Es posible que parte de la información de esta página (o toda) no se aplique a Trusted Cloud de S3NS.

Se usó la API de Cloud Translation para traducir esta página.

NAT pública

La NAT pública permite que tus instancias de máquina virtual (VM) de Compute Engine se comuniquen con Internet asignando un conjunto de direcciones IPv4 externas compartidas y puertos de origen a cada VM que usa la NAT pública para crear conexiones salientes a Internet.

Con NAT pública, las instancias de VM que no tienen direcciones IPv4 externas pueden comunicarse con destinos IPv4 en Internet. La NAT pública también permite que tus instancias de VM con direcciones IPv6 externas o internas se conecten a destinos IPv4 en Internet (versión preliminar).

Especificaciones

La NAT pública admite la traducción de direcciones de red (NAT) para lo siguiente:

De IPv4 a IPv4, o NAT44. Para obtener más información, consulta NAT44 en NAT pública.
De IPv6 a IPv4 o NAT64 (vista previa). NAT64 está disponible para las instancias de VM de Compute Engine. En el caso de los nodos de Google Kubernetes Engine (GKE), los extremos sin servidores y los grupos de extremos de red de Internet regionales, la NAT pública solo traduce direcciones IPv4. Para obtener más información, consulta NAT64 en NAT pública.

Especificaciones generales:

La NAT pública permite las conexiones salientes y las respuestas entrantes a esas conexiones. Cada puerta de enlace de Cloud NAT para NAT pública realiza NAT de origen en el tráfico de salida y NAT de destino para los paquetes de respuesta establecidos.
La NAT pública no permite solicitudes de entrada no solicitadas desde Internet, incluso si las reglas de firewall permitieran esas solicitudes. Para obtener más información, consulta RFC aplicables.
Cada puerta de enlace de Cloud NAT para NAT pública está asociada con una sola red de VPC, una región y un Cloud Router. La puerta de enlace de Cloud NAT y el Cloud Router proporcionan un plano de control, ya que no están involucrados en el plano de datos, por lo que los paquetes no pasan por la puerta de enlace de Cloud NAT o el Cloud Router.

Aunque un Cloud Router administra una puerta de enlace de Cloud NAT para NAT pública, esta no usa ni depende del Protocolo de Puerta de Enlace Fronteriza.
En el caso de NAT44, la NAT pública puede proporcionar NAT para los paquetes salientes enviados desde lo siguiente:
- La dirección IP interna principal de la interfaz de red de la VM, siempre y cuando la interfaz de red no tenga asignada una dirección IP externa: Si la interfaz de red tiene asignada una dirección IP externa, Trusted Cloud realiza automáticamente NAT uno a uno para los paquetes cuyas fuentes coinciden con la dirección IP interna principal de la interfaz, porque la interfaz de red cumple con los Trusted Cloud requisitos de acceso a Internet. La existencia de una dirección IP externa en una interfaz siempre tiene prioridad y siempre realiza NAT uno a uno, sin usar NAT pública.
- Un rango de alias de IP asignado a la interfaz de red de la VM: Incluso si la interfaz de red tiene asignada una dirección IP externa, puedes configurar una puerta de enlace de Cloud NAT para NAT pública y proporcionar NAT para paquetes cuyas fuentes provengan de un rango de alias de IP de la interfaz. Una dirección IP externa en una interfaz nunca realiza NAT uno a uno para alias de direcciones IP.
- Clústeres de GKE: La NAT pública puede proporcionar servicio incluso si el clúster tiene direcciones IP externas en ciertas circunstancias. Para obtener más información, consulta Interacción de GKE.
En el caso de NAT64 (vista previa), la NAT pública puede proporcionar NAT para los paquetes salientes enviados desde lo siguiente:
- Es el rango de direcciones /96 interno de la interfaz de red solo IPv6 de la VM.
- Es el rango de direcciones /96 externas de la interfaz de red solo IPv6 de la VM.

Rutas y reglas de firewall

NAT pública depende de las rutas estáticas locales cuyos próximos saltos son la puerta de enlace de Internet predeterminada. Por lo general, una ruta predeterminada cumple con este requisito. Para obtener más información, consulta interacciones entre rutas.

Las reglas de firewall del NGFW de Cloud se aplican directamente a las interfaces de red de las VMs de Compute Engine, no a las puertas de enlace de Cloud NAT para la NAT pública.

Cuando una puerta de enlace de Cloud NAT para NAT pública proporciona NAT para la interfaz de red de una VM, las reglas de firewall de salida aplicables se evalúan como paquetes para esa interfaz de red antes de la NAT. Las reglas de firewall de entrada se evalúan después de que la NAT haya procesado los paquetes. No es necesario que crees reglas de firewall específicamente para la NAT.

Sin embargo, si deseas habilitar NAT64 en una red de VPC que tiene una regla de firewall de denegación de salida para un destino IPv4, te recomendamos que crees una regla de firewall de denegación de salida adicional para la dirección IPv6 incorporada en IPv4 del destino. Esto garantiza que el tráfico de las VMs que usan NAT64 no pueda omitir la regla de firewall de IPv4. Por ejemplo, si el destino en tu regla de IPv4 es 1.2.3.4/32, el destino en la regla de IPv6 debe ser 64:ff9b:0102:0304/128. Para obtener más información sobre las direcciones IPv6 incorporadas en IPv4, consulta NAT64.

Aplicabilidad del rango de direcciones IP de la subred

La NAT pública puede proporcionar NAT para rangos de subred IPv4, rangos de subred IPv6 o ambos:

Para los rangos de subredes IPv4, puedes usar las siguientes opciones para configurar la NAT para los rangos de direcciones IP principales, los rangos de alias de IP o ambos:
- Rangos de direcciones IPv4 principales y secundarios de todas las subredes de la región: Una única puerta de enlace de Cloud NAT proporciona NAT para las direcciones IP internas principales y todos los rangos de alias de IP de las VMs aptas cuyas interfaces de red usan una subred IPv4 en la región.
- Rangos de direcciones IPv4 principales de todas las subredes de la región: Una única puerta de enlace NAT de Cloud proporciona NAT para las direcciones IP internas principales y los rangos de alias de IP de los rangos de direcciones IP principales de subred de las VM aptas cuyas interfaces de red usan una subred IPv4 en la región. Puedes crear puertas de enlace de Cloud NAT adicionales para NAT pública en la región para proporcionar NAT para los rangos de alias de IP de los rangos de direcciones IP secundarios de subred de las VMs aptas.
- Lista de subredes personalizadas: Una única puerta de enlace de Cloud NAT proporciona NAT para las direcciones IP internas principales y todos los rangos de alias de IP de las VMs aptas cuyas interfaces de red usan una subred de una lista de subredes especificadas.
- Rangos de direcciones IPv4 de subred personalizados: Puedes crear todas las puertas de enlace de Cloud NAT para NAT pública que sean necesarias, sujetas a límites y cuotas de NAT pública. Tú eliges qué rangos de direcciones IP principales o secundarios de la subred se deben entregar por cada puerta de enlace.
Para los rangos de subred IPv6, puedes usar las siguientes opciones para configurar NAT para rangos de direcciones IP internas, rangos de direcciones IP externas o ambos:
- Rangos de direcciones IPv6 internas y externas de todas las subredes de la región: Una única puerta de enlace de Cloud NAT proporciona NAT para todos los rangos de direcciones IP internas y externas de la región.
- Lista de subredes personalizadas: Una única puerta de enlace de Cloud NAT proporciona NAT para los rangos de direcciones IP internas y externas de las VMs aptas cuyas interfaces de red usan una subred de una lista de subredes especificadas.

Varias puertas de enlace de Cloud NAT

Puedes tener varias puertas de enlace de Cloud NAT para NAT pública en la misma región de una red de VPC si se cumple una de las siguientes condiciones:

Cada puerta de enlace está configurada para una subred diferente.
Dentro de una sola subred, cada puerta de enlace está configurada para un rango de direcciones IP diferente. Puedes asignar una puerta de enlace de Cloud NAT para NAT pública a una subred o un rango de direcciones IP específicos con una asignación personalizada de Cloud NAT.

Siempre que no se superpongan las puertas de enlace NAT asignadas, puedes crear tantas puertas de enlace de Cloud NAT para NAT pública como sea necesario, sujetas a los límites y las cuotas de NAT pública. Para obtener más información, consulta Limitaciones de las puertas de enlace de Cloud NAT.

Ancho de banda

El uso de una puerta de enlace de Cloud NAT para la NAT pública no modifica la cantidad de ancho de banda de salida o de entrada que puede usar una VM. Para conocer las especificaciones de ancho de banda, que varían según el tipo de máquina, consulta Ancho de banda de red en la documentación de Compute Engine.

VM con interfaces de red múltiples

Si configuras una VM para que tenga varias interfaces de red, cada interfaz debe estar en una red de VPC independiente. En consecuencia, se cumple lo siguiente:

Una puerta de enlace de Cloud NAT para NAT pública solo se puede aplicar a una sola interfaz de red de una VM. Las puertas de enlace independientes de Cloud NAT para NAT pública pueden proporcionar NAT a la misma VM, donde cada puerta de enlace se aplica a una interfaz independiente.
Una interfaz de una VM con varias interfaces de red puede tener una dirección IPv4 externa, lo que la hace no apta para la NAT pública, mientras que otra de sus interfaces puede ser apta para la NAT si no tiene una dirección IPv4 externa y configuraste una puerta de enlace de Cloud NAT para que la NAT pública se aplique al rango de direcciones IP de subred adecuado. En el caso de IPv6, se admiten direcciones IPv6 internas y externas.

Direcciones IP y puertos NAT

Cuando creas una puerta de enlace de Cloud NAT para NAT pública, puedes elegir que la puerta de enlace asigne direcciones IP externas regionales automáticamente. Como alternativa, puedes asignar de forma manual una cantidad fija de direcciones IP externas regionales a la puerta de enlace.

En el caso de una puerta de enlace de Cloud NAT para NAT pública con asignación automática de direcciones IP de NAT, ten en cuenta lo siguiente:

Puedes seleccionar los Niveles de servicio de red (nivel Premium o Estándar) desde los que la puerta de enlace de Cloud NAT asigna las direcciones IP.
Cuando cambias el nivel de una puerta de enlace de Cloud NAT para NAT pública que tiene direcciones IP de NAT asignadas automáticamente, Trusted Cloud se liberan todas las direcciones IP asignadas para esa puerta de enlace y se retiran todas las asignaciones de puertos.

Nota: Cambiar el nivel de red de las direcciones IP asignadas automáticamente para una puerta de enlace de Cloud NAT para NAT pública cierra de inmediato todas las conexiones existentes en las direcciones IP asignadas anteriormente.

Se asigna automáticamente un nuevo conjunto de direcciones IP del nivel seleccionado recientemente y se proporcionan nuevas asignaciones de puertos a todos los extremos.

En el caso de una puerta de enlace de Cloud NAT determinada para NAT pública, también puedes asignar direcciones IP de forma manual desde el nivel Premium, el nivel Estándar o ambos, sujetas a ciertas condiciones.

Para obtener detalles sobre la asignación de direcciones IP de NAT, consulta Direcciones IP de NAT públicas.

Puedes configurar la cantidad de puertos de origen que cada puerta de enlace de Cloud NAT para NAT pública reserva en cada VM para la que debe proporcionar servicios de NAT. Puedes configurar la asignación de puertos estáticos, en la que la misma cantidad de puertos se reserva para cada VM, o la asignación de puertos dinámicos, en la que la cantidad de puertos reservados puede variar entre los límites mínimos y máximos que especifiques.

Las VMs para las que se debe proporcionar NAT están determinadas por los rangos de direcciones IP de la subred que la puerta de enlace está configurada para entregar.

Para obtener más información sobre los puertos, consulta Puertos.

RFC aplicables

La NAT pública admite el mapeo independiente de extremos y el filtrado dependiente de extremos, según se define en el RFC 5128. Puedes habilitar o inhabilitar el mapeo independiente de extremos. De forma predeterminada, la asignación independiente de extremos está inhabilitado cuando creas una puerta de enlace NAT.

Mapeo independiente de extremos significa que, si una VM envía paquetes desde una dirección IP interna y un par de puertos a varios destinos, la puerta de enlace realizará un mapeo de todos esos paquetes a la misma dirección IP de NAT y par de puertos, independientemente del destino de los paquetes. Para conocer los detalles y los efectos del mapeo independiente de extremos, consulta Mapeo independiente de extremos y reutilización de puertos simultáneos.

Filtro dependiente del extremo significa que los paquetes de respuesta de Internet solo pueden ingresar si provienen de una dirección IP y un puerto al que una VM ya envió paquetes. El filtro depende del extremo, independientemente del tipo de mapeo de extremos. Esta función está habilitada siempre y el usuario no puede configurarla.

Para obtener más información sobre la relación entre puertos y conexiones, consulta Puertos y conexiones y el ejemplo de flujo de NAT.

La NAT pública es una NAT de cono con restricción de puerto, como se define en RFC 3489.

Recorrido de NAT

Si el mapeo independiente de extremos está habilitado, la NAT pública será compatible con los protocolos transversales NAT comunes, como STUN y TURN, si implementas tus propios servidores STUN o TURN:

STUN (Session Transversal Utilities for NAT, RFC 5389) permite la comunicación directa entre VM detrás de NAT una vez que se establece un canal de comunicación.
TURN (Recorrido mediante relés en torno a NAT, RFC 5766) permite la comunicación entre VM detrás de NAT a través de un tercer servidor en el que ese servidor tiene una dirección IP externa. Cada VM se conecta a la dirección IP externa del servidor y ese servidor retransmite la comunicación entre las dos VM. TURN es más robusto, pero consume más ancho de banda y recursos.

Tiempo de espera de NAT

La NAT pública establece tiempos de espera para las conexiones de protocolo. Para obtener información sobre estos tiempos de espera y sus valores predeterminados, consulta Tiempos de espera de NAT.

NAT44 en NAT pública

En el siguiente diagrama, se muestra una configuración básica de NAT pública para el tráfico IPv4:

Ejemplo de traducción de IPv4 de NAT pública. — Ejemplo de traducción de NAT pública (haz clic para ampliar).

En este ejemplo:

La puerta de enlace nat-gw-us-east está configurada para aplicarse al rango de direcciones IP principal de subnet-1 en la región us-east1. Una VM cuya interfaz de red no tiene una dirección IP externa puede enviar tráfico a Internet con su dirección IP interna principal o un rango de alias de IP del rango de direcciones IP principal de subnet-1, 10.240.0.0/16.
Una VM cuya interfaz de red no tiene una dirección IP externa y cuya dirección IP interna principal se encuentra en subnet-2 no puede acceder a Internet, porque ninguna puerta de enlace de Cloud NAT se aplica a rangos de direcciones IP de esa subred.
La puerta de enlace nat-gw-eu está configurada para aplicarse al rango de direcciones IP principal de subnet-3 en la región europe-west1. Una VM cuya interfaz de red no tiene una dirección IP externa puede enviar tráfico a Internet con su dirección IP interna principal o un rango de alias de IP del rango de direcciones IP principal de subnet-3, 192.168.1.0/24.

Ejemplo de flujo de trabajo

En el diagrama anterior, una VM con la dirección IP interna principal 10.240.0.4, sin dirección IP externa, debe descargar una actualización desde la dirección IP externa 203.0.113.1. En el diagrama, la puerta de enlace nat-gw-us-east se configura de la siguiente manera:

Cantidad mínima de puertos por instancia: 64
Se asignaron de forma manual dos direcciones IP de NAT: 192.0.2.50 y 192.0.2.60
Se proporcionó NAT para el rango de direcciones IP principal de subnet-1

La NAT pública sigue el procedimiento de reserva de puertos para reservar la siguiente dirección IP de origen de NAT y las tuplas de puerto de origen para cada una de las VMs en la red. Por ejemplo, la puerta de enlace de Cloud NAT para NAT pública reserva 64 puertos de origen para la VM con la dirección IP interna 10.240.0.4. La dirección IP de NAT 192.0.2.50 tiene 64 puertos sin reservar, por lo que la puerta de enlace reserva el siguiente conjunto de 64 direcciones IP de origen de NAT y de tuplas de puerto de origen para esa VM:

192.0.2.50:34000 a 192.0.2.50:34063

Sucede lo siguiente cuando la VM envía un paquete al servidor de actualización 203.0.113.1 en el puerto de destino 80 con el protocolo TCP:

La VM envía un paquete de solicitud con estos atributos:
- Dirección IP de origen: 10.240.0.4, la dirección IP interna principal de la VM
- Puerto de origen: 24000, el puerto de origen efímero que elige el sistema operativo de la VM
- Dirección de destino: 203.0.113.1, la dirección IP externa del servidor de actualización
- Puerto de destino: 80, el puerto de destino para el tráfico HTTP al servidor de actualización
- Protocolo: TCP
La puerta de enlace nat-gw-us-east realiza la traducción de direcciones de red de origen (SNAT) en la salida y vuelve a escribir la dirección IP de origen de NAT y el puerto de origen del paquete de solicitud. El paquete modificado se envía a Internet si la red de nube privada virtual (VPC) tiene una ruta para el destino 203.0.113.1 cuyo siguiente salto es la puerta de enlace de Internet predeterminada. Por lo general, una ruta predeterminada cumple con este requisito.
- Dirección IP de origen de NAT: 192.0.2.50, de una de las direcciones IP de origen de NAT y las tuplas de puerto de origen reservadas de la VM
- Puerto de origen: 34022, un puerto de origen no utilizado de una de las tuplas de puertos de origen reservadas de la VM
- Dirección de destino: 203.0.113.1, sin cambios
- Puerto de destino: 80, sin cambios
- Protocolo: TCP, sin cambios
Cuando el servidor de actualización envía un paquete de respuesta, ese paquete llega a la puerta de enlace nat-gw-us-east con estos atributos:
- Dirección IP de origen: 203.0.113.1, la dirección IP externa del servidor de actualización
- Puerto de origen: 80, la respuesta HTTP del servidor de actualización
- Dirección de destino: 192.0.2.50, que coincide con la dirección IP de origen de NAT original del paquete de la solicitud
- Puerto de destino: 34022, que coincide con el puerto de origen del paquete de solicitud
- Protocolo: TCP, sin cambios
La puerta de enlace nat-gw-us-east realiza la traducción de direcciones de red de destino (DNAT) en el paquete de respuesta y reescribe la dirección de destino y el puerto de destino del paquete de respuesta para que el paquete se entregue a la VM:
- Dirección IP de origen: 203.0.113.1, sin cambios
- Puerto de origen: 80, sin cambios
- Dirección de destino: 10.240.0.4, la dirección IP interna principal de la VM
- Puerto de destino: 24000, que coincide con el puerto de origen efímero original del paquete de solicitud
- Protocolo: TCP, sin cambios

NAT64 en NAT pública

NAT64 permite que las instancias de VM con interfaces de red solo IPv6 se comuniquen con destinos IPv4 en Internet. NAT pública admite NAT64 para direcciones IPv6 externas e internas. Si quieres configurar NAT64, también debes configurar DNS64.

Configurar DNS64 en Cloud DNS habilita el siguiente comportamiento:

Cuando una instancia de VM solo IPv6 inicia una solicitud para resolver el nombre de un destino de Internet que solo tiene una dirección IPv4, el servidor DNS64 busca registros A.
Si se encuentra un registro A, el servidor DNS64 sintetiza una dirección IPv6 integrada en IPv4 anteponiendo el prefijo 64:ff9b::/96 a la dirección IPv4 de destino obtenida del registro A. Por ejemplo, si la dirección IPv4 de destino es 203.0.113.1, el servidor devuelve 64:ff9b::cb00:7101, donde cb00:7101 es la representación hexadecimal de 203.0.113.1.

Para obtener más información, consulta DNS64.

Cuando la solicitud llega a la puerta de enlace de Cloud NAT con NAT64 habilitado, la puerta de enlace realiza la SNAT de la siguiente manera:

Reemplaza la dirección y el puerto IPv6 de origen por una de las direcciones y los puertos IPv4 externos que se asignan a la puerta de enlace.
Traduce la dirección IPv6 de destino sintetizada, por ejemplo, 64:ff9b::cb00:7101, a la dirección IPv4 original usando los últimos 32 bits de la dirección sintetizada.

La puerta de enlace de Cloud NAT también usa los últimos 32 bits de la dirección IPv6 sintetizada para determinar cómo se enruta el paquete de solicitud a Internet. Cuando una instancia de VM solo IPv6 envía un paquete a un destino con el prefijo 64:ff9b::/96, la puerta de enlace aplica la tabla de enrutamiento IPv4 de la red de VPC a la dirección IPv4 de destino. Si la tabla de enrutamiento de IPv4 tiene una ruta para la dirección IPv4 de destino cuyo siguiente salto es la puerta de enlace de Internet predeterminada, el paquete modificado se envía a Internet.

Cuando se recibe la respuesta, la puerta de enlace de Cloud NAT realiza la DNAT de la siguiente manera:

Antepone el prefijo 64:ff9b::/96 a la dirección IP de origen del paquete de respuesta.
Reescribe la dirección de destino y el puerto de destino del paquete de respuesta para que el paquete se entregue a la VM.

Antes de configurar NAT64, revisa las rutas y las reglas de firewall.

¿Qué sigue?

Obtén más información sobre las interacciones del producto Cloud NAT.
Obtén más información sobre los puertos y las direcciones de Cloud NAT.
Obtén información sobre las reglas de Cloud NAT.
Configura la NAT pública.