Se usó la API de Cloud Translation para traducir esta página.

NAT privada

La NAT privada permite la traducción de direcciones privadas a privadas entre redes:

La NAT privada para radios de Network Connectivity Center habilita la traducción de direcciones de red (NAT) de privada a privada para las redes de nube privada virtual (VPC) que están conectadas a un concentrador de Network Connectivity Center, lo que incluye la NAT de privada a privada para el tráfico entre radios de VPC y entre radios de VPC y radios híbridos.
La NAT híbrida permite la NAT privada a privada entre las redes de VPC y las redes locales o de otros proveedores de servicios en la nube que están conectadas a Google Cloud a través de Cloud Interconnect o Cloud VPN.

Especificaciones

En las siguientes secciones, se describen las especificaciones de la NAT privada, que se aplican tanto a la NAT privada para radios de Network Connectivity Center como a la NAT híbrida.

Especificaciones generales:

La NAT privada permite las conexiones salientes y las respuestas entrantes a esas conexiones. Cada puerta de enlace de Cloud NAT para NAT privada realiza NAT de origen en el tráfico de salida y NAT de destino para los paquetes de respuesta establecidos.
La NAT privada no admite redes de VPC en modo automático.
La NAT privada no permite solicitudes de entrada no solicitadas desde redes conectadas, incluso si las reglas de firewall permitieran esas solicitudes. Para obtener más información, consulta RFC aplicables.
Cada puerta de enlace de Cloud NAT para NAT privada está asociada con una sola red de VPC, una región y un Cloud Router. La puerta de enlace de Cloud NAT y el Cloud Router proporcionan un plano de control, ya que no están involucrados en el plano de datos, por lo que los paquetes no pasan por la puerta de enlace de Cloud NAT o el Cloud Router.

Aunque un Cloud Router administra una puerta de enlace de Cloud NAT para NAT privada, esta no usa ni depende del protocolo de puerta de enlace fronteriza.
La NAT privada no admite el mapeo independiente de extremos.
No puedes usar la NAT privada para traducir un rango de direcciones IP principal o secundario específico para una subred determinada. Una puerta de enlace de NAT privada realiza la NAT en todos los rangos de direcciones IPv4 para una subred determinada o una lista de subredes.
Después de crear la subred, no puedes aumentar ni disminuir su tamaño de NAT privada. Sin embargo, puedes especificar varios rangos de subred de NAT privada para una puerta de enlace determinada.
La NAT privada admite un máximo de 64,000 conexiones simultáneas por extremo.
La NAT privada solo admite TCP y UDP. No se admiten ICMP ni otros protocolos.
Una instancia de máquina virtual (VM) en una red de VPC solo puede acceder a destinos en una subred no superpuesta (no en una superpuesta) en una red conectada.

Rutas y reglas de firewall

La NAT privada usa las siguientes rutas:

En el caso de los radios de Network Connectivity Center, la NAT privada usa rutas de subred y rutas dinámicas:
- Para el tráfico entre dos radios de VPC conectados a un concentrador de Network Connectivity Center que solo contiene radios de VPC, la NAT privada usa las rutas de subred intercambiadas por los radios de VPC conectados. Para obtener información sobre los radios de VPC, consulta Descripción general de los radios de VPC.
- Si un concentrador de Network Connectivity Center contiene radios de VPC y radios híbridos, como adjuntos de VLAN para Cloud Interconnect, túneles de Cloud VPN o VMs de dispositivos de router, la NAT privada usa las rutas dinámicas que aprenden los radios híbridos a través del BGP y las rutas de subred que intercambian los radios de VPC adjuntos. Para obtener información sobre los radios híbridos, consulta Radios híbridos.
En el caso de NAT híbrida, la NAT privada usa rutas dinámicas que aprende Cloud Router a través de Cloud Interconnect o Cloud VPN.

Las reglas de firewall del NGFW de Cloud se aplican directamente a las interfaces de red de las VMs de Compute Engine, no a las puertas de enlace de Cloud NAT para NAT privada.

Cuando una puerta de enlace de Cloud NAT para NAT privada proporciona NAT para la interfaz de red de una VM, las reglas de firewall de salida aplicables se evalúan como paquetes para esa interfaz de red antes de la NAT. Las reglas de firewall de entrada se evalúan después de que la NAT haya procesado los paquetes. No es necesario que crees reglas de firewall específicamente para la NAT.

Aplicabilidad del rango de direcciones IP de la subred

Puedes configurar una puerta de enlace de Cloud NAT para NAT privada y proporcionar NAT para lo siguiente:

Rangos de direcciones IP principales y secundarios de todas las subredes de la región. Una única puerta de enlace de NAT privada proporciona NAT para las direcciones IP internas principales y todos los rangos de alias de IP de las VMs aptas cuyas interfaces de red usan una subred en la región. Esta opción usa exactamente una puerta de enlace NAT por región.
Lista de subredes personalizadas: Una única puerta de enlace de Cloud NAT proporciona NAT para las direcciones IP internas principales y todos los rangos de alias de IP de las VMs aptas cuyas interfaces de red usan una subred de una lista de subredes especificadas.

Ancho de banda

El uso de una puerta de enlace de Cloud NAT para NAT privada no cambia la cantidad de ancho de banda de salida o de entrada que puede usar una VM. Para conocer las especificaciones de ancho de banda, que varían según el tipo de máquina, consulta Ancho de banda de red en la documentación de Compute Engine.

VM con interfaces de red múltiples

Si configuras una VM para que tenga varias interfaces de red, cada interfaz debe estar en una red de VPC independiente. Por lo tanto, una puerta de enlace de Cloud NAT para NAT privada solo se puede aplicar a una sola interfaz de red de una VM. Las puertas de enlace independientes de Cloud NAT para NAT privada pueden proporcionar NAT a la misma VM, donde cada puerta de enlace se aplica a una interfaz independiente.

Direcciones IP y puertos NAT

Cuando creas una puerta de enlace de NAT privada, debes especificar una subred con el propósito PRIVATE_NAT desde la que se asignan las direcciones IP de NAT para las VMs. Para obtener más información sobre la asignación de direcciones IP de NAT privada, consulta Direcciones IP de NAT privada.

Puedes configurar la cantidad de puertos de origen que cada puerta de enlace de Cloud NAT para NAT privada reserva en cada VM para la que debe proporcionar servicios de NAT. Puedes configurar la asignación de puertos estáticos, en la que la misma cantidad de puertos se reserva para cada VM, o la asignación de puertos dinámicos, en la que la cantidad de puertos reservados puede variar entre los límites mínimos y máximos que especifiques.

Las VMs para las que se debe proporcionar NAT están determinadas por los rangos de direcciones IP de la subred que la puerta de enlace está configurada para entregar.

Para obtener más información sobre los puertos, consulta Puertos.

RFC aplicables

La NAT privada es una NAT de cono con restricción de puerto, como se define en RFC 3489.

Tiempo de espera de NAT

La NAT privada establece tiempos de espera para las conexiones de protocolo. Para obtener información sobre estos tiempos de espera y sus valores predeterminados, consulta Tiempos de espera de NAT.

¿Qué sigue?

Configura la NAT privada.
Obtén más información sobre las interacciones del producto Cloud NAT.
Obtén más información sobre los puertos y las direcciones de Cloud NAT.
Obtén información sobre las reglas de Cloud NAT.
Soluciona los problemas comunes.