Configura e gestisci la Network Address Translation con Public NAT

Questa pagina descrive come configurare e gestire la Network Address Translation (NAT) utilizzando Public NAT. Prima di configurare Public NAT, consulta la panoramica di Public NAT.

Limitazioni

  • Se modifichi il livello di rete degli indirizzi IP allocati automaticamente per un gateway Cloud NAT, tutte le connessioni sugli indirizzi IP allocati in precedenza si chiudono immediatamente.

  • Se utilizzi l'allocazione manuale degli indirizzi IP NAT e modifichi gli indirizzi IP utilizzati per Cloud NAT, tutte le connessioni sugli indirizzi IP allocati in precedenza vengono chiuse immediatamente. Per evitare questo problema, consulta Esaustione degli indirizzi IP esterni associati a NAT.

  • Se configuri un gateway Cloud NAT con allocazione statica delle porte e riduci il numero minimo di porte per istanza di macchina virtuale (VM), le connessioni NAT stabilite potrebbero essere interrotte. Per saperne di più, consulta Riduzione delle porte per VM.

  • Se configuri un gateway Cloud NAT con l'allocazione dinamica delle porte e apporti ulteriori modifiche alla configurazione, le connessioni NAT stabilite potrebbero essere interrotte. Quando la configurazione cambia, il numero di porte assegnate a ogni VM potrebbe essere temporaneamente reimpostato sul numero minimo configurato. Per saperne di più, consulta Riduci le porte per VM.

  • Se configuri un gateway Cloud NAT con l'allocazione dinamica delle porte e poi la disattivi, tutte le connessioni VM che utilizzano il gateway NAT vengono chiuse. Per ulteriori informazioni, consulta la sezione Metodo di allocazione delle porte dello switch.

  • Se la mappatura indipendente dagli endpoint è abilitata, non puoi configurare l'allocazione dinamica delle porte o le regole NAT.

  • Cloud NAT non supporta i frammenti IP.

  • Una configurazione Cloud NAT è associata a una rete Virtual Private Cloud (VPC). Pertanto, la configurazione si applica a tutte le risorse che appartengono alle subnet di quella rete. Non puoi scegliere VM specifiche da pubblicare da un gateway Cloud NAT.

  • La traduzione da IPv6 a IPv4 (anteprima) è disponibile solo per le istanze VM di Compute Engine, per le seguenti serie di macchine:

    • Tutte le serie di seconda generazione o precedenti
    • Serie M3

    Per saperne di più, consulta Terminologia di Compute Engine.

    Per i nodi Google Kubernetes Engine (GKE), gli endpoint serverless e i gruppi di endpoint di rete (NEG) internet regionali, il NAT pubblico traduce solo gli indirizzi IPv4. Per saperne di più sui servizi di Google Cloud che includono il supporto solo IPv6, consulta Supporto IPv6 in Google Cloud.

Prima di iniziare

Completa le seguenti attività prima di configurare NAT pubblico.

Ottieni autorizzazioni IAM

Il ruolo Amministratore rete Compute (roles/compute.networkAdmin) include le autorizzazioni necessarie per configurare NAT pubblico.

prepara l'ambiente

A seconda che tu voglia utilizzare la console Google Cloud o gcloud CLI per configurare Public NAT, configura le seguenti risorse in Google Cloud.

Console

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine API.

    Enable the API

    8.

gcloud

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. Install the Google Cloud CLI.

  3. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  4. To initialize the gcloud CLI, run the following command: 

    gcloud init

  5. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine API: 

    gcloud services enable compute.googleapis.com

  8. Install the Google Cloud CLI.

  9. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  10. To initialize the gcloud CLI, run the following command: 

    gcloud init

  11. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  12. Make sure that billing is enabled for your Google Cloud project.

  13. Enable the Compute Engine API: 

    gcloud services enable compute.googleapis.com

Configura DNS64

Se vuoi utilizzare la traduzione da IPv6 a IPv4 o NAT64, devi configurare DNS64. Per configurare DNS64 in Cloud DNS, segui le istruzioni riportate in Configurare DNS64.

Salta questo passaggio se vuoi utilizzare Cloud NAT solo per il traffico IPv4.

Configura Public NAT

Configuri Public NAT creando un gateway Cloud NAT nella rete VPC di origine. Ogni gateway è associato a una singola rete VPC, regione e router Cloud. Cloud NAT utilizza router Cloud solo per raggruppare le informazioni di configurazione NAT e non indirizzarouter Cloudr a utilizzare il protocollo BGP (Border Gateway Protocol) o ad aggiungere route. Il traffico NAT non passa attraverso il router Cloud.

Quando crei un gateway Cloud NAT, puoi configurare le seguenti impostazioni.

Impostazione Opzioni supportate Descrizione
Tipo di endpoint di origine
  • Istanze VM, nodi GKE, serverless
  • Bilanciatori del carico proxy gestito

Per impostazione predefinita, NAT pubblico fornisce servizi NAT a istanze VM, nodi GKE ed endpoint serverless. Per creare un gateway Cloud NAT per queste risorse, completa i passaggi nella sezione seguente.

Per creare un gateway Cloud NAT per un NEG internet regionale, consulta "Configurare un gateway Cloud NAT" per quanto segue:

Per un elenco completo delle Google Cloud risorse supportate da Cloud NAT, consulta la panoramica di Cloud NAT.
Versione IP di origine
  • Intervalli di subnet IPv4
  • Intervalli di subnet IPv6
  • Intervalli di subnet IPv4 e IPv6
 NAT pubblico supporta la traduzione da IPv4 a IPv4 e da IPv6 a IPv4. Se vuoi configurare NAT64 (anteprima), devi anche configurare DNS64.
  • Se configuri gli intervalli di subnet IPv4, le istanze VM solo IPv4 e le istanze VM a doppio stack (che utilizzano i relativi indirizzi IPv4) nelle subnet solo IPv4 e a doppio stack possono comunicare con destinazioni IPv4 su internet.
  • Se configuri gli intervalli di subnet IPv6 (anteprima), le istanze VM solo IPv6 nelle subnet solo IPv6 e a doppio stack possono comunicare con destinazioni IPv4 su internet.
  • Se configuri gli intervalli di subnet IPv4 e IPv6 (anteprima), si applica quanto segue:
    • Le istanze VM solo IPv4 e le istanze VM a doppio stack (che utilizzano i relativi indirizzi IPv4) possono comunicare con destinazioni IPv4 su internet.
    • Le istanze VM a doppio stack non possono utilizzare i propri indirizzi IPv6 per comunicare con destinazioni IPv4 su internet.
    • Le istanze VM solo IPv6 possono comunicare con destinazioni IPv4 su internet.
Subnet di origine

Per il traffico IPv4:

  • Intervalli primari e secondari per tutte le subnet
  • Intervalli primari per tutte le subnet
  • Personalizzato

Per il traffico IPv6:

  • Tutte le subnet
  • Personalizzato

NAT pubblico supporta i seguenti intervalli di subnet nella regione per la rete VPC che specifichi:

  • Per il traffico IPv4: intervalli principali e secondari. Puoi limitare le subnet e gli intervalli di subnet che possono utilizzare NAT.
  • Per il traffico IPv6: intervalli interni ed esterni. Puoi limitare le subnet che possono utilizzare NAT.
Allocazione degli indirizzi IP
  • Automatico (consigliato)
  • Manuale

Per impostazione predefinita, NAT pubblico utilizza l'allocazione automatica dell'indirizzo IP NAT. Questa configurazione alloca automaticamente gli indirizzi IP esterni necessari per fornire i servizi NAT a una regione. Le istanze VM senza indirizzi IP esterni in qualsiasi subnet della regione hanno accesso a internet tramite NAT. Quando utilizzi l'allocazione automatica degli indirizzi IP NAT, Google Cloud riserva gli indirizzi IP nel tuo progetto. Questi indirizzi vengono conteggiati ai fini delle quote per gli indirizzi IPv4 esterni a livello di regione in uso nel progetto.

Puoi allocare manualmente gli indirizzi IP NAT per un gateway Cloud NAT. Questi indirizzi vengono conteggiati nelle seguenti quote:

Se scegli l'allocazione manuale, assicurati di allocare un numero sufficiente di indirizzi IP per evitare pacchetti eliminati.

Per saperne di più, consulta Indirizzi IP NAT pubblici.
Livello di rete
  • Premium
  • Standard
 La NAT pubblica consente di specificare i livelli di servizio di rete da cui il gateway Cloud NAT alloca gli indirizzi IP esterni. Per impostazione predefinita, il livello di rete è impostato sul livello attuale del progetto.
  • Quando crei un gateway Cloud NAT con allocazione automatica dell'indirizzo IP NAT, puoi assegnare indirizzi IP NAT dal livello Premium o dal livello Standard.
  • Quando crei un gateway Cloud NAT con allocazione manuale degli indirizzi IP NAT, puoi scegliere di assegnare manualmente gli indirizzi IP NAT dal livello Premium o Standard o da entrambi, in base a determinate condizioni.
Configurazioni avanzate
  • Allocazione dinamica delle porte
  • Mappatura indipendente dagli endpoint
  • Logging
  • Timeout NAT

Per impostazione predefinita, Public NAT utilizza l'allocazione statica delle porte, il che significa che a ogni VM viene allocato lo stesso numero di porte. Puoi configurare l'allocazione dinamica delle porte con l'allocazione automatica o manuale degli indirizzi IP NAT. L'utilizzo dell'allocazione dinamica delle porte consente al gateway Cloud NAT di allocare numeri diversi di porte a ogni VM in base all'utilizzo. Non puoi attivare il mapping indipendente dagli endpoint se il gateway Cloud NAT utilizza regole NAT o l'allocazione dinamica delle porte.

Il logging è disattivato per impostazione predefinita. Per informazioni sui timeout NAT e sui relativi valori predefiniti, consulta Timeout NAT.

Crea un gateway Cloud NAT

Console

  1. Nella Google Cloud console, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Fai clic su Inizia per il primo gateway Cloud NAT o su Crea gateway Cloud NAT per i gateway successivi.

  3. Nel campo Nome gateway, inserisci un nome per il gateway.

  4. In Tipo NAT, seleziona Pubblico.

  5. Nella sezione Seleziona Router Cloud, configura quanto segue:

    1. Nel campo Rete, seleziona la rete VPC in cui vuoi creare il gateway.
    2. Nel campo Regione, imposta la regione per il gateway.
    3. Nel campo Router Cloud, seleziona o crea un router Cloud nella regione.

  6. Nella sezione Mappatura Cloud NAT, per Tipo di endpoint di origine, assicurati che sia selezionata l'opzione Istanze VM, nodi GKE, serverless.

  7. Nel campo Versione IP di origine, seleziona la versione IP di origine e poi configura gli intervalli di subnet di origine per i quali vuoi utilizzare Cloud NAT.

    • Per gli intervalli di subnet IPv4, nel campo Subnet di origine, seleziona una delle seguenti opzioni:
      • Per utilizzare Cloud NAT per gli intervalli IP primari e secondari per tutte le subnet nella regione, seleziona Intervalli IP primari e secondari per tutte le subnet.
      • Per utilizzare Cloud NAT solo per gli intervalli IP principali, seleziona Intervalli IP principali per tutte le subnet.
      • Per limitare gli intervalli IP delle subnet che possono utilizzare Cloud NAT, seleziona Personalizzato e procedi nel seguente modo:
        1. Nella sezione Subnet, seleziona una subnet.
        2. Nell'elenco Intervalli IP, seleziona gli intervalli IP della subnet da includere e fai clic su Ok.
        3. (Facoltativo) Se vuoi specificare altri intervalli, fai clic su Aggiungi subnet e intervallo IP e aggiungi un'altra subnet.
    • Per gli intervalli di subnet IPv6, nel campo Subnet di origine, seleziona una delle seguenti opzioni:
      • Per utilizzare Cloud NAT per gli intervalli IP interni ed esterni per tutte le subnet nella regione, seleziona Tutte le subnet.
      • Per limitare le subnet che possono utilizzare Cloud NAT, seleziona Personalizzato e procedi nel seguente modo:
        1. Nella sezione Subnet, seleziona una subnet.
        2. (Facoltativo) Se vuoi specificare altre subnet, fai clic su Aggiungi subnet e aggiungi un'altra subnet.

  8. Configura il tipo di allocazione dell'indirizzo IP NAT e il livello di rete selezionando una delle seguenti opzioni:

    • Per utilizzare l'allocazione automatica degli indirizzi IP NAT:
      1. Nell'elenco Indirizzi IP Cloud NAT, seleziona Automatico (consigliato).
      2. In Livello di servizio di rete, scegli Premium o Standard.
    • Per utilizzare l'allocazione manuale degli indirizzi IP NAT, procedi nel seguente modo:
      1. Nell'elenco Indirizzi IP Cloud NAT, seleziona Manuale.
      2. In Livello di servizio di rete, scegli Premium o Standard.
      3. Seleziona o crea un indirizzo IP esterno statico riservato da utilizzare per NAT.
      4. (Facoltativo) Se vuoi specificare indirizzi IP aggiuntivi, fai clic su Aggiungi indirizzo IP e poi seleziona o crea un altro indirizzo IP esterno statico riservato.
      5. (Facoltativo) Se vuoi creare regole NAT personalizzate, configura la sezione Regole Cloud NAT. Per le istruzioni, vedi Creare regole NAT.

  9. (Facoltativo) Modifica una delle seguenti impostazioni nella sezione Configurazioni avanzate:

    • Indica se configurare il logging. Per impostazione predefinita, è selezionata l'opzione Nessun log.
    • Se modificare la modalità di allocazione delle porte di Cloud NAT. Per impostazione predefinita, l'opzione Abilita allocazione dinamica delle porte non è selezionata. Per l'allocazione statica delle porte, il campo Numero minimo di porte per istanza VM è impostato su 64.
      • Per aggiornare il numero minimo di porte per istanza VM per l'allocazione statica delle porte, specifica un valore nel campo Numero minimo di porte per istanza VM. Questo valore può essere impostato da 2 a 57344.
      • Per configurare l'allocazione dinamica delle porte, seleziona Abilita allocazione dinamica delle porte e seleziona un valore per il campo Numero minimo di porte per istanza VM (il valore predefinito è 32) e per il campo Numero massimo di porte per istanza VM (il valore predefinito è 65536).
    • Indica se aggiornare i timeout NAT per le connessioni di protocollo. Per informazioni su questi timeout e sui relativi valori predefiniti, consulta Timeout NAT.

  10. Fai clic su Crea.

gcloud

Per creare un gateway Cloud NAT, utilizza il comando gcloud compute routers nats create. Puoi creare un gateway Cloud NAT con tutte le opzioni di configurazione impostate sui valori predefiniti oppure puoi personalizzare la configurazione del gateway.

Crea un gateway Cloud NAT con le impostazioni predefinite

  1. Crea un router Cloud nella regione in cui vuoi utilizzare il gateway Cloud NAT. Ti serve questo router Cloud per creare il gateway Cloud NAT.

  2. Crea il gateway Cloud NAT eseguendo uno dei seguenti comandi, a seconda della versione IP degli intervalli di subnet di origine per cui stai configurando NAT.

    • Configura Cloud NAT per gli intervalli di subnet IPv4:

      gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

      Questa configurazione abilita NAT per tutti gli intervalli di subnet IPv4 nelle subnet solo IPv4 e a doppio stack nella regione.

    • Configura Cloud NAT per gli intervalli di subnet IPv6 (anteprima):

      gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

      Questa configurazione abilita NAT per tutti gli intervalli di subnet IPv6 nelle subnet solo IPv6 e a doppio stack nella regione.

    • Configura Cloud NAT per gli intervalli di subnet IPv4 e IPv6 (anteprima):

      gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

      Questa configurazione abilita NAT per tutti gli intervalli di subnet IPv4 e IPv6 nelle subnet solo IPv4, a doppio stack e solo IPv6 nella regione.

    Sostituisci quanto segue:

    • NAT_CONFIG: un nome per la configurazione NAT
    • NAT_ROUTER: il nome del router Cloud che hai creato nel passaggio precedente
    • REGION: la regione in cui vuoi utilizzare il gateway Cloud NAT

Personalizzare le impostazioni di configurazione per un gateway Cloud NAT

Quando crei un gateway Cloud NAT, puoi personalizzarne la configurazione predefinita. Per un elenco completo dei flag che puoi utilizzare, consulta il comando gcloud compute routers nats create.

Crea un gateway Cloud NAT per gli intervalli di subnet IPv6 solo se stai configurando NAT64 per le istanze VM di Compute Engine. Per i nodi GKE, gli endpoint serverless e i NEG internet regionali, il NAT pubblico traduce solo gli indirizzi IPv4.

Crea un gateway Cloud NAT:

  1. Crea un router Cloud nella regione in cui vuoi utilizzare il gateway Cloud NAT. Ti serve questo router Cloud per creare il gateway Cloud NAT.

  2. Crea il gateway Cloud NAT, specificando ogni parametro che vuoi personalizzare.

    Gli esempi seguenti mostrano come personalizzare le subnet di origine, il tipo di allocazione dell'indirizzo IP NAT, il livello di rete e il tipo di allocazione delle porte.

    Il comando che esegui in ciascuno di questi esempi dipende dalla versione IP degli intervalli di subnet di origine per cui stai configurando NAT.

    • Limita le subnet di origine che possono utilizzare NAT. Per creare un gateway Cloud NAT che limiti le subnet e gli intervalli di subnet che possono utilizzare NAT, esegui uno dei seguenti comandi:

      • Limita gli intervalli di subnet IPv4 che possono utilizzare NAT:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --auto-allocate-nat-external-ips

      • Limita gli intervalli di subnet IPv6 che possono utilizzare NAT (anteprima):

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES \
    --auto-allocate-nat-external-ips

      • Limita gli intervalli di subnet IPv4 e IPv6 (anteprima):

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES \
    --auto-allocate-nat-external-ips

      Sostituisci quanto segue:

      • NAT_CONFIG: un nome per la configurazione NAT
      • NAT_ROUTER: il nome del router Cloud che hai creato nel passaggio precedente
      • REGION: la regione in cui vuoi utilizzare il gateway Cloud NAT
      • IPV4_SUBNET_RANGES: un elenco separato da virgole di nomi di subnet, ad esempio:
        • SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL: include sia l'intervallo principale sia tutti gli intervalli secondari delle subnet SUBNET_NAME_1 e SUBNET_NAME_2.
        • SUBNET_NAME_1,SUBNET_NAME_2: include solo gli intervalli principali delle subnet SUBNET_NAME_1 e SUBNET_NAME_2.
        • SUBNET_NAME:SECONDARY_RANGE_NAME: include l'intervallo secondario specificato della subnet SUBNET_NAME e non include l'intervallo principale
        • SUBNET_NAME_1,SUBNET_NAME_2:SECONDARY_RANGE_NAME: include l'intervallo principale della subnet SUBNET_NAME_1 e l'intervallo secondario specificato della subnet SUBNET_NAME_2
      • IPV6_SUBNET_RANGES: un elenco separato da virgole di nomi di subnet, ad esempio SUBNET_NAME_1,SUBNET_NAME_2

    • Configura l'allocazione manuale degli indirizzi IP NAT. Per creare un gateway Cloud NAT con allocazione manuale dell'indirizzo IP NAT, esegui uno dei seguenti comandi:

      • Per gli intervalli di subnet IPv4:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2

      • Per gli intervalli di subnet IPv6 (anteprima):

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2

        Se crei il gateway per gli intervalli di subnet IPv4 e IPv6, specifica sia i flag --nat-all-subnet-ip-ranges che --nat64-all-v6-subnet-ip-ranges in questo comando.

      Sostituisci quanto segue:

      • NAT_CONFIG: un nome per la configurazione NAT
      • NAT_ROUTER: il nome del router Cloud che hai creato nel passaggio precedente
      • REGION: la regione in cui vuoi utilizzare il gateway Cloud NAT

      • IP_ADDRESS_1 e IP_ADDRESS_2: gli indirizzi IP esterni statici riservati che vuoi utilizzare per NAT

        Puoi specificare uno o più indirizzi IP quando utilizzi il flag --nat-external-ip-pool.

    • Specifica il livello di rete. Per specificare il livello di rete da cui il gateway Cloud NAT alloca gli indirizzi IP esterni, esegui uno dei seguenti comandi:

      • Per gli intervalli di subnet IPv4:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --auto-network-tier=AUTO_NETWORK_TIER

      • Per gli intervalli di subnet IPv6 (anteprima):

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --auto-network-tier=AUTO_NETWORK_TIER

        Se crei il gateway per gli intervalli di subnet IPv4 e IPv6, specifica sia i flag --nat-all-subnet-ip-ranges che --nat64-all-v6-subnet-ip-ranges in questo comando.

      Sostituisci quanto segue:

      • NAT_CONFIG: un nome per la configurazione NAT
      • NAT_ROUTER: il nome del router Cloud che hai creato nel passaggio precedente
      • REGION: la regione in cui vuoi utilizzare il gateway Cloud NAT

      • AUTO_NETWORK_TIER: il livello di rete da utilizzare quando vengono allocati automaticamente gli indirizzi IP per il gateway Cloud NAT. I valori consentiti sono PREMIUM e STANDARD. Se non specificato, al gateway Cloud NAT è associato il livello predefinito a livello di progetto corrente.

        Puoi anche specificare il livello di rete con l'allocazione manuale degli indirizzi IP NAT. Se assegni più indirizzi IP al gateway, tutti gli indirizzi IP che assegni devono appartenere allo stesso livello di rete.

    • Configura l'allocazione dinamica delle porte. Per creare un gateway Cloud NAT con allocazione dinamica delle porte, esegui uno dei seguenti comandi:

      • Per gli intervalli di subnet IPv4:

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --enable-dynamic-port-allocation \
    [--min-ports-per-vm=MIN_PORTS ] \
    [--max-ports-per-vm=MAX_PORTS ]

      • Per gli intervalli di subnet IPv6 (anteprima):

        gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --enable-dynamic-port-allocation \
    [--min-ports-per-vm=MIN_PORTS ] \
    [--max-ports-per-vm=MAX_PORTS ]

        Se crei il gateway per gli intervalli di subnet IPv4 e IPv6, specifica sia i flag --nat-all-subnet-ip-ranges che --nat64-all-v6-subnet-ip-ranges in questo comando.

      Sostituisci quanto segue:

      • NAT_CONFIG: un nome per la configurazione NAT
      • NAT_ROUTER: il nome del router Cloud che hai creato nel passaggio precedente
      • REGION: la regione in cui vuoi utilizzare il gateway Cloud NAT
      • (Facoltativo) MIN_PORTS: il numero minimo di porte da allocare per ogni VM. Se l'allocazione dinamica delle porte è attivata, MIN_PORTS deve essere una potenza di 2 e può essere compreso tra 32 e 32768. Il valore predefinito è 32.
      • (Facoltativo) MAX_PORTS: il numero massimo di porte da allocare per ogni VM. MAX_PORTS deve essere una potenza di 2 e può essere compreso tra 64 e 65536. MAX_PORTS deve essere maggiore di MIN_PORTS. Il valore predefinito è 65536.

Terraform

Puoi utilizzare un modulo Terraform per creare un router Cloud con un gateway NAT per il traffico IPv4.

module "cloud_router" {
  source  = "terraform-google-modules/cloud-router/google"
  version = "~> 7.0"
  name    = "my-cloud-router"
  project = var.project_id
  network = module.vpc.network_name
  region  = "us-central1"

  nats = [{
    name                               = "my-nat-gateway"
    source_subnetwork_ip_ranges_to_nat = "LIST_OF_SUBNETWORKS"
    subnetworks = [
      {
        name                     = module.vpc.subnets["us-central1/test-subnet-01"].id
        source_ip_ranges_to_nat  = ["PRIMARY_IP_RANGE", "LIST_OF_SECONDARY_IP_RANGES"]
        secondary_ip_range_names = module.vpc.subnets["us-central1/test-subnet-01"].secondary_ip_range[*].range_name
      }
    ]
  }]
}

Il gateway NAT risultante utilizza i seguenti valori predefiniti:

enable_endpoint_independent_mapping = true
icmp_idle_timeout_sec               = 30
min_ports_per_vm                    = 0
nat_ip_allocate_option              = "AUTO_ONLY"
source_subnetwork_ip_ranges_to_nat  = "ALL_SUBNETWORKS_ALL_IP_RANGES"
tcp_established_idle_timeout_sec    = 1200
tcp_transitory_idle_timeout_sec     = 30
udp_idle_timeout_sec                = 30
log_config {
    enable = true
    filter = "ALL"
}

Visualizzare una configurazione Public NAT

Console

  1. Nella Google Cloud console, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Per visualizzare i dettagli, le informazioni di mapping o i dettagli di configurazione del gateway NAT, fai clic sul nome del gateway NAT.

  3. Per visualizzare lo stato NAT, consulta la colonna Stato del gateway NAT.

gcloud

Puoi visualizzare i dettagli della configurazione NAT eseguendo i seguenti comandi:

  • Visualizza la configurazione del gateway Public NAT.

    gcloud compute routers nats describe NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

    Sostituisci quanto segue:

    • NAT_CONFIG: il nome della configurazione NAT
    • ROUTER_NAME: il nome del tuo router Cloud
    • REGION: la regione del NAT da descrivere. Se non specificata, potrebbe esserti chiesto di selezionare una regione (solo in modalità interattiva)

  • Visualizza il mapping degli intervalli IP:porta allocati a ogni interfaccia della VM.

    gcloud compute routers get-nat-mapping-info ROUTER_NAME \
    --region=REGION

  • Visualizza lo stato del gateway NAT pubblico.

    gcloud compute routers get-status ROUTER_NAME \
    --region=REGION

Visualizza gli indirizzi IP esterni assegnati a un gateway Cloud NAT

Per impostazione predefinita, i gateway Cloud NAT per Public NAT utilizzano l'allocazione automatica degli indirizzi IP. Per visualizzare gli indirizzi IP esterni assegnati a un gateway Cloud NAT, segui questi passaggi.

Console

  1. Nella Google Cloud console, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Fai clic sul nome del gateway Cloud NAT.

  3. Nella pagina Dettagli del gateway Cloud NAT, visualizza Indirizzi IP esterni allocati.

gcloud

Per elencare tutti gli indirizzi IP NAT allocati, utilizza il seguente comando:

gcloud compute routers get-nat-ip-info NAT_ROUTER \
    --region=REGION

Per altri esempi, consulta il comando gcloud compute routers get-nat-ip-info.

Aggiorna una configurazione Public NAT

Dopo aver configurato il gateway Cloud NAT, puoi aggiornare la configurazione del gateway in base ai tuoi requisiti. Le sezioni seguenti elencano le attività che puoi eseguire per aggiornare il gateway Cloud NAT.

Aggiornare le subnet configurate con NAT

Console

  1. Nella Google Cloud console, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Fai clic sul gateway Cloud NAT.

  3. Fai clic su Modifica.

  4. Nella sezione Mappatura NAT, imposta Subnet di origine su Personalizzata.

  5. Seleziona una subnet.

  6. Nell'elenco Intervalli IP, seleziona gli intervalli IP della subnet da includere.

  7. (Facoltativo) Se vuoi specificare altri intervalli, fai clic su Aggiungi subnet e intervallo IP.

  8. Fai clic su Salva.

gcloud

Utilizza il comando gcloud compute routers nats update.

Per aggiornare gli intervalli di subnet di origine per un gateway Cloud NAT esistente, esegui uno dei seguenti comandi, a seconda della versione IP degli intervalli di subnet che vuoi aggiornare:

  • Aggiorna gli intervalli di subnet IPv4:

    gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES

  • Aggiorna gli intervalli di subnet IPv6 (anteprima):

    gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES

  • Aggiorna gli intervalli di subnet IPv4 e IPv6 (anteprima):

    gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES

Sostituisci quanto segue:

  • NAT_CONFIG: il nome della configurazione NAT
  • NAT_ROUTER: il nome del tuo router Cloud
  • REGION: la regione del gateway NAT
  • IPV4_SUBNET_RANGES: un elenco separato da virgole di nomi di subnet, ad esempio:
    • SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL: include sia l'intervallo principale sia tutti gli intervalli secondari delle subnet SUBNET_NAME_1 e SUBNET_NAME_2.
    • SUBNET_NAME_1,SUBNET_NAME_2: include solo gli intervalli principali delle subnet SUBNET_NAME_1 e SUBNET_NAME_2.
    • SUBNET_NAME:SECONDARY_RANGE_NAME: include l'intervallo secondario specificato della subnet SUBNET_NAME e non include l'intervallo principale
    • SUBNET_NAME_1,SUBNET_NAME_2:SECONDARY_RANGE_NAME: include l'intervallo principale della subnet SUBNET_NAME_1 e l'intervallo secondario specificato della subnet SUBNET_NAME_2
  • IPV6_SUBNET_RANGES: un elenco separato da virgole di nomi di subnet, ad esempio SUBNET_NAME_1,SUBNET_NAME_2

Rimuovi le subnet da NAT

Puoi rimuovere le subnet dal gateway Cloud NAT che non sono più in uso.

Console

  1. Nella Google Cloud console, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Fai clic sul gateway Cloud NAT.

  3. Fai clic su Modifica.

  4. Elimina la subnet che vuoi rimuovere dal mapping NAT.

  5. Fai clic su Salva.

gcloud

Utilizza il comando gcloud compute routers nats update.

Puoi rimuovere solo gli intervalli di subnet IPv4 o IPv6, ma non entrambi.

L'esempio seguente disabilita NAT per gli intervalli di subnet IPv6:

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --clear-nat64-subnet-ip-ranges

Sostituisci quanto segue:

  • NAT_CONFIG: il nome della configurazione NAT
  • NAT_ROUTER: il nome del tuo router Cloud
  • REGION: la regione del gateway NAT

Aggiorna gli indirizzi IP esterni assegnati a NAT

Puoi modificare l'elenco degli indirizzi IP esterni per un determinato gateway o passare dall'allocazione IP manuale a quella automatica. In questo modo, Google Cloud vengono rimossi gli indirizzi IP allocati in precedenza e vengono aggiunti quelli nuovi. Tutte le connessioni esistenti sugli indirizzi IP allocati in precedenza vengono chiuse immediatamente. Per consentire alle connessioni esistenti di continuare impedendo nuove connessioni su questi indirizzi IP, consulta la sezione Esegui il drain degli indirizzi IP esterni associati a NAT di questo documento.

Console

  1. Nella Google Cloud console, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Fai clic sul gateway Cloud NAT.

  3. Fai clic su Modifica.

  4. Fai clic sull'elenco Indirizzi IP NAT e seleziona Automatico o Manuale.

  5. Se selezioni Manuale, specifica un indirizzo IP esterno.

  6. Per la disponibilità elevata, fai clic su Aggiungi indirizzo IP e poi aggiungi un secondo indirizzo.

  7. Fai clic su Salva.

gcloud

Utilizza il comando gcloud compute routers nats update.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2

Sostituisci quanto segue:

  • NAT_CONFIG: il nome della configurazione NAT.
  • NAT_ROUTER: il nome del tuo router Cloud.
  • REGION: la regione del NAT da aggiornare. Se non specificata, potrebbe esserti chiesto di selezionare una regione (solo modalità interattiva).
  • IP_ADDRESS_1: un indirizzo IP esterno manuale.
  • IP_ADDRESS_2: un altro indirizzo IP esterno manuale.

Aggiorna NAT utilizzando indirizzi IP esterni di un livello di rete diverso

Puoi aggiornare un gateway Cloud NAT esistente modificando il livello di rete degli indirizzi IP esterni associati al gateway.

Aggiorna NAT modificando il livello di rete degli indirizzi IP esterni allocati automaticamente

Quando modifichi il livello di rete degli indirizzi IP esterni allocati automaticamente associati a un gateway Cloud NAT esistente,Google Cloud rimuove gli indirizzi IP allocati in precedenza e li sostituisce con indirizzi IP del livello di rete specificato. Tutte le connessioni esistenti sugli indirizzi IP allocati in precedenza vengono chiuse immediatamente.

Console

  1. Nella Google Cloud console, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Fai clic sul nome del gateway Cloud NAT a cui sono stati allocati automaticamente gli indirizzi IP.

  3. Fai clic su Modifica.

  4. In Livello di servizio di rete, scegli Premium o Standard.

  5. Fai clic su Salva.

gcloud

Utilizza il comando gcloud compute routers nats update.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --auto-allocate-nat-external-ips
    --auto-network-tier=AUTO_NETWORK_TIER

Sostituisci quanto segue:

  • NAT_CONFIG: il nome della configurazione NAT

  • NAT_ROUTER: il nome del tuo router Cloud

  • REGION: la regione del NAT da creare; se non specificata, potrebbe esserti chiesto di selezionare una regione (solo modalità interattiva)

  • AUTO_NETWORK_TIER: il livello di rete da utilizzare per l'allocazione automatica degli indirizzi IP per il gateway Cloud NAT. I valori consentiti sono PREMIUM e STANDARD. Se non specificato, al gateway Cloud NAT viene associato il livello predefinito a livello di progetto corrente.

Aggiorna NAT modificando il livello di rete degli indirizzi IP assegnati manualmente

Puoi aggiornare un NAT esistente specificando manualmente gli indirizzi IP esterni di un livello diverso. Puoi assegnare indirizzi IP esterni dal livello Standard o Premium o da entrambi, nel rispetto di determinate condizioni. Prima di specificare indirizzi IP esterni di un livello diverso, svuota prima gli indirizzi IP esistenti per consentire alle connessioni esistenti di continuare e impedire nuove connessioni sugli indirizzi IP esistenti.

Console

  1. Nella Google Cloud console, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Fai clic sul nome del gateway Cloud NAT a cui sono stati assegnati manualmente gli indirizzi IP.

  3. Fai clic su Modifica.

  4. Per specificare indirizzi IP di un livello diverso da quello selezionato, elimina tutti gli indirizzi IP esistenti o attiva lo svuotamento per tutti gli indirizzi IP esistenti.

    Non puoi modificare il livello di rete se lo svuotamento è disattivato per un indirizzo IP esistente.

  5. In Livello di servizio di rete, scegli Premium o Standard.

  6. Seleziona un indirizzo IP esterno dall'elenco degli indirizzi IP attivi e disponibili.

  7. (Facoltativo) Per aggiungere altri indirizzi IP, fai clic su Aggiungi indirizzi IP.

  8. Fai clic su Salva.

gcloud

Per aggiornare un gateway esistente modificando manualmente gli indirizzi IP esterni esistenti con quelli nuovi di un livello di rete diverso, utilizza il flag --nat-external-ip-pool del comando gcloud compute routers nats update.

Per saperne di più sulla modifica manuale degli indirizzi IP esterni esistenti, consulta Aggiorna gli indirizzi IP esterni associati a NAT.

Esegui il svuotamento degli indirizzi IP esterni assegnati a NAT

Prima di rimuovere un indirizzo IP configurato manualmente, puoi svuotarlo in modo che le connessioni esistenti non vengano interrotte. Quando un indirizzo IP viene svuotato, tutte le connessioni esistenti continuano fino alla loro scadenza naturale. Puoi visualizzare i log per controllare lo stato delle connessioni esistenti.

Non vengono accettate nuove connessioni sugli indirizzi IP svuotati. Tuttavia, l'indirizzo IP rimane associato alla configurazione NAT.

Devi avere almeno un indirizzo attivo in una configurazione NAT, il che significa che non puoi esaurire tutti gli indirizzi IP in una configurazione.

Per visualizzare lo stato dei tuoi indirizzi IP NAT, visualizza la configurazione NAT pubblica.

Console

  1. Nella Google Cloud console, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Fai clic sul gateway Cloud NAT.

  3. Fai clic su Modifica.

  4. Per gli indirizzi IP NAT, imposta il valore Esvuotamento IP accanto all'indirizzo IP su On.

  5. Fai clic su Salva.

gcloud

Utilizza il comando gcloud compute routers nats update.

Per svuotare un indirizzo, devi spostarlo dal pool attivo al pool di svuotamento nello stesso comando. Se lo rimuovi dal pool attivo senza aggiungerlo al pool di svuotamento in un unico comando, l'indirizzo IP viene eliminato dal servizio e le connessioni esistenti vengono terminate immediatamente.

Se sposti un indirizzo IP dal pool di svuotamento al pool attivo, lo svuoti. Se rimuovi un indirizzo IP NAT da entrambi i pool, lo disconnetti dalla configurazione NAT.

Questo comando lascia invariati gli altri campi nella configurazione NAT.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_2 \
    --nat-external-drain-ip-pool=IP_ADDRESS_1

Dove:

  • --nat-external-ip-pool=IP_ADDRESS_2: aggiorna il pool attivo per omettere IP_ADDRESS_1
  • --nat-external-drain-ip-pool=IP_ADDRESS_1: aggiunge IP_ADDRESS_1 al pool di svuotamento

Sostituisci quanto segue:

  • NAT_CONFIG: il nome della configurazione NAT.
  • NAT_ROUTER: il nome del tuo router Cloud.
  • REGION: la regione del NAT da aggiornare. Se non specificata, potrebbe esserti chiesto di selezionare una regione (solo modalità interattiva).
  • IP_ADDRESS_2: un indirizzo IP.
  • IP_ADDRESS_1: un altro indirizzo IP.

Aggiorna mappatura endpoint

Puoi attivare o disattivare il mapping indipendente dagli endpoint per il tuo gateway. Per impostazione predefinita, questa opzione è disattivata. Il passaggio dalla mappatura indipendente dagli endpoint da attivata a disattivata (o viceversa) non interrompe le connessioni esistenti.

Non puoi attivare il mapping indipendente dagli endpoint se il gateway Cloud NAT utilizza regole NAT o l'allocazione dinamica delle porte.

Console

  1. Nella Google Cloud console, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Fai clic sul gateway Cloud NAT.

  3. Fai clic su Modifica.

  4. Fai clic su Configurazioni avanzate.

  5. Per abilitare il mapping indipendente dagli endpoint, seleziona la casella di controllo Abilita il mapping indipendente dagli endpoint. Per disattivare il mapping indipendente dagli endpoint, deseleziona la casella di controllo.

  6. Fai clic su Salva.

gcloud

Utilizza il comando gcloud compute routers nats update.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    [--enable-endpoint-independent-mapping | --no-enable-endpoint-independent-mapping]

Sostituisci quanto segue:

  • NAT_CONFIG: il nome della configurazione NAT
  • NAT_ROUTER: il nome del tuo router Cloud
  • REGION: la regione del NAT da aggiornare; se non specificata, potrebbe esserti chiesto di selezionare una regione (solo modalità interattiva)

Aggiorna logging

Per aggiungere, modificare o rimuovere la registrazione per un gateway Cloud NAT esistente, consulta Configurazione della registrazione.

Eliminare una configurazione Public NAT

L'eliminazione di una configurazione del gateway rimuove la configurazione NAT da un router Cloud. L'eliminazione di una configurazione del gateway non elimina il router stesso.

Console

  1. Nella Google Cloud console, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Seleziona la casella di controllo accanto alla configurazione del gateway che vuoi eliminare.

  3. Nel menu, fai clic su Elimina.

gcloud 

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Sostituisci quanto segue:

  • NAT_CONFIG: il nome della configurazione NAT
  • ROUTER_NAME: il nome del tuo router Cloud
  • REGION: la regione del NAT da eliminare. Se non specificata, potrebbe esserti chiesto di selezionare una regione (solo in modalità interattiva).

Quote e limiti

Per informazioni su quote e limiti, consulta Quote e limiti.

Configurazioni di esempio

Passaggi successivi