Configura Cloud NAT con Compute Engine

En esta página, se muestra cómo configurar una configuración de Cloud NAT de muestra con Compute Engine. Antes de configurar Cloud NAT, consulta la descripción general de Cloud NAT.

Prerequisites

Antes de configurar Cloud NAT, debes hacer lo siguiente.

Obtén permisos de IAM

La función roles/compute.networkAdmin te da permisos para crear una puerta de enlace NAT en Cloud Router, reservar y asignar direcciones IP de NAT y especificar subredes cuyo tráfico debería usar la traducción de direcciones de red a través de la puerta de enlace NAT.

Configura Google Cloud

Antes de comenzar, configura los siguientes elementos en Google Cloud.

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
  2. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Obtén información sobre cómo verificar si la facturación está habilitada en un proyecto.

  4. Instala y, luego, inicializa Google Cloud CLI.
  5. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  6. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Obtén información sobre cómo verificar si la facturación está habilitada en un proyecto.

  7. Instala y, luego, inicializa Google Cloud CLI.

Configura el ejemplo de Compute Engine

Usa este ejemplo si quieres ver una configuración simple de Cloud NAT que funciona con Compute Engine.

Paso 1: Crea una subred y una red de VPC

Si ya tienes una red y una subred, puedes omitir este paso.

Console

  1. En Google Cloud Console, ve a la página Redes de VPC.

    Ir a la página Redes de VPC

  2. Haz clic en Crear red de VPC

  3. En Nombre ingresa custom-network1.

  4. En Subredes, establece Modo de creación de subred como Personalizado.

  5. En Subred nueva, ingresa el nombre subnet-us-east-192.

  6. En Región, selecciona us-east4.

  7. Ingresa un rango de direcciones IP de 192.168.1.0/24.

  8. Haga clic en Listo y, luego, en Crear.

gcloud

  1. Crea una nueva red de VPC en modo personalizado en tu proyecto:

    gcloud compute networks create custom-network1 \
        --subnet-mode custom
  2. Especifica el prefijo de subred para tu primera región. En este ejemplo, se asigna 192.168.1.0/24 a la región us-east4.

    gcloud compute networks subnets create subnet-us-east-192 \
       --network custom-network1 \
       --region us-east4 \
       --range 192.168.1.0/24

Terraform

Puedes usar un módulo de Terraform para crear una subred y una red de VPC personalizadas.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 4.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "custom-network1"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-us-east-192"
      subnet_ip     = "192.168.1.0/24"
      subnet_region = "us-east4"
    }
  ]
}

Paso 2: Crea una instancia de VM sin dirección IP externa

Console

  1. En la consola ve a la página Instancias de VM.

    Ir a la página Instancias de VM

  2. Haga clic en Crear instancia.

  3. En Nombre, especifica nat-test-1 para tu instancia.

  4. Establece Región en us-east4.

  5. Configura Zona como us-east4-c.

  6. Haz clic en el vínculo Administración, seguridad, discos, redes, usuario único.

  7. Haz clic en la pestaña Redes.

  8. En Interfaces de red, haz clic en Editar en la interfaz predeterminada de la VM.

    1. Establece Red en custom-network1.
    2. Establece Subred en subnet-us-east-192.
    3. Configura IP externa como Ninguna.
    4. Haga clic en Listo.
  9. Para crear y, luego, iniciar la instancia, haz clic en Crear.

gcloud

gcloud compute instances create nat-test-1 \
    --image-family debian-9 \
    --image-project debian-cloud \
    --network custom-network1 \
    --subnet subnet-us-east-192 \
    --zone us-east4-c \
    --no-address

Terraform

Puedes usar un recurso de Terraform para crear una instancia de VM.

resource "google_compute_instance" "default" {
  project      = var.project_id
  zone         = "us-east4-c"
  name         = "nat-test-1"
  machine_type = "e2-medium"
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-9"
    }
  }
  network_interface {
    network    = "custom-network1"
    subnetwork = var.subnet # Replace with a reference or self link to your subnet, in quotes
  }
}

Paso 3: Crea una regla de firewall que admita conexiones SSH

Console

  1. En la consola, ve a la página de Firewall:

    Ir a la página Firewall

  2. Haz clic en Crear regla de firewall.

  3. Ingresa un Nombre de allow-ssh.

  4. En Red, especifica custom-network1.

  5. Configura Dirección del tráfico como Entrada.

  6. Establece Acción en caso de coincidencia en Permitir.

  7. Configura Destinos como Todas las instancias de la red.

  8. Establece Filtro de fuente en Rangos de IP.

  9. Configura Rangos de IP de origen como 35.235.240.0/20.

  10. Configura Protocolos y puertos como Protocolos y puertos especificados.

  11. Selecciona la casilla de verificación tcp y, luego, ingresa el puerto 22.

  12. Haga clic en Crear.

gcloud

gcloud compute firewall-rules create allow-ssh \
    --network custom-network1 \
    --source-ranges 35.235.240.0/20 \
    --allow tcp:22

Terraform

Puedes usar un recurso de Terraform para crear una regla de firewall.

resource "google_compute_firewall" "rules" {
  project = var.project_id
  name    = "allow-ssh"
  network = var.network # Replace with a reference or self link to your network, in quotes

  allow {
    protocol = "tcp"
    ports    = ["22"]
  }
  source_ranges = ["35.235.240.0/20"]
}

Paso 4: Crea permisos de SSH de para IAP para tu instancia de prueba

En un paso posterior, usa Identity-Aware Proxy (IAP) para conectarte a tu instancia de prueba.

Console

  1. En la consola, dirígete a la página Identity-Aware-Proxy.

    Ir a la página de Identity-Aware Proxy

  2. Selecciona la pestaña Recursos de SSH y TCP.

  3. Para actualizar los permisos de los miembros en los recursos, selecciona la casilla de verificación junto a Todos los recursos del túnel > us-east4-c > nat-test-1.

  4. En el panel de la derecha, haz clic en Agregar miembro.

  5. Para otorgar a los usuarios, grupos o cuentas de servicio acceso a los recursos, en el campo Nuevos miembros, especifica sus direcciones de correo electrónico.

    Si solo estás probando esta función, puedes ingresar tu propia dirección de correo electrónico.

  6. Para otorgar a los miembros acceso a los recursos a través de la función de redireccionamiento de TCP de Cloud IAP, en la lista desplegable Función, selecciona Cloud IAP > Usuario de túnel protegido con IAP.

  7. Haz clic en Guardar.

gcloud

Este comando otorga acceso SSH mediante IAP a todas las instancias de VM en tu proyecto. Si quieres otorgar acceso SSH mediante IAP a una VM individual, usa las instrucciones de la consola.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER_INFO \
    --role=roles/iap.tunnelResourceAccessor

Reemplaza lo siguiente:

  • PROJECT_ID: El ID de tu proyecto
  • MEMBER_INFO: una lista separada por comas de pares type:email miembros Ejemplos:
    • Para un usuario individual: user:test-user@example.com
    • Para un grupo: group:admins@example.com
    • Para una cuenta de servicio: serviceAccount:test123@example.domain.com

Terraform

Puedes usar un recurso de Terraform a fin de crear permisos SSH de IAP para tu instancia de prueba.

resource "google_project_iam_member" "project" {
  project = var.project_id
  role    = "roles/iap.tunnelResourceAccessor"
  member  = "serviceAccount:test123@example.domain.com"
}

Paso 5: Accede a nat-test-1 y confirma que no pueda acceder a Internet

Console

  1. En la consola ve a la página Instancias de VM.

    Ir a la página Instancias de VM

  2. En nat-test-1, en la columna Conectar, haz clic en la flecha desplegable SSH y, luego, selecciona Abrir en ventana del navegador.

  3. En el símbolo del sistema de la VM, ingresa curl example.com y, luego, presiona Intro.

    No deberías obtener ningún resultado. Si lo haces, es posible que hayas creado nat-test-1 con una dirección IP externa o que haya otro problema. Para solucionar problemas, consulta Las VM pueden llegar a Internet de forma inesperada sin Cloud NAT.

    Para finalizar el comando, es posible que debas ingresar Ctrl+C.

gcloud

  1. Agrega una clave SSH de Compute Engine a tu host local:

    ssh-add ~/.ssh/google_compute_engine
    
  2. Conéctate a nat-test-1 y ejecuta un comando:

    gcloud compute ssh nat-test-1 \
        --zone us-east4-c \
        --command "curl example.com" \
        --tunnel-through-iap

    No deberías obtener ningún resultado. Si lo haces, es posible que hayas creado nat-test-1 con una dirección IP externa o que haya otro problema. Para solucionar problemas, consulta Las VM pueden llegar a Internet de forma inesperada sin Cloud NAT.

    Para finalizar el comando, es posible que debas ingresar Ctrl+C.

Paso 6: Crea una configuración de NAT con Cloud Router

Debes crear el Cloud Router en la misma región en la que están las instancias que usan Cloud NAT. Cloud NAT solo se usa para colocar información de NAT en las VM. No se usa como parte de la puerta de enlace NAT.

Esta configuración permite a todas las instancias de la región usar Cloud NAT para todos los rangos de IP principales y de IP de alias. También asigna de forma automática las direcciones IP externas de la puerta de enlace NAT. Para obtener más opciones, consulta la documentación de Google Cloud CL.

Console

  1. En la consola, ve a la página Cloud NAT.

    Ir a la página de Cloud NAT

  2. Haz clic en Comenzar o Crear puerta de enlace de NAT.

  3. En Nombre de la puerta de enlace, ingresa nat-config.

  4. Establece Red de VPC en custom-network1.

  5. Establece Región en us-east4.

  6. En Cloud Router, seleccione Crear router nuevo.

    1. En Nombre ingresa nat-router.
    2. Haga clic en Crear.
  7. Haga clic en Crear.

gcloud

  1. Crea un Cloud Router:

    gcloud compute routers create nat-router \
        --network custom-network1 \
        --region us-east4
  2. Agrega una configuración al router:

    gcloud compute routers nats create nat-config \
        --router-region us-east4 \
        --router nat-router \
        --nat-all-subnet-ip-ranges \
        --auto-allocate-nat-external-ips

Terraform

Puedes usar un recurso de Terraform para crear un Cloud Router.

resource "google_compute_router" "router" {
  project = var.project_id
  name    = "nat-router"
  network = var.network
  region  = "us-east4"
}

Puedes usar un módulo de Terraform para crear una configuración de NAT.

module "cloud-nat" {
  source                             = "terraform-google-modules/cloud-nat/google"
  version                            = "~> 2.0.0"
  project_id                         = var.project_id
  region                             = "us-east4"
  router                             = google_compute_router.router.name
  name                               = "nat-config"
  source_subnetwork_ip_ranges_to_nat = "ALL_SUBNETWORKS_ALL_IP_RANGES"
}

Paso 7: Vuelve a conectarte a Internet

La configuración de NAT puede tardar hasta tres minutos en propagarse a la VM, por lo que debes esperar al menos un minuto antes de volver a acceder a Internet.

Console

  1. En la consola ve a la página Instancias de VM.

    Ir a la página Instancias de VM

  2. En nat-test-1, en la columna Conectar, haz clic en la flecha desplegable SSH y, luego, selecciona Abrir en ventana del navegador.

  3. En el símbolo del sistema de la VM, ingresa curl example.com y, luego, presiona Intro.

gcloud

Conéctate a nat-test-1 y ejecuta un comando:

gcloud compute ssh nat-test-1 \
    --zone us-east4-c \
    --command "curl example.com" \
    --tunnel-through-iap

Deberías ver un resultado con el siguiente contenido:


<html>
<head>
<title>Example Domain</title>
...
...
...
</head>

<body>
<div>
    <h1>Example Domain</h1>
    <p>This domain is established to be used for illustrative examples in documents. You can use this
    domain in examples without prior coordination or asking for permission.</p>
    <p><a href="http://www.iana.org/domains/example">More information...</a></p>
</div>
</body>
</html>

¿Qué sigue?