סקירה כללית על Cloud NAT

‫Cloud NAT מספק תרגום כתובות רשת (NAT) לתעבורת נתונים יוצאת לאינטרנט.

שירות Cloud NAT מתרגם כתובות למשאבים הבאים:

• מכונות וירטואליות (VM) של Compute Engine

• אשכולות Google Kubernetes Engine‏ (GKE)

• קבוצות אזוריות של נקודות קצה ברשת (NEGs) באינטרנט

אחרי שיוצרים שער Cloud NAT ומגדירים אותו כך שישרת את רשתות המשנה שבהן המשאבים פועלים, המערכת מחילה NAT באופן אוטומטי על המשאבים שתואמים להגדרת Cloud NAT.

‫Cloud NAT תומך בתרגום כתובות רק לחבילות תגובה נכנסות שנוצרו. הוא לא מאפשר חיבורים נכנסים לא רצויים.

כדי להגדיר Cloud NAT, יוצרים שער Cloud NAT באזור של רשתות המשנה שזקוקות ל-NAT. לאחר מכן השער משמש כל רשת משנה שמצוינת בהגדרה שלו.

‫NAT ציבורי מאפשר למשאבים Cloud de Confiance שאין להם כתובות IPv4 חיצוניות לתקשר עם יעדי IPv4 באינטרנט. המכונות הווירטואליות האלה משתמשות בקבוצה של כתובות IP חיצוניות משותפות כדי להתחבר לאינטרנט. ‫Cloud NAT לא מסתמך על מכונות וירטואליות של שרת proxy. במקום זאת, שער Cloud NAT מקצה קבוצה של כתובות IP חיצוניות ויציאות מקור לכל מכונה וירטואלית שמשתמשת בשער כדי ליצור חיבורים יוצאים לאינטרנט.

נניח שיש לכם מכונה וירטואלית VM-1 באזור subnet-1, שלממשק הרשת שלה אין כתובת IP חיצונית. עם זאת, כדי להוריד עדכונים, צריך לחבר את VM-1 לאינטרנט. כדי לאפשר קישוריות לאינטרנט, אפשר ליצור שער Cloud NAT שמוגדר להחלה על טווח כתובות ה-IP של subnet-1. עכשיו, VM-1 יכול לשלוח תנועה לאינטרנט באמצעות כתובת ה-IP הפנימית של subnet-1.

מידע נוסף זמין במאמר בנושא NAT ציבורי.

ארכיטקטורה

‫Cloud NAT הוא שירות מנוהל מבוזר מוגדר-תוכנה. היא לא מבוססת על מכשירי או מכונות וירטואליות של proxy. שירות Cloud NAT מגדיר את תוכנת Andromeda שמפעילה את רשת הענן הווירטואלי הפרטי (VPC) שלכם, כך שהיא מספקת תרגום כתובת רשת של מקור (source NAT או SNAT) למשאבים. ‫Cloud NAT מספק גם תרגום כתובת רשת של יעד (destination NAT או DNAT) לחבילות תגובה נכנסות שנוצרו.

יתרונות

היתרונות של Cloud NAT:

• אבטחה

  כשמשתמשים בשער Cloud NAT ל-NAT ציבורי, אפשר לצמצם את הצורך של כל מכונה וירטואלית בכתובות IP חיצוניות. בכפוף לכללי חומת אש לתעבורת נתונים יוצאת (egress), מכונות וירטואליות ללא כתובות IP חיצוניות יכולות לגשת ליעדים באינטרנט. לדוגמה, יכול להיות שיש לכם מכונות וירטואליות שזקוקות לגישה לאינטרנט רק כדי להוריד עדכונים או כדי להשלים הקצאת משאבים.

  אם אתם משתמשים בהקצאה ידנית של כתובות IP של NAT כדי להגדיר שער Cloud NAT ל-NAT ציבורי, אתם יכולים לשתף בבטחה קבוצה של כתובות IP חיצוניות נפוצות של מקור עם צד היעד. לדוגמה, שירות יעד יכול לאפשר רק חיבורים מכתובות IP חיצוניות מוכרות.

• זמינות

  Cloud NAT הוא שירות מנוהל מבוזר שמוגדר-תוכנה. הוא לא תלוי במכונות וירטואליות בפרויקט או במכשיר שער פיזי יחיד. מגדירים שער NAT ב-Cloud Router, שמספק את מישור הבקרה של NAT, ומכיל פרמטרים להגדרה שאתם מציינים. Cloud de Confiance מריץ ומנהל תהליכים במכונות הפיזיות שמריצות את המכונות הווירטואליות שלכם. Cloud de Confiance

• מדרגיות

  אפשר להגדיר את Cloud NAT כך שישנה באופן אוטומטי את מספר כתובות ה-IP של NAT שבהן הוא משתמש, והוא תומך במכונות וירטואליות ששייכות לקבוצות של מופעים מנוהלים, כולל קבוצות שמופעל בהן התאמה אוטומטית לעומס (automatic scaling).

• ביצועים

  שירות Cloud NAT לא מצמצם את רוחב הפס של הרשת לכל מכונה וירטואלית. ‫Cloud NAT מיושם על ידי שירותי Networking מוגדרי-תוכנה של Google Andromeda. מידע נוסף זמין במאמר רוחב פס ברשת במשאבי העזרה של Compute Engine.

• Logging

  במקרה של תנועה ב-Cloud NAT, אפשר לעקוב אחרי החיבורים ורוחב הפס לצורך תאימות, ניפוי באגים, ניתוח וחשבונאות.

• מעקב

  שירות Cloud NAT חושף מדדים מרכזיים ל-Cloud Monitoring, ומספק לכם תובנות לגבי השימוש בשערי NAT בצי שלכם. המדדים נשלחים אוטומטית ל-Cloud Monitoring. שם תוכלו ליצור מרכזי בקרה בהתאמה אישית, להגדיר התראות ולשאול שאלות לגבי מדדים.

אינטראקציות עם מוצרים

מידע נוסף על האינטראקציות החשובות בין Cloud NAT לבין מוצרים אחרים של Cloud de Confiance זמין במאמר אינטראקציות בין מוצרים של Cloud NAT.

המאמרים הבאים

• השוואה בין Cloud NAT ב- Cloud de Confiance ל-Google Cloud

• מידע על אינטראקציות בין מוצרים ב-Cloud NAT
• מידע על כתובות ופורטים של Cloud NAT
• מגדירים NAT ציבורי.
• מידע על כללי Cloud NAT.
• פתרון בעיות נפוצות.