NAT privada
La NAT privada permite la traducción de direcciones privadas a privadas entre redes:
- La NAT privada para radios de Network Connectivity Center habilita la traducción de direcciones de red (NAT) de privada a privada para las redes de nube privada virtual (VPC) que están conectadas a un concentrador de Network Connectivity Center, lo que incluye la NAT de privada a privada para el tráfico entre radios de VPC y entre radios de VPC y radios híbridos.
- Hybrid NAT habilita la NAT de privada a privada entre redes de VPC y redes locales o de otros proveedores de servicios en la nube que están conectadas a Google Cloud a través de Cloud Interconnect o Cloud VPN.
Especificaciones
En las siguientes secciones, se describen las especificaciones de la NAT privada. Estas especificaciones se aplican a la NAT privada para radios de Network Connectivity Center y a la NAT híbrida.
Especificaciones generales:
-
La NAT privada permite las conexiones salientes y las respuestas entrantes a esas conexiones. Cada puerta de enlace de NAT privada realiza NAT de origen en la salida y NAT de destino para los paquetes de respuesta establecidos.
- La NAT privada no es compatible con las redes de VPC en modo automático.
-
La NAT privada no permite solicitudes de entrada no solicitadas desde redes conectadas, incluso si las reglas de firewall permitieran esas solicitudes. Para obtener más información, consulta RFC aplicables.
-
Cada puerta de enlace de NAT privada está asociada con una sola red de VPC, una región y un Cloud Router. La puerta de enlace de NAT privada y el Cloud Router proporcionan un plano de control, ya que no están involucrados en el plano de datos, por lo que los paquetes no pasan por la puerta de enlace de NAT privada ni el Cloud Router.
- La NAT privada no admite el mapeo independiente de extremos.
- No puedes usar la NAT privada para traducir un rango de direcciones IP principal o secundario específico para una subred determinada. Una puerta de enlace de NAT privada realiza la NAT en todos los rangos de direcciones IPv4 de una subred o lista de subredes determinada.
- Después de crear la subred, no puedes aumentar ni disminuir el tamaño de la subred de NAT privada. Sin embargo, puedes especificar varios rangos de subredes de NAT privadas para una puerta de enlace determinada.
- La NAT privada admite un máximo de 64,000 conexiones simultáneas por extremo.
- La NAT privada solo admite conexiones TCP y UDP.
- Una instancia de máquina virtual (VM) en una red de VPC solo puede acceder a destinos en una subred no superpuesta, no en una superpuesta, en una red conectada.
Rutas y reglas de firewall
La NAT privada usa las siguientes rutas:
- En el caso de los radios de Network Connectivity Center, la NAT privada usa rutas de subred y rutas dinámicas:
- En el caso del tráfico entre dos radios de VPC conectados a un concentrador de Network Connectivity Center que solo contiene radios de VPC, la NAT privada usa las rutas de subred que intercambian los radios de VPC adjuntos. Para obtener información sobre los radios de VPC, consulta Descripción general de los radios de VPC.
- Si un concentrador de Network Connectivity Center contiene radios de VPC y radios híbridos, como adjuntos de VLAN para Cloud Interconnect, túneles de Cloud VPN o VMs de dispositivos de router, el NAT privado usa las rutas dinámicas que aprenden los radios híbridos a través de BGP y las rutas de subred que intercambian los radios de VPC adjuntos. Para obtener información sobre los radios híbridos, consulta Radios híbridos.
- En el caso de Hybrid NAT, Private NAT usa rutas dinámicas que aprende Cloud Router a través de Cloud Interconnect o Cloud VPN.
La NAT privada no tiene ningún requisito de regla de Cloud NGFW. Las reglas de firewall se aplican directamente a las interfaces de red de las VMs de Compute Engine, no a las puertas de enlace de NAT privadas.
No es necesario crear ninguna regla de firewall especial que permita conexiones a direcciones IP de NAT o desde ellas. Cuando una puerta de enlace de NAT privada proporciona NAT para la interfaz de red de una VM, las reglas de firewall de salida aplicables se evalúan como paquetes de interfaz de red antes de NAT. Las reglas de firewall de entrada se evalúan después de que NAT haya procesado los paquetes.
Aplicabilidad del rango de direcciones IP de la subred
Puedes configurar una puerta de enlace de NAT privada para proporcionar NAT para lo siguiente:
- Rangos de direcciones IP principales y secundarios de todas las subredes de la región. Una única puerta de enlace de NAT privada proporciona NAT para las direcciones IP internas principales y todos los rangos de alias de IP de las VMs aptas cuyas interfaces de red usan una subred en la región. Esta opción usa exactamente una puerta de enlace NAT por región.
-
Lista de subredes personalizadas. Una sola puerta de enlace de NAT privada proporciona NAT para las direcciones IP internas principales y todos los rangos de alias de IP de las VMs aptas cuyas interfaces de red usan una subred de una lista de subredes especificadas.
Ancho de banda
El uso de una puerta de enlace de NAT privada no modifica la cantidad de ancho de banda de salida o de entrada que puede usar una VM. Para conocer las especificaciones de ancho de banda, que varían según el tipo de máquina, consulta Ancho de banda de red en la documentación de Compute Engine.
VM con interfaces de red múltiples
Si configuras una VM para que tenga varias interfaces de red, cada interfaz debe estar en una red de VPC independiente. En consecuencia, una puerta de enlace de NAT privada solo se puede aplicar a una sola interfaz de red de una VM. Las puertas de enlace de NAT privadas independientes pueden proporcionar NAT a la misma VM, donde cada puerta de enlace se aplica a una interfaz independiente.
Direcciones IP y puertos NAT
Cuando creas una puerta de enlace de NAT privada, debes especificar una subred de propósito PRIVATE_NAT
desde la que se asignan las direcciones IP de NAT para las VMs. Para obtener más información sobre la asignación de direcciones IP de NAT privada, consulta Direcciones IP de NAT privada.
Puedes configurar la cantidad de puertos de origen que cada puerta de enlace de NAT privada reserva en cada VM para la que debe proporcionar servicios de NAT. Puedes configurar la asignación de puerto estático, en la que la misma cantidad de puertos está reservada para cada VM, o la asignación de puerto dinámica, en la que la cantidad de puertos reservados puede variar entre los límites mínimos y máximos que especifiques.
Las VM para las que se debe proporcionar NAT están determinadas por los rangos de direcciones IP de la subred que la puerta de enlace está configurada para entregar.
Para obtener más información sobre los puertos, consulta Puertos.
RFC aplicables
La NAT privada es una NAT de cono con restricción de puerto, como se define en la RFC 3489.
Tiempo de espera de NAT
La NAT privada establece tiempos de espera para las conexiones de protocolo. Para obtener información sobre estos tiempos de espera y sus valores predeterminados, consulta Tiempos de espera de NAT.
¿Qué sigue?
- Configura NAT privada.
- Obtén información sobre las interacciones de los productos de Cloud NAT.
- Obtén más información sobre los puertos y las direcciones de Cloud NAT.
- Obtén información sobre las reglas de Cloud NAT.
- Soluciona los problemas comunes.