NAT híbrida

La NAT híbrida, una oferta de NAT privada, te permite traducir direcciones de red (NAT) de direcciones IP entre una red de nube privada virtual (VPC) y una red local o cualquier otra red de proveedor de servicios en la nube. Estas redes deben conectarse a tu red de VPC mediante los productos de conectividad híbrida empresarial de Google Cloud, como Cloud VPN.

Especificaciones

Además de las especificaciones genéricas de NAT privada, ten en cuenta las siguientes especificaciones para la NAT híbrida:

La NAT híbrida permite que una red de VPC se comunique con una red local o con cualquier otra red de proveedor de servicios en la nube, incluso si se superponen los rangos de direcciones IP de las subredes de las redes de comunicación. Cuando usas una configuración NAT de type=PRIVATE, los recursos (tanto en las subredes superpuestas como no superpuestas) de la red de VPC pueden conectarse a los recursos solo en las subredes no superpuestas de la red local o de cualquier otra red de proveedor de servicios en la nube.
Para habilitar la NAT híbrida, la red local o la red del otro proveedor de servicios en la nube deben anunciar sus rutas dinámicas para que tu red de VPC pueda aprender y usar estas últimas. Tu Cloud Router aprende estas rutas dinámicas de las soluciones de conectividad híbrida de Google Cloud, como la VPN con alta disponibilidad o la VPN clásica con el enrutamiento dinámico configurado. Los destinos de las rutas dinámicas son rangos de direcciones IP fuera de tu red de VPC.

Del mismo modo, para el tráfico de retorno, tu red de VPC debe anunciar la ruta de subred de NAT privada mediante un Cloud Router.

Nota: Solo se deben anunciar las rutas de subred que no se superponen. No se deben anunciar las rutas de subred superpuestas. Debes usar Cloud Router para anunciar rutas de subredes que no se superpongan.
La NAT híbrida realiza NAT en el tráfico que se origina desde una red de VPC hacia una red local o cualquier otra red de proveedor de servicios en la nube. Las redes deben conectarse mediante Cloud VPN a través de rutas dinámicas.
La NAT híbrida admite túneles de VPN clásica existentes solo si el enrutamiento dinámico está habilitado.
Debes crear una regla de NAT personalizada con una expresión de coincidencia nexthop.is_hybrid. La regla NAT especifica un rango de direcciones IP de NAT de una subred de propósito PRIVATE_NAT que los recursos de tu red de VPC pueden usar para comunicarse con otras redes.
La NAT híbrida es compatible con todas las regiones de Google Cloud, excepto us-central1 y us-east4.
El Cloud Router en el que configures la NAT híbrida debe estar en la misma región que la red de VPC.
El Cloud Router en el que configures la NAT híbrida no puede contener ninguna otra configuración de NAT.
No debes configurar la NAT híbrida en una red de VPC en la que estén presentes los adjuntos de Cloud Interconnect.

Configuración y flujo de trabajo básicos de la NAT híbrida

En el siguiente diagrama, se muestra una configuración básica de NAT híbrida:

Ejemplo de traducción de NAT híbrida. — Ejemplo de traducción de NAT híbrida (haz clic para ampliar).

En este ejemplo, la NAT híbrida se configura de la siguiente manera:

La puerta de enlace pvt-nat-gw está configurada en vpc-a para aplicarse a todos los rangos de direcciones IP de subnet-a en la región us-east1.
Mediante el uso de los rangos de direcciones IP NAT de pvt-nat-gw, una instancia de máquina virtual (VM) en subnet-a de vpc-a puede enviar tráfico a una VM en subnet-b de una red local o cualquier otra red de proveedor de servicios en la nube, aunque subnet-a de vpc-a se superponga con otra subred en la red local o en otra red de proveedor de servicios en la nube.

Ejemplo de flujo de trabajo de NAT híbrida

En el diagrama anterior, vm-a con la dirección IP interna 192.168.1.2 en subnet-a de vpc-a debe descargar una actualización de vm-b con la dirección IP interna 192.168.2.2 en subnet-b de una red local o cualquier otra red de proveedor de servicios en la nube. Cloud VPN conecta tu red de VPC a una red local o a cualquier otra red de proveedor de servicios en la nube. Supongamos que la red local o la otra red del proveedor de servicios en la nube contienen otra subred 192.168.1.0/24 que se superpone con la subred en vpc-a. Para que subnet-a de vpc-a se comunique con subnet-b de la red local o de la otra red del proveedor de servicios en la nube, debes configurar una puerta de enlace NAT privada, pvt-nat-gw, en vpc-a de la siguiente manera:

Subred NAT privada: Crea esta subred, con un rango de direcciones IP de subred de 10.1.2.0/29 y un propósito PRIVATE_NAT antes de configurar la puerta de enlace NAT privada. Asegúrate de que esta subred no se superponga con una subred existente en ninguna de las redes conectadas.
Una regla NAT con match='nexthop.is_hybrid'.
NAT para todos los rangos de direcciones de subnet-a.

La NAT híbrida sigue el procedimiento de reserva de puertos para reservar la siguiente dirección IP de origen de NAT y las tuplas de puerto de origen para cada una de las VM en la red. Por ejemplo, la puerta de enlace NAT privada reserva 64 puertos de origen para vm-a: 10.1.2.2:34000 a través de 10.1.2.2:34063.

Cuando la VM usa el protocolo TCP para enviar un paquete al servidor de actualización 192.168.2.2 en el puerto de destino 80, ocurre lo siguiente:

La VM envía un paquete de solicitud con estos atributos:
- Dirección IP de origen: 192.168.1.2, la dirección IP interna de la VM
- Puerto de origen: 24000, el puerto de origen efímero que elige el sistema operativo de la VM
- Dirección de destino: 192.168.2.2, la dirección IP del servidor de actualización
- Puerto de destino: 80, el puerto de destino para el tráfico HTTP al servidor de actualización
- Protocolo: TCP
La puerta de enlace pvt-nat-gw realiza la traducción de direcciones de red de origen (SNAT o NAT de origen) en la salida y vuelve a escribir la dirección IP de origen de NAT y el puerto de origen del paquete de solicitud:
- Dirección IP de origen de NAT: 10.1.2.2, de una de las direcciones IP de origen de NAT y las tuplas de puerto de origen reservadas de la VM
- Puerto de origen: 34022, un puerto de origen no utilizado de una de las tuplas de puertos de origen reservadas de la VM
- Dirección de destino: 192.168.2.2, sin cambios
- Puerto de destino: 80, sin cambios
- Protocolo: TCP, sin cambios
El servidor de actualización envía un paquete de respuesta que llega a la puerta de enlace pvt-nat-gw con estos atributos:
- Dirección IP de origen: 192.168.2.2, la dirección IP interna del servidor de actualización
- Puerto de origen: 80, la respuesta HTTP del servidor de actualización
- Dirección de destino: 10.1.2.2, que coincide con la dirección IP de origen de NAT original del paquete de solicitud
- Puerto de destino: 34022, que coincide con el puerto de origen del paquete de solicitud
- Protocolo: TCP, sin cambios
La puerta de enlace pvt-nat-gw realiza la traducción de direcciones de red de destino (DNAT) en el paquete de respuesta y reescribe la dirección de destino y el puerto de destino del paquete de respuesta para que el paquete se entregue a la VM que solicitó la actualización con los siguientes atributos:
- Dirección IP de origen: 192.168.2.2, sin cambios
- Puerto de origen: 80, sin cambios
- Dirección de destino: 192.168.1.2, la dirección IP interna de la VM
- Puerto de destino: 24000, que coincide con el puerto de origen efímero original del paquete de solicitud
- Protocolo: TCP, sin cambios

¿Qué sigue?

Configura la NAT híbrida.
Obtén más información sobre las interacciones con los productos de Cloud NAT.
Obtén más información sobre los puertos y las direcciones de Cloud NAT.
Obtén información sobre las reglas de Cloud NAT.
Soluciona los problemas comunes.