NAT privada

Private NAT permite realizar traducciones de direcciones privadas a privadas entre redes:

  • Private NAT para radios de Network Connectivity Center permite la traducción de direcciones de red (NAT) de privadas a privadas para las redes de nube privada virtual (VPC) que están conectadas a un hub de Network Connectivity Center, lo que incluye la NAT de privadas a privadas para el tráfico entre radios de VPC y entre radios de VPC y radios híbridos.
  • Hybrid NAT permite realizar traducciones de direcciones de red (NAT) privadas a privadas entre redes de VPC y redes on-premise u otras redes de proveedores de servicios en la nube que estén conectadas a Google Cloud mediante Cloud Interconnect o Cloud VPN.

Especificaciones

En las siguientes secciones se describen las especificaciones de Private NAT. Estas especificaciones se aplican tanto a Private NAT para radios de Network Connectivity Center como a Hybrid NAT.

Especificaciones generales

  • Private NAT permite las conexiones salientes y las respuestas entrantes a esas conexiones. Cada pasarela de Cloud NAT para Private NAT realiza la NAT de origen en el tráfico de salida y la NAT de destino en los paquetes de respuesta establecidos.

  • Private NAT no admite redes de VPC en modo automático.

  • La NAT privada no permite solicitudes entrantes no solicitadas de redes conectadas, aunque las reglas de cortafuegos permitan esas solicitudes. Para obtener más información, consulta las RFCs aplicables.

  • Cada pasarela de Cloud NAT para Private NAT está asociada a una sola red de VPC, región y Cloud Router. La puerta de enlace Cloud NAT y Cloud Router proporcionan un plano de control, pero no participan en el plano de datos, por lo que los paquetes no pasan por la puerta de enlace Cloud NAT ni por Cloud Router.

    Aunque una pasarela de Cloud NAT para Private NAT esté gestionada por un Cloud Router, Private NAT no usa ni depende del protocolo de pasarela fronteriza.

  • NAT privado no admite la asignación independiente de puntos finales.
  • No puedes usar la NAT privada para traducir un intervalo de direcciones IP principal o secundario específico de una subred determinada. Una puerta de enlace Private NAT realiza NAT en todos los intervalos de direcciones IPv4 de una subred o una lista de subredes determinadas.
  • Una vez que hayas creado la subred, no podrás aumentar ni reducir su tamaño de NAT privada. Sin embargo, puedes especificar varios intervalos de subred de NAT privada para una misma pasarela.
  • NAT privada admite un máximo de 64.000 conexiones simultáneas por endpoint.
  • Private NAT solo admite TCP y UDP. No se admiten ICMP ni otros protocolos.
  • Una instancia de máquina virtual (VM) de una red de VPC solo puede acceder a destinos de una subred no superpuesta (no de una subred superpuesta) de una red conectada.

Rutas y reglas de cortafuegos

Private NAT usa las siguientes rutas:

  • En los radios de Network Connectivity Center, Private NAT usa rutas de subred y rutas dinámicas:
    • En el caso del tráfico entre dos radios de VPC conectados a un hub de Network Connectivity Center que solo contenga radios de VPC, Private NAT usa las rutas de subred intercambiadas por los radios de VPC conectados. Para obtener información sobre los radios de VPC, consulta la descripción general de los radios de VPC.
    • Si un hub de Network Connectivity Center contiene radios de VPC y radios híbridos, como vinculaciones de VLAN para Cloud Interconnect, túneles de Cloud VPN o VMs de dispositivo de router, Private NAT usa las rutas dinámicas que aprenden los radios híbridos a través de BGP y las rutas de subred intercambiadas por los radios de VPC conectados. Para obtener información sobre los radios híbridos, consulta Radios híbridos.
  • En el caso de Hybrid NAT, Private NAT usa rutas dinámicas que Cloud Router aprende a través de Cloud Interconnect o Cloud VPN.

Las reglas de cortafuegos de Cloud NGFW se aplican directamente a las interfaces de red de las VMs de Compute Engine, no a las pasarelas de Cloud NAT para NAT privada.

Cuando una pasarela Cloud NAT para Private NAT proporciona NAT a la interfaz de red de una VM, las reglas de cortafuegos de salida aplicables se evalúan como paquetes para esa interfaz de red antes de NAT. Las reglas de cortafuegos de entrada se evalúan después de que NAT haya procesado los paquetes. No es necesario crear ninguna regla de cortafuegos específicamente para NAT.

Aplicabilidad del intervalo de direcciones IP de la subred

Puedes configurar una pasarela de Cloud NAT para Private NAT con el fin de proporcionar NAT a lo siguiente:

  • Intervalos de direcciones IP principales y secundarias de todas las subredes de la región. Una sola pasarela de NAT privada proporciona NAT a las direcciones IP internas principales y a todos los intervalos de IP de alias de las máquinas virtuales aptas cuyas interfaces de red usen una subred de la región. Esta opción usa exactamente una pasarela NAT por región.

  • Lista de subredes personalizadas: una única pasarela de Cloud NAT proporciona NAT para las direcciones IP internas principales y todos los intervalos de IP de alias de las VMs aptas cuyas interfaces de red usen una subred de una lista de subredes especificadas.

Ancho de banda

Usar una pasarela Cloud NAT para Private NAT no cambia la cantidad de ancho de banda saliente o entrante que puede usar una VM. Para consultar las especificaciones del ancho de banda, que varían según el tipo de máquina, consulta Ancho de banda de red en la documentación de Compute Engine.

VMs con varias interfaces de red

Si configuras una VM para que tenga varias interfaces de red, cada interfaz debe estar en una red de VPC independiente. Por lo tanto, una pasarela de Cloud NAT para Private NAT solo se puede aplicar a una interfaz de red de una VM. Las pasarelas de Cloud NAT independientes para Private NAT pueden proporcionar NAT a la misma VM, donde cada pasarela se aplica a una interfaz independiente.

Direcciones IP y puertos de NAT

Cuando creas una pasarela NAT privada, debes especificar una subred con el propósito PRIVATE_NAT desde la que se asignan direcciones IP NAT a las VMs. Para obtener más información sobre la asignación de direcciones IP de NAT privado, consulta Direcciones IP de NAT privado.

Puedes configurar el número de puertos de origen que reserva cada pasarela de Cloud NAT para NAT privado en cada VM en la que vaya a proporcionar servicios de NAT. Puedes configurar la asignación de puertos estática, en la que se reserva el mismo número de puertos para cada VM, o la asignación de puertos dinámica, en la que el número de puertos reservados puede variar entre los límites mínimo y máximo que especifiques.

Las VMs a las que se debe proporcionar NAT se determinan mediante los intervalos de direcciones IP de subred que la pasarela está configurada para servir.

Para obtener más información sobre los puertos, consulta Puertos.

RFCs aplicables

NAT privada es un NAT de cono restringido por puertos, tal como se define en RFC 3489.

Tiempos de espera de NAT

Private NAT define los tiempos de espera de las conexiones de protocolos. Para obtener información sobre estos tiempos de espera y sus valores predeterminados, consulta Tiempos de espera de NAT.

Siguientes pasos