Se usó la API de Cloud Translation para traducir esta página.

Configura y administra la traducción de direcciones de red con NAT pública

En esta página, se describe cómo configurar y administrar la traducción de direcciones de red (NAT) con NAT pública. Antes de configurar la NAT pública, consulta la descripción general de NAT pública.

Limitaciones

Si cambias el nivel de red de las direcciones IP asignadas automáticamente para una puerta de enlace de Cloud NAT, todas las conexiones en las direcciones IP anteriores se cierran de inmediato.
Si usas la asignación manual de direcciones IP de NAT y cambias las direcciones IP que se usan para Cloud NAT, todas las conexiones en las direcciones IP anteriores se cierran de inmediato. Para evitar esto, consulta Desvía las direcciones IP externas asociadas con NAT.
Si configuras una puerta de enlace de Cloud NAT con asignación de puerto estática y reduces los puertos mínimos por instancia de máquina virtual (VM), es posible que se rompan las conexiones NAT establecidas. Para obtener más información, consulta Reduce los puertos por VM.
Si configuras una puerta de enlace de Cloud NAT con asignación dinámica de puertos y realizas cambios adicionales en la configuración, es posible que las conexiones NAT establecidas se rompan. Cuando la configuración cambia, es posible que la cantidad de puertos asignados actualmente a cada VM se restablezca de forma temporal a la cantidad mínima configurada. Para obtener más información, consulta Reduce los puertos por VM.
Si configuras una puerta de enlace NAT de Cloud con asignación dinámica de puertos y, luego, desactivas la asignación dinámica de puertos, todas las conexiones de VM que usan la puerta de enlace NAT se cierran. Para obtener más información, consulta Método de asignación de puertos del switch.
Si el mapeo independiente de extremos está activado, no puedes configurar la asignación dinámica de puertos ni las reglas de NAT.
Cloud NAT no admite fragmentos de IP.
Una configuración de Cloud NAT está vinculada a una red de nube privada virtual (VPC). Por lo tanto, la configuración se aplica a todos los recursos que pertenecen a las subredes de esa red. No puedes elegir VMs específicas que se entreguen a través de una puerta de enlace de Cloud NAT.
Cloud NAT admite la traducción de IPv6 a IPv4 (versión preliminar) para instancias de VM de Compute Engine. Si deseas configurar o administrar esta opción con Google Cloud CLI, debes usar la versión beta de los comandos gcloud compute routers nats (gcloud beta compute routers nats) para las siguientes acciones:
- Para crear y administrar una puerta de enlace de Cloud NAT que traduzca IPv6 a IPv4
- Para crear y administrar una puerta de enlace de Cloud NAT que use el mismo Cloud Router que la puerta de enlace que traduce IPv6 a IPv4
Para actualizar el Cloud Router, usa el comando gcloud beta compute routers update.
Si deseas configurar la traducción de IPv4 a IPv4 y de IPv6 a IPv4 para una subred de pila doble en Cloud NAT, debes usar el mismo Cloud Router para ambos tipos de traducción.
Cloud NAT admite la traducción de IPv6 a IPv4 (versión preliminar) solo para las siguientes instancias de VM:
- Todas las instancias de VM de segunda generación o anteriores
- Instancias de VM M3
Para obtener más información, consulta la terminología de Compute Engine.

Antes de comenzar

Completa las siguientes tareas antes de configurar la NAT pública.

Obtén permisos de IAM

El rol de Administrador de red de Compute (roles/compute.networkAdmin) incluye los permisos que necesitas para configurar la NAT pública.

Prepara el entorno

Según si deseas usar la consola de Google Cloud o gcloud CLI para configurar la NAT pública, configura los siguientes recursos en Google Cloud.

Console

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine API.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine API.

Enable the API

gcloud

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Create or select a Google Cloud project.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine API:

gcloud services enable compute.googleapis.com

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Create or select a Google Cloud project.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine API:

gcloud services enable compute.googleapis.com

Configura DNS64

En el caso de las instancias de VM de Compute Engine, la NAT pública admite la traducción de IPv6 a IPv4 o NAT64. Debes configurar DNS64 si quieres usar NAT64. Para configurar DNS64 en Cloud DNS, sigue las instrucciones que se indican en Configura DNS64.

Configura NAT pública

Para configurar la NAT pública, crea una puerta de enlace de Cloud NAT en la red de VPC de origen. Cada puerta de enlace está asociada con una sola red de VPC, una región y un Cloud Router. Cuando creas una puerta de enlace de Cloud NAT, puedes configurar la siguiente configuración.

Configuración	Opciones compatibles	Descripción
Tipo de extremo de origen	Instancias de VM, nodos de GKE, sin servidores Balanceadores de cargas de proxy administrados	De forma predeterminada, la NAT pública proporciona servicios de NAT a las instancias de VM, los nodos de GKE y el tráfico sin servidores. Para crear una puerta de enlace de Cloud NAT para estos recursos, completa los pasos que se indican en la siguiente sección. Para crear una puerta de enlace de Cloud NAT para un grupo de extremos de red de Internet regional (NEG), consulta “Configura una puerta de enlace de Cloud NAT” para lo siguiente: Balanceador de cargas de aplicaciones externo regional Balanceador de cargas de aplicaciones interno regional Balanceador de cargas de red del proxy externo regional Balanceador de cargas de red del proxy interno regional Nota: La NAT pública admite la traducción de IPv6 a IPv4 (versión preliminar) para instancias de VM de Compute Engine. En el caso de los nodos de GKE, el tráfico sin servidor y los NEG de Internet regionales, la NAT pública solo traduce el tráfico IPv4. Para obtener una lista completa de los Google Cloud recursos que admite Cloud NAT, consulta la descripción general de Cloud NAT.
Versión de IP de origen	Rangos de subredes IPv4 Rangos de subredes IPv6 Rangos de subredes IPv4 e IPv6	La NAT pública admite la traducción de IPv4 a IPv4 (predeterminada) y de IPv6 a IPv4 (versión preliminar). Si quieres configurar NAT64, también debes configurar DNS64. Si configuras rangos de subredes IPv4, las instancias de VM solo IPv4 y las instancias de VM de pila doble (que usan sus direcciones IPv4) en subredes solo IPv4 y de pila doble pueden comunicarse con destinos IPv4 en Internet. Si configuras rangos de subredes IPv6 (versión preliminar), las instancias de VM solo IPv6 en subredes solo IPv6 y de pila doble pueden comunicarse con destinos IPv4 en Internet. Si configuras rangos de subredes IPv4 e IPv6 (versión preliminar), se aplica lo siguiente: Las instancias de VM solo IPv4 y las instancias de VM de pila doble (que usan sus direcciones IPv4) pueden comunicarse con destinos IPv4 en Internet. Las instancias de VM de pila doble no pueden usar sus direcciones IPv6 para comunicarse con destinos de IPv4 en Internet. Las instancias de VM solo IPv6 pueden comunicarse con destinos IPv4 en Internet.
Subredes de origen	Para el tráfico IPv4, haz lo siguiente: Rangos primarios y secundarios para todas las subredes Rangos primarios para todas las subredes Personalizado Para el tráfico IPv6, haz lo siguiente: Todas las subredes Personalizado	La NAT pública admite los siguientes rangos de subredes en la región de la red de VPC que especifiques: Para el tráfico IPv4: rangos principales y secundarios. Puedes restringir qué subredes y rangos de subredes pueden usar la NAT. Para el tráfico IPv6: rangos internos y externos. Puedes restringir qué subredes pueden usar NAT.
Asignación de direcciones IP	Automática (recomendada) Manual	De forma predeterminada, la NAT pública usa la asignación automática de direcciones IP de NAT. Esta configuración asigna automáticamente las direcciones IP externas necesarias para proporcionar servicios NAT a una región. Las instancias de VM sin direcciones IP externas de las subredes de la región obtienen acceso a Internet a través de NAT. Cuando usas la asignación automática de direcciones IP de NAT, Google Cloud reserva las direcciones IP en tu proyecto. Estas direcciones se descuentan de tus cuotas de direcciones IP estáticas del proyecto. Puedes asignar manualmente direcciones IP de NAT para una puerta de enlace de Cloud NAT. Si eliges la asignación manual, asegúrate de asignar suficientes direcciones IP para evitar los paquetes descartados. Para obtener más información, consulta Direcciones IP NAT públicas.
Nivel de red	Premium Standard	La NAT pública te permite especificar los niveles de servicio de red desde los que la puerta de enlace de Cloud NAT asigna direcciones IP externas. De forma predeterminada, el nivel de red se establece en el nivel actual a nivel del proyecto. Cuando creas una puerta de enlace de Cloud NAT con la asignación automática de direcciones IP de NAT, puedes asignar direcciones IP de NAT del nivel Premium o Estándar. Cuando creas una puerta de enlace de Cloud NAT con asignación manual de direcciones IP de NAT, puedes asignar direcciones IP de NAT de forma manual desde el nivel Premium, el nivel Estándar o ambos, sujetas a ciertas condiciones.
Configuración avanzada	Asignación dinámica de puertos Mapeo independiente de extremo Logging Tiempo de espera de NAT	De forma predeterminada, la NAT pública usa la asignación de puertos estáticos, lo que significa que a cada VM se le asigna la misma cantidad de puertos. Puedes configurar la asignación dinámica de puertos con la asignación automática o manual de direcciones IP de NAT. El uso de la asignación dinámica de puertos permite que la puerta de enlace de Cloud NAT asigne diferentes cantidades de puertos a cada VM en función del uso. No puedes habilitar el mapeo independiente de extremos si tu puerta de enlace de Cloud NAT usa reglas de NAT o la asignación dinámica de puertos. El registro está inhabilitado de forma predeterminada. Para obtener información sobre los tiempos de espera de NAT y sus valores predeterminados, consulta Tiempos de espera de NAT.

Crea una puerta de enlace de Cloud NAT

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en Comenzar o Crear la puerta de enlace de Cloud NAT.
Nota: Si esta es la primera puerta de enlace de Cloud NAT que crearás, haz clic en Comenzar. Si ya tienes puertas de enlace existentes, en lugar de Comenzar, Google Cloud muestra el botón Crear puerta de enlace de Cloud NAT. Para crear otra puerta de enlace, haz clic en Crear puerta de enlace de Cloud NAT.
En el campo Nombre de la puerta de enlace, ingresa un nombre para la puerta de enlace.
Para Tipo de NAT, selecciona Pública.
En la sección Seleccionar Cloud Router, configura lo siguiente:
1. En el campo Red, selecciona la red de VPC en la que deseas crear la puerta de enlace.
2. En el campo Región, establece la región de la puerta de enlace.
3. En el campo Cloud Router, selecciona o crea un Cloud Router en la región.
En la sección Asignación de NAT de Cloud, para Tipo de extremo de origen, asegúrate de que esté seleccionada la opción Instancias de VM, nodos de GKE, sin servidores.
Para configurar las subredes de origen, selecciona una de las siguientes opciones:
- Para usar Cloud NAT para todos los rangos de IP principales y secundarios de todas las subredes de la región, selecciona Rangos de IP principales y secundarios de todas las subredes.
- Para usar Cloud NAT solo para rangos de IP principales, selecciona Rangos de IP principales para todas las subredes.
- Para restringir qué rangos de IP de subred pueden usar Cloud NAT, selecciona Personalizado y haz lo siguiente:
  1. En la sección Subredes, selecciona una subred.
  2. En la lista Rangos de IP, selecciona los rangos de IP de la subred que deseas incluir y haz clic en Aceptar.
  3. Si deseas especificar rangos adicionales, haz clic en Agregar subred y rango de IP y agrega otra subred.
Para configurar el tipo de asignación de direcciones IP de NAT y el nivel de red, selecciona una de las siguientes opciones:
- Para usar la asignación automática de direcciones IP de NAT, haz lo siguiente:
  1. En la lista Direcciones IP de Cloud NAT, selecciona Automáticas (recomendado).
  2. En Nivel de servicio de red, elige Premium o Estándar.
- Para usar la asignación manual de direcciones IP de NAT, haz lo siguiente:
  1. En la lista Direcciones IP de Cloud NAT, selecciona Manuales.
  2. En Nivel de servicio de red, elige Premium o Estándar.
  3. Selecciona o crea una dirección IP externa reservada estática para usar en NAT.
    
    Nota: Solo puedes seleccionar o crear direcciones IP según el nivel que seleccionaste en el paso anterior.
  4. Opcional: Si quieres especificar direcciones IP adicionales, haz clic en Agregar dirección IP y, luego, selecciona o crea una dirección IP externa reservada estática adicional.
  5. Opcional: Si deseas crear reglas de NAT personalizadas, configura la sección Cloud NAT rules. Para obtener instrucciones, consulta Crea reglas de NAT.
Opcional: Ajusta cualquiera de los siguientes parámetros de configuración en la sección Configuraciones avanzadas:
- Si se debe configurar el registro. De forma predeterminada, está seleccionada la opción No logging.
- Si se debe cambiar la forma en que Cloud NAT asigna puertos. De forma predeterminada, la opción Habilitar la asignación dinámica de puertos está deseleccionada. Para la asignación de puertos estáticos, el campo Cantidad mínima de puertos por instancia de VM se establece en 64.
  - Para actualizar la cantidad mínima de puertos por instancia de VM para la asignación de puertos estáticos, especifica un valor en el campo Cantidad mínima de puertos por instancia de VM. Este valor se puede establecer entre 2 y 57344.
  - Para configurar la asignación dinámica de puertos, selecciona Habilitar la asignación dinámica de puertos y elige un valor para el campo Cantidad mínima de puertos por instancia de VM (el valor predeterminado es 32) y el campo Cantidad máxima de puertos por instancia de VM (el valor predeterminado es 65536).
- Indica si se deben actualizar los tiempos de espera de NAT para las conexiones de protocolo. Para obtener información sobre estos tiempos de espera y sus valores predeterminados, consulta Tiempos de espera de NAT.
Haz clic en Crear.

gcloud

Para crear una puerta de enlace de Cloud NAT, usa el comando gcloud compute routers nats create. Puedes crear una puerta de enlace de Cloud NAT con todas sus opciones de configuración establecidas en sus valores predeterminados o personalizar su configuración.

Cómo crear una puerta de enlace de Cloud NAT con la configuración predeterminada
Cómo personalizar la configuración de una puerta de enlace de Cloud NAT

Crea una puerta de enlace de Cloud NAT con la configuración predeterminada

Crea un Cloud Router en la región en la que deseas usar la puerta de enlace de Cloud NAT. Necesitas este Cloud Router para crear tu puerta de enlace de Cloud NAT.
Para crear la puerta de enlace de Cloud NAT, ejecuta uno de los siguientes comandos, según la versión de IP de los rangos de subred de origen para los que configuras NAT.

Nota: Configura NAT para rangos de subredes IPv6 solo si configuras NAT64 para instancias de VM de Compute Engine. En el caso de los nodos de GKE, el tráfico sin servidores y los NEG de Internet regionales, la NAT pública solo traduce el tráfico IPv4.
- Configura Cloud NAT para rangos de subred de origen IPv4 en subredes de solo IPv4 y de pila doble:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips \
    --nat-all-subnet-ip-ranges
```
  Esta configuración habilita NAT para todos los rangos de subredes IPv4 de la región.
- Configura Cloud NAT para rangos de subredes de origen IPv6 en subredes de solo IPv6 y de pila doble (versión preliminar):
```
gcloud beta compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips \
    --nat64-all-v6-subnet-ip-ranges
```
  Esta configuración habilita NAT para todos los rangos de subredes IPv6 de la región.
- Configura Cloud NAT para los rangos de subredes de origen IPv4 e IPv6 en subredes solo IPv4, de pila doble y solo IPv6 (versión preliminar):
```
gcloud beta compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips \
    --nat-all-subnet-ip-ranges \
    --nat64-all-v6-subnet-ip-ranges
```
  Esta configuración habilita NAT para todos los rangos de subredes IPv4 y IPv6 de la región.
Reemplaza lo siguiente:
- NAT_CONFIG: Es un nombre para tu configuración de NAT.
- NAT_ROUTER: Es el nombre del Cloud Router que creaste en el paso anterior.
- REGION: Es la región en la que deseas usar la puerta de enlace de Cloud NAT.

Personaliza la configuración de una puerta de enlace de Cloud NAT

Cuando creas una puerta de enlace de Cloud NAT, puedes personalizar su configuración predeterminada. Para obtener una lista completa de las marcas que puedes usar, consulta el comando gcloud compute routers nats create si creas la puerta de enlace para rangos de subredes IPv4 y el comando gcloud beta compute routers nats create si creas la puerta de enlace para rangos de subredes IPv6 o para rangos de subredes IPv4 e IPv6 (versión preliminar).

Crea una puerta de enlace de Cloud NAT para rangos de subredes IPv6 solo si configuras NAT64 para instancias de VM de Compute Engine. En el caso de los nodos de GKE, el tráfico sin servidores y los NEG de Internet regionales, la NAT pública solo traduce el tráfico IPv4.

Crea una puerta de enlace de Cloud NAT:

Crea un Cloud Router en la región en la que deseas usar la puerta de enlace de Cloud NAT. Necesitas este Cloud Router para crear tu puerta de enlace de Cloud NAT.
Crea la puerta de enlace de Cloud NAT y especifica cada parámetro que desees personalizar.

En los siguientes ejemplos, se muestra cómo personalizar las subredes de origen, el tipo de asignación de direcciones IP de NAT, el nivel de red y el tipo de asignación de puertos cuando se crea una puerta de enlace de Cloud NAT. El comando que ejecutas en cada uno de estos ejemplos depende de la versión de IP de los rangos de subred de origen para los que creas la puerta de enlace.
- Restringe qué subredes de origen pueden usar NAT. Para crear una puerta de enlace de Cloud NAT que restrinja qué subredes y rangos de subredes pueden usar NAT, ejecuta uno de los siguientes comandos:
  - Restringe qué rangos de subredes de origen IPv4 pueden usar NAT:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES
```
  - Restringe qué rangos de subredes de origen IPv6 pueden usar NAT (versión preliminar):
```
gcloud beta compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES
```
  - Restringe los rangos de subredes de origen IPv4 e IPv6 (versión preliminar):
```
gcloud beta compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES
```
  Reemplaza lo siguiente:
  - NAT_CONFIG: Es un nombre para tu configuración de NAT.
  - NAT_ROUTER: Es el nombre del Cloud Router que creaste en el paso anterior.
  - REGION: Es la región en la que deseas usar la puerta de enlace de Cloud NAT.
  - IPV4_SUBNET_RANGES: Es una lista de nombres de subredes separadas por comas. Por ejemplo:
    - SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL: Incluye el rango de subred principal y todos los rangos de subred secundarios de SUBNET_NAME_1 y SUBNET_NAME_2.
    - SUBNET_NAME_1,SUBNET_NAME_2: Incluye solo el rango de subred principal de SUBNET_NAME_1 y SUBNET_NAME_2.
    - SUBNET_NAME:SECONDARY_RANGE_NAME: Incluye el rango secundario SECONDARY_RANGE_NAME de la subred SUBNET_NAME. No incluye el rango principal de SUBNET_NAME.
    - SUBNET_NAME_1,SUBNET_NAME_2:SECONDARY_RANGE_NAME: Incluye el rango principal de SUBNET_NAME_1 y el rango secundario especificado SECONDARY_RANGE_NAME de la subred SUBNET_NAME_2.
  - IPV6_SUBNET_RANGES: Es una lista separada por comas de nombres de subredes. Por ejemplo, SUBNET_NAME_1,SUBNET_NAME_2
- Configura la asignación manual de direcciones IP de NAT. Para crear una puerta de enlace de Cloud NAT con asignación manual de direcciones IP de NAT, ejecuta uno de los siguientes comandos:
  - Para los rangos de subredes de origen IPv4:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2
```
  - Para los rangos de subredes de origen IPv6 (versión preliminar):
```
gcloud beta compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2
```
    Si creas la puerta de enlace para rangos de subredes IPv4 e IPv6, especifica las marcas --nat-all-subnet-ip-ranges y --nat64-all-v6-subnet-ip-ranges en este comando.
  Reemplaza lo siguiente:
  - NAT_CONFIG: Es un nombre para tu configuración de NAT.
  - NAT_ROUTER: Es el nombre del Cloud Router que creaste en el paso anterior.
  - REGION: Es la región en la que deseas usar la puerta de enlace de Cloud NAT.
  - IP_ADDRESS_1 y IP_ADDRESS_2: Son las direcciones IP externas reservadas estáticas que deseas usar para NAT. Puedes especificar una o más direcciones IP externas cuando usas la marca --nat-external-ip-pool.
- Especifica el nivel de red. Para especificar el nivel de red desde el que la puerta de enlace de Cloud NAT asigna direcciones IP externas, ejecuta uno de los siguientes comandos:
  - Para los rangos de subredes de origen IPv4:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips \
    --auto-network-tier=AUTO_NETWORK_TIER \
    --nat-all-subnet-ip-ranges
```
  - Para los rangos de subredes de origen IPv6 (versión preliminar):
```
gcloud beta compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips \
    --auto-network-tier=AUTO_NETWORK_TIER \
    --nat64-all-v6-subnet-ip-ranges
```
    Si creas la puerta de enlace para rangos de subredes IPv4 e IPv6, especifica las marcas --nat-all-subnet-ip-ranges y --nat64-all-v6-subnet-ip-ranges en este comando.
  Reemplaza lo siguiente:
  - NAT_CONFIG: Es un nombre para tu configuración de NAT.
  - NAT_ROUTER: Es el nombre del Cloud Router que creaste en el paso anterior.
  - REGION: Es la región en la que deseas usar la puerta de enlace de Cloud NAT.
  - AUTO_NETWORK_TIER: Es el nivel de red que se debe usar cuando se asignan direcciones IP automáticamente para la puerta de enlace de Cloud NAT. Los valores permitidos son PREMIUM y STANDARD. Si no se especifica, el nivel predeterminado a nivel del proyecto actual se asocia con la puerta de enlace de Cloud NAT.
    
    También puedes especificar el nivel de red con la asignación manual de direcciones IP de NAT. Si asignas varias direcciones IP a la puerta de enlace, todas deben ser del mismo nivel de red.
- Configura la asignación dinámica de puertos. Para crear una puerta de enlace de Cloud NAT con asignación dinámica de puertos, ejecuta uno de los siguientes comandos:
  - Para los rangos de subredes de origen IPv4:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips \
    --enable-dynamic-port-allocation \
    [ --min-ports-per-vm=MIN_PORTS ] \
    [ --max-ports-per-vm=MAX_PORTS ] \
    --nat-all-subnet-ip-ranges
```
  - Para los rangos de subredes de origen IPv6 (versión preliminar):
```
gcloud beta compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips \
    --enable-dynamic-port-allocation \
    [ --min-ports-per-vm=MIN_PORTS ] \
    [ --max-ports-per-vm=MAX_PORTS ] \
    --nat64-all-v6-subnet-ip-ranges
```
    Si creas la puerta de enlace para rangos de subredes IPv4 e IPv6, especifica las marcas --nat-all-subnet-ip-ranges y --nat64-all-v6-subnet-ip-ranges en este comando.
  Reemplaza lo siguiente:
  - NAT_CONFIG: Es un nombre para tu configuración de NAT.
  - NAT_ROUTER: Es el nombre del Cloud Router que creaste en el paso anterior.
  - REGION: La región en la que quieres usar la puerta de enlace de Cloud NAT.
  - Opcional: MIN_PORTS: Es la cantidad mínima de puertos que se asignarán para cada VM. Si se activa la asignación de puertos dinámicos, MIN_PORTS debe ser una potencia de 2 y puede estar entre 32 y 32768. El valor predeterminado es 32.
  - Opcional: MAX_PORTS: Es la cantidad máxima de puertos que se asignarán para cada VM. MAX_PORTS debe ser una potencia de 2 y puede estar entre 64 y 65536. MAX_PORTS debe ser superior a MIN_PORTS. El valor predeterminado es 65536.

Terraform

Puedes usar un módulo de Terraform para crear un Cloud Router con una puerta de enlace NAT para el tráfico IPv4.

module "cloud_router" {
  source  = "terraform-google-modules/cloud-router/google"
  version = "~> 6.0"
  name    = "my-cloud-router"
  project = var.project_id
  network = module.vpc.network_name
  region  = "us-central1"

  nats = [{
    name                               = "my-nat-gateway"
    source_subnetwork_ip_ranges_to_nat = "LIST_OF_SUBNETWORKS"
    subnetworks = [
      {
        name                     = module.vpc.subnets["us-central1/test-subnet-01"].id
        source_ip_ranges_to_nat  = ["PRIMARY_IP_RANGE", "LIST_OF_SECONDARY_IP_RANGES"]
        secondary_ip_range_names = module.vpc.subnets["us-central1/test-subnet-01"].secondary_ip_range[*].range_name
      }
    ]
  }]
}

En la puerta de enlace NAT resultante, se usan los siguientes valores predeterminados:

enable_endpoint_independent_mapping = true
icmp_idle_timeout_sec               = 30
min_ports_per_vm                    = 0
nat_ip_allocate_option              = "AUTO_ONLY"
source_subnetwork_ip_ranges_to_nat  = "ALL_SUBNETWORKS_ALL_IP_RANGES"
tcp_established_idle_timeout_sec    = 1200
tcp_transitory_idle_timeout_sec     = 30
udp_idle_timeout_sec                = 30
log_config {
    enable = true
    filter = "ALL"
}

Cómo ver la configuración de NAT pública

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Para ver los detalles de la puerta de enlace NAT, la información de asignación o los detalles de configuración, haz clic en el nombre de tu puerta de enlace NAT.
Para ver el estado de NAT, consulta la columna Estado de la puerta de enlace de NAT.

gcloud

Para ver los detalles de configuración de NAT, ejecuta los siguientes comandos:

Consulta la configuración de la puerta de enlace de NAT pública.
```
gcloud compute routers nats describe NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION
```
Reemplaza lo siguiente:
- NAT_CONFIG: Es el nombre de tu configuración de NAT.
- ROUTER_NAME: Es el nombre de tu Cloud Router.
- REGION: la región de la NAT que se describirá. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).
Visualiza la asignación de los rangos de IP:port asignados a cada interfaz de VM.
```
gcloud compute routers get-nat-mapping-info ROUTER_NAME \
    --region=REGION
```

Consulta el estado de la puerta de enlace de NAT pública.

gcloud compute routers get-status ROUTER_NAME \
    --region=REGION

Cómo ver las direcciones IP externas asignadas a una puerta de enlace de Cloud NAT

Para ver las direcciones IP de NAT que se agregaron automáticamente, consulta la lista de direcciones IP externas estáticas. Estas direcciones no se tienen en cuenta para las cuotas por proyecto.

Console

En la consola de Google Cloud, ve a la página Direcciones IP y, luego, haz clic en Direcciones IP externas.

Ir a Direcciones IP

gcloud

Para enumerar todas las direcciones IP de NAT asignadas, usa el siguiente comando:
```
gcloud compute routers get-nat-ip-info NAT_ROUTER \
  --region=REGION
```
Para ver más ejemplos, consulta gcloud compute routers get-nat-ip-info.

Actualiza la configuración de NAT pública

Después de configurar la puerta de enlace de Cloud NAT, puedes actualizar su configuración según tus requisitos. En las siguientes secciones, se enumeran las tareas que puedes realizar para actualizar tu puerta de enlace de Cloud NAT.

Actualiza las subredes y los recursos de dirección IP asociados con NAT

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en tu puerta de enlace de Cloud NAT.
Haz clic en Editar.
En Mapeo de NAT, configura Fuente como Personalizada.
Selecciona una subred.
En la lista Rangos de IP, selecciona los rangos de IP de la subred que deseas incluir.
Si deseas especificar rangos adicionales, haz clic en Agregar subred y rango de IP.
Haz clic en la lista desplegable Direcciones IP NAT y, luego, selecciona Automático o Manual.
Si seleccionas Manual, especifica una dirección IP externa.
Para obtener alta disponibilidad con direcciones IP manuales, haz clic en Agregar dirección IP y, luego, agrega una segunda dirección.
Haz clic en Guardar.

gcloud

Usa el comando gcloud compute routers nats update. Si tu puerta de enlace de Cloud NAT está configurada para traducir IPv6 a IPv4 (versión preliminar), usa el comando gcloud beta compute routers nats update en su lugar.

Para actualizar los rangos de subred de origen de una puerta de enlace de Cloud NAT existente, ejecuta uno de los siguientes comandos, según la versión de IP de los rangos de subred que deseas actualizar. Estos comandos también actualizan las direcciones IP externas asociadas con la puerta de enlace.

Actualiza los rangos de subredes de origen IPv4:

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2 \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES

Actualiza los rangos de subredes de origen IPv6 (versión preliminar):

gcloud beta compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2 \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES

Actualiza los rangos de subredes de origen IPv4 e IPv6 (versión preliminar):

gcloud beta compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2 \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES

Reemplaza lo siguiente:

NAT_CONFIG: Es el nombre de tu configuración de NAT.
NAT_ROUTER: Es el nombre de tu Cloud Router.
REGION: Es la región de la puerta de enlace NAT.
IP_ADDRESS_1 y IP_ADDRESS_2: son las direcciones IP externas que deseas usar para NAT. Puedes especificar una o más direcciones IP externas.
IPV4_SUBNET_RANGES: Es una lista separada por comas de nombres de subredes. Por ejemplo:
- SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL: Incluye el rango de subred principal y todos los rangos de subred secundarios de SUBNET_NAME_1 y SUBNET_NAME_2.
- SUBNET_NAME_1,SUBNET_NAME_2: Incluye solo el rango de subred principal de SUBNET_NAME_1 y SUBNET_NAME_2.
- SUBNET_NAME:SECONDARY_RANGE_NAME: Incluye el rango secundario SECONDARY_RANGE_NAME de la subred SUBNET_NAME. Esta lista de nombres de subredes no incluye el rango principal de SUBNET_NAME.
- SUBNET_NAME_1,SUBNET_NAME_2:SECONDARY_RANGE_NAME: Incluye el rango principal de SUBNET_NAME_1 y el rango secundario especificado SECONDARY_RANGE_NAME de la subred SUBNET_NAME_2.
IPV6_SUBNET_RANGES: Es una lista separada por comas de nombres de subredes. Por ejemplo, SUBNET_NAME_1,SUBNET_NAME_2

Si una puerta de enlace de NAT de Cloud entrega rangos de subred IPv4 e IPv6, también puedes usar la marca --clear-nat-subnet-ip-ranges para inhabilitar NAT para rangos de subred IPv4 o la marca --clear-nat64-subnet-ip-ranges para inhabilitar NAT para rangos de subred IPv6. Puedes inhabilitar NAT solo para rangos de subredes IPv4 o IPv6, pero no para ambos.

En el siguiente ejemplo, se inhabilita NAT para los rangos de subredes IPv6:

gcloud beta compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --clear-nat64-subnet-ip-ranges

Reemplaza lo siguiente:

NAT_CONFIG: Es el nombre de tu configuración de NAT.
NAT_ROUTER: Es el nombre de tu Cloud Router.
REGION: Es la región de la puerta de enlace NAT.

Borra las subredes asociadas con NAT

Puedes quitar subredes específicas de la puerta de enlace de Cloud NAT que ya no se usen.

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en tu puerta de enlace de Cloud NAT.
Haz clic en Editar.
Borra la subred que quieres quitar de la asignación de NAT.

Nota: Si la subred que borraste es la única que está asignada a la puerta de enlace de NAT pública, el sistema te pedirá que agregues una subred. Puedes asignar una subred nueva o seleccionar Rangos primarios y secundarios para todas las subredes en la lista Fuente.
Haz clic en Guardar.

Actualiza las direcciones IP externas asociadas con NAT

Puedes cambiar la lista de las direcciones IP externas de una puerta de enlace o cambiar de la asignación de IP manual a la automática. Cuando lo hagas, Google Cloud quitará las direcciones anteriores y agregará las nuevas. Todas las conexiones existentes en las direcciones IP anteriores se cierran de inmediato. Para permitir que las conexiones existentes continúen mientras evitas conexiones nuevas en esas direcciones IP, consulta Desvía las direcciones IP externas asociadas con NAT.

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en tu puerta de enlace de Cloud NAT.
Haz clic en Editar.
Haz clic en la lista desplegable Direcciones IP NAT y, luego, selecciona Automático o Manual.
Si seleccionas Manual, especifica una dirección IP externa.
Para obtener alta disponibilidad, haz clic en Agregar dirección IP y, luego, agrega una segunda dirección.
Haz clic en Guardar.

gcloud

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2

Reemplaza lo siguiente:

NAT_CONFIG: Es el nombre de tu configuración de NAT.
NAT_ROUTER: Es el nombre de tu Cloud Router.
REGION: la región de la NAT que se actualizará. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).
IP_ADDRESS_1: una dirección IP externa manual.
IP_ADDRESS_2: otra dirección IP externa manual.

Actualiza NAT con direcciones IP externas de un nivel de red diferente

Para actualizar una puerta de enlace de Cloud NAT existente, cambia el nivel de red de las direcciones IP externas asociadas con la puerta de enlace.

Actualiza NAT cambiando el nivel de red de las direcciones IP externas asignadas automáticamente

Cuando cambias el nivel de red de las direcciones IP externas asignadas automáticamente asociadas con una puerta de enlace de Cloud NAT existente,Google Cloud quita las direcciones IP asignadas anteriormente y las reemplaza por direcciones IP del nivel de red especificado. Todas las conexiones existentes en las direcciones IP asignadas anteriormente se cierran de inmediato.

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en el nombre de la puerta de enlace de Cloud NAT que tiene direcciones IP asignadas automáticamente.
Haz clic en Editar.
En Nivel de servicio de red, elige Premium o Estándar.
Haz clic en Guardar.

gcloud

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips
    --auto-network-tier=AUTO_NETWORK_TIER

Reemplaza lo siguiente:

NAT_CONFIG: Es el nombre de tu configuración de NAT.
NAT_ROUTER: Es el nombre de tu Cloud Router.
REGION: la región de la NAT que se creará. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).
AUTO_NETWORK_TIER: Es el nivel de red que se usará cuando se asignen direcciones IP automáticamente para la puerta de enlace de Cloud NAT. Los valores permitidos son PREMIUM y STANDARD. Si no se especifica, el nivel predeterminado a nivel del proyecto actual se asocia con la puerta de enlace de Cloud NAT.

Actualiza NAT cambiando el nivel de red de las direcciones IP asignadas manualmente

Para actualizar una NAT existente, especifica manualmente direcciones IP externas de un nivel diferente. Puedes asignar direcciones IP externas del nivel Estándar, del nivel Premium o de ambos, sujetas a ciertas condiciones. Antes de especificar direcciones IP externas de un nivel diferente, primero descarga las direcciones IP existentes para permitir que las conexiones existentes continúen y evitar conexiones nuevas en las direcciones IP existentes.

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en el nombre de la puerta de enlace de Cloud NAT que tiene direcciones IP asignadas manualmente.
Haz clic en Editar.
Para especificar direcciones IP de un nivel que sea diferente del nivel seleccionado actualmente, borra todas las direcciones IP existentes o habilita el drenaje para todas las direcciones IP existentes.

No puedes cambiar el nivel de red si el drenaje está inhabilitado para una dirección IP existente.
En Nivel de servicio de red, elige Premium o Estándar.
Selecciona una dirección IP externa de la lista de direcciones IP activas y disponibles.

Nota: El drenaje siempre está inhabilitado para una dirección IP seleccionada recientemente.
Opcional: Para agregar más direcciones IP, haz clic en Agregar direcciones IP.
Haz clic en Guardar.

gcloud

Para actualizar una puerta de enlace existente cambiando manualmente las direcciones IP externas existentes por otras nuevas de un nivel de red diferente, usa la marca --nat-external-ip-pool del comando gcloud compute routers nats update. Si tu puerta de enlace está configurada para traducir IPv6 a IPv4 (versión preliminar), usa el comando gcloud beta compute routers nats update en su lugar.

Para obtener más información sobre cómo cambiar manualmente las direcciones IP externas existentes, consulta Cómo actualizar las direcciones IP externas asociadas con NAT.

Desvía las direcciones IP externas asociadas con NAT

Antes de quitar una dirección IP configurada manualmente, puedes desviarla para que las conexiones existentes no se interrumpan. Cuando se desvía una dirección IP, todas las conexiones existentes pueden continuar hasta que venzan de forma natural. Puedes ver los registros para verificar el estado de las conexiones existentes.

No se aceptan conexiones nuevas en las direcciones IP salientes. Sin embargo, la dirección IP permanece asociada con la configuración de NAT.

Debes tener al menos una dirección activa en una configuración de NAT, lo que significa que no puedes desviar todas las direcciones IP en una configuración.

Para ver el estado de tus direcciones IP de NAT, puedes mostrar el estado de NAT.

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en tu puerta de enlace de Cloud NAT.
Haz clic en Editar.
En Direcciones IP NAT, establece el valor de desvío de IP junto a la dirección IP en Activado.
Haz clic en Guardar.

gcloud

Para desviar una dirección, debes moverla del grupo activo al grupo de desvío en el mismo comando. Si la quitas del grupo activo sin agregarla al grupo de desvío en un solo comando, la dirección IP se quita del servicio y las conexiones existentes finalizan de inmediato.

Si mueves una dirección IP del grupo de desvío al grupo activo, la dirección IP no se desvía. Si quitas una dirección IP de NAT de ambos grupos, la desconectas de la configuración de NAT.

Este comando deja los otros campos en la configuración de NAT sin modificar.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_2 \
    --nat-external-drain-ip-pool=IP_ADDRESS_1

Aquí:

--nat-external-ip-pool=IP_ADDRESS_2: actualiza el grupo activo para omitir IP_ADDRESS_1
--nat-external-drain-ip-pool=IP_ADDRESS_1: agrega IP_ADDRESS_1 al grupo de desvío

Reemplaza lo siguiente:

NAT_CONFIG: Es el nombre de tu configuración de NAT.
NAT_ROUTER: Es el nombre de tu Cloud Router.
REGION: la región de la NAT que se actualizará. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).
IP_ADDRESS_2: una dirección IP.
IP_ADDRESS_1: otra dirección IP.

Actualiza el mapeo de extremos

Puedes habilitar o inhabilitar el mapeo independiente de extremos de tu puerta de enlace. De forma predeterminada, esta opción está inhabilitada. Cambiar el mapeo independiente de extremos de habilitado a inhabilitado (o de inhabilitado a habilitado) no interrumpe las conexiones existentes.

No puedes habilitar el mapeo independiente de extremos si tu puerta de enlace de Cloud NAT usa reglas de NAT o la asignación dinámica de puertos.

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en tu puerta de enlace de Cloud NAT.
Haz clic en Editar.
Haz clic en Configuración avanzada.
Para habilitar el mapeo independiente del extremo, selecciona la casilla de verificación Habilitar mapeo independiente del extremo. Para inhabilitar el mapeo independiente basado en extremos, desmarca la casilla de verificación.
Haz clic en Guardar.

gcloud

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    [--enable-endpoint-independent-mapping | --no-enable-endpoint-independent-mapping]

Reemplaza lo siguiente:

NAT_CONFIG: Es el nombre de tu configuración de NAT.
NAT_ROUTER: Es el nombre de tu Cloud Router.
REGION: la región de la NAT que se actualizará. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).

Actualiza el registro

Si quieres agregar, modificar o quitar registros de una puerta de enlace de Cloud NAT existente, consulta Configura el registro.

Borra la configuración de NAT pública

Si borras la configuración de una puerta de enlace, se quitará la configuración de NAT de un Cloud Router. No borra el router en sí.

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Selecciona la casilla de verificación junto a la configuración de la puerta de enlace que deseas borrar.
En Menú, haz clic en Borrar.

gcloud

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Reemplaza lo siguiente:

NAT_CONFIG: Es el nombre de tu configuración de NAT.
ROUTER_NAME: Es el nombre de tu Cloud Router.
REGION: Es la región de la NAT que se borrará. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).

Cuotas y límites

Para obtener información sobre las cuotas y el límite, consulta la página Cuotas.

Configuración de ejemplo

En estos ejemplos, se muestra cómo probar Cloud NAT con Google Cloud:

¿Qué sigue?

Configura Logging y Monitoring para Cloud NAT.
Soluciona problemas comunes con las configuraciones de NAT.