Esta página se ha traducido con Cloud Translation API.

Hybrid NAT

Hybrid NAT, un tipo de Private NAT, te permite realizar traducciones de direcciones de red (NAT) entre una red de nube privada virtual (VPC) y una red on-premise u otra red de proveedor de servicios en la nube. La red que no es deGoogle Cloud debe estar conectada a tu red de VPC mediante los productos de conectividad de red de Google Cloud, como Cloud Interconnect o Cloud VPN.

Especificaciones

Además de las especificaciones generales de Private NAT, Hybrid NAT tiene las siguientes especificaciones:

Hybrid NAT permite que una red de VPC se comunique con una red local u otra red de proveedor de servicios en la nube aunque los intervalos de direcciones IP de subred de las redes se solapen. Si usas una configuración de NAT de type=PRIVATE, los recursos de las subredes superpuestas y no superpuestas de la red VPC podrán conectarse a los recursos de las subredes no superpuestas de la red que no seaGoogle Cloud.
Para habilitar Hybrid NAT, la red que no es deGoogle Cloud debe anunciar sus rutas dinámicas para que tu red de VPC pueda aprenderlas y usarlas. Tu Cloud Router aprende estas rutas dinámicas de los productos de conectividad de red de Google Cloud, como Cloud Interconnect, la VPN de alta disponibilidad o la VPN clásica con el enrutamiento dinámico configurado. Los destinos de estas rutas dinámicas son intervalos de direcciones IP que están fuera de tu red de VPC.

Nota: Solo se deben anunciar las rutas de subred que no se solapen. Las rutas de subred que se solapen no se deben anunciar.

Del mismo modo, para el tráfico de retorno, tu red de VPC debe anunciar la ruta de subred de NAT privada mediante un router de Cloud Router. Esta ruta de subred no debe superponerse con ninguna subred de las redes conectadas.
Hybrid NAT realiza NAT en el tráfico procedente de una red de VPC a una red on-premise u otra red de proveedor de servicios en la nube. Las redes deben estar conectadas mediante Cloud Interconnect o Cloud VPN.
La NAT híbrida solo admite túneles de VPN clásica si el enrutamiento dinámico está habilitado.
Debe crear una regla NAT personalizada con una expresión de coincidencia nexthop.is_hybrid. La regla de NAT especifica un intervalo de direcciones IP de NAT de una subred con el propósito PRIVATE_NAT que los recursos de tu red VPC pueden usar para comunicarse con otras redes.
El router de Cloud Router en el que configures Hybrid NAT debe estar en la misma región que la red de VPC.
El Cloud Router en el que configures NAT híbrido no puede contener ninguna otra configuración de NAT.

Configuración y flujo de trabajo básicos de Hybrid NAT

En el siguiente diagrama se muestra una configuración básica de NAT híbrido:

Ejemplo de traducción de Hybrid NAT. — Ejemplo de traducción de Hybrid NAT (haz clic en la imagen para ampliarla)

En este ejemplo, la NAT híbrida se configura de la siguiente manera:

La pasarela pvt-nat-gw se configura en vpc-a para que se aplique a todos los intervalos de direcciones IP de subnet-a en la región us-east1.
El router de Cloud Router y el router local o de otro proveedor de servicios en la nube intercambian las siguientes rutas de subred:
- Cloud Router anuncia 10.1.2.0/29 al router externo.
- El router externo anuncia 192.168.2.0/24 a Cloud Router.
Al usar el intervalo de direcciones IP de NAT de pvt-nat-gw, una instancia de máquina virtual (VM) de subnet-a de vpc-a puede enviar tráfico a una VM de subnet-b de la red on-premise u otra red de proveedor de servicios en la nube, aunque subnet-a de vpc-a se superponga con otra subred de la red que no sea deGoogle Cloud .

Ejemplo de flujo de trabajo de Hybrid NAT

En el diagrama anterior, vm-a con la dirección IP interna 192.168.1.2 en subnet-a de vpc-a necesita descargar una actualización de vm-b con la dirección IP interna 192.168.2.2 en subnet-b de una red local u otra red de proveedor de nube. Cloud Interconnect conecta tu red de VPC a la red on-premise o a la red de otro proveedor de servicios en la nube. Supongamos que la red que no esGoogle Cloud contiene otra subred 192.168.1.0/24 que se solapa con la subred de vpc-a. Para que subnet-a de vpc-a se comunique con subnet-b de la red que no esGoogle Cloud , debes configurar una pasarela de NAT privada, pvt-nat-gw, en vpc-a de la siguiente manera:

Especifica una subred de Private NAT con el propósito PRIVATE_NAT, por ejemplo, 10.1.2.0/29. Crea esta subred antes de configurar la pasarela NAT privada. Asegúrate de que esta subred no se solape con ninguna subred de las redes conectadas.
Crea una regla de NAT con match='nexthop.is_hybrid'.
Configura la pasarela NAT privada para que se aplique a todos los intervalos de direcciones IP de subnet-a.

Hybrid NAT sigue el procedimiento de reserva de puertos para reservar las siguientes tuplas de dirección IP de origen y puerto de origen de NAT para cada una de las VMs de la red. Por ejemplo, la pasarela de NAT privada reserva 64 puertos de origen para vm-a: 10.1.2.2:34000 a 10.1.2.2:34063.

Cuando la VM usa el protocolo TCP para enviar un paquete al servidor de actualizaciones 192.168.2.2 en el puerto de destino 80, ocurre lo siguiente:

La VM envía un paquete de solicitud con estos atributos:
- Dirección IP de origen: 192.168.1.2, la dirección IP interna de la VM
- Puerto de origen: 24000, el puerto de origen efímero elegido por el sistema operativo de la VM
- Dirección de destino: 192.168.2.2, la dirección IP del servidor de actualizaciones
- Puerto de destino: 80, el puerto de destino del tráfico HTTP al servidor de actualizaciones.
- Protocolo: TCP
La pasarela pvt-nat-gw realiza la traducción de direcciones de red de origen (SNAT o NAT de origen) en la salida, reescribiendo la dirección IP de origen de NAT y el puerto de origen del paquete de solicitud:
- Dirección IP de origen de NAT: 10.1.2.2, de una de las tuplas de dirección IP de origen y puerto de origen de NAT reservadas de la VM
- Puerto de origen: 34022, un puerto de origen no utilizado de una de las tuplas de puertos de origen reservadas de la VM
- Dirección de destino: 192.168.2.2 (sin cambios)
- Puerto de destino: 80 (sin cambios)
- Protocolo: TCP, sin cambios
El servidor de actualizaciones envía un paquete de respuesta que llega a la pvt-nat-gw con estos atributos:
- Dirección IP de origen: 192.168.2.2, la dirección IP interna del servidor de actualizaciones
- Puerto de origen: 80, la respuesta HTTP del servidor de actualizaciones
- Dirección de destino: 10.1.2.2, que coincide con la dirección IP de origen NAT original del paquete de solicitud
- Puerto de destino: 34022, que coincide con el puerto de origen del paquete de solicitud
- Protocolo: TCP, sin cambios
La pasarela pvt-nat-gw realiza la traducción de direcciones de red de destino (DNAT) en el paquete de respuesta y reescribe la dirección de destino y el puerto de destino del paquete de respuesta para que el paquete se entregue a la VM que solicitó la actualización con los siguientes atributos:
- Dirección IP de origen: 192.168.2.2 (sin cambios)
- Puerto de origen: 80 (sin cambios)
- Dirección de destino: 192.168.1.2, la dirección IP interna de la VM
- Puerto de destino: 24000, que coincide con el puerto de origen efímero original del paquete de solicitud
- Protocolo: TCP, sin cambios

Siguientes pasos

Configura Hybrid NAT.
Consulta información sobre las interacciones de los productos de Cloud NAT.
Consulta información sobre las direcciones y los puertos de Cloud NAT.
Consulta información sobre las reglas de Cloud NAT.
Soluciona problemas habituales.