NAT privada

La NAT privada permite realizar traducciones privadas a privadas en las redes de Google Cloud y otras redes locales o de proveedores de servicios en la nube. La NAT privada ofrece las siguientes opciones de traducción de privado a privado:

NAT entre VPC: Habilita traducciones de privadas a privadas entre redes de nube privada virtual (VPC) que están conectadas a un concentrador de Network Connectivity Center.
NAT híbrida (versión preliminar): Permite traducciones privadas a privadas entre redes de VPC y redes locales o de proveedores de servicios en la nube que están conectadas a través de las soluciones de conectividad híbrida empresarial de Google Cloud.

Especificaciones

Las siguientes secciones abarcan las especificaciones de la NAT privada y se aplican a la NAT entre VPC y a la NAT híbrida.

Especificaciones generales:

La NAT privada permite conexiones salientes y las respuestas entrantes a esas conexiones. Cada puerta de enlace NAT privada realiza NAT de origen en la salida y NAT de destino para los paquetes de respuesta establecidos.
La NAT privada no admite redes de VPC de modo automático.
La NAT privada no permite solicitudes entrantes no solicitadas de redes conectadas, incluso si las reglas de firewall permiten esas solicitudes. Para obtener más información, consulta RFC aplicables.
Cada puerta de enlace NAT privada está asociada con una sola red de VPC, región y Cloud Router. La puerta de enlace NAT privada y el Cloud Router proporcionan un plano de control, ya que no están involucrados en el plano de datos, por lo que los paquetes no pasan a través de la puerta de enlace de NAT privada ni de Cloud Router.

Nota: Aunque una puerta de enlace NAT privada se administra mediante un Cloud Router, la NAT privada no usa el protocolo de puerta de enlace de frontera (BGP) ni depende de él.
La NAT privada no admite el mapeo independiente de extremos.
No puedes usar NAT privada para traducir un rango de direcciones IP principal o secundario específico para una subred determinada. Una puerta de enlace NAT privada realiza NAT en todos los rangos de direcciones IPv4 para una subred o lista de subredes determinadas.
Después de crear la subred, no puedes aumentar ni disminuir el tamaño de la subred de NAT privada. Sin embargo, puedes especificar varios rangos de subredes NAT privadas para una puerta de enlace determinada.
La NAT privada admite un máximo de 64,000 conexiones simultáneas por extremo.
La NAT privada solo admite conexiones TCP y UDP.
Una instancia de máquina virtual (VM) en una red de VPC solo puede acceder a destinos en una subred que no se superponga (no en una superposición) en una red conectada.

Rutas y reglas de firewall

La NAT privada usa las siguientes rutas:

Para la NAT entre VPC, la NAT privada solo usa rutas de subred intercambiadas por dos radios de VPC de Network Connectivity Center que están conectados a un concentrador de Network Connectivity Center. Para obtener más información sobre los radios de VPC de Network Connectivity Center, consulta la Descripción general de los radios de VPC.
Para la NAT híbrida (versión preliminar), la NAT privada usa las rutas dinámicas que aprendió Cloud Router a través de las opciones de conectividad híbrida de Google Cloud.

La NAT privada no tiene ningún requisito de regla de NGFW de Cloud. Las reglas de firewall se aplican directamente a las interfaces de red de las VMs de Compute Engine, no a las puertas de enlace NAT privadas.

No es necesario crear ninguna regla de firewall especial que permita conexiones desde o hacia direcciones IP de NAT. Cuando una puerta de enlace NAT privada proporciona NAT para la interfaz de red de una VM, las reglas de firewall de salida aplicables se evalúan como paquetes para esa interfaz de red antes que la NAT. Las reglas de firewall de entrada se evalúan después de que la NAT procesa los paquetes.

Aplicabilidad del rango de direcciones IP de la subred

Puedes configurar una puerta de enlace NAT privada para proporcionar NAT a los siguientes elementos:

Rangos de direcciones IP principales y secundarios de todas las subredes de la región. Una única puerta de enlace NAT privada proporciona NAT para las direcciones IP internas principales y todos los rangos de alias de IP de las VM aptas cuyas interfaces de red usan una subred en la región. En esta opción, se usa exactamente una puerta de enlace NAT por región.
Lista de subredes personalizadas. Una única puerta de enlace NAT privada proporciona NAT para las direcciones IP internas principales y todos los rangos de alias de IP de las VM aptas cuyas interfaces de red usan una subred de una lista de subredes especificadas.

Ancho de banda

El uso de una puerta de enlace NAT privada no cambia la cantidad de ancho de banda saliente o entrante que puede usar una VM. Para conocer las especificaciones de ancho de banda, que varían según el tipo de máquina, consulta Ancho de banda de red en la documentación de Compute Engine.

VM con interfaces de red múltiples

Si configuras una VM para que tenga varias interfaces de red, cada interfaz debe estar en una red de VPC independiente. En consecuencia, una puerta de enlace NAT privada solo puede aplicarse a una única interfaz de red de una VM. Las puertas de enlace NAT privadas independientes pueden proporcionar NAT a la misma VM, en la que cada puerta de enlace se aplica a una interfaz separada.

Direcciones IP y puertos NAT

Cuando creas una puerta de enlace NAT privada, debes especificar una subred de propósito PRIVATE_NAT desde la cual se asignan direcciones IP de NAT para las VM. Para obtener más información sobre la asignación de direcciones IP de NAT privada, consulta Direcciones IP de NAT privadas.

Puedes configurar la cantidad de puertos de origen que reserva cada puerta de enlace NAT privada en cada VM a la que debe proporcionar servicios de NAT. Puedes configurar la asignación de puertos estáticos, en la que se reserva la misma cantidad de puertos para cada VM, o la asignación dinámica de puertos, en la que la cantidad de puertos reservados puede variar entre los límites mínimo y máximo que especifiques.

Los rangos de direcciones IP de la subred que la puerta de enlace está configurada para entregar determinan las VM a las que se debe proporcionar NAT.

Para obtener más información sobre los puertos, consulta Puertos.

RFC aplicables

La NAT privada es una NAT de cono de puerto restringido, como se define en RFC 3489.

Tiempo de espera de NAT

La NAT privada establece tiempos de espera para las conexiones de protocolo. Para obtener información sobre estos tiempos de espera y sus valores predeterminados, consulta Tiempos de espera de NAT.

¿Qué sigue?

Configura NAT entre VPC.
Obtén más información sobre las interacciones con los productos de Cloud NAT.
Obtén más información sobre los puertos y las direcciones de Cloud NAT.
Obtén información sobre las reglas de Cloud NAT.
Soluciona los problemas comunes.