Présentation de Cloud NAT
Cloud NAT fournit une traduction d'adresse réseau (le NAT) pour le trafic sortant vers Internet, les réseaux de cloud privé virtuel (VPC), les réseaux sur site et les réseaux sur l'infrastructure d'autres fournisseurs de services cloud.
Cloud NAT traduit les adresses pour les ressources suivantes :
- Instances de machine virtuelle (VM) Compute Engine
Clusters Google Kubernetes Engine (GKE)
Instances Cloud Run
Instances Cloud Run Functions
Instances de l'environnement standard App Engine
Groupes de points de terminaison du réseau (NEG) Internet régionaux
Cloud NAT ne fournit une traduction d'adresse que pour les paquets de réponse entrants établis. Il n'accepte pas les connexions entrantes non sollicitées.
Types de Cloud NAT
Si vous utilisez une passerelle Cloud NAT, vos ressources Google Cloud peuvent se connecter à des ressources en dehors du réseau VPC source.
Une passerelle Cloud NAT permet les types de NAT suivants :
- Public NAT
- Private NAT
Vous pouvez utiliser à la fois Public NAT et Private NAT pour fournir des services NAT au même sous-réseau d'un réseau VPC.
Une passerelle Cloud NAT pour Public NAT ou Private NAT traduit les adresses IPv4 en adresses IPv4. Public NAT est également compatible avec la traduction NAT d'adresses IPv6 vers IPv4.
Public NAT
Public NAT permet aux ressources Google Cloud qui ne disposent pas d'adresses IPv4 externes de communiquer avec des destinations IPv4 sur Internet. Ces VM utilisent un ensemble d'adresses IP externes partagées pour se connecter à Internet. Cloud NAT ne repose pas sur des VM proxy. Au lieu de cela, une passerelle Cloud NAT alloue un ensemble d'adresses IP externes et de ports sources à chaque VM qui utilise la passerelle pour créer des connexions sortantes vers Internet.
Imaginons un scénario dans lequel vous disposez d'une VM-1 (dans le sous-réseau subnet-1) dont l'interface réseau ne possède pas d'adresse IP externe. Toutefois, VM-1 doit se connecter à Internet pour télécharger des mises à jour. Pour activer la connectivité à Internet, vous pouvez créer une passerelle Cloud NAT configurée pour s'appliquer à la plage d'adresses IP de subnet-1. VM-1 peut ainsi envoyer du trafic vers Internet en utilisant l'adresse IP interne de subnet-1.
Pour en savoir plus, consultez Public NAT.
Private NAT
Private NAT permet la traduction de type privé-privé pour le trafic suivant.
| Trafic | Description |
|---|---|
| D'un réseau VPC à un autre réseau VPC | Private NAT permet les opérations de NAT de type "privé-privé" pour les réseaux VPC associés à un hub Network Connectivity Center en tant que spokes VPC. Pour en savoir plus, consultez Private NAT pour les spokes Network Connectivity Center. |
| D'un réseau VPC vers un réseau en dehors de Google Cloud | Private NAT offre les options suivantes pour le trafic entre les réseaux VPC et les réseaux sur site ou sur l'infrastructure d'autres fournisseurs de services cloud :
|
Imaginons un scénario dans lequel vos ressources Google Cloud faisant partie d'un réseau VPC doivent communiquer avec des destinations d'un autre réseau VPC. Cependant, le réseau de destination contient des sous-réseaux dont les adresses IP chevauchent celles de votre réseau VPC source. Dans un tel scénario, vous devez créer une passerelle Cloud NAT pour Private NAT, qui traduit le trafic entre les sous-réseaux de votre réseau VPC source et les sous-réseaux de l'autre réseau qui ne présentent pas de chevauchement.
Pour en savoir plus, consultez Private NAT.
Ressources compatibles
Le tableau suivant liste les ressources Google Cloud compatibles avec chaque type de Cloud NAT. Une coche () indique que la ressource concernée est compatible.
| Ressource | Public NAT | Private NAT |
|---|---|---|
| Instances de VM Compute Engine | ||
| Clusters GKE | ||
| Cloud Run, Cloud Run Functions et App Engine1 | ||
| NEG Internet régionaux | Non applicable |
- Instances Cloud Run (services et jobs) et instances Cloud Run Functions via la sortie VPC directe (recommandée) ou l'accès au VPC sans serveur
- Instances de l'environnement standard App Engine via l'accès au VPC sans serveur
Architecture
Cloud NAT est un service géré distribué et défini par logiciel. Il n'est pas basé sur des VM ou appareils de proxy. Cloud NAT configure le logiciel Andromeda qui alimente votre réseau de cloud privé virtuel (VPC), afin qu'il effectue la traduction des adresses réseau sources (NAT source ou SNAT) pour les ressources. Cloud NAT fournit également une traduction des adresses réseau de destination (NAT de destination ou DNAT) pour les paquets de réponses entrants établis.
Avantages
Cloud NAT offre les avantages suivants :
Sécurité
Lorsque vous utilisez une passerelle Cloud NAT pour Public NAT, vous n'avez plus besoin d'attribuer à chaque VM une adresse IP externe. Sous réserve des règles de pare-feu de sortie, les VM sans adresse IP externe peuvent accéder aux destinations sur Internet. Par exemple, vous avez peut-être des VM qui n'ont besoin d'un accès Internet que pour télécharger des mises à jour ou effectuer le provisionnement.
Si vous utilisez l'attribution manuelle d'adresses IP NAT pour configurer une passerelle Cloud NAT pour Public NAT, vous pouvez partager sans difficulté un ensemble d'adresses IP sources communes avec une fonctionnalité tierce de destination. Par exemple, un service de destination peut autoriser uniquement les connexions à partir d'adresses IP externes connues.
Private NAT permet la traduction d'adresse réseau (NAT) de type "privé-privé" entre réseaux VPC, ou entre les réseaux VPC et les réseaux sur site (ou sur l'infrastructure d'autres fournisseurs de services cloud). Lorsque Private NAT est configuré, la passerelle Cloud NAT effectue les opérations de NAT à l'aide d'adresses IP de la plage de sous-réseau Private NAT.
Disponibilité
Cloud NAT est un service géré distribué et défini par logiciel. Il ne dépend d'aucune VM de votre projet, ni d'un appareil unique offrant une passerelle physique. Vous configurez une passerelle NAT sur un routeur Cloud Router, qui fournit le plan de contrôle pour le NAT. Ce plan contient les paramètres de configuration que vous spécifiez. Google Cloud opère et gère les processus sur les machines physiques qui exécutent vos VM Google Cloud .
Évolutivité
Cloud NAT peut être configuré pour effectuer automatiquement le scaling du nombre d'adresses IP NAT qu'il utilise. Il accepte les VM appartenant à des groupes d'instances gérés, y compris celles des groupes dont l'autoscaling est activé.
Performances
Cloud NAT ne réduit pas la bande passante réseau par VM. Cloud NAT est mis en œuvre par le réseau défini par logiciel Andromeda de Google. Pour plus d'informations, consultez Bande passante réseau dans la documentation Compute Engine.
Journalisation
Pour le trafic Cloud NAT, vous pouvez effectuer le traçage des connexions et le suivi de la bande passante à des fins de conformité, de débogage, d'analyse et de traçabilité.
Surveillance
Cloud NAT expose à Cloud Monitoring des métriques clés qui vous offrent des insights sur l'utilisation des passerelles NAT dans votre parc. Les métriques sont envoyées automatiquement à Cloud Monitoring. Dans cet outil, vous pouvez créer des tableaux de bord personnalisés, configurer des alertes et interroger les métriques.
Network Analyzer publie également des insights Cloud NAT. Network Analyzer surveille automatiquement votre configuration Cloud NAT pour détecter et générer ces insights.
Interaction avec les produits
Pour en savoir plus sur les interactions importantes entre Cloud NAT et d'autres produits Google Cloud , consultez Interactions du produit Cloud NAT.
Étapes suivantes
- En savoir plus sur les interactions du produit Cloud NAT
- En savoir plus sur les adresses et ports Cloud NAT
- Configurer Public NAT
- En savoir plus sur les règles Cloud NAT
- Configurer Private NAT
- Résoudre les problèmes courants
- En savoir plus sur les tarifs de Cloud NAT