Cloud NAT 概览

Cloud NAT 可为出站流量提供网络地址转换 (NAT),以便流向互联网。

Cloud NAT 可为以下 Trusted Cloud by S3NS 资源提供 NAT:

Cloud NAT 仅支持对建立的入站响应数据包执行地址转换。它不允许未经请求的入站连接。

通过使用 Cloud NAT 网关,您的 Trusted Cloud 资源可以连接到来源 VPC 网络外部的资源。

Public NAT 允许没有外部 IPv4 地址的 Trusted Cloud 资源与互联网上的 IPv4 目标进行通信。这些虚拟机使用一组共享的外部 IP 地址连接到互联网。 Cloud NAT 不依赖于代理虚拟机。Cloud NAT 网关会为使用网关创建与互联网的出站连接的每个虚拟机分配一组外部 IP 地址和来源端口。

考虑以下场景:subnet-1 中有 VM-1,其网络接口没有外部 IP 地址。不过,VM-1 需要连接到互联网才能下载更新。如需启用互联网连接,您可以创建一个配置为应用于 subnet-1 IP 地址范围的 Cloud NAT 网关。现在,VM-1 可以使用 subnet-1 的内部 IP 地址将流量发送到互联网。

如需了解详情,请参阅 Public NAT

架构

Cloud NAT 是一种软件定义的分布式代管式服务。它并非基于代理虚拟机或设备。Cloud NAT 会配置 Andromeda 软件,该软件为您的虚拟私有云 (VPC) 网络提供支持,从而为资源提供来源网络地址转换(来源 NAT 或 SNAT)。此外,Cloud NAT 还会对建立的入站响应数据包执行目标网络地址转换(目标 NAT 或 DNAT)。

传统 NAT 与 Cloud NAT。
传统 NAT 与 Cloud NAT(点击可放大)。

优势

Cloud NAT 具有以下优势:

  • 安全性

    使用用于 Public NAT 的 Cloud NAT 网关时,您可以减少每个虚拟机都需要外部 IP 地址的需求。根据出站防火墙规则,没有外部 IP 地址的虚拟机可以访问互联网上的目标。例如,您的虚拟机可能只需访问互联网即可下载更新或完成预配。

    通过使用手动 NAT IP 地址分配来配置用于 Public NAT 的 Cloud NAT 网关,您可以放心地将一组常用的外部源 IP 地址共享给目标方。例如,目标服务可能只允许来自已知外部 IP 地址的连接。

  • 可用性

    Cloud NAT 是一种软件定义的分布式代管式服务。它既不依赖于项目中的任何虚拟机,也不依赖于单个物理网关设备。您可以在 Cloud Router 上配置 NAT 网关,以便为 NAT 提供控制平面,存储您指定的配置参数。 Trusted Cloud 可在运行 Trusted Cloud 虚拟机的物理机器上运行和维护进程。

  • 可伸缩性

    您可配置 Cloud NAT 来自动扩缩其使用的 NAT IP 地址数量,Cloud NAT 还支持属于代管式实例组的虚拟机,包括已启用自动扩缩的实例组。

  • 性能

    Cloud NAT 不会降低每个虚拟机的网络带宽。Cloud NAT 可直接与 Google 的 Andlomeda 软件定义网络配合使用。如需了解详情,请参阅 Compute Engine 文档中的网络带宽

  • Logging

    对于 Cloud NAT 流量,您可以跟踪连接和带宽,以便进行合规性检查、调试、分析和核算。

  • 监控

    Cloud NAT 向 Cloud Monitoring 提供关键指标,可让您深入了解机群的 NAT 网关使用情况。系统会自动将指标发送至 Cloud Monitoring。在这里,您可以创建自定义信息中心、设置提醒以及查询指标。

    此外,网络分析器还会发布 Cloud NAT 分析数据。网络分析器会自动监控您的 Cloud NAT 配置,以检测并生成这些数据分析。

产品交互

如需详细了解 Cloud NAT 与其他 Trusted Cloud 产品之间的重要互动,请参阅 Cloud NAT 产品互动

后续步骤