סקירה כללית על Cloud NAT
שירות Cloud NAT מספק תרגום כתובות רשת (NAT) לתעבורה יוצאת לאינטרנט, לרשתות של ענן וירטואלי פרטי (VPC), לרשתות מקומיות ולרשתות של ספקי ענן אחרים.
שירות Cloud NAT מתרגם כתובות למשאבים הבאים:
- מכונות וירטואליות (VM) של Compute Engine
אשכולות Google Kubernetes Engine (GKE)
מופעי Cloud Run
מופעים של Cloud Run functions
מכונות בסביבה רגילה של App Engine
ה-NAT מוחל באופן אוטומטי על המשאבים שתואמים להגדרת Cloud NAT שלכם אחרי שיוצרים שער Cloud NAT ומגדירים אותו כך שישרת את רשתות המשנה שבהן המשאבים האלה פועלים.
Cloud NAT תומך בתרגום כתובות רק עבור מנות תגובה נכנסות שנוצרו. הוא לא מאפשר חיבורים נכנסים לא רצויים.
סוגים של Cloud NAT
כדי להגדיר Cloud NAT, יוצרים שער Cloud NAT באזור של רשתות המשנה שזקוקות ל-NAT. לאחר מכן השער משמש כל רשת משנה שמצוינת בהגדרה שלו.
Cloud NAT תומך בשני סוגים של NAT:
- NAT ציבורי
- NAT פרטי
שער Cloud NAT יחיד מספק NAT ציבורי או NAT פרטי. אם יוצרים שני שערים נפרדים, אפשר להשתמש בשני סוגי ה-NAT כדי לשרת את אותה רשת משנה.
גם NAT ציבורי וגם NAT פרטי יכולים לתרגם כתובות מ-IPv4 ל-IPv4 ומ-IPv6 ל-IPv4.
NAT ציבורי
NAT ציבורי מאפשר למשאבים Google Cloud שאין להם כתובות IPv4 חיצוניות לתקשר עם יעדי IPv4 באינטרנט. המכונות הווירטואליות האלה משתמשות בקבוצה של כתובות IP חיצוניות משותפות כדי להתחבר לאינטרנט. Cloud NAT לא מסתמך על מכונות וירטואליות של שרת proxy. במקום זאת, שער Cloud NAT מקצה קבוצה של כתובות IP חיצוניות ויציאות מקור לכל מכונה וירטואלית שמשתמשת בשער כדי ליצור חיבורים יוצאים לאינטרנט.
נניח שיש לכם מכונה וירטואלית VM-1 ב-subnet-1 שלממשק הרשת שלה אין כתובת IP חיצונית. עם זאת, כדי להוריד עדכונים, צריך לחבר את VM-1 לאינטרנט. כדי לאפשר קישוריות לאינטרנט, אתם יכולים ליצור שער Cloud NAT שמוגדר להחלה על טווח כתובות ה-IP של subnet-1. עכשיו, VM-1 יכול לשלוח תנועה לאינטרנט באמצעות כתובת ה-IP הפנימית של subnet-1.
מידע נוסף זמין במאמר בנושא NAT ציבורי.
NAT פרטי
NAT פרטי מאפשר תרגום של כתובות פרטיות ליעדים הבאים.
| יעד | תיאור |
|---|---|
| רשת VPC אחרת | NAT פרטי תומך ב-NAT עבור רשתות VPC שמצורפות למרכז Network Connectivity Center. מידע נוסף זמין במאמרים הבאים:
|
| אותה רשת VPC | NAT פרטי תומך ב-NAT לתעבורת IPv6 באותה רשת VPC (Preview). מידע נוסף זמין במאמר בנושא NAT64 ב-Private NAT. |
| ברשת מקומית או ברשת של ספק אחר של שירותי ענן | NAT פרטי תומך באפשרויות הבאות לתעבורת נתונים בין רשתות VPC ורשתות מקומיות או רשתות של ספקי שירותי ענן אחרים:
|
אם ברשת ה-VPC יש רשתות משנה של IPv4 שחופפות לרשת היעד, אפשר להשתמש ב-NAT פרטי כדי לאפשר תקשורת בין הרשתות. שער NAT מתרגם את תעבורת הנתונים מהמקור לכתובות IP ייחודיות, וכך מאפשר למשאבים שלכם להתחבר לכל תת-רשת לא חופפת של רשת היעד. Google Cloud
מידע נוסף זמין במאמר בנושא NAT פרטי.
משאבים נתמכים
בטבלה הבאה מפורטים Google Cloud המשאבים שנתמכים בכל סוג של Cloud NAT. סימןהווי מציין שהמשאב נתמך.
| משאב | NAT ציבורי | NAT פרטי |
|---|---|---|
| מכונות וירטואליות של Compute Engine | ||
| אשכולות GKE | ||
| Cloud Run, פונקציות Cloud Run ו-App Engine1 | ||
| קבוצות אזוריות של נקודות קצה ברשת האינטרנט (NEGs) | לא רלוונטי |
- מכונות Cloud Run (שירותים ומשימות) ומכונות פונקציות Cloud Run באמצעות Direct VPC egress (מומלץ) או חיבור לרשת (VPC) מאפליקציית serverless
- מופעים של סביבה רגילה של App Engine דרך חיבור לרשת (VPC) מאפליקציית serverless
ארכיטקטורה
Cloud NAT הוא שירות מנוהל מבוזר מוגדר-תוכנה. היא לא מבוססת על מכונות וירטואליות או מכשירים של שרת proxy. שירות Cloud NAT מגדיר את תוכנת Andromeda שמפעילה את הרשת של הענן הווירטואלי הפרטי (VPC), כך שהיא מספקת תרגום כתובת רשת של המקור (source NAT או SNAT) למשאבים. Cloud NAT מספק גם תרגום כתובת רשת של יעד (תרגום NAT של יעד או DNAT) לחבילות תגובה נכנסות שנוצרו.
יתרונות
היתרונות של Cloud NAT:
אבטחה
כשמשתמשים בשער Cloud NAT ל-NAT ציבורי, אפשר לצמצם את הצורך של כל מכונה וירטואלית בכתובות IP חיצוניות. בכפוף לכללי חומת האש לתעבורת נתונים יוצאת (egress), מכונות וירטואליות ללא כתובות IP חיצוניות יכולות לגשת ליעדים באינטרנט. לדוגמה, יכול להיות שיש לכם מכונות וירטואליות שזקוקות לגישה לאינטרנט רק כדי להוריד עדכונים או כדי להשלים הקצאת משאבים.
אם אתם משתמשים בהקצאה ידנית של כתובות IP של NAT כדי להגדיר שער Cloud NAT ל-NAT ציבורי, אתם יכולים לשתף בבטחה קבוצה של כתובות IP חיצוניות נפוצות של מקור עם צד יעד. לדוגמה, שירות יעד יכול לאפשר רק חיבורים מכתובות IP חיצוניות מוכרות.
NAT פרטי מאפשר NAT פרטי בין רשתות VPC או בין רשתות VPC לבין רשתות מקומיות או רשתות של ספקי שירותי ענן אחרים. כשמגדירים Private NAT, שער Cloud NAT מבצע NAT באמצעות כתובות IP מטווח רשת המשנה של Private NAT.
זמינות
Cloud NAT הוא שירות מנוהל מבוזר שמוגדר על ידי תוכנה. הוא לא תלוי במכונות וירטואליות בפרויקט או במכשיר שער פיזי יחיד. מגדירים שער NAT ב-Cloud Router, שמספק את מישור הבקרה של NAT, ומכיל פרמטרים להגדרה שאתם מציינים. Google Cloud מריץ ומנהל תהליכים במכונות הפיזיות שמריצות את המכונות הווירטואליות שלכם. Google Cloud
מדרגיות
אפשר להגדיר את Cloud NAT כך שישנה באופן אוטומטי את מספר כתובות ה-IP של NAT שבהן הוא משתמש, והוא תומך במכונות וירטואליות ששייכות לקבוצות של מופעי מכונה מנוהלים, כולל קבוצות שמופעלת בהן התאמה אוטומטית לעומס.
ביצועים
שירות Cloud NAT לא מצמצם את רוחב הפס של הרשת לכל מכונה וירטואלית. Cloud NAT מיושם על ידי רשת מוגדרת בתוכנה של Google Andromeda. מידע נוסף זמין במאמר בנושא רוחב פס ברשת במסמכי התיעוד של Compute Engine.
Logging
במקרה של תנועה ב-Cloud NAT, אפשר לעקוב אחרי החיבורים ורוחב הפס לצורך תאימות, ניפוי באגים, ניתוח וחשבונאות.
מעקב
שירות Cloud NAT חושף מדדים מרכזיים ל-Cloud Monitoring, ומספק תובנות לגבי השימוש בשערי NAT בצי שלכם. המדדים נשלחים אוטומטית ל-Cloud Monitoring. שם תוכלו ליצור מרכזי בקרה בהתאמה אישית, להגדיר התראות ולשאול שאלות לגבי מדדים.
בנוסף, Network Analyzer מפרסם תובנות לגבי Cloud NAT. Network Analyzer עוקב באופן אוטומטי אחרי ההגדרה של Cloud NAT כדי לזהות את התובנות האלה וליצור אותן.
אינטראקציות עם מוצרים
מידע נוסף על האינטראקציות החשובות בין Cloud NAT לבין מוצרים אחרים של Google Cloud זמין במאמר אינטראקציות בין מוצרים של Cloud NAT.
המאמרים הבאים
- מידע נוסף על אינטראקציות בין מוצרים ב-Cloud NAT
- מידע נוסף על כתובות IP ופורטים
- הגדרה וניהול של תרגום כתובות רשת באמצעות Public NAT
- מידע על כללי NAT של Cloud NAT
- הגדרה וניהול של תרגום כתובות רשת (NAT) באמצעות NAT פרטי
- פתרון בעיות בהגדרות
- מידע על התמחור של Cloud NAT