Configurar e gerenciar a conversão de endereços de rede com o Public NAT

Nesta página, descrevemos como configurar e gerenciar a conversão de endereços de rede (NAT) usando o Public NAT. Antes de configurar o Public NAT, consulte a visão geral do recurso.

Limitações

  • Se você alterar o nível de rede dos endereços IP alocados automaticamente para um gateway do Cloud NAT, todas as conexões nos endereços IP já alocados serão encerradas imediatamente.

  • Se você usar a alocação de endereços IP por NAT manual e alterar os endereços IP usados para o Cloud NAT, todas as conexões nos endereços IP já alocados serão encerradas imediatamente. Para evitar isso, consulte Drenar endereços IP externos associados ao NAT.

  • Se você configurar um gateway do Cloud NAT com alocação de porta estática e reduzir o número mínimo de portas por instância de máquina virtual (VM), talvez as conexões NAT estabelecidas sejam interrompidas. Saiba mais em Como reduzir o número de portas por VM.

  • Se você configurar um gateway do Cloud NAT com alocação de porta dinâmica e fizer outras alterações de configuração, talvez as conexões NAT estabelecidas sejam interrompidas. Quando a configuração muda, talvez o número de portas alocadas a cada VM volte ao número mínimo configurado. Saiba mais em Como reduzir o número de portas por VM.

  • Se você configurar um gateway do Cloud NAT com alocação de porta dinâmica e desativar a alocação de porta dinâmica, todas as conexões de VM que usam o gateway de NAT serão fechadas. Saiba mais em Mudar o método de alocação de portas.

  • Quando o mapeamento independente de endpoint está ativado, não é possível configurar a alocação de porta dinâmica nem as regras de NAT.

  • O Cloud NAT não é compatível com fragmentos de IP.

  • As configurações do Cloud NAT estão vinculadas a uma rede de nuvem privada virtual (VPC). Portanto, a configuração se aplica a todos os recursos que pertencem às sub-redes da rede. Não é possível escolher quais VMs serão atendidas pelo gateway do Cloud NAT.

  • A conversão de IPv6 para IPv4 está disponível apenas para as instâncias de VM do Compute Engine destas séries de máquinas:

    • Todas as séries da segunda geração ou anteriores
    • Série M3

    Saiba mais em Terminologia do Compute Engine.

    Para nós do Google Kubernetes Engine (GKE), endpoints sem servidor e grupos de endpoints de rede (NEG, na sigla em inglês) regionais da Internet, o Public NAT converte apenas os endereços IPv4. Saiba quais serviços no Google Cloud incluem o suporte apenas a IPv6 nesta página do Google Cloud.

Antes de começar

Faça estas tarefas antes de configurar o Public NAT.

Acessar permissões do IAM

O papel Administrador de rede do Compute (roles/compute.networkAdmin) inclui as permissões necessárias para configurar o Public NAT.

Preparar o ambiente

Configure os seguintes recursos no Google Cloudusando o console do Google Cloud ou a gcloud CLI, segundo sua preferência.

Console

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine API.

    Enable the API

    8.

    gcloud

    1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

    2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    3. Verify that billing is enabled for your Google Cloud project.

    4. Enable the Compute Engine API.

      Enable the API

    5. Install the Google Cloud CLI.

    6. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

    7. Para inicializar a gcloud CLI, execute o seguinte comando: 

      gcloud init

    8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    9. Verify that billing is enabled for your Google Cloud project.

    10. Enable the Compute Engine API.

      Enable the API

    11. Install the Google Cloud CLI.

    12. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

    13. Para inicializar a gcloud CLI, execute o seguinte comando: 

      gcloud init

Configurar o DNS64

Se você quiser usar a conversão de IPv6 para IPv4 ou NAT64, configure o DNS64. Para configurar o DNS64 no Cloud DNS, siga estas instruções.

Pule esta etapa se quiser usar o Cloud NAT apenas para tráfego IPv4.

Configurar o Public NAT

Para configurar o Public NAT, crie um gateway do Cloud NAT na rede VPC de origem. Cada gateway está associado a uma única rede VPC, região e Cloud Router. O Cloud NAT usa o Cloud Router apenas para agrupar informações de configuração do NAT e não o direciona para usar o protocolo de gateway de borda nem adicionar rotas. O tráfego NAT não passa pelo Cloud Router.

Ao criar um gateway do Cloud NAT, é possível configurar as seguintes opções.

Configuração Opções aceitas Descrição
Tipo de endpoint de origem
  • Instâncias de VM, nós do GKE, sem servidor
  • Balanceadores de carga de proxy gerenciados

Por padrão, o Public NAT fornece NAT para instâncias de VM, nós do GKE e endpoints sem servidor. Para criar um gateway do Cloud NAT para esses recursos, siga as etapas na seção a seguir.

Para criar um gateway do Cloud NAT para um NEG regional da Internet, consulte "Configurar um gateway do Cloud NAT" para o seguinte:

Confira a lista completa dos recursos do Google Cloud compatíveis com o Cloud NAT na Visão geral do Cloud NAT.
Versão do IP de origem
  • Intervalos de sub-rede IPv4
  • Intervalos de sub-rede IPv6
  • Intervalos de sub-rede IPv4 e IPv6
 O Public NAT faz a conversão de IPv4 para IPv4 e de IPv6 para IPv4. Se você quiser configurar o NAT64, também será necessário configurar o DNS64.
  • Se você configurar intervalos de sub-rede IPv4, as instâncias de VM somente IPv4 e de pilha dupla (usando os endereços IPv4) em sub-redes somente IPv4 e de pilha dupla poderão se comunicar com destinos IPv4 na Internet.
  • Se você configurar intervalos de sub-rede IPv6, as instâncias de VM somente IPv6 em sub-redes somente IPv6 e de pilha dupla poderão se comunicar com destinos IPv4 na Internet.
  • Se você configurar intervalos de sub-rede IPv4 e IPv6, vai acontecer o seguinte:
    • As instâncias de VM somente IPv4 e as de pilha dupla (usando os endereços IPv4) poderão se comunicar com destinos IPv4 na Internet.
    • As instâncias de VM de pilha dupla não poderão usar os endereços IPv6 para se comunicar com destinos IPv4 na Internet.
    • As instâncias de VM somente IPv6 poderão se comunicar com destinos IPv4 na Internet.
Sub-redes de origem

Para o tráfego IPv4:

  • Intervalos principais e secundários de todas as sub-redes
  • Intervalos principais de todas as sub-redes
  • Personalizado

Para o tráfego IPv6:

  • Todas as sub-redes
  • Personalizado

O Public NAT dá suporte aos seguintes intervalos de sub-rede na região da rede VPC especificada:

  • Para tráfego IPv4: intervalos primários e secundários. É possível restringir quais sub-redes e intervalos de sub-redes podem usar a NAT.
  • Para tráfego IPv6: intervalos internos e externos. É possível restringir quais sub-redes podem usar a NAT.
Alocação de endereço IP
  • Automático (recomendado)
  • Manual

Por padrão, o Public NAT usa a alocação automática de endereços IP. Com essa configuração, os endereços IP externos necessários para os serviços NAT em uma região serão alocados automaticamente. As instâncias de VM sem endereços IP externos em qualquer sub-rede da região recebem acesso à Internet por NAT. Quando você usa a alocação automática de endereços IP de NAT, o Google Cloud reserva endereços IP no seu projeto. Esses endereços são contabilizados em suas cotas de endereços IPv4 externos regionais em uso no projeto.

É possível alocar endereços IP NAT manualmente para um gateway do Cloud NAT. Esses endereços são contabilizados nas seguintes cotas:

Se você escolher a alocação manual, aloque endereços IP suficientes para evitar o descarte de pacotes.

Saiba mais em Endereços IP do Public NAT.
Nível da rede
  • Premium
  • Standard
 Com o Public NAT, é possível especificar os níveis de serviço de rede em que o gateway do Cloud NAT aloca endereços IP externos. Por padrão, o nível de rede é o nível atual do projeto.
  • Ao criar um gateway do Cloud NAT com alocação automática de endereço IP de NAT, é possível atribuir endereços IP de NAT do nível Premium ou Standard.
  • Ao criar um gateway do Cloud NAT com alocação manual de endereços IP de NAT, é possível atribuir manualmente endereços IP de NAT do nível Premium, Standard ou ambos, sujeitos a determinadas condições.
Configurações avançadas
  • Alocação dinâmica de porta
  • Mapeamento independente de endpoint
  • Logging
  • Tempo limite de NAT

Por padrão, o Public NAT usa a alocação estática de porta, o que significa que cada VM recebe o mesmo número de portas. É possível configurar a alocação dinâmica de porta com a alocação automática ou manual de endereços IP NAT. Com a alocação dinâmica de porta, o gateway do Cloud NAT aloca diferentes números de portas a cada VM com base no uso. Não é possível ativar o mapeamento independente de endpoint quando o gateway do Cloud NAT usa regras NAT ou alocação dinâmica de porta.

A geração de registros está desativada por padrão. Consulte os tempos limite de NAT e os valores padrão neste link.

Criar um gateway do Cloud NAT

Console

  1. No console do Google Cloud , acesse a página Cloud NAT.

    Acesse o Cloud NAT

  2. Clique em Começar para o primeiro gateway do Cloud NAT ou em Criar gateway do Cloud NAT para gateways subsequentes.

  3. No campo Nome do gateway, digite um nome para o gateway.

  4. Em Tipo NAT, selecione Público.

  5. Na seção Selecione o Cloud Router, configure o seguinte:

    1. No campo Rede, selecione a rede VPC em que você quer criar o gateway.
    2. No campo Região, defina a região do gateway.
    3. No campo Cloud Router, selecione ou crie um Cloud Router na região.

  6. Na seção Mapeamento do Cloud NAT, em Tipo de endpoint de origem, marque a opção Instâncias de VM, nós do GKE, sem servidor.

  7. No campo Versão do IP de origem, selecione a versão do IP de origem e configure os intervalos de sub-rede de origem que você quer usar com o Cloud NAT.

    • Para intervalos de sub-rede IPv4, no campo Sub-redes de origem, selecione uma das seguintes opções:
      • Para usar o Cloud NAT em intervalos de IP primários e secundários de todas as sub-redes na região, selecione Intervalos de IP primários e secundários para todas as sub-redes.
      • Para usar o Cloud NAT apenas para intervalos de IP principais, selecione Intervalos de IP principais para todas as sub-redes.
      • Para restringir quais intervalos de IP de sub-rede podem usar o Cloud NAT, selecione Personalizado e faça o seguinte:
        1. Na seção Sub-redes, selecione uma sub-rede.
        2. Na lista Intervalos de IP, selecione os intervalos de IP da sub-rede a serem incluídos e clique em OK.
        3. Opcional: se você quiser especificar mais intervalos, clique em Adicionar sub-rede e intervalo de IP e adicione outra sub-rede.
    • Para intervalos de sub-rede IPv6, no campo Sub-redes de origem, selecione uma das seguintes opções:
      • Para usar o Cloud NAT em intervalos de IP internos e externos para todas as sub-redes da região, selecione Todas as sub-redes.
      • Para restringir quais sub-redes podem usar o Cloud NAT, selecione Personalizado e faça o seguinte:
        1. Na seção Sub-redes, selecione uma sub-rede.
        2. Opcional: se você quiser especificar mais sub-redes, clique em Adicionar sub-rede e adicione outra sub-rede.

  8. Configure o tipo de alocação de endereço IP da NAT e o nível de rede selecionando uma das seguintes opções:

    • Para usar a alocação automática de endereços IP de NAT, faça o seguinte:
      1. Na lista Endereços IP do Cloud NAT, selecione Automático (recomendado).
      2. Em Nível de serviço de rede, escolha Premium ou Standard.
    • Para usar a alocação manual de endereços IP de NAT, faça o seguinte:
      1. Na lista Endereços IP do Cloud NAT, selecione Manual.
      2. Em Nível de serviço de rede, escolha Premium ou Standard.
      3. Selecione ou crie um endereço IP externo estático reservado para usar para NAT.
      4. Opção: se quiser especificar outros endereços IP, clique em Adicionar endereço IP e selecione ou crie um endereço IP externo estático adicional reservado.
      5. Opcional: se quiser criar regras de NAT personalizadas, configure a seção Regras do Cloud NAT. Consulte as instruções em Criar regras de NAT.

  9. Opcional: ajuste qualquer uma das seguintes configurações na seção Configurações avançadas:

    • Escolha configurar ou não a geração de registros. Por padrão, a opção Nenhum registro é selecionada.
    • Escolha mudar ou não a forma como o Cloud NAT aloca portas. Por padrão, a opção Ativar alocação de porta dinâmica fica desmarcada. Para a alocação estática de porta, o campo Mínimo de portas por instância de VM é definido como 64.
      • Para mudar o número mínimo de portas por instância de VM para a alocação estática de porta, especifique um valor no campo Portas mínimas por instância de VM. O valor pode ser de 2 a 57344.
      • Para configurar a alocação dinâmica de porta, selecione Ativar alocação de porta dinâmica e escolha um valor para o campo Mínimo de portas por instância de VM (o padrão é 32) e o campo Máximo de portas por instância de VM (o padrão é 65536).
    • Escolha mudar ou não os tempos limite de NAT para conexões de protocolo. Consulte os tempos limite e os valores padrão deles neste link.

  10. Clique em Criar.

gcloud

Para criar um gateway do Cloud NAT, use o comando gcloud compute routers nats create. Crie um gateway com todas as opções padrão ou, caso queira, personalize a configuração.

Criar um gateway do Cloud NAT com configurações padrão

  1. Crie um Cloud Router na região em que você quer usar o gateway do Cloud NAT. Você precisa desse Cloud Router para criar o gateway do Cloud NAT.

  2. Para criar o gateway do Cloud NAT, execute um dos seguintes comandos, dependendo da versão de IP dos intervalos de sub-rede de origem para os quais você está configurando a NAT.

    • Configure o Cloud NAT para intervalos de sub-rede IPv4:

      gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

      Essa configuração ativa a NAT para todos os intervalos de sub-rede IPv4 em sub-redes somente IPv4 e de pilha dupla na região.

    • Configure o Cloud NAT para intervalos de sub-redes IPv6:

      gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

      Essa configuração ativa a NAT para todos os intervalos de sub-rede IPv6 em sub-redes somente IPv6 e de pilha dupla na região.

    • Configure o Cloud NAT para intervalos de sub-rede IPv4 e IPv6:

      gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

      Essa configuração ativa a NAT para todos os intervalos de sub-rede IPv4 e IPv6 em sub-redes somente IPv4, de pilha dupla e somente IPv6 na região.

    Substitua:

    • NAT_CONFIG: um nome para a configuração de NAT
    • NAT_ROUTER: o nome do Cloud Router que você criou na etapa anterior.
    • REGION: a região em que você quer usar o gateway do Cloud NAT

Personalizar as configurações de um gateway do Cloud NAT

Ao criar um gateway do Cloud NAT, é possível personalizar a configuração padrão dele. Confira a lista completa de flags disponíveis com o comando gcloud compute routers nats create.

Crie um gateway do Cloud NAT para intervalos de sub-rede IPv6 somente se você estiver configurando o NAT64 para instâncias de VM do Compute Engine. Para nós do GKE, endpoints sem servidor e NEGs regionais da Internet, o Public NAT converte apenas endereços IPv4.

Crie um gateway do Cloud NAT:

  1. Crie um Cloud Router na região em que você quer usar o gateway do Cloud NAT. Você precisa desse Cloud Router para criar o gateway do Cloud NAT.

  2. Crie o gateway do Cloud NAT, especificando cada parâmetro que você quer personalizar.

    Os exemplos a seguir mostram como personalizar as sub-redes de origem, o tipo de alocação de endereço IP de NAT, o nível de rede e o tipo de alocação de porta.

    O comando executado em cada exemplo depende da versão do IP dos intervalos de sub-rede de origem para os quais você está configurando a NAT.

    • Restrinja quais sub-redes de origem podem usar NAT. Para criar um gateway do Cloud NAT que restrinja quais sub-redes e intervalos de sub-redes podem usar a NAT, execute um dos seguintes comandos:

      • Restringir quais intervalos de sub-rede IPv4 podem usar a NAT:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --auto-allocate-nat-external-ips

      • Restringir quais intervalos de sub-rede IPv6 podem usar a NAT:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES \
    --auto-allocate-nat-external-ips

      • Restringir os intervalos de sub-rede IPv4 e IPv6:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES \
    --auto-allocate-nat-external-ips

      Substitua:

      • NAT_CONFIG: um nome para a configuração de NAT
      • NAT_ROUTER: o nome do Cloud Router que você criou na etapa anterior
      • REGION: a região em que você quer usar o gateway do Cloud NAT
      • IPV4_SUBNET_RANGES: uma lista de nomes de sub-rede, separados por vírgula. Por exemplo:
        • SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL: inclui os intervalos principal e secundários das sub-redes SUBNET_NAME_1 e SUBNET_NAME_2.
        • SUBNET_NAME_1,SUBNET_NAME_2: inclui apenas os intervalos principais das sub-redes SUBNET_NAME_1 e SUBNET_NAME_2.
        • SUBNET_NAME:SECONDARY_RANGE_NAME: inclui o intervalo secundário especificado da sub-rede SUBNET_NAME e não inclui o intervalo principal.
        • SUBNET_NAME_1,SUBNET_NAME_2:SECONDARY_RANGE_NAME: inclui o intervalo principal da sub-rede SUBNET_NAME_1 e o intervalo secundário especificado da sub-rede SUBNET_NAME_2.
      • IPV6_SUBNET_RANGES: uma lista de nomes de sub-redes, separados por vírgula. Por exemplo, SUBNET_NAME_1,SUBNET_NAME_2.

    • Configure a alocação manual de endereços IP de NAT. Para criar um gateway do Cloud NAT com alocação manual de endereços IP de NAT, execute um dos seguintes comandos:

      • Para intervalos de sub-rede IPv4:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2

      • Para intervalos de sub-rede IPv6:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2

        Se você estiver criando o gateway para intervalos de sub-rede IPv4 e IPv6, especifique as flags --nat-all-subnet-ip-ranges e --nat64-all-v6-subnet-ip-ranges neste comando.

      Substitua:

      • NAT_CONFIG: um nome para a configuração de NAT
      • NAT_ROUTER: o nome do Cloud Router que você criou na etapa anterior
      • REGION: a região em que você quer usar o gateway do Cloud NAT

      • IP_ADDRESS_1 e IP_ADDRESS_2: os endereços IP externos estáticos reservados que você quer usar para NAT

        É possível especificar um ou mais endereços IP ao usar a flag --nat-external-ip-pool.

    • Especifique o nível de rede. Para especificar o nível de rede para a alocação de endereços IP externos pelo gateway do Cloud NAT, execute um destes comandos:

      • Para intervalos de sub-rede IPv4:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --auto-network-tier=AUTO_NETWORK_TIER

      • Para intervalos de sub-rede IPv6:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --auto-network-tier=AUTO_NETWORK_TIER

        Se você estiver criando o gateway para intervalos de sub-rede IPv4 e IPv6, especifique as flags --nat-all-subnet-ip-ranges e --nat64-all-v6-subnet-ip-ranges neste comando.

      Substitua:

      • NAT_CONFIG: um nome para a configuração de NAT
      • NAT_ROUTER: o nome do Cloud Router que você criou na etapa anterior
      • REGION: a região em que você quer usar o gateway do Cloud NAT

      • AUTO_NETWORK_TIER: o nível de rede a ser usado na alocação automática de endereços IP para o gateway do Cloud NAT. Os valores permitidos são PREMIUM e STANDARD. Se não for especificado, o nível atual padrão do projeto será associado ao gateway do Cloud NAT.

        Também é possível especificar o nível de rede com a alocação manual de endereços IP de NAT. Se você atribuir vários endereços IP ao gateway, todos eles precisarão ser do mesmo nível de rede.

    • Configurar a alocação de porta dinâmica. Para criar um gateway do Cloud NAT com alocação dinâmica de porta, execute um dos seguintes comandos:

      • Para intervalos de sub-rede IPv4:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --enable-dynamic-port-allocation \
    [--min-ports-per-vm=MIN_PORTS ] \
    [--max-ports-per-vm=MAX_PORTS ]

      • Para intervalos de sub-rede IPv6:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --enable-dynamic-port-allocation \
    [--min-ports-per-vm=MIN_PORTS ] \
    [--max-ports-per-vm=MAX_PORTS ]

        Se você estiver criando o gateway para intervalos de sub-rede IPv4 e IPv6, especifique as flags --nat-all-subnet-ip-ranges e --nat64-all-v6-subnet-ip-ranges neste comando.

      Substitua:

      • NAT_CONFIG: um nome para a configuração de NAT
      • NAT_ROUTER: o nome do Cloud Router que você criou na etapa anterior
      • REGION: a região em que você quer usar o gateway do Cloud NAT
      • Opcional: MIN_PORTS: o número mínimo de portas a serem alocadas para cada VM. Se a alocação dinâmica de porta estiver ativada, MIN_PORTS precisará ser uma potência de 2 e poderá estar entre 32 e 32768. O padrão é 32.
      • Opcional: MAX_PORTS: o número máximo de portas a serem alocadas para cada VM. MAX_PORTS precisa ser uma potência de 2 e pode estar entre 64 e 65536. MAX_PORTS precisa ser maior que MIN_PORTS. O padrão é 65536.

Terraform

É possível usar um módulo do Terraform para criar um Cloud Router com um gateway NAT para tráfego IPv4.

module "cloud_router" {
  source  = "terraform-google-modules/cloud-router/google"
  version = "~> 7.0"
  name    = "my-cloud-router"
  project = var.project_id
  network = module.vpc.network_name
  region  = "us-central1"

  nats = [{
    name                               = "my-nat-gateway"
    source_subnetwork_ip_ranges_to_nat = "LIST_OF_SUBNETWORKS"
    subnetworks = [
      {
        name                     = module.vpc.subnets["us-central1/test-subnet-01"].id
        source_ip_ranges_to_nat  = ["PRIMARY_IP_RANGE", "LIST_OF_SECONDARY_IP_RANGES"]
        secondary_ip_range_names = module.vpc.subnets["us-central1/test-subnet-01"].secondary_ip_range[*].range_name
      }
    ]
  }]
}

O gateway NAT resultante usa os seguintes valores padrão:

enable_endpoint_independent_mapping = true
icmp_idle_timeout_sec               = 30
min_ports_per_vm                    = 0
nat_ip_allocate_option              = "AUTO_ONLY"
source_subnetwork_ip_ranges_to_nat  = "ALL_SUBNETWORKS_ALL_IP_RANGES"
tcp_established_idle_timeout_sec    = 1200
tcp_transitory_idle_timeout_sec     = 30
udp_idle_timeout_sec                = 30
log_config {
    enable = true
    filter = "ALL"
}

Ver uma configuração do Public NAT

Console

  1. No console do Google Cloud , acesse a página Cloud NAT.

    Acesse o Cloud NAT

  2. Para conferir os detalhes do gateway NAT, informações de mapeamento ou detalhes de configuração, clique no nome do gateway NAT.

  3. Confira o status da NAT na coluna Status do gateway NAT.

gcloud

Para mostrar os detalhes da configuração de NAT, execute os seguintes comandos:

  • Verifique a configuração de gateway do Public NAT.

    gcloud compute routers nats describe NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

    Substitua:

    • NAT_CONFIG: o nome da configuração NAT
    • ROUTER_NAME: o nome do seu Cloud Router
    • REGION: a região de NAT a ser descrita. Se isso não for especificado, talvez você precise selecionar uma região (apenas no modo interativo).

  • Confira o mapeamento de intervalos de IP:porta de cada interface de VM.

    gcloud compute routers get-nat-mapping-info ROUTER_NAME \
    --region=REGION

  • Confira o status do gateway do Public NAT.

    gcloud compute routers get-status ROUTER_NAME \
    --region=REGION

Mostrar os endereços IP externos atribuídos a um gateway do Cloud NAT

Por padrão, os gateways do Cloud NAT para Public NAT usam a alocação automática de endereços IP. Para conferir os endereços IP externos atribuídos a um gateway do Cloud NAT, faça o seguinte:

Console

  1. No console do Google Cloud , acesse a página Cloud NAT.

    Acesse o Cloud NAT

  2. Clique no nome do gateway do Cloud NAT.

  3. Na página Detalhes do gateway do Cloud NAT, confira os Endereços IP externos alocados.

gcloud

Para listar todos os endereços IP de NAT alocados, use o seguinte comando:

gcloud compute routers get-nat-ip-info NAT_ROUTER \
    --region=REGION

Confira outros exemplos no comando gcloud compute routers get-nat-ip-info.

Mudar uma configuração do Public NAT

Depois de configurar o gateway do Cloud NAT, mude a configuração do gateway caso necessário. Confira nas seções a seguir as tarefas que podem ser executadas para mudar o gateway do Private NAT.

Mudar as sub-redes configuradas com NAT

Console

  1. No console do Google Cloud , acesse a página Cloud NAT.

    Acesse o Cloud NAT

  2. Clique no seu gateway do Cloud NAT.

  3. Clique em Editar.

  4. Em Mapeamento NAT, defina Origem como Personalizado.

  5. Selecione uma sub-rede

  6. Na lista suspensa Intervalos de IP, selecione os intervalos de IP da sub-rede a serem incluídos.

  7. Opcional: se quiser especificar outros intervalos, clique em Adicionar sub-rede e intervalo de IP.

  8. Clique em Salvar.

gcloud

Use o comando gcloud compute routers nats update.

Para mudar os intervalos de sub-rede de origem de um gateway do Cloud NAT, execute um dos seguintes comandos, dependendo da versão IP dos intervalos de sub-rede que você quer mudar:

  • Mudar intervalos de sub-rede IPv4:

    gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES

  • Mudar intervalos de sub-rede IPv6:

    gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES

  • Mudar intervalos de sub-rede IPv4 e IPv6:

    gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES

Substitua:

  • NAT_CONFIG: o nome da configuração NAT
  • NAT_ROUTER: o nome do seu Cloud Router
  • REGION: a região do gateway NAT
  • IPV4_SUBNET_RANGES: uma lista de nomes de sub-rede, separados por vírgula. Por exemplo:
    • SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL: inclui os intervalos principal e secundários das sub-redes SUBNET_NAME_1 e SUBNET_NAME_2.
    • SUBNET_NAME_1,SUBNET_NAME_2: inclui apenas os intervalos principais das sub-redes SUBNET_NAME_1 e SUBNET_NAME_2.
    • SUBNET_NAME:SECONDARY_RANGE_NAME: inclui o intervalo secundário especificado da sub-rede SUBNET_NAME e não inclui o intervalo principal.
    • SUBNET_NAME_1,SUBNET_NAME_2:SECONDARY_RANGE_NAME: inclui o intervalo principal da sub-rede SUBNET_NAME_1 e o intervalo secundário especificado da sub-rede SUBNET_NAME_2.
  • IPV6_SUBNET_RANGES: uma lista de nomes de sub-redes, separados por vírgula. Por exemplo, SUBNET_NAME_1,SUBNET_NAME_2.

Remover sub-redes da NAT

É possível remover as sub-redes do gateway do Cloud NAT que não estão mais em uso.

Console

  1. No console do Google Cloud , acesse a página Cloud NAT.

    Acesse o Cloud NAT

  2. Clique no seu gateway do Cloud NAT.

  3. Clique em Editar.

  4. Exclua a sub-rede que você quer remover do mapeamento NAT.

  5. Clique em Salvar.

gcloud

Use o comando gcloud compute routers nats update.

É possível remover apenas intervalos de sub-rede IPv4 ou IPv6, mas não ambos.

O exemplo a seguir desativa o NAT para intervalos de sub-rede IPv6:

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --clear-nat64-subnet-ip-ranges

Substitua:

  • NAT_CONFIG: o nome da configuração NAT
  • NAT_ROUTER: o nome do seu Cloud Router
  • REGION: a região do gateway NAT

Atualizar endereços IP externos atribuídos à NAT

É possível alterar a lista de endereços IP externos de um determinado gateway ou mudar da alocação de IP manual para automática. Quando você faz isso, o Google Cloud remove os endereços IP alocados anteriormente e adiciona os novos. Todas as conexões nos endereços IP já alocados são encerradas imediatamente. Para permitir que as conexões atuais continuem e impedir novas conexões nesses endereços IP, consulte a seção Drenar endereços IP externos associados à NAT deste documento.

Console

  1. No console do Google Cloud , acesse a página Cloud NAT.

    Acesse o Cloud NAT

  2. Clique no seu gateway do Cloud NAT.

  3. Clique em Editar.

  4. Clique na lista Endereços IP de NAT e selecione Automático ou Manual.

  5. Se você selecionar Manual, especifique um Endereço IP externo.

  6. Para alta disponibilidade, clique em Adicionar endereço IP e adicione um segundo endereço.

  7. Clique em Salvar.

gcloud

Use o comando gcloud compute routers nats update.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2

Substitua:

  • NAT_CONFIG: o nome da configuração de NAT.
  • NAT_ROUTER: o nome do Cloud Router.
  • REGION: a região do NAT a ser atualizada. Se isso não for especificado, talvez você precise selecionar uma região (apenas no modo interativo).
  • IP_ADDRESS_1: um endereço IP externo manual.
  • IP_ADDRESS_2: outro endereço IP externo manual.

Mudar a NAT usando endereços IP externos baseados em outro nível de rede

É possível mudar o nível de rede associado aos endereços IP externos de um gateway do Cloud NAT.

Mudar o nível de rede dos endereços IP externos da NAT alocados automaticamente

Quando você muda o nível de rede dos endereços IP externos alocados automaticamente associados a um gateway do Cloud NAT, oGoogle Cloud remove os endereços IP alocados anteriormente e os substitui por endereços IP do nível de rede especificado. Todas as conexões nos endereços IP já alocados são encerradas imediatamente.

Console

  1. No console do Google Cloud , acesse a página Cloud NAT.

    Acesse o Cloud NAT

  2. Clique no nome do gateway do Cloud NAT que alocou endereços IP automaticamente.

  3. Clique em Editar.

  4. Em Nível de serviço de rede, escolha Premium ou Standard.

  5. Clique em Salvar.

gcloud

Use o comando gcloud compute routers nats update.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips
    --auto-network-tier=AUTO_NETWORK_TIER

Substitua:

  • NAT_CONFIG: o nome da configuração NAT

  • NAT_ROUTER: o nome do seu Cloud Router

  • REGION: a região da NAT a ser criada. Se não for especificada, talvez você precise selecionar uma região (apenas no modo interativo).

  • AUTO_NETWORK_TIER: o nível de rede a ser usado na alocação automática de endereços IP para o gateway do Cloud NAT. Os valores permitidos são PREMIUM e STANDARD. Se isso não for especificado, o nível atual padrão do projeto será associado ao gateway do Cloud NAT.

Mudar o nível de rede dos endereços IP da NAT atribuídos manualmente

É possível especificar manualmente endereços IP externos de outro nível para uma NAT. É possível atribuir endereços IP externos baseados no nível Standard, nível Premium ou em ambos, sujeitos a determinadas condições. Antes de especificar endereços IP externos baseados em um nível diferente, primeiro drene os endereços IP para que continuem com as conexões atuais e impeça novas conexões nesses endereços IP.

Console

  1. No console do Google Cloud , acesse a página Cloud NAT.

    Acesse o Cloud NAT

  2. Clique no nome do gateway do Cloud NAT que atribuiu endereços IP manualmente.

  3. Clique em Editar.

  4. Para especificar endereços IP baseados em um nível diferente do nível selecionado atualmente, exclua todos os endereços IP atuais ou ative a drenagem para todos eles.

    Não é possível mudar o nível de rede quando a drenagem de um endereço IP está ativada.

  5. Em Nível de serviço de rede, escolha Premium ou Standard.

  6. Selecione um endereço IP externo na lista de endereços IP ativos disponíveis.

  7. Opcional: para adicionar mais endereços IP, clique em Adicionar endereços IP.

  8. Clique em Salvar.

gcloud

Para substituir manualmente os endereços IP externos de um gateway por endereços de outro nível de rede, use a flag --nat-external-ip-pool do comando gcloud compute routers nats update.

Saiba como mudar manualmente os endereços IP externos em Alterar endereços IP externos associados à NAT.

Drenar endereços IP externos atribuídos à NAT

Antes de remover um endereço IP configurado manualmente, esvazie o endereço para que as conexões atuais não sejam interrompidas. Quando um endereço IP é drenado, todas as conexões atuais continuam até expirarem naturalmente. É possível visualizar os registros para verificar o status das conexões.

Nenhuma nova conexão é aceita nos endereços IP drenados. No entanto, o endereço IP permanece associado à configuração NAT.

É necessário ter pelo menos um endereço ativo em uma configuração NAT, ou seja, não é possível drenar todos os endereços IP em uma configuração.

Para saber qual é o estado dos endereços IP de NAT, verifique a configuração do Public NAT.

Console

  1. No console do Google Cloud , acesse a página Cloud NAT.

    Acesse o Cloud NAT

  2. Clique no seu gateway do Cloud NAT.

  3. Clique em Editar.

  4. Em Endereços IP de NAT, selecione Ativado em Drenagem de IP ao lado do endereço IP.

  5. Clique em Salvar.

gcloud

Use o comando gcloud compute routers nats update.

Para drenar um endereço, mova-o do pool ativo para o pool de drenagem no mesmo comando. Se você removê-lo do pool ativo sem adicioná-lo ao pool de drenagem em um único comando, o endereço IP será excluído do serviço e as conexões existentes serão encerradas imediatamente.

Se você mover um endereço IP do pool de drenagem para o pool ativo, evita o endereço IP. Se você remover um endereço IP NAT de ambos os pools, ele será desconectado da configuração NAT.

Esse comando deixa os outros campos na configuração NAT inalterados.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_2 \
    --nat-external-drain-ip-pool=IP_ADDRESS_1

Em que:

  • --nat-external-ip-pool=IP_ADDRESS_2 atualiza o pool ativo para omitir IP_ADDRESS_1
  • --nat-external-drain-ip-pool=IP_ADDRESS_1 adiciona IP_ADDRESS_1 ao pool de drenagem

Substitua:

  • NAT_CONFIG: o nome da configuração de NAT.
  • NAT_ROUTER: o nome do Cloud Router.
  • REGION: a região do NAT a ser atualizada. Se isso não for especificado, talvez você precise selecionar uma região (apenas no modo interativo).
  • IP_ADDRESS_2: um endereço IP.
  • IP_ADDRESS_1: outro endereço IP.

Mudar o mapeamento de endpoint

É possível ativar ou desativar o Mapeamento independente de endpoint no gateway. Por padrão, esta opção está desativada. Ativar ou desativar a opção não interrompe as conexões atuais.

Não é possível ativar o mapeamento independente de endpoint quando o gateway do Cloud NAT usa regras de NAT ou alocação dinâmica de porta.

Console

  1. No console do Google Cloud , acesse a página Cloud NAT.

    Acesse o Cloud NAT

  2. Clique no seu gateway do Cloud NAT.

  3. Clique em Editar.

  4. Clique em Configurações avançadas.

  5. Para ativar o mapeamento independente de endpoint, marque a caixa de seleção Ativar mapeamento independente de endpoint. Desmarque a caixa de seleção para desativar o mapeamento independente de endpoint.

  6. Clique em Salvar.

gcloud

Use o comando gcloud compute routers nats update.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    [--enable-endpoint-independent-mapping | --no-enable-endpoint-independent-mapping]

Substitua:

  • NAT_CONFIG: o nome da configuração NAT
  • NAT_ROUTER: o nome do seu Cloud Router
  • REGION: a região do NAT a ser modificada. Se isso não for especificado, talvez você precise selecionar uma região (apenas no modo interativo).

Mudar a geração de registros

Para adicionar, modificar ou remover a geração de registros de um gateway do Cloud NAT, consulte Como configurar a geração de registros.

Excluir uma configuração do Public NAT

Quando uma configuração de gateway é excluída, a configuração de NAT é removida do Cloud Router. O roteador em si não é excluído.

Console

  1. No console do Google Cloud , acesse a página Cloud NAT.

    Acesse o Cloud NAT

  2. Marque a caixa de seleção ao lado da configuração de gateway que você quer excluir.

  3. No Menu, clique em Excluir.

gcloud

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Substitua:

  • NAT_CONFIG: o nome da configuração NAT
  • ROUTER_NAME: o nome do seu Cloud Router
  • REGION: a região da NAT a ser excluída. Se isso não for especificado, talvez você precise selecionar uma região (apenas no modo interativo).

Cotas e limites

Saiba mais em Cotas e limites.

Exemplos de configuração

A seguir