סקירה כללית על Cloud NAT
שירות Cloud NAT מספק תרגום כתובות רשת (NAT) לתעבורה יוצאת לאינטרנט, לרשתות של ענן וירטואלי פרטי (VPC), לרשתות מקומיות ולרשתות של ספקי ענן אחרים.
שירות Cloud NAT מתרגם כתובות למשאבים הבאים:
- מכונות וירטואליות (VM) של Compute Engine
אשכולות Google Kubernetes Engine (GKE)
מופעי Cloud Run
מופעים של Cloud Run functions
מכונות בסביבה רגילה של App Engine
אחרי שיוצרים שער Cloud NAT ומגדירים אותו כך שישרת את רשתות המשנה שבהן המשאבים פועלים, המערכת מחילה NAT באופן אוטומטי על המשאבים שתואמים להגדרת Cloud NAT.
Cloud NAT תומך בתרגום כתובות רק לחבילות תגובה נכנסות שנוצרו. הוא לא מאפשר חיבורים נכנסים לא רצויים.
סוגים של Cloud NAT
כדי להגדיר Cloud NAT, יוצרים שער Cloud NAT באזור של רשתות המשנה שזקוקות ל-NAT. לאחר מכן השער משמש כל רשת משנה שמצוינת בהגדרה שלו.
Cloud NAT תומך בשני סוגים של NAT:
- NAT ציבורי
- Private NAT
שער Cloud NAT יחיד מספק NAT ציבורי או NAT פרטי. אם יוצרים שני שערים נפרדים, אפשר להשתמש בשני סוגי ה-NAT כדי לשרת את אותה רשת משנה.
גם NAT ציבורי וגם NAT פרטי מתרגמים כתובות מ-IPv4 ל-IPv4. NAT ציבורי מספק גם תרגום מ-IPv6 ל-IPv4.
NAT ציבורי
NAT ציבורי מאפשר למשאבים Google Cloud שאין להם כתובות IPv4 חיצוניות לתקשר עם יעדי IPv4 באינטרנט. המכונות הווירטואליות האלה משתמשות בקבוצה של כתובות IP חיצוניות משותפות כדי להתחבר לאינטרנט. Cloud NAT לא מסתמך על מכונות וירטואליות של שרת proxy. במקום זאת, שער Cloud NAT מקצה קבוצה של כתובות IP חיצוניות ויציאות מקור לכל מכונה וירטואלית שמשתמשת בשער כדי ליצור חיבורים יוצאים לאינטרנט.
נניח שיש לכם מכונה וירטואלית VM-1 באזור subnet-1, שלממשק הרשת שלה אין כתובת IP חיצונית. עם זאת, כדי להוריד עדכונים, צריך לחבר את VM-1 לאינטרנט. כדי לאפשר קישוריות לאינטרנט, אתם יכולים ליצור שער Cloud NAT שמוגדר להחלה על טווח כתובות ה-IP של subnet-1. עכשיו, VM-1 יכול לשלוח תנועה לאינטרנט באמצעות כתובת ה-IP הפנימית של subnet-1.
מידע נוסף זמין במאמר בנושא NAT ציבורי.
Private NAT
NAT פרטי מאפשר NAT פרטי לפרטי לתנועה הבאה.
| תעבורת נתונים | תיאור |
|---|---|
| מרשת VPC אחת לרשת VPC אחרת | NAT פרטי תומך ב-NAT פרטי לפרטי עבור רשתות VPC שמצורפות כרשתות מסוג Hub and Spoke של VPC למרכז של Network Connectivity Center. מידע נוסף זמין במאמר בנושא NAT פרטי עבור רכזות NCC. |
| מרשת VPC לרשת מחוץ ל- Google Cloud | NAT פרטי תומך באפשרויות הבאות לתעבורת נתונים בין רשתות VPC לבין רשתות מקומיות או רשתות של ספקי שירותי ענן אחרים:
|
נניח שיש לכם Google Cloud משאבים ברשת VPC שצריכים לתקשר עם יעדים ברשת VPC אחרת. עם זאת, הרשת של היעד מכילה תת-רשתות שכתובות ה-IP שלהן חופפות לכתובות ה-IP של רשת ה-VPC של המקור. בתרחיש הזה, יוצרים שער Cloud NAT ל-NAT פרטי, שמתרגם את התעבורה בין רשתות המשנה ברשת ה-VPC של המקור לבין רשתות המשנה שלא חופפות ברשת השנייה.
מידע נוסף זמין במאמר בנושא NAT פרטי.
משאבים נתמכים
בטבלה הבאה מפורטים Google Cloud המשאבים שנתמכים בכל סוג של Cloud NAT. סימןהווי מציין שהמשאב נתמך.
| משאב | NAT ציבורי | Private NAT |
|---|---|---|
| מכונות וירטואליות של Compute Engine | ||
| אשכולות GKE | ||
| Cloud Run, פונקציות Cloud Run ו-App Engine1 | ||
| קבוצות אזוריות של נקודות קצה ברשת האינטרנט (NEGs) | לא רלוונטי |
- מכונות Cloud Run (שירותים ומשימות) ומכונות פונקציות Cloud Run באמצעות Direct VPC egress (מומלץ) או חיבור לרשת (VPC) מאפליקציית serverless
- מופעים של סביבה רגילה של App Engine דרך חיבור לרשת (VPC) מאפליקציית serverless
ארכיטקטורה
Cloud NAT הוא שירות מנוהל מבוזר מוגדר-תוכנה. היא לא מבוססת על מכונות וירטואליות או מכשירים של שרת proxy. שירות Cloud NAT מגדיר את תוכנת Andromeda שמפעילה את הרשת של הענן הווירטואלי הפרטי (VPC), כך שהיא מספקת תרגום כתובת רשת של המקור (source NAT או SNAT) למשאבים. Cloud NAT מספק גם תרגום כתובת רשת של יעד (תרגום NAT של יעד או DNAT) לחבילות תגובה נכנסות שנוצרו.
יתרונות
היתרונות של Cloud NAT:
אבטחה
כשמשתמשים בשער Cloud NAT ל-NAT ציבורי, אפשר לצמצם את הצורך של כל מכונה וירטואלית בכתובות IP חיצוניות. בכפוף לכללי חומת האש לתעבורת נתונים יוצאת (egress), מכונות וירטואליות ללא כתובות IP חיצוניות יכולות לגשת ליעדים באינטרנט. לדוגמה, יכול להיות שיש לכם מכונות וירטואליות שזקוקות לגישה לאינטרנט רק כדי להוריד עדכונים או כדי להשלים הקצאת משאבים.
אם אתם משתמשים בהקצאה ידנית של כתובות IP של NAT כדי להגדיר שער Cloud NAT ל-NAT ציבורי, אתם יכולים לשתף בבטחה קבוצה של כתובות IP חיצוניות נפוצות של מקור עם צד יעד. לדוגמה, שירות יעד יכול לאפשר רק חיבורים מכתובות IP חיצוניות מוכרות.
NAT פרטי מאפשר NAT פרטי בין רשתות VPC או בין רשתות VPC לבין רשתות מקומיות או רשתות של ספקי שירותי ענן אחרים. כשמגדירים Private NAT, שער Cloud NAT מבצע NAT באמצעות כתובות IP מטווח רשת המשנה של Private NAT.
זמינות
Cloud NAT הוא שירות מנוהל מבוזר מוגדר-תוכנה. הוא לא תלוי במכונות וירטואליות בפרויקט או במכשיר שער פיזי יחיד. מגדירים שער NAT ב-Cloud Router, שמספק את מישור הבקרה של NAT, ומכיל פרמטרים להגדרה שאתם מציינים. Google Cloud מריץ ומנהל תהליכים במכונות הפיזיות שמריצות את המכונות הווירטואליות שלכם. Google Cloud
מדרגיות
אפשר להגדיר את Cloud NAT כך שישנה באופן אוטומטי את מספר כתובות ה-IP של NAT שבהן הוא משתמש, והוא תומך במכונות וירטואליות ששייכות לקבוצות של מופעי מכונה מנוהלים, כולל קבוצות שמופעלת בהן התאמה אוטומטית לעומס.
ביצועים
שירות Cloud NAT לא מצמצם את רוחב הפס של הרשת לכל מכונה וירטואלית. Cloud NAT מיושם על ידי רשת מוגדרת בתוכנה של Google Andromeda. מידע נוסף זמין במאמר בנושא רוחב פס ברשת במסמכי התיעוד של Compute Engine.
Logging
במקרה של תנועה ב-Cloud NAT, אפשר לעקוב אחרי החיבורים ורוחב הפס לצורך תאימות, ניפוי באגים, ניתוח וחשבונאות.
מעקב
שירות Cloud NAT חושף מדדים מרכזיים ל-Cloud Monitoring, ומספק תובנות לגבי השימוש בשערי NAT בצי שלכם. המדדים נשלחים אוטומטית ל-Cloud Monitoring. שם תוכלו ליצור מרכזי בקרה בהתאמה אישית, להגדיר התראות ולשאול שאלות לגבי מדדים.
בנוסף, Network Analyzer מפרסם תובנות לגבי Cloud NAT. Network Analyzer עוקב באופן אוטומטי אחרי ההגדרה של Cloud NAT כדי לזהות את התובנות האלה וליצור אותן.
אינטראקציות עם מוצרים
מידע נוסף על האינטראקציות החשובות בין Cloud NAT לבין מוצרים אחרים של Google Cloud זמין במאמר אינטראקציות בין מוצרים של Cloud NAT.
המאמרים הבאים
- מידע נוסף על אינטראקציות בין מוצרים ב-Cloud NAT
- מידע נוסף על כתובות IP ופורטים
- הגדרה וניהול של תרגום כתובות רשת באמצעות Public NAT
- מידע על כללי NAT של Cloud NAT
- הגדרה וניהול של תרגום כתובות רשת (NAT) באמצעות NAT פרטי
- פתרון בעיות בהגדרות
- מידע על התמחור של Cloud NAT