Descripción general de Cloud NAT

Cloud NAT (traducción de direcciones de red) permite que ciertos recursos de Google Cloud creen conexiones salientes a Internet o a otras redes de nube privada virtual (VPC). Cloud NAT solo admite la traducción de direcciones para los paquetes de respuesta entrantes establecidos. No permite conexiones entrantes no solicitadas.

Cloud NAT proporciona conectividad saliente para los siguientes recursos:

Tipos de Cloud NAT

En Google Cloud, usa Cloud NAT para crear puertas de enlace de NAT que permiten que las instancias de una subred privada se conecten a recursos fuera de tu red de VPC.

Con una puerta de enlace NAT, puedes habilitar los siguientes tipos de NAT:

  • NAT pública
  • NAT privada

Puedes tener puertas de enlace NAT pública y privada que ofrezcan servicios de NAT a la misma subred en una red de VPC.

NAT pública

La NAT pública permite que los recursos de Google Cloud que no tienen direcciones IP públicas se comuniquen con Internet. Estas VM usan un conjunto de direcciones IP públicas compartidas para conectarse a Internet. La NAT pública no depende de las VM del proxy. En su lugar, una puerta de enlace NAT pública asigna un conjunto de direcciones IP externas y puertos de origen a cada VM que usa la puerta de enlace para crear conexiones salientes a Internet.

Considera una situación en la que tienes VM-1 en subnet-1, cuya interfaz de red no tiene una dirección IP externa. Sin embargo, VM-1 necesita conectarse a Internet para descargar actualizaciones importantes. Para habilitar la conectividad a Internet, puedes crear una puerta de enlace NAT pública que esté configurada para aplicarse al rango de direcciones IP de subnet-1. Ahora, VM-1 puede enviar tráfico a Internet mediante la dirección IP interna de subnet-1.

Para obtener más información sobre la NAT pública, consulta Especificaciones de NAT pública.

NAT privada

La NAT privada permite realizar traducciones de privado a privado en las redes de Google Cloud. NAT entre VPC, una oferta de NAT privada, te permite crear una puerta de enlace NAT privada que funciona en conjunto con Network Connectivity Center para realizar NAT entre redes de nube privada virtual. Para configurar la NAT de VPC entre redes de VPC, cada red de VPC debe configurarse como un radio de VPC en un concentrador de Network Connectivity Center. La puerta de enlace NAT privada usa una dirección IP de NAT de una subred de NAT privada al tráfico de NAT entre recursos conectados a un concentrador de Network Connectivity Center.

Supongamos que los recursos de tu red de VPC necesitan comunicarse con los recursos de una red de VPC que pertenece a otra entidad comercial. Sin embargo, la red de VPC de esa entidad comercial contiene subredes cuyas direcciones IP se superponen con las direcciones IP de tu red de VPC. En esta situación, debes crear una puerta de enlace NAT privada que enrute el tráfico entre las subredes de tu red de VPC hacia las subredes no superpuestas de esa entidad comercial.

Para obtener más información sobre la NAT privada, consulta Especificaciones de NAT privada.

Arquitectura

Cloud NAT es un servicio administrado distribuido y definido por software. No se basa en los dispositivos o VM del proxy. Cloud NAT configura el software Andromeda que potencia tu red de nube privada virtual (VPC) para que proporcione la traducción de direcciones de red de origen (NAT de origen o SNAT) para los recursos. Cloud NAT también proporciona la traducción de direcciones de red (de destino NAT o DNAT) para los paquetes de respuesta entrantes establecidos.

NAT tradicional frente a Cloud NAT.
NAT tradicional versus Cloud NAT (haz clic para ampliar).

Ventajas

Cloud NAT proporciona los siguientes beneficios:

  • Seguridad

    Cuando se usa una puerta de enlace NAT pública, puedes reducir la necesidad de que las VMs individuales tengan direcciones IP externas. Sujeto a las reglas de firewall de salida, las VM sin direcciones IP externas pueden acceder a los destinos en Internet. Por ejemplo, es posible que tengas VMs que solo necesiten acceso a Internet para descargar actualizaciones o completar el aprovisionamiento.

    Si usas la asignación manual de direcciones IP de NAT para configurar una puerta de enlace NAT pública, puedes compartir de forma segura un conjunto de direcciones IP de origen externas comunes con una parte de destino. Por ejemplo, un servicio de destino solo puede permitir conexiones desde direcciones IP externas conocidas.

    Una puerta de enlace NAT privada no permite que ningún recurso de los radios de VPC conectados de Network Connectivity Center inicie directamente una conexión con las VM dentro de subredes superpuestas. Cuando una VM en una configuración de NAT privada intenta iniciar una conexión con una VM en una red de radio de VPC de Network Connectivity Center, la puerta de enlace NAT privada realiza SNAT mediante las direcciones IP del rango de NAT privada. La puerta de enlace también realiza la DNAT en las respuestas a los paquetes salientes.

  • Disponibilidad

    Cloud NAT es un servicio administrado distribuido y definido por software. No depende de ninguna VM de tu proyecto ni de un solo dispositivo de puerta de enlace física. Configura una puerta de enlace NAT en un Cloud Router, que proporciona el plano de control para NAT, con los parámetros de configuración que especifiques. Google Cloud ejecuta y mantiene procesos en las máquinas físicas que ejecutan tus VM de Google Cloud.

  • Escalabilidad

    Cloud NAT se puede configurar para escalar de forma automática la cantidad de direcciones IP de NAT que usa y admite VM que pertenecen a grupos de instancias administrados, incluidos los grupos con el ajuste de escala automático habilitado.

  • Rendimiento

    Cloud NAT no reduce el ancho de banda de la red por VM. Cloud NAT se implementa mediante las redes definidas por software de Andromeda de Google. Para obtener más información, consulta Ancho de banda de red en la documentación de Compute Engine.

  • Logging

    En el caso del tráfico de Cloud NAT, puedes realizar un seguimiento de las conexiones y el ancho de banda para fines de cumplimiento, depuración, estadísticas y contabilización.

  • Supervisión

    Cloud NAT expone métricas clave a Cloud Monitoring que te brindan estadísticas sobre el uso de las puertas de enlace NAT por parte de tu flota. Las métricas se envían automáticamente a Cloud Monitoring. Allí puedes crear paneles personalizados, configurar alertas y consultar métricas.

Interacciones de productos

Para obtener más información sobre las interacciones importantes entre Cloud NAT y otros productos de Google Cloud, consulta Interacciones con productos de Cloud NAT.

¿Qué sigue?