Configure e faça a gestão da tradução de endereços de rede com a NAT pública

Esta página descreve como configurar e gerir a tradução de endereços de rede (NAT) através do NAT público. Antes de configurar o NAT público, consulte a vista geral do NAT público.

Limitações

  • Se alterar o nível de rede dos endereços IP atribuídos automaticamente para um gateway Cloud NAT, todas as ligações nos endereços IP atribuídos anteriormente são imediatamente fechadas.

  • Se usar a atribuição manual de endereços IP NAT e alterar os endereços IP usados para o Cloud NAT, todas as ligações nos endereços IP atribuídos anteriormente são imediatamente fechadas. Para o evitar, consulte o artigo Drene endereços IP externos associados à NAT.

  • Se configurar um gateway Cloud NAT com atribuição de portas estática e reduzir as portas mínimas por instância de máquina virtual (VM), as ligações NAT estabelecidas podem ser interrompidas. Para mais informações, consulte o artigo Reduzir as portas por MV.

  • Se configurar um gateway NAT da nuvem com a atribuição dinâmica de portas e fizer mais alterações de configuração, as ligações NAT estabelecidas podem ser interrompidas. Quando a configuração é alterada, o número de portas atribuídas a cada VM pode ser temporariamente reposto para o número mínimo configurado. Para mais informações, consulte o artigo Reduza as portas por VM.

  • Se configurar um gateway NAT da nuvem com a atribuição dinâmica de portas e, em seguida, desativar a atribuição dinâmica de portas, todas as ligações de VMs que usam o gateway NAT são fechadas. Para mais informações, consulte o artigo Altere o método de atribuição de portas.

  • Se o mapeamento independente do ponto final estiver ativado, não pode configurar a atribuição dinâmica de portas nem as regras NAT.

  • O Cloud NAT não suporta fragmentos de IP.

  • Uma configuração do Cloud NAT está associada a uma rede da nuvem virtual privada (VPC). Assim, a configuração aplica-se a todos os recursos pertencentes às sub-redes dessa rede. Não pode escolher VMs específicas para serem servidas por um gateway do Cloud NAT.

  • O NAT64 só está disponível para instâncias de VM do Compute Engine apenas IPv6, para as seguintes séries de máquinas:

    • Todas as séries de segunda geração ou anteriores
    • Série M3

    Para mais informações, consulte o artigo Terminologia do Compute Engine.

    Para nós do Google Kubernetes Engine (GKE), pontos finais sem servidor e grupos de pontos finais da rede (NEGs) da Internet regionais, o NAT público traduz apenas endereços IPv4. Para mais informações sobre os serviços que incluem suporte apenas para IPv6, consulte o artigo Suporte do IPv6 no Google Cloud. Google Cloud

Antes de começar

Conclua as seguintes tarefas antes de configurar o NAT público.

Obtenha autorizações de IAM

A função de administrador de rede de computação (roles/compute.networkAdmin) inclui as autorizações de que precisa para configurar o NAT público.

Prepare o seu ambiente

Consoante pretenda usar a Google Cloud consola ou a CLI gcloud para configurar a NAT pública, configure os seguintes recursos no Google Cloud.

Consola

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

    gcloud

    1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

    2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

      Go to project selector

    3. Verify that billing is enabled for your Google Cloud project.

    4. Enable the Compute Engine API.

      Roles required to enable APIs

      To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

      Enable the API

    5. Install the Google Cloud CLI.

    6. Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

    7. Para inicializar a CLI gcloud, execute o seguinte comando: 

      gcloud init

    8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

      Go to project selector

    9. Verify that billing is enabled for your Google Cloud project.

    10. Enable the Compute Engine API.

      Roles required to enable APIs

      To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

      Enable the API

    11. Install the Google Cloud CLI.

    12. Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

    13. Para inicializar a CLI gcloud, execute o seguinte comando: 

      gcloud init

Configure o DNS64

Se quiser usar a tradução de IPv6 para IPv4 ou NAT64, tem de configurar o DNS64. Para configurar o DNS64 no Cloud DNS, siga as instruções em Configurar o DNS64.

Ignore este passo se quiser usar o Cloud NAT apenas para tráfego IPv4.

Configure a NAT pública

Pode configurar a NAT pública criando um gateway de NAT do Google Cloud na rede VPC de origem. Cada gateway está associado a uma única rede VPC, região e Cloud Router. O Cloud NAT usa o Cloud Router apenas para agrupar informações de configuração do NAT e não direciona o Cloud Router para usar o Border Gateway Protocol nem adicionar rotas. O tráfego NAT não passa pelo Cloud Router.

Ao criar um gateway NAT da Cloud, pode configurar as seguintes definições.

Definição Opções suportadas Descrição
Tipo de ponto final de origem
  • Instâncias de VM, nós do GKE, sem servidor
  • Equilibradores de carga de proxy geridos

Por predefinição, a NAT pública fornece serviços de NAT a instâncias de VM, nós do GKE e pontos finais sem servidor. Para criar um gateway NAT da Cloud para estes recursos, conclua os passos na secção seguinte.

Para criar uma gateway do Cloud NAT para um NEG de Internet regional, consulte "Configure uma gateway do Cloud NAT" para o seguinte:

Para ver uma lista completa dos Google Cloud recursos suportados pela NAT na nuvem, consulte a vista geral da NAT na nuvem.
Versão do IP de origem
  • Intervalos de sub-redes IPv4
  • Intervalos de sub-redes IPv6
  • Intervalos de sub-redes IPv4 e IPv6
 A NAT pública suporta a tradução de IPv4 para IPv4 e de IPv6 para IPv4. Se quiser configurar o NAT64, também tem de configurar o DNS64.
  • Se configurar intervalos de sub-redes IPv4, as instâncias de VM apenas IPv4 e as instâncias de VM de pilha dupla (através dos respetivos endereços IPv4) em sub-redes apenas IPv4 e de pilha dupla podem comunicar com destinos IPv4 na Internet.
  • Se configurar intervalos de sub-redes IPv6, as instâncias de VM apenas IPv6 em sub-redes apenas IPv6 e de pilha dupla podem comunicar com destinos IPv4 na Internet.
  • Se configurar intervalos de sub-redes IPv4 e IPv6, aplica-se o seguinte:
    • As instâncias de VM apenas IPv4 e as instâncias de VM de pilha dupla (através dos respetivos endereços IPv4) podem comunicar com destinos IPv4 na Internet.
    • As instâncias de VM de pilha dupla não podem usar os respetivos endereços IPv6 para comunicar com destinos IPv4 na Internet.
    • As instâncias de VM apenas IPv6 podem comunicar com destinos IPv4 na Internet.
Sub-redes de origem

Para tráfego IPv4:

  • Intervalos principais e secundários para todas as sub-redes
  • Intervalos principais para todas as sub-redes
  • Personalizado

Para tráfego IPv6:

  • Todas as sub-redes
  • Personalizado

A NAT pública suporta os seguintes intervalos de sub-redes na região para a rede de VPC que especificar:

  • Para tráfego IPv4: intervalos principal e secundário. Pode restringir as sub-redes e os intervalos de sub-redes que podem usar o NAT.
  • Para tráfego IPv6: intervalos internos e externos. Pode restringir as sub-redes que podem usar NAT.
Atribuição de endereços IP
  • Automático (recomendado)
  • Manual

Por predefinição, o NAT público usa a atribuição automática de endereços IP do NAT. Esta configuração atribui automaticamente os endereços IP externos necessários para fornecer serviços NAT a uma região. As instâncias de VM sem endereços IP externos em qualquer sub-rede da região têm acesso à Internet através do NAT. Quando usa a atribuição automática de endereços IP NAT, Google Cloud reserva endereços IP no seu projeto. Estes endereços são contabilizados nas quotas de endereços IPv4 externos regionais em utilização no projeto.

Pode atribuir manualmente endereços IP NAT para uma gateway do Cloud NAT. Estas moradas são contabilizadas nas seguintes quotas:

Se escolher a atribuição manual, certifique-se de que atribui endereços IP suficientes para evitar pacotes perdidos.

Para mais informações, consulte o artigo Endereços IP NAT públicos.
Nível da rede
  • Premium
  • Padrão
 O NAT público permite-lhe especificar os níveis de serviço de rede a partir dos quais o gateway do Cloud NAT atribui endereços IP externos. Por predefinição, o nível de rede está definido como o nível atual do projeto.
  • Quando cria um gateway NAT da nuvem com atribuição automática de endereços IP NAT, pode atribuir endereços IP NAT a partir do nível Premium ou do nível Standard.
  • Quando cria um gateway Cloud NAT com atribuição manual de endereços IP NAT, pode optar por atribuir manualmente endereços IP NAT da camada Premium ou da camada Standard, ou ambas, sujeitos a determinadas condições.
Configurações avançadas
  • Atribuição dinâmica de portas
  • Mapeamento independente do ponto final
  • Registo
  • Limites de tempo de NAT

Por predefinição, a NAT pública usa a atribuição de portas estática, o que significa que a cada VM é atribuído o mesmo número de portas. Pode configurar a atribuição dinâmica de portas com a atribuição de endereços IP NAT automática ou manual. A utilização da atribuição dinâmica de portas permite que o gateway NAT da nuvem atribua diferentes números de portas a cada VM com base na utilização. Não pode ativar o mapeamento independente do ponto final se o gateway do Cloud NAT usar regras de NAT ou a atribuição dinâmica de portas.

A registo está desativado por predefinição. Para ver informações sobre os limites de tempo de NAT e os respetivos valores predefinidos, consulte o artigo Limites de tempo de NAT.

Crie uma gateway do Cloud NAT

Consola

  1. Na Google Cloud consola, aceda à página Cloud NAT.

    Aceda ao Cloud NAT

  2. Clique em Começar para o primeiro gateway do Cloud NAT ou em Criar gateway do Cloud NAT para gateways subsequentes.

  3. No campo Nome da gateway, introduza um nome para a gateway.

  4. Para Tipo de NAT, selecione Público.

  5. Na secção Selecionar Cloud Router, configure o seguinte:

    1. No campo Rede, selecione a rede de VPC na qual quer criar o gateway.
    2. No campo Região, defina a região para o gateway.
    3. No campo Cloud Router, selecione ou crie um Cloud Router na região.

  6. Na secção Mapeamento do Cloud NAT, para Tipo de ponto final de origem, certifique-se de que a opção Instâncias de VM, nós do GKE, sem servidor está selecionada.

  7. No campo Versão do IP de origem, selecione a versão do IP de origem e, em seguida, configure os intervalos de sub-rede de origem para os quais quer usar o Cloud NAT.

    • Para intervalos de sub-redes IPv4, no campo Sub-redes de origem, selecione uma das seguintes opções:
      • Para usar o Cloud NAT para intervalos de IP principal e secundário para todas as sub-redes na região, selecione Intervalos de IP principal e secundário para todas as sub-redes.
      • Para usar o NAT da nuvem apenas para intervalos de IP principais, selecione Intervalos de IP principais para todas as sub-redes.
      • Para restringir os intervalos de IP da sub-rede que podem usar o Cloud NAT, selecione Personalizado e faça o seguinte:
        1. Na secção Sub-redes, selecione uma sub-rede.
        2. Na lista Intervalos de IP, selecione os intervalos de IP de sub-rede a incluir e clique em OK.
        3. Opcional: se quiser especificar intervalos adicionais, clique em Adicionar sub-rede e intervalo de IP e adicione outra sub-rede.
    • Para intervalos de sub-redes IPv6, no campo Sub-redes de origem, selecione uma das seguintes opções:
      • Para usar o Cloud NAT para intervalos de IP internos e externos para todas as sub-redes na região, selecione Todas as sub-redes.
      • Para restringir as sub-redes que podem usar o Cloud NAT, selecione Personalizado e faça o seguinte:
        1. Na secção Sub-redes, selecione uma sub-rede.
        2. Opcional: se quiser especificar sub-redes adicionais, clique em Adicionar sub-rede e adicione outra sub-rede.

  8. Configure o tipo de atribuição de endereço IP NAT e o nível de rede selecionando uma das seguintes opções:

    • Para usar a atribuição automática de endereços IP NAT, faça o seguinte:
      1. Na lista Endereços IP do Cloud NAT, selecione Automático (recomendado).
      2. Para Nível de serviço de rede, escolha Premium ou Padrão.
    • Para usar a atribuição manual de endereços IP NAT, faça o seguinte:
      1. Na lista Endereços IP do Cloud NAT, selecione Manual.
      2. Para Nível do serviço de rede, escolha Premium ou Padrão.
      3. Selecione ou crie um endereço IP externo reservado estático para usar para NAT.
      4. Opcional: se quiser especificar endereços IP adicionais, clique em Adicionar endereço IP e, em seguida, selecione ou crie um endereço IP externo reservado estático adicional.
      5. Opcional: se quiser criar regras de NAT personalizadas, configure a secção Regras de NAT da nuvem. Para ver instruções, consulte o artigo Crie regras de NAT.

  9. Opcional: ajuste qualquer uma das seguintes definições na secção Configurações avançadas:

    • Se deve configurar o registo. Por predefinição, a opção Sem registo está selecionada.
    • Se deve alterar a forma como o Cloud NAT atribui portas. Por predefinição, a opção Ativar atribuição dinâmica de portas está desmarcada. Para a atribuição de portas estáticas, o campo Portas mínimas por instância de VM está definido como 64.
      • Para atualizar o número mínimo de portas por instância de VM para a atribuição de portas estáticas, especifique um valor no campo Portas mínimas por instância de VM. Este valor pode ser definido entre 2 e 57344.
      • Para configurar a atribuição dinâmica de portas, selecione Ativar atribuição dinâmica de portas e selecione um valor para o campo Portas mínimas por instância de VM (a predefinição é 32) e o campo Portas máximas por instância de VM (a predefinição é 65536).
    • Indica se os limites de tempo do NAT devem ser atualizados para ligações de protocolo. Para ver informações sobre estes limites de tempo e os respetivos valores predefinidos, consulte o artigo Limites de tempo de NAT.

  10. Clique em Criar.

gcloud

Para criar um gateway Cloud NAT, use o comando gcloud compute routers nats create. Pode criar um gateway NAT da nuvem com todas as respetivas opções de configuração definidas para os valores predefinidos ou pode personalizar a configuração do gateway.

Crie uma gateway do Cloud NAT com as predefinições

  1. Crie um Cloud Router na região onde quer usar o gateway Cloud NAT. Precisa deste Cloud Router para criar o seu gateway Cloud NAT.

  2. Crie a gateway do Cloud NAT executando um dos seguintes comandos, consoante a versão IP dos intervalos de sub-redes de origem para os quais está a configurar o NAT.

    • Configure o Cloud NAT para intervalos de sub-redes IPv4:

      gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

      Esta configuração ativa a NAT para todos os intervalos de sub-redes IPv4 em sub-redes apenas IPv4 e de pilha dupla na região.

    • Configure a NAT da nuvem para intervalos de sub-redes IPv6:

      gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

      Esta configuração ativa a NAT para todos os intervalos de sub-redes IPv6 em sub-redes apenas IPv6 e de pilha dupla na região.

    • Configure a NAT na nuvem para intervalos de sub-redes IPv4 e IPv6:

      gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

      Esta configuração ativa o NAT para todos os intervalos de sub-redes IPv4 e IPv6 em sub-redes apenas IPv4, de pilha dupla e apenas IPv6 na região.

    Substitua o seguinte:

    • NAT_CONFIG: um nome para a configuração de NAT
    • NAT_ROUTER: o nome do Cloud Router que criou no passo anterior
    • REGION: a região onde quer usar a gateway do Cloud NAT

Personalize as definições de configuração de uma gateway do Cloud NAT

Quando cria um gateway NAT da Cloud, pode personalizar a respetiva configuração predefinida. Para ver uma lista completa de sinalizadores que pode usar, consulte o comando gcloud compute routers nats create.

Crie um gateway NAT na nuvem para intervalos de sub-redes IPv6 apenas se estiver a configurar o NAT64 para instâncias de VMs do Compute Engine. Para nós do GKE, pontos finais sem servidor e NEGs de Internet regionais, o NAT público traduz apenas endereços IPv4.

Crie uma gateway do Cloud NAT:

  1. Crie um Cloud Router na região onde quer usar o gateway Cloud NAT. Precisa deste Cloud Router para criar o seu gateway Cloud NAT.

  2. Crie o gateway de NAT da nuvem, especificando cada parâmetro que quer personalizar.

    Os exemplos seguintes mostram como personalizar as sub-redes de origem, o tipo de atribuição de endereço IP de NAT, o nível da rede e o tipo de atribuição de porta.

    O comando que executa em cada um destes exemplos depende da versão IP dos intervalos de sub-redes de origem para os quais está a configurar o NAT.

    • Restrinja as sub-redes de origem que podem usar o NAT. Para criar um gateway NAT da nuvem que restrinja as sub-redes e os intervalos de sub-redes que podem usar o NAT, execute um dos seguintes comandos:

      • Restrinja os intervalos de sub-redes IPv4 que podem usar NAT:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --auto-allocate-nat-external-ips

      • Restrinja os intervalos de sub-redes IPv6 que podem usar NAT:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES \
    --auto-allocate-nat-external-ips

      • Restringir intervalos de sub-redes IPv4 e IPv6:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES \
    --auto-allocate-nat-external-ips

      Substitua o seguinte:

      • NAT_CONFIG: um nome para a configuração de NAT
      • NAT_ROUTER: o nome do Cloud Router que criou no passo anterior
      • REGION: a região onde quer usar a gateway do Cloud NAT
      • IPV4_SUBNET_RANGES: uma lista separada por vírgulas de nomes de sub-redes. Por exemplo:
        • SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL: inclui o intervalo principal e todos os intervalos secundários de sub-redes SUBNET_NAME_1 e SUBNET_NAME_2.
        • SUBNET_NAME_1,SUBNET_NAME_2: inclui apenas os intervalos principais das sub-redes SUBNET_NAME_1 e SUBNET_NAME_2.
        • SUBNET_NAME:SECONDARY_RANGE_NAME: inclui o intervalo secundário especificado da sub-rede SUBNET_NAME e não inclui o intervalo principal
        • SUBNET_NAME_1,SUBNET_NAME_2:SECONDARY_RANGE_NAME: inclui o intervalo principal da sub-rede SUBNET_NAME_1 e o intervalo secundário especificado da sub-rede SUBNET_NAME_2
      • IPV6_SUBNET_RANGES: uma lista separada por vírgulas de nomes de sub-redes, por exemplo, SUBNET_NAME_1,SUBNET_NAME_2

    • Configure a atribuição manual de endereços IP NAT. Para criar uma gateway do Cloud NAT com atribuição manual de endereços IP de NAT, execute um dos seguintes comandos:

      • Para intervalos de sub-redes IPv4:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2

      • Para intervalos de sub-redes IPv6:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2

        Se estiver a criar o gateway para intervalos de sub-redes IPv4 e IPv6, especifique os flags --nat-all-subnet-ip-ranges e --nat64-all-v6-subnet-ip-ranges neste comando.

      Substitua o seguinte:

      • NAT_CONFIG: um nome para a configuração de NAT
      • NAT_ROUTER: o nome do Cloud Router que criou no passo anterior
      • REGION: a região onde quer usar a gateway do Cloud NAT

      • IP_ADDRESS_1 e IP_ADDRESS_2: os endereços IP externos reservados estáticos que quer usar para NAT

        Pode especificar um ou mais endereços IP quando usar a flag --nat-external-ip-pool.

    • Especifique o nível da rede. Para especificar o nível de rede a partir do qual o gateway Cloud NAT atribui endereços IP externos, execute um dos seguintes comandos:

      • Para intervalos de sub-redes IPv4:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --auto-network-tier=AUTO_NETWORK_TIER

      • Para intervalos de sub-redes IPv6:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --auto-network-tier=AUTO_NETWORK_TIER

        Se estiver a criar o gateway para intervalos de sub-redes IPv4 e IPv6, especifique os flags --nat-all-subnet-ip-ranges e --nat64-all-v6-subnet-ip-ranges neste comando.

      Substitua o seguinte:

      • NAT_CONFIG: um nome para a configuração de NAT
      • NAT_ROUTER: o nome do Cloud Router que criou no passo anterior
      • REGION: a região onde quer usar a gateway do Cloud NAT

      • AUTO_NETWORK_TIER: o nível de rede a usar quando atribui automaticamente endereços IP para o gateway do Cloud NAT. Os valores permitidos são PREMIUM e STANDARD. Se não for especificado, o nível predefinido ao nível do projeto atual está associado ao gateway NAT na nuvem.

        Também pode especificar o nível da rede com a atribuição manual de endereços IP NAT. Se atribuir vários endereços IP à gateway, todos os endereços IP que atribuir têm de ser do mesmo nível de rede.

    • Configure a atribuição dinâmica de portas. Para criar um gateway de Cloud NAT com atribuição dinâmica de portas, execute um dos seguintes comandos:

      • Para intervalos de sub-redes IPv4:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --enable-dynamic-port-allocation \
    [--min-ports-per-vm=MIN_PORTS ] \
    [--max-ports-per-vm=MAX_PORTS ]

      • Para intervalos de sub-redes IPv6:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --enable-dynamic-port-allocation \
    [--min-ports-per-vm=MIN_PORTS ] \
    [--max-ports-per-vm=MAX_PORTS ]

        Se estiver a criar o gateway para intervalos de sub-redes IPv4 e IPv6, especifique os flags --nat-all-subnet-ip-ranges e --nat64-all-v6-subnet-ip-ranges neste comando.

      Substitua o seguinte:

      • NAT_CONFIG: um nome para a configuração de NAT
      • NAT_ROUTER: o nome do Cloud Router que criou no passo anterior
      • REGION: a região onde quer usar a gateway do Cloud NAT
      • Opcional: MIN_PORTS: o número mínimo de portas a atribuir a cada VM. Se a atribuição dinâmica de portas estiver ativada, MIN_PORTS tem de ser uma potência de 2 e pode estar entre 32 e 32768. A predefinição é 32.
      • Opcional: MAX_PORTS: o número máximo de portas a atribuir a cada MV. MAX_PORTS tem de ser uma potência de 2 e pode estar entre 64 e 65536. MAX_PORTS tem de ser superior a MIN_PORTS. A predefinição é 65536.

Terraform

Pode usar um módulo Terraform para criar um Cloud Router com um gateway NAT para tráfego IPv4.

module "cloud_router" {
  source  = "terraform-google-modules/cloud-router/google"
  version = "~> 7.0"
  name    = "my-cloud-router"
  project = var.project_id
  network = module.vpc.network_name
  region  = "us-central1"

  nats = [{
    name                               = "my-nat-gateway"
    source_subnetwork_ip_ranges_to_nat = "LIST_OF_SUBNETWORKS"
    subnetworks = [
      {
        name                     = module.vpc.subnets["us-central1/test-subnet-01"].id
        source_ip_ranges_to_nat  = ["PRIMARY_IP_RANGE", "LIST_OF_SECONDARY_IP_RANGES"]
        secondary_ip_range_names = module.vpc.subnets["us-central1/test-subnet-01"].secondary_ip_range[*].range_name
      }
    ]
  }]
}

O gateway NAT resultante usa os seguintes valores predefinidos:

enable_endpoint_independent_mapping = true
icmp_idle_timeout_sec               = 30
min_ports_per_vm                    = 0
nat_ip_allocate_option              = "AUTO_ONLY"
source_subnetwork_ip_ranges_to_nat  = "ALL_SUBNETWORKS_ALL_IP_RANGES"
tcp_established_idle_timeout_sec    = 1200
tcp_transitory_idle_timeout_sec     = 30
udp_idle_timeout_sec                = 30
log_config {
    enable = true
    filter = "ALL"
}

Veja uma configuração de NAT pública

Consola

  1. Na Google Cloud consola, aceda à página Cloud NAT.

    Aceda ao Cloud NAT

  2. Para ver os detalhes da gateway NAT, as informações de mapeamento ou os detalhes de configuração, clique no nome da gateway NAT.

  3. Para ver o estado da NAT, consulte a coluna Estado do gateway NAT.

gcloud

Pode ver os detalhes da configuração de NAT executando os seguintes comandos:

  • Veja a configuração do gateway de NAT público.

    gcloud compute routers nats describe NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

    Substitua o seguinte:

    • NAT_CONFIG: o nome da sua configuração de NAT
    • ROUTER_NAME: o nome do seu Cloud Router
    • REGION: a região do NAT a descrever; se não for especificada, pode ser-lhe pedido que selecione uma região (apenas no modo interativo)

  • Veja o mapeamento dos intervalos de portas:IP atribuídos à interface de cada VM.

    gcloud compute routers get-nat-mapping-info ROUTER_NAME \
    --region=REGION

  • Veja o estado do gateway NAT público.

    gcloud compute routers get-status ROUTER_NAME \
    --region=REGION

Veja os endereços IP externos atribuídos a uma gateway do Cloud NAT

Por predefinição, os gateways NAT da nuvem para NAT pública usam a atribuição automática de endereços IP. Para ver os endereços IP externos atribuídos a um gateway Cloud NAT, faça o seguinte.

Consola

  1. Na Google Cloud consola, aceda à página Cloud NAT.

    Aceda ao Cloud NAT

  2. Clique no nome da gateway do Cloud NAT.

  3. Na página Detalhes do gateway NAT na nuvem, veja os Endereços IP externos atribuídos.

gcloud

Para apresentar uma lista de todos os endereços IP NAT atribuídos, use o seguinte comando:

gcloud compute routers get-nat-ip-info NAT_ROUTER \
    --region=REGION

Para ver mais exemplos, consulte o comando gcloud compute routers get-nat-ip-info.

Atualize uma configuração de NAT público

Depois de configurar o gateway de NAT do Google Cloud, pode atualizar a configuração do gateway com base nos seus requisitos. As secções seguintes listam as tarefas que pode realizar para atualizar a sua gateway do Cloud NAT.

Atualize sub-redes configuradas com NAT

Consola

  1. Na Google Cloud consola, aceda à página Cloud NAT.

    Aceda ao Cloud NAT

  2. Clique na sua gateway do Cloud NAT.

  3. Clique em Editar.

  4. Em Mapeamento de NAT, defina Sub-redes de origem como Personalizado.

  5. Selecione uma sub-rede.

  6. Na lista Intervalos de IP, selecione os intervalos de IP de sub-rede que quer incluir.

  7. Opcional: se quiser especificar intervalos adicionais, clique em Adicionar sub-rede e intervalo de IP.

  8. Clique em Guardar.

gcloud

Use o comando gcloud compute routers nats update.

Para atualizar os intervalos de sub-rede de origem de um gateway Cloud NAT existente, execute um dos seguintes comandos, consoante a versão IP dos intervalos de sub-rede que quer atualizar:

  • Atualize os intervalos de sub-rede IPv4:

    gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES

  • Atualize os intervalos de sub-redes IPv6:

    gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES

  • Atualize os intervalos de sub-rede IPv4 e IPv6:

    gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES

Substitua o seguinte:

  • NAT_CONFIG: o nome da sua configuração de NAT
  • NAT_ROUTER: o nome do seu Cloud Router
  • REGION: a região do gateway de NAT
  • IPV4_SUBNET_RANGES: uma lista separada por vírgulas de nomes de sub-redes. Por exemplo:
    • SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL: inclui o intervalo principal e todos os intervalos secundários de sub-redes SUBNET_NAME_1 e SUBNET_NAME_2.
    • SUBNET_NAME_1,SUBNET_NAME_2: inclui apenas os intervalos principais das sub-redes SUBNET_NAME_1 e SUBNET_NAME_2.
    • SUBNET_NAME:SECONDARY_RANGE_NAME: inclui o intervalo secundário especificado da sub-rede SUBNET_NAME e não inclui o intervalo principal
    • SUBNET_NAME_1,SUBNET_NAME_2:SECONDARY_RANGE_NAME: inclui o intervalo principal da sub-rede SUBNET_NAME_1 e o intervalo secundário especificado da sub-rede SUBNET_NAME_2
  • IPV6_SUBNET_RANGES: uma lista separada por vírgulas de nomes de sub-redes, por exemplo, SUBNET_NAME_1,SUBNET_NAME_2

Remova sub-redes do NAT

Pode remover sub-redes do gateway Cloud NAT que já não estão em utilização.

Consola

  1. Na Google Cloud consola, aceda à página Cloud NAT.

    Aceda ao Cloud NAT

  2. Clique na sua gateway do Cloud NAT.

  3. Clique em Editar.

  4. Elimine a sub-rede que quer remover do mapeamento de NAT.

  5. Clique em Guardar.

gcloud

Use o comando gcloud compute routers nats update.

Só pode remover intervalos de sub-redes IPv4 ou intervalos de sub-redes IPv6, mas não ambos.

O exemplo seguinte desativa a NAT para intervalos de sub-redes IPv6:

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --clear-nat64-subnet-ip-ranges

Substitua o seguinte:

  • NAT_CONFIG: o nome da sua configuração de NAT
  • NAT_ROUTER: o nome do seu Cloud Router
  • REGION: a região do gateway de NAT

Atualize os endereços IP externos atribuídos à NAT

Pode alterar a lista de endereços IP externos para um determinado gateway ou mudar da atribuição de IP manual para automática. Quando o faz, Google Cloud remove os endereços IP atribuídos anteriormente e adiciona os novos. Todas as ligações existentes nos endereços IP atribuídos anteriormente são imediatamente fechadas. Para permitir que as ligações existentes continuem e, ao mesmo tempo, impedir novas ligações nesses endereços IP, consulte a secção Drene endereços IP externos associados à NAT deste documento.

Consola

  1. Na Google Cloud consola, aceda à página Cloud NAT.

    Aceda ao Cloud NAT

  2. Clique na sua gateway do Cloud NAT.

  3. Clique em Editar.

  4. Clique na lista Endereços IP NAT e, de seguida, selecione Automático ou Manual.

  5. Se selecionar Manual, especifique um endereço IP externo.

  6. Para alta disponibilidade, clique em Adicionar endereço IP e, de seguida, adicione um segundo endereço.

  7. Clique em Guardar.

gcloud

Use o comando gcloud compute routers nats update.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2

Substitua o seguinte:

  • NAT_CONFIG: o nome da configuração de NAT.
  • NAT_ROUTER: o nome do seu Cloud Router.
  • REGION: a região da NAT a atualizar. Se não for especificado, pode ser-lhe pedido que selecione uma região (apenas no modo interativo).
  • IP_ADDRESS_1: um endereço IP externo manual.
  • IP_ADDRESS_2: outro endereço IP externo manual.

Atualize o NAT através da utilização de endereços IP externos de um nível de rede diferente

Pode atualizar um gateway Cloud NAT existente alterando o nível de rede dos endereços IP externos associados ao gateway.

Atualize a NAT alterando o nível da rede dos endereços IP externos atribuídos automaticamente

Quando altera o nível de rede dos endereços IP externos atribuídos automaticamente associados a um gateway Cloud NAT existente,Google Cloud remove os endereços IP atribuídos anteriormente e substitui-os por endereços IP do nível de rede especificado. Todas as ligações existentes nos endereços IP atribuídos anteriormente são imediatamente fechadas.

Consola

  1. Na Google Cloud consola, aceda à página Cloud NAT.

    Aceda ao Cloud NAT

  2. Clique no nome da gateway do Cloud NAT que tem endereços IP atribuídos automaticamente.

  3. Clique em Editar.

  4. Para Nível de serviço de rede, escolha Premium ou Padrão.

  5. Clique em Guardar.

gcloud

Use o comando gcloud compute routers nats update.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips
    --auto-network-tier=AUTO_NETWORK_TIER

Substitua o seguinte:

  • NAT_CONFIG: o nome da sua configuração de NAT

  • NAT_ROUTER: o nome do seu Cloud Router

  • REGION: a região do NAT a criar; se não for especificada, pode ser-lhe pedido que selecione uma região (apenas no modo interativo)

  • AUTO_NETWORK_TIER: o nível de rede a usar quando os endereços IP são atribuídos automaticamente para a gateway do Cloud NAT. Os valores permitidos são PREMIUM e STANDARD. Se não for especificado, o nível predefinido ao nível do projeto atual é associado ao gateway NAT na nuvem.

Atualize o NAT alterando o nível de rede dos endereços IP atribuídos manualmente

Pode atualizar um NAT existente especificando manualmente endereços IP externos de um nível diferente. Pode atribuir endereços IP externos do nível Standard ou do nível Premium, ou de ambos, sujeitos a determinadas condições. Antes de especificar endereços IP externos de um nível diferente, primeiro, esgote os endereços IP existentes para permitir que as ligações existentes continuem e impedir novas ligações nos endereços IP existentes.

Consola

  1. Na Google Cloud consola, aceda à página Cloud NAT.

    Aceda ao Cloud NAT

  2. Clique no nome da gateway do Cloud NAT que tem endereços IP atribuídos manualmente.

  3. Clique em Editar.

  4. Para especificar endereços IP de um nível diferente do nível selecionado, elimine todos os endereços IP existentes ou ative a drenagem para todos os endereços IP existentes.

    Não é possível alterar o nível da rede se a drenagem estiver desativada para um endereço IP existente.

  5. Para Nível de serviço de rede, escolha Premium ou Padrão.

  6. Selecione um endereço IP externo na lista de endereços IP ativos e disponíveis.

  7. Opcional: para adicionar mais endereços IP, clique em Adicionar endereços IP.

  8. Clique em Guardar.

gcloud

Para atualizar um gateway existente, altere manualmente os endereços IP externos existentes por novos de um nível de rede diferente. Para tal, use a flag --nat-external-ip-pool do comando gcloud compute routers nats update.

Para mais informações sobre como alterar manualmente os endereços IP externos existentes, consulte o artigo Atualize os endereços IP externos associados à NAT.

Esvazie os endereços IP externos atribuídos ao NAT

Antes de remover um endereço IP configurado manualmente, pode drená-lo para que as ligações existentes não sejam interrompidas. Quando um endereço IP é esgotado, todas as ligações existentes continuam até expirarem naturalmente. Pode ver os registos para verificar o estado das associações existentes.

Não são aceites novas ligações nos endereços IP esgotados. No entanto, o endereço IP permanece associado à configuração de NAT.

Tem de ter, pelo menos, um endereço ativo numa configuração de NAT, o que significa que não pode esgotar todos os endereços IP numa configuração.

Para ver o estado dos seus endereços IP NAT, veja a configuração NAT pública.

Consola

  1. Na Google Cloud consola, aceda à página Cloud NAT.

    Aceda ao Cloud NAT

  2. Clique na sua gateway do Cloud NAT.

  3. Clique em Editar.

  4. Para endereços IP NAT, defina o valor de drenagem de IP junto ao endereço IP como Ativado.

  5. Clique em Guardar.

gcloud

Use o comando gcloud compute routers nats update.

Para esgotar um endereço, tem de o mover do conjunto ativo para o conjunto de esgotamento no mesmo comando. Se o remover do conjunto ativo sem o adicionar ao conjunto de drenagem num único comando, o endereço IP é eliminado do serviço e as ligações existentes são terminadas imediatamente.

Se mover um endereço IP do conjunto de drenagem para o conjunto ativo, está a anular a drenagem do endereço IP. Se remover um endereço IP NAT de ambos os conjuntos, este é desligado da configuração NAT.

Este comando deixa os outros campos na configuração de NAT inalterados.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_2 \
    --nat-external-drain-ip-pool=IP_ADDRESS_1

Onde:

  • --nat-external-ip-pool=IP_ADDRESS_2: atualiza o conjunto ativo para omitir IP_ADDRESS_1
  • --nat-external-drain-ip-pool=IP_ADDRESS_1: adiciona IP_ADDRESS_1 ao conjunto de drenagem

Substitua o seguinte:

  • NAT_CONFIG: o nome da configuração de NAT.
  • NAT_ROUTER: o nome do seu Cloud Router.
  • REGION: a região da NAT a atualizar. Se não for especificado, pode ser-lhe pedido que selecione uma região (apenas no modo interativo).
  • IP_ADDRESS_2: um endereço IP.
  • IP_ADDRESS_1: outro endereço IP.

Atualize o mapeamento de pontos finais

Pode ativar ou desativar o mapeamento independente do ponto final para o seu gateway. Por predefinição, esta opção está desativada. A mudança do mapeamento independente do ponto final de ativado para desativado (ou de desativado para ativado) não interrompe as ligações existentes.

Não pode ativar o mapeamento independente do ponto final se o gateway do Cloud NAT usar regras de NAT ou atribuição dinâmica de portas.

Consola

  1. Na Google Cloud consola, aceda à página Cloud NAT.

    Aceda ao Cloud NAT

  2. Clique na sua gateway do Cloud NAT.

  3. Clique em Editar.

  4. Clique em Configurações avançadas.

  5. Para ativar o mapeamento independente do ponto final, selecione a caixa de verificação Ativar mapeamento independente do ponto final. Para desativar o mapeamento independente do ponto final, desmarque a caixa de verificação.

  6. Clique em Guardar.

gcloud

Use o comando gcloud compute routers nats update.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    [--enable-endpoint-independent-mapping | --no-enable-endpoint-independent-mapping]

Substitua o seguinte:

  • NAT_CONFIG: o nome da sua configuração de NAT
  • NAT_ROUTER: o nome do seu Cloud Router
  • REGION: a região do NAT a atualizar; se não for especificada, pode ser-lhe pedido que selecione uma região (apenas no modo interativo)

Atualize o registo

Para adicionar, modificar ou remover o registo para um gateway Cloud NAT existente, consulte o artigo Configurar o registo.

Elimine uma configuração de NAT pública

A eliminação de uma configuração de gateway remove a configuração de NAT de um Cloud Router. A eliminação de uma configuração de gateway não elimina o próprio router.

Consola

  1. Na Google Cloud consola, aceda à página Cloud NAT.

    Aceda ao Cloud NAT

  2. Selecione a caixa de verificação junto à configuração de gateway que quer eliminar.

  3. No Menu, clique em Eliminar.

gcloud 

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Substitua o seguinte:

  • NAT_CONFIG: o nome da sua configuração de NAT
  • ROUTER_NAME: o nome do seu Cloud Router
  • REGION: a região do NAT a eliminar; se não for especificada, pode ser-lhe pedido que selecione uma região (apenas no modo interativo).

Quotas e limites

Para informações sobre quotas e limites, consulte o artigo Quotas e limites.

Exemplos de configurações

O que se segue?