Configura y administra la traducción de direcciones de red con NAT privada
En esta página, se describe cómo configurar una dirección de red privada a privada (NAT) en Cloud NAT.
Antes de comenzar
Completa las siguientes tareas antes de configurar la NAT privada.
Revisa las especificaciones de NAT privada
Consulta las siguientes especificaciones y requisitos:
- Para conocer las especificaciones generales, consulta NAT privada.
- Para el tráfico entre radios de un concentrador de Network Connectivity Center, lo que incluye radios de VPC y radios híbridas, consulta NAT privada para radios de Network Connectivity Center.
- Para el tráfico entre redes de nube privada virtual (VPC) y redes que no son de Google Cloud a través de Cloud Interconnect o Cloud VPN, consulta NAT híbrida.
Obtén permisos de IAM
El administrador de la red de Compute
puesto
(roles/compute.networkAdmin
) te otorga permisos para crear una puerta de enlace NAT en
Cloud Router, reservar y asignar direcciones IP de NAT, y especificar
subredes cuyo tráfico debería usar la traducción de direcciones de red
la puerta de enlace NAT.
Configura Google Cloud
Antes de comenzar, configura los siguientes elementos en Google Cloud.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
En las instrucciones de la CLI de Google Cloud de esta página, se da por hecho que estableciste el ID del proyecto antes de emitir comandos.
Puedes configurar un ID del proyecto con el siguiente comando:
gcloud config set project PROJECT_ID
También puedes ver el ID de un proyecto que ya está configurado:
gcloud config list --format='text(core.project)'
Crea una subred de NAT con el propósito PRIVATE_NAT
Antes de configurar la NAT privada, creas una subred de NAT con el propósito PRIVATE_NAT
. La subred de NAT debe estar en la misma región en la que planeas
crear tu puerta de enlace de NAT privada.
La puerta de enlace de NAT privada usa rangos de direcciones IP de esta subred para realizar NAT. Asegúrate de que esta subred no se superponga con una subred existente en ninguna de las redes conectadas. No puedes crear ningún recurso en esta subred.
Esta subred solo se usa para NAT privada.
Console
En la consola de Google Cloud, ve a la página Redes de VPC.
Para mostrar la página de detalles de la red de VPC, haz clic en el nombre de una red de VPC.
Haz clic en la pestaña Subredes.
Haz clic en Agregar subred. En el cuadro de diálogo Agregar una subred, haz lo siguiente:
- Proporciona un nombre para la subred.
- Selecciona una región.
- En Propósito, selecciona NAT privada.
Ingresa un rango de direcciones IP, que es el rango IPv4 principal de la subred.
Si seleccionas un rango que no es una dirección RFC 1918, confirma que el rango no entre en conflicto con una configuración existente. Para obtener más información sobre los rangos de subredes IPv4 válidos, consulta Rangos de subredes IPv4.
Haz clic en Agregar.
gcloud
Usa el comando gcloud compute networks subnet create
para crear la subred.
gcloud compute networks subnets create NAT_SUBNET \ --network=NETWORK \ --region=REGION \ --range=IP_RANGE \ --purpose=PRIVATE_NAT
Reemplaza lo siguiente:
NAT_SUBNET
: Es el nombre de la Rango de subred NAT privado para crear.NETWORK
: Es la red a la que pertenece la subred.REGION
: Es la región de la subred que se creará. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).IP_RANGE
: Es el espacio de IP asignado a esta subred en formato CIDR. Asegúrate de que IP_RANGE tenga en cuenta mediante el doble del tamaño de los puertos que se necesitan por VM.
Configura NAT privada
Para configurar la NAT privada, crea un Puerta de enlace NAT privada en la red de VPC de origen. Cada puerta de enlace está asociada con una sola red de VPC, región y Cloud Router.
Cuando configuras una NAT privada, puedes habilitar uno o los siguientes:
- NAT privada para radios de Network Connectivity Center. Habilita NAT para los servicios
tráfico entre las siguientes opciones:
- Una red de VPC de origen y una red de VPC de destino en el mismo concentrador de Network Connectivity Center Ambas redes deben configurarse como radios de VPC.
- Una red de VPC de origen que está configurada como un radio de VPC en un concentrador de Network Connectivity Center y una red local de destino o de otro proveedor de servicios en la nube que está conectada al concentrador a través de un radio híbrido (Versión preliminar).
- NAT híbrida: Habilita NAT para el tráfico entre una red de VPC de origen y una red local de destino o de otro proveedor de servicios en la nube. Las redes deben estar conectadas a través de Cloud Interconnect o Cloud VPN
Crea una puerta de enlace NAT privada
Crea una puerta de enlace de NAT privada en la red de VPC de origen para la que deseas configurar NAT.
Console
En la consola de Google Cloud, ve a la página de Cloud NAT.
Haz clic en Comenzar o Crear Cloud NAT.
Ingresa un nombre para la puerta de enlace.
En Tipo de NAT, selecciona Privado.
Selecciona una red de VPC para la puerta de enlace NAT.
Selecciona la región de la puerta de enlace NAT.
Selecciona o crea un Cloud Router en la región.
Asegúrate de que Instancias de VM esté seleccionado como el tipo de extremo de origen.
En la lista Origen, selecciona Personalizado.
Selecciona una subred en la que deseas realizar la NAT.
Si deseas especificar rangos adicionales, haz clic en Agregar subred y rango de IP.
Haz clic en Agregar una regla.
En el campo Número de regla, ingresa cualquier valor entre
1
y65000
.En Coincidencia, selecciona una de las siguientes opciones:
- Para habilitar la NAT híbrida, selecciona Rutas de conectividad híbrida.
- Para habilitar la NAT privada para los radios de Network Connectivity Center, selecciona Concentrador de Network Connectivity Center.
- Para habilitar ambas opciones, selecciona Rutas de conectividad híbrida y Concentrador de Network Connectivity Center.
Selecciona o crea un rango de subred NAT privada.
Haz clic en Listo.
Opcional: Ajusta cualquiera de los siguientes parámetros de configuración en el Sección de Configuración avanzada:
- Establece si se debe configurar el registro. De forma predeterminada, se muestra Sin registro seleccionado.
- Si se debe cambiar la forma en que Cloud NAT asigna puertos. De forma predeterminada, está seleccionada la opción Habilitar la asignación dinámica de puertos. Para configurar la asignación de puertos estáticos, borra la opción Habilitar asignación dinámica de puertos y especifica Cantidad mínima de puertos por instancia de VM. El valor predeterminado es
64
. - Indica si se deben actualizar los tiempos de espera de NAT para las conexiones de protocolo. Para obtener información sobre estos tiempos de espera y sus valores predeterminados, consulta Tiempos de espera de NAT.
Haz clic en Crear.
gcloud
Crea un Cloud Router en la red de VPC para en el que quieres configurar la NAT.
Usa el comando
gcloud compute routers create
.gcloud compute routers create ROUTER_NAME \ --network=NETWORK --region=REGION
Reemplaza lo siguiente:
ROUTER_NAME
: Es un nombre para el Cloud Router.NETWORK
: Es la red de VPC en la que se creará el Cloud Router.REGION
: Es la región en la que se creará el Cloud Router.
Crea una puerta de enlace NAT privada y especifica una o más las subredes de la red de VPC de origen configurar NAT.
Usa el comando
gcloud compute routers nats create
con la marca--type
configurada comoPRIVATE
.gcloud compute routers nats create NAT_CONFIG \ --router=ROUTER_NAME --type=PRIVATE --region=REGION \ --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] | \ [--nat-all-subnet-ip-ranges]
Reemplaza lo siguiente:
NAT_CONFIG
: Es un nombre para la configuración de NAT privada que estás creando.ROUTER_NAME
: Es el nombre del Cloud Router que se usará con esta puerta de enlace. Este es el Cloud Router que creaste en el paso anterior y ningún otro recurso debe estar usándolo.SUBNETWORK
: Es el nombre de la subred o la lista de subredes para las que deseas usar NAT.También puedes especificar una lista de subredes en un formato separado por comas, como
SUBNETWORK_1
,SUBNETWORK_2
. NAT privada Siempre ejecuta NAT en todos los rangos de IP de subred para la subred o la lista de subredes dada.
De forma predeterminada, la NAT privada usa la asignación dinámica de puertos. Si deseas crear una puerta de enlace de NAT privada con asignación de puertos estáticos, ejecuta el comando anterior con la marca
--no-enable-dynamic-port-allocation
:gcloud compute routers nats create NAT_CONFIG \ --router=ROUTER_NAME --type=PRIVATE --region=REGION \ --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] | \ [--nat-all-subnet-ip-ranges] --no-enable-dynamic-port-allocation \ [--min-ports-per-vm=VALUE]
Reemplaza
VALUE
por la cantidad mínima de puertos a asignar por VM. Si no se especifica, Google Cloud asigna el valor predeterminado de64
.Crea una regla de NAT para que coincida con el tráfico según el tipo de NAT que configures.
Usa el comando
gcloud compute routers nats rules create
. con la marca--match
establecida en una de las siguientes opciones:nexthop.is_hybrid
: traduce el tráfico saliente de la red de VPC de origen a una red local o de otro proveedor de servicios en la nube que está conectada a Google Cloud a través de Cloud Interconnect o Cloud VPN.nexthop.hub
: Traduce el tráfico saliente. del radio de VPC de origen a cualquiera de los VPC o radios híbridas que se conectan al mismo Concentrador de Network Connectivity Center como radio de VPC de origen.nexthop.is_hybrid || nexthop.hub
: Configura ambos tipos de NAT privada.
Para crear una regla de NAT para la NAT híbrida, ejecuta el comando siguiente comando:
gcloud compute routers nats rules create NAT_RULE_NUMBER \ --router=ROUTER_NAME --region=REGION \ --nat=NAT_CONFIG \ --match='nexthop.is_hybrid' \ --source-nat-active-ranges=NAT_SUBNET
Cómo crear una regla de NAT para NAT privada Para los radios de Network Connectivity Center, ejecuta el siguiente comando:
gcloud compute routers nats rules create NAT_RULE_NUMBER \ --router=ROUTER_NAME --region=REGION \ --nat=NAT_CONFIG \ --match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \ --source-nat-active-ranges=NAT_SUBNET
Para crear una regla de NAT para Hybrid NAT y Private NAT para los radios de Network Connectivity Center, ejecuta el siguiente comando:
gcloud compute routers nats rules create NAT_RULE_NUMBER \ --router=ROUTER_NAME --region=REGION \ --nat=NAT_CONFIG \ --match='nexthop.is_hybrid || nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \ --source-nat-active-ranges=NAT_SUBNET
Reemplaza lo siguiente:
NAT_RULE_NUMBER
: Es el número de regla que identifica de forma única la regla de NAT, de1
a65000
.ROUTER_NAME
: Es el nombre del Cloud Router que creaste antes.REGION
: Es la región del Cloud Router.NAT_CONFIG
: Es el nombre de la configuración de NAT privada que creaste antes.PROJECT_ID
: Es el proyecto de Google Cloud del centro de Network Connectivity Center.HUB
: Es el nombre del concentrador de Network Connectivity Center.NAT_SUBNET
: Es el nombre de la Subred NAT privada que creaste anteriormente. También puedes especificar una lista de subredes en formato separado por comas.
Cómo ver la configuración de NAT privada
Console
En la consola de Google Cloud, ve a la página de Cloud NAT.
Para ver los detalles de la puerta de enlace NAT, la información de asignación o los detalles de configuración, haz clic en el nombre de tu puerta de enlace NAT.
Para ver el estado de NAT, consulta la columna Estado de la puerta de enlace de NAT.
gcloud
Para ver los detalles de configuración de NAT, ejecuta los siguientes comandos:
Consulta la configuración de la puerta de enlace de NAT privada.
gcloud compute routers nats describe NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION
Reemplaza lo siguiente:
NAT_CONFIG
: Es el nombre de tu configuración de NAT.ROUTER_NAME
: Es el nombre de tu Cloud Router.REGION
: la región de la NAT que se describirá. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).
Visualiza la asignación de los rangos de IP:port asignados a cada interfaz de VM.
gcloud compute routers get-nat-mapping-info ROUTER_NAME \ --region=REGION
Consulta el estado de la puerta de enlace de NAT privada.
gcloud compute routers get-status ROUTER_NAME \ --region=REGION
Actualiza la configuración de NAT privada
Después de configurar la puerta de enlace de NAT privada, puedes actualizar su configuración según tus requisitos. En las siguientes secciones, se enumeran las tareas que puedes realizar para actualizar tu puerta de enlace NAT privada.
Cambia las subredes asociadas con NAT privada
Console
En la consola de Google Cloud, ve a la página de Cloud NAT.
Haz clic en tu puerta de enlace de NAT.
Haz clic en
Editar.En Asignación de Cloud NAT, en la lista Origen, selecciona Personalizada.
Selecciona una subred nueva de la lista de subredes disponibles.
Si quieres especificar rangos adicionales, haz clic en Agregar subred y rango de IP y, luego, selecciona otra subred.
Haz clic en Guardar.
gcloud
gcloud compute routers nats update NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,..]
Reemplaza lo siguiente:
NAT_CONFIG
: Es el nombre de tu configuración de NAT privada. para actualizarlo.ROUTER_NAME
: Es el nombre del router que se usará con esta puerta de enlace.SUBNETWORK
: Es el nombre de la subred que se usará.
Borra las subredes asociadas con NAT privada
Puedes quitar subredes específicas de la puerta de enlace NAT que ya no estén en uso.
Console
En la consola de Google Cloud, ve a la página de Cloud NAT.
Haz clic en tu puerta de enlace de NAT.
Haz clic en
Editar.Borra la subred que quieres quitar de la asignación de NAT.
Haz clic en Guardar.
Agrega subredes de NAT a tu configuración de NAT privada
Para ejecutar NAT en el tráfico, se puede usar una puerta de enlace
usa direcciones IP de NAT de una subred con un propósito de PRIVATE_NAT
.
Si tu configuración de NAT privada requiere más que la cantidad disponible de direcciones IP de NAT, puedes agregar más subredes de propósito PRIVATE_NAT
a la configuración.
Console
En la consola de Google Cloud, ve a la página de Cloud NAT.
Haz clic en tu puerta de enlace de NAT.
Haz clic en
Editar.Expande la regla existente.
Haz clic en Agregar rangos de subredes.
Selecciona o crea un nuevo rango de subred de NAT y, luego, haz clic en Listo.
Haz clic en Guardar.
gcloud
gcloud compute routers nats rules update NAT_RULE_NUMBER \ --nat=NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...
Reemplaza lo siguiente:
NAT_RULE_NUMBER
: El número que identifica de forma única la regla que se actualizará.NAT_CONFIG
: Es el nombre de tu configuración de NAT privada para que la regla se actualice.ROUTER_NAME
: Es el nombre del router que se usará con esta puerta de enlace.NAT_SUBNET
: Los nombres de las subredes NAT privadas que se agregarán a tu configuración de NAT existente.
Borrar configuración de NAT
Si borras la configuración de una puerta de enlace, se quitará la configuración de NAT de un Cloud Router. No borra el router en sí.
Console
En la consola de Google Cloud, ve a la página de Cloud NAT.
Selecciona la casilla de verificación junto a la configuración de la puerta de enlace que deseas borrar.
En el
Menú, Haz clic en Borrar.
gcloud
gcloud compute routers nats delete NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION
Reemplaza lo siguiente:
NAT_CONFIG
: Es el nombre de tu configuración de NAT.ROUTER_NAME
: Es el nombre de tu Cloud Router.REGION
: Es la región de la NAT que se borrará. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).
¿Qué sigue?
- Configura Logging y Monitoring para Cloud NAT.
- Soluciona problemas comunes con las configuraciones de NAT.