Visão geral do Cloud NAT

O Cloud NAT (conversão de endereços de rede) permite que determinados recursos sem endereços IP externos criem conexões de saída para a Internet.

O Cloud NAT fornece conectividade de saída para os seguintes recursos:

Arquitetura

O Cloud NAT é um serviço gerenciado distribuído e definido por software. Ele não é baseado em VMs ou dispositivos de proxy. O Cloud NAT configura o software Andromeda que alimenta a rede de nuvem privada virtual (VPC) para que ela forneça conversão de endereços de rede de origem, ou NAT de origem (SNAT, na sigla em inglês), para VMs sem endereços IP externos. O Cloud NAT também fornece conversão de endereços de rede de destino, ou NAT de destino (DNAT, na sigla em inglês), para pacotes de resposta de entrada estabelecidos.

NAT tradicional versus Cloud NAT (clique para ampliar).
NAT tradicional versus Cloud NAT (clique para ampliar)

O Cloud NAT implementa NAT de saída em conjunto com rotas estáticas na sua rede VPC, cujos próximos saltos são o gateway de Internet padrão. Em uma configuração básica, uma rota padrão em sua rede VPC atende a esse requisito.

O Cloud NAT não implementa conexões de entrada não solicitadas da Internet. A DNAT é realizada apenas para pacotes que chegam como respostas a pacotes de saída.

Vantagens

O Cloud NAT fornece os seguintes benefícios:

  • Segurança

    Você pode reduzir a necessidade de VMs individuais para cada um ter endereços IP externos. Sujeito às regras de firewall de saída, as VMs sem endereços IP externos podem acessar destinos na Internet. Por exemplo, você pode ter VMs que só precisam de acesso à Internet para fazer o download de atualizações ou concluir o provisionamento.

    Se você usa a atribuição de endereço IP NAT manual para configurar um gateway do Cloud NAT, pode compartilhar com confiança um conjunto de endereços IP de origem externa comuns com uma parte de destino. Por exemplo, um serviço de destino só pode permitir conexões de endereços IP externos conhecidos.

  • Disponibilidade

    O Cloud NAT é um serviço gerenciado distribuído e definido por software. Ele não depende de nenhuma VM no seu projeto ou de um único dispositivo de gateway físico. Você configura um gateway NAT em um Cloud Router, que fornece o plano de controle para NAT, mantendo os parâmetros de configuração especificados. O Google Cloud executa e mantém processos nas máquinas físicas que executam suas VMs do Google Cloud.

  • Escalabilidade

    O Cloud NAT pode ser configurado para escalonar automaticamente o número de endereços IP NAT usados e suporta VMs que pertencem a grupos de instâncias gerenciadas, incluindo aqueles com escalonamento automático ativado.

  • Desempenho

    O Cloud NAT não reduz a largura de banda da rede por VM. O Cloud NAT é implementado pela rede definida pelo software Andromeda do Google. Para saber mais, consulte Largura de banda de rede na documentação do Compute Engine.

Especificações

O Cloud NAT pode ser configurado para fornecer NAT à Internet para pacotes enviados dos seguintes endereços:

  • O endereço IP interno principal da interface de rede da VM do Compute Engine, desde que a interface de rede não tenha um endereço IP externo atribuído a ela. Se a interface de rede tiver um endereço IP externo atribuído a ela, o Google Cloud executará automaticamente NAT individual para pacotes cujas origens correspondem ao endereço IP interno principal da interface, porque a interface de rede atende aos requisitos de acesso à Internet do Google Cloud. A existência de um endereço IP externo em uma interface sempre tem precedência e sempre realiza NAT um para um, sem usar o Cloud NAT.

  • Um intervalo de IP de alias atribuído à interface de rede da VM. Mesmo que a interface de rede tenha um endereço IP externo atribuído a ela, é possível configurar um gateway do Cloud NAT para fornecer NAT para pacotes cujas origens sejam provenientes de um intervalo de IP de alias da interface. Um endereço IP externo em uma interface nunca realiza NAT um para um para endereços IP de alias.

  • Para clusters do GKE, o Cloud NAT pode fornecer serviço mesmo que o cluster tenha endereços IP externos em determinadas circunstâncias. Para mais detalhes, consulte Interação do GKE.

O Cloud NAT permite conexões de saída e as respostas de entrada para essas conexões. Cada gateway do Cloud NAT realiza NAT de origem na saída e NAT de destino para os pacotes de resposta estabelecidos.

O Cloud NAT não permite solicitações de entrada não solicitadas da Internet, mesmo se as regras de firewall permitirem essas solicitações. Para maisvinformações, consulte RFCs aplicáveis.

Cada gateway do Cloud NAT está associado a uma única rede VPC, região e Cloud Router. O Cloud NAT e o Cloud Router fornecem um plano de controle. Eles não estão envolvidos no plano de dados, portanto, os pacotes não passam pelo gateway do Cloud NAT ou pelo Cloud Router.

Rotas e regras de firewall

O Cloud NAT depende de rotas estáticas personalizadas cujos próximos saltos são o gateway de Internet padrão. Para utilizar totalmente um gateway do Cloud NAT, sua rede VPC precisa de uma rota padrão cujo próximo salto seja o gateway de Internet padrão. Para mais informações, consulte interações de rotas.

O Cloud NAT não tem requisitos de regra de firewall do Google Cloud . As regras de firewall são aplicadas diretamente às interfaces de rede das VMs do Compute Engine, não aos do Cloud NAT.

Você não precisa criar regras de firewall especiais que permitam conexões de ou para endereços IP NAT. Quando um gateway do Cloud NAT fornece NAT para a interface de rede de uma VM, as regras de firewall de saída aplicáveis são avaliadas como pacotes para essa interface de rede antes de NAT. As regras de firewall de entrada são avaliadas depois que os pacotes são processados pelo NAT.

Aplicabilidade da faixa de endereços IP de sub-rede

Um gateway do Cloud NAT pode fornecer serviços NAT para pacotes enviados da interface de rede de uma VM do Compute Engine, desde que essa interface não tenha um endereço IP externo atribuído a ela. Para clusters do GKE, o Cloud NAT pode fornecer serviços mesmo se os nós do cluster tiverem endereços IP externos em determinadas circunstâncias. Para mais detalhes, consulte Interação do GKE.

O gateway do Cloud NAT pode ser configurado para fornecer NAT para o endereço IP interno primário da interface de rede da VM, intervalos de IP do alias ou ambos. Para fazer essa configuração, escolha os intervalos de endereços IP de sub-rede aos quais o gateway deve se aplicar.

Você pode configurar um gateway do Cloud NAT para fornecer NAT para os seguintes itens:

  • Intervalos de endereços IP primários e secundários de todas as sub-redes na região. Um único gateway do Cloud NAT fornece NAT para os endereços IP internos principais e todos os intervalos de IP do alias das VMs qualificadas cujas interfaces de rede usam uma sub-rede na região. Essa opção usa exatamente um gateway NAT por região.

  • Intervalos de endereços IP primários de todas as sub-redes na região. Um único gateway do Cloud NAT fornece NAT para os endereços IP internos principais e intervalos de IP do alias dos intervalos de endereços IP primários da sub-rede de VMs qualificadas com interfaces de rede que usam uma sub-rede na região. É possível criar outros gateways do Cloud NAT na região para fornecer NAT para intervalos de IP de alias a partir de intervalos de endereços IP de sub-redes secundários de VMs qualificadas.

  • Intervalos de endereços IP de sub-rede personalizados. É possível criar quantos gateways do Cloud NAT forem necessários, sujeitos às cotas e limites do Cloud NAT. Você escolhe quais intervalos de endereços IP primários ou secundários de sub-rede devem ser veiculados por cada gateway.

Largura de banda

Usar um gateway do Cloud NAT não altera a quantidade de largura de banda de entrada ou de saída que uma VM pode usar. Para especificações de largura de banda, que variam por tipo de máquina, consulte Largura de banda de rede na documentação do Compute Engine.

VMs com várias interfaces de rede

Se você configurar uma VM com várias interfaces de rede, cada interface deverá estar em uma rede VPC separada. Consequentemente, os seguintes itens são verdadeiros:

  • Um gateway do Cloud NAT só pode ser aplicado a uma única interface de rede de uma VM. Gateways NAT separados do Cloud podem fornecer NAT para a mesma VM, onde cada gateway se aplica a uma interface separada.

  • Uma interface de uma VM com várias interfaces de rede pode ter um endereço IP externo e, portanto, não qualificada para o Cloud NAT, enquanto outra das interfaces pode se qualificar para o NAT se essa interface não tiver um IP externo. e configurou um gateway do Cloud NAT para aplicar ao intervalo de endereços IP da sub-rede apropriado.

Portas e endereços IP NAT

Ao criar um gateway do Cloud NAT, você pode optar por fazer com que o gateway aloque endereços IP externos regionais automaticamente. Como alternativa, você pode atribuir manualmente um número fixo de endereços IP externos regionais ao gateway. Para mais detalhes sobre cada método, consulte Endereços IP NAT.

Você pode configurar o número de portas de origem que cada gateway do Cloud NAT reserva para cada VM para qual ele deve fornecer serviços NAT. As VMs para as quais NAT deve ser fornecida são determinadas pelos intervalos de endereços IP de sub-rede que o gateway está configurado para veicular. Para mais informações, consulte Portas e o procedimento de reserva de portas.

RFCs aplicáveis

O Cloud NAT é compatível com Mapeamento independente de endpoint e Filtragem dependente de endpoint, conforme definido no RFC 5128 (link em inglês). É possível ativar ou desativar o mapeamento independente de endpoint. Por padrão, o mapeamento independente de endpoint fica desativado quando você cria um gateway NAT.

Mapeamento independente de endpoint significa que, se uma VM envia pacotes de um determinado endereço IP interno e par de portas para vários destinos diferentes, o gateway mapeia todos esses pacotes para o mesmo NAT. Endereço IP e par de portas, independentemente do destino dos pacotes. Para mais detalhes e implicações para o mapeamento independente de endpoint, consulte Reutilização simultânea de portas e mapeamento independente de endpoint.

Filtragem dependente de endpoint significa que os pacotes de resposta da Internet poderão entrar apenas se forem de um endereço IP e de uma porta para onde uma VM já enviou pacotes. A filtragem depende do endpoint, independentemente do tipo de mapeamento de endpoints. Este recurso está sempre ativado e não pode ser configurado pelo usuário.

Para mais informações sobre a relação entre portas e conexões, consulte Portas e conexões e o Exemplo de fluxo NAT.

O Cloud NAT é uma NAT cone restrito de porta, conforme definido no RFC 3489.

Travessia de NAT

Se o mapeamento independente de endpoint estiver ativado, o Cloud NAT será compatível com protocolos NAT tradicionais, como STUN e TURN, se você implantar seus próprios servidores STUN ou TURN:

  • STUN (Session Traversal Utilities para NAT, RFC 5389) permite a comunicação direta entre VMs por trás de NAT quando um canal de comunicação é estabelecido.
  • O TURN (Transversal usando relés em torno do NAT, RFC 5766) permite a comunicação entre VMs por meio de um terceiro servidor no qual esse servidor tem um endereço IP externo. Cada VM se conecta ao endereço IP externo do servidor e esse servidor retransmite a comunicação entre as duas VMs. A TURN é mais robusta, mas consome mais largura de banda e recursos.

Tempo limite de NAT

Os gateways NAT do Cloud usam os seguintes tempos limites.

Tempo limite Padrão do Cloud NAT Configurável

Tempo limite ocioso do mapeamento UDP

RFC 4787 REQ-5

30 segundos Sim

Tempo limite de inatividade de conexão estabelecida TCP

RFC 5382 REQ-5

1.200 segundos (20 minutos) Sim

Tempo limite de inatividade da conexão TCP transitória

RFC 5382 REQ-5

30 segundos

Observação: seja qual for o valor definido para esse tempo limite, o Cloud NAT pode exigir até 30 segundos a mais antes que um endereço IP de origem NAT e a tupla da porta de origem possam ser usado para processar uma nova conexão.

Sim

Tempo limite de TCP TIME_WAIT

RFC 5382 REQ-5

120 segundos

Observação: seja qual for o valor definido para esse tempo limite, o Cloud NAT pode exigir mais tempo (geralmente menos de 30 segundos) para poder usar um endereço IP de origem NAT e uma tupla de porta de origem para processar uma nova conexão.

Sim

Tempo limite ocioso do mapeamento ICMP

RFC 5508 REQ-2

30 segundos Sim
Atraso antes de reutilizar uma tupla 5 para uma nova conexão TCP (endereço IP de origem NAT e tupla da porta de origem combinados com o endereço de destino, a porta de destino e o protocolo) 120 segundos (2 minutos)

Não

Para mais informações, consulte Atraso para a reutilização da porta de origem TCP.

Interações com o produto

As seções a seguir descrevem interações importantes entre o Cloud NAT e outros produtos do Google Cloud.

Interações de rotas

Um gateway do Cloud NAT só pode usar rotas cujos próximos saltos sejam o gateway de Internet padrão. Cada rede VPC começa com uma rota padrão cujo destino é 0.0.0.0/0 e cujo próximo salto é o gateway de Internet padrão. Para informações importantes, consulte a visão geral das rotas.

Os exemplos a seguir ilustram situações que podem fazer com que os gateways do Cloud NAT se tornem inoperantes:

  • Se você criar uma rota estática personalizada com próximos saltos definidos como qualquer outro tipo de próximo salto de rota estática personalizada, os pacotes com endereços IPs de destino correspondentes ao destino da rota serão enviados para o próximo salto em vez do gateway de Internet padrão. Por exemplo, se você usar instâncias de VM que executam NAT, firewall ou software proxy, necessariamente criará rotas estáticas personalizadas para direcionar tráfego para essas VMs como o próximo salto. As VMs de próximo salto exigem endereços IP externos. Portanto, nem o tráfego das VMs que dependem das VMs de próximo salto nem as próprias VMs de próximo salto podem usar o Cloud NAT.

  • Se você criar uma rota estática personalizada cujo próximo salto seja um túnel da VPN do Cloud, o Cloud NAT não usará essa rota. Por exemplo, uma rota estática personalizada com destino de 0.0.0.0/0 e um túnel do Cloud VPN do próximo salto direciona o tráfego para esse túnel, não para o gateway de Internet padrão. Consequentemente, os gateways do Cloud NAT não poderão usar esse trajeto. Isso vale até mesmo para destinos mais específicos, incluindo 0.0.0.0/1 e 128.0.0.0/1.

  • Se um roteador no local anunciar uma rota dinâmica personalizada para um Cloud Router que gerencia um túnel do Cloud VPN ou uma VLAN, os gateways do Cloud NAT não poderão usar essa rota. Por exemplo, se o roteador local anunciar uma rota dinâmica personalizada com destino 0.0.0.0/0, então, 0.0.0.0/0 será direcionado ao túnel do Cloud VPN ou ao anexo do Cloud Interconnect (VLAN). Isso vale até mesmo para destinos mais específicos, incluindo 0.0.0.0/1 e 128.0.0.0/1.

Interação com o Acesso privado do Google

O Cloud NAT nunca realiza NAT para o tráfego enviado para os endereços IP externos selecionados para APIs e serviços do Google. Em vez disso, o Cloud ativa automaticamente o Acesso privado do Google para um intervalo de endereços IP de sub-rede quando você configura um gateway do Cloud NAT para aplicar a esse intervalo de sub-rede, seja ele primário ou secundário. Contanto que o gateway forneça o NAT a um intervalo de sub-rede, o Acesso privado do Google estará em vigor para esse intervalo e não poderá ser desativado manualmente.

Um gateway do Cloud NAT não altera a forma como o Acesso privado do Google funciona. Para mais informações, consulte Acesso privado do Google.

Interação de VPC compartilhada

A VPC compartilhada permite que vários projetos de serviço em uma única organização usem uma rede VPC compartilhada comum em um projeto host. Para fornecer NAT para VMs em projetos de serviço que usam uma rede VPC compartilhada, você deve criar gateways do Cloud NAT no projeto de host.

Interação de peering de rede VPC

Os gateways Cloud NAT estão associados aos intervalos de endereços IP de sub-rede em uma única região e em uma única rede VPC. Um gateway do Cloud NAT criado em uma rede VPC não pode fornecer NAT para VMs em outras redes VPC conectadas usando Peering de rede VPC, mesmo se as VMs em redes com peering estiverem na mesma região que o gateway.

Interação do GKE

Um gateway do Cloud NAT pode realizar NAT para nós e pods em um cluster particular, que é um tipo de cluster nativo de VPC. O gateway do Cloud NAT deve ser configurado para ser aplicado a pelo menos os seguintes intervalos de endereços IP de sub-rede para a sub-rede que seu cluster usa:

  • Intervalo de endereços IP principais de sub-rede (usado pelos nós)
  • Intervalo de endereços IP secundários da sub-rede usado para pods no cluster
  • Intervalo de endereços IP secundários da sub-rede usado para serviços no cluster

A maneira mais simples de fornecer NAT para um cluster particular inteiro é configurar um gateway do Cloud NAT para aplicar a todos os intervalos de endereços IP da sub-rede do cluster.

Para mais informações em segundo plano sobre como os clusters nativos de VPC utilizam intervalos de endereços IP de sub-rede, consulte Intervalos de IP para clusters nativos de VPC.

Quando um gateway do Cloud NAT é configurado para fornecer NAT para um cluster particular, ele reserva endereços IP de origem NAT e portas de origem para cada VM de nó. Esses endereços IP de origem NAT e portas de origem podem ser usados pelos pods porque os endereços IP do pod são implementados como intervalos de IP de alias atribuídos a cada VM de nó. Os clusters nativos de VPC do GKE sempre atribuem a cada nó um intervalo de IP do alias que contém mais de um endereço IP (máscara de rede menor que /32). Portanto, o procedimento de reserva de porta do Cloud NAT reserva pelo menos 1.024 endereços IP de origem NAT e portas de origem por nó. Para informações sobre intervalos de endereços IP de pods e clusters nativos de VPC, consulte Intervalo de endereços IP secundários de sub-redes para pods.

Independentemente do Cloud NAT, o GKE executa o SNAT usando software em execução em cada nó quando os pods enviam pacotes à Internet, a menos que você tenha alterado a configuração de mascaramento de IP do cluster. Se você precisar de controle granular sobre o tráfego de saída dos pods, use uma política de rede.

Em determinadas circunstâncias, o Cloud NAT também pode ser útil para clusters não particulares, incluindo clusters nativos de VPC e baseados em rotas. Como os nós em um cluster não particular têm endereços IP externos, os pacotes enviados do endereço IP interno principal do nó nunca são processados pelo Cloud NAT. No entanto, os pacotes enviados de pods em um cluster não particular poderão ser processados por um gateway do Cloud NAT se ambos os itens a seguir forem verdadeiros:

  • Para clusters nativos de VPC, o gateway do Cloud NAT é configurado para ser aplicado ao intervalo de endereços IP secundário para os pods do cluster.

  • A configuração do mascaramento de IP do cluster não está configurada para executar SNAT no cluster para pacotes enviados de pods para a Internet.

Interações do Cloud Load Balancing

Os balanceadores de carga e sistemas de verificação de integridade externos do Google Cloud se comunicam com VMs usando rotas especiais. As VMs de back-end não exigem endereços IP externos nem um gateway do Cloud NAT gerencia a comunicação para balanceadores de carga e verificações de integridade. Para mais informações, consulte Visão geral do Cloud Load Balancing e Visão geral das verificações de integridade.

Regras do Cloud NAT

O recurso de regras NAT permite criar regras de acesso que definem como o Cloud NAT é usado para se conectar à Internet. As regras NAT são compatíveis com NAT de origem com base no endereço de destino.

Quando você configura um gateway NAT sem regras NAT, as VMs que usam esse gateway usam o mesmo conjunto de endereços IP NAT para alcançar todos os endereços da Internet. Se você precisar de mais controle sobre os pacotes que passam pelo Cloud NAT, adicione regras NAT. A regra NAT define uma condição de correspondência e uma ação correspondente. Depois de especificar as regras NAT, cada pacote será correspondido com cada regra NAT. Se um pacote corresponder à condição definida em uma regra, a ação relativa a essa correspondência ocorrerá.

Especificações de regras NAT

Antes de trabalhar com regras NAT, observe as seguintes especificações:

  • Um número de regra identifica exclusivamente uma regra NAT. Duas regras não podem ter o mesmo número de regra.
  • Regra NAT padrão
    • Cada configuração NAT tem uma regra padrão.
    • A regra padrão é aplicada quando nenhuma outra regra NAT corresponde à mesma configuração NAT.
    • O número da regra padrão é 65001.
  • As regras do Cloud NAT são compatíveis somente quando o valor da opção de alocação de IP NAT é MANUAL_ONLY.
  • Os CIDRs de IP de destino na condição de correspondência não podem se sobrepor às regras de NAT. Somente uma regra pode corresponder a qualquer pacote.
  • Os endereços IP NAT entre regras NAT não podem se sobrepor.
  • As regras precisam ter um endereço IP sourceNatActive ou sourceNatDrain não vazio. Se a regra tiver um endereço IP sourceNatActive vazio, novas conexões que correspondem à regra NAT serão descartadas.
  • As regras NAT não podem ser adicionadas a um gateway NAT que tenha o Mapeamento independente de endpoint ativado. Não é possível ativar o mapeamento independente de endpoint em um gateway NAT que tenha regras NAT.

Além disso, todas as VMs recebem portas atribuídas a elas a partir do valor das portas mínimas por VM para cada regra do Cloud NAT. Se as portas alocadas a uma VM de uma regra NAT estiverem esgotadas, as novas conexões que correspondem à regra NAT serão descartadas.

Por exemplo, se você configurar 4.096 portas por VM e tiver 16 VMs e 2 regras NAT (rule1 com 1 endereço IP e rule2 com 2 endereços IP), junto com a regra padrão (default) com 2 endereços IP, todas as 16 VMs receberão 4.096 portas em cada pacote de regras NAT. Neste exemplo, não há problemas em default ou rule2 para todas as VMs, mas rule1 não pode alocar portas para todas as VMs. Portanto, o tráfego de VMs que precisam passar por rule1 pode ser descartado e mostrar sinais de estar sem recursos porque o tráfego não usa a regra padrão.

Para mais informações sobre as configurações de regras NAT, consulte o exemplo de regras NAT.

Linguagem de expressão de regras

As regras NAT são escritas usando a sintaxe da Common Expression Language.

Uma expressão requer dois componentes:

  • Atributos que podem ser inspecionados em expressões de regra.
  • Operações que podem ser executadas nos atributos como parte de uma expressão.

Por exemplo, a expressão a seguir usa os atributos destination.ip e 9.9.9.0/24 na operação inIpRange(). Nesse caso, a expressão retornará como verdadeiro se destination.ip estiver dentro do intervalo de endereços IP de 198.51.100.0/24.

inIpRange(destination.ip, '198.51.100.0/24')

As regras NAT são compatíveis apenas com os seguintes atributos e operações:

Atributos

Os atributos representam informações de um pacote de saída, como o endereço IP de destino.

Nome do atributo Descrição
destination.ip Endereço IP de destino do pacote

Operações

A referência a seguir descreve os operadores que podem ser usados com atributos para definir expressões de regra.

Operação Descrição
inIpRange(string, string) -> bool inIpRange(X, Y) retorna verdadeiro se o intervalo IP CIDR Y contiver o endereço IP X.
|| Operador lógico. x y retorna verdadeiro se x ou y for verdadeiro.
== Operador igual. x == y retorna verdadeiro se x for igual a y.

Exemplos de expressões

Corresponder ao tráfego com o endereço IP de destino 198.51.100.20.

"destination.ip == '198.51.100.20'"

Faça a correspondência do tráfego com o endereço IP de destino 198.51.100.10/30 ou 198.51.100.20.

"inIpRange(destination.ip, '198.51.100.10/30') || destination.ip == '198.51.100.20'."

Exemplos

Os exemplos a seguir ilustram os conceitos do Cloud NAT.

Configuração NAT básica

Cloud NAT (clique para ampliar).
Cloud NAT (clique para ampliar)

Neste exemplo:

  • O gateway nat-gw-us-east está configurado para ser aplicado ao intervalo de endereços IP principal de subnet-1 na região us-east1. Uma VM com interface de rede sem um endereço IP externo pode enviar tráfego à Internet usando o endereço IP interno principal ou um intervalo de IP do alias do intervalo de endereços IP principal de subnet-1, 10.240.0.0/16.

  • Uma VM cuja interface de rede não tem um endereço IP externo e cujo endereço IP interno principal está localizado em subnet-2 não pode acessar a Internet porque nenhum gateway do Cloud NAT se aplica a qualquer intervalo de endereços IP dessa sub-rede.

  • O gateway nat-gw-eu está configurado para ser aplicado ao intervalo de endereços IP principal de subnet-3 na região europe-west1. Uma VM com interface de rede sem um endereço IP externo pode enviar tráfego à Internet usando o endereço IP interno principal ou um intervalo de IP do alias do intervalo de endereços IP principal de subnet-3, 192.168.1.0/24.

Exemplo do GKE

Cloud NAT com GKE (clique para ampliar).
Cloud NAT com GKE (clique para ampliar)

Neste exemplo, você quer que seus contêineres sejam convertidos para NAT. Para ativar o NAT para todos os contêineres e o nó do GKE, você deve escolher todos os intervalos de endereços IP da sub-rede 1 como candidatos do NAT. Não é possível ativar o NAT somente para container1 ou container2.

Exemplo de configuração de regras do Cloud NAT

O exemplo a seguir ilustra como convém usar regras NAT quando o destino permite acesso a apenas alguns endereços IP. Você quer ter certeza de que o tráfego para esses destinos a partir de suas VMs do Google Cloud em sub-redes particulares é convertido em NAT de origem apenas com esses endereços IP permitidos. Evite usar esses endereços IP para outros destinos. Considere os seguintes requisitos para VMs na sub-rede 10.10.10.0/24 na rede VPC test:

  • As VMs precisam usar o endereço IP NAT 203.0.113.20 para enviar o tráfego para o destino 198.51.100.20/30.
  • As VMs precisam usar o endereço IP NAT 203.0.113.30 para enviar o tráfego para o destino 198.51.100.30 ou 198.51.100.31.
  • As VMs precisam usar o endereço IP NAT 203.0.113.40 para enviar tráfego para qualquer outro destino da Internet.

Para todas as outras sub-redes na rede VPC test, as VMs precisam usar o endereço IP NAT 203.0.113.10 para enviar tráfego a qualquer destino.

Configuração do Cloud NAT com dois gateways do Cloud NAT (clique para ampliar).
Configuração do Cloud NAT com dois gateways do Cloud NAT (clique para ampliar)

É possível usar regras NAT neste exemplo, mas são necessários dois gateways NAT porque a sub-rede 10.10.10.0/24 tem regras NAT diferentes das outras sub-redes. Para criar esta configuração, siga estes passos:

  1. Crie um gateway NAT (NAT GW 1) para a sub-rede S1 com endereço IP NAT 203.0.113.40 e adicione as seguintes regras:
    1. Regra NAT 1 em NAT GW 1: quando o destino for 198.51.100.20/30, use NAT de origem com 203.0.113.20.
    2. Regra NAT 2 em NAT GW 1: quando o destino for 198.51.100.30 ou 198.51.100.31, use NAT de origem com 203.0.113.30.
  2. Crie o gateway NAT 2 (NAT GW 2) para todas as outras sub-redes (liste todas as sub-redes, exceto S1) e atribua o endereço IP NAT como 203.0.113.10. Nenhuma regra NAT é necessária nesta etapa.

A seguir