Configurar e gerenciar a conversão de endereços de rede com o Private NAT
Esta página mostra como configurar a conversão de endereços de rede (NAT) usando NAT particular. Antes de definir a configuração do Private NAT, leia sobre Private NAT.
Antes de começar
Conclua as tarefas a seguir antes de configurar o Private NAT.
Acessar permissões do IAM
O papel Administrador de rede do Compute (roles/compute.networkAdmin
) concede permissões para criar um gateway NAT no Cloud Router, reservar e atribuir endereços IP de NAT e especificar sub-redes (sub-redes) cujo tráfego deve usar a conversão de endereços de rede pelo gateway NAT.
Configurar o Google Cloud
Antes de começar, configure os seguintes itens no Google Cloud.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
-
Enable the Compute Engine API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
-
Enable the Compute Engine API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
As instruções da CLI do Google Cloud nesta página presumem que você tenha definido o ID do projeto antes de emitir comandos.
Configure um código de projeto com o seguinte comando:
gcloud config set project PROJECT_ID
É possível também ver um ID projeto já configurado:
gcloud config list --format='text(core.project)'
Criar uma sub-rede NAT de finalidade PRIVATE_NAT
Antes de configurar o Private NAT, você cria uma sub-rede NAT de
a finalidade PRIVATE_NAT
. A sub-rede NAT precisa estar na mesma região em que você planeja
para criar o gateway do Private NAT.
O gateway NAT particular usa intervalos de endereços IP desta sub-rede
para executar o NAT. Verifique se essa sub-rede não se sobrepõe a uma sub-rede atual
em nenhuma das redes conectadas. Não é possível criar recursos nesta sub-rede.
Essa sub-rede é usada apenas para o Private NAT.
Console
No Console do Google Cloud, acesse a página Redes VPC.
Para mostrar a página de detalhes da rede VPC, clique no nome dela.
Clique na guia Sub-redes.
Clique em Add subnet. Na caixa de diálogo Adicionar uma sub-rede, faça isto:
- Forneça um nome para a sub-rede.
- Selecione uma região.
- Em Finalidade, selecione Private NAT.
Insira um Intervalo de endereços IP, que é o intervalo IPv4 principal da sub-rede.
Se você selecionar um intervalo que não seja um endereço RFC 1918, confirme se não há incompatibilidade entre o intervalo e uma configuração existente. Para mais informações sobre intervalos de sub-rede IPv4 válidos, consulte Intervalos de sub-rede IPv4.
Clique em Adicionar.
gcloud
Use o comando compute networks subnet create
para criar a sub-rede.
gcloud compute networks subnets create NAT_SUBNET \ --network=NETWORK \ --region=REGION \ --range=IP_RANGE \ --purpose=PRIVATE_NAT
Substitua:
NAT_SUBNET
: o nome do intervalo de sub-rede do Private NAT a ser criado.NETWORK
: a rede à qual a sub-rede pertence.REGION
: a região da sub-rede a ser criada. Se não for especificado, talvez seja solicitado que você selecione uma região (apenas no modo interativo).IP_RANGE
: o espaço de IP alocado para essa sub-rede no formato CIDR. Verifique se IP_RANGE leva em conta o uso de duas vezes o tamanho das portas necessárias por VM.
Criar configurações do Private NAT
É possível configurar um gateway NAT particular para aceitar os seguintes Tipos de NAT particular:
- A NAT particular para spokes do Network Connectivity Center executa NAT no tráfego entre:
- Redes VPC configuradas como spokes VPC no mesmo hub do Network Connectivity Center. Para mais informações, consulte Criar um spoke VPC.
- redes VPC configuradas como spokes de VPC no mesmo hub do Network Connectivity Center e no e outras redes de provedores de nuvem conectadas ao hub spokes (Prévia). Para mais informações, consulte Sobre a conectividade entre spokes de VPC e spokes híbridos.
- NAT híbrida (prévia) executa NAT no tráfego entre redes VPC e redes no local ou outros de provedores de nuvem conectadas ao Google Cloud por o Cloud Interconnect ou o Cloud VPN.
Configurar o Private NAT
Criar um gateway NAT particular com uma regra NAT personalizada que execute NAT em tráfego entre a rede VPC e outras redes.
Console
No Console do Google Cloud, acesse a página do Cloud NAT.
Clique em Primeiros passos ou Criar gateway Cloud NAT.
Digite um nome de gateway.
Em Tipo de NAT, selecione Particular.
Selecione uma rede VPC para o gateway NAT.
Defina a região para o gateway NAT.
Selecione ou crie um Cloud Router na região.
Verifique se Instâncias de VM está selecionado como o tipo de endpoint de origem.
Na lista Origem, selecione Personalizado.
Selecione uma sub-rede em que você quer executar NAT.
Se você quiser especificar mais intervalos, clique em Adicionar sub-rede e intervalo de IP.
Clique em Adicionar uma regra.
No campo Número da regra, digite qualquer valor entre
1
e65000
.Em Correspondência, selecione uma das seguintes opções:
- Para o NAT privado para os raios do Network Connectivity Center, selecione Hub do Network Connectivity Center.
- Em Hybrid NAT (Pré-lançamento), selecione Rotas de conectividade híbrida.
Selecione ou crie um intervalo de sub-rede Private NAT.
Clique em Concluído e em Criar.
gcloud
Crie um Cloud Router na rede VPC para a qual você quer executar a NAT. Use o comando
compute routers create
.gcloud compute routers create ROUTER_NAME \ --network=NETWORK --region=REGION
Substitua:
ROUTER_NAME
: o nome do roteador a ser criado.NETWORK
: a rede VPC do roteador.REGION
: a região do roteador a ser criado. Se não for especificado, talvez seja solicitado que você selecione uma região (apenas no modo interativo).
Criar um gateway NAT particular especificando as sub-redes da VPC de origem em que você quer executar o NAT.
Use o comando
compute routers nats create
com a flag--type
definida comoPRIVATE
.gcloud compute routers nats create NAT_CONFIG \ --router=ROUTER_NAME --type=PRIVATE --region=REGION \ --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL ...] | \ [--nat-all-subnet-ip-ranges]
Substitua:
NAT_CONFIG
: o nome da configuração do Private NAT a ser criada.ROUTER_NAME
: o nome do roteador a ser usado com esse gateway. O roteador é o mesmo que você criou na etapa anterior. Garanta que nenhum outro recurso esteja associado a este roteador.SUBNETWORK
: o nome da sub-rede ou da lista de sub-redes que podem usar o gateway. Também é possível especificar uma lista de sub-redes formato separado por vírgulas, como SUBNETWORK_1, SUBNETWORK_2. O Google Cloud sempre executa NAT em todos os intervalos de IP da sub-rede ou lista de sub-redes especificada.
Crie uma regra para corresponder ao tráfego com base nos seus requisitos:
Para executar o NAT no tráfego que sai pela VPC de origem para qualquer rede VPC ou spokes híbridos anexados a uma Hub do Network Connectivity Center, crie uma regra NAT no gateway NAT particular. Com base na regra NAT, o gateway do Private NAT atribui endereços IP NAT da sub-rede do Private NAT para executar NAT no tráfego.
Use o comando
compute routers nats rules create
.gcloud beta compute routers nats rules create NAT_RULE_NUMBER \ --router=ROUTER_NAME --region=REGION \ --nat=NAT_CONFIG \ --match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/PROJECT_ID/locations/global/hubs/HUB"' \ --source-nat-active-ranges=NAT_SUBNET ...
Substitua:
NAT_RULE_NUMBER
: o número que identifica exclusivamente a regra a ser criada.NAT_CONFIG
: o nome da configuração do Private NAT da regra a ser criada. A configuração é a mesma que você criados na etapa anterior.PROJECT_ID
: o identificador global exclusivo do projeto em que o roteador está localizado.HUB
: o nome do hub correspondente do Network Connectivity Center.NAT_SUBNET
: o nome da sub-rede NAT particular que você criou anteriormente. Você também pode especificar uma lista de sub-redes em um formato separado por vírgulas.
Para executar NAT no tráfego de saída pela VPC de origem rede a uma rede no local ou de outro provedor de nuvem sobre as soluções de conectividade híbrida do Google Cloud (Pré-lançamento), criar uma regra NAT no gateway do Private NAT. Com base na regra NAT, o gateway NAT particular atribui endereços IP NAT da sub-rede NAT particular para executar a NAT no tráfego.
Use o comando
compute routers nats rules create
.gcloud beta compute routers nats rules create NAT_RULE_NUMBER \ --router=ROUTER_NAME --region=REGION \ --nat=NAT_CONFIG \ --match='nexthop.is_hybrid' \ --source-nat-active-ranges=NAT_SUBNET ...
Substitua:
NAT_RULE_NUMBER
: o número que identifica exclusivamente a regra a ser criada.NAT_CONFIG
: o nome da configuração do Private NAT da regra a ser criada. A configuração é a mesma que você criados na etapa anterior.NAT_SUBNET
: o nome da sub-rede NAT particular que você criou anteriormente. Você também pode especificar uma lista de sub-redes em um formato separado por vírgulas.
Configurar Private NAT com alocação de porta estática
O Private NAT usa a alocação de porta dinâmica por padrão. No entanto, é possível configurar o Private NAT para usar a alocação de porta estática.
Console
No Console do Google Cloud, acesse a página do Cloud NAT.
Clique em Primeiros passos ou Criar gateway Cloud NAT.
Digite um nome de gateway.
Em Tipo de NAT, selecione Particular.
Selecione uma rede VPC para o gateway NAT.
Defina a região para o gateway NAT.
Selecione ou crie um Cloud Router na região.
Especifique os detalhes de mapeamento do Cloud NAT e crie uma regra NAT. Para mais informações, consulte Configurar o Private NAT.
Clique em Configuração avançada.
Desmarque Ativar alocação de porta dinâmica.
Especifique o valor de Portas mínimas por instância de VM. O padrão é
64
.Clique em Concluído e em Criar.
gcloud
Use o comando compute routers nats create
com a flag --no-enable-dynamic-port-allocation
.
gcloud compute routers nats create NAT_CONFIG \ --router=ROUTER_NAME --type=PRIVATE --region=REGION \ --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,...] \ --no-enable-dynamic-port-allocation \ [--min-ports-per-vm=VALUE]
Substitua:
NAT_CONFIG
: o nome da configuração do Private NAT a ser criada.ROUTER_NAME
: o nome do roteador a ser usado com esse gateway.SUBNETWORK
: o nome da sub-rede ou da lista de sub-redes que podem usar o gateway.Também é possível especificar uma lista de sub-redes formato separado por vírgulas, como SUBNETWORK_1, SUBNETWORK_2. O Google Cloud sempre executa NAT em todos os intervalos de IP da sub-rede ou lista de sub-redes especificada.
VALUE
: as portas mínimas por VM a serem atribuídas pelo gateway. Se não for especificado, o Google Cloud atribuirá o valor padrão de64
.
Ver configuração NAT
Console
No Console do Google Cloud, acesse a página do Cloud NAT.
Para visualizar os detalhes do gateway NAT, informações de mapeamento ou detalhes de configuração, clique no nome do gateway NAT.
Para mostrar o status do NAT, consulte a coluna Status do seu gateway NAT.
gcloud
Para ver os detalhes da configuração do NAT, execute os seguintes comandos:
Ver a configuração do gateway do Private NAT.
gcloud compute routers nats describe NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION
Substitua:
NAT_CONFIG
: o nome da configuração NAT.ROUTER_NAME
: o nome do seu Cloud Router.REGION
: a região do NAT a ser descrito. Se não for especificado, talvez seja solicitado que você selecione uma região (apenas no modo interativo).
Veja o mapeamento de intervalos de IP:porta para cada interface de VM.
gcloud compute routers get-nat-mapping-info ROUTER_NAME \ --region=REGION
Veja o status do gateway do Private NAT.
gcloud compute routers get-status ROUTER_NAME \ --region=REGION
Atualizar configurações de Private NAT
Depois de configurar o gateway do Private NAT, atualize a configuração do gateway com base nos seus requisitos. As seções a seguir listam as tarefas que podem ser executadas para atualizar o gateway do Private NAT.
Alterar sub-redes associadas ao Private NAT
Console
No Console do Google Cloud, acesse a página do Cloud NAT.
Clique no seu gateway NAT.
Clique em
Editar.Em Mapeamento do Cloud NAT, na lista Origem, selecione Personalizado.
Selecione uma nova sub-rede na lista de sub-redes disponíveis.
Se você quiser especificar mais intervalos, clique em Adicionar sub-rede e intervalo de IP e selecione outra sub-rede.
Clique em Save.
gcloud
gcloud beta compute routers nats update NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --nat-custom-subnet-ip-ranges=SUBNETWORK:ALL|[SUBNETWORK_1:ALL,SUBNETWORK_2:ALL,..]
Substitua:
NAT_CONFIG
: o nome da configuração do Private NAT a ser atualizada.ROUTER_NAME
: o nome do roteador a ser usado com esse gateway.SUBNETWORK
: o nome da sub-rede a ser usada.
Excluir sub-redes associadas ao Private NAT
É possível remover sub-redes específicas do gateway NAT que não estão mais em uso.
Console
No Console do Google Cloud, acesse a página do Cloud NAT.
Clique no seu gateway NAT.
Clique em
Editar.Exclua a sub-rede que você quer remover do mapeamento NAT.
Clique em Salvar.
Adicionar sub-redes NAT à configuração Private NAT
Para executar NAT no tráfego, uma configuração do Private NAT
usa endereços IP NAT de uma sub-rede com a finalidade PRIVATE_NAT
.
Se a configuração do Private NAT exigir mais do que o
número de endereços IP NAT, será possível adicionar mais sub-redes com a finalidade PRIVATE_NAT
a
a configuração.
Console
No Console do Google Cloud, acesse a página do Cloud NAT.
Clique no seu gateway NAT.
Clique em
Editar.Expanda a regra existente.
Clique em Adicionar intervalos de sub-redes.
Selecione ou crie um novo intervalo de sub-rede NAT e clique em Concluído.
Clique em Salvar.
gcloud
gcloud beta compute routers nats rules update NAT_RULE_NUMBER \ --nat=NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION \ --source-nat-active-ranges=NAT_SUBNET_1, NAT_SUBNET_2 ...
Substitua:
NAT_RULE_NUMBER
: o número que identifica exclusivamente. a regra a ser atualizada.NAT_CONFIG
: o nome da configuração do Private NAT para que a regra seja atualizada.PROJECT_ID
: o identificador global exclusivo do projeto em que o roteador está localizado.NAT_SUBNET
: os nomes das sub-redes NAT particulares precisam ser adicionados à configuração do NAT atual.
Excluir configuração NAT
A exclusão de uma configuração de gateway remove a configuração NAT de um Cloud Router. Ela não exclui o roteador.
Console
No Console do Google Cloud, acesse a página do Cloud NAT.
Marque a caixa de seleção ao lado da configuração de gateway que você quer excluir.
No
Menu, clique em Excluir.
gcloud
gcloud compute routers nats delete NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGION
Substitua:
NAT_CONFIG
: o nome da configuração NAT.ROUTER_NAME
: o nome do seu Cloud Router.REGION
: a região do NAT a ser excluída. Se não for especificado, talvez seja solicitado que você selecione uma região (apenas no modo interativo).
A seguir
- Configure a geração de registros e o monitoramento do Cloud NAT.
- Solucione problemas comuns com configurações NAT.