Configura y administra la traducción de direcciones de red con NAT privada

En esta página, se muestra cómo configurar la traducción de direcciones de red (NAT) mediante NAT privada. Antes de establecer la configuración de NAT privada, consulta NAT privada.

Antes de comenzar

Completa las siguientes tareas antes de configurar la NAT privada.

Obtén permisos de IAM

La función de administrador de red de Compute (roles/compute.networkAdmin) te otorga permisos para crear una puerta de enlace NAT en Cloud Router, reservar y asignar direcciones IP de NAT y especificar subredes cuyo tráfico debe usar la traducción de direcciones de red realizada por la puerta de enlace NAT.

Configura Google Cloud

Antes de comenzar, configura los siguientes elementos en Google Cloud.

Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

Ir al selector de proyectos

Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

Habilita la API de Compute Engine.

Habilita la API

Instala Google Cloud CLI.

Para inicializar la CLI de gcloud, ejecuta el siguiente comando:

gcloud init

Nota: Si ya instalaste la CLI de gcloud, asegúrate de que tienes la versión más reciente mediante la ejecución de

gcloud components
      update

En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

Ir al selector de proyectos

Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

Habilita la API de Compute Engine.

Habilita la API

Instala Google Cloud CLI.

Para inicializar la CLI de gcloud, ejecuta el siguiente comando:

gcloud init

Nota: Si ya instalaste la CLI de gcloud, asegúrate de que tienes la versión más reciente mediante la ejecución de

gcloud components
      update

En las instrucciones de la CLI de Google Cloud de esta página, se da por hecho que estableciste el ID del proyecto antes de emitir comandos.

Puedes configurar un ID del proyecto con el siguiente comando:
```
gcloud config set project PROJECT_ID
```
También puedes ver el ID de un proyecto que ya está configurado:
```
gcloud config list --format='text(core.project)'
```

Crear una subred de NAT con el propósito PRIVATE_NAT

Antes de configurar la NAT privada, debes crear una subred de NAT con el propósito PRIVATE_NAT. La subred de NAT debe estar en la misma región en la que planeas crear tu puerta de enlace NAT privada. La puerta de enlace NAT privada usa rangos de direcciones IP de esta subred para realizar NAT. Asegúrate de que esta subred no se superponga con una subred existente en ninguna de las redes conectadas. No puedes crear ningún recurso en esta subred. Esta subred solo se usa para NAT privada.

Console

En la consola de Google Cloud, ve a la página Redes de VPC.

Ir a las redes de VPC
Para ver la página de detalles de la red de VPC, haz clic en el nombre de una red de VPC.
Haz clic en la pestaña Subredes.
Haz clic en Agregar subred. En el diálogo Agregar una subred, haz lo siguiente:
1. Proporciona un nombre para la subred.
2. Selecciona una región.
3. En Propósito, selecciona NAT privada.
4. Ingresa un rango de direcciones IP, que es el rango IPv4 principal de la subred.
  
  Si seleccionas un rango que no es una dirección RFC 1918, confirma que el rango no entre en conflicto con una configuración existente. Para obtener más información sobre los rangos de subredes IPv4 válidos, consulta Rangos de subredes IPv4.
  
  Nota: No se admiten los rangos de direcciones IP que tienen direcciones IPv4 públicas usadas de forma privada. Para obtener más información, consulta Intercambios de tráfico entre redes de VPC y radios de VPC.
Haz clic en Agregar.

gcloud

Usa el comando compute networks subnet create para crear la subred.

    gcloud compute networks subnets create NAT_SUBNET \
      --network=NETWORK \
      --region=REGION \
      --range=IP_RANGE \
      --purpose=PRIVATE_NAT

Reemplaza lo siguiente:

NAT_SUBNET: Es el nombre del rango de subred de NAT privada que se creará.
NETWORK: Es la red a la que pertenece la subred.
REGION: Es la región de la subred que se creará. Si no se especifica, es posible que se te solicite seleccionar una región (solo en el modo interactivo).
IP_RANGE: Es el espacio de IP asignado a esta subred en formato CIDR. Asegúrate de que IP_RANGE tenga en cuenta el uso del doble de puertos por VM.

Crea configuraciones de NAT privada

Puedes configurar una puerta de enlace NAT privada para admitir las siguientes ofertas de NAT privada:

NAT entre VPC: realiza la NAT en el tráfico entre redes de VPC configuradas como radios de VPC que están conectadas a un concentrador común de Network Connectivity Center.
NAT híbrida (versión preliminar): Realiza NAT en el tráfico entre redes de VPC y redes locales, o bien otras redes de proveedores de servicios en la nube que están conectadas a través de las soluciones de conectividad híbrida empresarial de Google Cloud.

Configura NAT privada

Crea una puerta de enlace de NAT privada con una regla de NAT personalizada que ejecute NAT en el tráfico entre tu red de VPC y otras redes.

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en Comenzar o Crear la puerta de enlace NAT.

Nota: Si esta es la primera puerta de enlace de Cloud NAT que crearás, haz clic en Comenzar. Si ya tienes puertas de enlace existentes, en lugar de Comenzar, Google Cloud muestra el botón Crear puerta de enlace de Cloud NAT. Para crear otra puerta de enlace, haz clic en Crear puerta de enlace de Cloud NAT.
Ingresa un nombre para la puerta de enlace.
En Tipo de NAT, selecciona Privado.
Selecciona una red de VPC para la puerta de enlace NAT.
Selecciona la región para la puerta de enlace NAT.
Selecciona o crea un Cloud Router en la región.
Asegúrate de que la opción Instancias de VM esté seleccionada como el tipo de extremo de origen.
En la lista Origen, selecciona Personalizado.
Selecciona una subred en la que desees realizar NAT.
Si deseas especificar rangos adicionales, haz clic en Agregar subred y rango de IP.
Haz clic en Agregar una regla.
En el campo Número de regla, ingresa cualquier valor entre 1 y 65000.
En Coincidencia, selecciona cualquiera de las siguientes opciones:
- En NAT entre VPC, selecciona Concentrador de Network Connectivity Center.
- En Hybrid NAT (Preview), selecciona Hybrid Connectivity Routes.
Selecciona o crea un rango de subred NAT privada.
Haz clic en Listo y, luego, en Crear.

gcloud

Crea un Cloud Router en la red de VPC para la que deseas realizar NAT. Usa el comando compute routers create.
```
gcloud compute routers create ROUTER_NAME \
  --network=NETWORK --region=REGION
```
Reemplaza lo siguiente:
- ROUTER_NAME: Es el nombre del router que se creará.
- NETWORK: Es la red de VPC de este router.
- REGION: Es la región del router que se creará. Si no se especifica, es posible que se te solicite seleccionar una región (solo en modo interactivo).
Especifica las subredes de la red de VPC de origen en la que deseas realizar la NAT para crear una puerta de enlace NAT privada.

Usa el comando compute routers nats create con la marca --type establecida en PRIVATE.
```
gcloud compute routers nats create NAT_CONFIG \
  --router=ROUTER_NAME --type=PRIVATE --region=REGION \
  --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL ...] | \
  [--nat-all-subnet-ip-ranges]
```
Reemplaza lo siguiente:
- NAT_CONFIG: Es el nombre de la configuración de NAT privada que se creará.
- ROUTER_NAME: Es el nombre del router que se usará con esta puerta de enlace. El router es el mismo que creaste en el paso anterior. Asegúrate de que no haya ningún otro recurso asociado con este router.
- SUBNETWORK: Es el nombre de la subred o la lista de subredes que pueden usar la puerta de enlace. También puedes especificar una lista de subredes en un formato separado por comas, como SUBNETWORK_1 o SUBNETWORK_2. Google Cloud siempre realiza NAT en todos los rangos de IP de subred para la subred determinada o la lista de subredes.
Crea una regla para hacer coincidir el tráfico según tus necesidades:
- Para realizar NAT en el tráfico que sale a través del radio de VPC de origen a cualquiera de los radios de VPC de intercambio de tráfico conectados a un concentrador de Network Connectivity Center coincidente, crea una regla de NAT en la puerta de enlace NAT privada. Según la regla NAT, la puerta de enlace NAT privada asigna direcciones IP de NAT desde la subred de NAT privada para realizar NAT en el tráfico.
  
  Usa el comando compute routers nats rules create.
```
gcloud beta compute routers nats rules create NAT_RULE_NUMBER \
--router=ROUTER_NAME --region=REGION \
--nat=NAT_CONFIG \
--match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \
--source-nat-active-ranges=NAT_SUBNET ...
```
  Reemplaza lo siguiente:
  - NAT_RULE_NUMBER: Es el número que identifica de manera inequívoca la regla que se creará.
  - NAT_CONFIG: Es el nombre de tu configuración de NAT privada que se creará la regla. La configuración es la misma que creaste en el paso anterior.
  - PROJECT_ID: Es el identificador único a nivel global del proyecto en el que se encuentra tu router.
  - HUB: Es el nombre del concentrador de Network Connectivity Center coincidente.
  - NAT_SUBNET: Es el nombre de la subred NAT privada que creaste antes. También puedes especificar una lista de subredes en un formato separado por comas.
- Para realizar NAT en el tráfico que sale de tu red de VPC de origen a una red local o de otro proveedor de servicios en la nube a través de las soluciones de conectividad híbrida empresarial de Google Cloud (vista previa), crea una regla de NAT en la puerta de enlace NAT privada. Según la regla NAT, la puerta de enlace NAT privada asigna direcciones IP de NAT desde la subred de NAT privada para realizar NAT en el tráfico.
  
  Usa el comando compute routers nats rules create.
```
gcloud beta compute routers nats rules create NAT_RULE_NUMBER \
--router=ROUTER_NAME --region=REGION \
--nat=NAT_CONFIG \
--match='nexthop.is_hybrid' \
--source-nat-active-ranges=NAT_SUBNET ...
```
  Reemplaza lo siguiente:
  - NAT_RULE_NUMBER: Es el número que identifica de manera inequívoca la regla que se creará.
  - NAT_CONFIG: Es el nombre de tu configuración de NAT privada que se creará la regla. La configuración es la misma que creaste en el paso anterior.
  - NAT_SUBNET: Es el nombre de la subred NAT privada que creaste antes. También puedes especificar una lista de subredes en un formato separado por comas.

Configura la NAT privada con asignación de puertos estáticos

La NAT privada usa la asignación dinámica de puertos de forma predeterminada. Sin embargo, puedes configurar la NAT privada para que use asignación de puertos estáticos.

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en Comenzar o Crear la puerta de enlace NAT.

Nota: Si esta es la primera puerta de enlace de Cloud NAT que crearás, haz clic en Comenzar. Si ya tienes puertas de enlace existentes, en lugar de Comenzar, Google Cloud muestra el botón Crear puerta de enlace de Cloud NAT. Para crear otra puerta de enlace, haz clic en Crear puerta de enlace de Cloud NAT.
Ingresa un nombre para la puerta de enlace.
En Tipo de NAT, selecciona Privado.
Selecciona una red de VPC para la puerta de enlace NAT.
Selecciona la región para la puerta de enlace NAT.
Selecciona o crea un Cloud Router en la región.
Especifica los detalles de la asignación de Cloud NAT y crea una regla de NAT. Para obtener más información, consulta Configura NAT privada.
Haz clic en Configuración avanzada.
Borra Habilitar la asignación dinámica de puertos.
Especifica el valor de la Cantidad mínima de puertos por instancia de VM. El valor predeterminado es 64.
Haz clic en Listo y, luego, en Crear.

gcloud

Usa el comando compute routers nats create con la marca --no-enable-dynamic-port-allocation.

  gcloud compute routers nats create NAT_CONFIG \
    --router=ROUTER_NAME --type=PRIVATE --region=REGION \
    --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] \
    --no-enable-dynamic-port-allocation \
    [--min-ports-per-vm=VALUE]

Reemplaza lo siguiente:

NAT_CONFIG: Es el nombre de la configuración de NAT privada que se creará.
ROUTER_NAME: Es el nombre del router que se usará con esta puerta de enlace.
SUBNETWORK: Es el nombre de la subred o la lista de subredes que pueden usar la puerta de enlace.

También puedes especificar una lista de subredes en un formato separado por comas, como SUBNETWORK_1 o SUBNETWORK_2. Google Cloud siempre realiza NAT en todos los rangos de IP de subred para la subred determinada o la lista de subredes.
VALUE: Los puertos mínimos por VM que deseas que asigne la puerta de enlace. Si no se especifica, Google Cloud asigna el valor predeterminado de 64.

Ver la configuración de NAT

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Para ver los detalles de la puerta de enlace NAT, la información de asignación o los detalles de configuración, haz clic en el nombre de tu puerta de enlace NAT.
Para ver el estado de NAT, consulta la columna Estado de la puerta de enlace de NAT.

gcloud

Para ver los detalles de configuración de NAT, ejecuta los siguientes comandos:

Visualiza la configuración de la puerta de enlace NAT privada.
```
gcloud compute routers nats describe NAT_CONFIG \
   --router=ROUTER_NAME \
   --region=REGION
```
Reemplaza lo siguiente:
- NAT_CONFIG: Es el nombre de tu configuración de NAT.
- ROUTER_NAME: Es el nombre de tu Cloud Router.
- REGION: la región de la NAT que se describirá. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).
Visualiza la asignación de los rangos de IP:port asignados a cada interfaz de VM.
```
gcloud compute routers get-nat-mapping-info ROUTER_NAME \
  --region=REGION
```

Consulta el estado de la puerta de enlace NAT privada.

gcloud compute routers get-status ROUTER_NAME \
  --region=REGION

Actualiza configuraciones de NAT privada

Después de configurar tu puerta de enlace NAT privada, puedes actualizar la configuración de la puerta de enlace según tus requisitos. En las siguientes secciones, se enumeran las tareas que puedes realizar para actualizar tu puerta de enlace NAT privada.

Cambia las subredes asociadas con NAT privada

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en tu puerta de enlace de NAT.
Haz clic en Editar.
En Asignación de Cloud NAT, en la lista Origen, selecciona Personalizado.
Selecciona una subred nueva de la lista de subredes disponibles.
Si deseas especificar rangos adicionales, haz clic en Agregar subred y rango de IP y, luego, selecciona otra subred.
Haz clic en Guardar.

gcloud

gcloud beta compute routers nats update NAT_CONFIG \
  --router=ROUTER_NAME \
  --region=REGION \
  --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,..]

Reemplaza lo siguiente:

NAT_CONFIG: Es el nombre de la configuración de NAT privada que se actualizará.
ROUTER_NAME: Es el nombre del router que se usará con esta puerta de enlace.
SUBNETWORK: Es el nombre de la subred que se usará.

Borra las subredes asociadas con NAT privada

Puedes quitar subredes específicas de la puerta de enlace NAT que ya no estén en uso.

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en tu puerta de enlace de NAT.
Haz clic en Editar.
Borra la subred que deseas quitar de la asignación de NAT.

Nota: Si la subred que borraste es la única subred asignada a la puerta de enlace NAT privada, el sistema te solicitará que la agregues. Puedes asignar una subred nueva o seleccionar Rangos primarios y secundarios para todas las subredes en la lista Origen.
Haz clic en Guardar.

Agrega subredes de NAT a tu configuración de NAT privada

Para realizar NAT en el tráfico, una configuración de NAT privada usa direcciones IP de NAT desde una subred que tiene el propósito PRIVATE_NAT. Si tu configuración de NAT privada requiere una cantidad mayor que la cantidad disponible de direcciones IP de NAT, puedes agregar más subredes con el propósito PRIVATE_NAT a la configuración.

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en tu puerta de enlace de NAT.
Haz clic en Editar.
Expande la regla existente.
Haz clic en Agregar rangos de subredes.
Selecciona o crea un rango de subred NAT nuevo y haz clic en Listo.

Nota: Para agregar más subredes NAT, repite el paso.
Haz clic en Guardar.

gcloud

gcloud beta compute routers nats rules update NAT_RULE_NUMBER \
  --nat=NAT_CONFIG \
  --router=ROUTER_NAME \
  --region=REGION \
  --source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...

Reemplaza lo siguiente:

NAT_RULE_NUMBER: Es el número que identifica de manera inequívoca la regla que se actualizará.
NAT_CONFIG: Es el nombre de tu configuración de NAT privada para que se actualice la regla.
PROJECT_ID: Es el identificador único a nivel global del proyecto en el que se encuentra tu router.
NAT_SUBNET: Son los nombres de las subredes NAT privadas que se agregarán a tu configuración de NAT existente.

Borrar la configuración de NAT

Borrar una configuración de puerta de enlace quita la configuración de NAT de un Cloud Router. No borra el router en sí.

Console

En la consola de Google Cloud, ve a la página de Cloud NAT.

Ir a Cloud NAT
Selecciona la casilla de verificación junto a la configuración de la puerta de enlace que deseas borrar.
En el Menú, haz clic en Borrar.

gcloud

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Reemplaza lo siguiente:

NAT_CONFIG: Es el nombre de tu configuración de NAT.
ROUTER_NAME: Es el nombre de tu Cloud Router.
REGION: Es la región de la NAT que se borrará. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).

¿Qué sigue?

Configura Logging y Monitoring para Cloud NAT.
Soluciona problemas comunes con las configuraciones de NAT.