Interaksi produk Cloud NAT

Halaman ini menjelaskan interaksi penting antara Cloud NAT dan produk lainnya Google Cloud .

Interaksi rute

Gateway Public NAT hanya dapat menggunakan rute yang next hop-nya adalah gateway internet default. Setiap jaringan Virtual Private Cloud (VPC) dimulai dengan rute default yang tujuannya adalah 0.0.0.0/0 dan next hop-nya adalah gateway internet default. Untuk mengetahui informasi latar belakang yang penting, lihat ringkasan rute.

Contoh berikut mengilustrasikan situasi yang dapat menyebabkan Public NAT gateway menjadi tidak beroperasi:

  • Jika Anda membuat rute statis dengan next hop yang ditetapkan ke jenis next hop rute statis lainnya, paket dengan alamat IP tujuan yang cocok dengan tujuan rute akan dikirim ke next hop tersebut, bukan ke gateway internet default. Misalnya, jika Anda menggunakan instance virtual machine (VM) yang menjalankan software gateway NAT, firewall, atau proxy, Anda akan membuat rute statis untuk mengarahkan traffic ke VM tersebut sebagai next hop. VM next hop memerlukan alamat IP eksternal. Oleh karena itu, traffic dari VM yang mengandalkan VM next hop atau VM next hop itu sendiri tidak dapat menggunakan Public NAT gateway.

  • Jika Anda membuat rute statis kustom yang next hop-nya adalah tunnel Cloud VPN , Public NAT tidak akan menggunakan rute tersebut. Misalnya, rute statis dengan tujuan 0.0.0.0/0 dan next hop tunnel Cloud VPN akan mengarahkan traffic ke tunnel tersebut, bukan ke gateway internet default. Oleh karena itu, gateway Public NAT tidak dapat menggunakan rute tersebut. Demikian pula, gateway Public NAT tidak dapat menggunakan rute statis dengan tujuan yang lebih spesifik, termasuk 0.0.0.0/1 dan 128.0.0.0/1.

  • Jika router lokal mengiklankan rute dinamis ke a Cloud Router yang mengelola tunnel Cloud VPN atau lampiran VLAN, Public NAT gateway tidak dapat menggunakan rute tersebut. Misalnya, jika router lokal Anda mengiklankan rute dinamis dengan tujuan 0.0.0.0/0, 0.0.0.0/0 akan diarahkan ke tunnel Cloud VPN atau lampiran VLAN. Perilaku ini berlaku bahkan untuk tujuan yang lebih spesifik, termasuk 0.0.0.0/1 dan 128.0.0.0/1.

Private NAT menggunakan rute berikut:

  • Untuk spoke Network Connectivity Center, Private NAT menggunakan rute subnet dan rute dinamis:
    • Untuk traffic antara dua spoke VPC yang terlampir ke hub NCC yang hanya berisi spoke VPC, Private NAT menggunakan rute subnet yang dipertukarkan oleh spoke VPC terlampir. Untuk mengetahui informasi tentang spoke VPC, lihat Ringkasan spoke VPC.
    • Jika hub NCC berisi spoke VPC dan spoke hybrid seperti lampiran VLAN untuk Cloud Interconnect, tunnel Cloud VPN, atau VM perangkat Router, Private NAT menggunakan rute dinamis yang dipelajari oleh spoke hybrid melalui BGP dan rute subnet yang dipertukarkan oleh spoke VPC terlampir. Untuk mengetahui informasi tentang spoke hybrid, lihat Spoke hybrid.
  • Untuk Hybrid NAT, Private NAT menggunakan rute dinamis yang dipelajari oleh Cloud Router melalui Cloud Interconnect atau Cloud VPN.

Interaksi Akses Google Pribadi

Gateway Public NAT tidak pernah melakukan NAT untuk traffic yang dikirim ke alamat IP eksternal yang dipilih untuk API dan layanan Google. Sebagai gantinya, Google Cloud secara otomatis mengaktifkan Akses Google Pribadi untuk rentang alamat IP subnet saat Anda mengonfigurasi gateway Public NAT untuk diterapkan ke rentang subnet tersebut, baik primer maupun sekunder. Selama gateway menyediakan NAT untuk rentang subnet, Akses Google Pribadi akan berlaku untuk rentang tersebut dan tidak dapat dinonaktifkan secara manual.

Gateway Public NAT tidak mengubah cara kerja Akses Google Pribadi. Untuk mengetahui informasi selengkapnya, lihat Akses Google Pribadi.

Gateway Private NAT tidak berlaku untuk Akses Google Pribadi.

Interaksi VPC Bersama

VPC Bersama memungkinkan beberapa project layanan dalam satu organisasi menggunakan jaringan VPC Bersama yang umum dalam project host. Untuk menyediakan NAT bagi VM di project layanan yang menggunakan jaringan VPC Bersama, Anda harus membuat gateway Cloud NAT di project host.

Interaksi Peering Jaringan VPC

Gateway Cloud NAT dikaitkan dengan rentang alamat IP subnet dalam satu region dan satu jaringan VPC. Gateway Cloud NAT yang dibuat dalam satu jaringan VPC tidak dapat menyediakan NAT untuk VM di jaringan VPC lain yang terhubung menggunakan Peering Jaringan VPC, meskipun VM di jaringan yang di-peer berada di region yang sama dengan gateway.

Interaksi GKE

Gateway Public NAT dapat melakukan NAT untuk node dan Pod di cluster pribadi, yang merupakan jenis cluster VPC native. Gateway Public NAT harus dikonfigurasi untuk diterapkan ke setidaknya rentang alamat IP subnet berikut untuk subnet yang digunakan cluster Anda:

  • Rentang alamat IP primer subnet (digunakan oleh node)
  • Rentang alamat IP sekunder subnet yang digunakan untuk Pod di cluster
  • Rentang alamat IP sekunder subnet yang digunakan untuk Service di cluster

Cara termudah untuk menyediakan NAT bagi seluruh cluster pribadi adalah mengonfigurasi a Public NAT gateway untuk diterapkan ke semua rentang alamat IP subnet dari subnet cluster.

Untuk mengetahui informasi latar belakang tentang cara cluster VPC native menggunakan rentang alamat IP subnet, lihat Rentang IP untuk cluster VPC native cluster.

Saat gateway Public NAT dikonfigurasi untuk menyediakan NAT bagi cluster pribadi, gateway tersebut akan mencadangkan alamat IP sumber NAT dan port sumber untuk setiap VM node. Alamat IP sumber NAT dan port sumber tersebut dapat digunakan oleh Pod karena alamat IP Pod diterapkan sebagai rentang IP alias yang ditetapkan ke setiap VM node.

Cluster VPC native Google Kubernetes Engine (GKE) selalu menetapkan rentang IP alias yang berisi lebih dari satu alamat IP (netmask lebih kecil dari /32) ke setiap node.

  • Jika alokasi port statis dikonfigurasi, prosedur pencadangan port Public NAT akan mencadangkan setidaknya 1.024 port sumber per node. Jika nilai yang ditentukan untuk port minimum per VM lebih besar dari 1.024, nilai tersebut akan digunakan.

  • Jika alokasi port dinamis dikonfigurasi, nilai yang ditentukan untuk port minimum per VM akan dialokasikan per node pada awalnya. Jumlah port yang dialokasikan selanjutnya akan bervariasi antara nilai yang ditentukan untuk port minimum dan maksimum per VM, berdasarkan permintaan.

Untuk mengetahui informasi tentang rentang alamat IP Pod dan cluster VPC native, lihat Rentang alamat IP sekunder subnet untuk Pod.

Terlepas dari Public NAT , Google Kubernetes Engine melakukan terjemahan alamat jaringan sumber (NAT sumber atau SNAT) dengan menggunakan software yang berjalan di setiap node saat Pod mengirim paket ke internet, kecuali jika Anda telah mengubah konfigurasi penyamaran IP cluster. Jika memerlukan kontrol terperinci atas traffic keluar dari Pod, Anda dapat menggunakan kebijakan jaringan.

Dalam keadaan tertentu, Public NAT juga dapat berguna untuk cluster VPC native non-pribadi. Karena node dalam cluster non-pribadi memiliki alamat IP eksternal, paket yang dikirim dari alamat IP internal utama node tidak pernah diproses oleh Cloud NAT. Namun, jika kedua hal berikut benar, paket yang dikirim dari Pod di cluster non-pribadi dapat diproses oleh gateway Public NAT :

  • Untuk cluster VPC native, gateway Public NAT dikonfigurasi untuk diterapkan ke rentang alamat IP sekunder untuk Pod cluster.

  • Konfigurasi penyamaran IP cluster tidak dikonfigurasi untuk melakukan SNAT dalam cluster untuk paket yang dikirim dari Pod ke internet.

Contoh berikut menunjukkan interaksi Public NAT dengan GKE:

Public NAT dengan GKE.
Public NAT dengan GKE (klik untuk memperbesar).

Dalam contoh ini, Anda ingin container Anda diterjemahkan NAT. Untuk mengaktifkan NAT bagi semua container dan node GKE, Anda harus memilih semua rentang alamat IP Subnet 1 sebagai kandidat NAT:

  • Rentang alamat IP primer subnet: 10.240.0.0/24
  • Rentang alamat IP sekunder subnet yang digunakan untuk Pod: 10.0.0.0/16

NAT tidak dapat diaktifkan hanya untuk Pod1 atau Pod2.

Gateway Private NAT dapat melakukan NAT untuk node dan Pod di cluster pribadi dan di cluster non-pribadi. Gateway Private NAT otomatis diterapkan ke semua rentang alamat IP subnet untuk subnet pribadi yang digunakan cluster Anda.

Interaksi traffic keluar VPC Langsung

Gateway Cloud NAT dapat menyediakan NAT untuk resource Cloud Run yang dikonfigurasi dengan traffic keluar VPC Langsung. Untuk mengaktifkan Cloud Run agar menggunakan gateway Cloud NAT untuk Public NAT atau Private NAT, konfigurasikan hal berikut:

  • Saat Anda men-deploy resource Cloud Run, tetapkan flag --vpc-egress. Jika Anda ingin menggunakan Public NAT, nilai harus ditetapkan ke all-traffic.

  • Konfigurasikan gateway Cloud NAT dengan setelan berikut:

    • Tentukan rentang subnet sumber mana yang dapat menggunakan gateway dengan menetapkan flag --nat-custom-subnet-ip-ranges. Tetapkan nilai ke nama subnet tempat Anda men-deploy resource Cloud Run.
    • Tetapkan nilai flag --endpoint-types ke ENDPOINT_TYPE_VM.

    • Untuk Public NAT, pastikan nilai flag --min-ports-per-vm ditetapkan dua kali jumlah port yang diperlukan oleh satu instance Cloud Run. Untuk Private NAT, flag ini harus ditetapkan empat kali jumlah port yang diperlukan per instance Cloud Run.

    • Jika Anda ingin mengonfigurasi alokasi alamat IP NAT manual (hanya Public NAT), tetapkan sejumlah alamat IP ke gateway Anda yang cukup untuk mencakup jumlah instance VM dan instance Cloud Run yang dilayani oleh gateway.

Log Cloud NAT untuk traffic keluar VPC Langsung tidak menampilkan nama resource Cloud Run.

Interaksi Uji Konektivitas

Anda dapat menggunakan Uji Konektivitas untuk memeriksa konektivitas antara endpoint jaringan yang menggunakan konfigurasi Cloud NAT. Anda dapat menjalankan Uji Konektivitas pada jaringan yang menggunakan gateway Public NAT atau gateway Private NAT, atau keduanya.

Lihat detail konfigurasi NAT di panel Configuration analysis trace di halaman Connectivity test details.

Interaksi Cloud Load Balancing

Google Cloud Load Balancer Aplikasi internal regional dan Load Balancer Aplikasi eksternal regional berkomunikasi dengan beberapa backend grup endpoint jaringan (NEG) internet regional. Dengan mengonfigurasi gateway Cloud NAT untuk NEG internet regional, Anda dapat mengalokasikan kumpulan rentang alamat IP eksternal Anda sendiri dari tempat Google Cloud traffic harus berasal. Health check dan traffic data plane bersumber dari alamat IP NAT yang Anda alokasikan.

Sistem health check dan load balancer eksternal lainnya berkomunikasi dengan VM menggunakan jalur perutean khusus. Google Cloud VM backend tidak memerlukan alamat IP eksternal, dan gateway Cloud NAT tidak mengelola komunikasi untuk load balancer dan health check. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud Load Balancing dan Ringkasan health check.

Interaksi koneksi yang disebarkan Private Service Connect

Saat menggunakan Private NAT untuk NCC dan koneksi yang disebarkan Private Service Connect di spoke VPC yang sama, hal berikut berlaku:

  • Jika subnet dikonfigurasi dengan Private NAT, traffic dari subnet ke koneksi yang disebarkan Private Service Connect akan dihentikan.

  • Untuk menghindari penghentian traffic dari subnet yang tidak tumpang-tindih, pertimbangkan hal berikut saat Anda mengonfigurasi Private NAT:

    • Tentukan subnet yang tumpang-tindih menggunakan flag --nat-custom-subnet-ip-ranges.
    • Jangan tentukan subnet yang tidak tumpang-tindih yang perlu mengakses koneksi yang disebarkan.
    • Jangan gunakan flag --nat-all-subnet-ip-ranges.

Interaksi Subnet Hybrid

Hybrid NAT tidak didukung dengan Subnet Hybrid.

Jika traffic berasal dari subnet tempat Hybrid NAT dikonfigurasi dan alamat IP tujuan cocok dengan rute subnet hybrid, SNAT tidak akan dilakukan. Konfigurasi ini menghasilkan perilaku perutean yang tidak dapat diprediksi karena traffic dapat menjangkau jaringan non-VPC menggunakan alamat IP sumber asli yang tidak diterjemahkan.

Jangan gunakan Subnet Hybrid di jaringan tempat Hybrid NAT dikonfigurasi.

Langkah berikutnya