Se usó la API de Cloud Translation para traducir esta página.

Descripción general de Cloud NAT

Cloud NAT (traducción de direcciones de red) permite que ciertos recursos de Google Cloud creen conexiones salientes a Internet o a otras redes de nube privada virtual (VPC), redes locales o cualquier otra red de proveedor de servicios en la nube. Cloud NAT solo admite la traducción de direcciones para los paquetes de respuesta entrantes establecidos. No permite conexiones entrantes no solicitadas.

Cloud NAT proporciona conectividad saliente para los siguientes recursos:

Instancias de máquina virtual (VM) de Compute Engine
Clústeres privados de Google Kubernetes Engine (GKE)
Instancias de Cloud Run mediante el Acceso a VPC sin servidores
Instancias de Cloud Functions a través del Acceso a VPC sin servidores
Instancias de entorno estándar de App Engine a través del Acceso a VPC sin servidores

Tipos de Cloud NAT

En Google Cloud, usa Cloud NAT para crear puertas de enlace de NAT que permiten que las instancias de una subred privada se conecten a recursos fuera de tu red de VPC.

Con una puerta de enlace NAT, puedes habilitar los siguientes tipos de NAT:

NAT pública
NAT privada

Puedes tener puertas de enlace NAT pública y privada que ofrezcan servicios de NAT a la misma subred en una red de VPC.

NAT pública

La NAT pública permite que los recursos de Google Cloud que no tienen direcciones IP públicas se comuniquen con Internet. Estas VM usan un conjunto de direcciones IP públicas compartidas para conectarse a Internet. La NAT pública no depende de las VM del proxy. En su lugar, una puerta de enlace NAT pública asigna un conjunto de direcciones IP externas y puertos de origen a cada VM que usa la puerta de enlace para crear conexiones salientes a Internet.

Considera una situación en la que tienes VM-1 en subnet-1, cuya interfaz de red no tiene una dirección IP externa. Sin embargo, VM-1 necesita conectarse a Internet para descargar actualizaciones importantes. Para habilitar la conectividad a Internet, puedes crear una puerta de enlace NAT pública que esté configurada para aplicarse al rango de direcciones IP de subnet-1. Ahora, VM-1 puede enviar tráfico a Internet mediante la dirección IP interna de subnet-1.

Para obtener más información sobre la NAT pública, consulta Especificaciones de NAT pública.

NAT privada

La NAT privada habilita las traducciones de privado a privado para los siguientes casos de uso:

NAT entre VPC: te permite crear una puerta de enlace NAT privada para realizar NAT entre redes de VPC configuradas como radios de VPC en un concentrador de Network Connectivity Center. La puerta de enlace usa una dirección IP de NAT de una subred NAT privada para realizar NAT en el tráfico entre recursos conectados al concentrador de Network Connectivity Center.
NAT híbrida (versión preliminar): te permite crear una puerta de enlace NAT privada que realiza NAT en el tráfico entre redes de VPC y locales, o cualquier otra red de proveedor de servicios en la nube que esté conectada a través de productos de conectividad híbrida empresariales de Google Cloud, como Cloud VPN.

Supongamos que los recursos en la red de VPC deben comunicarse con los recursos de una red de VPC, o bien una red local o algún otro proveedor de servicios en la nube que pertenece a otra entidad comercial. Sin embargo, la red de VPC de esa entidad comercial contiene subredes cuyas direcciones IP se superponen con las direcciones IP de tu red de VPC. En esta situación, debes crear una puerta de enlace NAT privada que enrute el tráfico entre las subredes de tu red de VPC hacia las subredes no superpuestas de esa entidad comercial.

Para obtener más información sobre la NAT privada, consulta NAT privada.

Arquitectura

Cloud NAT es un servicio administrado distribuido y definido por software. No se basa en los dispositivos o VM del proxy. Cloud NAT configura el software Andromeda que potencia tu red de nube privada virtual (VPC) para que proporcione la traducción de direcciones de red de origen (NAT de origen o SNAT) para los recursos. Cloud NAT también proporciona la traducción de direcciones de red (de destino NAT o DNAT) para los paquetes de respuesta entrantes establecidos.

NAT tradicional frente a Cloud NAT. — NAT tradicional versus Cloud NAT (haz clic para ampliar).

Ventajas

Cloud NAT proporciona los siguientes beneficios:

Seguridad

Cuando se usa una puerta de enlace NAT pública, puedes reducir la necesidad de que las VMs individuales tengan direcciones IP externas. Sujeto a las reglas de firewall de salida, las VM sin direcciones IP externas pueden acceder a los destinos en Internet. Por ejemplo, es posible que tengas VMs que solo necesiten acceso a Internet para descargar actualizaciones o completar el aprovisionamiento.

Si usas la asignación manual de direcciones IP de NAT para configurar una puerta de enlace NAT pública, puedes compartir de forma segura un conjunto de direcciones IP de origen externas comunes con una parte de destino. Por ejemplo, un servicio de destino solo puede permitir conexiones desde direcciones IP externas conocidas.

Cuando una VM en una configuración de NAT privada intenta iniciar una conexión con una VM en otra red, la puerta de enlace de NAT privada realiza la SNAT mediante las direcciones IP del rango de NAT privada. La puerta de enlace también realiza la DNAT en las respuestas a los paquetes salientes.
Disponibilidad

Cloud NAT es un servicio administrado distribuido y definido por software. No depende de ninguna VM de tu proyecto ni de un solo dispositivo de puerta de enlace física. Configura una puerta de enlace NAT en un Cloud Router, que proporciona el plano de control para NAT, con los parámetros de configuración que especifiques. Google Cloud ejecuta y mantiene procesos en las máquinas físicas que ejecutan tus VM de Google Cloud.
Escalabilidad

Cloud NAT se puede configurar para escalar de forma automática la cantidad de direcciones IP de NAT que usa y admite VM que pertenecen a grupos de instancias administrados, incluidos los grupos con el ajuste de escala automático habilitado.
Rendimiento

Cloud NAT no reduce el ancho de banda de la red por VM. Cloud NAT se implementa mediante las redes definidas por software de Andromeda de Google. Para obtener más información, consulta Ancho de banda de red en la documentación de Compute Engine.
Logging

En el caso del tráfico de Cloud NAT, puedes realizar un seguimiento de las conexiones y el ancho de banda para fines de cumplimiento, depuración, estadísticas y contabilización.
Supervisión

Cloud NAT expone métricas clave a Cloud Monitoring que te brindan estadísticas sobre el uso de las puertas de enlace NAT por parte de tu flota. Las métricas se envían automáticamente a Cloud Monitoring. Allí puedes crear paneles personalizados, configurar alertas y consultar métricas.

Interacciones de productos

Para obtener más información sobre las interacciones importantes entre Cloud NAT y otros productos de Google Cloud, consulta Interacciones con productos de Cloud NAT.

¿Qué sigue?

Obtén más información sobre las interacciones con los productos de Cloud NAT.
Obtén más información sobre los puertos y las direcciones de Cloud NAT.
Configura una puerta de enlace NAT pública.
Obtén información sobre las reglas de Cloud NAT.
Configura una puerta de enlace NAT privada.
Soluciona los problemas comunes.
Obtén más información sobre los precios de Cloud NAT.