Esta página foi traduzida pela API Cloud Translation.

Ajuste a configuração de NAT

Depois de configurar a configuração do gateway NAT da nuvem (NAT público ou NAT privado), pode editar a configuração com base nos seus requisitos. Esta página lista as tarefas que pode realizar para otimizar a configuração do Cloud NAT.

A edição de configurações pode ser disruptiva por natureza e pode fazer com que as ligações de NAT (tradução de endereços de rede) existentes sejam interrompidas. Para mais informações sobre o impacto do ajuste das configurações do Cloud NAT, consulte o artigo Impacto do ajuste das configurações do NAT nas ligações NAT existentes.

Veja a utilização das portas

Antes de modificar a utilização mínima de portas por VM, reveja a utilização de portas por VM. Pode obter estas informações através da métrica compute.googleapis.com/nat/port_usage.

Na Google Cloud consola, aceda à página Monitorização.

Aceder a Monitorização
1. No painel de navegação, selecione Explorador de métricas .
2. Expanda o menu Selecionar uma métrica e use os submenus para escolher a métrica compute.googleapis.com/nat/port_usage:
  - Para Recurso, selecione Instância de VM.
  - Para Categoria de métricas, selecione Nat.
  - Em Métrica, selecione Utilização de portas.
3. Clique em Aplicar.
4. Para selecionar o gateway Cloud NAT, use o campo Filtros.
5. Na secção Agrupar por, para etiquetas, selecione instance_id.
6. Na lista Função de agrupamento, selecione Máximo.
7. Expanda Mais opções e defina o campo Alinhador como máximo.
8. Para ver a utilização dos últimos 30 dias, especifique 30d.
Para mais informações sobre a utilização do explorador de métricas, consulte o artigo Selecione métricas quando usar o explorador de métricas.

Escolha um número mínimo de portas por VM

A escolha de um número mínimo adequado de portas é importante para ajudar a maximizar a utilização de endereços IP NAT.

Antes de aumentar o número de portas por MV, pondere outras estratégias para reduzir a utilização de portas.

Se precisar de aumentar o número de portas por VM, comece por considerar a utilização de portas por VM no gateway. Para ver informações sobre como encontrar estes dados, consulte o artigo Veja a utilização de portas.

Reveja a utilização máxima de portas nos últimos 30 dias ou noutro período que considere representativo para o gateway NAT da nuvem.

Efetue um dos seguintes passos:

Se estiver a usar a atribuição de portas estática, configure o número de portas por VM para que o mínimo seja igual à sua utilização de portas de pico atual.
Se estiver a usar a atribuição dinâmica de portas, configure o número de portas por VM de modo que o mínimo seja inferior à utilização de portas de pico e o máximo seja superior à utilização de portas de pico.

Altere as portas predefinidas mínimas atribuídas por MV

Para obter ajuda na decisão de como configurar o número mínimo de portas por VM, consulte o artigo Escolha um número mínimo de portas por VM.

Para informações sobre as consequências da alteração da atribuição mínima de portas, consulte as seguintes secções:

Se o gateway NAT da nuvem tiver a atribuição dinâmica de portas configurada, consulte o artigo Altere as portas mínimas ou máximas quando a atribuição dinâmica de portas estiver configurada.

Consola

Na Google Cloud consola, aceda à página Cloud NAT.

Aceda ao Cloud NAT
Clique na sua gateway do Cloud NAT.
Clique em Editar.
Clique em Configurações avançadas.
Modifique o campo Portas mínimas por instância de VM.
Clique em Guardar.

gcloud

Use o comando gcloud compute routers nats update.

Este comando deixa os outros campos na configuração do Cloud NAT inalterados.

gcloud compute routers nats update NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --min-ports-per-vm=128

Substitua o seguinte:

NAT_CONFIG: o nome da configuração do Cloud NAT.
ROUTER_NAME: o nome do seu Cloud Router.
REGION: a região do NAT na nuvem a atualizar. Se não for especificado, pode ser-lhe pedido que selecione uma região (apenas no modo interativo).

Altere o método de atribuição de portas

A atribuição de portas estática e a atribuição de portas dinâmica têm requisitos de configuração diferentes.

Antes de atualizar o tipo de atribuição de portas numa gateway do Cloud NAT existente, certifique-se de que a configuração da gateway do Cloud NAT é compatível com esse tipo de atribuição de portas. Se a configuração não for compatível, a alteração falha.

Para a atribuição dinâmica de portas, verifique se o mapeamento independente do ponto final está desativado.
Verifique se a definição de portas mínimas por VM é uma potência de 2 e está entre 32 e 32 768.

Consola

Na Google Cloud consola, aceda à página Cloud NAT.

Aceda ao Cloud NAT
Clique na sua gateway do Cloud NAT.
Clique em Editar.
Clique em Configurações avançadas.
Selecione ou desmarque a opção Ativar atribuição dinâmica de portas.
Se necessário, ajuste os valores de Portas mínimas por instância de VM e Portas máximas por instância de VM.
Clique em Guardar.

gcloud

Use o comando gcloud compute routers nats update.

Este comando deixa os outros campos na configuração do Cloud NAT inalterados.

gcloud compute routers nats update NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --enable-dynamic-port-allocation | --no-enable-dynamic-port-allocation \
    [ --min-ports-per-vm=MIN_PORTS ] \
    [ --max-ports-per-vm=MAX_PORTS ]

Substitua o seguinte:

NAT_CONFIG: o nome da configuração do Cloud NAT.
ROUTER_NAME: o nome do seu Cloud Router.
REGION: a região do NAT na nuvem a atualizar. Se não for especificado, pode ser-lhe pedido que selecione uma região (apenas no modo interativo).
MIN_PORTS: o número mínimo de portas a atribuir a cada VM. Se a atribuição dinâmica de portas estiver ativada, MIN_PORTS tem de ser uma potência de 2 e pode estar entre 32 e 32768.
MAX_PORTS: o número máximo de portas a atribuir para cada VM. MAX_PORTS tem de ser uma potência de 2 e pode estar entre 64 e 65536. MAX_PORTS tem de ser superior a MIN_PORTS. A predefinição é 65536.

Altere as portas mínimas ou máximas quando a atribuição dinâmica de portas estiver configurada

Depois de configurar a atribuição dinâmica de portas, pode alterar o número mínimo ou máximo de portas atribuídas por MV.

Para obter ajuda na decisão de como configurar o número mínimo de portas por VM, consulte o artigo Escolha um número mínimo de portas por VM.

Para informações sobre as consequências da alteração da atribuição mínima de portas, consulte as seguintes secções:

Consola

Na Google Cloud consola, aceda à página Cloud NAT.

Aceda ao Cloud NAT
Clique na sua gateway do Cloud NAT.
Clique em Editar.
Clique em Configurações avançadas.
Ajuste os campos Portas mínimas por instância de VM e Portas máximas por instância de VM.
Clique em Guardar.

gcloud

Use o comando gcloud compute routers nats update.

Este comando deixa os outros campos na configuração do Cloud NAT inalterados.

gcloud compute routers nats update NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --min-ports-per-vm=MIN_PORTS \
    --max-ports-per-vm=MAX_PORTS

Substitua o seguinte:

NAT_CONFIG: o nome da configuração do Cloud NAT.
ROUTER_NAME: o nome do seu Cloud Router.
REGION: a região do NAT na nuvem a atualizar. Se não for especificado, pode ser-lhe pedido que selecione uma região (apenas no modo interativo).
MIN_PORTS: o número mínimo de portas a atribuir a cada VM. Se a atribuição dinâmica de portas estiver ativada, MIN_PORTS tem de ser uma potência de 2 e pode estar entre 32 e 32768.
MAX_PORTS: o número máximo de portas a atribuir para cada VM. MAX_PORTS tem de ser uma potência de 2 e pode estar entre 64 e 65536. MAX_PORTS tem de ser superior a MIN_PORTS.

Modifique os limites de tempo do NAT

As secções seguintes descrevem os limites de tempo da NAT e como modificá-los:

Limites de tempo de NAT
Altere os limites de tempo de NAT
Reponha os limites de tempo de NAT para os valores predefinidos

Limites de tempo de NAT

O Cloud NAT usa os seguintes limites de tempo para ligações de protocolo. Estes limites de tempo aplicam-se à NAT pública e à NAT privada, exceto quando indicado. Pode modificar os valores de tempo limite predefinidos para diminuir ou aumentar a taxa de reutilização das portas. Cada valor de limite de tempo é um equilíbrio entre a utilização eficiente dos recursos do Cloud NAT e a possível interrupção das ligações, dos fluxos ou das sessões ativas.

Tempo limite	Descrição	Predefinição do Cloud NAT	Configurável
Limite de tempo de inatividade do mapeamento UDP RFC 4787 REQ-5	Especifica o tempo em segundos após o qual os fluxos UDP têm de parar de enviar tráfego para os pontos finais, para que os mapeamentos do NAT na nuvem sejam removidos. O tempo limite de inatividade do mapeamento UDP afeta dois pontos finais que deixam de enviar tráfego um ao outro. Também afeta os pontos finais que demoram mais tempo a responder ou se houver um aumento na latência da rede. Pode aumentar o valor de tempo limite especificado para diminuir a taxa à qual as portas podem ser reutilizadas. O valor de tempo limite mais elevado significa que as portas são mantidas para ligações mais longas e também protege contra pausas no tráfego através de um socket UDP específico.	30 segundos	Sim
Limite de tempo de inatividade da ligação TCP estabelecida RFC 5382 REQ-5	Especifica o tempo em segundos que uma ligação fica inativa antes de os mapeamentos do Cloud NAT serem removidos. O tempo limite de inatividade da ligação estabelecida de TCP afeta os pontos finais que demoram mais tempo a responder ou se houver um aumento da latência da rede. Pode aumentar o valor de tempo limite quando quiser abrir ligações TCP e manter as ligações abertas durante muito tempo sem um mecanismo de keepalive em vigor.	1200 segundos (20 minutos)	Sim
Limite de tempo de inatividade da ligação transitória de TCP RFC 5382 REQ-5	Especifica o tempo em segundos que as ligações TCP podem permanecer no estado semiaberto antes de ser possível eliminar os mapeamentos do Cloud NAT. O tempo limite de inatividade da ligação transitória TCP afeta um ponto final quando um ponto final externo demora mais tempo do que o especificado ou quando existe uma latência de rede aumentada. Ao contrário do tempo limite de inatividade da ligação estabelecida de TCP, o tempo limite de inatividade da ligação transitória de TCP afeta apenas as ligações semifechadas.	30 segundos Nota: independentemente do valor que definir para este limite de tempo, o Cloud NAT pode demorar até 30 segundos adicionais antes de poder ser usado um endereço IP de origem e uma tupla de porta de origem do Cloud NAT para processar uma nova ligação.	Sim
Tempo limite TIME_WAIT do TCP RFC 5382 REQ-5	Especifica o tempo em segundos durante o qual uma ligação TCP totalmente fechada é retida nos mapeamentos do NAT da nuvem após a expiração da ligação. O limite de tempo de espera do TCP TIME_WAIT protege os seus pontos finais internos contra a receção de pacotes inválidos pertencentes a uma ligação TCP fechada que são retransmitidos. Pode diminuir o valor do limite de tempo para melhorar a reutilização das portas do Cloud NAT à custa de possivelmente receber pacotes retransmitidos de uma ligação não relacionada fechada anteriormente.	120 segundos Nota: independentemente do valor que definir para este limite de tempo, o Cloud NAT pode demorar até mais 30 segundos antes de poder ser usado um endereço IP de origem e uma tupla de porta de origem do Cloud NAT para processar uma nova ligação. Se estiver a usar a atribuição dinâmica de portas, defina este limite de tempo como 15 segundos ou mais para evitar pacotes perdidos.	Sim
Limite de tempo de inatividade do mapeamento ICMP (aplicável apenas ao NAT público) RFC 5508 REQ-2	Especifica o tempo em segundos após o qual os mapeamentos do protocolo de mensagens de controlo da Internet (ICMP) do Cloud NAT que não têm fluxos de tráfego são fechados. O tempo limite de inatividade do mapeamento ICMP afeta um ponto final quando este demora mais tempo a responder do que o tempo especificado ou quando existe uma latência de rede aumentada.	30 segundos	Sim

Altere os limites de tempo de NAT

Consola

Na Google Cloud consola, aceda à página Cloud NAT.

Aceda ao Cloud NAT
Clique na sua gateway do Cloud NAT.
Clique em Editar.
Clique em Configurações avançadas.
Modifique os valores de tempo limite que quer alterar.
Clique em Guardar.

gcloud

Use o comando gcloud compute routers nats update com as seguintes flags para alterar estes valores de tempo limite:

Limite de tempo de inatividade do mapeamento UDP: --udp-idle-timeout
Limite de tempo de inatividade da ligação TCP estabelecida: --tcp-established-idle-timeout
Limite de tempo de inatividade da ligação transitória TCP: --tcp-transitory-idle-timeout
Limite de tempo de TCP TIME_WAIT: --tcp-time-wait-timeout
Limite de tempo de inatividade do mapeamento ICMP: --icmp-idle-timeout

Este comando deixa os outros campos na configuração de NAT inalterados.

Por exemplo, o seguinte comando altera o valor de tempo limite de inatividade do mapeamento UDP.

gcloud compute routers nats update NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --udp-idle-timeout=VALUE

Substitua o seguinte:

NAT_CONFIG: o nome da configuração do Cloud NAT.
ROUTER_NAME: o nome do seu Cloud Router.
REGION: a região do NAT na nuvem a atualizar. Se não for especificado, pode ser-lhe pedido que selecione uma região (apenas no modo interativo).
VALUE: o valor do limite de tempo (em segundos)

Reponha os limites de tempo da NAT para os valores predefinidos

Consola

Na Google Cloud consola, aceda à página Cloud NAT.

Aceda ao Cloud NAT
Clique na sua gateway do Cloud NAT.
Clique em Editar.
Clique em Configurações avançadas.
Remova todos os valores configurados pelo utilizador que quer repor.
Clique em Guardar.

Os valores removidos são repostos para os valores predefinidos.

gcloud

Use o comando gcloud compute routers nats update.

Este comando deixa os outros campos na configuração do Cloud NAT inalterados.

gcloud compute routers nats update NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION \
    --clear-udp-idle-timeout \
    --clear-icmp-idle-timeout \
    --clear-tcp-established-idle-timeout \
    --clear-tcp-time-wait-timeout \
    --clear-tcp-transitory-idle-timeout

Substitua o seguinte:

NAT_CONFIG: o nome da sua gateway do Cloud NAT.
ROUTER_NAME: o nome do seu Cloud Router.
REGION: a região do NAT na nuvem a atualizar. Se não for especificado, pode ser-lhe pedido que selecione uma região (apenas no modo interativo).

Impacto do ajuste das configurações de RFC nas ligações de RFC existentes

A tabela seguinte resume o impacto do ajuste das configurações do Cloud NAT nas ligações existentes:

Ação de afinação	Perda de ligação
Desative o mapeamento independente do ponto final	Não
Diminuir o número mínimo de portas por VM ao mesmo tempo que ativa a atribuição dinâmica de portas: maximum ports per VM >= old minimum ports per VM, and maximum ports per VM >= `1024`	Não
Aumente o número mínimo de portas por VM quando já tiver a atribuição dinâmica de portas ativada	Não
Diminua o número mínimo de portas por VM quando já tiver a atribuição dinâmica de portas ativada	Não
Aumente as portas mínimas por VM quando já tiver a atribuição dinâmica de portas desativada	Não
Diminua as portas mínimas por VM quando já tiver a atribuição dinâmica de portas desativada	Sim
Aumente o número máximo de portas por VM	Não
Diminua o número máximo de portas por VM quando já tiver a atribuição dinâmica de portas ativada	Sim
Altere os limites de tempo do Cloud NAT quando tiver a atribuição dinâmica de portas ativada ou desativada	Não
Desative a atribuição dinâmica de portas	Sim

O que se segue?

Configure o registo e a monitorização para o Cloud NAT.
Resolva problemas comuns com configurações de NAT.