Ejemplo de configuración de Compute Engine

En esta página, se muestra cómo establecer una configuración de Cloud NAT de muestra con Compute Engine. Antes de configurar Cloud NAT, consulta la descripción general de Cloud NAT.

Requisitos previos

Antes de configurar Cloud NAT, debes hacer lo siguiente.

Obtener permisos de IAM

La función roles/compute.networkAdmin te da permisos para crear una puerta de enlace NAT en Cloud Router, reservar y asignar direcciones IP NAT y especificar subredes (subredes) cuyo tráfico debería usar la traducción de direcciones de red a través de la puerta de enlace NAT.

Configura Google Cloud

Antes de comenzar, configura los siguientes elementos en Google Cloud.

  1. Accede a tu Cuenta de Google.

    Si todavía no tienes una cuenta, regístrate para obtener una nueva.

  2. En la página de selección de proyectos de Cloud Console, selecciona o crea un proyecto de Cloud.

    Ir a la página Selector de proyectos

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud. Obtén información sobre cómo confirmar que tienes habilitada la facturación para tu proyecto.

  4. Instala e inicializa el SDK de Cloud.

Configura el ejemplo de Compute Engine

Usa este ejemplo si deseas ver una configuración simple de Cloud NAT que funciona con Compute Engine.

Paso 1: Crea una subred y una red de VPC

Si ya tienes una red y una subred, puedes omitir este paso.

Console

  1. En Google Cloud Console, ve a la página Redes de VPC.

    Ir a la página Redes de VPC

  2. Haz clic en Crear red de VPC

  3. En Nombre ingresa custom-network1.

  4. En Subredes, establece Modo de creación de subred como Personalizado.

  5. En Subred nueva, ingresa el nombre subnet-us-east-192.

  6. En Región, selecciona us-east4.

  7. Ingresa un rango de direcciones IP de 192.168.1.0/24.

  8. Haga clic en Listo y, luego, en Crear.

gcloud

  1. Crea una nueva red de VPC en modo personalizado en tu proyecto:

    gcloud compute networks create custom-network1 \
        --subnet-mode custom
  2. Especifica el prefijo de la subred para tu primera región. En este ejemplo, se asigna 192.168.1.0/24 a la región us-east4.

    gcloud compute networks subnets create subnet-us-east-192 \
       --network custom-network1 \
       --region us-east4 \
       --range 192.168.1.0/24

Paso 2: Crea una instancia de VM sin dirección IP externa

Console

  1. En Cloud Console, ve a la página Instancias de VM.

    Ir a la página Instancias de VM

  2. Haga clic en Crear instancia.

  3. En Nombre, especifica nat-test-1 para tu instancia.

  4. Establece Región en us-east4.

  5. Configura Zona como us-east4-c.

  6. Haz clic en el vínculo Administración, seguridad, discos, redes, usuario único.

  7. Haz clic en la pestaña Redes.

  8. En Interfaces de redes, haz clic en Editar en la interfaz predeterminada de la VM.

    1. Establece Red en custom-network1.
    2. Establece Subred en subnet-us-east-192.
    3. Configura IP externa como Ninguna.
    4. Haga clic en Listo.
  9. Para crear y, luego, iniciar la instancia, haz clic en Crear.

gcloud

gcloud compute instances create nat-test-1 \
    --image-family debian-9 \
    --image-project debian-cloud \
    --network custom-network1 \
    --subnet subnet-us-east-192 \
    --zone us-east4-c \
    --no-address

Paso 3: Crea una regla de firewall que permita conexiones SSH

Console

  1. En Cloud Console, ve a la página Firewall.

    Ir a la página Firewall

  2. Haz clic en Crear regla de firewall.

  3. Ingresa un Nombre de allow-ssh.

  4. En Red, especifica custom-network1.

  5. Configura Dirección del tráfico como Entrada.

  6. Establece Acción en caso de coincidencia en Permitir.

  7. Configura Destinos como Todas las instancias de la red.

  8. Establece Filtro de fuente en Rangos de IP.

  9. Configura Rangos de IP de origen como 35.235.240.0/20.

  10. Configura Protocolos y puertos como Protocolos y puertos especificados.

  11. Selecciona la casilla de verificación tcp y, luego, ingresa el puerto 22.

  12. Haga clic en Crear.

gcloud

gcloud compute firewall-rules create allow-ssh \
    --network custom-network1 \
    --source-ranges 35.235.240.0/20 \
    --allow tcp:22

Paso 4: Crea permisos de SSH de para IAP para tu instancia de prueba

En un paso posterior, usa IAP para conectarte a tu instancia de prueba.

Console

  1. En Cloud Console, ve a la página Identity-Aware Proxy.

    Ir a la página de Identity-Aware Proxy

  2. Selecciona la pestaña Recursos de SSH y TCP.

  3. Para actualizar los permisos de los miembros en los recursos, selecciona la casilla de verificación junto a Todos los recursos del túnel > us-east4-c > nat-test-1.

  4. En el panel de la derecha, haz clic en Agregar miembro.

  5. Para otorgar a los usuarios, grupos o cuentas de servicio acceso a los recursos, en el campo Nuevos miembros, especifica sus direcciones de correo electrónico.

    Si solo estás probando esta función, puedes ingresar tu propia dirección de correo electrónico.

  6. Para otorgar a los miembros acceso a los recursos a través de la función de redireccionamiento de TCP de Cloud IAP, en la lista desplegable Función, selecciona Cloud IAP > Usuario de túnel protegido con IAP.

  7. Haga clic en Save.

gcloud

Para este paso, usa las instrucciones de Console.

Paso 5: Accede a nat-test-1 y confirma que no pueda acceder a Internet

Console

  1. En Cloud Console, ve a la página Instancias de VM.

    Ir a la página Instancias de VM

  2. En nat-test-1, en la columna Conectar, haz clic en la flecha desplegable SSH y, luego, selecciona Abrir en ventana del navegador.

  3. En el símbolo del sistema de la VM, ingresa curl example.com y, luego, presiona Intro.

    No deberías obtener ningún resultado. Si lo haces, es posible que hayas creado nat-test-1 con una dirección IP externa o que haya algún otro problema. Para solucionar problemas, consulta Las VM pueden acceder a Internet de forma inesperada sin Cloud NAT.

    Para finalizar el comando, es posible que debas ingresar Ctrl+C.

gcloud

  1. Agrega una clave SSH de Compute Engine a tu host local:

    ssh-add ~/.ssh/google_compute_engine
    
  2. Conéctate a nat-test-1 y ejecuta un comando:

    gcloud compute ssh nat-test-1 \
        --zone us-east4-c \
        --command "curl example.com" \
        --tunnel-through-iap

    No deberías obtener ningún resultado. Si lo haces, es posible que hayas creado nat-test-1 con una dirección IP externa o que haya algún otro problema. Para solucionar problemas, consulta Las VM pueden acceder a Internet de forma inesperada sin Cloud NAT.

    Para finalizar el comando, es posible que debas ingresar Ctrl+C.

Paso 6: Crea una configuración de NAT con Cloud Router

Debes crear el Cloud Router en la misma región en la que están las instancias que usan Cloud NAT. Cloud NAT solo se usa para colocar información de NAT en las VM. No se usa como parte de la puerta de enlace NAT.

Esta configuración permite a todas las instancias de la región usar Cloud NAT para todos los rangos de IP principales y los rangos de IP de alias. También asigna de forma automática las direcciones IP externas de la puerta de enlace NAT. Para obtener más opciones, consulta la documentación de la interfaz de línea de comandos de gcloud.

Console

  1. En Cloud Console, ve a la página Cloud NAT.

    Ir a la página Cloud NAT

  2. Haz clic en Comenzar o Crear puerta de enlace de NAT.

  3. En Nombre de la puerta de enlace, ingresa nat-config.

  4. Establece Red de VPC en custom-network1.

  5. Establece Región en us-east4.

  6. En Cloud Router, selecciona Crear router nuevo.

    1. En Nombre ingresa nat-router.
    2. Haga clic en Crear.
  7. Haga clic en Crear.

gcloud

  1. Crea un Cloud Router:

    gcloud compute routers create nat-router \
        --network custom-network1 \
        --region us-east4
  2. Agrega una configuración al router:

    gcloud compute routers nats create nat-config \
        --router-region us-east4 \
        --router nat-router \
        --nat-all-subnet-ip-ranges \
        --auto-allocate-nat-external-ips

Paso 7: Vuelve a conectarte a Internet

La configuración de NAT puede tardar hasta tres minutos en propagarse a la VM, por lo que debes esperar al menos un minuto antes de volver a acceder a Internet.

Console

  1. En Cloud Console, ve a la página Instancias de VM.

    Ir a la página Instancias de VM

  2. En nat-test-1, en la columna Conectar, haz clic en la flecha desplegable SSH y, luego, selecciona Abrir en ventana del navegador.

  3. En el símbolo del sistema de la VM, ingresa curl example.com y, luego, presiona Intro.

gcloud

Conéctate a nat-test-1 y ejecuta un comando:

gcloud compute ssh nat-test-1 \
    --zone us-east4-c \
    --command "curl example.com" \
    --tunnel-through-iap

Deberías ver un resultado con el siguiente contenido:


<html>
<head>
<title>Example Domain</title>
...
...
...
</head>

<body>
<div>
    <h1>Example Domain</h1>
    <p>This domain is established to be used for illustrative examples in documents. You can use this
    domain in examples without prior coordination or asking for permission.</p>
    <p><a href="http://www.iana.org/domains/example">More information...</a></p>
</div>
</body>
</html>

Qué sigue