Cloud NAT 總覽

Cloud NAT 可為傳出至網際網路的流量提供網路位址轉譯 (NAT)。

Cloud NAT 會轉譯下列資源的位址：

• Compute Engine 虛擬機器 (VM) 執行個體

• Google Kubernetes Engine (GKE) 叢集

• 區域網際網路網路端點群組 (NEG)

Cloud NAT 僅支援已建立的傳入回應封包位址轉譯。不允許未經要求的連入連線。

使用 Cloud NAT 閘道後， Trusted Cloud 資源 就能連線至來源 VPC 網路外部的資源。

公開 NAT 可讓沒有外部 IPv4 位址的資源與網際網路上的 IPv4 目的地通訊。 Trusted Cloud 這些 VM 會使用一組共用的外部 IP 位址連線至網際網路。Cloud NAT 不會使用 Proxy VM。而是由 Cloud NAT 閘道為每個使用閘道建立網際網路傳出連線的 VM，分配一組外部 IP 位址和來源通訊埠。

假設您有 VM-1，但其網路介面沒有外部 IP 位址。subnet-1不過，VM-1必須連上網際網路才能下載更新。如要啟用網際網路連線，可以建立 Cloud NAT 閘道，並設定套用至 subnet-1 的 IP 位址範圍。現在，VM-1 可以使用 subnet-1 的內部 IP 位址，將流量傳送至網際網路。

詳情請參閱「Public NAT」。

架構

Cloud NAT 是分散式的軟體定義型代管服務，這項功能並非以 Proxy VM 或設備為基礎。Cloud NAT 會設定虛擬私有雲 (VPC) 網路所用的 Andromeda 軟體，為資源提供來源網路位址轉譯 (來源 NAT 或 SNAT)。Cloud NAT 也會為已建立的傳入回應封包提供目的地網路位址轉譯 (目的地 NAT 或 DNAT)。

優點

Cloud NAT 具有下列優點：

• 安全性

  使用 Cloud NAT 閘道進行公開 NAT 時，您可減少個別 VM 各自擁有外部 IP 位址的需求。只要符合輸出防火牆規則，沒有外部 IP 位址的 VM 就能存取網際網路上的目的地。舉例來說，您可能擁有只需要網際網路連線，即可下載更新或完成佈建的 VM。

  如果您使用手動 NAT IP 位址指派，為公開 NAT 設定 Cloud NAT 閘道，就能放心地與目的地端分享一組通用的外部來源 IP 位址。舉例來說，目的地服務可能只允許來自已知外部 IP 位址的連線。

• 適用情況

  Cloud NAT 是分散式的軟體定義型代管服務，不依附於專案中的任何 VM 或單一實體閘道裝置。您可以在 Cloud Router 上設定 NAT 閘道，為 NAT 提供控制平面，並保留您指定的設定參數。 Trusted Cloud 會在執行 VM 的實體機器上執行及維護程序。 Trusted Cloud

• 擴充性

  您可以設定 Cloud NAT，自動調度使用的 NAT IP 位址數量，並支援屬於代管執行個體群組的 VM，包括啟用自動調度資源的群組。

• 效能

  Cloud NAT 不會減少每個 VM 的網路頻寬。Cloud NAT 是由 Google 的 Andromeda 軟體定義網路實作。詳情請參閱 Compute Engine 說明文件中的網路頻寬一節。

• Logging

  對於 Cloud NAT 流量，您可以追蹤連線和頻寬，以利進行法規遵循、偵錯、分析和會計作業。

• Monitoring

  Cloud NAT 會將重要指標公開給 Cloud Monitoring，讓您深入瞭解車隊使用 NAT 閘道的情況。指標會自動傳送至 Cloud Monitoring。您可以在這裡建立自訂資訊主頁、設定快訊及查詢指標。

產品互動

如要進一步瞭解 Cloud NAT 與其他 Trusted Cloud 產品的重要互動，請參閱「Cloud NAT 產品互動」。

後續步驟

• 瞭解 Google Cloud Trusted Cloud 與 Google Cloud 的 Cloud NAT 差異。

• 瞭解 Cloud NAT 產品互動。
• 瞭解 Cloud NAT 位址和通訊埠。
• 設定 Public NAT。
• 瞭解 Cloud NAT 規則。
• 排解常見問題。