このページの情報の一部またはすべては、S3NS の Trusted Cloud には適用されない場合があります。

Cloud NAT の概要

Cloud NAT は、インターネットへのアウトバウンドトラフィックに対してネットワークアドレス変換（NAT）を提供します。

Cloud NAT は、次のリソースのアドレスを変換します。

Compute Engine 仮想マシン（VM）インスタンス
Google Kubernetes Engine（GKE）クラスタ
Cloud Run インスタンス
Cloud Run functions インスタンス
App Engine スタンダード環境のインスタンス。
リージョンインターネットネットワークエンドポイントグループ（NEG）

Cloud NAT は、確立されたインバウンドレスポンスパケットのアドレス変換のみをサポートします。未承諾のインバウンド接続は許可されません。

Cloud NAT ゲートウェイを使用すると、 Trusted Cloud リソースは送信元 VPC ネットワーク外のリソースに接続できます。

Public NAT を使用すると、外部 IPv4 アドレスを持たない Trusted Cloud リソースがインターネット上の IPv4 宛先と通信できます。こうした VM は、一連の共有外部 IP アドレスを使用してインターネットに接続します。Cloud NAT はプロキシ VM に依存しません。代わりに、Cloud NAT ゲートウェイは、ゲートウェイを使用してインターネットへのアウトバウンド接続を行う各 VM に、外部 IP アドレスと送信元ポートのセットを割り当てます。

subnet-1 に VM-1 があり、そのネットワークインターフェースに外部 IP アドレスがないシナリオについて考えてみましょう。ただし、VM-1 は、更新をダウンロードするためにインターネットに接続する必要があります。インターネットへの接続を有効にするには、subnet-1 の IP アドレス範囲に適用するように構成された Cloud NAT ゲートウェイを作成できます。これで、VM-1 は subnet-1 の内部 IP アドレスを使用してインターネットにトラフィックを送信できるようになりました。

詳細については、Public NAT をご覧ください。

アーキテクチャ

Cloud NAT はソフトウェア定義の分散マネージドサービスです。プロキシ VM やアプライアンスをベースにしていません。Cloud NAT は、Virtual Private Cloud（VPC）ネットワークを強化する Andromeda ソフトウェアを構成します。これにより、リソースに対して送信元ネットワークアドレス変換（送信元 NAT または SNAT）を提供します。また、Cloud NAT は、確立された受信レスポンスパケットに対してのみ宛先ネットワークアドレス変換（宛先 NAT または DNAT）を提供します。

従来の NAT と Cloud NAT の比較。 — 従来の NAT と Cloud NAT の比較（クリックして拡大）

利点

Cloud NAT には次の利点があります。

セキュリティ

Public NAT に Cloud NAT ゲートウェイを使用すると、個々の VM に外部 IP アドレスを割り当てる必要がなくなります。下り（外向き）ファイアウォールルールに従い、外部 IP アドレスを持たない VM はインターネット上の宛先にアクセスできます。たとえば、更新のダウンロードやプロビジョニングの完了のためだけに、VM にインターネットアクセスが必要になる場合があります。

手動 NAT IP アドレス割り当てで Public NAT の Cloud NAT ゲートウェイを構成すると、共通する外部の送信元 IP アドレスのセットを宛先と安全に共有できます。たとえば、宛先のサービスが既知の外部 IP アドレスからの接続のみを許可できます。
可用性

Cloud NAT はソフトウェア定義の分散マネージドサービスです。プロジェクト内の VM や単一の物理ゲートウェイデバイスには依存しません。Cloud Router に NAT ゲートウェイを構成することにより、指定した構成パラメータを保持する、NAT のコントロールプレーンが提供されます。 Trusted Cloud は、 Trusted Cloud VM を実行する物理マシンでプロセスを実行して維持します。
スケーラビリティ

Cloud NAT は、使用する NAT IP アドレスの数を自動的にスケーリングするように構成できます。Cloud NAT は、自動スケーリングが有効になっているグループなど、マネージドインスタンスグループに属する VM をサポートします。
パフォーマンス

Cloud NAT は VM ごとのネットワーク帯域幅を縮小しません。Cloud NAT は、Google の Andromeda ソフトウェア定義ネットワーキングによって実装されています。詳細については、Compute Engine のドキュメントのネットワーク帯域幅をご覧ください。
ロギング

Cloud NAT トラフィックに対しては、コンプライアンス、デバッグ、分析、アカウンティングを行うために接続と帯域幅をトレースできます。
モニタリング

Cloud NAT は、NAT ゲートウェイの使用状況を把握できるようにする重要な指標を Cloud Monitoring に送信します。指標は自動的に Cloud Monitoring に送信されます。カスタムダッシュボードを作成してアラートを設定し、指標をクエリできます。

また、ネットワークアナライザは Cloud NAT 分析情報を公開します。ネットワークアナライザは、Cloud NAT 構成を自動的にモニタリングして、これらの分析情報を検出して生成します。

プロダクトの相互作用

Cloud NAT と他の Trusted Cloud プロダクトの間の重要な相互作用の詳細については、Cloud NAT プロダクトの相互作用をご覧ください。

次のステップ

Cloud NAT プロダクトの相互作用について学習する。
Cloud NAT アドレスとポートについて学ぶ。
Public NAT を設定する。
Cloud NAT ルールについて学習する。
一般的な問題のトラブルシューティングを行う。
Cloud NAT の料金について学習する。