Información general sobre Cloud NAT
Cloud NAT proporciona traducción de direcciones de red (NAT) para el tráfico saliente a Internet, redes de nube privada virtual (VPC), redes on-premise y otras redes de proveedores de servicios en la nube.
Cloud NAT traduce las direcciones de los siguientes recursos:
- Instancias de máquina virtual (VM) de Compute Engine
- Clusters de Google Kubernetes Engine (GKE)
- Instancias de Cloud Run
- Instancias de Cloud Run functions
- Instancias del entorno estándar de App Engine
- Grupos de puntos finales de red (NEGs) de Internet regionales
Cloud NAT solo admite la traducción de direcciones para los paquetes de respuesta entrantes establecidos. No permite conexiones entrantes no solicitadas.
Tipos de Cloud NAT
Si usas una pasarela de Cloud NAT, tus Google Cloud recursos pueden conectarse a recursos que no estén en la red VPC de origen.
Una pasarela de Cloud NAT admite los siguientes tipos de NAT:
- Public NAT
- NAT privada
Puedes usar tanto NAT público como NAT privado para proporcionar servicios NAT a la misma subred de una red de VPC.
Una pasarela Cloud NAT para NAT pública o NAT privada traduce direcciones de IPv4 a IPv4. NAT público también admite NAT de IPv6 a IPv4.
Public NAT
La NAT pública permite que los Google Cloud recursos que no tienen direcciones IPv4 externas se comuniquen con destinos IPv4 en Internet. Estas VMs usan un conjunto de direcciones IP externas compartidas para conectarse a Internet. Cloud NAT no depende de máquinas virtuales proxy. En su lugar, una pasarela Cloud NAT asigna un conjunto de direcciones IP externas y puertos de origen a cada VM que usa la pasarela para crear conexiones salientes a Internet.
Imagina una situación en la que tienes VM-1 en subnet-1 cuya interfaz de red no tiene una dirección IP externa. Sin embargo, VM-1 necesita conectarse a Internet para descargar actualizaciones. Para habilitar la conectividad a Internet, puedes crear una pasarela Cloud NAT configurada para aplicarse al intervalo de direcciones IP de subnet-1. Ahora, VM-1 puede enviar tráfico a Internet usando la dirección IP interna de subnet-1.
Para obtener más información, consulta NAT pública.
NAT privada
Private NAT permite realizar traducciones privadas a privadas para el siguiente tráfico.
| Tráfico | Descripción |
|---|---|
| De una red de VPC a otra red de VPC | Private NAT admite NAT de privado a privado para redes VPC conectadas como radios de VPC a un hub de Network Connectivity Center. Para obtener más información, consulta Private NAT para radios de Network Connectivity Center. |
| De una red de VPC a una red externa a Google Cloud | Private NAT admite las siguientes opciones para el tráfico entre redes de VPC y redes on-premise u otras redes de proveedores de servicios en la nube:
|
Imagina una situación en la que tus Google Cloud recursos de una red de VPC necesitan comunicarse con destinos de otra red de VPC. Sin embargo, la red de destino contiene subredes cuyas direcciones IP se solapan con las direcciones IP de tu red de VPC de origen. En este caso, creas una pasarela Cloud NAT para Private NAT que traduce el tráfico entre las subredes de tu red de VPC de origen y las subredes no superpuestas de la otra red.
Para obtener más información, consulta NAT privada.
Recursos compatibles
En la siguiente tabla se enumeran los Google Cloud recursos que admite cada tipo de Cloud NAT. Lamarca de verificación indica que el recurso se admite.
| Recurso | Public NAT | NAT privada |
|---|---|---|
| Instancias de VM de Compute Engine | ||
| Clústeres de GKE | ||
| Cloud Run, Cloud Run Functions y el entorno estándar de App Engine1 | (Vista previa) | |
| NEGs de Internet regionales | No aplicable |
- Instancias de Cloud Run (servicios y tareas) e instancias de funciones de Cloud Run a través de la salida de VPC directa (opción recomendada) o el acceso a VPC sin servidor
- Instancias del entorno estándar de App Engine a través de Acceso a VPC sin servidor
Arquitectura
Cloud NAT es un servicio gestionado distribuido y definido por software. No se basa en VMs ni dispositivos proxy. Cloud NAT configura el software Andromeda que impulsa tu red de nube privada virtual (VPC) para que proporcione traducción de direcciones de red de origen (NAT de origen o SNAT) a los recursos. Cloud NAT también proporciona la traducción de direcciones de red de destino (NAT de destino o DNAT) para los paquetes de respuesta de entrada establecidos.
Ventajas
Cloud NAT ofrece las siguientes ventajas:
Seguridad
Si usas una pasarela Cloud NAT para Public NAT, puedes reducir la necesidad de que cada VM tenga direcciones IP externas. Sujetas a las reglas de cortafuegos de salida, las VMs sin direcciones IP externas pueden acceder a destinos en Internet. Por ejemplo, puede que tengas VMs que solo necesiten acceso a Internet para descargar actualizaciones o completar el aprovisionamiento.
Si usas la asignación manual de direcciones IP de NAT para configurar una pasarela Cloud NAT para Public NAT, puedes compartir con confianza un conjunto de direcciones IP de origen externas comunes con un destinatario. Por ejemplo, un servicio de destino solo puede permitir conexiones desde direcciones IP externas conocidas.
Private NAT permite realizar traducciones de direcciones de red (NAT) privadas a privadas entre redes de VPCs o entre redes de VPCs y redes on-premise u otras redes de proveedores de servicios en la nube. Cuando se configura Private NAT, la pasarela Cloud NAT realiza NAT mediante direcciones IP del intervalo de subred de Private NAT.
Disponibilidad
Cloud NAT es un servicio gestionado distribuido y definido por software. No depende de ninguna máquina virtual de tu proyecto ni de un único dispositivo de pasarela física. Configuras una pasarela NAT en un Cloud Router, que proporciona el plano de control de NAT y contiene los parámetros de configuración que especifiques. Google Cloud ejecuta y mantiene procesos en las máquinas físicas que ejecutan tus VMs. Google Cloud
Escalabilidad
Cloud NAT se puede configurar para que escale automáticamente el número de direcciones IP de NAT que usa y admite VMs que pertenecen a grupos de instancias gestionadas, incluidos los grupos con el autoescalado habilitado.
Rendimiento
Cloud NAT no reduce el ancho de banda de la red por máquina virtual. Cloud NAT se implementa mediante la red definida por software Andromeda de Google. Para obtener más información, consulta la sección sobre el ancho de banda de red de la documentación de Compute Engine.
Logging
En el caso del tráfico de Cloud NAT, puede monitorizar las conexiones y el ancho de banda para cumplir los requisitos, depurar, analizar y llevar la contabilidad.
Monitorización
Cloud NAT expone métricas clave a Cloud Monitoring que te permiten conocer el uso que hace tu flota de las pasarelas NAT. Las métricas se envían automáticamente a Cloud Monitoring. Allí puede crear paneles de control personalizados, configurar alertas y consultar métricas.
Además, Network Analyzer publica estadísticas de Cloud NAT. Analizador de redes monitoriza automáticamente la configuración de Cloud NAT para detectar y generar estas estadísticas.
Interacciones con el producto
Para obtener más información sobre las interacciones importantes entre Cloud NAT y otros Google Cloud productos, consulta Interacciones de productos de Cloud NAT.
Siguientes pasos
- Consulta información sobre las interacciones de los productos de Cloud NAT.
- Consulta información sobre las direcciones y los puertos de Cloud NAT.
- Configura NAT pública.
- Consulta información sobre las reglas de Cloud NAT.
- Configura Private NAT.
- Soluciona problemas habituales.
- Consulta información sobre los precios de Cloud NAT.