Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Hybrid NAT
O Hybrid NAT, um tipo de NAT particular,
permite realizar a conversão de endereços de rede (NAT) entre
uma rede de nuvem privada virtual (VPC) e uma rede local
ou outra rede de provedor de nuvem. A rede nãoGoogle Cloud precisa estar
conectada à rede VPC usando os produtos de conectividade de rede do
Google Cloud, como o
Cloud Interconnect
ou o Cloud VPN.
Com o NAT híbrido, uma rede VPC pode se comunicar com
uma rede local ou outra rede de provedor de nuvem, mesmo que os intervalos de endereço IP da sub-rede
se sobreponham. Ao usar
uma configuração NAT de type=PRIVATE, os recursos nas sub-redes sobrepostas
e não sobrepostas da rede VPC podem se conectar
a recursos nas sub-redes não sobrepostas da rede nãoGoogle Cloud.
Para ativar a NAT híbrida, a rede nãoGoogle Cloud precisa
anunciar as rotas dinâmicas para que a rede VPC possa
aprender e usá-las. O Cloud Router aprende essas rotas dinâmicas
dos produtos de conectividade de rede do Google Cloud, como
o Cloud Interconnect, a VPN de alta disponibilidade ou
a VPN clássica com o roteamento dinâmico configurado. Os destinos dessas rotas dinâmicas são intervalos de endereços IP fora da rede VPC.
Da mesma forma, para o tráfego de retorno, a rede VPC precisa
anunciar
a rota de sub-rede do Private NAT usando um Cloud Router.
Essa rota de sub-rede não pode se sobrepor a uma sub-rede existente nas
redes conectadas.
O NAT híbrido executa NAT no tráfego originado de uma rede VPC para uma rede local ou outra rede de provedor de nuvem. As redes precisam estar conectadas pelo
Cloud Interconnect ou pelo Cloud VPN.
O NAT híbrido só oferece suporte a túneis de VPN clássica
se o roteamento dinâmico estiver ativado.
Você precisa criar uma regra NAT personalizada com uma expressão de correspondência
nexthop.is_hybrid. A regra NAT especifica um intervalo de endereços IP NAT de uma
sub-rede de finalidade PRIVATE_NAT que os recursos na rede VPC
podem usar para se comunicar com outras redes.
O Cloud Router em que você configura o NAT híbrido precisa estar na mesma região da rede VPC.
O Cloud Router em que você configura o NAT híbrido
não pode conter nenhuma outra configuração de NAT.
Fluxo de trabalho e configuração básica do Hybrid NAT
O diagrama a seguir mostra uma configuração básica de NAT híbrida:
Exemplo de tradução de NAT híbrida (clique para ampliar).
Neste exemplo, a NAT híbrida é configurada da seguinte maneira:
O gateway pvt-nat-gw está configurado em vpc-a para ser aplicado a todos os intervalos de endereços IP de subnet-a na região us-east1.
O Cloud Router e o roteador local ou de outro provedor de nuvem
trocam as seguintes rotas de sub-rede:
O Cloud Router anuncia 10.1.2.0/29 para o roteador externo.
O roteador externo divulga 192.168.2.0/24 para o Cloud Router.
Usando o intervalo de endereços IP NAT de pvt-nat-gw, uma instância de máquina virtual (VM)
em subnet-a de vpc-a pode enviar tráfego para uma VM em subnet-b da
rede local ou de outra rede do provedor de nuvem, mesmo que
subnet-a de vpc-a se sobreponha a outra sub-rede na
rede que não éGoogle Cloud .
Exemplo de fluxo de trabalho do Hybrid NAT
No diagrama anterior, vm-a com o endereço IP interno 192.168.1.2 em
subnet-a de vpc-a precisa fazer o download de uma atualização de vm-b com o endereço IP
interno 192.168.2.2 em subnet-b de uma rede local
ou de outra rede de provedor de nuvem. O Cloud Interconnect conecta
sua rede VPC à rede local ou a outra rede de provedor de nuvem. Suponha que a rede que não éGoogle Cloud contenha
outra sub-rede 192.168.1.0/24 que se sobreponha à sub-rede em vpc-a.
Para que subnet-a de vpc-a se comunique com subnet-b da
rede que não éGoogle Cloud , é necessário configurar um
gateway NAT particular, pvt-nat-gw, em vpc-a da seguinte maneira:
Especifique uma sub-rede NAT particular de finalidade PRIVATE_NAT,
por exemplo, 10.1.2.0/29. Crie essa sub-rede antes de
configurar o gateway do Private NAT. Verifique se essa sub-rede
não se sobrepõe a uma sub-rede existente em nenhuma das redes conectadas.
Crie uma regra NAT com match='nexthop.is_hybrid'.
Configure o gateway do Private NAT para ser aplicado a todos os intervalos de endereços IP
de subnet-a.
O NAT híbrido segue o procedimento de reserva de porta
para reservar o seguinte endereço IP de origem NAT
e as tuplas de origem da porta para cada uma das VMs na rede. Por exemplo, o gateway do Private NAT reserva 64 portas de origem para vm-a: 10.1.2.2:34000 a 10.1.2.2:34063.
Quando a VM usa o protocolo TCP para enviar um pacote ao servidor de atualização
192.168.2.2 na porta de destino 80, ocorre o seguinte:
A VM envia um pacote de solicitação com estes atributos:
Endereço IP de origem: 192.168.1.2, o endereço IP interno da VM
Porta de origem: 24000, a porta de origem temporária escolhida pelo sistema operacional da VM
Endereço de destino: 192.168.2.2, o endereço IP do servidor de atualização
Porta de destino: 80, a porta de destino do tráfego HTTP para o servidor de atualizações
Protocolo: TCP
O gateway pvt-nat-gw executa a conversão de endereços de rede de origem (SNAT, na sigla em inglês) (SNAT ou NAT de origem) na saída, reescrevendo o endereço IP de origem e a porta de origem do pacote de solicitação:
Endereço IP de origem NAT: 10.1.2.2, de um dos endereços IP de origem NAT
reservados da VM e das tuplas da porta de origem
Porta de origem: 34022, uma porta de origem não utilizada de uma das tuplas de porta de origem reservadas da VM
Endereço de destino: 192.168.2.2, inalterado
Porta de destino: 80, inalterada
Protocolo: TCP, inalterado
O servidor de atualização envia um pacote de resposta que chega ao
gateway pvt-nat-gw com estes atributos:
Endereço IP de origem: 192.168.2.2, o endereço IP interno do servidor de atualização
Porta de origem: 80, a resposta HTTP do servidor de atualização
Endereço de destino: 10.1.2.2, que corresponde ao endereço IP de origem da NAT original
do pacote de solicitação
Porta de destino: 34022, que corresponde à porta de origem do pacote de solicitação
Protocolo: TCP, inalterado
O gateway pvt-nat-gw executa a conversão de endereços de rede de destino (DNAT, na sigla em inglês) no pacote de resposta e reescreve o endereço de destino e a porta de destino do pacote de resposta para que o pacote seja entregue à VM que solicitou a atualização com os seguintes atributos:
Endereço IP de origem: 192.168.2.2, inalterado
Porta de origem: 80, inalterada
Endereço de destino: 192.168.1.2, o endereço IP interno da VM
Porta de destino: 24000, que corresponde à porta de origem temporária original do pacote de solicitação
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-19 UTC."],[],[],null,["# Hybrid NAT\n==========\n\nHybrid NAT, a type of Private NAT,\nlets you perform network address translation (NAT) between\na Virtual Private Cloud (VPC) network and an on-premises\nnetwork or other cloud provider network. The non-Google Cloud network must be\nconnected to your VPC network by using Google Cloud's\nNetwork Connectivity products such as\n[Cloud Interconnect](/network-connectivity/docs/how-to/choose-product#cloud-interconnect)\nor [Cloud VPN](/network-connectivity/docs/how-to/choose-product#cloud-vpn).\n\nSpecifications\n--------------\n\nIn addition to the [general Private NAT specifications](/nat/docs/private-nat#pvt-nat-specs),\nHybrid NAT has the following specifications:\n\n- Hybrid NAT lets a VPC network communicate with an on-premises network or other cloud provider network even if the subnet IP address ranges of the networks overlap. By using a NAT configuration of `type=PRIVATE`, resources in both the overlapping and non-overlapping subnets of the VPC network can connect to resources in the non-overlapping subnets of the non-Google Cloud network.\n- To enable Hybrid NAT, the non-Google Cloud network must\n advertise its dynamic routes so that your VPC network can\n learn and use them. Your Cloud Router learns these dynamic routes\n from Google Cloud's Network Connectivity products such as\n Cloud Interconnect, HA VPN, or\n Classic VPN with dynamic routing configured. The destinations of\n these dynamic routes are IP address ranges outside of your VPC\n network.\n\n | **Note:** Only the non-overlapping subnet routes need to be advertised; overlapping subnet routes must not be advertised.\n\n Similarly, for return traffic, your VPC network must\n [advertise](/network-connectivity/docs/router/concepts/advertised-routes#overview-am)\n the Private NAT subnet route by using a Cloud Router,\n and this subnet route must not overlap with an existing subnet in the\n connected networks.\n- Hybrid NAT performs NAT on traffic originating from a\n VPC network to an on-premises network or other cloud\n provider network. The networks must be connected by\n Cloud Interconnect or Cloud VPN.\n\n- Hybrid NAT supports existing Classic VPN tunnels\n only if dynamic routing is enabled.\n\n- You need to create a custom NAT rule with a match expression\n `nexthop.is_hybrid`. The NAT rule specifies a NAT IP address range from a\n subnet of purpose `PRIVATE_NAT` that the resources in your VPC\n network can use to communicate with other networks.\n\n- The Cloud Router on which you configure Hybrid NAT\n must be in the same region as the VPC network.\n\n- The Cloud Router on which you configure Hybrid NAT\n can't contain any other NAT configuration.\n\nBasic Hybrid NAT configuration and workflow\n-------------------------------------------\n\nThe following diagram shows a basic Hybrid NAT configuration:\n[](/static/nat/images/hybrid-nat.svg) Hybrid NAT translation example (click to enlarge).\n\nIn this example, Hybrid NAT is set up as follows:\n\n- The `pvt-nat-gw` gateway is configured in `vpc-a` to apply to all the IP address ranges of `subnet-a` in the `us-east1` region.\n- Cloud Router and the on-premises or other cloud provider router exchange the following subnet routes:\n - Cloud Router advertises `10.1.2.0/29` to the external router.\n - The external router advertises `192.168.2.0/24` to Cloud Router.\n- By using the NAT IP address range of `pvt-nat-gw`, a virtual machine (VM) instance in `subnet-a` of `vpc-a` can send traffic to a VM in `subnet-b` of the on-premises network or other cloud provider network, even though `subnet-a` of `vpc-a` overlaps with another subnet in the non-Google Cloud network.\n\n### Example Hybrid NAT workflow\n\nIn the preceding diagram, `vm-a` with the internal IP address `192.168.1.2` in\n`subnet-a` of `vpc-a` needs to download an update from `vm-b` with the internal\nIP address `192.168.2.2` in `subnet-b` of an on-premises\nnetwork or other cloud provider network. Cloud Interconnect connects\nyour VPC network to the on-premises network or other cloud\nprovider network. Assume that the non-Google Cloud network contains\nanother subnet `192.168.1.0/24` that overlaps with the subnet in `vpc-a`.\nFor `subnet-a` of `vpc-a` to communicate with `subnet-b` of the\nnon-Google Cloud network, you need to configure a\nPrivate NAT gateway, `pvt-nat-gw`, in `vpc-a` as follows:\n\n- Specify a Private NAT subnet of purpose `PRIVATE_NAT`, for example, `10.1.2.0/29`. Create this subnet before configuring the Private NAT gateway. Ensure that this subnet does not overlap with an existing subnet in any of the connected networks.\n- Create a NAT rule with `match='nexthop.is_hybrid'`.\n- Configure the Private NAT gateway to apply to all IP address ranges of `subnet-a`.\n\nHybrid NAT follows the [port reservation procedure](/nat/docs/ports-and-addresses#port-reservation-procedure)\nto reserve the following NAT source IP address\nand source port tuples for each of the VMs in the network. For example, the\nPrivate NAT gateway reserves 64 source ports for `vm-a`:\n`10.1.2.2:34000` through `10.1.2.2:34063`.\n\nWhen the VM uses the TCP protocol to send a packet to the update server\n`192.168.2.2` on destination port `80`, the following occurs:\n\n1. The VM sends a request packet with these attributes:\n\n - Source IP address: `192.168.1.2`, the internal IP address of the VM\n - Source port: `24000`, the ephemeral source port chosen by the VM's operating system\n - Destination address: `192.168.2.2`, the update server's IP address\n - Destination port: `80`, the destination port for HTTP traffic to the update server\n - Protocol: TCP\n2. The `pvt-nat-gw` gateway performs source network address translation (SNAT or\n source NAT) on egress, rewriting the request\n packet's NAT source IP address and source port:\n\n - NAT source IP address: `10.1.2.2`, from one of the VM's reserved NAT source IP address and source port tuples\n - Source port: `34022`, an unused source port from one of the VM's reserved source port tuples\n - Destination address: `192.168.2.2`, unchanged\n - Destination port: `80`, unchanged\n - Protocol: TCP, unchanged\n3. The update server sends a response packet that arrives on the\n `pvt-nat-gw` gateway with these attributes:\n\n - Source IP address: `192.168.2.2`, the update server's internal IP address\n - Source port: `80`, the HTTP response from the update server\n - Destination address: `10.1.2.2`, which matches the original NAT source IP address of the request packet\n - Destination port: `34022`, which matches the source port of the request packet\n - Protocol: TCP, unchanged\n4. The `pvt-nat-gw` gateway performs destination network address translation\n (DNAT) on the response packet, and rewrites the response packet's destination\n address and destination port so that the packet is delivered to the VM that\n requested the update with the following attributes:\n\n - Source IP address: `192.168.2.2`, unchanged\n - Source port: `80`, unchanged\n - Destination address: `192.168.1.2`, the internal IP address of the VM\n - Destination port: `24000`, matching the original ephemeral source port of the request packet\n - Protocol: TCP, unchanged\n\nWhat's next\n-----------\n\n- Set up [Hybrid NAT](/nat/docs/set-up-private-nat).\n- Learn about [Cloud NAT product interactions](/nat/docs/nat-product-interactions).\n- Learn about [Cloud NAT addresses and ports](/nat/docs/ports-and-addresses).\n- Learn about [Cloud NAT rules](/nat/docs/nat-rules-overview).\n- Troubleshoot [common issues](/nat/docs/troubleshooting)."]]
