NAT privada

La NAT privada habilita la traducción de direcciones privadas a privadas entre redes:

  • NAT privada para radios de Network Connectivity Center habilita la traducción de direcciones de red (NAT) privadas a privadas redes de nube privada virtual (VPC) que están conectadas a un concentrador de Network Connectivity Center, que incluye NAT privada-privada para el tráfico entre radios de VPC y entre radios de VPC y radios híbridas.
  • La NAT híbrida habilita la NAT de privado a privado entre redes de VPC y redes locales o de otros proveedores de servicios en la nube que están conectadas a Google Cloud a través de Cloud Interconnect o Cloud VPN.

Especificaciones

En las siguientes secciones, se describen las especificaciones de la NAT privada. Estas especificaciones se aplican a la NAT privada para los radios de Network Connectivity Center y a la NAT híbrida.

Especificaciones generales:

  • La NAT privada permite las conexiones salientes y las respuestas entrantes a esas conexiones. Cada puerta de enlace de NAT privada realiza NAT de origen en la salida y NAT de destino para los paquetes de respuesta establecidos.

  • La NAT privada no es compatible con las redes de VPC de modo automático.
  • Private NAT no permite solicitudes entrantes no solicitadas desde redes conectadas, incluso si de reglas de firewall permitiría, de lo contrario, esas solicitudes. Para obtener más información, consulta RFC aplicables.

  • Cada puerta de enlace de NAT privada está asociada con una sola red de VPC, una región y un Cloud Router. La puerta de enlace de NAT privada y Cloud Router proporcionan un plano de control, ya que no están involucrados en el plano de datos, por lo que los paquetes no pasan por la puerta de enlace de NAT privada ni Cloud Router.

  • La NAT privada no es compatible con el mapeo independiente de extremos.
  • No se puede usar NAT privada para traducir una instancia principal un rango de direcciones IP secundario para una subred determinada. Una puerta de enlace de NAT privada realiza NAT en todos los rangos de direcciones IPv4 de una subred o lista de subredes determinada.
  • Después de crear la subred, no puedes aumentar ni disminuir el tamaño de la subred de NAT privada. Sin embargo, puedes especificar varios rangos de subredes de NAT privadas para una puerta de enlace determinada.
  • La NAT privada admite un máximo de 64,000 conexiones simultáneas por extremo.
  • La NAT privada solo admite conexiones TCP y UDP.
  • Una instancia de máquina virtual (VM) en una red de VPC solo puede acceder destinos en una subred no superpuesta, pero no superpuesta en una red conectada.

Rutas y reglas de firewall

La NAT privada usa las siguientes rutas:

  • En el caso de los radios de Network Connectivity Center, la NAT privada usa rutas de subred y rutas dinámicas:
    • En el caso del tráfico entre dos radios de VPC conectados a un concentrador de Network Connectivity Center que solo contiene radios de VPC, la NAT privada usa las rutas de subred que intercambian los radios de VPC conectados. Información sobre radios de VPC, consulta Descripción general de los radios de VPC.
    • Si un concentrador de Network Connectivity Center contiene radios de VPC y radios híbridos, como adjuntos de VLAN para Cloud Interconnect, túneles de Cloud VPN o VMs de dispositivos de router, la NAT privada usa las rutas dinámicas que aprenden los radios híbridos a través de BGP (versión preliminar) y las rutas de subred que intercambian los radios de VPC adjuntos. Para obtener información sobre los radios híbridos, consulta Radios híbridos.
  • En el caso de Hybrid NAT, Private NAT usa rutas dinámicas que aprende Cloud Router a través de Cloud Interconnect o Cloud VPN.

La NAT privada no tiene ningún requisito de regla de Cloud NGFW. Las reglas de firewall son aplicado directamente a las interfaces de red de las VMs de Compute Engine, no a las puertas de enlace NAT privadas.

No es necesario crear ninguna regla de firewall especial que permita conexiones hacia o desde la IP de NAT direcciones IP del proveedor. Cuando una puerta de enlace de NAT privada proporciona NAT para la interfaz de red de una VM, las reglas de firewall de salida aplicables se evalúan como paquetes de interfaz de red antes de NAT. Las reglas de firewall de entrada se evalúan después de que NAT haya procesado los paquetes.

Aplicabilidad del rango de direcciones IP de la subred

Puedes configurar una puerta de enlace NAT privada a fin de proporcionar NAT para lo siguiente:

  • Rangos de direcciones IP principales y secundarios de todas las subredes de la región. Un solo La puerta de enlace NAT privada proporciona NAT a la IP interna principal y todos los rangos de alias de IP de las VMs aptas cuyas interfaces de red usa una subred en la región. Esta opción usa exactamente una puerta de enlace NAT por región.
  • Lista de subredes personalizada. Una sola puerta de enlace NAT privada proporciona NAT para la IP interna principal y todos los rangos de alias de IP de las VMs aptas cuyas interfaces de red usan una subred de una lista de subredes especificadas.

Ancho de banda

El uso de una puerta de enlace de NAT privada no modifica la cantidad de ancho de banda de salida o de entrada que puede usar una VM. Para las especificaciones de ancho de banda, que varían según tipo de máquina, consulta Ancho de banda de red en la documentación de Compute Engine.

VM con interfaces de red múltiples

Si configuras una VM para que tenga varias redes interfaces, cada interfaz debe estar en un una red de VPC independiente. Por lo tanto, un La puerta de enlace NAT privada solo puede aplicarse a una única interfaz de red de una VM. Las puertas de enlace de NAT privadas independientes pueden proporcionar NAT a la misma VM, donde cada puerta de enlace se aplica a una interfaz independiente.

Direcciones IP y puertos NAT

Cuando creas una puerta de enlace NAT privada, debes especificar una subred con propósito PRIVATE_NAT desde donde se asignan las direcciones IP de NAT a las VMs. Obtén más información sobre la NAT privada Para asignar direcciones IP, consulta Direcciones IP de NAT privadas.

Puedes configurar la cantidad de puertos de origen que cada puerta de enlace de NAT privada reserva en cada VM para la que debe proporcionar servicios de NAT. Puedes configurar la asignación de puertos estáticos en la que se reserva la misma cantidad de puertos para cada VM puerto dinámico de asignación, en la que la cantidad de espacios pueden variar entre los límites mínimo y máximo que especifiques.

Las VM para las que se debe proporcionar NAT están determinadas por los rangos de direcciones IP de la subred que la puerta de enlace está configurada para entregar.

Para obtener más información sobre los puertos, consulta Puertos.

RFC aplicables

La NAT privada es una NAT de cono con restricción de puerto, como se define en la RFC 3489.

Tiempo de espera de NAT

Private NAT establece tiempos de espera para las conexiones de protocolo. Para obtener información sobre estos tiempos de espera y sus valores predeterminados, consulta Tiempos de espera de NAT.

¿Qué sigue?