Esta página se ha traducido con Cloud Translation API.

Configurar y gestionar la traducción de direcciones de red con NAT público

En esta página se describe cómo configurar y gestionar la traducción de direcciones de red (NAT) mediante NAT público. Antes de configurar NAT público, consulta la descripción general de NAT público.

Limitaciones

Si cambia el nivel de red de las direcciones IP asignadas automáticamente a una pasarela Cloud NAT, se cerrarán inmediatamente todas las conexiones de las direcciones IP asignadas anteriormente.
Si usas la asignación manual de direcciones IP de NAT y cambias las direcciones IP que se usan para Cloud NAT, todas las conexiones de las direcciones IP asignadas anteriormente se cerrarán inmediatamente. Para evitarlo, consulta Retirar las direcciones IP externas asociadas a NAT.
Si configuras una pasarela de Cloud NAT con asignación de puertos estática y reduces el número mínimo de puertos por instancia de máquina virtual, es posible que se interrumpan las conexiones NAT establecidas. Para obtener más información, consulta Reducir el número de puertos por VM.
Si configuras una pasarela Cloud NAT con asignación dinámica de puertos y haces más cambios en la configuración, es posible que se interrumpan las conexiones NAT establecidas. Cuando cambia la configuración, el número de puertos asignados a cada VM puede restablecerse temporalmente al número mínimo configurado. Para obtener más información, consulta Reducir el número de puertos por VM.
Si configuras una pasarela Cloud NAT con asignación dinámica de puertos y, a continuación, desactivas la asignación dinámica de puertos, se cerrarán todas las conexiones de VM que utilicen la pasarela NAT. Para obtener más información, consulta Método de asignación de puertos de conmutador.
Si la asignación independiente de puntos finales está habilitada, no puedes configurar la asignación dinámica de puertos ni las reglas NAT.
Cloud NAT no admite fragmentos de IP.
Una configuración de Cloud NAT está vinculada a una red de nube privada virtual (VPC). Por lo tanto, la configuración se aplica a todos los recursos que pertenecen a las subredes de esa red. No puedes elegir máquinas virtuales específicas para que las sirva una pasarela Cloud NAT.
La traducción de IPv6 a IPv4 solo está disponible para las instancias de máquina virtual de Compute Engine de las siguientes series de máquinas:
- Todas las series de segunda generación o anteriores
- Serie M3
Para obtener más información, consulta la terminología de Compute Engine.

En el caso de los nodos de Google Kubernetes Engine (GKE), los endpoints sin servidor y los grupos de endpoints de red (NEGs) de Internet regionales, NAT público traduce solo direcciones IPv4. Para obtener más información sobre los servicios de Google Cloud que incluyen solo la compatibilidad con IPv6, consulta Compatibilidad con IPv6 en Google Cloud.

Antes de empezar

Completa las siguientes tareas antes de configurar NAT público.

Obtener permisos de gestión de identidades y accesos

El rol Administrador de red de Compute (roles/compute.networkAdmin) incluye los permisos que necesitas para configurar NAT público.

Prepara tu entorno

En función de si quieres usar la consola de Google Cloud o la CLI de gcloud para configurar NAT pública, configura los siguientes recursos en Google Cloud.

Consola

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

gcloud

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Configurar DNS64

Si quieres usar la traducción de IPv6 a IPv4 o NAT64, debes configurar DNS64. Para configurar DNS64 en Cloud DNS, sigue las instrucciones de Configurar DNS64.

Sáltate este paso si solo quieres usar Cloud NAT para el tráfico IPv4.

Configurar NAT pública

Para configurar NAT público, crea una pasarela Cloud NAT en la red de VPC de origen. Cada pasarela está asociada a una sola red de VPC, región y Cloud Router. Cloud NAT solo usa Cloud Router para agrupar la información de configuración de NAT y no indica a Cloud Router que use el protocolo de pasarela fronteriza ni que añada rutas. El tráfico NAT no pasa por Cloud Router.

Cuando creas una pasarela Cloud NAT, puedes configurar los siguientes ajustes.

Ajuste	Opciones admitidas	Descripción
Tipo de punto final de origen	Instancias de VM, nodos de GKE y Serverless Balanceadores de carga de proxy gestionados	De forma predeterminada, NAT público proporciona servicios de NAT a instancias de VM, nodos de GKE y endpoints sin servidor. Para crear una pasarela Cloud NAT para estos recursos, sigue los pasos que se indican en la siguiente sección. Para crear una pasarela de Cloud NAT para un NEG de Internet regional, consulta "Configurar una pasarela de Cloud NAT" para lo siguiente: Balanceador de carga de aplicación externo regional Balanceador de carga de aplicación interno regional Balanceador de carga de red de proxy externo regional Balanceador de carga de red de proxy interno regional Para ver una lista completa de los recursos que admite Cloud NAT, consulta la información general sobre Cloud NAT. Google Cloud
Versión de IP de origen	Intervalos de subred IPv4 Intervalos de subred IPv6 Intervalos de subred IPv4 e IPv6	NAT pública admite la traducción de IPv4 a IPv4 y de IPv6 a IPv4. Si quieres configurar NAT64, también debes configurar DNS64. Si configuras intervalos de subredes IPv4, las instancias de máquina virtual solo IPv4 y las instancias de máquina virtual de doble pila (con sus direcciones IPv4) de las subredes solo IPv4 y de doble pila pueden comunicarse con destinos IPv4 en Internet. Si configura intervalos de subredes IPv6, las instancias de VM solo IPv6 de las subredes solo IPv6 y de doble pila pueden comunicarse con destinos IPv4 en Internet. Si configura intervalos de subredes IPv4 e IPv6, se aplicará lo siguiente: Las instancias de máquina virtual solo con IPv4 y las instancias de máquina virtual de doble pila (con sus direcciones IPv4) pueden comunicarse con destinos IPv4 en Internet. Las instancias de máquina virtual de doble pila no pueden usar sus direcciones IPv6 para comunicarse con destinos IPv4 en Internet. Las instancias de VM solo IPv6 pueden comunicarse con destinos IPv4 en Internet.
Subredes de origen	En el caso del tráfico IPv4: Intervalos principales y secundarios de todas las subredes Intervalos principales de todas las subredes Personalizado Para el tráfico IPv6: Todas las subredes Personalizado	NAT público admite los siguientes intervalos de subredes de la región de la red de VPC que especifiques: En el caso del tráfico IPv4, se trata de los intervalos principal y secundario. Puedes restringir qué subredes e intervalos de subredes pueden usar NAT. En el caso del tráfico IPv6, se trata de los intervalos internos y externos. Puedes restringir las subredes que pueden usar NAT.
Asignación de direcciones IP	Automático (recomendado) Manual	De forma predeterminada, la NAT pública usa la asignación automática de direcciones IP de NAT. Esta configuración asigna automáticamente las direcciones IP externas necesarias para proporcionar servicios NAT a una región. Las instancias de VM sin direcciones IP externas en ninguna subred de la región tienen acceso a Internet a través de NAT. Cuando usas la asignación automática de direcciones IP de NAT, Google Cloud reserva direcciones IP en tu proyecto. Estas direcciones se tienen en cuenta en las cuotas de direcciones IPv4 externas regionales en uso del proyecto. Puedes asignar manualmente direcciones IP de NAT a una pasarela de Cloud NAT. Estas direcciones se tienen en cuenta para las siguientes cuotas: Direcciones IPv4 externas regionales estáticas Direcciones IPv4 externas regionales en uso Si eliges la asignación manual, asegúrate de asignar suficientes direcciones IP para evitar que se pierdan paquetes. Para obtener más información, consulta Direcciones IP de NAT públicas.
Nivel de red	Premium Estándar	Public NAT te permite especificar los niveles de servicio de red desde los que la pasarela Cloud NAT asigna direcciones IP externas. De forma predeterminada, el nivel de red es el nivel del proyecto actual. Cuando creas una pasarela Cloud NAT con asignación automática de direcciones IP NAT, puedes asignar direcciones IP NAT del nivel Premium o del nivel Estándar. Cuando creas una pasarela Cloud NAT con asignación manual de direcciones IP NAT, puedes asignar manualmente direcciones IP NAT de los niveles Premium o Estándar, o de ambos, según ciertas condiciones.
Configuración avanzada	Asignación dinámica de puertos Asignación independiente de puntos finales Almacenamiento de registros Tiempos de espera de NAT	De forma predeterminada, NAT público usa la asignación de puertos estática, lo que significa que a cada VM se le asigna el mismo número de puertos. Puede configurar la asignación dinámica de puertos con la asignación automática o manual de direcciones IP NAT. La asignación dinámica de puertos permite que la pasarela de Cloud NAT asigne un número diferente de puertos a cada máquina virtual en función del uso. No puedes habilitar Asignación independiente del endpoint si tu pasarela Cloud NAT usa reglas NAT o asignación dinámica de puertos. El registro está inhabilitado de forma predeterminada. Para obtener información sobre los tiempos de espera de NAT y sus valores predeterminados, consulta Tiempos de espera de NAT.

Crear una pasarela de Cloud NAT

Consola

En la Google Cloud consola, ve a la página Cloud NAT.

Ir a Cloud NAT
Haz clic en Empezar para la primera pasarela de Cloud NAT o en Crear pasarela de Cloud NAT para las siguientes.
En el campo Nombre de la pasarela, introduce un nombre para la pasarela.
En Tipo de NAT, selecciona Público.
En la sección Select Cloud Router (Seleccionar router de Cloud), configure lo siguiente:
1. En el campo Red, selecciona la red de VPC en la que quieras crear la pasarela.
2. En el campo Región, define la región de la pasarela.
3. En el campo Cloud Router, selecciona o crea un router de Cloud Router en la región.
En la sección Asignación de Cloud NAT, en Tipo de endpoint de origen, comprueba que esté seleccionada la opción Instancias de VM, nodos de GKE y sin servidor.
En el campo Versión de IP de origen, selecciona la versión de IP de origen y, a continuación, configura los intervalos de subred de origen que quieras usar con Cloud NAT.

Nota: Selecciona y configura intervalos de subredes IPv6 solo si vas a configurar NAT64 para instancias de VM de Compute Engine. En el caso de los nodos de GKE, los endpoints sin servidor y los NEGs de Internet regionales, NAT público traduce solo direcciones IPv4.
- En el caso de los intervalos de subredes IPv4, en el campo Subredes de origen, seleccione una de las siguientes opciones:
  - Para usar Cloud NAT en los intervalos de IP principales y secundarios de todas las subredes de la región, selecciona Intervalos de IP principales y secundarios de todas las subredes.
  - Para usar Cloud NAT solo en los intervalos de IP principales, selecciona Intervalos de IP principales de todas las subredes.
  - Para restringir los intervalos de IP de subred que pueden usar Cloud NAT, selecciona Personalizado y haz lo siguiente:
    1. En la sección Subredes, selecciona una subred.
    2. En la lista Intervalos de IP, selecciona los intervalos de IP de subred que quieras incluir y haz clic en Aceptar.
    3. Opcional: Si quieres especificar más intervalos, haz clic en Añadir subred e intervalo de IPs y añade otra subred.
- En el caso de los intervalos de subred IPv6, en el campo Subredes de origen, seleccione una de las siguientes opciones:
  - Para usar Cloud NAT en intervalos de IP internos y externos de todas las subredes de la región, selecciona Todas las subredes.
  - Para restringir las subredes que pueden usar Cloud NAT, selecciona Personalizado y haz lo siguiente:
    1. En la sección Subredes, selecciona una subred.
    2. Opcional: Si quieres especificar más subredes, haz clic en Añadir subred y añade otra subred.
Para configurar el tipo de asignación de direcciones IP de NAT y el nivel de red, selecciona una de las siguientes opciones:
- Para usar la asignación automática de direcciones IP de NAT, haz lo siguiente:
  1. En la lista Direcciones IP de Cloud NAT, selecciona Automático (recomendado).
  2. En Nivel de servicio de red, elija Premium o Estándar.
- Para usar la asignación manual de direcciones IP de NAT, haz lo siguiente:
  1. En la lista Direcciones IP de Cloud NAT, selecciona Manual.
  2. En Nivel de servicio de red, elija Premium o Estándar.
  3. Selecciona o crea una dirección IP externa estática reservada para usarla en NAT.
  4. Opcional: Si quieres especificar más direcciones IP, haz clic en Añadir dirección IP y, a continuación, selecciona o crea otra dirección IP externa estática reservada.
  5. Opcional: Si quiere crear reglas de NAT personalizadas, configure la sección Reglas de Cloud NAT. Para obtener instrucciones, consulta el artículo Crear reglas NAT.
Opcional: Ajusta cualquiera de las siguientes opciones en la sección Configuraciones avanzadas:
- Indica si se debe configurar el registro. La opción Sin registro está seleccionada de forma predeterminada.
- Indica si se debe cambiar la forma en que Cloud NAT asigna los puertos. De forma predeterminada, la opción Habilitar asignación dinámica de puertos está desmarcada. En la asignación de puertos estáticos, el campo Número mínimo de puertos por instancia de VM tiene el valor 64.
  - Para actualizar el número mínimo de puertos por instancia de VM para la asignación de puertos estáticos, especifica un valor en el campo Número mínimo de puertos por instancia de VM. Este valor puede oscilar entre 2 y 57344.
  - Para configurar la asignación dinámica de puertos, selecciona Habilitar asignación dinámica de puertos y, a continuación, elige un valor para el campo Número mínimo de puertos por instancia de VM (el valor predeterminado es 32) y el campo Número máximo de puertos por instancia de VM (el valor predeterminado es 65536).
- Indica si se deben actualizar los tiempos de espera de NAT para las conexiones de protocolos. Para obtener información sobre estos tiempos de espera y sus valores predeterminados, consulta Tiempos de espera de NAT.
Haz clic en Crear.

gcloud

Para crear una pasarela Cloud NAT, usa el comando gcloud compute routers nats create. Puedes crear una pasarela Cloud NAT con todas sus opciones de configuración definidas con sus valores predeterminados o personalizar la configuración de la pasarela.

Crear una pasarela de Cloud NAT con la configuración predeterminada
Personalizar los ajustes de configuración de una pasarela de Cloud NAT

Crear una pasarela de Cloud NAT con la configuración predeterminada

Crea un router de Cloud Router en la región en la que quieras usar la pasarela Cloud NAT. Necesitas este router de Cloud para crear tu pasarela de Cloud NAT.
Crea la pasarela Cloud NAT ejecutando uno de los siguientes comandos, en función de la versión de IP de los intervalos de subredes de origen para los que estés configurando NAT.

Nota: Configura NAT para intervalos de subredes IPv6 solo si vas a configurar NAT64 para instancias de máquina virtual de Compute Engine. En el caso de los nodos de GKE, los endpoints sin servidor y los NEGs de Internet regionales, NAT público traduce solo direcciones IPv4.
- Configura Cloud NAT para los intervalos de subred IPv4:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips
```
  Esta configuración habilita NAT para todos los intervalos de subredes IPv4 en subredes solo IPv4 y de doble pila de la región.
- Configura Cloud NAT para intervalos de subredes IPv6:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips
```
  Esta configuración habilita NAT para todos los intervalos de subred IPv6 en subredes solo IPv6 y de doble pila de la región.
- Configura Cloud NAT para los intervalos de subredes IPv4 e IPv6:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips
```
  Esta configuración habilita NAT para todos los intervalos de subredes IPv4 e IPv6 en subredes solo IPv4, de doble pila y solo IPv6 de la región.
Haz los cambios siguientes:
- NAT_CONFIG: un nombre para la configuración de NAT
- NAT_ROUTER: el nombre del router de Cloud que has creado en el paso anterior
- REGION: la región en la que quieres usar la pasarela de Cloud NAT

Personalizar los ajustes de configuración de una pasarela Cloud NAT

Cuando creas una pasarela Cloud NAT, puedes personalizar su configuración predeterminada. Para ver una lista completa de las marcas que puedes usar, consulta el comando gcloud compute routers nats create.

Crea una pasarela Cloud NAT para intervalos de subredes IPv6 solo si vas a configurar NAT64 para instancias de VM de Compute Engine. En el caso de los nodos de GKE, los endpoints sin servidor y los NEGs de Internet regionales, NAT público traduce solo direcciones IPv4.

Crea una pasarela de Cloud NAT:

Crea un router de Cloud Router en la región en la que quieras usar la pasarela Cloud NAT. Necesitas este router de Cloud para crear tu pasarela de Cloud NAT.
Cree la pasarela de Cloud NAT y especifique cada parámetro que quiera personalizar.

En los siguientes ejemplos se muestra cómo personalizar las subredes de origen, el tipo de asignación de direcciones IP de NAT, el nivel de red y el tipo de asignación de puertos.

El comando que ejecutes en cada uno de estos ejemplos depende de la versión de IP de los intervalos de subred de origen para los que estés configurando NAT.
- Restringe las subredes de origen que pueden usar NAT. Para crear una pasarela Cloud NAT que restrinja las subredes y los intervalos de subredes que pueden usar NAT, ejecuta uno de los siguientes comandos:
  - Restringe los intervalos de subred IPv4 que pueden usar NAT:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --auto-allocate-nat-external-ips
```
  - Restringe los intervalos de subred IPv6 que pueden usar NAT:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES \
    --auto-allocate-nat-external-ips
```
  - Restringe los intervalos de subredes IPv4 e IPv6:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES \
    --auto-allocate-nat-external-ips
```
  Haz los cambios siguientes:
  - NAT_CONFIG: un nombre para la configuración de NAT
  - NAT_ROUTER: el nombre del Cloud Router que has creado en el paso anterior.
  - REGION: la región en la que quieres usar la pasarela de Cloud NAT
  - IPV4_SUBNET_RANGES: lista de nombres de subredes separados por comas. Por ejemplo:
    - SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL: incluye tanto el intervalo principal como todos los intervalos secundarios de las subredes SUBNET_NAME_1 y SUBNET_NAME_2.
    - SUBNET_NAME_1,SUBNET_NAME_2: incluye solo los intervalos principales de las subredes SUBNET_NAME_1 y SUBNET_NAME_2.
    - SUBNET_NAME:SECONDARY_RANGE_NAME: incluye el intervalo secundario especificado de la subred SUBNET_NAME y no incluye el intervalo principal.
    - SUBNET_NAME_1,SUBNET_NAME_2:SECONDARY_RANGE_NAME: incluye el intervalo principal de la subred SUBNET_NAME_1 y el intervalo secundario especificado de la subred SUBNET_NAME_2
  - IPV6_SUBNET_RANGES: lista de nombres de subredes separados por comas (por ejemplo, SUBNET_NAME_1,SUBNET_NAME_2).
- Configura la asignación manual de direcciones IP de NAT. Para crear una pasarela Cloud NAT con asignación manual de direcciones IP NAT, ejecuta uno de los siguientes comandos:
  - En el caso de los intervalos de subred IPv4:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2
```
  - En el caso de los intervalos de subred IPv6:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2
```
    Si vas a crear la pasarela para intervalos de subredes IPv4 e IPv6, especifica las marcas --nat-all-subnet-ip-ranges y --nat64-all-v6-subnet-ip-ranges en este comando.
  Haz los cambios siguientes:
  - NAT_CONFIG: un nombre para la configuración de NAT
  - NAT_ROUTER: el nombre del Cloud Router que has creado en el paso anterior.
  - REGION: la región en la que quieres usar la pasarela de Cloud NAT
  - IP_ADDRESS_1 y IP_ADDRESS_2: las direcciones IP externas estáticas reservadas que quieres usar para NAT
    
    Puedes especificar una o varias direcciones IP cuando uses la marca --nat-external-ip-pool.
- Especifica el nivel de red. Para especificar el nivel de red desde el que la puerta de enlace Cloud NAT asigna direcciones IP externas, ejecuta uno de los siguientes comandos:
  - En el caso de los intervalos de subred IPv4:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --auto-network-tier=AUTO_NETWORK_TIER
```
  - En el caso de los intervalos de subred IPv6:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --auto-network-tier=AUTO_NETWORK_TIER
```
    Si vas a crear la pasarela para intervalos de subredes IPv4 e IPv6, especifica las marcas --nat-all-subnet-ip-ranges y --nat64-all-v6-subnet-ip-ranges en este comando.
  Haz los cambios siguientes:
  - NAT_CONFIG: un nombre para la configuración de NAT
  - NAT_ROUTER: el nombre del Cloud Router que has creado en el paso anterior.
  - REGION: la región en la que quieres usar la pasarela de Cloud NAT
  - AUTO_NETWORK_TIER: el nivel de red que se debe usar al asignar automáticamente direcciones IP a la pasarela Cloud NAT. Los valores permitidos son PREMIUM y STANDARD. Si no se especifica, se asociará el nivel predeterminado del proyecto actual a la pasarela Cloud NAT.
    
    También puedes especificar el nivel de red con la asignación manual de direcciones IP de NAT. Si asignas varias direcciones IP a la pasarela, todas las direcciones IP que asignes deben pertenecer al mismo nivel de red.
- Configurar la asignación dinámica de puertos. Para crear una pasarela Cloud NAT con asignación dinámica de puertos, ejecuta uno de los siguientes comandos:
  - En el caso de los intervalos de subred IPv4:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --enable-dynamic-port-allocation \
    [--min-ports-per-vm=MIN_PORTS ] \
    [--max-ports-per-vm=MAX_PORTS ]
```
  - En el caso de los intervalos de subred IPv6:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --enable-dynamic-port-allocation \
    [--min-ports-per-vm=MIN_PORTS ] \
    [--max-ports-per-vm=MAX_PORTS ]
```
    Si vas a crear la pasarela para intervalos de subredes IPv4 e IPv6, especifica las marcas --nat-all-subnet-ip-ranges y --nat64-all-v6-subnet-ip-ranges en este comando.
  Haz los cambios siguientes:
  - NAT_CONFIG: un nombre para la configuración de NAT
  - NAT_ROUTER: el nombre del Cloud Router que has creado en el paso anterior.
  - REGION: la región en la que quieres usar la pasarela de Cloud NAT
  - Opcional: MIN_PORTS, el número mínimo de puertos que se asignarán a cada VM. Si la asignación dinámica de puertos está habilitada, MIN_PORTS debe ser una potencia de 2 y puede estar entre 32 y 32768. El valor predeterminado es 32.
  - Opcional: MAX_PORTS: número máximo de puertos que se asignarán a cada máquina virtual. MAX_PORTS debe ser una potencia de 2 y puede estar entre 64 y 65536. MAX_PORTS debe ser mayor que MIN_PORTS. El valor predeterminado es 65536.

Terraform

Puedes usar un módulo de Terraform para crear un Cloud Router con una pasarela NAT para el tráfico IPv4.

module "cloud_router" {
  source  = "terraform-google-modules/cloud-router/google"
  version = "~> 7.0"
  name    = "my-cloud-router"
  project = var.project_id
  network = module.vpc.network_name
  region  = "us-central1"

  nats = [{
    name                               = "my-nat-gateway"
    source_subnetwork_ip_ranges_to_nat = "LIST_OF_SUBNETWORKS"
    subnetworks = [
      {
        name                     = module.vpc.subnets["us-central1/test-subnet-01"].id
        source_ip_ranges_to_nat  = ["PRIMARY_IP_RANGE", "LIST_OF_SECONDARY_IP_RANGES"]
        secondary_ip_range_names = module.vpc.subnets["us-central1/test-subnet-01"].secondary_ip_range[*].range_name
      }
    ]
  }]
}

La pasarela NAT resultante usa los siguientes valores predeterminados:

enable_endpoint_independent_mapping = true
icmp_idle_timeout_sec               = 30
min_ports_per_vm                    = 0
nat_ip_allocate_option              = "AUTO_ONLY"
source_subnetwork_ip_ranges_to_nat  = "ALL_SUBNETWORKS_ALL_IP_RANGES"
tcp_established_idle_timeout_sec    = 1200
tcp_transitory_idle_timeout_sec     = 30
udp_idle_timeout_sec                = 30
log_config {
    enable = true
    filter = "ALL"
}

Ver una configuración de NAT pública

Consola

En la Google Cloud consola, ve a la página Cloud NAT.

Ir a Cloud NAT
Para ver los detalles, la información de asignación o los detalles de configuración de una pasarela de NAT, haga clic en su nombre.
Para ver el estado de NAT, consulta la columna Estado de tu pasarela de NAT.

gcloud

Para ver los detalles de la configuración de NAT, ejecuta los siguientes comandos:

Consulta la configuración de la pasarela de NAT pública.
```
gcloud compute routers nats describe NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION
```
Haz los cambios siguientes:
- NAT_CONFIG: el nombre de tu configuración de NAT
- ROUTER_NAME: el nombre de tu Cloud Router
- REGION: la región del NAT que se va a describir. Si no se especifica, es posible que se te pida que selecciones una región (solo en el modo interactivo).
Consulta la asignación de los intervalos de puertos e IPs asignados a la interfaz de cada máquina virtual.
```
gcloud compute routers get-nat-mapping-info ROUTER_NAME \
    --region=REGION
```

Consulta el estado de la pasarela NAT pública.

gcloud compute routers get-status ROUTER_NAME \
    --region=REGION

Ver las direcciones IP externas asignadas a una pasarela de Cloud NAT

De forma predeterminada, las pasarelas Cloud NAT para NAT pública usan la asignación automática de direcciones IP. Para ver las direcciones IP externas que se han asignado a una pasarela Cloud NAT, sigue estos pasos.

Consola

En la Google Cloud consola, ve a la página Cloud NAT.

Ir a Cloud NAT
Haz clic en el nombre de tu pasarela de Cloud NAT.
En la página Detalles de la pasarela Cloud NAT, consulta Direcciones IP externas asignadas.

gcloud

Para ver una lista de todas las direcciones IP NAT asignadas, usa el siguiente comando:

gcloud compute routers get-nat-ip-info NAT_ROUTER \
    --region=REGION

Para ver más ejemplos, consulta el comando gcloud compute routers get-nat-ip-info.

Actualizar una configuración de NAT pública

Una vez que hayas configurado tu pasarela de Cloud NAT, podrás actualizar su configuración en función de tus requisitos. En las siguientes secciones se enumeran las tareas que puedes realizar para actualizar tu gateway de Cloud NAT.

Actualizar subredes configuradas con NAT

Consola

En la Google Cloud consola, ve a la página Cloud NAT.

Ir a Cloud NAT
Haz clic en tu pasarela de Cloud NAT.
Haz clic en Editar.
En Asignación de NAT, defina Subredes de origen como Personalizado.
Selecciona una subred.
En la lista Intervalos de IP, selecciona los intervalos de IP de subred que quieras incluir.
Opcional: Si quieres especificar más intervalos, haz clic en Añadir subred e intervalo de IP.
Haz clic en Guardar.

gcloud

Usa el comando gcloud compute routers nats update.

Para actualizar los intervalos de subred de origen de una pasarela Cloud NAT, ejecuta uno de los siguientes comandos, en función de la versión de IP de los intervalos de subred que quieras actualizar:

Actualiza los intervalos de subredes IPv4:

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES

Actualiza los intervalos de subred IPv6:

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES

Actualiza los intervalos de subredes IPv4 e IPv6:

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES

Haz los cambios siguientes:

NAT_CONFIG: el nombre de tu configuración de NAT
NAT_ROUTER: el nombre de tu Cloud Router
REGION: la región de la pasarela de NAT
IPV4_SUBNET_RANGES: una lista de nombres de subredes separados por comas. Por ejemplo:
- SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL: incluye tanto el intervalo principal como todos los intervalos secundarios de las subredes SUBNET_NAME_1 y SUBNET_NAME_2.
- SUBNET_NAME_1,SUBNET_NAME_2: incluye solo los intervalos principales de las subredes SUBNET_NAME_1 y SUBNET_NAME_2.
- SUBNET_NAME:SECONDARY_RANGE_NAME: incluye el intervalo secundario especificado de la subred SUBNET_NAME y no incluye el intervalo principal.
- SUBNET_NAME_1,SUBNET_NAME_2:SECONDARY_RANGE_NAME: incluye el intervalo principal de la subred SUBNET_NAME_1 y el intervalo secundario especificado de la subred SUBNET_NAME_2
IPV6_SUBNET_RANGES: lista de nombres de subredes separados por comas (por ejemplo, SUBNET_NAME_1,SUBNET_NAME_2).

Quitar subredes de NAT

Puedes quitar de la pasarela de Cloud NAT las subredes que ya no se usen.

Consola

En la Google Cloud consola, ve a la página Cloud NAT.

Ir a Cloud NAT
Haz clic en tu pasarela de Cloud NAT.
Haz clic en Editar.
Elimina la subred que quieras quitar de la asignación de NAT.

Nota: Si la subred que has eliminado es la única que está asignada a la pasarela NAT pública, el sistema te pedirá que añadas una subred. Puede asignar una subred nueva o seleccionar Intervalos principales y secundarios para todas las subredes en la lista Fuente.
Haz clic en Guardar.

gcloud

Usa el comando gcloud compute routers nats update.

Solo puedes quitar intervalos de subredes IPv4 o IPv6, pero no ambos.

En el siguiente ejemplo se inhabilita NAT para los intervalos de subredes IPv6:

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --clear-nat64-subnet-ip-ranges

Haz los cambios siguientes:

NAT_CONFIG: el nombre de tu configuración de NAT
NAT_ROUTER: el nombre de tu Cloud Router
REGION: la región de la pasarela de NAT

Actualizar las direcciones IP externas asignadas a NAT

Puedes cambiar la lista de direcciones IP externas de una pasarela o un switch determinados de la asignación manual a la automática. Cuando lo hagas,se Google Cloud eliminarán las direcciones IP asignadas anteriormente y se añadirán las nuevas. Las conexiones que haya en las direcciones IP asignadas anteriormente se cerrarán inmediatamente. Para permitir que las conexiones sigan activas y, al mismo tiempo, evitar que se establezcan nuevas conexiones en esas direcciones IP, consulta la sección Desactivar las direcciones IP externas asociadas a NAT de este documento.

Consola

En la Google Cloud consola, ve a la página Cloud NAT.

Ir a Cloud NAT
Haz clic en tu pasarela de Cloud NAT.
Haz clic en Editar.
Haga clic en la lista Direcciones IP de NAT y, a continuación, seleccione Automático o Manual.
Si seleccionas Manual, especifica una dirección IP externa.
Para conseguir una alta disponibilidad, haz clic en Añadir dirección IP y, a continuación, añade una segunda dirección.
Haz clic en Guardar.

gcloud

Usa el comando gcloud compute routers nats update.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2

Haz los cambios siguientes:

NAT_CONFIG: el nombre de tu configuración de NAT.
NAT_ROUTER: el nombre de tu Cloud Router.
REGION: la región de la NAT que se va a actualizar. Si no se especifica, es posible que se te pida que selecciones una región (solo en modo interactivo).
IP_ADDRESS_1: una dirección IP externa manual.
IP_ADDRESS_2: otra dirección IP externa manual.

Actualizar NAT mediante direcciones IP externas de otro nivel de red

Puedes actualizar una pasarela Cloud NAT cambiando el nivel de red de las direcciones IP externas asociadas a la pasarela.

Actualizar NAT cambiando el nivel de red de las direcciones IP externas asignadas automáticamente

Cuando cambias el nivel de red de las direcciones IP externas asignadas automáticamente asociadas a una pasarela Cloud NAT,Google Cloud elimina las direcciones IP asignadas anteriormente y las sustituye por direcciones IP del nivel de red especificado. Las conexiones que haya en las direcciones IP asignadas anteriormente se cerrarán inmediatamente.

Consola

En la Google Cloud consola, ve a la página Cloud NAT.

Ir a Cloud NAT
Haz clic en el nombre de la pasarela de Cloud NAT que tenga direcciones IP asignadas automáticamente.
Haz clic en Editar.
En Nivel de servicio de red, elija Premium o Estándar.
Haz clic en Guardar.

gcloud

Usa el comando gcloud compute routers nats update.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips
    --auto-network-tier=AUTO_NETWORK_TIER

Haz los cambios siguientes:

NAT_CONFIG: el nombre de tu configuración de NAT
NAT_ROUTER: el nombre de tu Cloud Router
REGION: la región de la NAT que se va a crear. Si no se especifica, es posible que se te pida que selecciones una región (solo en modo interactivo).
AUTO_NETWORK_TIER: el nivel de red que se debe usar al asignar automáticamente direcciones IP a la pasarela Cloud NAT. Los valores permitidos son PREMIUM y STANDARD. Si no se especifica, se asocia el nivel predeterminado del proyecto actual a la pasarela Cloud NAT.

Actualizar NAT cambiando el nivel de red de las direcciones IP asignadas manualmente

Puedes actualizar un NAT especificando manualmente direcciones IP externas de otro nivel. Puedes asignar direcciones IP externas de los niveles Estándar o Premium, o de ambos, según determinadas condiciones. Antes de especificar direcciones IP externas de otro nivel, agota las direcciones IP actuales para que las conexiones ya establecidas puedan continuar y evitar que se creen nuevas conexiones en las direcciones IP actuales.

Consola

En la Google Cloud consola, ve a la página Cloud NAT.

Ir a Cloud NAT
Haga clic en el nombre de la pasarela de Cloud NAT que tenga direcciones IP asignadas manualmente.
Haz clic en Editar.
Para especificar direcciones IP de un nivel diferente al seleccionado, elimina todas las direcciones IP o habilita el drenaje de todas las direcciones IP.

No puedes cambiar el nivel de red si el drenaje está inhabilitado para una dirección IP.
En Nivel de servicio de red, elija Premium o Estándar.
Seleccione una dirección IP externa de la lista de direcciones IP activas y disponibles.

Nota: La opción de drenaje siempre está inhabilitada para las direcciones IP recién seleccionadas.
Opcional: Para añadir más direcciones IP, haz clic en Añadir direcciones IP.
Haz clic en Guardar.

gcloud

Para actualizar una pasarela cambiando manualmente las direcciones IP externas por otras nuevas de un nivel de red diferente, usa la marca --nat-external-ip-pool del comando gcloud compute routers nats update.

Para obtener más información sobre cómo cambiar manualmente las direcciones IP externas, consulta Actualizar las direcciones IP externas asociadas a NAT.

Retirar las direcciones IP externas asignadas a NAT

Antes de quitar una dirección IP configurada manualmente, puedes vaciarla para que no se interrumpan las conexiones actuales. Cuando se vacía una dirección IP, todas las conexiones ya establecidas continúan hasta que expiran de forma natural. Puedes ver los registros para comprobar el estado de las conexiones.

No se aceptan conexiones nuevas en las direcciones IP de desvío. Sin embargo, la dirección IP sigue asociada a la configuración de NAT.

Debes tener al menos una dirección activa en una configuración NAT, lo que significa que no puedes agotar todas las direcciones IP de una configuración.

Para ver el estado de tus direcciones IP NAT, consulta la configuración de NAT público.

Consola

En la Google Cloud consola, ve a la página Cloud NAT.

Ir a Cloud NAT
Haz clic en tu pasarela de Cloud NAT.
Haz clic en Editar.
En Direcciones IP de NAT, define el valor IP draining junto a la dirección IP como Activado.
Haz clic en Guardar.

gcloud

Usa el comando gcloud compute routers nats update.

Para vaciar una dirección, debes moverla del grupo activo al grupo de vaciado en el mismo comando. Si la quitas del grupo activo sin añadirla al grupo de drenaje en un solo comando, la dirección IP se eliminará del servicio y las conexiones existentes se terminarán inmediatamente.

Si mueves una dirección IP del grupo de drenaje al grupo activo, la sacas del drenaje. Si quitas una dirección IP de NAT de ambos pools, se desconectará de la configuración de NAT.

Este comando no modifica el resto de los campos de la configuración de NAT.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_2 \
    --nat-external-drain-ip-pool=IP_ADDRESS_1

Donde:

--nat-external-ip-pool=IP_ADDRESS_2: actualiza el grupo activo para omitir IP_ADDRESS_1
--nat-external-drain-ip-pool=IP_ADDRESS_1: añade IP_ADDRESS_1 al grupo de drenaje

Haz los cambios siguientes:

NAT_CONFIG: el nombre de tu configuración de NAT.
NAT_ROUTER: el nombre de tu Cloud Router.
REGION: la región de la NAT que se va a actualizar. Si no se especifica, es posible que se te pida que selecciones una región (solo en modo interactivo).
IP_ADDRESS_2: una dirección IP.
IP_ADDRESS_1: otra dirección IP.

Actualizar la asignación de endpoints

Puedes habilitar o inhabilitar Asignación independiente de puntos finales en tu pasarela. Esta opción está inhabilitada de forma predeterminada. Si cambias la asignación independiente de puntos finales de habilitada a inhabilitada (o viceversa), no se interrumpirán las conexiones existentes.

No puedes habilitar la asignación independiente de puntos finales si tu gateway de Cloud NAT usa reglas de NAT o asignación dinámica de puertos.

Consola

En la Google Cloud consola, ve a la página Cloud NAT.

Ir a Cloud NAT
Haz clic en tu pasarela de Cloud NAT.
Haz clic en Editar.
Haz clic en Configuraciones avanzadas.
Para habilitar la asignación independiente de puntos finales, selecciona la casilla Habilitar la asignación independiente de puntos finales. Para inhabilitar la asignación independiente de puntos finales, desmarque la casilla.
Haz clic en Guardar.

gcloud

Usa el comando gcloud compute routers nats update.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    [--enable-endpoint-independent-mapping | --no-enable-endpoint-independent-mapping]

Haz los cambios siguientes:

NAT_CONFIG: el nombre de tu configuración de NAT
NAT_ROUTER: el nombre de tu Cloud Router
REGION: la región del NAT que se va a actualizar. Si no se especifica, es posible que se te pida que selecciones una región (solo en modo interactivo).

Actualizar el registro

Para añadir, modificar o quitar el registro de un gateway de Cloud NAT, consulta Configurar el registro.

Eliminar una configuración de NAT pública

Si eliminas una configuración de pasarela, se eliminará la configuración de NAT de un Cloud Router. Si eliminas una configuración de pasarela, no se elimina el router.

Consola

En la Google Cloud consola, ve a la página Cloud NAT.

Ir a Cloud NAT
Seleccione la casilla situada junto a la configuración de la pasarela que quiera eliminar.
En el menú, haz clic en Eliminar.

gcloud

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Haz los cambios siguientes:

NAT_CONFIG: el nombre de tu configuración de NAT
ROUTER_NAME: el nombre de tu Cloud Router
REGION: la región de la NAT que se va a eliminar. Si no se especifica, es posible que se te pida que selecciones una región (solo en modo interactivo).

Cuotas y límites

Para obtener información sobre las cuotas y los límites, consulta Cuotas y límites.

Configuraciones de ejemplo

Siguientes pasos

Configura el registro y la monitorización de Cloud NAT.
Soluciona problemas habituales con las configuraciones de NAT.