Esta página foi traduzida pela API Cloud Translation.

Interações com produtos do Cloud NAT

Esta página descreve as interações importantes entre o Cloud NAT e outros produtos Google Cloud .

Interações de rotas

Um gateway do Public NAT só pode usar rotas em que os próximos saltos sejam o gateway de Internet padrão. Cada rede de nuvem privada virtual (VPC) começa com uma rota padrão com o destino 0.0.0.0/0 e o gateway de Internet padrão como próximo salto. Para informações importantes, consulte a visão geral das rotas.

Os exemplos a seguir ilustram situações que podem fazer com que os gateways do Public NAT se tornem inoperantes:

Se você criar uma rota estática com os próximos saltos definidos como qualquer outro tipo de próximo salto de rota estática, os pacotes com endereços IP de destino correspondentes ao destino da rota serão enviados para o próximo salto em vez do gateway de Internet padrão. Por exemplo, se você usar instâncias de máquina virtual (VM) que executam um gateway NAT, firewall ou software proxy, crie rotas estáticas para direcionar o tráfego para essas VMs como o próximo salto. As VMs de próximo salto exigem endereços IP externos. Assim, o tráfego das VMs que dependem das VMs de próximo salto ou das próprias VMs de próximo salto não pode usar gateways do Public NAT .
Se você criar uma rota estática personalizada cujo próximo salto seja um túnel da VPN do Cloud, o NAT público não vai usar essa rota. Por exemplo, uma rota estática com destino 0.0.0.0/0 e um túnel do Cloud VPN do próximo salto direciona o tráfego para esse túnel, não para o gateway de Internet padrão. Portanto, os gateways do Public NAT não podem usar essa rota. Da mesma forma, os gateways do Public NAT não podem usar rotas estáticas com destinos mais específicos, incluindo 0.0.0.0/1 e 128.0.0.0/1.
Se um roteador local anunciar uma rota dinâmica para um Cloud Router que gerencia um túnel do Cloud VPN ou um anexo da VLAN, o NAT público gateways não poderão usar essa rota. Por exemplo, se o roteador local anunciar uma rota dinâmica com destino 0.0.0.0/0, 0.0.0.0/0 será direcionado ao túnel do Cloud VPN ou ao anexo da VLAN. Isso vale até mesmo para destinos mais específicos, incluindo 0.0.0.0/1 e 128.0.0.0/1.

O Private NAT usa as seguintes rotas:

Para spokes do Network Connectivity Center, o Private NAT usa rotas de sub-rede e rotas dinâmicas:
- Para o tráfego entre dois spokes VPC conectados a um hub do Network Connectivity Center que contém apenas spokes VPC, o Private NAT usa as rotas de sub-rede trocadas pelos spokes VPC conectados. Para informações sobre spokes VPC, consulte Visão geral dos spokes VPC.
- Se um hub do Network Connectivity Center tiver spokes de VPC e spokes híbridos, como anexos de VLAN para o Cloud Interconnect, túneis do Cloud VPN ou VMs de dispositivo roteador, o NAT particular vai usar as rotas dinâmicas aprendidas pelos spokes híbridos pelo BGP e as rotas de sub-rede trocadas pelos spokes de VPC anexados. Para informações sobre spokes híbridos, consulte Spokes híbridos.
Para NAT híbrida, a NAT privada usa rotas dinâmicas aprendidas pelo Cloud Router pelo Cloud Interconnect ou Cloud VPN.

Interações com o Acesso privado do Google

Um gateway do Public NAT nunca realiza NAT para o tráfego enviado aos endereços IP externos selecionados para APIs e serviços do Google. Em vez disso, Google Cloud ativa automaticamente o Acesso privado do Google para um intervalo de endereços IP de sub-rede quando você configura um NAT público gateway para aplicar a esse intervalo de sub-rede, seja ele primário ou secundário. Contanto que o gateway forneça o NAT a um intervalo de sub-rede, o Acesso privado do Google estará em vigor para esse intervalo e não poderá ser desativado manualmente.

Um gateway do Public NAT não muda a forma como o Acesso privado do Google funciona. Para mais informações, consulte Acesso privado do Google.

Os gateways do Private NAT não se aplicam ao Acesso privado do Google.

Interações de VPC compartilhada

A VPC compartilhada permite que vários projetos de serviço em uma única organização usem uma rede VPC compartilhada comum em um projeto host. Para fornecer NAT para VMs em projetos de serviço que usam uma rede VPC compartilhada, você deve criar gateways do Cloud NAT no projeto de host.

Interações de peering de rede VPC

Os gateways Cloud NAT estão associados aos intervalos de endereços IP de sub-rede em uma única região e em uma única rede VPC. Um gateway do Cloud NAT criado em uma rede VPC não pode fornecer NAT para VMs em outras redes VPC conectadas usando peering de rede VPC, mesmo que as VMs em redes com peering estejam na mesma região do gateway.

Interações do GKE

Um gateway do Public NAT pode realizar NAT para nós e pods em um cluster particular, que é um tipo de cluster nativo de VPC. O gateway do Public NAT precisa ser configurado para ser aplicado a pelo menos os seguintes intervalos de endereços IP de sub-rede para a sub-rede que seu cluster usa:

Intervalo de endereços IP principais de sub-rede (usado pelos nós)
Intervalo de endereços IP secundários da sub-rede usado para pods no cluster
Intervalo de endereços IP secundários da sub-rede usado para serviços no cluster

A maneira mais simples de fornecer NAT para um cluster particular inteiro é configurar um gateway do Public NAT para aplicar a todos os intervalos de endereços IP de sub-rede da sub-rede do cluster.

Para mais informações em segundo plano sobre como os clusters nativos de VPC utilizam intervalos de endereços IP de sub-rede, consulte Intervalos de IP para clusters nativos de VPC.

Quando um gateway do Public NAT é configurado para fornecer NAT para um cluster particular, ele reserva endereços IP de origem NAT e portas de origem para cada VM de nó. Esses endereços IP de origem NAT e portas de origem podem ser usados pelos pods porque os endereços IP do pod são implementados como intervalos de IP de alias atribuídos a cada VM de nó.

Os clusters nativos de VPC do Google Kubernetes Engine (GKE) sempre atribuem a cada nó um intervalo de IP do alias que contém mais de um endereço IP (máscara de rede menor que /32).

Se a alocação de porta estática estiver configurada, o procedimento de reserva de porta do Public NAT vai reservar pelo menos 1.024 portas de origem por nó. Se o valor especificado do número mínimo de portas por VM for maior que 1.024, esse valor será usado.
Se a alocação de porta dinâmica estiver configurada, o valor especificado das portas mínimas por VM será inicialmente alocado por nó. O número de portas alocadas posteriormente varia entre os valores especificados para portas mínimas e máximas por VM, com base sob demanda.

Para informações sobre intervalos de endereços IP de pods e clusters nativos de VPC, consulte Intervalo de endereços IP secundários de sub-redes para pods.

Independentemente do Public NAT , o Google Kubernetes Engine realiza a conversão de endereços de rede de origem (NAT ou SNAT de origem) usando software em execução em cada nó quando os pods enviam pacotes para a Internet, a menos que você tenha alterado a configuração de mascaramento de IP do cluster. Se você precisar de controle granular sobre o tráfego de saída dos pods, use uma política de rede.

Em determinadas circunstâncias, o Public NAT também pode ser útil para clusters nativos de VPC que não são particulares. Como os nós em um cluster não particular têm endereços IP externos, os pacotes enviados do endereço IP interno principal do nó nunca são processados pelo Cloud NAT. No entanto, se as duas condições a seguir forem verdadeiras, os pacotes enviados de pods em um cluster não particular poderão ser processados por um gateway do Public NAT :

Para clusters nativos de VPC, o gateway do Public NAT é configurado para ser aplicado ao intervalo de endereços IP secundário para os pods do cluster.
A configuração do mascaramento de IP do cluster não está configurada para executar SNAT no cluster para pacotes enviados de pods para a Internet.

O exemplo a seguir mostra a interação do Public NAT com o GKE:

Public NAT com GKE. — NAT pública com o GKE (clique para ampliar).

Neste exemplo, você quer que seus contêineres sejam convertidos para NAT. Para ativar o NAT para todos os contêineres e o nó do GKE, escolha todos os intervalos de endereços IP de Subnet 1 como candidato NAT:

Intervalo do endereço IP primário da sub-rede: 10.240.0.0/24
Intervalo de endereços IP secundário da sub-rede usado para pods: 10.0.0.0/16

Não é possível ativar o NAT somente para Pod1 ou Pod2.

Um gateway do Private NAT pode realizar NAT para nós e pods em um cluster particular e em um cluster não particular. O gateway do Private NAT se aplica automaticamente a todos os intervalos de endereços IP de sub-rede usados pelo cluster.

Interações de saída de VPC direta

O NAT público Cloud NAT podem executar NAT para serviços do Cloud Run ou jobs configurados com saída VPC direta. Para permitir que o Cloud Run use um gateway do Cloud NAT , configure o gateway do Cloud NAT com as seguintes configurações:

Para configurar quais sub-redes e intervalos de endereços IP associados às suas instâncias do Cloud Run podem usar o gateway do Public NAT , especifique a flag --nat-all-subnet-ip-ranges ou --nat-custom-subnet-ip-ranges:
- Para permitir que todos os intervalos de endereços IP de todas as sub-redes na região usem o gateway do Public NAT , especifique a flag --nat-all-subnet-ip-ranges.
- Para permitir que apenas sub-redes e intervalos de endereços IP de sub-redes específicos usem o gateway do Public NAT , especifique-os com a flag --nat-custom-subnet-ip-ranges.
Defina o valor da sinalização --endpoint-types como ENDPOINT_TYPE_VM. Esse valor garante que apenas VMs e endpoints de VM de saída da VPC direta possam usar o gateway do Public NAT .
No caso de alocação de porta estática, defina o valor da flag --min-ports-per-vm como quatro vezes o número de portas necessárias por uma única instância do Cloud Run.
No caso de atribuição manual de endereços IP NAT, atribua um número adequado de endereços IP ao gateway do Public NAT para considerar a soma do número de instâncias de Google Cloud e do número de instâncias do Cloud Run implantadas na sua rede VPC.

Além da configuração do gateway, para enviar tráfego de saída de um serviço ou job do Cloud Run, defina a flag --vpc-egress como all-traffic ao criar o serviço ou job.

Se você tiver configurado um serviço ou job do Cloud Run com a flag --vpc-egress definida como private-ranges-only, o serviço ou job vai enviar tráfego apenas para endereços IP internos. Não é necessário um gateway Public NAT para rotear o tráfego para destinos internos.

Para impedir que serviços ou jobs do Cloud Run que tenham a flag --vpc-egress definida como private-ranges-only usem um gateway NAT público, faça o seguinte:

Configure o gateway do Public NAT com a flag --nat-custom-subnet-ip-ranges.
Defina o valor da flag --nat-custom-subnet-ip-ranges para os nomes de sub-redes em que você implantou serviços ou jobs do Cloud Run com a flag --vpc-egress definida como all-traffic.

A limitação a seguir se aplica aos serviços e jobs do Cloud Run que usam gateways NAT públicas:

Os registros do Cloud NAT para saída da VPC direta não mostram os nomes de serviços, revisões ou jobs do Cloud Run.

Não é possível usar gateways do Private NAT com endpoints de saída de VPC direta.

Interações do Connectivity Tests

É possível usar os Testes de conectividade para verificar a conectividade entre endpoints de rede que usam configurações do Cloud NAT. É possível executar testes de conectividade em redes que usam gateways NAT públicos ou gateways NAT privados, ou ambos.

Confira os detalhes de configuração do NAT no painel Trace da análise de configuração na página Detalhes do teste de conectividade.

Interações do Cloud Load Balancing

Google Cloud Balanceadores de carga de aplicativo interno regional e balanceadores de carga de aplicativo externo regional se comunicam com vários back-ends de grupo de endpoint de rede de Internet regional (NEG). Ao configurar gateways do Cloud NAT para os NEGs regionais da Internet, é possível alocar seu próprio conjunto de intervalos de endereços IP externos de onde o Google Cloud tráfego deve ser originado. As verificações de integridade e o tráfego do plano de dados são provenientes dos endereços IP NAT alocados.

Outros Google Cloud balanceadores de carga externos e sistemas de verificação de integridade se comunicam com VMs usando caminhos de roteamento especiais. As VMs de back-end não exigem endereços IP externos nem um gateway do Cloud NAT gerencia a comunicação para balanceadores de carga e verificações de integridade. Para mais informações, consulte a Visão geral do Cloud Load Balancing e a Visão geral das verificações de integridade.

Interações de conexões propagadas do Private Service Connect

Ao usar o Private NAT para o Network Connectivity Center e as conexões propagadas do Private Service Connect no mesmo spoke de VPC, o seguinte se aplica:

Se uma sub-rede for configurada com NAT particular, o tráfego da sub-rede para as conexões propagadas do Private Service Connect será interrompido.
Para evitar a perda de tráfego de sub-redes não sobrepostas, considere o seguinte ao configurar o Private NAT:
- Especifique sub-redes sobrepostas usando a flag --nat-custom-subnet-ip-ranges.
- Não especifique sub-redes não sobrepostas que precisam acessar conexões propagadas.
- Não use a flag --nat-all-subnet-ip-ranges.

A seguir

Saiba mais sobre endereços e portas do Cloud NAT.
Configurar um gateway do Public NAT.
Configurar regras do Cloud NAT.
Configurar um gateway do Private NAT.