NAT pública

La NAT pública permite que las instancias de máquina virtual (VM) de Google Cloud que no tienen direcciones IP públicas se comuniquen con Internet a través de un conjunto de direcciones IP públicas compartidas. Cloud NAT usa una puerta de enlace de NAT pública que asigna un conjunto de direcciones IP y puertos de origen externos a cada VM que usa la puerta de enlace para crear conexiones salientes a Internet.

Configuración y flujo de trabajo básicos de NAT pública

En el siguiente diagrama, se muestra una configuración básica de NAT pública:

Ejemplo de traducción de NAT pública.
Ejemplo de traducción de NAT pública (haz clic para ampliar).

En este ejemplo:

  • La puerta de enlace nat-gw-us-east está configurada para aplicarse al rango de direcciones IP principal de subnet-1 en la región us-east1. Una VM cuya interfaz de red no tiene una dirección IP externa puede enviar tráfico a Internet mediante su dirección IP interna principal o un rango de alias de IP del rango de direcciones IP principal de subnet-1, 10.240.0.0/16.

  • Una VM cuya interfaz de red no tiene una dirección IP externa y cuya dirección IP interna principal se encuentra en subnet-2 no puede acceder a Internet, porque ninguna puerta de enlace de NAT pública se aplica a rangos de direcciones IP de esa subred.

  • La puerta de enlace nat-gw-eu está configurada para aplicarse al rango de direcciones IP principal de subnet-3 en la región europe-west1. Una VM cuya interfaz de red no tiene una dirección IP externa puede enviar tráfico a Internet mediante su dirección IP interna principal o un rango de alias de IP del rango de direcciones IP principal de subnet-3, 192.168.1.0/24.

Ejemplo de flujo de trabajo de NAT pública

En el diagrama anterior, una VM con la dirección IP interna principal 10.240.0.4, sin dirección IP externa, debe descargar una actualización desde la dirección IP externa 203.0.113.1. En el diagrama, la puerta de enlace nat-gw-us-east se configura de la siguiente manera:

  • Cantidad mínima de puertos por instancia: 64
  • Se asignaron de forma manual dos direcciones IP de traducción de direcciones de red (NAT): 192.0.2.50 y 192.0.2.60
  • Se proporcionó NAT para el rango de direcciones IP principal de subnet-1

La NAT pública sigue el procedimiento de reserva de puertos para reservar la siguiente dirección IP de origen de NAT y las tuplas de puerto de origen para cada una de las VMs de la red. Por ejemplo, la puerta de enlace de NAT pública reserva 64 puertos de origen para la VM con la dirección IP interna 10.240.0.4. La dirección IP de NAT 192.0.2.50 tiene 64 puertos sin reservar, por lo que la puerta de enlace reserva el siguiente conjunto de 64 direcciones IP de origen de NAT y de tuplas de puerto de origen para esa VM:

  • Desde 192.0.2.50:34000 hasta 192.0.2.50:34063

Sucede lo siguiente cuando la VM envía un paquete al servidor de actualización 203.0.113.1 en el puerto de destino 80 con el protocolo TCP:

  • La VM envía un paquete de solicitud con estos atributos:

    • Dirección IP de origen: 10.240.0.4, la dirección IP interna principal de la VM
    • Puerto de origen: 24000, el puerto de origen efímero que elige el sistema operativo de la VM
    • Dirección de destino: 203.0.113.1, la dirección IP externa del servidor de actualizaciones
    • Puerto de destino: 80, el puerto de destino para el tráfico HTTP al servidor de actualización
    • Protocolo: TCP
  • La puerta de enlace nat-gw-us-east realiza la traducción de direcciones de red de origen (SNAT) en la salida y vuelve a escribir la dirección IP de origen de NAT y el puerto de origen del paquete de solicitud. El paquete modificado se envía a Internet si la red de nube privada virtual (VPC) tiene una ruta para el destino 203.0.113.1 cuyo siguiente salto es la puerta de enlace de Internet predeterminada. Por lo general, una ruta predeterminada cumple con este requisito.

    • Dirección IP de origen de NAT: 192.0.2.50, de una de las direcciones IP de origen de NAT y las tuplas de puerto de origen reservadas de la VM
    • Puerto de origen: 34022, un puerto de origen no utilizado de una de las tuplas de puertos de origen reservadas de la VM
    • Dirección de destino: 203.0.113.1, sin cambios
    • Puerto de destino: 80, sin cambios
    • Protocolo: TCP, sin cambios
  • Cuando el servidor de actualización envía un paquete de respuesta, ese paquete llega a la puerta de enlace nat-gw-us-east con estos atributos:

    • Dirección IP de origen: 203.0.113.1, la dirección IP externa del servidor de actualización
    • Puerto de origen: 80, la respuesta HTTP del servidor de actualización
    • Dirección de destino: 192.0.2.50, que coincide con la dirección IP de origen de NAT original del paquete de la solicitud
    • Puerto de destino: 34022, que coincide con el puerto de origen del paquete de solicitud
    • Protocolo: TCP, sin cambios
  • La puerta de enlace nat-gw-us-east realiza la traducción de direcciones de red de destino (DNAT) en el paquete de respuesta y reescribe la dirección de destino y el puerto de destino del paquete de respuesta para que el paquete se entregue a la VM:

    • Dirección IP de origen: 203.0.113.1, sin cambios
    • Puerto de origen: 80, sin cambios
    • Dirección de destino: 10.240.0.4, la dirección IP interna principal de la VM
    • Puerto de destino: 24000, que coincide con el puerto de origen efímero original del paquete de solicitud
    • Protocolo: TCP, sin cambios

Especificaciones

Especificaciones generales:

Puedes configurar una puerta de enlace de NAT pública para proporcionar NAT a Internet para los paquetes enviados desde las siguientes direcciones:

  • La dirección IP interna principal de la interfaz de red de la VM, siempre y cuando la interfaz de red no tenga asignada una dirección IP externa. Si la interfaz de red tiene asignada una dirección IP externa, Google Cloud usará automáticamente NAT uno a uno en los paquetes cuyas fuentes coincidan con la dirección IP interna principal de la interfaz, porque la interfaz de red cumple con los requisitos de acceso a Internet de Google Cloud. La existencia de una dirección IP externa en una interfaz siempre tiene prioridad y siempre realiza NAT uno a uno, sin usar NAT público.

  • Un rango de alias de IP asignado a la interfaz de red de la VM. Incluso si la interfaz de red tiene asignada una dirección IP externa, puedes configurar una puerta de enlace de NAT pública para paquetes cuyas fuentes provengan de un rango de alias de IP de la interfaz. Una dirección IP externa en una interfaz nunca realiza NAT uno a uno para alias de direcciones IP.

  • Para los clústeres de Google Kubernetes Engine (GKE), Public NAT puede proporcionar un servicio incluso si el clúster tiene direcciones IP externas en ciertas circunstancias. Para obtener más información, consulta Interacción de GKE.

La NAT pública permite las conexiones salientes y las respuestas entrantes a esas conexiones. Cada puerta de enlace de NAT pública realiza NAT de origen en la salida y NAT de destino para los paquetes de respuesta establecidos.

La NAT pública no permite solicitudes de entrada no solicitadas desde Internet, incluso si las reglas de firewall permitieran esas solicitudes. Para obtener más información, consulta RFC aplicables.

Cada puerta de enlace de NAT pública está asociada con una sola red de VPC, una región y un Cloud Router. La puerta de enlace de NAT pública y el Cloud Router proporcionan un plano de control, ya que no están involucrados en el plano de datos, por lo que los paquetes no pasan por la puerta de enlace de NAT pública ni el Cloud Router.

Rutas y reglas de firewall

La NAT pública depende de las rutas estáticas personalizadas cuyos próximos saltos son la puerta de enlace de Internet predeterminada. Para usar una puerta de enlace de NAT pública por completo, tu red de Virtual Private Cloud necesita una ruta predeterminada cuyo siguiente salto sea la puerta de enlace de Internet predeterminada. Para obtener más información, consulta interacciones entre rutas.

La NAT pública no tiene ningún requisito de regla de Cloud NGFW. Las reglas de firewall se aplican directamente a las interfaces de red de las VMs de Compute Engine, no a las puertas de enlace NAT públicas.

No es necesario crear ninguna regla de firewall especial que permita conexiones a direcciones IP de NAT o desde ellas. Cuando una puerta de enlace de NAT pública proporciona NAT para la interfaz de red de una VM, las reglas de firewall de salida aplicables se evalúan como paquetes de esa interfaz de red antes de NAT. Las reglas de firewall de entrada se evalúan después de que NAT haya procesado los paquetes.

Aplicabilidad del rango de direcciones IP de la subred

Puedes configurar la puerta de enlace de NAT pública para proporcionar NAT para la dirección IP interna principal de la interfaz de red de la VM, los rangos de alias de IP o ambos. Para realizar esta configuración, selecciona los rangos de direcciones IP de la subred a los que debe aplicarse la puerta de enlace.

Puedes configurar una puerta de enlace de NAT pública para proporcionar NAT para lo siguiente:

  • Rangos de direcciones IP principales y secundarios de todas las subredes de la región. Una única puerta de enlace de NAT pública proporciona NAT para las direcciones IP internas principales y todos los rangos de alias de IP de las VMs aptas cuyas interfaces de red usan una subred en la región. Esta opción usa exactamente una puerta de enlace NAT por región.

  • Rangos de direcciones IP principales de todas las subredes de la región. Una única puerta de enlace de NAT pública proporciona NAT para las direcciones IP internas principales y los rangos de alias de IP de los rangos de direcciones IP principales de subred de las VMs aptas cuyas interfaces de red usan una subred en la región. Puedes crear puertas de enlace de NAT pública adicionales en la región para proporcionar NAT para los rangos de alias de IP de los rangos de direcciones IP secundarios de la subred de las VMs aptas.

  • Lista de subredes personalizadas. Una sola puerta de enlace de NAT pública proporciona NAT para las direcciones IP internas principales y todos los rangos de alias de IP de las VMs aptas cuyas interfaces de red usan una subred de una lista de subredes especificadas.

  • Rangos de direcciones IP de subred personalizados. Puedes crear tantas puertas de enlace de NAT pública como sea necesario, sujetas a los límites y cuotas de NAT pública. Tú eliges qué rangos de direcciones IP principales o secundarios de la subred se deben entregar por cada puerta de enlace.

Varias puertas de enlace de NAT públicas

Puedes tener varias puertas de enlace de NAT pública en la misma región de una red de VPC si se cumple una de las siguientes condiciones:

  • Cada puerta de enlace está configurada para una subred diferente.

  • Dentro de una sola subred, cada puerta de enlace está configurada para un rango de direcciones IP diferente. Puedes asignar una puerta de enlace NAT pública a una subred o un rango de direcciones IP específicos mediante una asignación personalizada de Cloud NAT.

Siempre que tus puertas de enlace NAT asignadas no se superpongan, puedes crear tantas puertas de enlace de NAT públicas como sea necesario, sujetas a las cuotas y los límites de NAT pública. Para obtener más información, consulta Limitaciones de las puertas de enlace de Cloud NAT.

Ancho de banda

El uso de una puerta de enlace de NAT pública no modifica la cantidad de ancho de banda de salida o de entrada que puede usar una VM. Para conocer las especificaciones de ancho de banda, que varían según el tipo de máquina, consulta Ancho de banda de red en la documentación de Compute Engine.

VM con interfaces de red múltiples

Si configuras una VM para que tenga varias interfaces de red, cada interfaz debe estar en una red de VPC independiente. En consecuencia, se cumple lo siguiente:

  • Una puerta de enlace de NAT pública solo se puede aplicar a una sola interfaz de red de una VM. Las puertas de enlace independientes de NAT pública pueden proporcionar NAT a la misma VM, donde cada puerta de enlace se aplica a una interfaz independiente.
  • Una interfaz de una VM con varias interfaces de red puede tener una dirección IP externa, lo que hace que esa interfaz no sea apta para la NAT pública, mientras que otra de sus interfaces puede ser apta para la NAT si no tiene una dirección IP externa y configuraste una puerta de enlace de NAT pública para aplicarla al rango de direcciones IP de la subred adecuada.

Direcciones IP y puertos NAT

Cuando creas una puerta de enlace de NAT pública, puedes elegir que la puerta de enlace asigne direcciones IP externas regionales automáticamente. Como alternativa, puedes asignar de forma manual una cantidad fija de direcciones IP externas regionales a la puerta de enlace.

Para una puerta de enlace de NAT pública con asignación automática de direcciones IP de NAT, ten en cuenta lo siguiente:

  • Puedes seleccionar los niveles de servicio de red (nivel Premium o Estándar) desde los que la puerta de enlace de NAT pública asigna las direcciones IP.
  • Cuando cambias el nivel de una puerta de enlace de NAT pública que tiene direcciones IP de NAT asignadas automáticamente, Google Cloud libera todas las direcciones IP asignadas para esa puerta de enlace y retira todas las asignaciones de puertos.

    Se asigna automáticamente un nuevo conjunto de direcciones IP del nivel recién seleccionado, y se proporcionan nuevas asignaciones de puertos a todos los extremos.

Para una puerta de enlace de NAT pública determinada, también puedes asignar direcciones IP de forma manual desde el nivel Premium, el nivel Estándar o ambos, sujetas a ciertas condiciones.

Para obtener detalles sobre la asignación de direcciones IP de NAT, consulta Direcciones IP públicas de NAT.

Puedes configurar la cantidad de puertos de origen que cada puerta de enlace de NAT pública reserva en cada VM para la que debe proporcionar servicios de NAT. Puedes configurar la asignación de puerto estático, en la que la misma cantidad de puertos está reservada para cada VM, o la asignación de puerto dinámica, en la que la cantidad de puertos reservados puede variar entre los límites mínimos y máximos que especifiques.

Las VM para las que se debe proporcionar NAT están determinadas por los rangos de direcciones IP de la subred que la puerta de enlace está configurada para entregar.

Para obtener más información sobre los puertos, consulta Puertos.

RFC aplicables

La NAT pública admite el mapeo independiente de extremos y el filtro dependiente del extremo, según RFC 5128. Puedes habilitar o inhabilitar el mapeo independiente de extremos. De forma predeterminada, la asignación independiente de extremos está inhabilitado cuando creas una puerta de enlace NAT.

Mapeo independiente de extremos significa que, si una VM envía paquetes desde una dirección IP interna y un par de puertos a varios destinos, la puerta de enlace realizará un mapeo de todos esos paquetes a la misma dirección IP de NAT y par de puertos, independientemente del destino de los paquetes. Para conocer los detalles y los efectos del mapeo independiente de extremos, consulta Mapeo independiente de extremos y reutilización de puertos simultáneos.

Filtro dependiente del extremo significa que los paquetes de respuesta de Internet solo pueden ingresar si provienen de una dirección IP y un puerto al que una VM ya envió paquetes. El filtrado depende del extremo, independientemente del tipo de mapeo de extremos. Esta función está habilitada siempre y el usuario no puede configurarla.

Para obtener más información sobre la relación entre puertos y conexiones, consulta Puertos y conexiones y el ejemplo de flujo de NAT.

La NAT pública es un NAT de cono con restricción de puerto, como se define en RFC 3489.

Recorrido de NAT

Si el mapeo independiente de extremos está habilitado, la NAT pública es compatible con los protocolos de transferencia de NAT comunes, como STUN y TURN, si implementas tus propios servidores STUN o TURN:

  • STUN (Session Transversal Utilities for NAT, RFC 5389) permite la comunicación directa entre VM detrás de NAT una vez que se establece un canal de comunicación.
  • TURN (Recorrido mediante relés en torno a NAT, RFC 5766) permite la comunicación entre VM detrás de NAT a través de un tercer servidor en el que ese servidor tiene una dirección IP externa. Cada VM se conecta a la dirección IP externa del servidor y ese servidor retransmite la comunicación entre las dos VM. TURN es más robusto, pero consume más ancho de banda y recursos.

Tiempo de espera de NAT

La NAT pública establece tiempos de espera para las conexiones de protocolo. Para obtener información sobre estos tiempos de espera y sus valores predeterminados, consulta Tiempos de espera de NAT.

¿Qué sigue?