Beberapa atau semua informasi di halaman ini mungkin tidak berlaku untuk Trusted Cloud oleh S3NS.

Halaman ini diterjemahkan oleh Cloud Translation API.

Public NAT

Dengan NAT Publik, instance virtual machine (VM) Compute Engine dapat berkomunikasi dengan internet dengan mengalokasikan serangkaian alamat IPv4 eksternal bersama dan port sumber ke setiap VM yang menggunakan NAT Publik untuk membuat koneksi keluar ke internet.

Dengan NAT Publik, instance VM yang tidak memiliki alamat IPv4 eksternal dapat berkomunikasi dengan tujuan IPv4 di internet. NAT publik juga memungkinkan instance VM Anda dengan alamat IPv6 eksternal atau internal terhubung ke tujuan IPv4 di internet (Pratinjau).

Spesifikasi

NAT publik mendukung penafsiran alamat jaringan (NAT) untuk berikut ini:

Dari IPv4 ke IPv4, atau NAT44. Untuk mengetahui informasi selengkapnya, lihat NAT44 di NAT Publik.
Dari IPv6 ke IPv4, atau NAT64 (Pratinjau). NAT64 tersedia untuk instance VM Compute Engine. Untuk node Google Kubernetes Engine (GKE), endpoint serverless, dan grup endpoint jaringan internet regional, NAT Publik hanya menerjemahkan alamat IPv4. Untuk mengetahui informasi selengkapnya, lihat NAT64 di NAT Publik.

Spesifikasi umum

NAT publik memungkinkan koneksi keluar dan respons masuk ke koneksi tersebut. Setiap gateway Cloud NAT untuk Public NAT menjalankan NAT sumber pada traffic keluar dan NAT tujuan untuk paket respons yang telah ditetapkan.
NAT publik tidak mengizinkan permintaan masuk yang tidak diminta dari internet, meskipun aturan firewall akan mengizinkan permintaan tersebut. Untuk mengetahui informasi selengkapnya, lihat RFC yang berlaku.
Setiap gateway Cloud NAT untuk NAT Publik dikaitkan dengan satu jaringan VPC, region, dan Cloud Router. Gateway Cloud NAT dan Cloud Router menyediakan bidang kontrol—keduanya tidak terlibat dalam bidang data—sehingga paket tidak melewati gateway Cloud NAT atau Cloud Router.

Meskipun gateway Cloud NAT untuk NAT Publik dikelola oleh Cloud Router, NAT Publik tidak menggunakan atau bergantung pada Border Gateway Protocol.
Untuk NAT44, NAT Publik dapat menyediakan NAT untuk paket keluar yang dikirim dari:
- Alamat IP internal utama antarmuka jaringan VM, asalkan antarmuka jaringan tidak memiliki alamat IP eksternal yang ditetapkan kepadanya: jika antarmuka jaringan memiliki alamat IP eksternal yang ditetapkan kepadanya, Trusted Cloud secara otomatis melakukan NAT satu-ke-satu untuk paket yang sumbernya cocok dengan alamat IP internal utama antarmuka karena antarmuka jaringan memenuhi Trusted Cloud persyaratan akses internet. Keberadaan alamat IP eksternal di antarmuka selalu diprioritaskan dan selalu melakukan NAT satu-ke-satu, tanpa menggunakan NAT Publik.
- Rentang IP alias yang ditetapkan ke antarmuka jaringan VM: meskipun antarmuka jaringan memiliki alamat IP eksternal yang ditetapkan ke antarmuka tersebut, Anda dapat mengonfigurasi gateway Cloud NAT untuk NAT Publik guna menyediakan NAT untuk paket yang sumbernya berasal dari rentang IP alias antarmuka. Alamat IP eksternal pada antarmuka tidak pernah melakukan NAT one-to-one untuk alamat IP alias.
- Cluster GKE: NAT publik dapat menyediakan layanan meskipun cluster memiliki alamat IP eksternal dalam keadaan tertentu. Untuk mengetahui detailnya, lihat interaksi GKE.
Untuk NAT64 (Pratinjau), NAT Publik dapat menyediakan NAT untuk paket keluar yang dikirim dari:
- Rentang alamat /96 internal dari antarmuka jaringan khusus IPv6 VM.
- Rentang alamat /96 eksternal dari antarmuka jaringan khusus IPv6 VM.

Rute dan aturan firewall

NAT publik mengandalkan rute statis lokal yang next hop-nya adalah gateway internet default. Rute default biasanya memenuhi persyaratan ini. Untuk mengetahui informasi selengkapnya, lihat interaksi rute.

Aturan firewall Cloud NGFW diterapkan langsung ke antarmuka jaringan VM Compute Engine, bukan gateway Cloud NAT untuk NAT Publik.

Saat gateway Cloud NAT untuk NAT Publik menyediakan NAT untuk antarmuka jaringan VM, aturan firewall egress yang berlaku dievaluasi sebagai paket untuk antarmuka jaringan tersebut sebelum NAT. Aturan firewall ingress dievaluasi setelah paket diproses oleh NAT. Anda tidak perlu membuat aturan firewall khusus untuk NAT.

Namun, jika Anda ingin mengaktifkan NAT64 di jaringan VPC yang memiliki aturan firewall penolakan traffic keluar untuk tujuan IPv4, sebaiknya buat aturan firewall penolakan traffic keluar tambahan untuk alamat IPv6 yang disematkan IPv4 dari tujuan. Hal ini memastikan bahwa traffic dari VM yang menggunakan NAT64 tidak dapat melewati aturan firewall IPv4. Misalnya, jika tujuan dalam aturan IPv4 Anda adalah 1.2.3.4/32, tujuan dalam aturan IPv6 harus 64:ff9b:0102:0304/128. Untuk mempelajari lebih lanjut alamat IPv6 yang disematkan IPv4, lihat NAT64.

Penerapan rentang alamat IP subnet

NAT publik dapat menyediakan NAT untuk rentang subnet IPv4, rentang subnet IPv6, atau keduanya:

Untuk rentang subnet IPv4, Anda dapat menggunakan opsi berikut untuk mengonfigurasi NAT bagi rentang alamat IP utama, rentang IP alias, atau keduanya:
- Rentang alamat IPv4 utama dan sekunder dari semua subnet di region: satu gateway Cloud NAT menyediakan NAT untuk alamat IP internal utama dan semua rentang IP alias VM yang memenuhi syarat yang antarmuka jaringannya menggunakan subnet IPv4 di region.
- Rentang alamat IPv4 utama semua subnet di region: satu gateway Cloud NAT menyediakan NAT untuk alamat IP internal utama dan rentang IP alias dari rentang alamat IP utama subnet dari VM yang memenuhi syarat yang antarmuka jaringannya menggunakan subnet IPv4 di region. Anda dapat membuat gateway Cloud NAT tambahan untuk NAT Publik di region guna menyediakan NAT untuk rentang IP alias dari rentang alamat IP sekunder subnet VM yang memenuhi syarat.
- Daftar subnet kustom: satu gateway Cloud NAT menyediakan NAT untuk alamat IP internal utama dan semua rentang IP alias VM yang memenuhi syarat yang antarmuka jaringannya menggunakan subnet dari daftar subnet yang ditentukan.
- Rentang alamat IPv4 subnet kustom: Anda dapat membuat sebanyak mungkin gateway Cloud NAT untuk NAT Publik sesuai kebutuhan, dengan tunduk pada kuota dan batas NAT Publik. Anda memilih rentang alamat IP utama atau sekunder subnet yang akan dilayani oleh setiap gateway.
Untuk rentang subnet IPv6, Anda dapat menggunakan opsi berikut untuk mengonfigurasi NAT bagi rentang alamat IP internal, rentang alamat IP eksternal, atau keduanya:
- Rentang alamat IPv6 internal dan eksternal dari semua subnet di region: satu gateway Cloud NAT menyediakan NAT untuk semua rentang alamat IP internal dan eksternal di region.
- Daftar subnet kustom: satu gateway Cloud NAT menyediakan NAT untuk rentang alamat IP internal dan eksternal VM yang memenuhi syarat yang antarmuka jaringannya menggunakan subnet dari daftar subnet yang ditentukan.

Beberapa gateway Cloud NAT

Anda dapat memiliki beberapa gateway Cloud NAT untuk NAT Publik di region yang sama dari jaringan VPC jika salah satu kondisi berikut terpenuhi:

Setiap gateway dikonfigurasi untuk subnet yang berbeda.
Dalam satu subnet, setiap gateway dikonfigurasi untuk rentang alamat IP yang berbeda. Anda dapat memetakan gateway Cloud NAT untuk NAT Publik ke subnet atau rentang alamat IP tertentu menggunakan pemetaan Cloud NAT kustom.

Selama gateway NAT yang dipetakan tidak tumpang-tindih, Anda dapat membuat gateway Cloud NAT sebanyak yang diperlukan untuk NAT Publik, dengan tunduk pada kuota dan batas NAT Publik. Untuk mengetahui informasi selengkapnya, lihat Batasan gateway Cloud NAT.

Bandwidth

Penggunaan gateway Cloud NAT untuk Public NAT tidak mengubah jumlah bandwidth keluar atau masuk yang dapat digunakan VM. Untuk spesifikasi bandwidth, yang bervariasi menurut jenis mesin, lihat Bandwidth jaringan dalam dokumentasi Compute Engine.

VM dengan beberapa antarmuka jaringan

Jika Anda mengonfigurasi VM agar memiliki beberapa antarmuka jaringan, setiap antarmuka harus berada di jaringan VPC yang terpisah. Oleh karena itu, hal berikut berlaku:

Gateway Cloud NAT untuk NAT Publik hanya dapat diterapkan ke satu antarmuka jaringan VM. Gateway Cloud NAT terpisah untuk NAT Publik dapat menyediakan NAT ke VM yang sama, dengan setiap gateway berlaku untuk antarmuka yang terpisah.
Satu antarmuka VM dengan beberapa antarmuka jaringan dapat memiliki alamat IPv4 eksternal, yang membuat antarmuka tersebut tidak memenuhi syarat untuk NAT Publik, sementara antarmuka lainnya dapat memenuhi syarat untuk NAT jika antarmuka tersebut tidak memiliki alamat IPv4 eksternal dan Anda telah mengonfigurasi gateway Cloud NAT untuk NAT Publik agar berlaku pada rentang alamat IP subnet yang sesuai. Untuk IPv6, alamat IPv6 internal dan eksternal didukung.

Alamat IP dan port NAT

Saat membuat gateway Cloud NAT untuk NAT Publik, Anda dapat memilih agar gateway mengalokasikan alamat IP eksternal regional secara otomatis. Atau, Anda dapat menetapkan sejumlah tetap alamat IP eksternal regional ke gateway secara manual.

Untuk gateway Cloud NAT untuk Public NAT dengan alokasi alamat IP NAT otomatis, pertimbangkan hal berikut:

Anda dapat memilih Network Service Tiers (Tingkat Premium atau Tingkat Standar) tempat gateway Cloud NAT mengalokasikan alamat IP.
Saat Anda mengubah paket untuk gateway Cloud NAT untuk NAT Publik yang telah mengalokasikan alamat IP NAT secara otomatis,semua alamat IP yang ditetapkan untuk gateway tersebut akan dilepaskan dan semua alokasi port akan dihentikan. Trusted Cloud

Catatan: Mengubah tingkat jaringan alamat IP yang dialokasikan secara otomatis untuk gateway Cloud NAT bagi NAT Publik akan langsung menutup semua koneksi yang ada pada alamat IP yang sebelumnya ditetapkan.

Kumpulan alamat IP baru dari tingkat yang baru dipilih akan dialokasikan secara otomatis, dan alokasi port baru akan diberikan ke semua endpoint.

Untuk gateway Cloud NAT tertentu untuk Public NAT, Anda juga dapat menetapkan alamat IP secara manual dari Paket Premium atau Paket Standar atau keduanya, yang tunduk pada kondisi tertentu.

Untuk mengetahui detail tentang penetapan alamat IP NAT, lihat Alamat IP NAT publik.

Anda dapat mengonfigurasi jumlah port sumber yang dicadangkan oleh setiap gateway Cloud NAT untuk NAT Publik di setiap VM yang akan disediakan layanan NAT-nya. Anda dapat mengonfigurasi alokasi port statis, dengan jumlah port yang sama dicadangkan untuk setiap VM, atau alokasi port dinamis, dengan jumlah port yang dicadangkan dapat bervariasi antara batas minimum dan maksimum yang Anda tentukan.

VM yang akan disediakan NAT ditentukan oleh rentang alamat IP subnet yang dikonfigurasi untuk ditayangkan oleh gateway.

Untuk mengetahui informasi selengkapnya tentang port, lihat Port.

RFC yang berlaku

NAT publik mendukung Endpoint-Independent Mapping dan Endpoint-Dependent Filtering sebagaimana didefinisikan dalam RFC 5128. Anda dapat mengaktifkan atau menonaktifkan Pemetaan Independen Endpoint. Secara default, Pemetaan Independen Endpoint dinonaktifkan saat Anda membuat gateway NAT.

Pemetaan yang Tidak Bergantung pada Endpoint berarti bahwa jika VM mengirim paket dari pasangan alamat IP dan port internal tertentu ke beberapa tujuan yang berbeda, maka gateway akan memetakan semua paket tersebut ke pasangan alamat IP dan port NAT yang sama, terlepas dari tujuan paket. Untuk mengetahui detail dan implikasi yang relevan dengan Pemetaan Independen Endpoint, lihat Penggunaan ulang port secara simultan dan Pemetaan Independen Endpoint.

Pemfilteran yang Bergantung pada Endpoint berarti paket respons dari internet diizinkan masuk hanya jika berasal dari alamat IP dan port yang telah dikirimi paket oleh VM. Pemfilteran bergantung pada endpoint, terlepas dari jenis Pemetaan Endpoint. Fitur ini selalu aktif dan tidak dapat dikonfigurasi oleh pengguna.

Untuk mengetahui informasi selengkapnya tentang hubungan antara port dan koneksi, lihat Port dan koneksi dan contoh alur NAT.

NAT publik adalah Port Restricted Cone NAT sebagaimana ditentukan dalam RFC 3489.

NAT traversal

Jika Pemetaan Independen Endpoint diaktifkan, NAT Publik kompatibel dengan protokol NAT traversal umum seperti STUN dan TURN jika Anda men-deploy server STUN atau TURN sendiri:

STUN (Session Traversal Utilities for NAT, RFC 5389) memungkinkan komunikasi langsung antara VM di belakang NAT saat saluran komunikasi dibuat.
TURN (Traversal Using Relays around NAT, RFC 5766) mengizinkan komunikasi antara VM di belakang NAT melalui server ketiga yang memiliki alamat IP eksternal. Setiap VM terhubung ke alamat IP eksternal server, dan server tersebut meneruskan komunikasi antara dua VM. TURN lebih andal, tetapi menggunakan lebih banyak bandwidth dan resource.

Waktu tunggu NAT

NAT publik menetapkan waktu tunggu untuk koneksi protokol. Untuk informasi tentang waktu tunggu ini dan nilai defaultnya, lihat Waktu tunggu NAT.

NAT44 di Public NAT

Diagram berikut menunjukkan konfigurasi NAT Publik dasar untuk traffic IPv4:

Contoh terjemahan IPv4 NAT publik. — Contoh penafsiran Public NAT (klik untuk memperbesar).

Dalam contoh ini:

Gateway nat-gw-us-east dikonfigurasi untuk diterapkan ke rentang alamat IP utama subnet-1 di region us-east1. VM yang antarmuka jaringannya tidak memiliki alamat IP eksternal dapat mengirim traffic ke internet dengan menggunakan alamat IP internal primernya atau rentang IP alias dari rentang alamat IP primer subnet-1, 10.240.0.0/16.
VM yang antarmuka jaringannya tidak memiliki alamat IP eksternal dan alamat IP internal utamanya berada di subnet-2 tidak dapat mengakses internet karena tidak ada gateway Cloud NAT yang berlaku untuk rentang alamat IP subnet tersebut.
Gateway nat-gw-eu dikonfigurasi untuk diterapkan ke rentang alamat IP utama subnet-3 di region europe-west1. VM yang antarmuka jaringannya tidak memiliki alamat IP eksternal dapat mengirim traffic ke internet dengan menggunakan alamat IP internal utamanya atau rentang IP alias dari rentang alamat IP utama subnet-3, 192.168.1.0/24.

Contoh alur kerja

Dalam diagram sebelumnya, VM dengan alamat IP internal primer 10.240.0.4, tanpa alamat IP eksternal, perlu mendownload update dari alamat IP eksternal 203.0.113.1. Dalam diagram, gateway nat-gw-us-east dikonfigurasi sebagai berikut:

Port minimum per instance: 64
Menetapkan dua alamat IP NAT secara manual: 192.0.2.50 dan 192.0.2.60
Menyediakan NAT untuk rentang alamat IP utama subnet-1

NAT publik mengikuti prosedur reservasi port untuk mencadangkan alamat IP sumber NAT dan tuple port sumber berikut untuk setiap VM di jaringan. Misalnya, gateway Cloud NAT untuk NAT Publik mencadangkan 64 port sumber untuk VM dengan alamat IP internal 10.240.0.4. Alamat IP NAT 192.0.2.50 memiliki 64 port yang tidak dicadangkan, sehingga gateway mencadangkan kumpulan 64 tuple alamat IP sumber dan port sumber NAT berikut untuk VM tersebut:

192.0.2.50:34000 hingga 192.0.2.50:34063

Saat VM mengirim paket ke server update 203.0.113.1 di port tujuan 80, menggunakan protokol TCP, hal berikut akan terjadi:

VM mengirimkan paket permintaan dengan atribut berikut:
- Alamat IP sumber: 10.240.0.4, alamat IP internal utama VM
- Port sumber: 24000, port sumber ephemeral yang dipilih oleh sistem operasi VM
- Alamat tujuan: 203.0.113.1, alamat IP eksternal server update
- Port tujuan: 80, port tujuan untuk traffic HTTP ke server update
- Protokol: TCP
Gateway nat-gw-us-east melakukan penafsiran alamat jaringan sumber (SNAT) pada keluar, dengan menulis ulang alamat IP sumber NAT dan port sumber paket permintaan. Paket yang diubah dikirim ke internet jika jaringan Virtual Private Cloud (VPC) memiliki rute untuk tujuan 203.0.113.1 yang next hop-nya adalah gateway internet default. Rute default biasanya memenuhi persyaratan ini.
- Alamat IP sumber NAT: 192.0.2.50, dari salah satu tuple port sumber dan alamat IP sumber NAT yang dicadangkan VM
- Port sumber: 34022, port sumber yang tidak digunakan dari salah satu tuple port sumber yang dicadangkan VM
- Alamat tujuan: 203.0.113.1, tidak berubah
- Port tujuan: 80, tidak berubah
- Protokol: TCP, tidak berubah
Saat server update mengirim paket respons, paket tersebut tiba di gateway nat-gw-us-east dengan atribut berikut:
- Alamat IP sumber: 203.0.113.1, alamat IP eksternal server update
- Port sumber: 80, respons HTTP dari server update
- Alamat tujuan: 192.0.2.50, cocok dengan alamat IP sumber NAT asli dari paket permintaan
- Port tujuan: 34022, cocok dengan port sumber paket permintaan
- Protokol: TCP, tidak berubah
Gateway nat-gw-us-east menjalankan terjemahan alamat jaringan tujuan (DNAT) pada paket respons, dengan menulis ulang alamat tujuan dan port tujuan paket respons sehingga paket dikirimkan ke VM:
- Alamat IP sumber: 203.0.113.1, tidak berubah
- Port sumber: 80, tidak berubah
- Alamat tujuan: 10.240.0.4, alamat IP internal utama VM
- Port tujuan: 24000, cocok dengan port sumber sementara asli dari paket permintaan
- Protokol: TCP, tidak berubah

NAT64 di Public NAT

NAT64 memungkinkan instance VM dengan antarmuka jaringan khusus IPv6 berkomunikasi dengan tujuan IPv4 di internet. NAT publik mendukung NAT64 untuk alamat IPv6 eksternal dan internal. Jika ingin mengonfigurasi NAT64, Anda juga harus mengonfigurasi DNS64.

Mengonfigurasi DNS64 di Cloud DNS memungkinkan perilaku berikut:

Saat instance VM khusus IPv6 memulai permintaan untuk me-resolve nama tujuan internet yang hanya memiliki alamat IPv4, server DNS64 akan mencari data A.
Jika data A ditemukan, server DNS64 akan mensintesis alamat IPv6 yang disematkan IPv4 dengan menambahkan awalan 64:ff9b::/96 ke alamat IPv4 tujuan yang diperoleh dari data A. Misalnya, jika alamat IPv4 tujuan adalah 203.0.113.1, server akan menampilkan 64:ff9b::cb00:7101, dengan cb00:7101 adalah representasi heksadesimal dari 203.0.113.1.

Untuk mengetahui informasi selengkapnya, lihat DNS64.

Saat permintaan mencapai gateway Cloud NAT dengan NAT64 diaktifkan, gateway akan melakukan SNAT dengan melakukan hal berikut:

Mengganti alamat dan port IPv6 sumber dengan salah satu alamat dan port IPv4 eksternal yang dialokasikan ke gateway.
Menerjemahkan alamat IPv6 tujuan yang disintesis, misalnya, 64:ff9b::cb00:7101, ke alamat IPv4 asli menggunakan 32 bit terakhir dari alamat yang disintesis.

Gateway Cloud NAT juga menggunakan 32 bit terakhir dari alamat IPv6 yang disintesis untuk menentukan cara paket permintaan dirutekan ke internet. Saat instance VM khusus IPv6 mengirim paket ke tujuan dengan awalan 64:ff9b::/96, gateway menerapkan tabel perutean IPv4 jaringan VPC ke alamat IPv4 tujuan. Jika tabel perutean IPv4 memiliki rute untuk alamat IPv4 tujuan yang next hop-nya adalah gateway internet default, paket yang diubah akan dikirim ke internet.

Saat respons diterima, gateway Cloud NAT melakukan DNAT dengan melakukan hal berikut:

Menambahkan awalan 64:ff9b::/96 ke alamat IP sumber paket respons.
Menulis ulang alamat tujuan dan port tujuan paket respons sehingga paket dikirimkan ke VM.

Sebelum mengonfigurasi NAT64, tinjau Rute dan aturan firewall.