.
• Siapkan gateway Private NAT.