סקירה כללית על Cloud NAT

שירות Cloud NAT מספק תרגום כתובות רשת (NAT) לתעבורה יוצאת לאינטרנט, לרשתות של ענן וירטואלי פרטי (VPC), לרשתות מקומיות ולרשתות של ספקי שירותי ענן אחרים.

שירות Cloud NAT מתרגם כתובות למשאבים הבאים:

אחרי שיוצרים שער Cloud NAT ומגדירים אותו כך שישרת את רשתות המשנה שבהן המשאבים פועלים, המערכת מחילה NAT באופן אוטומטי על המשאבים שתואמים להגדרת Cloud NAT.

‫Cloud NAT תומך בתרגום כתובות רק לחבילות תגובה נכנסות שנוצרו. הוא לא מאפשר חיבורים נכנסים לא רצויים.

סוגים של Cloud NAT

כדי להגדיר Cloud NAT, יוצרים שער Cloud NAT באזור של רשתות המשנה שזקוקות ל-NAT. לאחר מכן השער משמש כל רשת משנה שמצוינת בהגדרה שלו.

‫Cloud NAT תומך בשני סוגים של NAT:

  • NAT ציבורי
  • Private NAT

שער Cloud NAT יחיד מספק NAT ציבורי או NAT פרטי. אם יוצרים שני שערים נפרדים, אפשר להשתמש בשני סוגי ה-NAT כדי לשרת את אותה רשת משנה.

גם NAT ציבורי וגם NAT פרטי מתרגמים כתובות מ-IPv4 ל-IPv4. ‫NAT ציבורי מספק גם תרגום מ-IPv6 ל-IPv4.

NAT ציבורי

‫NAT ציבורי מאפשר למשאבים Google Cloud שאין להם כתובות IPv4 חיצוניות לתקשר עם יעדי IPv4 באינטרנט. המכונות הווירטואליות האלה משתמשות בקבוצה של כתובות IP חיצוניות משותפות כדי להתחבר לאינטרנט. ‫Cloud NAT לא מסתמך על מכונות וירטואליות של שרת proxy. במקום זאת, שער Cloud NAT מקצה קבוצה של כתובות IP חיצוניות ויציאות מקור לכל מכונה וירטואלית שמשתמשת בשער כדי ליצור חיבורים יוצאים לאינטרנט.

נניח שיש לכם מכונה וירטואלית VM-1 באזור subnet-1, שלממשק הרשת שלה אין כתובת IP חיצונית. עם זאת, כדי להוריד עדכונים, צריך לחבר את VM-1 לאינטרנט. כדי לאפשר קישוריות לאינטרנט, אפשר ליצור שער Cloud NAT שמוגדר להחלה על טווח כתובות ה-IP של subnet-1. עכשיו, VM-1 יכול לשלוח תנועה לאינטרנט באמצעות כתובת ה-IP הפנימית של subnet-1.

מידע נוסף זמין במאמר בנושא NAT ציבורי.

Private NAT

‫NAT פרטי מאפשר NAT פרטי לפרטי לתנועה הבאה.

תעבורת נתונים תיאור
מרשת VPC לרשת VPC אחרת ‫NAT פרטי תומך ב-NAT פרטי לפרטי עבור רשתות VPC שמצורפות כרשתות מסוג Hub and Spoke של VPC למרכז של Network Connectivity Center. מידע נוסף זמין במאמר בנושא NAT פרטי עבור רכזות NCC.
מרשת VPC לרשת מחוץ ל- Google Cloud ‫NAT פרטי תומך באפשרויות הבאות לתעבורת נתונים בין רשתות VPC לבין רשתות מקומיות או רשתות של ספקי שירותי ענן אחרים:
  • ‫NAT פרטי לפרטי ברשתות שמחוברות דרך spokes היברידיים של NCC. מידע נוסף זמין במאמר בנושא NAT פרטי עבור רכזות NCC.
  • ‫NAT פרטי לפרטי עבור רשתות שמחוברות באמצעות Cloud Interconnect או Cloud VPN. מידע נוסף זמין במאמר בנושא Hybrid NAT.

נניח שיש לכם Google Cloud משאבים ברשת VPC שצריכים לתקשר עם יעדים ברשת VPC אחרת. עם זאת, הרשת של היעד מכילה תת-רשתות שכתובות ה-IP שלהן חופפות לכתובות ה-IP של רשת ה-VPC של המקור. בתרחיש הזה, יוצרים שער Cloud NAT ל-NAT פרטי, שמתרגם את התעבורה בין רשתות המשנה ברשת ה-VPC של המקור לבין רשתות המשנה שלא חופפות ברשת השנייה.

מידע נוסף זמין במאמר בנושא NAT פרטי.

משאבים נתמכים

בטבלה הבאה מפורטים Google Cloud המשאבים שנתמכים בכל סוג של Cloud NAT. סימןהווי מציין שהמשאב נתמך.

משאב NAT ציבורי Private NAT
מכונות וירטואליות של Compute Engine
אשכולות GKE
‫Cloud Run, פונקציות Cloud Run ו-App Engine1
קבוצות אזוריות של נקודות קצה ברשת האינטרנט (NEGs) לא רלוונטי
1 יש תמיכה בנקודות הקצה הבאות בלי שרת (serverless):
  • מכונות Cloud Run (שירותים ומשימות) ומכונות פונקציות Cloud Run באמצעות תעבורת נתונים יוצאת (egress) ישירה מ-VPC (מומלץ) או חיבור לרשת (VPC) מאפליקציית serverless
  • מופעים של סביבה רגילה של App Engine דרך חיבור לרשת (VPC) מאפליקציית serverless

ארכיטקטורה

‫Cloud NAT הוא שירות מנוהל מבוזר מוגדר-תוכנה. היא לא מבוססת על מכשירי או מכונות וירטואליות של proxy. שירות Cloud NAT מגדיר את תוכנת Andromeda שמפעילה את רשת הענן הווירטואלי הפרטי (VPC) שלכם, כך שהיא מספקת תרגום כתובת רשת של מקור (source NAT או SNAT) למשאבים. ‫Cloud NAT מספק גם תרגום כתובת רשת של יעד (destination NAT או DNAT) לחבילות תגובה נכנסות שנוצרו.

‫NAT מסורתי לעומת Cloud NAT.
‫NAT מסורתי לעומת Cloud NAT (לחצו כדי להגדיל).

יתרונות

היתרונות של Cloud NAT:

  • אבטחה

    כשמשתמשים בשער Cloud NAT ל-NAT ציבורי, אפשר לצמצם את הצורך של כל מכונה וירטואלית בכתובות IP חיצוניות. בכפוף לכללי חומת אש לתעבורת נתונים יוצאת (egress), מכונות וירטואליות ללא כתובות IP חיצוניות יכולות לגשת ליעדים באינטרנט. לדוגמה, יכול להיות שיש לכם מכונות וירטואליות שזקוקות לגישה לאינטרנט רק כדי להוריד עדכונים או כדי להשלים הקצאת משאבים.

    אם אתם משתמשים בהקצאה ידנית של כתובות IP של NAT כדי להגדיר שער Cloud NAT ל-NAT ציבורי, אתם יכולים לשתף בבטחה קבוצה של כתובות IP חיצוניות נפוצות של מקור עם צד היעד. לדוגמה, שירות יעד יכול לאפשר רק חיבורים מכתובות IP חיצוניות מוכרות.

    ‫NAT פרטי מאפשר NAT פרטי בין רשתות VPC או בין רשתות VPC לבין רשתות מקומיות או רשתות של ספקי שירותי ענן אחרים. כשמגדירים NAT פרטי, שער Cloud NAT מבצע NAT באמצעות כתובות IP מטווח רשת המשנה של NAT פרטי.

  • זמינות

    Cloud NAT הוא שירות מנוהל מבוזר שמוגדר-תוכנה. הוא לא תלוי במכונות וירטואליות בפרויקט או במכשיר שער פיזי יחיד. מגדירים שער NAT ב-Cloud Router, שמספק את מישור הבקרה של NAT, ומכיל פרמטרים להגדרה שאתם מציינים. Google Cloud מריץ ומנהל תהליכים במכונות הפיזיות שמריצות את המכונות הווירטואליות שלכם. Google Cloud

  • מדרגיות

    אפשר להגדיר את Cloud NAT כך שישנה באופן אוטומטי את מספר כתובות ה-IP של NAT שבהן הוא משתמש, והוא תומך במכונות וירטואליות ששייכות לקבוצות של מופעים מנוהלים, כולל קבוצות שמופעל בהן התאמה אוטומטית לעומס (automatic scaling).

  • ביצועים

    שירות Cloud NAT לא מצמצם את רוחב הפס של הרשת לכל מכונה וירטואלית. ‫Cloud NAT מיושם על ידי שירותי Networking מוגדרי-תוכנה של Google Andromeda. מידע נוסף זמין במאמר רוחב פס ברשת במשאבי העזרה של Compute Engine.

  • Logging

    במקרה של תנועה ב-Cloud NAT, אפשר לעקוב אחרי החיבורים ורוחב הפס לצורך תאימות, ניפוי באגים, ניתוח וחשבונאות.

  • מעקב

    שירות Cloud NAT חושף מדדים מרכזיים ל-Cloud Monitoring, ומספק לכם תובנות לגבי השימוש בשערי NAT בצי שלכם. המדדים נשלחים אוטומטית ל-Cloud Monitoring. שם תוכלו ליצור מרכזי בקרה בהתאמה אישית, להגדיר התראות ולשאול שאלות לגבי מדדים.

    בנוסף, Network Analyzer מפרסם תובנות לגבי Cloud NAT. Network Analyzer עוקב באופן אוטומטי אחרי ההגדרה של Cloud NAT כדי לזהות את התובנות האלה וליצור אותן.

אינטראקציות עם מוצרים

מידע נוסף על האינטראקציות החשובות בין Cloud NAT לבין מוצרים אחרים של Google Cloud זמין במאמר אינטראקציות בין מוצרים של Cloud NAT.

המאמרים הבאים