Use o NAT público com o Compute Engine

Esta página mostra uma demonstração de um gateway NAT público que fornece serviços de tradução de endereços de rede para uma instância de VM do Compute Engine. Antes de começar, leia a vista geral da NAT pública.

Pré-requisitos

Tem de fazer o seguinte antes de configurar o NAT público.

Obtenha autorizações de IAM

A função roles/compute.networkAdmin concede-lhe autorizações para criar um gateway NAT no Cloud Router, reservar e atribuir endereços IP NAT, e especificar sub-redes (subnets) cujo tráfego deve usar a tradução de endereços de rede pelo gateway NAT.

Configurar Google Cloud

Antes de começar, configure os seguintes itens em Google Cloud.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

  6. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

  11. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

    12. Exemplo

    Segue-se um exemplo completo que demonstra um exemplo de gateway NAT público e um exemplo de VM do Compute Engine que usa o gateway NAT público.

    Passo 1: crie uma rede VPC e uma sub-rede

    Se já tiver uma rede e uma sub-rede, pode ignorar este passo.

    Consola

    1. Na Google Cloud consola, aceda à página Redes VPC.

      Aceda à página Redes de VPC

    2. Clique em Criar rede de VPC.

    3. Introduza um Nome de custom-network1.

    4. Em Sub-redes, defina o Modo de criação de sub-redes como Personalizado.

    5. Em Nova sub-rede, introduza um Nome de subnet-us-east-192.

    6. Em Região, selecione us-east4.

    7. Introduza um intervalo de endereços IP de 192.168.1.0/24.

    8. Clique em Concluído e, de seguida, em Criar.

    gcloud

    1. Crie uma nova rede VPC de modo personalizado no seu projeto:

      gcloud compute networks create custom-network1 \
    --subnet-mode custom

    2. Especifique o prefixo da sub-rede para a sua primeira região. Neste exemplo, atribuímos 192.168.1.0/24 à região us-east4.

      gcloud compute networks subnets create subnet-us-east-192 \
   --network custom-network1 \
   --region us-east4 \
   --range 192.168.1.0/24

    Terraform

    Pode usar um módulo do Terraform para criar uma rede de nuvem virtual privada (VPC) personalizada e uma sub-rede.

    module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 10.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "custom-network1"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-us-east-192"
      subnet_ip     = "192.168.1.0/24"
      subnet_region = "us-east4"
    }
  ]
}

    Passo 2: crie uma instância de VM sem um endereço IP externo

    Consola

    1. Na Google Cloud consola, aceda à página Instâncias de VM.

      Aceda à página de instâncias de VM

    2. Clique em Criar instância.

    3. Especifique um nome de nat-test-1 para a sua instância.

    4. Defina a Região como us-east4.

    5. Defina a zona como us-east4-c.

    6. Clique no link Gestão, segurança, discos, trabalhar em rede, arrendamento único.

    7. Clique no separador Rede.

    8. Em Interfaces de rede, clique em Editar para a interface predefinida da VM.

      1. Defina a Rede como custom-network1.
      2. Defina a sub-rede como subnet-us-east-192.
      3. Defina IP externo como Nenhum.
      4. Clique em Concluído.

    9. Para criar e iniciar a instância, clique em Criar.

    gcloud 

    gcloud compute instances create nat-test-1 \
    --image-family debian-9 \
    --image-project debian-cloud \
    --network custom-network1 \
    --subnet subnet-us-east-192 \
    --zone us-east4-c \
    --no-address

    Terraform

    Pode usar um recurso do Terraform para criar uma instância de VM.

    resource "google_compute_instance" "default" {
  project      = var.project_id
  zone         = "us-east4-c"
  name         = "nat-test-1"
  machine_type = "e2-medium"
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-9"
    }
  }
  network_interface {
    network    = "custom-network1"
    subnetwork = var.subnet # Replace with a reference or self link to your subnet, in quotes
  }
}

    Passo 3: crie uma regra de firewall que permita ligações SSH

    Consola

    1. Na Google Cloud consola, aceda à página Políticas de firewall.

      Aceda à página Políticas de firewall

    2. Clique em Criar regra de firewall.

    3. Introduza um Nome de allow-ssh.

    4. Especifique uma rede de custom-network1.

    5. Defina Direction of traffic (Direção do tráfego) como Ingress (Entrada).

    6. Defina a opção Ação na correspondência como Permitir.

    7. Defina Segmentações como Todas as instâncias na rede.

    8. Defina o Filtro de origem como Intervalos IPv4.

    9. Defina os Intervalos IP de origem como 35.235.240.0/20.

    10. Defina Protocolos e portas como Protocolos e portas especificados.

    11. Selecione a caixa de verificação tcp e introduza a porta 22.

    12. Clique em Criar.

    gcloud 

    gcloud compute firewall-rules create allow-ssh \
    --network custom-network1 \
    --source-ranges 35.235.240.0/20 \
    --allow tcp:22

    Terraform

    Pode usar um recurso do Terraform para criar uma regra de firewall.

    resource "google_compute_firewall" "rules" {
  project = var.project_id
  name    = "allow-ssh"
  network = var.network # Replace with a reference or self link to your network, in quotes

  allow {
    protocol = "tcp"
    ports    = ["22"]
  }
  source_ranges = ["35.235.240.0/20"]
}

    Passo 4: crie autorizações de SSH de IAP para a sua instância de teste

    Num passo posterior, use o Identity-Aware Proxy (IAP) para estabelecer ligação à sua instância de teste.

    Consola

    1. Na Google Cloud consola, aceda à página Identity-Aware Proxy.

      Aceda à página Identity-Aware Proxy

    2. Selecione o separador Recursos de SSH e TCP.

    3. Para atualizar as autorizações dos membros nos recursos, selecione a caixa de verificação junto a Todos os recursos de túnel > us-east4-c > nat-test-1.

    4. No painel do lado direito, clique em Adicionar membro.

    5. Para conceder aos utilizadores, aos grupos ou às contas de serviço acesso aos recursos, no campo Novos membros, especifique os respetivos endereços de email.

      Se estiver apenas a testar esta funcionalidade, pode introduzir o seu próprio endereço de email.

    6. Para conceder aos membros acesso aos recursos através da funcionalidade de encaminhamento TCP do Cloud IAP, na lista pendente Função, selecione Cloud IAP > Utilizador do túnel protegido pelo IAP.

    7. Clique em Guardar.

    gcloud

    Este comando concede acesso SSH através do IAP a todas as instâncias de VM no seu projeto. Se quiser conceder acesso SSH através do IAP a uma VM individual, siga as instruções da Google Cloud consola.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER_INFO \
    --role=roles/iap.tunnelResourceAccessor

    Substitua o seguinte:

    • PROJECT_ID: o ID do seu projeto
    • MEMBER_INFO: uma lista separada por vírgulas de pares de type:email membros. Exemplos:
      • Para um utilizador individual: user:test-user@example.com
      • Para um grupo: group:admins@example.com
      • Para uma conta de serviço: serviceAccount:test123@example.domain.com

    Terraform

    Pode usar um recurso do Terraform para criar autorizações de SSH do IAP para a sua instância de teste.

    resource "google_project_iam_member" "project" {
  project = var.project_id
  role    = "roles/iap.tunnelResourceAccessor"
  member  = "serviceAccount:test123@example.domain.com"
}

    Passo 5: inicie sessão no nat-test-1 e confirme que não consegue aceder à Internet

    Consola

    1. Na Google Cloud consola, aceda à página Instâncias de VM.

      Aceda à página de instâncias de VM

    2. Para nat-test-1, na coluna Ligar, clique na seta suspensa SSH e, de seguida, selecione Abrir na janela do navegador.

    3. Na linha de comandos da VM, introduza curl example.com e, de seguida, prima Enter.

      Não deve receber nenhum resultado. Se o fizer, pode ter criado o grupo de IPs com um endereço IP externo ou pode existir outro problema.nat-test-1 Para resolver problemas, consulte o artigo As VMs podem aceder à Internet inesperadamente sem o Cloud NAT.

      Para terminar o comando, pode ter de introduzir Ctrl+C.

    gcloud

    1. Adicione uma chave SSH do Compute Engine ao seu anfitrião local:

      ssh-add ~/.ssh/google_compute_engine

    2. Ligue-se a nat-test-1 e execute um comando:

      gcloud compute ssh nat-test-1 \
    --zone us-east4-c \
    --command "curl example.com" \
    --tunnel-through-iap

      Não deve receber nenhum resultado. Se o fizer, pode ter criado o grupo de IPs com um endereço IP externo ou pode existir outro problema.nat-test-1 Para resolver problemas, consulte o artigo As VMs podem aceder à Internet inesperadamente sem o Cloud NAT.

      Para terminar o comando, pode ter de introduzir Ctrl+C.

    Passo 6: crie uma configuração de NAT com o Cloud Router

    Tem de criar o Cloud Router na mesma região que as instâncias que usam NAT público. O Cloud Router só é usado para colocar informações de NAT nas VMs. Não é usado como parte do gateway NAT real.

    Esta configuração permite que todas as instâncias na região usem o NAT público para todos os intervalos de IP de alias primários. Também atribui automaticamente os endereços IP externos para o gateway NAT. Para mais opções, consulte a documentação da CLI do Google Cloud.

    Consola

    1. Na Google Cloud consola, aceda à página Cloud NAT.

      Aceda à página do Cloud NAT

    2. Clique em Começar ou Criar gateway de NAT.

    3. Introduza um Nome da gateway de nat-config.

    4. Defina a rede de VPC como custom-network1.

    5. Defina a Região como us-east4.

    6. Em Cloud Router, selecione Criar novo router.

      1. Introduza um Nome de nat-router.
      2. Clique em Criar.

    7. Clique em Criar.

    gcloud

    1. Crie um Cloud Router:

      gcloud compute routers create nat-router \
    --network custom-network1 \
    --region us-east4

    2. Adicione uma configuração ao router:

      gcloud compute routers nats create nat-config \
    --router-region us-east4 \
    --router nat-router \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

    Terraform

    Pode usar um recurso do Terraform para criar um Cloud Router.

    resource "google_compute_router" "router" {
  project = var.project_id
  name    = "nat-router"
  network = var.network
  region  = "us-east4"
}

    Pode usar um módulo Terraform para criar uma configuração de NAT.

    module "cloud-nat" {
  source  = "terraform-google-modules/cloud-nat/google"
  version = "~> 5.0"

  project_id                         = var.project_id
  region                             = "us-east4"
  router                             = google_compute_router.router.name
  name                               = "nat-config"
  source_subnetwork_ip_ranges_to_nat = "ALL_SUBNETWORKS_ALL_IP_RANGES"
}

    Passo 7: tente estabelecer ligação à Internet novamente

    A propagação da configuração de NAT para a VM pode demorar até três minutos. Por isso, aguarde, pelo menos, um minuto antes de tentar aceder novamente à Internet.

    Consola

    1. Na Google Cloud consola, aceda à página Instâncias de VM.

      Aceda à página de instâncias de VM

    2. Para nat-test-1, na coluna Ligar, clique na seta suspensa SSH e, de seguida, selecione Abrir na janela do navegador.

    3. Na linha de comandos da VM, introduza curl example.com e, de seguida, prima Enter.

    gcloud

    Ligue-se a nat-test-1 e execute um comando:

    gcloud compute ssh nat-test-1 \
    --zone us-east4-c \
    --command "curl example.com" \
    --tunnel-through-iap

    Deverá ver um resultado que contenha o seguinte conteúdo:

    
<html>
<head>
<title>Example Domain</title>
...
...
...
</head>

<body>
<div>
    <h1>Example Domain</h1>
    <p>This domain is established to be used for illustrative examples in documents. You can use this
    domain in examples without prior coordination or asking for permission.</p>
    <p><a href="http://www.iana.org/domains/example">More information...</a></p>
</div>
</body>
</html>

    O que se segue?