Esta página foi traduzida pela API Cloud Translation.

NAT particular

O Private NAT permite a conversão de endereços particulares para particulares entre redes:

O Private NAT para spokes do Network Connectivity Center permite a conversão de endereços de rede (NAT) particular para particular em redes de nuvem privada virtual (VPC) conectadas a um hub do Network Connectivity Center, incluindo NAT particular para particular para tráfego entre spokes de VPC e entre spokes de VPC e spokes híbridos.
O Hybrid NAT permite o NAT particular para particular entre redes VPC e redes locais ou de outros provedores de nuvem conectadas a Google Cloud pelo Cloud Interconnect ou Cloud VPN.

Especificações

As seções a seguir descrevem as especificações do Private NAT, que se aplicam ao Private NAT para hubs do Network Connectivity Center e ao Hybrid NAT.

Especificações gerais

O Private NAT permite conexões de saída e as respostas de entrada para essas conexões. Cada gateway do Cloud NAT para Private NAT realiza NAT de origem no tráfego de saída e NAT de destino para pacotes de resposta estabelecidos.
O NAT particular não é compatível com redes VPC de modo automático.
O Private NAT não permite solicitações de entrada não solicitadas de redes conectadas, mesmo que as regras de firewall permitam essas solicitações. Para mais informações, consulte RFCs aplicáveis.
Cada gateway do Cloud NAT para Private NAT está associado a uma única rede VPC, região e Cloud Router. O gateway do Cloud NAT e o Cloud Router fornecem um plano de controle. Eles não estão envolvidos no plano de dados, portanto, os pacotes não passam pelo gateway do Cloud NAT ou pelo Cloud Router.

Embora um gateway do Cloud NAT para Private NAT seja gerenciado por um Cloud Router, o Private NAT não usa nem depende do protocolo de gateway de borda.
O Private NAT não é compatível com o mapeamento independente de endpoint.
Não é possível usar o NAT particular para converter um intervalo de endereços IP primário ou secundário específico para uma determinada sub-rede. Um gateway do Private NAT executa NAT em todos os intervalos de endereços IPv4 de uma determinada sub-rede ou lista de sub-redes.
Depois de criar a sub-rede, não é possível aumentar ou diminuir o tamanho dela. No entanto, é possível especificar vários intervalos de sub-redes do Private NAT para um determinado gateway.
O Private NAT é compatível com, no máximo, 64.000 conexões simultâneas por endpoint.
O NAT particular é compatível apenas com TCP e UDP. O ICMP e outros protocolos não são compatíveis.
Uma instância de máquina virtual (VM) em uma rede VPC só pode acessar destinos em uma sub-rede não sobreposta, e não em uma sobreposta, em uma rede conectada.

Rotas e regras de firewall

O Private NAT usa as seguintes rotas:

Para os spokes do Network Connectivity Center, o Private NAT usa rotas de sub-rede e rotas dinâmicas:
- Para o tráfego entre dois spokes VPC anexados a um hub do Network Connectivity Center que contém apenas spokes VPC, o Private NAT usa as rotas de sub-rede trocadas pelos spokes VPC anexados. Para informações sobre spokes VPC, consulte Visão geral dos spokes VPC.
- Se um hub do Network Connectivity Center tiver spokes de VPC e híbridos, como anexos da VLAN do Cloud Interconnect, túneis do Cloud VPN ou VMs de dispositivo roteador, o NAT particular usará as rotas dinâmicas aprendidas pelos spokes híbridos via BGP e as rotas de sub-rede trocadas pelos spokes de VPC anexados. Para mais informações sobre spokes híbridos, consulte Spokes híbridos.
Para NAT híbrido, o NAT particular usa rotas dinâmicas aprendidas pelo Cloud Router no Cloud Interconnect ou no Cloud VPN.

As regras de firewall do Cloud NGFW são aplicadas diretamente às interfaces de rede das VMs do Compute Engine, não aos gateways do Cloud NAT para Private NAT.

Quando um gateway do Cloud NAT para Private NAT fornece NAT para a interface de rede de uma VM, as regras de firewall de saída aplicáveis são avaliadas como pacotes para essa interface de rede antes de NAT. As regras de firewall de entrada são avaliadas depois que os pacotes são processados pelo NAT. Não é necessário criar regras de firewall especificamente para NAT.

Aplicabilidade da faixa de endereços IP de sub-rede

Você pode configurar um gateway do Cloud NAT para Private NAT e fornecer NAT para os seguintes itens:

Intervalos de endereços IP primários e secundários de todas as sub-redes na região. Um único gateway do Private NAT fornece NAT para os endereços IP internos principais e todos os intervalos de IP do alias das VMs qualificadas com interfaces de rede que usam uma sub-rede na região. Essa opção usa exatamente um gateway NAT por região.
Lista de sub-redes personalizadas: um único gateway do Cloud NAT fornece NAT para os endereços IP internos principais e todos os intervalos de IP do alias das VMs qualificadas cujas interfaces de rede usam uma sub-rede de uma lista de sub-redes especificadas.

Largura de banda

Usar um gateway do Cloud NAT para Private NAT não muda a quantidade de largura de banda de entrada ou de saída que uma VM pode usar. Para especificações de largura de banda, que variam por tipo de máquina, consulte Largura de banda de rede na documentação do Compute Engine.

VMs com várias interfaces de rede

Se você configurar uma VM para ter várias interfaces de rede, cada interface precisará estar em uma rede VPC separada. Consequentemente, um gateway do Cloud NAT para Private NAT só pode ser aplicado a uma única interface de rede de uma VM. Gateways NAT separados do Cloud para Private NAT podem fornecer NAT para a mesma VM, onde cada gateway se aplica a uma interface separada.

Portas e endereços IP NAT

Ao criar um gateway do Private NAT, é preciso especificar uma sub-rede de finalidade PRIVATE_NAT a partir da qual os endereços IP NAT são atribuídos para as VMs. Para mais informações sobre a atribuição de endereços IP do Private NAT, consulte Endereços IP do Private NAT.

É possível configurar o número de portas de origem que cada gateway do Cloud NAT para Private NAT reserva em cada VM que ele fornece serviços NAT. É possível configurar a alocação de porta estática, em que o mesmo número de portas é reservado para cada VM, ou alocação dinâmica de portas em que o número de portas reservadas pode variar entre os limites mínimo e máximo especificados.

As VMs para as quais NAT deve ser fornecida são determinadas pelos intervalos de endereços IP de sub-rede que o gateway está configurado para veicular.

Para mais informações sobre portas, consulte Portas.

RFCs aplicáveis

O Private NAT é uma NAT cone restrito de porta, conforme definido no RFC 3489.

Tempo limite de NAT

O NAT particular define tempos limite para conexões de protocolo. Para informações sobre esses tempos limite e os valores padrão deles, consulte Tempos limite de NAT.

A seguir

Configure o Private NAT.
Saiba mais sobre interações com produtos do Cloud NAT.
Saiba mais sobre endereços e portas do Cloud NAT.
Saiba mais sobre as regras do Cloud NAT.
Resolver problemas comuns.