Esta página foi traduzida pela API Cloud Translation.

NAT particular

A NAT particular permite a conversão de endereços privados para privados entre redes:

NAT particular para spokes do Network Connectivity Center ativa a conversão de endereços de rede privada para privada (NAT) em redes de nuvem privada virtual (VPC) conectadas a um hub do Network Connectivity Center; que inclui NAT privado para privado para tráfego entre spokes de VPC e entre eles os spokes híbridos.
NAT híbrida (pré-lançamento) permite usar NAT de privado para privado entre Redes VPC e redes no local ou de outros provedores de nuvem conectadas ao Google Cloud pelo Cloud Interconnect ou o Cloud VPN.

Especificações

As seções a seguir descrevem as especificações NAT particular. Essas especificações se aplicam NAT particular para spokes do Network Connectivity Center e NAT híbrida.

Especificações gerais

O Private NAT permite conexões de saída e as respostas de entrada para essas conexões. Cada gateway do Private NAT realiza NAT de origem na saída e NAT de destino para os pacotes de resposta estabelecidos.
O Private NAT não oferece suporte a redes VPC de modo automático.
A NAT particular não permite solicitações de entrada não solicitadas de redes conectadas, mesmo que o firewall normalmente permitiriam essas solicitações. Para mais informações, consulte RFCs aplicáveis.
Cada gateway do Private NAT está associado a uma única rede VPC, região e Cloud Router. O gateway do Private NAT e o Cloud Router fornecem um plano de controle. Eles não estão envolvidos no plano de dados, portanto, os pacotes não passam pelo gateway do Private NAT ou pelo Cloud Router.

Observação: embora um gateway do Private NAT seja gerenciado por um Cloud Router, o Private NAT não usa ou depende do protocolo de gateway de borda (BGP).
O NAT particular não é compatível com o mapeamento independente de endpoint.
Não é possível usar o Private NAT para traduzir uma instância principal específica ou intervalo secundário de endereços IP para uma determinada sub-rede. Um NAT particular ele executa NAT em todos os intervalos de endereços IPv4 de uma determinada sub-rede ou lista de sub-redes.
Depois de criar a sub-rede, não será possível aumentar ou diminuir o Private NAT ao tamanho da sub-rede. No entanto, é possível especificar vários intervalos de sub-redes do Private NAT para um determinado gateway.
O Private NAT oferece suporte a no máximo 64.000 conexões simultâneas por endpoint.
O NAT particular dá suporte apenas a conexões TCP e UDP.
Uma instância de máquina virtual (VM) em uma rede VPC só pode acessar destinos em uma sub-rede sobreposta, e não em uma sobreposta em uma rede conectada.

Rotas e regras de firewall

A NAT particular usa as seguintes rotas:

Para spokes do Network Connectivity Center, o Private NAT usa rotas de sub-rede e rotas dinâmicas:
- Para o tráfego entre dois spokes de VPC anexados um hub do Network Connectivity Center que contém apenas spokes de VPC; A NAT particular usa as rotas de sub-rede trocados pelos spokes de VPC anexados. Para informações sobre spokes de VPC, consulte Visão geral dos spokes de VPC.
- Se um hub do Network Connectivity Center tiver os dois spokes de VPC e spokes híbridos, como anexos de VLAN para o Cloud Interconnect, Túneis do Cloud VPN ou VMs de dispositivo roteador, A NAT particular usa as rotas dinâmicas aprendidos pelos spokes híbridos usando o BGP (Pré-lançamento) e rotas de sub-rede trocadas pelos spokes de VPC anexados. Para informações sobre modelos spokes, consulte Spokes híbridos.
Para NAT híbrido (Pré-lançamento), O NAT particular usa rotas dinâmicas aprendidos pelo Cloud Router por meio do Cloud Interconnect ou o Cloud VPN.

O Private NAT não tem requisitos de regra de NGFW do Cloud. As regras de firewall são aplicadas diretamente às interfaces de rede das VMs do Compute Engine, não aos gateways do Private NAT.

Você não precisa criar regras de firewall especiais que permitam conexões de ou para endereços IP NAT. Quando um gateway do Private NAT fornece NAT para a interface de rede de uma VM, as regras de firewall de saída aplicáveis são avaliadas como pacotes para essa interface de rede antes de NAT. As regras de firewall de entrada são avaliadas depois que os pacotes são processados pelo NAT.

Aplicabilidade da faixa de endereços IP de sub-rede

Você pode configurar um gateway do Private NAT para fornecer NAT para os seguintes itens:

Intervalos de endereços IP primários e secundários de todas as sub-redes na região. Um único gateway do Private NAT fornece NAT para os endereços IP internos principais e todos os intervalos de IP do alias das VMs qualificadas com interfaces de rede que usam uma sub-rede na região. Essa opção usa exatamente um gateway NAT por região.
Lista de sub-redes personalizadas. Um único gateway do Private NAT fornece NAT para os endereços IP internos primários e todos os intervalos de IP do alias das VMs qualificadas com interfaces de rede que usam uma sub-rede de uma lista de sub-redes especificadas.

Largura de banda

Usar um gateway do Private NAT não altera a quantidade de largura de banda de entrada ou de saída que uma VM pode usar. Para especificações de largura de banda, que variam por tipo de máquina, consulte Largura de banda de rede na documentação do Compute Engine.

VMs com várias interfaces de rede

Se você configurar uma VM para ter várias interfaces de rede, cada interface precisará estar em uma rede VPC separada. Consequentemente, uma O gateway NAT particular só pode ser aplicado a uma única interface de rede de uma VM. Gateways do Private NAT separados podem fornecer NAT para a mesma VM, onde cada gateway se aplica a uma interface separada.

Portas e endereços IP NAT

Ao criar um gateway do Private NAT, é preciso especificar uma sub-rede de finalidade PRIVATE_NAT a partir da qual os endereços IP NAT são atribuídos para as VMs. Para mais informações sobre a atribuição de endereços IP do Private NAT, consulte Endereços IP do Private NAT.

É possível configurar o número de portas de origem que cada gateway do Private NAT reserva em cada VM que ele fornece serviços NAT. É possível configurar a alocação de porta estática, em que o mesmo número de portas é reservado para cada VM, ou alocação dinâmica de portas em que o número de portas reservadas pode variar entre os limites mínimo e máximo especificados.

As VMs para as quais NAT deve ser fornecida são determinadas pelos intervalos de endereços IP de sub-rede que o gateway está configurado para veicular.

Para mais informações sobre portas, consulte Portas.

RFCs aplicáveis

O Private NAT é uma NAT cone restrito de porta, conforme definido no RFC 3489.

Tempo limite de NAT

O NAT particular define tempos limite para conexões de protocolo. Para informações sobre esses tempos limite e seus valores padrão, consulte Tempos limite de NAT.

A seguir

Configure a NAT particular.
Saiba mais sobre interações com produtos do Cloud NAT.
Saiba mais sobre endereços e portas do Cloud NAT.
Saiba mais sobre as regras do Cloud NAT.
Resolver problemas comuns.