Descripción general de Cloud NAT
Cloud NAT proporciona traducción de direcciones de red (NAT) para el tráfico saliente a Internet, redes de nube privada virtual (VPC), redes locales y otras redes de proveedores de servicios en la nube.
Cloud NAT proporciona NAT para los siguientes recursos de Google Cloud:
- Instancias de máquina virtual (VM) de Compute Engine
- Clústeres de Google Kubernetes Engine (GKE)
- Instancias de Cloud Run a través del Acceso a VPC sin servidores o la salida de VPC directa
- Instancias de Cloud Run Functions a través del Acceso a VPC sin servidores
- Instancias de entorno estándar de App Engine a través del Acceso a VPC sin servidores
- Grupos de extremos de red de Internet (NEG) regionales
Cloud NAT solo admite la traducción de direcciones para los paquetes de respuesta entrantes establecidos. No permite conexiones entrantes no solicitadas.
Tipos de Cloud NAT
En Google Cloud, usas Cloud NAT para crear puertas de enlace de NAT que permiten que las instancias de una subred privada se conecten a recursos fuera de tu red de VPC.
Con una puerta de enlace NAT, puedes habilitar los siguientes tipos de NAT:
- NAT pública
- NAT privada
Puedes tener puertas de enlace de NAT pública y privada que ofrezcan servicios de NAT a la misma subred en una red de VPC.
NAT pública
La NAT pública permite que los recursos de Google Cloud que no tienen direcciones IP públicas se comuniquen con Internet. Estas VMs usan un conjunto de direcciones IP públicas compartidas para conectarse a Internet. NAT pública no se basa en VMs de proxy. En cambio, una puerta de enlace de NAT pública asigna un conjunto de direcciones IP externas y puertos de origen a cada VM que usa la puerta de enlace para crear conexiones salientes a Internet.
Considera una situación en la que tienes VM-1
en subnet-1
cuya interfaz de red no tiene una dirección IP externa. Sin embargo, VM-1
debe conectarse a Internet para descargar actualizaciones críticas. Para habilitar la conectividad a Internet, puedes crear una puerta de enlace de
NAT pública
que esté configurada para aplicarse al rango de direcciones IP de subnet-1
. Ahora, VM-1
puede enviar tráfico a Internet con la dirección IP interna de subnet-1
.
Para obtener más información, consulta NAT pública.
NAT privada
La NAT privada habilita la NAT privada a privada para el siguiente tráfico.
Tráfico | Descripción |
---|---|
De una red de VPC a otra red de VPC | La NAT privada admite la NAT de privado a privado para redes de VPC conectadas como radios de VPC a un concentrador de Network Connectivity Center. Para obtener más información, consulta NAT privada para radios de Network Connectivity Center. |
De una red de VPC a una red fuera de Google Cloud | La NAT privada admite las siguientes opciones para el tráfico entre redes de VPC y redes locales o de otros proveedores de servicios en la nube:
|
Supongamos que los recursos de tu red de VPC deben comunicarse con los recursos de una red de VPC, una red local o de otro proveedor de servicios en la nube que pertenece a una unidad de negocio diferente. Sin embargo, esa red contiene subredes cuyas direcciones IP se superponen con las direcciones IP de tu red de VPC. En esta situación, creas una puerta de enlace de NAT privada que traduce el tráfico entre las subredes de tu red de VPC a las subredes que no se superponen de la otra red.
Para obtener más información sobre Private NAT, consulta Private NAT.
Recursos admitidos
En la siguiente tabla, se enumeran los recursos de Google Cloud compatibles con cada tipo de Cloud NAT. La marca de verificación indica que el recurso es compatible, y el símbolo indica que no es compatible.
Recurso | NAT pública | NAT privada |
---|---|---|
Instancias de VM de Compute Engine | ||
Clústeres de GKE | ||
Cloud Run, funciones de Cloud Run y el entorno estándar de App Engine | ||
NEG de Internet regionales | No aplicable |
Arquitectura
Cloud NAT es un servicio administrado distribuido y definido por software. No se basa en los dispositivos o VM del proxy. Cloud NAT configura el software Andromeda que potencia tu red de nube privada virtual (VPC) de manera que proporcione la traducción de direcciones de red (de origen NAT o SNAT) para los recursos. Cloud NAT también proporciona la traducción de direcciones de red (de destino NAT o DNAT) para los paquetes de respuesta entrantes establecidos.
Beneficios
Cloud NAT proporciona los siguientes beneficios:
Seguridad
Cuando usas una puerta de enlace de NAT pública, puedes reducir la necesidad de que las VMs individuales tengan direcciones IP externas. Sujeto a las reglas de firewall de salida, las VM sin direcciones IP externas pueden acceder a los destinos en Internet. Por ejemplo, es posible que tengas VMs que solo necesiten acceso a Internet para descargar actualizaciones o completar el aprovisionamiento.
Si usas la asignación de dirección IP de NAT manual para configurar una puerta de enlace de NAT pública, puedes compartir de forma segura un conjunto de direcciones IP de origen externas comunes con un destinatario. Por ejemplo, un servicio de destino solo puede permitir conexiones desde direcciones IP externas conocidas.
Una puerta de enlace de NAT privada no permite que ningún recurso de los radios de VPC conectados de Network Connectivity Center inicie directamente una conexión con las VMs dentro de subredes superpuestas. Cuando una VM en una configuración de NAT privada intenta iniciar una conexión con una VM en otra red, la puerta de enlace de NAT privada realiza SNAT con las direcciones IP del rango de NAT privada. La puerta de enlace también realiza DNAT en las respuestas a los paquetes de salida.
Disponibilidad
Cloud NAT es un servicio administrado distribuido y definido por software. No depende de ninguna VM de tu proyecto ni de un solo dispositivo de puerta de enlace física. Configura una puerta de enlace NAT en un Cloud Router, que proporciona el plano de control para NAT, con los parámetros de configuración que especifiques. Google Cloud ejecuta y mantiene procesos en las máquinas físicas que ejecutan tus VM de Google Cloud.
Escalabilidad
Cloud NAT se puede configurar para escalar automáticamente la cantidad de direcciones IP de NAT que usa y admite VMs que pertenecen a grupos de instancias administrados, incluidos los grupos con el ajuste de escala automático habilitado.
Rendimiento
Cloud NAT no reduce el ancho de banda de la red por VM. Cloud NAT se implementa mediante las redes definidas por software de Andromeda de Google. Para obtener más información, consulta Ancho de banda de red en la documentación de Compute Engine.
Logging
En el caso del tráfico de Cloud NAT, puedes rastrear las conexiones y el ancho de banda para fines de cumplimiento, depuración, análisis y contabilización.
Supervisión
Cloud NAT expone métricas clave en Cloud Monitoring que te brindan estadísticas sobre el uso de las puertas de enlace NAT de tu flota. Las métricas se envían automáticamente a Cloud Monitoring. Allí, podrás crear paneles personalizados, configurar alertas y consultar métricas.
Interacciones de productos
Para obtener más información sobre las interacciones importantes entre Cloud NAT y otros productos de Google Cloud, consulta Interacciones de productos de Cloud NAT.
¿Qué sigue?
- Obtén información sobre las interacciones de los productos de Cloud NAT.
- Obtén más información sobre los puertos y las direcciones de Cloud NAT.
- Configura una puerta de enlace de NAT pública.
- Obtén información sobre las reglas de Cloud NAT.
- Configura una puerta de enlace NAT privada.
- Soluciona los problemas comunes.
- Obtén información sobre los precios de Cloud NAT.