Cloud NAT 개요

Cloud NAT는 인터넷으로의 아웃바운드 트래픽에 네트워크 주소 변환(NAT)을 제공합니다.

Cloud NAT는 다음 Trusted Cloud by S3NS 리소스에 NAT를 제공합니다.

• Compute Engine 가상 머신(VM) 인스턴스
• Google Kubernetes Engine(GKE) 클러스터
• 서버리스 VPC 액세스 또는 직접 VPC 이그레스를 통한 Cloud Run 인스턴스
• 서버리스 VPC 액세스를 통한 Cloud Run Functions 인스턴스
• 서버리스 VPC 액세스를 통한 App Engine 표준 환경 인스턴스
• 리전별 인터넷 네트워크 엔드포인트 그룹(NEG)

Cloud NAT는 설정된 인바운드 응답 패킷에만 주소 변환을 지원합니다. 요청하지 않은 인바운드 연결은 허용하지 않습니다.

Cloud NAT 게이트웨이를 사용하면 Trusted Cloud 리소스에서 소스 VPC 네트워크 외부의 리소스에 연결할 수 있습니다.

Public NAT를 사용하면 외부 IPv4 주소가 없는 Trusted Cloud 리소스가 인터넷의 IPv4 대상과 통신할 수 있습니다. 이러한 VM은 공유 외부 IP 주소 집합을 사용하여 인터넷에 연결합니다. Cloud NAT는 프록시 VM을 사용하지 않습니다. 대신 Cloud NAT 게이트웨이는 게이트웨이를 사용하여 인터넷에 대한 아웃바운드 연결을 만드는 각 VM에 외부 IP 주소 및 소스 포트 집합을 할당합니다.

네트워크 인터페이스에 외부 IP 주소가 없는 subnet-1에 VM-1이 있다고 가정해 보겠습니다. 하지만 업데이트를 다운로드하려면 VM-1이 인터넷에 연결되어야 합니다. 인터넷에 연결할 수 있도록 subnet-1의 IP 주소 범위에 적용되도록 구성된 Cloud NAT 게이트웨이를 만들 수 있습니다. 이제 VM-1에서 subnet-1의 내부 IP 주소를 사용하여 트래픽을 인터넷에 전송할 수 있습니다.

자세한 내용은 Public NAT를 참조하세요.

아키텍처

Cloud NAT는 소프트웨어로 정의되는 분산형 및 관리형 서비스입니다. 프록시 VM 또는 어플라이언스를 기반으로 하지 않습니다. Cloud NAT는 리소스에 소스 네트워크 주소 변환(소스 NAT 또는 SNAT)이 제공되도록 Virtual Private Cloud(VPC) 네트워크를 지원하는 Andromeda 소프트웨어를 구성합니다. Cloud NAT는 또한 설정된 인바운드 응답 패킷에만 대상 네트워크 주소 변환(대상 NAT 또는 DNAT)을 제공합니다.

이점

Cloud NAT는 다음과 같은 이점을 제공합니다.

• 보안

  Public NAT에 Cloud NAT 게이트웨이를 사용하면 개별 VM이 각각 외부 IP 주소를 가져야 할 필요성을 줄일 수 있습니다. 이그레스 방화벽 규칙에 따라 외부 IP 주소가 없는 VM이 인터넷에서 대상에 액세스할 수 있습니다. 예를 들어 업데이트 다운로드 또는 프로비저닝 완료를 위해서만 VM에 인터넷 액세스가 필요할 수 있습니다.

  수동 NAT IP 주소 할당을 사용하여 Public NAT용 Cloud NAT 게이트웨이를 구성하면 공통 외부 소스 IP 주소 집합을 대상과 확실하게 공유할 수 있습니다. 예를 들어 대상 서비스는 알려진 외부 IP 주소로부터 들어오는 연결만 허용할 수 있습니다.

• 가용성

  Cloud NAT는 소프트웨어로 정의되는 분산형 및 관리형 서비스입니다. 프로젝트의 VM 또는 단일 물리적 게이트웨이 기기에 의존하지 않습니다. Cloud Router에서 NAT 게이트웨이를 구성하면 사용자가 지정한 구성 파라미터를 저장하는 NAT를 위한 컨트롤 플레인이 제공됩니다. Trusted Cloud 에서는 Trusted Cloud VM을 실행하는 물리적 머신에서 프로세스를 실행하고 유지관리합니다.

• 확장성

  사용되는 NAT IP 주소 수를 자동으로 확장하도록 Cloud NAT를 구성할 수 있으며 자동 확장이 사용 설정된 그룹을 포함하여 관리형 인스턴스 그룹에 속하는 VM을 지원합니다.

• 성능

  Cloud NAT는 VM별 네트워크 대역폭을 줄이지 않습니다. Cloud NAT는 Google의 Andromeda 소프트웨어 정의 네트워킹으로 구현됩니다. 자세한 내용은 Compute Engine 문서의 네트워크 대역폭을 참조하세요.

• 로깅

  Cloud NAT 트래픽의 경우 규정 준수, 디버깅, 분석, 회계 목적으로 연결 및 대역폭을 추적할 수 있습니다.

• 모니터링

  Cloud NAT는 Fleet의 NAT 게이트웨이 사용을 파악할 수 있도록 Cloud Monitoring에 대한 핵심 측정항목을 제공합니다. 측정항목은 Cloud Monitoring에 자동으로 전송됩니다. 여기에서 커스텀 대시보드를 만들고, 알림을 설정하고, 측정항목을 쿼리할 수 있습니다.

  또한 네트워크 분석기는 Cloud NAT 통계를 게시합니다. 네트워크 분석기는 Cloud NAT 구성을 자동으로 모니터링하여 이러한 통계를 감지하고 생성합니다.

제품 상호작용

Cloud NAT와 다른 Trusted Cloud 제품 간의 중요한 상호작용에 대한 자세한 내용은 Cloud NAT 제품 상호작용을 참고하세요.

다음 단계

• Cloud NAT 제품 상호작용 알아보기
• Cloud NAT 주소 및 포트 알아보기
• Public NAT 설정
• Cloud NAT 규칙 알아보기
• 일반적인 문제 해결하기
• Cloud NAT 가격 책정 알아보기