Private NAT
O Private NAT permite a conversão de endereços particulares para particulares entre redes:
- O Private NAT para spokes do Network Connectivity Center ativa a conversão de endereços de rede (NAT) particular-particular para redes de nuvem privada virtual (VPC) conectadas a um hub do Network Connectivity Center, que inclui NAT particular-particular para o tráfego entre spokes VPC e entre spokes VPC e sofes híbridos.
- O Hybrid NAT permite NAT particular-para-particular entre redes VPC e redes locais ou de outros provedores de nuvem conectadas ao Google Cloud pelo Cloud Interconnect ou Cloud VPN.
Especificações
As seções a seguir descrevem as especificações do Private NAT. Essas especificações se aplicam ao Private NAT para os spokes do Network Connectivity Center e ao NAT híbrido.
Especificações gerais
-
O Private NAT permite conexões de saída e as respostas de entrada para essas conexões. Cada gateway do Private NAT realiza NAT de origem na saída e NAT de destino para os pacotes de resposta estabelecidos.
- O NAT particular não é compatível com redes VPC de modo automático.
-
O Private NAT não permite solicitações de entrada não solicitadas de redes conectadas, mesmo que as regras de firewall permitam essas solicitações. Para mais informações, consulte RFCs aplicáveis.
-
Cada gateway do Private NAT está associado a uma única rede VPC, região e Cloud Router. O gateway do Private NAT e o Cloud Router fornecem um plano de controle. Eles não estão envolvidos no plano de dados, portanto, os pacotes não passam pelo gateway do Private NAT ou pelo Cloud Router.
- A NAT privada não é compatível com o mapeamento independente de endpoint.
- Não é possível usar a NAT privada para converter um intervalo de endereços IP primário ou secundário específico para uma determinada sub-rede. Um gateway do Private NAT executa NAT em todos os intervalos de endereços IPv4 de uma determinada sub-rede ou lista de sub-redes.
- Depois de criar a sub-rede, não é possível aumentar ou diminuir o tamanho da sub-rede do Private NAT. No entanto, é possível especificar vários intervalos de sub-redes do Private NAT para um determinado gateway.
- O NAT particular oferece suporte a, no máximo, 64.000 conexões simultâneas por endpoint.
- A NAT privada é compatível apenas com conexões TCP e UDP.
- Uma instância de máquina virtual (VM) em uma rede VPC só pode acessar destinos em uma sub-rede não sobreposta em uma rede conectada.
Rotas e regras de firewall
O Private NAT usa as seguintes rotas:
- Para spokes do Network Connectivity Center, o Private NAT usa rotas de sub-rede
e rotas dinâmicas:
- Para o tráfego entre dois spokes VPC conectados a um hub do Network Connectivity Center que contém apenas spokes VPC, o Private NAT usa as rotas de sub-rede trocadas pelos spokes VPC conectados. Para informações sobre spokes VPC, consulte Visão geral dos spokes VPC.
- Se um hub do Network Connectivity Center tiver spokes de VPC e spokes híbridos, como anexos de VLAN para Cloud Interconnect, túneis do Cloud VPN ou VMs de dispositivo roteador, a NAT particular vai usar as rotas dinâmicas aprendidas pelos spokes híbridos pelo BGP e pelas rotas de sub-rede trocadas pelos spokes de VPC anexados. Para informações sobre spokes híbridos, consulte Spokes híbridos.
- Para NAT híbrida, a NAT privada usa rotas dinâmicas aprendidas pelo Cloud Router no Cloud Interconnect ou no Cloud VPN.
O Private NAT não tem requisitos de regra do Cloud NGFW. As regras de firewall são aplicadas diretamente às interfaces de rede das VMs do Compute Engine, não aos gateways do Private NAT.
Você não precisa criar regras de firewall especiais que permitam conexões de ou para endereços IP NAT. Quando um gateway do Private NAT fornece NAT para a interface de rede de uma VM, as regras de firewall de saída aplicáveis são avaliadas como pacotes para essa interface de rede antes de NAT. As regras de firewall de entrada são avaliadas depois que os pacotes são processados pelo NAT.
Aplicabilidade da faixa de endereços IP de sub-rede
Você pode configurar um gateway do Private NAT para fornecer NAT para os seguintes itens:
- Intervalos de endereços IP primários e secundários de todas as sub-redes na região. Um único gateway do Private NAT fornece NAT para os endereços IP internos principais e todos os intervalos de IP do alias das VMs qualificadas com interfaces de rede que usam uma sub-rede na região. Essa opção usa exatamente um gateway NAT por região.
-
Lista de sub-redes personalizadas. Um único gateway do Private NAT fornece NAT para os endereços IP internos primários e todos os intervalos de IP do alias das VMs qualificadas com interfaces de rede que usam uma sub-rede de uma lista de sub-redes especificadas.
Largura de banda
Usar um gateway do Private NAT não altera a quantidade de largura de banda de entrada ou de saída que uma VM pode usar. Para especificações de largura de banda, que variam por tipo de máquina, consulte Largura de banda de rede na documentação do Compute Engine.
VMs com várias interfaces de rede
Se você configurar uma VM para ter várias interfaces de rede, cada interface precisará estar em uma rede VPC separada. Consequentemente, um gateway do Private NAT só pode ser aplicado a uma única interface de rede de uma VM. Gateways do Private NAT separados podem fornecer NAT para a mesma VM, onde cada gateway se aplica a uma interface separada.
Portas e endereços IP NAT
Ao criar um gateway do Private NAT, é preciso especificar uma sub-rede de finalidade PRIVATE_NAT
a partir da qual os endereços IP NAT são atribuídos para as VMs. Para mais informações sobre a atribuição de endereços IP do Private NAT, consulte Endereços IP do Private NAT.
É possível configurar o número de portas de origem que cada gateway do Private NAT reserva em cada VM que ele fornece serviços NAT. É possível configurar a alocação de porta estática, em que o mesmo número de portas é reservado para cada VM, ou alocação dinâmica de portas em que o número de portas reservadas pode variar entre os limites mínimo e máximo especificados.
As VMs para as quais NAT deve ser fornecida são determinadas pelos intervalos de endereços IP de sub-rede que o gateway está configurado para veicular.
Para mais informações sobre portas, consulte Portas.
RFCs aplicáveis
O Private NAT é uma NAT cone restrito de porta, conforme definido no RFC 3489.
Tempo limite de NAT
O Private NAT define os tempos limite para conexões de protocolo. Para informações sobre esses tempos limite e os valores padrão deles, consulte Tempos limite de NAT.
A seguir
- Configurar o Private NAT.
- Saiba mais sobre interações com produtos do Cloud NAT.
- Saiba mais sobre endereços e portas do Cloud NAT.
- Saiba mais sobre as regras do Cloud NAT.
- Resolver problemas comuns.