Esta página foi traduzida pela API Cloud Translation.

NAT privado

O NAT privado permite a tradução de endereços privado para privado entre redes:

A NAT privada para raios do Network Connectivity Center permite a tradução de endereços de rede (NAT) privado para privado para redes da nuvem virtual privada (VPC) que estão ligadas a um hub do Network Connectivity Center, que inclui a NAT privado para privado para tráfego entre raios da VPC e entre raios da VPC e raios híbridos.
A NAT híbrida permite a NAT privada a privada entre redes VPC e redes no local ou de outros fornecedores de nuvem que estão ligadas à Google Cloud através do Cloud Interconnect ou Cloud VPN.

Especificações

As secções seguintes descrevem as especificações da NAT privada. Estas especificações aplicam-se à NAT privada para raios do Network Connectivity Center e à NAT híbrida.

Especificações gerais

O NAT privado permite ligações de saída e as respostas de entrada a essas ligações. Cada gateway do Cloud NAT para NAT privado executa o NAT de origem no tráfego de saída e o NAT de destino para pacotes de resposta estabelecidos.
O NAT privado não suporta redes VPC no modo automático.
A NAT privada não permite pedidos de entrada não solicitados de redes ligadas, mesmo que as regras de firewall permitam esses pedidos. Para mais informações, consulte o artigo RFCs aplicáveis.
Cada gateway do Cloud NAT para NAT privado está associado a uma única rede da VPC, região e Cloud Router. A gateway do Cloud NAT e o Cloud Router fornecem um plano de controlo. Não estão envolvidos no plano de dados, pelo que os pacotes não passam pela gateway do Cloud NAT nem pelo Cloud Router.

Embora uma gateway do Cloud NAT para NAT privado seja gerida por um Cloud Router, o NAT privado não usa nem depende do Border Gateway Protocol.
A NAT privada não suporta o mapeamento independente do ponto final.
Não pode usar a NAT privada para traduzir um intervalo de endereços IP principal ou secundário específico para uma determinada sub-rede. Um gateway NAT privado executa NAT em todos os intervalos de endereços IPv4 para uma determinada sub-rede ou lista de sub-redes.
Depois de criar a sub-rede, não pode aumentar nem diminuir o tamanho da sub-rede NAT privada. No entanto, pode especificar vários intervalos de sub-redes NAT privadas para um determinado gateway.
A NAT privada suporta um máximo de 64 000 ligações simultâneas por ponto final.
O NAT privado suporta apenas TCP e UDP. O ICMP e outros protocolos não são suportados.
Uma instância de máquina virtual (VM) numa rede da VPC só pode aceder a destinos numa sub-rede não sobreposta, e não numa sub-rede sobreposta, numa rede ligada.

Rotas e regras de firewall

A NAT privada usa os seguintes trajetos:

Para os raios do Network Connectivity Center, a NAT privada usa rotas de sub-rede e rotas dinâmicas:
- Para o tráfego entre dois raios da VPC anexados a um hub do Network Connectivity Center que contém apenas raios da VPC, o NAT privado usa as rotas da sub-rede trocadas pelos raios da VPC anexados. Para ver informações sobre os raios da VPC, consulte o artigo Vista geral dos raios da VPC.
- Se um hub do Network Connectivity Center contiver raios de VPC e raios híbridos, como associações de VLAN para o Cloud Interconnect, túneis do Cloud VPN ou VMs de dispositivo de encaminhamento, o NAT privado usa as rotas dinâmicas aprendidas pelos raios híbridos através do BGP e as rotas de sub-rede trocadas pelos raios de VPC associados. Para ver informações sobre os raios híbridos, consulte o artigo Raios híbridos.
Para o NAT híbrido, o NAT privado usa rotas dinâmicas aprendidas pelo Cloud Router através do Cloud Interconnect ou do Cloud VPN.

As regras da firewall do NGFW da nuvem são aplicadas diretamente às interfaces de rede das VMs do Compute Engine e não aos gateways do Cloud NAT para NAT privado.

Quando um gateway NAT na nuvem para NAT privado fornece NAT para a interface de rede de uma VM, as regras de firewall de saída aplicáveis são avaliadas como pacotes para essa interface de rede antes do NAT. As regras de firewall de entrada são avaliadas depois de os pacotes terem sido processados pelo NAT. Não precisa de criar regras de firewall especificamente para o NAT.

Aplicabilidade do intervalo de endereços IP da sub-rede

Pode configurar uma gateway do Cloud NAT para o NAT privado para fornecer NAT para o seguinte:

Intervalos de endereços IP primários e secundários de todas as sub-redes na região. Um único gateway NAT privado fornece NAT para os endereços IP internos principais e todos os intervalos de IP de alias das VMs elegíveis cujas interfaces de rede usam uma sub-rede na região. Esta opção usa exatamente um gateway de NAT por região.
Lista de sub-redes personalizadas: um único gateway do Cloud NAT fornece NAT para os endereços IP internos principais e todos os intervalos de IP de alias das VMs elegíveis cujas interfaces de rede usam uma sub-rede de uma lista de sub-redes especificadas.

Largura de banda

A utilização de um gateway NAT da nuvem para NAT privado não altera a quantidade de largura de banda de saída ou de entrada que uma VM pode usar. Para ver as especificações de largura de banda, que variam consoante o tipo de máquina, consulte o artigo Largura de banda da rede na documentação do Compute Engine.

VMs com várias interfaces de rede

Se configurar uma VM para ter várias interfaces de rede, cada interface tem de estar numa rede VPC separada. Consequentemente, uma gateway do Cloud NAT para NAT privado só pode aplicar-se a uma única interface de rede de uma VM. As gateways do Cloud NAT separadas para NAT privado podem fornecer NAT à mesma VM, em que cada gateway se aplica a uma interface separada.

Portas e endereços IP NAT

Quando cria um gateway NAT privado, tem de especificar uma sub-rede de finalidade PRIVATE_NAT a partir da qual são atribuídos endereços IP NAT às VMs. Para mais informações sobre a atribuição de endereços IP NAT privados, consulte o artigo Endereços IP NAT privados.

Pode configurar o número de portas de origem que cada gateway Cloud NAT para NAT privado reserva em cada VM para a qual vai fornecer serviços NAT. Pode configurar a atribuição de portas estática, em que o mesmo número de portas é reservado para cada VM, ou a atribuição de portas dinâmica, em que o número de portas reservadas pode variar entre os limites mínimo e máximo que especificar.

As VMs para as quais o NAT deve ser fornecido são determinadas pelos intervalos de endereços IP da sub-rede que o gateway está configurado para publicar.

Para mais informações sobre as portas, consulte o artigo Portas.

RFCs aplicáveis

O NAT privado é um NAT de cone restrito por porta, conforme definido no RFC 3489.

Limites de tempo de NAT

O NAT privado define limites de tempo para ligações de protocolos. Para ver informações sobre estes limites de tempo e os respetivos valores predefinidos, consulte o artigo Limites de tempo de NAT.

O que se segue?

Configure o NAT privado.
Saiba mais sobre as interações do produto Cloud NAT.
Saiba mais acerca dos endereços e das portas do Cloud NAT.
Saiba mais sobre as regras do Cloud NAT.
Resolva problemas comuns.