Обзор Nat Gateway — сетевые сервисы

Что это такое

Шлюз NAT — это служба преобразования сетевых адресов (NAT). Это может быть общедоступный или частный шлюз NAT.

Общедоступные шлюзы NAT

Общедоступный шлюз NAT позволяет облачным и локальным серверам в частной подсети получать доступ к интернету или предоставлять услуги, доступные из интернета. Облачные серверы — это ECS и BMS в VPC. Локальные серверы — это серверы в локальных центрах обработки данных, которые подключаются к VPC через прямое подключение или виртуальную частную сеть (VPN). Общедоступный шлюз NAT поддерживает пропускную способность до 20 Гбит/с.

Общедоступные шлюзы NAT предлагают NAT источника (SNAT) и NAT назначения (DNAT). SNAT преобразует частные IP-адреса в эластичные IP-адреса (EIP), позволяя трафику из частной сети выходить в интернет.

DNAT позволяет нескольким серверам в одной или нескольких зонах доступности в VPC совместно использовать EIP для предоставления услуг, доступных из интернета. С EIP шлюз NAT перенаправляет интернет-запросы только с определенного порта и по определенному протоколу на конкретный порт сервера или может пересылать все запросы на сервер, независимо от того, с какого порта они исходят.

Обзор Nat Gateway — сетевые сервисы

СМОТРИТЕ ТАКЖЕ: 1C: Документооборот — обзор функциональных возможностей СЭД

Частные шлюзы NAT

Частные шлюзы NAT обеспечивают преобразование сетевых адресов, позволяя ECS и BMS в VPC взаимодействовать с серверами в других VPC или локальных центрах обработки данных. Вы можете настроить правила SNAT и DNAT для шлюза NAT, чтобы преобразовывать IP-адреса источника и получателя исходящих пакетов в транзитный IP-адрес.

  • SNAT позволяет нескольким серверам в одной или нескольких зонах доступности в VPC совместно использовать транзитный IP-адрес для доступа к локальным центрам обработки данных или другим VPC.
  • DNAT позволяет серверам с одним и тем же транзитным IP-адресом в VPC предоставлять услуги, доступные из локальных центров обработки данных или других VPC.

Примечание: Транзитная подсеть — это место, где находится транзитный IP-адрес. Транзитный VPC — это место, где находится транзитная подсеть.

Варианты развертывания частного NAT шлюза

  • Подключение VPC с перекрывающимися блоками CIDR

Вы можете развернуть частный шлюз NAT и настроить правила NAT и DNAT, чтобы позволить двум VPC с перекрывающимися блоками CIDR взаимодействовать друг с другом.

  • Доступ к частной сети с определенного IP-адреса

Частный шлюз NAT позволяет использовать определенный IP-адрес для доступа к локальному центру обработки данных или VPC в удаленной частной сети. Локальный центр обработки данных подключается к транзитному облаку VPC через Direct Connect или VPN. Удаленный VPC подключается к транзитному VPC через пиринговое соединение VPC.

ВАМ МОЖЕТ БЫТЬ ИНТЕРЕСНО: MAS Project — качественное управление предприятием

Возможности

Общедоступные и частные шлюзы NAT отличаются своими возможностями, поэтому будем рассматривать их по отдельности.

Возможности общедоступных шлюзов NAT

Гибкое развертывание

Шлюз NAT может совместно использоваться подсетями и зонами доступности, так что даже в случае отказа одной зоны доступности общедоступный шлюз NAT может нормально работать в другой зоне. Тип и EIP общедоступного шлюза NAT можно изменить в любое время.

Простота использования

Доступно несколько типов шлюзов NAT. Конфигурация общедоступного шлюза NAT проста, эксплуатация и обслуживание элементарны. Кроме того, их можно быстро настроить. После инициализации они работают стабильно.

Экономическая эффективность

Несколько серверов могут совместно использовать EIP. Вы можете связать один или несколько EIP с общедоступным шлюзом NAT, чтобы позволить нескольким серверам в частной сети подключаться к интернету через этот EIP. Вам больше не нужно настраивать один EIP для каждого сервера, что позволяет сэкономить на EIP и пропускной способности.

Обзор Nat Gateway — сетевые сервисы

Возможности частных шлюзов NAT

Более простое сетевое планирование

Различные отделы крупного предприятия могут иметь перекрывающиеся блоки CIDR, поэтому предприятию необходимо перепланировать свою сеть перед переносом своих рабочих нагрузок в облако. Перепланировка отнимает много времени и сил. Частный шлюз NAT устраняет необходимость перепланировать сеть, чтобы клиенты могли сохранить свою исходную сеть при переходе в облако.

Простота эксплуатации и обслуживания

Отделы крупного предприятия обычно имеют иерархические сети для иерархических организаций, управление на основе прав и доменов и изоляцию безопасности. Такие иерархические сети должны быть сопоставлены с крупномасштабной сетью для обеспечения связи между ними.

Частный шлюз NAT может сопоставлять блок CIDR каждого отдела с одним и тем же блоком CIDR VPC, что упрощает управление сложными сетями.

Высокий уровень безопасности

Подразделениям предприятия могут потребоваться различные уровни безопасности. Частные шлюзы NAT могут раскрывать IP-адреса и порты только указанных блоков CIDR для соответствия высоким требованиям безопасности. Агентство по регулированию отрасли может потребовать от других организаций использовать указанный IP-адрес для доступа к их системе регулирования. Частные шлюзы NAT могут помочь выполнить это требование, сопоставив частные IP-адреса с указанным IP-адресом.

Предотвращение IP-конфликтов

Изолированные службы нескольких отделов обычно используют IP-адреса из одного и того же частного блока CIDR. После того как предприятие переносит рабочие нагрузки в облако, возникают конфликты IP-адресов. Благодаря сопоставлению IP-адресов частные шлюзы NAT обеспечивают связь между перекрывающимися блоками CIDR.

ИНТЕРЕСНО: Обзор сервиса для анализа звонков Ringostat

Какие задачи решает

По аналогии с предыдущим пунктом, рассмотрение задач сервисами Nat Gateway следует проводить в том же разрезе.

Общедоступный шлюз NAT

Разрешение частной сети для доступа в интернет с помощью SNAT

Если вашим серверам в VPC требуется доступ в интернет, вы можете настроить правила SNAT, чтобы позволить этим серверам использовать один или несколько EIP для доступа к интернету, не раскрывая свои частные IP-адреса. Вы можете настроить только одно правило SNAT для каждой подсети в VPC и выбрать один или несколько EIP для каждого правила SNAT.

Общедоступный шлюз NAT обеспечивает различное количество подключений, и вы можете создать несколько правил SNAT в соответствии с вашими требованиями к обслуживанию.

Обзор Nat Gateway — сетевые сервисы

Предоставление пользователям интернета доступа к службе в частной сети с помощью DNAT

Правила DNAT позволяют серверам в VPC предоставлять услуги из интернета. После получения запросов от определенного порта по конкретному протоколу общедоступный шлюз NAT может перенаправлять запросы на определенный порт сервера посредством сопоставления портов. Общедоступный шлюз NAT также может пересылать все запросы, предназначенные для EIP, на определенный сервер посредством сопоставления IP-адресов.

Для каждого сервера можно настроить одно правило DNAT. При наличии нескольких серверов можно создать несколько правил DNAT для сопоставления одного или нескольких EIP с частными IP-адресами этих серверов.

Разрешение серверам в локальном центре обработки данных получать доступ к интернету или быть доступными из интернета

В некоторых сценариях интернета, игр, электронной коммерции и финансов большое количество серверов в частном облаке подключаются к VPC через Direct Connect или VPN. Если таким серверам требуется безопасный высокоскоростной доступ в интернет или необходимо предоставлять услуги из интернета, вы можете развернуть шлюз NAT и настроить правила SNAT и DNAT в соответствии с их требованиями.

Настройка высокодоступной системы путем добавления нескольких EIP в правило SNAT

EIP могут быть атакованы. Чтобы повысить надежность системы, вы можете привязать несколько EIP к правилу SNAT, чтобы в случае атаки на один EIP можно было использовать другой EIP для обеспечения непрерывности обслуживания.

Каждое правило SNAT может иметь до 20 EIP. Если правило SNAT содержит несколько EIP, система случайным образом выбирает один из EIP для серверов, используемых для доступа в интернет. Если какой-либо EIP заблокирован или атакован, вручную удалите его из пула EIP.

Совместное использование нескольких шлюзов NAT

Если один шлюз NAT не может удовлетворить ваши требования к производительности (например, если имеется более миллиона подключений SNAT или если максимальная пропускная способность 20 Гбит/с не соответствует требованиям обслуживания), вы можете использовать несколько шлюзов NAT вместе. Для этого вам необходимо связать таблицы маршрутов подсетей VPC с этими общедоступными шлюзами NAT.

Примечание: Система не добавляет маршрут по умолчанию для общедоступного шлюза NAT. Вам необходимо добавить маршрут, указывающий на общедоступный шлюз NAT, в соответствующую таблицу маршрутов.

Каждый общедоступный шлюз NAT имеет связанную таблицу маршрутов. Количество общедоступных шлюзов NAT, которые можно создать в VPC, определяется количеством таблиц маршрутизации для VPC.

Частный шлюз NAT

  • Подключение VPC с перекрывающимися блоками CIDR

Вы можете настроить два частных шлюза NAT для двух VPC с перекрывающимися блоками CIDR, а затем добавить правила SNAT и DNAT на два частных шлюза NAT, чтобы позволить серверам в двух VPC использовать транзитные IP-адреса для связи друг с другом.

  • Перенос рабочих нагрузок в облако без изменения топологии сети или доступа к регулирующим органам с определенных IP-адресов

Организации могут захотеть перенести свои рабочие нагрузки в облако без внесения каких-либо изменений в существующую топологию сети. Им также может потребоваться доступ к регулирующим органам с определенных IP-адресов в соответствии с требованиями этих органов. Частный шлюз NAT — хороший выбор.

Примеры реализации

Сервисы Nat Gateway получили распространение у облачных провайдеров. Они отличаются своими особенностями. Рассмотрим их по-отдельности.

Amazon Elastic Kubernetes Service (EKS) у Amazon Web Services

Amazon EKS является управляемым сервисом для развертывания Kubernetes в локальных центрах обработки, данных и облаке AWS.

Он обеспечивает управление масштабируемостью и доступностью узлов Kubernetes, которые отвечают за создание контейнеров, получение доступа к приложениям, хранение данных кластера и реализацию прочих важных задач в облаке.

Сервис предоставляет возможность пользоваться всеми преимуществами AWS:

  • доступностью;
  • надежностью;
  • масштабируемостью;
  • производительностью;
  • совместной работой со службами AWS для безопасности.

При работе в локальной среде EKS предлагает готовое решение для Kubernetes с внедренными инструментами и возможностью развертывания на серверах без ОС.

Примеры использования:

  • управление кластерами и приложениями в гибридном облаке и их запуск в корпоративном центре обработки данных;
  • рабочие процессы в моделировании машинного обучения;
  • разработка и запуск веб-приложений.

Обзор Nat Gateway — сетевые сервисы

Virtual Network SNAT у Microsoft Azure

Преобразователь исходных сетевых адресов (SNAT) предназначен для перезаписи источника потока так, чтобы тот исходил из другого порта или IP-адреса. Обычно его используют при необходимости выполнить интернет-подключение к общедоступному хосту.

Сервис позволяет сразу нескольким виртуальным машинам подключиться к частной сети с применением одного общедоступного IP-адреса или набора префиксов для подключения к интернету.

За счет использования шлюза NAT частный IP-адрес и виртуальный порт преобразуются в общедоступный IP-адрес и SNAT-порт перед выполнением выхода в интернет из виртуальной сети. При выполнении нового подключения к конечной точке задействуется другой порт SNAT для распознания подключений. Количество возможных подключений ограничено количеством доступных портов SNAT.

Обзор Nat Gateway — сетевые сервисы

Cloud NAT у Google Cloud Platform

Облачный NAT (преобразование сетевых адресов) позволяет определенным ресурсам без внешних IP-адресов создавать исходящие подключения к интернету.

Cloud NAT обеспечивает исходящее подключение для следующих ресурсов:

  • экземпляры виртуальной машины (ВМ) Compute Engine без внешних IP-адресов;
  • частные кластеры Google Kubernetes Engine (GKE);
  • инстансы Cloud Run через бессерверный доступ к VPC;
  • экземпляры облачных функций через бессерверный доступ к VPC;
  • экземпляры стандартной среды App Engine через Serverless VPC Access.

Обзор Nat Gateway — сетевые сервисы

Преимущества

Безопасность

Вы можете уменьшить потребность в отдельных виртуальных машинах, чтобы каждая из них имела внешний IP-адрес. В соответствии с правилами исходящего брандмауэра виртуальные машины без внешних IP-адресов могут получить доступ к пунктам назначения в интернете. Например, у вас могут быть виртуальные машины, которым требуется доступ в интернет только для загрузки обновлений или полной подготовки.

Если вы используете ручное назначение IP-адреса NAT для настройки шлюза Cloud NAT, вы можете уверенно делиться набором общих внешних исходных IP-адресов с целевой стороной. Например, служба назначения может разрешать подключения только с известных внешних IP-адресов.

Доступность

Cloud NAT — это распределенная программно-определяемая управляемая служба. Она не зависит ни от каких виртуальных машин в вашем проекте и ни от одного из физических шлюзов. Вы настраиваете шлюз NAT на облачном маршрутизаторе, который предоставляет плоскость управления для NAT, содержащую указанные вами параметры конфигурации.

Google Cloud запускает и поддерживает процессы на физических машинах, на которых работают ваши виртуальные машины Google Cloud.

Масштабируемость

Облачный NAT можно настроить для автоматического масштабирования количества используемых IP-адресов NAT. Он поддерживает виртуальные машины, принадлежащие к управляемым группам экземпляров, в том числе с включенным автомасштабированием.

Производительность

Облачный NAT не снижает пропускную способность сети для каждой виртуальной машины и реализуется программно-определяемой сетью Google Andromeda.

Выводы

NAT Gateway представляет собой сервис, позволяющий вычислительным ресурсам частной сети выполнять подключение к интернету, но не дающий интернету самостоятельно создавать подключение к этим ресурсам.

Шлюз NAT обеспечивает возможность выхода виртуального частного облака в общедоступную сеть. Общедоступные и частные NAT имеют разное предназначение и отличаются своими возможностями.

Оцените статью
( Пока оценок нет )
Поделиться с друзьями
IaaS SaaS PaaS
Добавить комментарий

Больше новостей — на нашем Telegram-канале