NAT pública

La NAT pública permite que las instancias de máquina virtual (VM) de Google Cloud que no tienen direcciones IP públicas se comuniquen con Internet a través de un conjunto de direcciones IP públicas compartidas. Cloud NAT usa una puerta de enlace NAT pública que asigna un conjunto de direcciones IP y puertos de origen externos a cada VM que usa la puerta de enlace para crear conexiones salientes a Internet.

Configuración y flujo de trabajo básicos de NAT pública

En el siguiente diagrama, se muestra una configuración básica de NAT pública:

Ejemplo de traducción de NAT pública.
Ejemplo de traducción de NAT pública (haz clic para ampliar).

En este ejemplo:

  • La puerta de enlace nat-gw-us-east está configurada para aplicarse al rango de direcciones IP principal de subnet-1 en la región us-east1. Una VM cuya interfaz de red no tiene una dirección IP externa puede enviar tráfico a Internet mediante su dirección IP interna principal o un rango de alias de IP del rango de direcciones IP principal de subnet-1, 10.240.0.0/16.

  • Una VM cuya interfaz de red no tiene una dirección IP externa y cuya dirección IP interna principal se encuentra en subnet-2 no puede acceder a Internet, porque ninguna puerta de enlace de NAT pública se aplica a rangos de direcciones IP de esa subred.

  • La puerta de enlace nat-gw-eu está configurada para aplicarse al rango de direcciones IP principal de subnet-3 en la región europe-west1. Una VM cuya interfaz de red no tiene una dirección IP externa puede enviar tráfico a Internet mediante su dirección IP interna principal o un rango de alias de IP del rango de direcciones IP principal de subnet-3, 192.168.1.0/24.

Ejemplo de flujo de trabajo de NAT pública

En el diagrama anterior, una VM con la dirección IP interna principal 10.240.0.4, sin un dirección IP externa, necesita descargar una actualización desde la dirección IP externa 203.0.113.1 En el diagrama, la puerta de enlace nat-gw-us-east se configura de la siguiente manera:

  • Cantidad mínima de puertos por instancia: 64
  • Se asignaron de forma manual dos direcciones IP de traducción de direcciones de red (NAT): 192.0.2.50 y 192.0.2.60
  • Se proporcionó NAT para el rango de direcciones IP principal de subnet-1

La NAT pública sigue el procedimiento de reserva de puertos para reservar la siguiente dirección IP de origen de NAT y las tuplas de puerto de origen para cada una de las VMs de la red. Por ejemplo, la puerta de enlace de NAT pública reserva 64 puertos de origen para la VM con la dirección IP interna 10.240.0.4. La dirección IP de NAT 192.0.2.50 tiene 64 puertos sin reservar, por lo que la puerta de enlace reserva el siguiente conjunto de 64 direcciones IP de origen de NAT y de tuplas de puerto de origen para esa VM:

  • Desde 192.0.2.50:34000 hasta 192.0.2.50:34063

Sucede lo siguiente cuando la VM envía un paquete al servidor de actualización 203.0.113.1 en el puerto de destino 80 con el protocolo TCP:

  • La VM envía un paquete de solicitud con estos atributos:

    • Dirección IP de origen: 10.240.0.4, la dirección IP interna principal de la VM
    • Puerto de origen: 24000, el puerto de origen efímero que elige el sistema operativo de la VM
    • Dirección de destino: 203.0.113.1, la dirección IP externa del servidor de actualizaciones
    • Puerto de destino: 80, el puerto de destino para el tráfico HTTP al servidor de actualización
    • Protocolo: TCP
  • La puerta de enlace nat-gw-us-east realiza la traducción de direcciones de red de origen (SNAT) en la salida y vuelve a escribir la dirección IP de origen de NAT y el puerto de origen del paquete de solicitud. El paquete modificado se envía a Internet si la red de nube privada virtual (VPC) tiene una ruta para el destino 203.0.113.1 cuyo siguiente salto es la puerta de enlace de Internet predeterminada. Por lo general, una ruta predeterminada cumple con este requisito.

    • Dirección IP de origen de NAT: 192.0.2.50, de una de las direcciones IP de origen de NAT y las tuplas de puerto de origen reservadas de la VM
    • Puerto de origen: 34022, un puerto de origen no utilizado de una de las tuplas de puertos de origen reservadas de la VM
    • Dirección de destino: 203.0.113.1, sin cambios
    • Puerto de destino: 80, sin cambios
    • Protocolo: TCP, sin cambios
  • Cuando el servidor de actualización envía un paquete de respuesta, ese paquete llega a la puerta de enlace nat-gw-us-east con estos atributos:

    • Dirección IP de origen: 203.0.113.1, la dirección IP externa del servidor de actualización
    • Puerto de origen: 80, la respuesta HTTP del servidor de actualización
    • Dirección de destino: 192.0.2.50, que coincide con la dirección IP de origen de NAT original del paquete de la solicitud
    • Puerto de destino: 34022, que coincide con el puerto de origen del paquete de solicitud
    • Protocolo: TCP, sin cambios
  • La puerta de enlace nat-gw-us-east realiza la traducción de direcciones de red de destino (DNAT) en el paquete de respuesta y reescribe la dirección de destino y el puerto de destino del paquete de respuesta para que el paquete se entregue a la VM:

    • Dirección IP de origen: 203.0.113.1, sin cambios
    • Puerto de origen: 80, sin cambios
    • Dirección de destino: 10.240.0.4, la dirección IP interna principal de la VM
    • Puerto de destino: 24000, que coincide con el puerto de origen efímero original del paquete de solicitud
    • Protocolo: TCP, sin cambios

Especificaciones

Especificaciones generales:

Puedes configurar una puerta de enlace de NAT pública para proporcionar NAT a Internet para los paquetes enviados desde las siguientes direcciones:

  • La dirección IP interna principal de la interfaz de red de la VM, siempre y cuando la interfaz de red no tenga asignada una dirección IP externa. Si la interfaz de red tiene asignada una dirección IP externa, Google Cloud usará automáticamente NAT uno a uno en los paquetes cuyas fuentes coincidan con la dirección IP interna principal de la interfaz, porque la interfaz de red cumple con los requisitos de acceso a Internet de Google Cloud. La existencia de un la dirección IP externa en una interfaz siempre tiene prioridad realiza NAT uno a uno sin usar NAT pública.

  • Un rango de alias de IP asignado a la interfaz de red de la VM. Aunque la interfaz de red tenga asignada una dirección IP externa puedes configurar una puerta de enlace NAT pública para proporcionar NAT a los paquetes cuyas fuentes provienen de un rango de alias de IP de la interfaz. Una dirección IP externa en una interfaz nunca realiza NAT uno a uno para alias de direcciones IP.

  • Para los clústeres de Google Kubernetes Engine (GKE), la NAT pública puede proporcionar servicio incluso si el clúster tiene direcciones IP externas en ciertas circunstancias. Para obtener más información, consulta Interacción de GKE.

La NAT pública permite las conexiones salientes y las respuestas entrantes a esas conexiones. Cada puerta de enlace de NAT pública realiza NAT de origen en la salida y NAT de destino para los paquetes de respuesta establecidos.

La NAT pública no permite solicitudes de entrada no solicitadas desde Internet, incluso si las reglas de firewall permitieran esas solicitudes. Para obtener más información, consulta RFC aplicables.

Cada puerta de enlace NAT pública está asociada con una única VPC la red, la región y el Cloud Router. La puerta de enlace de NAT pública y el Cloud Router proporcionan un plano de control, ya que no están involucrados en el plano de datos, por lo que los paquetes no pasan por la puerta de enlace de NAT pública ni el Cloud Router.

Rutas y reglas de firewall

La NAT pública depende de las rutas estáticas personalizadas cuyos próximos saltos son la puerta de enlace de Internet predeterminada. Para usar completamente una puerta de enlace NAT pública, tu La red de nube privada virtual necesita una ruta predeterminada cuyo próximo salto sea el predeterminado puerta de enlace de Internet. Para obtener más información, consulta interacciones entre rutas.

La NAT pública no tiene ningún requisito de regla de Cloud NGFW. Las reglas de firewall se aplican directamente a las interfaces de red de las VMs de Compute Engine, no a las puertas de enlace NAT públicas.

No es necesario crear ninguna regla de firewall especial que permita conexiones a direcciones IP de NAT o desde ellas. Cuando una puerta de enlace NAT pública proporciona NAT a la interfaz de red de una VM, la salida aplicable las reglas de firewall se evalúan como paquetes para esa interfaz de red antes de NAT. Firewall de entrada las reglas de firewall se evalúan después de que NAT procesa los paquetes.

Aplicabilidad del rango de direcciones IP de la subred

Puedes configurar la puerta de enlace de NAT pública para proporcionar NAT para la dirección IP interna principal de la interfaz de red de la VM, los rangos de alias de IP o ambos. Para realizar esta configuración, selecciona los rangos de direcciones IP de la subred a los que debe aplicarse la puerta de enlace.

Puedes configurar una puerta de enlace de NAT pública para proporcionar NAT para lo siguiente:

  • Rangos de direcciones IP principales y secundarios de todas las subredes de la región. Una única puerta de enlace de NAT pública proporciona NAT para las direcciones IP internas principales y todos los rangos de alias de IP de las VMs aptas cuyas interfaces de red usan una subred en la región. Esta opción usa exactamente una puerta de enlace NAT por región.

  • Rangos de direcciones IP principales de todas las subredes de la región. Una única puerta de enlace de NAT pública proporciona NAT para las direcciones IP internas principales y los rangos de alias de IP de los rangos de direcciones IP principales de subred de las VMs aptas cuyas interfaces de red usan una subred en la región. Puedes crear puertas de enlace de NAT pública adicionales en la región para proporcionar NAT para los rangos de alias de IP de los rangos de direcciones IP secundarios de la subred de las VMs aptas.

  • Lista de subredes personalizada. Una sola puerta de enlace de NAT pública proporciona NAT para las direcciones IP internas principales y todos los rangos de alias de IP de las VMs aptas cuyas interfaces de red usan una subred de una lista de subredes especificadas.

  • Rangos de direcciones IP de subred personalizados. Puedes crear tantas NAT públicas de enlace, según sea necesario, sujetas a las cuotas de NAT públicas y límites. Tú eliges qué rangos de direcciones IP principales o secundarios de la subred se deben entregar por cada puerta de enlace.

Varias puertas de enlace NAT públicas

Puedes tener varias puertas de enlace de NAT pública en la misma región de una red de VPC si se cumple una de las siguientes condiciones:

  • Cada puerta de enlace está configurada para una subred diferente.

  • Dentro de una sola subred, cada puerta de enlace está configurada para un rango de direcciones IP diferente. Puedes asignar una puerta de enlace NAT pública a una subred o un rango de direcciones IP específicos con una asignación personalizada de Cloud NAT.

Siempre que tus puertas de enlace NAT asignadas no se superpongan, puedes crear tantas puertas de enlace de NAT públicas como sea necesario, sujetas a las cuotas y límites de NAT pública. Para obtener más información, consulta Limitaciones de las puertas de enlace de Cloud NAT.

Ancho de banda

El uso de una puerta de enlace de NAT pública no modifica la cantidad de ancho de banda de salida o de entrada que puede usar una VM. Para las especificaciones de ancho de banda, que varían según tipo de máquina, consulta Ancho de banda de red en la documentación de Compute Engine.

VM con interfaces de red múltiples

Si configuras una VM para que tenga varias redes interfaces, cada interfaz debe estar en un una red de VPC independiente. En consecuencia, se cumple lo siguiente:

  • R La puerta de enlace NAT pública solo puede aplicarse a una única interfaz de red de una VM. Las puertas de enlace de NAT públicas separadas pueden proporcionar NAT a la misma en la que cada puerta de enlace se aplica a una interfaz independiente.
  • Una interfaz de una VM con varias interfaces de red puede tener una IP externa dirección IP, lo que hace que esa interfaz no sea apta para la NAT pública, mientras que otro de sus las interfaces pueden ser aptas para NAT si no tienen una IP externa y configuraste una puerta de enlace de NAT pública para aplicar un rango de direcciones IP de subred adecuado.

Direcciones IP y puertos NAT

Cuando creas una puerta de enlace NAT pública, puedes elegir que se asignan automáticamente direcciones IP externas regionales. Como alternativa, puedes asignar de forma manual una cantidad fija de direcciones IP externas regionales a la puerta de enlace.

Para una puerta de enlace de NAT pública con dirección IP de NAT automática de la asignación de costos, considera lo siguiente:

  • Puedes seleccionar los niveles de servicio de red (nivel Premium o Estándar) desde los que la puerta de enlace de NAT pública asigna las direcciones IP.
  • Cuando cambias el nivel de una puerta de enlace NAT pública direcciones IP de NAT asignadas, Google Cloud libera todas las direcciones IP asignadas para esa de la puerta de enlace y retira todas las asignaciones de puertos.

    Se asigna automáticamente un nuevo conjunto de direcciones IP del nivel recién seleccionado, y se proporcionan nuevas asignaciones de puertos a todos los extremos.

Para una puerta de enlace de NAT pública determinada, también puedes asignar direcciones IP de forma manual desde el nivel Premium, el nivel Estándar o ambos, sujetas a ciertas condiciones.

Para obtener detalles sobre la asignación de direcciones IP de NAT, consulta Direcciones IP públicas de NAT.

Puedes configurar la cantidad de puertos de origen que cada NAT pública reserva de puerta de enlace en cada VM para la que debe proporcionar servicios de NAT. Puedes configurar la asignación de puertos estáticos en la que se reserva la misma cantidad de puertos para cada VM puerto dinámico de asignación, en la que la cantidad de espacios pueden variar entre los límites mínimo y máximo que especifiques.

Las VM para las que se debe proporcionar NAT están determinadas por los rangos de direcciones IP de la subred que la puerta de enlace está configurada para entregar.

Para obtener más información sobre los puertos, consulta Puertos.

RFC aplicables

NAT pública es compatible con Endpoint-Independent Asignación y filtrado dependiente del extremo como se define en RFC 5,128. Puedes habilitar o inhabilitar el mapeo independiente de extremos. De forma predeterminada, la asignación independiente de extremos está inhabilitado cuando creas una puerta de enlace NAT.

Mapeo independiente de extremos significa que, si una VM envía paquetes desde una dirección IP interna y un par de puertos a varios destinos, la puerta de enlace realizará un mapeo de todos esos paquetes a la misma dirección IP de NAT y par de puertos, independientemente del destino de los paquetes. Para conocer los detalles y los efectos del mapeo independiente de extremos, consulta Mapeo independiente de extremos y reutilización de puertos simultáneos.

Filtro dependiente del extremo significa que los paquetes de respuesta de Internet solo pueden ingresar si provienen de una dirección IP y un puerto al que una VM ya envió paquetes. El filtrado depende del extremo, independientemente del tipo de mapeo de extremos. Esta función está habilitada siempre y el usuario no puede configurarla.

Para obtener más información sobre la relación entre puertos y conexiones, consulta Puertos y conexiones y el ejemplo de flujo de NAT.

La NAT pública es una NAT de cono con restricción de puerto, según se define. en RFC 3489.

Recorrido de NAT

Si el mapeo independiente de extremos está habilitado, la NAT pública es compatible con protocolos transversales de NAT comunes como STUN y TURN si implementar tus propios servidores STUN o TURN:

  • STUN (Session Transversal Utilities for NAT, RFC 5389) permite la comunicación directa entre VM detrás de NAT una vez que se establece un canal de comunicación.
  • TURN (Recorrido mediante relés en torno a NAT, RFC 5766) permite la comunicación entre VM detrás de NAT a través de un tercer servidor en el que ese servidor tiene una dirección IP externa. Cada VM se conecta a la dirección IP externa del servidor y ese servidor retransmite la comunicación entre las dos VM. TURN es más robusto, pero consume más ancho de banda y recursos.

Tiempo de espera de NAT

La NAT pública establece tiempos de espera para las conexiones de protocolo. Para obtener información sobre estos tiempos de espera y sus valores predeterminados, consulta Tiempos de espera de NAT.

¿Qué sigue?