NAT particular

A NAT particular permite traduções privadas para privadas nas redes do Google Cloud e em outras redes locais ou de provedor de nuvem. A NAT particular oferece as seguintes opções de tradução particular para particular:

  • NAT inter-VPC: permite traduções de particular para particular entre redes de nuvem privada virtual (VPC) que estão conectadas a um hub do Network Connectivity Center.
  • NAT híbrida (pré-lançamento): permite traduções de particular para particular entre redes VPC e redes locais ou de provedores de nuvem conectadas pelas soluções corporativas de conectividade híbrida do Google Cloud.

Especificações

As seções a seguir abrangem as especificações da NAT particular. As especificações se aplicam à NAT interVPC e à NAT híbrida.

Especificações gerais

  • O Private NAT permite conexões de saída e as respostas de entrada para essas conexões. Cada gateway do Private NAT realiza NAT de origem na saída e NAT de destino para os pacotes de resposta estabelecidos.

  • A NAT particular não oferece suporte a redes VPC de modo automático.

  • A NAT particular não permite solicitações de entrada não solicitadas de redes conectadas, mesmo que as regras de firewall permitam essas solicitações. Para mais informações, consulte RFCs aplicáveis.

  • Cada gateway do Private NAT está associado a uma única rede VPC, região e Cloud Router. O gateway do Private NAT e o Cloud Router fornecem um plano de controle. Eles não estão envolvidos no plano de dados, portanto, os pacotes não passam pelo gateway do Private NAT ou pelo Cloud Router.

  • A NAT particular não é compatível com o mapeamento independente de endpoint.
  • Não é possível usar a NAT particular para converter um intervalo de endereços IP primário ou secundário específico para uma determinada sub-rede. Um gateway NAT particular executa NAT em todos os intervalos de endereços IPv4 para uma determinada sub-rede ou lista de sub-redes.
  • Depois de criar a sub-rede, não é possível aumentar ou diminuir o tamanho dela. No entanto, é possível especificar vários intervalos de sub-redes do Private NAT para um determinado gateway.
  • A NAT particular oferece suporte a, no máximo, 64.000 conexões simultâneas por endpoint.
  • A NAT particular oferece suporte apenas a conexões TCP e UDP.
  • Uma instância de máquina virtual (VM) em uma rede VPC só pode acessar destinos em uma sub-rede não sobreposta, não em uma sub-rede sobreposta, em uma rede conectada.

Rotas e regras de firewall

A NAT particular usa as seguintes rotas:

  • Para a Inter-VPC NAT, a NAT particular usa apenas rotas de sub-rede trocadas por dois spokes VPC do Network Connectivity Center conectados a um hub do Network Connectivity Center. Para mais informações sobre spokes VPC do Network Connectivity Center, consulte Visão geral de spokes VPC.
  • Para NAT híbrida (pré-lançamento), a NAT particular usa as rotas dinâmicas aprendidas pelo Cloud Router por meio das opções de conectividade híbrida do Google Cloud.

O NAT particular não tem nenhum requisito de regra de NGFW do Cloud. As regras de firewall são aplicadas diretamente às interfaces de rede das VMs do Compute Engine, não aos gateways do Private NAT.

Você não precisa criar regras de firewall especiais que permitam conexões de ou para endereços IP NAT. Quando um gateway do Private NAT fornece NAT para a interface de rede de uma VM, as regras de firewall de saída aplicáveis são avaliadas como pacotes para essa interface de rede antes de NAT. As regras de firewall de entrada são avaliadas depois que os pacotes são processados pelo NAT.

Aplicabilidade da faixa de endereços IP de sub-rede

Você pode configurar um gateway do Private NAT para fornecer NAT para os seguintes itens:

  • Intervalos de endereços IP primários e secundários de todas as sub-redes na região. Um único gateway do Private NAT fornece NAT para os endereços IP internos principais e todos os intervalos de IP do alias das VMs qualificadas com interfaces de rede que usam uma sub-rede na região. Essa opção usa exatamente um gateway NAT por região.

  • Lista de sub-redes personalizadas. Um único gateway do Private NAT fornece NAT para os endereços IP internos primários e todos os intervalos de IP do alias das VMs qualificadas com interfaces de rede que usam uma sub-rede de uma lista de sub-redes especificadas.

Largura de banda

Usar um gateway do Private NAT não altera a quantidade de largura de banda de entrada ou de saída que uma VM pode usar. Para especificações de largura de banda, que variam por tipo de máquina, consulte Largura de banda de rede na documentação do Compute Engine.

VMs com várias interfaces de rede

Se você configurar uma VM para ter várias interfaces de rede, cada interface precisará estar em uma rede VPC separada. Consequentemente, um gateway do Private NAT só pode ser aplicado a uma única interface de rede de uma VM. Gateways do Private NAT separados podem fornecer NAT para a mesma VM, onde cada gateway se aplica a uma interface separada.

Portas e endereços IP NAT

Ao criar um gateway do Private NAT, é preciso especificar uma sub-rede de finalidade PRIVATE_NAT a partir da qual os endereços IP NAT são atribuídos para as VMs. Para mais informações sobre a atribuição de endereços IP do Private NAT, consulte Endereços IP do Private NAT.

É possível configurar o número de portas de origem que cada gateway do Private NAT reserva em cada VM que ele fornece serviços NAT. É possível configurar a alocação de porta estática, em que o mesmo número de portas é reservado para cada VM, ou alocação dinâmica de portas em que o número de portas reservadas pode variar entre os limites mínimo e máximo especificados.

As VMs para as quais NAT deve ser fornecida são determinadas pelos intervalos de endereços IP de sub-rede que o gateway está configurado para veicular.

Para mais informações sobre portas, consulte Portas.

RFCs aplicáveis

O Private NAT é uma NAT cone restrito de porta, conforme definido no RFC 3489.

Tempo limite de NAT

A NAT particular define tempos limite para conexões de protocolo. Para informações sobre esses tempos limite e os valores padrão deles, consulte Tempos limite de NAT.

A seguir