Cloud NAT 總覽

Cloud NAT 提供網路位址轉譯 (NAT) 功能,可處理傳出流量至網際網路。

Cloud NAT 會為下列資源轉譯位址:

Cloud NAT 僅支援已建立的傳入回應封包的位址轉譯。不允許未經要求的內送連線。

使用 Cloud NAT 閘道後, Trusted Cloud 資源就能連線至來源 VPC 網路以外的資源。

公開 NAT 可讓沒有外部 IPv4 位址的資源與網際網路上的 IPv4 目的地通訊。 Trusted Cloud 這些 VM 會使用一組共用外部 IP 位址連上網際網路。Cloud NAT 不依賴 Proxy VM。相反地,Cloud NAT 閘道會將一組外部 IP 位址和來源通訊埠分配給每個使用閘道建立連至網際網路的傳出連線的 VM。

請考慮以下情境:subnet-1 中的 VM-1 網路介面沒有外部 IP 位址。不過,VM-1 需要連上網際網路才能下載更新。如要啟用網際網路連線,您可以建立 Cloud NAT 閘道,並將其套用至 subnet-1 的 IP 位址範圍。VM-1 現在可以使用 subnet-1 的內部 IP 位址,將流量傳送至網際網路。

詳情請參閱「公開 NAT」。

架構

Cloud NAT 是分散式軟體定義型代管服務,並非以 Proxy VM 或設備為基礎。Cloud NAT 會設定為虛擬私有雲 (VPC) 網路提供動力的 Andromeda 軟體,為資源提供來源網路位址轉譯 (來源 NAT 或 SNAT)。Cloud NAT 也為已建立的傳入回應封包提供目的地網路位址轉譯 (目的地 NAT 或 DNAT)

傳統 NAT 與 Cloud NAT。
傳統 NAT 與 Cloud NAT (按一下可放大)

優點

Cloud NAT 具備下列優點:

  • 安全性

    使用 Cloud NAT 閘道進行公開 NAT 時,您可以減少個別 VM 需要外部 IP 位址的需求。根據輸出防火牆規則,沒有外部 IP 位址的 VM 可以存取網際網路上的目的地。舉例來說,您可能有 VM 只需要連上網際網路,才能下載更新或完成佈建作業。

    如果您使用手動 NAT IP 位址指派功能設定公開 NAT 的 Cloud NAT 閘道,就能放心與目的方分享一組常見的外部來源 IP 位址。舉例來說,目的地服務可能只允許來自已知外部 IP 位址的連線。

  • 適用情況

    Cloud NAT 是分散式軟體定義型代管服務。不依賴專案中的任何 VM 或單一實體閘道裝置。您可以在 Cloud Router 上設定 NAT 閘道,該閘道會提供 NAT 的控制平面,並保留您指定的設定參數。 Trusted Cloud 會在執行 Trusted Cloud VM 的實體機器上執行及維護程序。

  • 擴充性

    您可以設定 Cloud NAT 自動調度使用的 NAT IP 位址數量,而且支援屬於受管理執行個體群組的 VM,包括已啟用自動調度資源的群組。

  • 效能

    Cloud NAT 不會降低每個 VM 的網路頻寬。Cloud NAT 是由 Google 的 Andromeda 軟體定義網路實作。詳情請參閱 Compute Engine 說明文件中的「網路頻寬」一節。

  • Logging

    針對 Cloud NAT 流量,您可以追蹤連線和頻寬,以便進行法規遵循、偵錯、分析和記帳。

  • Monitoring

    Cloud NAT 會將重要指標提供給 Cloud Monitoring,讓您深入瞭解車隊使用 NAT 閘道的情況。系統會自動將指標傳送至 Cloud Monitoring。您可以在其中建立自訂資訊主頁、設定快訊和查詢指標。

    此外,網路分析器也會發布 Cloud NAT 深入分析。Network Analyzer 會自動監控 Cloud NAT 設定,偵測並產生這些洞察資料。

產品互動

如要進一步瞭解 Cloud NAT 與其他 Trusted Cloud 產品之間的重要互動,請參閱「Cloud NAT 產品互動」。

後續步驟