Se usó la API de Cloud Translation para traducir esta página.

Configura y administra la traducción de direcciones de red con NAT pública

En esta página, se describe cómo configurar y administrar la traducción de direcciones de red (NAT) con NAT pública. Antes de configurar NAT pública, consulta la descripción general de NAT pública.

Limitaciones

Si cambias el nivel de red de las direcciones IP asignadas automáticamente para una puerta de enlace de Cloud NAT, todas las conexiones en las direcciones IP asignadas anteriormente se cierran de inmediato.
Si usas la asignación manual de direcciones IP de NAT y cambias las direcciones IP que se usan para Cloud NAT, todas las conexiones en las direcciones IP asignadas anteriormente se cierran de inmediato. Para evitar esto, consulta Desvía las direcciones IP externas asociadas con NAT.
Si configuras una puerta de enlace de Cloud NAT con asignación estática de puertos y reduces los puertos mínimos por instancia de máquina virtual (VM), es posible que se interrumpan las conexiones NAT establecidas. Para obtener más información, consulta Reduce los puertos por VM.
Si configuras una puerta de enlace de Cloud NAT con asignación dinámica de puertos y realizas cambios adicionales en la configuración, es posible que las conexiones NAT establecidas se rompan. Cuando la configuración cambia, es posible que la cantidad de puertos asignados a cada VM se restablezca de forma temporal a la cantidad mínima configurada. Para obtener más información, consulta Reduce los puertos por VM.
Si configuras una puerta de enlace NAT de Cloud con asignación dinámica de puertos y, luego, desactivas la asignación dinámica de puertos, todas las conexiones de VM que usan la puerta de enlace NAT se cierran. Para obtener más información, consulta Cómo cambiar el método de asignación de puertos.
Si el mapeo independiente de extremos está habilitado, no puedes configurar la asignación dinámica de puertos ni las reglas de NAT.
Cloud NAT no admite fragmentos de IP.
Una configuración de Cloud NAT está vinculada a una red de nube privada virtual (VPC). Por lo tanto, la configuración se aplica a todos los recursos que pertenecen a las subredes de esa red. No puedes elegir VMs específicas para que las publique una puerta de enlace de Cloud NAT.
La traducción de IPv6 a IPv4 (vista previa) solo está disponible para las instancias de VM de Compute Engine, para las siguientes series de máquinas:
- Todas las series de segunda generación o anteriores
- Serie M3
Para obtener más información, consulta la terminología de Compute Engine.

En el caso de los nodos de Google Kubernetes Engine (GKE), los extremos sin servidores y los grupos de extremos de red (NEG) de Internet regionales, la NAT pública solo traduce direcciones IPv4. Para obtener más información sobre qué servicios en Google Cloud incluyen compatibilidad solo con IPv6, consulta Compatibilidad con IPv6 en Google Cloud.

Antes de comenzar

Completa las siguientes tareas antes de configurar la NAT pública.

Obtén permisos de IAM

El rol de administrador de red de Compute (roles/compute.networkAdmin) incluye los permisos que necesitas para configurar la NAT pública.

Prepara el entorno

Según si deseas usar la consola de Google Cloud o gcloud CLI para configurar NAT pública, configura los siguientes recursos en Google Cloud.

Console

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine API.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine API.

Enable the API

gcloud

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

Create or select a Google Cloud project.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine API:

gcloud services enable compute.googleapis.com

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

Create or select a Google Cloud project.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine API:

gcloud services enable compute.googleapis.com

Configura DNS64

Si deseas usar la traducción de IPv6 a IPv4 o NAT64, debes configurar DNS64. Para configurar DNS64 en Cloud DNS, sigue las instrucciones que se indican en Configura DNS64.

Omite este paso si solo quieres usar Cloud NAT para el tráfico IPv4.

Configura la NAT pública

Para configurar la NAT pública, crea una puerta de enlace de Cloud NAT en la red de VPC de origen. Cada puerta de enlace está asociada con una sola red de VPC, región y Cloud Router. Cloud NAT usa Cloud Router solo para agrupar la información de configuración de NAT y no le indica a Cloud Router que use el Protocolo de puerta de enlace fronteriza ni que agregue rutas. El tráfico de NAT no pasa a través de Cloud Router.

Cuando creas una puerta de enlace de Cloud NAT, puedes configurar los siguientes parámetros.

Configuración	Opciones admitidas	Descripción
Tipo de extremo de origen	Instancias de VM, nodos de GKE, sin servidores Balanceadores de cargas de proxy administrados	De forma predeterminada, la NAT pública proporciona servicios de NAT a instancias de VM, nodos de GKE y extremos sin servidores. Para crear una puerta de enlace de Cloud NAT para estos recursos, completa los pasos de la siguiente sección. Para crear una puerta de enlace de Cloud NAT para un NEG de Internet regional, consulta "Configura una puerta de enlace de Cloud NAT" para lo siguiente: Balanceador de cargas de aplicaciones externo regional Balanceador de cargas de aplicaciones interno regional Balanceador de cargas de red del proxy externo regional Balanceador de cargas de red del proxy interno regional Para obtener una lista completa de los Google Cloud recursos que admite Cloud NAT, consulta la descripción general de Cloud NAT.
Versión de IP de origen	Rangos de subred IPv4 Rangos de subredes IPv6 Rangos de subredes IPv4 e IPv6	La NAT pública admite la traducción de IPv4 a IPv4 y de IPv6 a IPv4. Si deseas configurar NAT64 (vista previa), también debes configurar DNS64. Si configuras rangos de subredes IPv4, las instancias de VM solo IPv4 y las instancias de VM de pila doble (que usan sus direcciones IPv4) en subredes solo IPv4 y de pila doble pueden comunicarse con destinos IPv4 en Internet. Si configuras rangos de subredes IPv6 (versión preliminar), las instancias de VM solo IPv6 en subredes solo IPv6 y de pila doble pueden comunicarse con destinos IPv4 en Internet. Si configuras rangos de subredes IPv4 e IPv6 (versión preliminar), se aplica lo siguiente: Las instancias de VM solo IPv4 y las instancias de VM de pila doble (que usan sus direcciones IPv4) pueden comunicarse con destinos IPv4 en Internet. Las instancias de VM de pila doble no pueden usar sus direcciones IPv6 para comunicarse con destinos IPv4 en Internet. Las instancias de VM solo IPv6 pueden comunicarse con destinos IPv4 en Internet.
Subredes de origen	Para el tráfico IPv4, haz lo siguiente: Rangos principales y secundarios para todas las subredes Rangos principales para todas las subredes Personalizado Para el tráfico IPv6, haz lo siguiente: Todas las subredes Personalizado	La NAT pública admite los siguientes rangos de subredes en la región para la red de VPC que especifiques: Para el tráfico IPv4, se usan rangos principales y secundarios. Puedes restringir qué subredes y rangos de subredes pueden usar NAT. Para el tráfico IPv6, se incluyen rangos internos y externos. Puedes restringir qué subredes pueden usar NAT.
Asignación de direcciones IP	Automática (recomendada) Manual	De forma predeterminada, la NAT pública usa la asignación automática de direcciones IP de NAT. Esta configuración asigna automáticamente las direcciones IP externas necesarias para proporcionar servicios NAT a una región. Las instancias de VM sin direcciones IP externas en ninguna subred de la región obtienen acceso a Internet a través de NAT. Cuando usas la asignación automática de direcciones IP de NAT, Google Cloud reserva direcciones IP en tu proyecto. Estas direcciones se descuentan de tus cuotas de direcciones IPv4 externas regionales en uso del proyecto. Puedes asignar manualmente direcciones IP de NAT para una puerta de enlace de Cloud NAT. Estas direcciones se descuentan de las siguientes cuotas: Direcciones IPv4 externas regionales estáticas Direcciones IPv4 externas regionales en uso Si eliges la asignación manual, asegúrate de asignar suficientes direcciones IP para evitar los paquetes descartados. Para obtener más información, consulta Direcciones IP NAT públicas.
Nivel de red	Premium Standard	La NAT pública te permite especificar los niveles de servicio de red desde los que la puerta de enlace de Cloud NAT asigna direcciones IP externas. De forma predeterminada, el nivel de red se establece en el nivel actual del proyecto. Cuando creas una puerta de enlace de Cloud NAT con la asignación automática de direcciones IP de NAT, puedes asignar direcciones IP de NAT desde el nivel Premium o el nivel Estándar. Cuando creas una puerta de enlace de Cloud NAT con asignación manual de direcciones IP de NAT, puedes asignar direcciones IP de NAT de forma manual desde el nivel Premium, el nivel Estándar o ambos, sujetas a ciertas condiciones.
Configuración avanzada	Asignación dinámica de puertos Mapeo independiente de extremo Logging Tiempo de espera de NAT	De forma predeterminada, la NAT pública usa la asignación de puertos estáticos, lo que significa que a cada VM se le asigna la misma cantidad de puertos. Puedes configurar la asignación dinámica de puertos con la asignación de direcciones IP de NAT automática o manual. El uso de la asignación dinámica de puertos permite que la puerta de enlace de Cloud NAT asigne diferentes cantidades de puertos a cada VM según el uso. No puedes habilitar el mapeo independiente de extremos si tu puerta de enlace de Cloud NAT usa reglas de NAT o asignación dinámica de puertos. El registro está inhabilitado de forma predeterminada. Para obtener información sobre los tiempos de espera de NAT y sus valores predeterminados, consulta Tiempos de espera de NAT.

Crea una puerta de enlace de Cloud NAT

Console

En la Google Cloud consola, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en Comenzar para la primera puerta de enlace de Cloud NAT o en Crear puerta de enlace de Cloud NAT para las puertas de enlace posteriores.
En el campo Nombre de la puerta de enlace, ingresa un nombre para la puerta de enlace.
Para Tipo de NAT, selecciona Pública.
En la sección Seleccionar Cloud Router, configura lo siguiente:
1. En el campo Red, selecciona la red de VPC en la que deseas crear la puerta de enlace.
2. En el campo Región, establece la región de la puerta de enlace.
3. En el campo Cloud Router, selecciona o crea un Cloud Router en la región.
En la sección Asignación de Cloud NAT, para Tipo de extremo de origen, asegúrate de que esté seleccionada la opción Instancias de VM, nodos de GKE, sin servidores.
En el campo Versión de IP de origen, selecciona la versión de IP de origen y, luego, configura los rangos de subred de origen para los que deseas usar Cloud NAT.

Nota: Selecciona y configura rangos de subred IPv6 solo si configuras NAT64 para instancias de VM de Compute Engine. En el caso de los nodos de GKE, los extremos sin servidores y los NEG regionales de Internet, la NAT pública solo traduce direcciones IPv4.
- Para los rangos de subredes IPv4, en el campo Subredes de origen, selecciona una de las siguientes opciones:
  - Para usar Cloud NAT para los rangos de IP principales y secundarios de todas las subredes de la región, selecciona Rangos de IP principales y secundarios para todas las subredes.
  - Para usar Cloud NAT solo para los rangos de IP principales, selecciona Rangos de IP principales para todas las subredes.
  - Para restringir qué rangos de IP de subred pueden usar Cloud NAT, selecciona Personalizado y haz lo siguiente:
    1. En la sección Subredes, selecciona una subred.
    2. En la lista Rangos de IP, selecciona los rangos de IP de la subred que deseas incluir y haz clic en Aceptar.
    3. Opcional: Si deseas especificar rangos adicionales, haz clic en Agregar subred y rango de IP y agrega otra subred.
- Para los rangos de subredes IPv6, en el campo Subredes de origen, selecciona una de las siguientes opciones:
  - Para usar Cloud NAT para rangos de IP internos y externos en todas las subredes de la región, selecciona Todas las subredes.
  - Para restringir las subredes que pueden usar Cloud NAT, selecciona Personalizado y haz lo siguiente:
    1. En la sección Subredes, selecciona una subred.
    2. Opcional: Si deseas especificar subredes adicionales, haz clic en Agregar subred y agrega otra subred.
Para configurar el tipo de asignación de direcciones IP de NAT y el nivel de red, selecciona una de las siguientes opciones:
- Para usar la asignación automática de direcciones IP de NAT, haz lo siguiente:
  1. En la lista Direcciones IP de Cloud NAT, selecciona Automáticas (recomendado).
  2. En Nivel de servicio de red, elige Premium o Estándar.
- Para usar la asignación manual de direcciones IP de NAT, haz lo siguiente:
  1. En la lista Direcciones IP de Cloud NAT, selecciona Manuales.
  2. En Nivel de servicio de red, elige Premium o Estándar.
  3. Selecciona o crea una dirección IP externa reservada estática para usar en NAT.
  4. Opcional: Si quieres especificar direcciones IP adicionales, haz clic en Agregar dirección IP y, luego, selecciona o crea una dirección IP externa reservada estática adicional.
  5. Opcional: Si deseas crear reglas de NAT personalizadas, configura la sección Reglas de Cloud NAT. Para obtener instrucciones, consulta Crea reglas de NAT.
Opcional: Ajusta cualquiera de los siguientes parámetros de configuración en la sección Configuraciones avanzadas:
- Indica si se debe configurar el registro. De forma predeterminada, se selecciona Sin registro.
- Indica si se debe cambiar la forma en que Cloud NAT asigna puertos. De forma predeterminada, la opción Habilitar la asignación dinámica de puertos está desmarcada. Para la asignación de puertos estáticos, el campo Cantidad mínima de puertos por instancia de VM se establece en 64.
  - Para actualizar la cantidad mínima de puertos por instancia de VM para la asignación de puertos estáticos, especifica un valor en el campo Cantidad mínima de puertos por instancia de VM. Este valor se puede establecer entre 2 y 57344.
  - Para configurar la asignación dinámica de puertos, selecciona Habilitar la asignación dinámica de puertos y elige un valor para los campos Cantidad mínima de puertos por instancia de VM (el valor predeterminado es 32) y Cantidad máxima de puertos por instancia de VM (el valor predeterminado es 65536).
- Indica si se deben actualizar los tiempos de espera de NAT para las conexiones de protocolo. Para obtener información sobre estos tiempos de espera y sus valores predeterminados, consulta Tiempos de espera de NAT.
Haz clic en Crear.

gcloud

Para crear una puerta de enlace de Cloud NAT, usa el comando gcloud compute routers nats create. Puedes crear una puerta de enlace de Cloud NAT con todas sus opciones de configuración establecidas en sus valores predeterminados o personalizar la configuración de la puerta de enlace.

Crea una puerta de enlace de Cloud NAT con la configuración predeterminada
Personaliza la configuración de una puerta de enlace de Cloud NAT

Crea una puerta de enlace de Cloud NAT con la configuración predeterminada

Crea un Cloud Router en la región en la que deseas usar la puerta de enlace de Cloud NAT. Necesitas este Cloud Router para crear tu puerta de enlace de Cloud NAT.
Crea la puerta de enlace de Cloud NAT ejecutando uno de los siguientes comandos, según la versión de IP de los rangos de subred de origen para los que configuras NAT.

Nota: Configura NAT para rangos de subred IPv6 solo si configuras NAT64 para instancias de VM de Compute Engine. En el caso de los nodos de GKE, los extremos sin servidores y los NEG regionales de Internet, la NAT pública solo traduce direcciones IPv4.
- Configura Cloud NAT para los rangos de subred IPv4:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips
```
  Esta configuración habilita la NAT para todos los rangos de subredes IPv4 en las subredes de solo IPv4 y de pila doble en la región.
- Configura Cloud NAT para rangos de subred IPv6 (vista previa):
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips
```
  Esta configuración habilita la NAT para todos los rangos de subredes IPv6 en las subredes de pila doble y solo IPv6 de la región.
- Configura Cloud NAT para los rangos de subred IPv4 e IPv6 (vista previa):
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips
```
  Esta configuración habilita la NAT para todos los rangos de subred IPv4 e IPv6 en las subredes solo IPv4, de pila doble y solo IPv6 de la región.
Reemplaza lo siguiente:
- NAT_CONFIG: Es el nombre de tu configuración de NAT.
- NAT_ROUTER: El nombre del Cloud Router que creaste en el paso anterior
- REGION: Es la región en la que deseas usar la puerta de enlace de Cloud NAT.

Personaliza la configuración de una puerta de enlace de Cloud NAT

Cuando creas una puerta de enlace de Cloud NAT, puedes personalizar su configuración predeterminada. Para obtener una lista completa de las marcas que puedes usar, consulta el comando gcloud compute routers nats create.

Crea una puerta de enlace de Cloud NAT para rangos de subred IPv6 solo si configuras NAT64 para instancias de VM de Compute Engine. En el caso de los nodos de GKE, los extremos sin servidores y los NEG regionales de Internet, la NAT pública solo traduce direcciones IPv4.

Crea una puerta de enlace de Cloud NAT:

Crea un Cloud Router en la región en la que deseas usar la puerta de enlace de Cloud NAT. Necesitas este Cloud Router para crear tu puerta de enlace de Cloud NAT.
Crea la puerta de enlace de Cloud NAT y especifica cada parámetro que desees personalizar.

En los siguientes ejemplos, se muestra cómo personalizar las subredes de origen, el tipo de asignación de direcciones IP de NAT, el nivel de red y el tipo de asignación de puertos.

El comando que ejecutas en cada uno de estos ejemplos depende de la versión de IP de los rangos de subred de origen para los que configuras la NAT.
- Restringe las subredes de origen que pueden usar NAT. Para crear una puerta de enlace de Cloud NAT que restrinja las subredes y los rangos de subredes que pueden usar NAT, ejecuta uno de los siguientes comandos:
  - Restringe qué rangos de subredes IPv4 pueden usar NAT:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --auto-allocate-nat-external-ips
```
  - Restringe qué rangos de subredes IPv6 pueden usar NAT (vista previa):
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES \
    --auto-allocate-nat-external-ips
```
  - Restringe los rangos de subredes IPv4 e IPv6 (vista previa):
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES \
    --auto-allocate-nat-external-ips
```
  Reemplaza lo siguiente:
  - NAT_CONFIG: Es el nombre de tu configuración de NAT.
  - NAT_ROUTER: El nombre del Cloud Router que creaste en el paso anterior
  - REGION: Es la región en la que deseas usar la puerta de enlace de Cloud NAT.
  - IPV4_SUBNET_RANGES: Una lista de nombres de subredes separados por comas, por ejemplo:
    - SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL: Incluye el rango principal y todos los rangos secundarios de las subredes SUBNET_NAME_1 y SUBNET_NAME_2.
    - SUBNET_NAME_1,SUBNET_NAME_2: Incluye solo los rangos principales de las subredes SUBNET_NAME_1 y SUBNET_NAME_2.
    - SUBNET_NAME:SECONDARY_RANGE_NAME: Incluye el rango secundario especificado de la subred SUBNET_NAME y no incluye el rango principal.
    - SUBNET_NAME_1,SUBNET_NAME_2:SECONDARY_RANGE_NAME: Incluye el rango principal de la subred SUBNET_NAME_1 y el rango secundario especificado de la subred SUBNET_NAME_2.
  - IPV6_SUBNET_RANGES: Una lista separada por comas de nombres de subredes, por ejemplo, SUBNET_NAME_1,SUBNET_NAME_2
- Configura la asignación manual de direcciones IP de NAT. Para crear una puerta de enlace de Cloud NAT con asignación manual de direcciones IP de NAT, ejecuta uno de los siguientes comandos:
  - Para los rangos de subredes IPv4, haz lo siguiente:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2
```
  - Para los rangos de subredes IPv6 (vista previa):
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2
```
    Si creas la puerta de enlace para rangos de subred IPv4 e IPv6, especifica las marcas --nat-all-subnet-ip-ranges y --nat64-all-v6-subnet-ip-ranges en este comando.
  Reemplaza lo siguiente:
  - NAT_CONFIG: Es el nombre de tu configuración de NAT.
  - NAT_ROUTER: El nombre del Cloud Router que creaste en el paso anterior
  - REGION: Es la región en la que deseas usar la puerta de enlace de Cloud NAT.
  - IP_ADDRESS_1 y IP_ADDRESS_2: Las direcciones IP externas reservadas estáticas que deseas usar para NAT
    
    Puedes especificar una o más direcciones IP cuando usas la marca --nat-external-ip-pool.
- Especifica el nivel de red. Para especificar el nivel de red desde el que la puerta de enlace de Cloud NAT asigna direcciones IP externas, ejecuta uno de los siguientes comandos:
  - Para los rangos de subredes IPv4, haz lo siguiente:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --auto-network-tier=AUTO_NETWORK_TIER
```
  - Para los rangos de subredes IPv6 (vista previa):
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --auto-network-tier=AUTO_NETWORK_TIER
```
    Si creas la puerta de enlace para rangos de subred IPv4 e IPv6, especifica las marcas --nat-all-subnet-ip-ranges y --nat64-all-v6-subnet-ip-ranges en este comando.
  Reemplaza lo siguiente:
  - NAT_CONFIG: Es el nombre de tu configuración de NAT.
  - NAT_ROUTER: El nombre del Cloud Router que creaste en el paso anterior
  - REGION: Es la región en la que deseas usar la puerta de enlace de Cloud NAT.
  - AUTO_NETWORK_TIER: Es el nivel de red que se usará cuando se asignen automáticamente direcciones IP para la puerta de enlace de Cloud NAT. Los valores permitidos son PREMIUM y STANDARD. Si no se especifica, se asocia el nivel predeterminado a nivel del proyecto actual con la puerta de enlace de Cloud NAT.
    
    También puedes especificar el nivel de red con la asignación manual de direcciones IP de NAT. Si asignas varias direcciones IP a la puerta de enlace, todas las direcciones IP que asignes deben ser del mismo nivel de red.
- Configura la asignación dinámica de puertos. Para crear una puerta de enlace de Cloud NAT con asignación dinámica de puertos, ejecuta uno de los siguientes comandos:
  - Para los rangos de subredes IPv4, haz lo siguiente:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --enable-dynamic-port-allocation \
    [--min-ports-per-vm=MIN_PORTS ] \
    [--max-ports-per-vm=MAX_PORTS ]
```
  - Para los rangos de subredes IPv6 (vista previa):
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --enable-dynamic-port-allocation \
    [--min-ports-per-vm=MIN_PORTS ] \
    [--max-ports-per-vm=MAX_PORTS ]
```
    Si creas la puerta de enlace para rangos de subred IPv4 e IPv6, especifica las marcas --nat-all-subnet-ip-ranges y --nat64-all-v6-subnet-ip-ranges en este comando.
  Reemplaza lo siguiente:
  - NAT_CONFIG: Es el nombre de tu configuración de NAT.
  - NAT_ROUTER: El nombre del Cloud Router que creaste en el paso anterior
  - REGION: Es la región en la que deseas usar la puerta de enlace de Cloud NAT.
  - Opcional: MIN_PORTS: Es la cantidad mínima de puertos que se asignarán para cada VM. Si está habilitada la asignación dinámica de puertos, MIN_PORTS debe ser una potencia de 2 y puede estar entre 32 y 32768. El valor predeterminado es 32.
  - Opcional: MAX_PORTS: Es la cantidad máxima de puertos que se asignarán para cada VM. MAX_PORTS debe ser una potencia de 2 y puede estar entre 64 y 65536. MAX_PORTS debe ser superior a MIN_PORTS. El valor predeterminado es 65536.

Terraform

Puedes usar un módulo de Terraform para crear un Cloud Router con una puerta de enlace NAT para el tráfico IPv4.

module "cloud_router" {
  source  = "terraform-google-modules/cloud-router/google"
  version = "~> 7.0"
  name    = "my-cloud-router"
  project = var.project_id
  network = module.vpc.network_name
  region  = "us-central1"

  nats = [{
    name                               = "my-nat-gateway"
    source_subnetwork_ip_ranges_to_nat = "LIST_OF_SUBNETWORKS"
    subnetworks = [
      {
        name                     = module.vpc.subnets["us-central1/test-subnet-01"].id
        source_ip_ranges_to_nat  = ["PRIMARY_IP_RANGE", "LIST_OF_SECONDARY_IP_RANGES"]
        secondary_ip_range_names = module.vpc.subnets["us-central1/test-subnet-01"].secondary_ip_range[*].range_name
      }
    ]
  }]
}

En la puerta de enlace NAT resultante, se usan los siguientes valores predeterminados:

enable_endpoint_independent_mapping = true
icmp_idle_timeout_sec               = 30
min_ports_per_vm                    = 0
nat_ip_allocate_option              = "AUTO_ONLY"
source_subnetwork_ip_ranges_to_nat  = "ALL_SUBNETWORKS_ALL_IP_RANGES"
tcp_established_idle_timeout_sec    = 1200
tcp_transitory_idle_timeout_sec     = 30
udp_idle_timeout_sec                = 30
log_config {
    enable = true
    filter = "ALL"
}

Cómo ver una configuración de NAT pública

Console

En la Google Cloud consola, ve a la página de Cloud NAT.

Ir a Cloud NAT
Para ver los detalles de la puerta de enlace NAT, la información de asignación o los detalles de configuración, haz clic en el nombre de tu puerta de enlace NAT.
Para ver el estado de NAT, consulta la columna Estado de la puerta de enlace NAT.

gcloud

Para ver los detalles de configuración de NAT, ejecuta los siguientes comandos:

Consulta la configuración de la puerta de enlace de NAT pública.
```
gcloud compute routers nats describe NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION
```
Reemplaza lo siguiente:
- NAT_CONFIG: el nombre de tu configuración de NAT
- ROUTER_NAME: el nombre de tu Cloud Router
- REGION: Es la región de la NAT que se describirá. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).
Visualiza la asignación de los rangos de IP:port asignados a cada interfaz de VM.
```
gcloud compute routers get-nat-mapping-info ROUTER_NAME \
    --region=REGION
```

Visualiza el estado de la puerta de enlace de NAT pública.

gcloud compute routers get-status ROUTER_NAME \
    --region=REGION

Cómo ver las direcciones IP externas asignadas a una puerta de enlace de Cloud NAT

De forma predeterminada, las puertas de enlace de Cloud NAT para NAT pública usan la asignación automática de direcciones IP. Para ver las direcciones IP externas que se asignan a una puerta de enlace de Cloud NAT, haz lo siguiente.

Console

En la Google Cloud consola, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en el nombre de tu puerta de enlace de Cloud NAT.
En la página Detalles de la puerta de enlace de Cloud NAT, consulta las direcciones IP externas asignadas.

gcloud

Para enumerar todas las direcciones IP de NAT asignadas, usa el siguiente comando:

gcloud compute routers get-nat-ip-info NAT_ROUTER \
    --region=REGION

Para obtener más ejemplos, consulta el comando gcloud compute routers get-nat-ip-info.

Actualiza una configuración de NAT pública

Después de configurar la puerta de enlace de Cloud NAT, puedes actualizar su configuración según tus requisitos. En las siguientes secciones, se enumeran las tareas que puedes realizar para actualizar tu puerta de enlace de Cloud NAT.

Actualiza las subredes configuradas con NAT

Console

En la Google Cloud consola, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en tu puerta de enlace de Cloud NAT.
Haz clic en Editar.
En Mapeo de NAT, configura Subredes de origen como Personalizadas.
Selecciona una subred.
En la lista Rangos de IP, selecciona los rangos de IP de la subred que deseas incluir.
Opcional: Si deseas especificar rangos adicionales, haz clic en Agregar subred y rango de IP.
Haz clic en Guardar.

gcloud

Usa el comando gcloud compute routers nats update.

Para actualizar los rangos de subred de origen de una puerta de enlace de Cloud NAT existente, ejecuta uno de los siguientes comandos, según la versión de IP de los rangos de subred que deseas actualizar:

Actualiza los rangos de subredes IPv4:

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES

Actualiza los rangos de subredes IPv6 (vista previa):

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES

Actualiza los rangos de subred IPv4 e IPv6 (vista previa):

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES

Reemplaza lo siguiente:

NAT_CONFIG: el nombre de tu configuración de NAT
NAT_ROUTER: el nombre de tu Cloud Router
REGION: Es la región de la puerta de enlace NAT.
IPV4_SUBNET_RANGES: una lista de nombres de subredes separados por comas, por ejemplo:
- SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL: Incluye el rango principal y todos los rangos secundarios de las subredes SUBNET_NAME_1 y SUBNET_NAME_2.
- SUBNET_NAME_1,SUBNET_NAME_2: Incluye solo los rangos principales de las subredes SUBNET_NAME_1 y SUBNET_NAME_2.
- SUBNET_NAME:SECONDARY_RANGE_NAME: Incluye el rango secundario especificado de la subred SUBNET_NAME y no incluye el rango principal.
- SUBNET_NAME_1,SUBNET_NAME_2:SECONDARY_RANGE_NAME: Incluye el rango principal de la subred SUBNET_NAME_1 y el rango secundario especificado de la subred SUBNET_NAME_2.
IPV6_SUBNET_RANGES: Una lista separada por comas de nombres de subredes, por ejemplo, SUBNET_NAME_1,SUBNET_NAME_2

Quita subredes de NAT

Puedes quitar las subredes de la puerta de enlace de Cloud NAT que ya no se usan.

Console

En la Google Cloud consola, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en tu puerta de enlace de Cloud NAT.
Haz clic en Editar.
Borra la subred que deseas quitar de la asignación de NAT.

Nota: Si la subred que borraste es la única que está asignada a la puerta de enlace de NAT pública, el sistema te solicitará que agregues una subred. Puedes asignar una subred nueva o seleccionar Rangos principales y secundarios para todas las subredes en la lista Fuente.
Haz clic en Guardar.

gcloud

Usa el comando gcloud compute routers nats update.

Solo puedes quitar rangos de subred IPv4 o rangos de subred IPv6, pero no ambos.

En el siguiente ejemplo, se inhabilita la NAT para los rangos de subred IPv6:

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --clear-nat64-subnet-ip-ranges

Reemplaza lo siguiente:

NAT_CONFIG: el nombre de tu configuración de NAT
NAT_ROUTER: el nombre de tu Cloud Router
REGION: Es la región de la puerta de enlace NAT.

Actualiza las direcciones IP externas asignadas a NAT

Puedes cambiar la lista de direcciones IP externas de una puerta de enlace determinada o cambiar de la asignación manual a la automática de IP. Cuando lo hagas, Google Cloud quitará las direcciones IP asignadas anteriormente y agregará las nuevas. Todas las conexiones existentes en las direcciones IP asignadas anteriormente se cierran de inmediato. Para permitir que las conexiones existentes continúen mientras evitas conexiones nuevas en esas direcciones IP, consulta la sección Desvía las direcciones IP externas asociadas con NAT de este documento.

Console

En la Google Cloud consola, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en tu puerta de enlace de Cloud NAT.
Haz clic en Editar.
Haz clic en la lista Direcciones IP de NAT y, luego, selecciona Automáticas o Manuales.
Si seleccionas Manual, especifica una dirección IP externa.
Para obtener alta disponibilidad, haz clic en Agregar dirección IP y, luego, agrega una segunda dirección.
Haz clic en Guardar.

gcloud

Usa el comando gcloud compute routers nats update

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2

Reemplaza lo siguiente:

NAT_CONFIG: Es el nombre de tu configuración de NAT.
NAT_ROUTER: Es el nombre de tu Cloud Router.
REGION: la región de la NAT que se actualizará. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).
IP_ADDRESS_1: una dirección IP externa manual.
IP_ADDRESS_2: otra dirección IP externa manual.

Actualiza NAT con direcciones IP externas de un nivel de red diferente

Puedes actualizar una puerta de enlace de Cloud NAT existente cambiando el nivel de red de las direcciones IP externas asociadas con la puerta de enlace.

Actualiza la NAT cambiando el nivel de red de las direcciones IP externas asignadas automáticamente

Cuando cambias el nivel de red de las direcciones IP externas asignadas automáticamente y asociadas con una puerta de enlace de Cloud NAT existente,Google Cloud quita las direcciones IP asignadas anteriormente y las reemplaza por direcciones IP del nivel de red especificado. Todas las conexiones existentes en las direcciones IP asignadas anteriormente se cierran de inmediato.

Console

En la Google Cloud consola, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en el nombre de tu puerta de enlace de Cloud NAT que tiene direcciones IP asignadas automáticamente.
Haz clic en Editar.
En Nivel de servicio de red, elige Premium o Estándar.
Haz clic en Guardar.

gcloud

Usa el comando gcloud compute routers nats update

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips
    --auto-network-tier=AUTO_NETWORK_TIER

Reemplaza lo siguiente:

NAT_CONFIG: el nombre de tu configuración de NAT
NAT_ROUTER: el nombre de tu Cloud Router
REGION: Es la región de la NAT que se creará. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).
AUTO_NETWORK_TIER: Es el nivel de red que se usará cuando se asignen automáticamente direcciones IP para la puerta de enlace de Cloud NAT. Los valores permitidos son PREMIUM y STANDARD. Si no se especifica, se asocia el nivel predeterminado a nivel del proyecto actual con la puerta de enlace de Cloud NAT.

Actualiza la NAT cambiando el nivel de red de las direcciones IP asignadas manualmente

Puedes actualizar una NAT existente especificando manualmente direcciones IP externas de un nivel diferente. Puedes asignar direcciones IP externas desde el nivel Estándar, el nivel Premium o ambos, sujetas a ciertas condiciones. Antes de especificar direcciones IP externas de un nivel diferente, primero desvía las direcciones IP existentes para permitir que las conexiones existentes continúen y evitar conexiones nuevas en las direcciones IP existentes.

Console

En la Google Cloud consola, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en el nombre de tu puerta de enlace de Cloud NAT que tiene direcciones IP asignadas manualmente.
Haz clic en Editar.
Para especificar direcciones IP de un nivel diferente del seleccionado, borra todas las direcciones IP existentes o habilita el vaciado para todas las direcciones IP existentes.

No puedes cambiar el nivel de red si el vaciado está inhabilitado para una dirección IP existente.
En Nivel de servicio de red, elige Premium o Estándar.
Selecciona una dirección IP externa de la lista de direcciones IP activas y disponibles.

Nota: El vaciado siempre está inhabilitado para una dirección IP recién seleccionada.
Opcional: Para agregar más direcciones IP, haz clic en Agregar direcciones IP.
Haz clic en Guardar.

gcloud

Para actualizar una puerta de enlace existente y cambiar manualmente las direcciones IP externas existentes por otras nuevas de un nivel de red diferente, usa la marca --nat-external-ip-pool del comando gcloud compute routers nats update.

Para obtener más información sobre cómo cambiar manualmente las direcciones IP externas existentes, consulta Actualiza las direcciones IP externas asociadas con NAT.

Desvía las direcciones IP externas asignadas a NAT

Antes de quitar una dirección IP configurada manualmente, puedes desviarla para que las conexiones existentes no se interrumpan. Cuando se desvía una dirección IP, todas las conexiones existentes continúan hasta que vencen de forma natural. Puedes ver los registros para verificar el estado de las conexiones existentes.

No se aceptan conexiones nuevas en las direcciones IP salientes. Sin embargo, la dirección IP permanece asociada con la configuración de NAT.

Debes tener al menos una dirección activa en una configuración de NAT, lo que significa que no puedes desviar todas las direcciones IP en una configuración.

Para ver el estado de tus direcciones IP de NAT, consulta la configuración de NAT pública.

Console

En la Google Cloud consola, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en tu puerta de enlace de Cloud NAT.
Haz clic en Editar.
En Direcciones IP NAT, establece el valor de desvío de IP junto a la dirección IP en Activado.
Haz clic en Guardar.

gcloud

Usa el comando gcloud compute routers nats update.

Para desviar una dirección, debes moverla del grupo activo al grupo de desvío en el mismo comando. Si la quitas del grupo activo sin agregarla al grupo de desvío en un solo comando, la dirección IP se quita del servicio y las conexiones existentes finalizan de inmediato.

Si mueves una dirección IP del grupo de desvío al grupo activo, la dirección IP no se desvía. Si quitas una dirección IP de NAT de ambos grupos, la desconectas de la configuración de NAT.

Este comando deja los otros campos en la configuración de NAT sin modificar.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_2 \
    --nat-external-drain-ip-pool=IP_ADDRESS_1

Aquí:

--nat-external-ip-pool=IP_ADDRESS_2: actualiza el grupo activo para omitir IP_ADDRESS_1
--nat-external-drain-ip-pool=IP_ADDRESS_1: agrega IP_ADDRESS_1 al grupo de desvío

Reemplaza lo siguiente:

NAT_CONFIG: Es el nombre de tu configuración de NAT.
NAT_ROUTER: Es el nombre de tu Cloud Router.
REGION: la región de la NAT que se actualizará. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).
IP_ADDRESS_2: una dirección IP.
IP_ADDRESS_1: otra dirección IP.

Actualiza la asignación de extremos

Puedes habilitar o inhabilitar el mapeo independiente de extremos de tu puerta de enlace. De forma predeterminada, esta opción está inhabilitada. Cambiar el mapeo independiente de extremos de habilitado a inhabilitado (o de inhabilitado a habilitado) no interrumpe las conexiones existentes.

No puedes habilitar el mapeo independiente de extremos si tu puerta de enlace de Cloud NAT usa reglas de NAT o asignación dinámica de puertos.

Console

En la Google Cloud consola, ve a la página de Cloud NAT.

Ir a Cloud NAT
Haz clic en tu puerta de enlace de Cloud NAT.
Haz clic en Editar.
Haz clic en Configuración avanzada.
Para habilitar el mapeo independiente del extremo, selecciona la casilla de verificación Habilitar mapeo independiente del extremo. Para inhabilitar el mapeo independiente basado en extremos, desmarca la casilla de verificación.
Haz clic en Guardar.

gcloud

Usa el comando gcloud compute routers nats update

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    [--enable-endpoint-independent-mapping | --no-enable-endpoint-independent-mapping]

Reemplaza lo siguiente:

NAT_CONFIG: el nombre de tu configuración de NAT
NAT_ROUTER: el nombre de tu Cloud Router
REGION: Es la región de la NAT que se actualizará. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).

Registro de actualizaciones

Si quieres agregar, modificar o quitar registros de una puerta de enlace de Cloud NAT existente, consulta Configura registros.

Borra una configuración de NAT pública

Borrar una configuración de puerta de enlace quita la configuración de NAT de un Cloud Router. Borrar una configuración de puerta de enlace no borra el router en sí.

Console

En la Google Cloud consola, ve a la página de Cloud NAT.

Ir a Cloud NAT
Selecciona la casilla de verificación junto a la configuración de la puerta de enlace que deseas borrar.
En el menú, haz clic en Borrar.

gcloud

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Reemplaza lo siguiente:

NAT_CONFIG: el nombre de tu configuración de NAT
ROUTER_NAME: el nombre de tu Cloud Router
REGION: Es la región de la NAT que se borrará. Si no se especifica, es posible que se te solicite seleccionar una región (solo modo interactivo).

Cuotas y límites

Para obtener información sobre las cuotas y los límites, consulta Cuotas y límites.

Configuración de ejemplo

¿Qué sigue?

Configura Logging y Monitoring para Cloud NAT.
Soluciona problemas comunes con las configuraciones de NAT.