Esta página foi traduzida pela API Cloud Translation.

Configure e faça a gestão da tradução de endereços de rede com o NAT privado

Esta página descreve como configurar a tradução de endereços de rede (NAT) privado para privado no Cloud NAT.

Antes de começar

Conclua as seguintes tarefas antes de configurar o NAT privado.

Reveja as especificações de NAT privado

Consulte as seguintes especificações e requisitos:

Para ver as especificações gerais, consulte o artigo NAT privado.
Para o tráfego entre raios de um hub do Network Connectivity Center, incluindo raios de VPC e raios híbridos, consulte o artigo NAT privado para raios do Network Connectivity Center.
Para tráfego entre redes da nuvem virtual privada (VPC) e redes não pertencentes à Google Cloud através do Cloud Interconnect ou do Cloud VPN, consulte o NAT híbrido.Google Cloud

Obtenha autorizações de IAM

A função de administrador de rede de computação (roles/compute.networkAdmin) concede-lhe autorizações para criar um gateway NAT no Cloud Router, reservar e atribuir endereços IP NAT e especificar sub-redes (sub-redes) cujo tráfego deve usar a tradução de endereços de rede pelo gateway NAT.

Configurar Google Cloud

Antes de começar, configure os seguintes itens em Google Cloud.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Install the Google Cloud CLI.

Nota: se instalou a CLI gcloud anteriormente, certifique-se de que tem a versão mais recente executando gcloud components update.

Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Install the Google Cloud CLI.

Nota: se instalou a CLI gcloud anteriormente, certifique-se de que tem a versão mais recente executando gcloud components update.

Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

As instruções da Google Cloud CLI nesta página pressupõem que definiu o ID do projeto antes de emitir comandos.

Pode definir um ID do projeto com o seguinte comando:
```
gcloud config set project PROJECT_ID
```
Também pode ver um ID do projeto que já esteja definido:
```
gcloud config list --format='text(core.project)'
```

Crie uma sub-rede NAT com o objetivo PRIVATE_NAT

Antes de configurar a NAT privada, cria uma sub-rede NAT de finalidade PRIVATE_NAT. A sub-rede NAT tem de estar na mesma região onde planeia criar o gateway NAT privado. O gateway NAT privado usa intervalos de endereços IP desta sub-rede para realizar a NAT. Certifique-se de que esta sub-rede não se sobrepõe a uma sub-rede existente em nenhuma das redes ligadas. Não pode criar recursos nesta sub-rede. Esta sub-rede é usada apenas para NAT privado.

Consola

Na Google Cloud consola, aceda à página Redes VPC.

Aceda a redes de VPC
Para mostrar a página de detalhes da rede de VPC, clique no nome de uma rede de VPC.
Clique no separador Sub-redes.
Clique em Adicionar sub-rede. Na caixa de diálogo Adicionar uma sub-rede, faça o seguinte:
1. Atribua um nome à sub-rede.
2. Selecione uma região.
3. Em Finalidade, selecione NAT privado.
4. Introduza um intervalo de endereços IP, que é o intervalo IPv4 principal para a sub-rede.
  
  Se selecionar um intervalo que não seja um endereço RFC 1918, confirme que o intervalo não entra em conflito com uma configuração existente. Para mais informações sobre intervalos de sub-redes IPv4 válidos, consulte o artigo Intervalos de sub-redes IPv4.
  
  Nota: não são suportados intervalos de endereços IP que tenham endereços IPv4 públicos usados de forma privada. Para mais informações, consulte os artigos Hubs da VPC e intercâmbio da rede da VPC.
Clique em Adicionar.

gcloud

Use o comando gcloud compute networks subnet create para criar a sub-rede.

  gcloud compute networks subnets create NAT_SUBNET \
      --network=NETWORK \
      --region=REGION \
      --range=IP_RANGE \
      --purpose=PRIVATE_NAT

Substitua o seguinte:

NAT_SUBNET: o nome do intervalo de sub-rede de NAT privado a criar.
NETWORK: a rede à qual a sub-rede pertence.
REGION: a região da sub-rede a criar. Se não for especificado, pode ser-lhe pedido que selecione uma região (apenas no modo interativo).
IP_RANGE: o espaço IP atribuído a esta sub-rede no formato CIDR. Certifique-se de que IP_RANGE tem em conta a utilização do dobro do tamanho das portas necessárias por MV.

Configure o NAT privado

Configure o NAT privado criando um gateway de NAT privado na rede VPC de origem. Cada gateway está associado a uma única rede VPC, região e Cloud Router.

Ao configurar o NAT privado, pode ativar uma ou ambas as seguintes opções:

NAT privado para raios do Network Connectivity Center. Ativa a NAT para o tráfego entre o seguinte:
- Uma rede VPC de origem e uma rede VPC de destino no mesmo hub do Network Connectivity Center. Ambas as redes têm de ser configuradas como raios de VPC.
- Uma rede VPC de origem configurada como um raio da VPC num hub do Network Connectivity Center e um destino nas instalações ou noutra rede de fornecedor de nuvem ligada ao hub através de um raio híbrido.
Se quiser usar ligações propagadas do Private Service Connect na mesma VPC spoke que o NAT privado, consulte as interações das ligações propagadas do Private Service Connect antes de configurar o NAT privado.
NAT híbrido. Ativa o NAT para o tráfego entre uma rede VPC de origem e um destino nas instalações ou noutra rede de fornecedor de nuvem. As redes têm de estar ligadas através do Cloud Interconnect ou do Cloud VPN.

Crie um gateway de NAT privado

Crie um gateway de NAT privado na rede VPC de origem para a qual quer configurar o NAT.

Consola

Na Google Cloud consola, aceda à página Cloud NAT.

Aceda ao Cloud NAT
Clique em Começar ou Criar gateway de NAT da nuvem.

Nota: se esta for a primeira gateway NAT da nuvem que está a criar, clique em Começar. Se já tiver gateways existentes, em vez de Começar, Google Cloud é apresentado o botão Criar gateway de NAT da Cloud. Para criar outro gateway, clique em Criar gateway do Cloud NAT.
Introduza um nome da gateway.
Para Tipo de NAT, selecione Privado.
Selecione uma rede de VPC para o gateway de NAT.
Selecione a região para o gateway NAT.
Selecione ou crie um Cloud Router na região.
Certifique-se de que Instâncias de VM está selecionado como o tipo de ponto final de origem.
Na lista Origem, selecione Personalizado.
Selecione uma sub-rede na qual quer realizar a NAT.
Se quiser especificar intervalos adicionais, clique em Adicionar sub-rede e intervalo de IP.
Clique em Adicionar regra.
No campo Número da regra, introduza qualquer valor entre 0 e 65000.
Para Correspondência, selecione uma das seguintes opções:
- Para ativar o NAT híbrido, selecione Rotas de conetividade híbrida.
- Para ativar o NAT privado para os raios do Network Connectivity Center, selecione Hub do Network Connectivity Center.
- Para ativar ambas as opções, selecione Rotas de conetividade híbrida e Hub do Network Connectivity Center.
Selecione ou crie um intervalo de sub-rede NAT privada.
Clique em Concluído.
Opcional: ajuste qualquer uma das seguintes definições na secção Configurações avançadas:
- Se deve configurar o registo. Por predefinição, a opção Sem registo está selecionada.
- Se deve alterar a forma como o Cloud NAT atribui portas. Por predefinição, a opção Ativar atribuição dinâmica de portas está selecionada. Para configurar a atribuição de portas estáticas, desmarque a opção Ativar atribuição dinâmica de portas e especifique o Número mínimo de portas por instância de VM. O valor predefinido é 64.
- Indica se os limites de tempo do NAT devem ser atualizados para ligações de protocolo. Para ver informações sobre estes limites de tempo e os respetivos valores predefinidos, consulte o artigo Limites de tempo de NAT.
Clique em Criar.

gcloud

Crie um Cloud Router na rede de VPC para a qual quer configurar o NAT.

Use o comando gcloud compute routers create.
```
gcloud compute routers create ROUTER_NAME \
    --network=NETWORK --region=REGION
```
Substitua o seguinte:
- ROUTER_NAME: um nome para o Cloud Router.
- NETWORK: a rede VPC na qual criar o Cloud Router.
- REGION: a região na qual criar o Cloud Router.
Crie um gateway NAT privado e especifique uma ou mais sub-redes da rede VPC de origem para as quais quer configurar o NAT.

Use o comando gcloud compute routers nats create com o sinalizador --type definido como PRIVATE.
```
gcloud compute routers nats create NAT_CONFIG \
    --router=ROUTER_NAME --type=PRIVATE --region=REGION \
    --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] | \
    [--nat-all-subnet-ip-ranges]
```
Substitua o seguinte:
- NAT_CONFIG: um nome para a configuração de NAT privado que está a criar.
- ROUTER_NAME: o nome do Cloud Router a usar com esta gateway. Este é o Cloud Router que criou no passo anterior e não pode estar a ser usado por outros recursos.
- SUBNETWORK: o nome da sub-rede ou a lista de sub-redes para as quais quer usar NAT.
  
  Também pode especificar uma lista de sub-redes num formato separado por vírgulas, como SUBNETWORK_1, SUBNETWORK_2. A NAT privada executa sempre a NAT em todos os intervalos de IP de sub-rede para a sub-rede ou a lista de sub-redes especificada.
Por predefinição, a NAT privada usa a atribuição dinâmica de portas. Se quiser criar um gateway NAT privado com atribuição de portas estática, execute o comando anterior com a flag --no-enable-dynamic-port-allocation:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=ROUTER_NAME --type=PRIVATE --region=REGION \
    --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] | \
    [--nat-all-subnet-ip-ranges]
    --no-enable-dynamic-port-allocation \
    [--min-ports-per-vm=VALUE]
```
Substitua VALUE pelo número mínimo de portas a atribuir por MV. Se não for especificado, Google Cloud atribui o valor predefinido de 64.
Crie uma regra de NAT para corresponder ao tráfego com base no tipo de NAT que está a configurar.

Use o comando gcloud compute routers nats rules create com a flag --match definida para uma das seguintes opções:
- nexthop.is_hybrid: traduz o tráfego de saída da rede VPC de origem para uma rede no local ou de outro fornecedor de nuvem que esteja ligada à rede VPC de destino através do Cloud Interconnect ou do Cloud VPN. Google Cloud
- nexthop.hub: traduz o tráfego de saída do spoke da VPC de origem para qualquer um dos spokes da VPC ou híbridos anexados ao mesmo hub do Network Connectivity Center que o spoke da VPC de origem.
- nexthop.is_hybrid || nexthop.hub: configura ambos os tipos de NAT privada.
Para criar uma regra NAT para NAT híbrido, execute o seguinte comando:
```
gcloud compute routers nats rules create NAT_RULE_NUMBER \
    --router=ROUTER_NAME --region=REGION \
    --nat=NAT_CONFIG \
    --match='nexthop.is_hybrid' \
    --source-nat-active-ranges=NAT_SUBNET
```
Para criar uma regra de NAT para NAT privado para raios do Centro de conectividade de rede, execute o seguinte comando:
```
gcloud compute routers nats rules create NAT_RULE_NUMBER \
    --router=ROUTER_NAME --region=REGION \
    --nat=NAT_CONFIG \
    --match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \
    --source-nat-active-ranges=NAT_SUBNET
```
Para criar uma regra de NAT para o NAT híbrido e o NAT privado para os raios do Network Connectivity Center, execute o seguinte comando:
```
gcloud compute routers nats rules create NAT_RULE_NUMBER \
    --router=ROUTER_NAME --region=REGION \
    --nat=NAT_CONFIG \
    --match='nexthop.is_hybrid || nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \
    --source-nat-active-ranges=NAT_SUBNET
```
Substitua o seguinte:
- NAT_RULE_NUMBER: o número da regra que identifica exclusivamente a regra de NAT, de 0 para 65000.
- ROUTER_NAME: o nome do Cloud Router que criou anteriormente.
- REGION: a região do Cloud Router.
- NAT_CONFIG: o nome da configuração de NAT privado que criou anteriormente.
- PROJECT_ID: o Google Cloud projeto do hub do Network Connectivity Center.
- HUB: o nome do centro do Network Connectivity Center.
- NAT_SUBNET: o nome da sub-rede NAT privada que criou anteriormente. Também pode especificar uma lista de sub-redes num formato separado por vírgulas.

Veja a configuração de NAT privado

Consola

Na Google Cloud consola, aceda à página Cloud NAT.

Aceda ao Cloud NAT
Para ver os detalhes da gateway NAT, as informações de mapeamento ou os detalhes de configuração, clique no nome da gateway NAT.
Para ver o estado da NAT, consulte a coluna Estado do gateway NAT.

gcloud

Pode ver os detalhes da configuração de NAT executando os seguintes comandos:

Veja a configuração do gateway de NAT privado.
```
gcloud compute routers nats describe NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION
```
Substitua o seguinte:
- NAT_CONFIG: o nome da sua configuração de NAT
- ROUTER_NAME: o nome do seu Cloud Router
- REGION: a região do NAT a descrever; se não for especificada, pode ser-lhe pedido que selecione uma região (apenas no modo interativo)
Veja o mapeamento dos intervalos de portas:IP atribuídos à interface de cada VM.
```
gcloud compute routers get-nat-mapping-info ROUTER_NAME \
    --region=REGION
```

Veja o estado do gateway NAT privado.

gcloud compute routers get-status ROUTER_NAME \
    --region=REGION

Atualize a configuração de NAT privado

Depois de configurar o gateway de NAT privado, pode atualizar a configuração do gateway com base nos seus requisitos. As secções seguintes indicam as tarefas que pode realizar para atualizar o gateway NAT privado.

Altere as sub-redes associadas ao NAT privado

Consola

Na Google Cloud consola, aceda à página Cloud NAT.

Aceda ao Cloud NAT
Clique no gateway de NAT.
Clique em Editar.
Para o mapeamento do Cloud NAT, na lista Origem, selecione Personalizado.
Selecione uma nova sub-rede na lista de sub-redes disponíveis.
Se quiser especificar intervalos adicionais, clique em Adicionar sub-rede e intervalo de IP e, em seguida, selecione outra sub-rede.
Clique em Guardar.

gcloud

gcloud compute routers nats update NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,..]

Substitua o seguinte:

NAT_CONFIG: o nome da configuração de NAT privado que quer atualizar.
ROUTER_NAME: o nome do router a usar com este gateway.
SUBNETWORK: o nome da sub-rede a usar.

Elimine sub-redes associadas à NAT privada

Pode remover sub-redes específicas do gateway NAT que já não estão em utilização.

Consola

Na Google Cloud consola, aceda à página Cloud NAT.

Aceda ao Cloud NAT
Clique no gateway de NAT.
Clique em Editar.
Elimine a sub-rede que quer remover do mapeamento de NAT.

Nota: se a sub-rede que eliminou for a única sub-rede mapeada para o gateway NAT privado, o sistema pede-lhe que adicione uma sub-rede. Pode mapear uma nova sub-rede ou selecionar Intervalos primários e secundários para todas as sub-redes na lista Origem.
Clique em Guardar.

Adicione sub-redes NAT à sua configuração de NAT privada

Para realizar o NAT no tráfego, uma configuração de NAT privado usa endereços IP NAT de uma sub-rede com o objetivo de PRIVATE_NAT. Se a sua configuração de NAT privado exigir mais do que o número disponível de endereços IP de NAT, pode adicionar mais sub-redes de finalidade PRIVATE_NAT à configuração.

Consola

Na Google Cloud consola, aceda à página Cloud NAT.

Aceda ao Cloud NAT
Clique no gateway de NAT.
Clique em Editar.
Expanda a regra existente.
Clique em Adicionar intervalos de sub-rede.
Selecione ou crie um novo intervalo de sub-rede NAT e, de seguida, clique em Concluído.

Nota: para adicionar mais sub-redes NAT, repita o passo.
Clique em Guardar.

gcloud

gcloud compute routers nats rules update NAT_RULE_NUMBER \
    --nat=NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...

Substitua o seguinte:

NAT_RULE_NUMBER: o número que identifica de forma exclusiva a regra a atualizar.
NAT_CONFIG: o nome da configuração de NAT privado para a regra ser atualizada.
ROUTER_NAME: o nome do router a usar com este gateway.
NAT_SUBNET: os nomes das sub-redes NAT privadas a adicionar à sua configuração NAT existente.

Elimine a configuração de NAT

A eliminação de uma configuração de gateway remove a configuração de NAT de um Cloud Router. A eliminação de uma configuração de gateway não elimina o próprio router.

Consola

Na Google Cloud consola, aceda à página Cloud NAT.

Aceda ao Cloud NAT
Selecione a caixa de verificação junto à configuração de gateway que quer eliminar.
No Menu, clique em Eliminar.

gcloud

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Substitua o seguinte:

NAT_CONFIG: o nome da sua configuração de NAT
ROUTER_NAME: o nome do seu Cloud Router
REGION: a região do NAT a eliminar; se não for especificada, pode ser-lhe pedido que selecione uma região (apenas no modo interativo).

O que se segue?

Configure o registo e a monitorização para o Cloud NAT.
Resolva problemas comuns com configurações de NAT.