Algumas ou todas as informações nesta página podem não se aplicar à nuvem confiável da S3NS.

Esta página foi traduzida pela API Cloud Translation.

Configurar e gerenciar a conversão de endereços de rede com o Public NAT

Nesta página, descrevemos como configurar e gerenciar a conversão de endereços de rede (NAT) usando o Public NAT. Antes de configurar o Public NAT, consulte a visão geral do Public NAT.

Limitações

Se você mudar o nível de rede dos endereços IP alocados automaticamente para um gateway do Cloud NAT, todas as conexões nos endereços IP alocados anteriormente serão encerradas imediatamente.
Se você usar a alocação manual de endereços IP NAT e mudar os endereços IP usados para o Cloud NAT, todas as conexões nos endereços IP alocados anteriormente serão encerradas imediatamente. Para evitar isso, consulte Drenar endereços IP externo associados ao NAT.
Se você configurar um gateway do Cloud NAT com alocação de porta estática e reduzir o número mínimo de portas por instância de máquina virtual (VM), as conexões NAT estabelecidas poderão ser interrompidas. Para mais informações, consulte Como reduzir portas por VM.
Se você configurar um gateway do Cloud NAT com alocação de porta dinâmica e fizer outras mudanças de configuração, as conexões NAT estabelecidas poderão ser interrompidas. Quando a configuração muda, o número de portas alocadas para cada VM pode ser temporariamente redefinido para o número mínimo configurado. Para mais informações, consulte Reduzir portas por VM.
Se você configurar um gateway do Cloud NAT com alocação de porta dinâmica e desativar a alocação de porta dinâmica, todas as conexões de VM que usam o gateway de NAT serão fechadas. Para mais informações, consulte Mudar o método de alocação de portas.
Se o mapeamento independente de endpoint estiver ativado, não será possível configurar a alocação de porta dinâmica ou as regras NAT.
O Cloud NAT não é compatível com fragmentos de IP.
Uma configuração do Cloud NAT está vinculada a uma rede de nuvem privada virtual (VPC). Portanto, a configuração se aplica a todos os recursos que pertencem às sub-redes dessa rede. Não é possível escolher VMs específicas para serem atendidas por um gateway do Cloud NAT.
A tradução de IPv6 para IPv4 (Visualização) está disponível apenas para instâncias de VM do Compute Engine, para as seguintes séries de máquinas:
- Todas as séries de segunda geração ou anteriores
- Série M3
Para mais informações, consulte Terminologia do Compute Engine.

Para nós do Google Kubernetes Engine (GKE), endpoints sem servidor e grupos de endpoints de rede (NEGs) regionais da Internet, o Public NAT traduz apenas endereços IPv4. Para mais informações sobre quais serviços no Trusted Cloud incluem suporte somente a IPv6, consulte Suporte a IPv6 no Trusted Cloud.

Antes de começar

Conclua as tarefas a seguir antes de configurar o Public NAT.

Acessar permissões do IAM

O papel Administrador de rede do Compute (roles/compute.networkAdmin) inclui as permissões necessárias para configurar o NAT público.

Preparar o ambiente

Dependendo de você querer usar o console Trusted Cloud ou a CLI gcloud para configurar o NAT público, configure os seguintes recursos em Trusted Cloud.

Console

In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Verify that billing is enabled for your Trusted Cloud project.
Enable the Compute Engine API.
Enable the API

gcloud

In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Verify that billing is enabled for your Trusted Cloud project.
Enable the Compute Engine API.
Enable the API

Install the Google Cloud CLI.
Configure a CLI gcloud para usar sua identidade federada.

Para mais informações, consulte Fazer login na gcloud CLI com sua identidade federada.
Para inicializar a CLI gcloud, execute o seguinte comando:
```
gcloud init
```

Configurar o DNS64

Se você quiser usar a tradução de IPv6 para IPv4 ou NAT64, configure o DNS64. Para configurar o DNS64 no Cloud DNS, siga as instruções em Configurar o DNS64.

Pule esta etapa se quiser usar o Cloud NAT apenas para tráfego IPv4.

Configurar o Public NAT

Para configurar o Public NAT, crie um gateway do Cloud NAT na rede VPC de origem. Cada gateway está associado a uma única rede VPC, região e Cloud Router. O Cloud NAT usa o Cloud Router apenas para agrupar informações de configuração do NAT e não direciona o Cloud Router para usar o Border Gateway Protocol ou adicionar rotas. O tráfego NAT não passa pelo Cloud Router.

Ao criar um gateway do Cloud NAT, é possível configurar as seguintes opções.

Configuração	Opções compatíveis	Descrição
Tipo de endpoint de origem	Instâncias de VM, nós do GKE, sem servidor Balanceadores de carga de proxy gerenciados	Por padrão, o NAT público fornece serviços NAT para instâncias de VM, nós do GKE e endpoints sem servidor. Para criar um gateway do Cloud NAT para esses recursos, conclua as etapas na seção a seguir. Para criar um gateway do Cloud NAT para um NEG regional da Internet, consulte "Configurar um gateway do Cloud NAT" para o seguinte: Balanceador de carga de aplicativo externo regional Balanceador de carga de aplicativo interno regional Balanceador de carga de rede de proxy externo regional Balanceador de carga de rede de proxy interno regional Para uma lista completa de recursos do Trusted Cloud compatíveis com o Cloud NAT, consulte Visão geral do Cloud NAT.
Versão do IP de origem	Intervalos de sub-rede IPv4 Intervalos de sub-rede IPv6 Intervalos de sub-rede IPv4 e IPv6	O NAT público oferece suporte à tradução de IPv4 para IPv4 e de IPv6 para IPv4. Se você quiser configurar o NAT64 (prévia), também será necessário configurar o DNS64. Se você configurar intervalos de sub-rede IPv4, as instâncias de VM somente IPv4 e de pilha dupla (usando os endereços IPv4) em sub-redes somente IPv4 e de pilha dupla poderão se comunicar com destinos IPv4 na Internet. Se você configurar intervalos de sub-rede IPv6 (Visualização), as instâncias de VM somente IPv6 em sub-redes somente IPv6 e de pilha dupla poderão se comunicar com destinos IPv4 na Internet. Se você configurar intervalos de sub-rede IPv4 e IPv6 (Pré-lançamento), o seguinte será válido: As instâncias de VM somente IPv4 e as de pilha dupla (usando os endereços IPv4) podem se comunicar com destinos IPv4 na Internet. As instâncias de VM de pilha dupla não podem usar os endereços IPv6 para se comunicar com destinos IPv4 na Internet. As instâncias de VM somente IPv6 podem se comunicar com destinos IPv4 na Internet.
Sub-redes de origem	Para o tráfego IPv4: Intervalos principais e secundários de todas as sub-redes Intervalos principais de todas as sub-redes Personalizado Para o tráfego IPv6: Todas as sub-redes Personalizado	A NAT pública é compatível com os seguintes intervalos de sub-rede na região para a rede VPC especificada: Para tráfego IPv4: intervalos primários e secundários. É possível restringir quais sub-redes e intervalos de sub-redes podem usar NAT. Para tráfego IPv6: intervalos internos e externos. É possível restringir quais sub-redes podem usar NAT.
Alocação de endereço IP	Automático (recomendado) Manual	Por padrão, o Public NAT usa a alocação automática de endereços IP NAT. Essa configuração aloca automaticamente os endereços IP externo necessários para fornecer serviços NAT a uma região. As instâncias de VM sem endereços IP externo em qualquer sub-rede da região recebem acesso à Internet por NAT. Quando você usa a alocação automática de endereços IP de NAT, Trusted Cloud reserva endereços IP no seu projeto. Esses endereços são contabilizados em suas cotas de endereços IPv4 externos regionais em uso no projeto. É possível alocar endereços IP NAT manualmente para um gateway do Cloud NAT. Esses endereços são contabilizados nas seguintes cotas: Endereços IPv4 externos regionais estáticos Endereços IPv4 externos regionais em uso Se você escolher a alocação manual, aloque endereços IP suficientes para evitar pacotes descartados. Para mais informações, consulte Endereços IP NAT públicos.
Nível da rede	Premium Padrão	Com o Public NAT, é possível especificar os Níveis de serviço de rede em que o gateway do Cloud NAT aloca endereços IP externo. Por padrão, o nível de rede é definido como o nível atual do projeto. Ao criar um gateway do Cloud NAT com alocação automática de endereço IP NAT, é possível atribuir endereços IP NAT do nível Premium ou Standard. Ao criar um gateway do Cloud NAT com alocação manual de endereços IP NAT, é possível atribuir manualmente endereços IP NAT do nível Premium, Standard ou ambos, sujeitos a determinadas condições.
Configurações avançadas	Alocação de porta dinâmica Mapeamento independente de endpoint Logging Tempo limite de NAT	Por padrão, o Public NAT usa a alocação de porta estática, o que significa que cada VM recebe o mesmo número de portas. É possível configurar a alocação dinâmica de portas com a alocação automática ou manual de endereços IP NAT. O uso da alocação de portas dinâmicas permite que o gateway do Cloud NAT aloque diferentes números de portas para cada VM com base no uso. Não é possível ativar o mapeamento independente de endpoint se o gateway do Cloud NAT usar regras NAT ou alocação dinâmica de portas. O Logging está desativado por padrão. Para informações sobre tempos limite de NAT e valores padrão, consulte Tempos limite de NAT.

Criar um gateway do Cloud NAT

Console

No console Trusted Cloud , acesse a página do Cloud NAT.

Acesse o Cloud NAT
Clique em Começar para o primeiro gateway do Cloud NAT ou Criar gateway do Cloud NAT para gateways subsequentes.
No campo Nome do gateway, insira um nome para o gateway.
Em Tipo de NAT, selecione Public.
Na seção Selecionar o Cloud Router, configure o seguinte:
1. No campo Rede, selecione a rede VPC em que você quer criar o gateway.
2. No campo Região, defina a região para o gateway.
3. No campo Cloud Router, selecione ou crie um Cloud Router na região.
Na seção Mapeamento do Cloud NAT, em Tipo de endpoint de origem, verifique se a opção Instâncias de VM, nós do GKE, sem servidor está selecionada.
No campo Versão IP de origem, selecione a versão IP de origem e configure os intervalos de sub-rede de origem que você quer usar com o Cloud NAT.

Observação: selecione e configure intervalos de sub-rede IPv6 apenas se você estiver configurando o NAT64 para instâncias de VM do Compute Engine. Para nós do GKE, endpoints sem servidor e NEGs regionais da Internet, o NAT público traduz apenas endereços IPv4.
- Para intervalos de sub-rede IPv4, no campo Sub-redes de origem, selecione uma das seguintes opções:
  - Para usar o Cloud NAT em intervalos de IP primários e secundários de todas as sub-redes na região, selecione Intervalos de IP primários e secundários para todas as sub-redes.
  - Para usar o Cloud NAT apenas para intervalos de IP principais, selecione Intervalos de IP principais para todas as sub-redes.
  - Para restringir quais intervalos de IP de sub-rede podem usar o Cloud NAT, selecione Personalizado e faça o seguinte:
    1. Na seção Sub-redes, selecione uma sub-rede.
    2. Na lista Intervalos de IP, selecione os intervalos de IP da sub-rede a serem incluídos e clique em OK.
    3. Opcional: se você quiser especificar mais intervalos, clique em Adicionar sub-rede e intervalo de IP e adicione outra sub-rede.
- Para intervalos de sub-rede IPv6, no campo Sub-redes de origem, selecione uma das seguintes opções:
  - Para usar o Cloud NAT em intervalos de IP internos e externos para todas as sub-redes da região, selecione Todas as sub-redes.
  - Para restringir quais sub-redes podem usar o Cloud NAT, selecione Personalizado e faça o seguinte:
    1. Na seção Sub-redes, selecione uma sub-rede.
    2. Opcional: se você quiser especificar mais sub-redes, clique em Adicionar sub-rede e adicione outra sub-rede.
Configure o tipo de alocação de endereço IP NAT e o nível de rede selecionando uma das seguintes opções:
- Para usar a alocação automática de endereços IP NAT, faça o seguinte:
  1. Na lista Endereços IP do Cloud NAT, selecione Automático (recomendado).
  2. Em Nível de serviço de rede, escolha Premium ou Standard.
- Para usar a alocação manual de endereços IP NAT, faça o seguinte:
  1. Na lista Endereços IP do Cloud NAT, selecione Manual.
  2. Em Nível de serviço de rede, escolha Premium ou Standard.
  3. Selecione ou crie um endereço IP externo estático reservado para usar para NAT.
  4. Opcional: se quiser especificar mais endereços IP, clique em Adicionar endereço IP e selecione ou crie um endereço IP externo estático reservado adicional.
  5. Opcional: se você quiser criar regras de NAT personalizadas, configure a seção Regras do Cloud NAT. Para instruções, consulte Criar regras de NAT.
Opcional: ajuste qualquer uma das seguintes configurações na seção Configurações avançadas:
- Se a geração de registros será configurada. Por padrão, a opção Nenhum registro é selecionada.
- Se a forma como o Cloud NAT aloca portas precisa ser alterada. Por padrão, a opção Ativar alocação de porta dinâmica fica desmarcada. Para a alocação de porta estática, o campo Mínimo de portas por instância de VM é definido como 64.
  - Para atualizar o número mínimo de portas por instância de VM para alocação estática de portas, especifique um valor no campo Portas mínimas por instância de VM. Esse valor pode ser definido de 2 a 57344.
  - Para configurar a alocação de porta dinâmica, selecione Ativar a alocação de porta dinâmica e escolha um valor para o campo Mínimo de portas por instância de VM (o padrão é 32) e o campo Máximo de portas por instância de VM (o padrão é 65536).
- Se os tempos limite de NAT para conexões de protocolo serão atualizados. Para informações sobre esses tempos limite e os valores padrão deles, consulte Tempos limite de NAT.
Clique em Criar.

gcloud

Para criar um gateway do Cloud NAT, use o comando gcloud compute routers nats create. É possível criar um gateway do Cloud NAT com todas as opções de configuração definidas como valores padrão ou personalizar a configuração do gateway.

Criar um gateway do Cloud NAT com configurações padrão
Personalizar as configurações de um gateway do Cloud NAT

Criar um gateway do Cloud NAT com configurações padrão

Crie um Cloud Router na região em que você quer usar o gateway do Cloud NAT. Você precisa desse Cloud Router para criar o gateway do Cloud NAT.
Crie o gateway do Cloud NAT executando um dos seguintes comandos, dependendo da versão IP dos intervalos de sub-rede de origem para os quais você está configurando o NAT.

Observação: configure o NAT para intervalos de sub-rede IPv6 somente se você estiver configurando o NAT64 para instâncias de VM do Compute Engine. Para nós do GKE, endpoints sem servidor e NEGs regionais da Internet, o NAT público traduz apenas endereços IPv4.
- Configure o Cloud NAT para intervalos de sub-rede IPv4:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips
```
  Essa configuração ativa o NAT para todos os intervalos de sub-rede IPv4 em sub-redes somente IPv4 e de pilha dupla na região.
- Configure o Cloud NAT para intervalos de sub-rede IPv6 (pré-lançamento):
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips
```
  Essa configuração ativa o NAT para todos os intervalos de sub-rede IPv6 em sub-redes somente IPv6 e de pilha dupla na região.
- Configure o Cloud NAT para intervalos de sub-rede IPv4 e IPv6 (prévia):
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips
```
  Essa configuração ativa o NAT para todos os intervalos de sub-rede IPv4 e IPv6 em sub-redes somente IPv4, de pilha dupla e somente IPv6 na região.
Substitua:
- NAT_CONFIG: um nome para sua configuração de NAT
- NAT_ROUTER: o nome do Cloud Router que você criou na etapa anterior.
- REGION: a região em que você quer usar o gateway do Cloud NAT

Personalizar as configurações de configuração de um gateway do Cloud NAT

Ao criar um gateway do Cloud NAT, é possível personalizar a configuração padrão. Para conferir uma lista completa de flags que podem ser usadas, consulte o comando gcloud compute routers nats create.

Crie um gateway do Cloud NAT para intervalos de sub-rede IPv6 somente se você estiver configurando o NAT64 para instâncias de VM do Compute Engine. Para nós do GKE, endpoints sem servidor e NEGs regionais da Internet, o NAT público traduz apenas endereços IPv4.

Crie um gateway do Cloud NAT:

Crie um Cloud Router na região em que você quer usar o gateway do Cloud NAT. Você precisa desse Cloud Router para criar o gateway do Cloud NAT.
Crie o gateway do Cloud NAT, especificando cada parâmetro que você quer personalizar.

Os exemplos a seguir mostram como personalizar as sub-redes de origem, o tipo de alocação de endereço IP NAT, o nível de rede e o tipo de alocação de porta.

O comando executado em cada um desses exemplos depende da versão do IP dos intervalos de sub-rede de origem para os quais você está configurando o NAT.
- Restrinja quais sub-redes de origem podem usar NAT. Para criar um gateway do Cloud NAT que restrinja quais sub-redes e intervalos de sub-redes podem usar NAT, execute um dos seguintes comandos:
  - Restrinja quais intervalos de sub-rede IPv4 podem usar NAT:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --auto-allocate-nat-external-ips
```
  - Restringir quais intervalos de sub-rede IPv6 podem usar NAT (prévia):
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES \
    --auto-allocate-nat-external-ips
```
  - Restrinja os intervalos de sub-rede IPv4 e IPv6 (prévia):
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES \
    --auto-allocate-nat-external-ips
```
  Substitua:
  - NAT_CONFIG: um nome para sua configuração de NAT
  - NAT_ROUTER: o nome do Cloud Router que você criou na etapa anterior
  - REGION: a região em que você quer usar o gateway do Cloud NAT
  - IPV4_SUBNET_RANGES: uma lista separada por vírgulas de nomes de sub-rede, por exemplo:
    - SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL: inclui os intervalos principal e secundários das sub-redes SUBNET_NAME_1 e SUBNET_NAME_2.
    - SUBNET_NAME_1,SUBNET_NAME_2: inclui apenas os intervalos principais das sub-redes SUBNET_NAME_1 e SUBNET_NAME_2.
    - SUBNET_NAME:SECONDARY_RANGE_NAME: inclui o intervalo secundário especificado da sub-rede SUBNET_NAME e não inclui o intervalo principal.
    - SUBNET_NAME_1,SUBNET_NAME_2:SECONDARY_RANGE_NAME: inclui o intervalo principal da sub-rede SUBNET_NAME_1 e o intervalo secundário especificado da sub-rede SUBNET_NAME_2.
  - IPV6_SUBNET_RANGES: uma lista separada por vírgulas de nomes de sub-redes, por exemplo, SUBNET_NAME_1,SUBNET_NAME_2
- Configure a alocação manual de endereços IP NAT. Para criar um gateway do Cloud NAT com alocação manual de endereços IP NAT, execute um dos seguintes comandos:
  - Para intervalos de sub-rede IPv4:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2
```
  - Para intervalos de sub-rede IPv6 (Prévia):
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2
```
    Se você estiver criando o gateway para intervalos de sub-rede IPv4 e IPv6, especifique as flags --nat-all-subnet-ip-ranges e --nat64-all-v6-subnet-ip-ranges neste comando.
  Substitua:
  - NAT_CONFIG: um nome para sua configuração de NAT
  - NAT_ROUTER: o nome do Cloud Router que você criou na etapa anterior
  - REGION: a região em que você quer usar o gateway do Cloud NAT
  - IP_ADDRESS_1 e IP_ADDRESS_2: os endereços IP externo estáticos reservados que você quer usar para NAT
    
    É possível especificar um ou mais endereços IP ao usar a flag --nat-external-ip-pool.
- Especifique o nível de rede. Para especificar o nível de rede de que o gateway do Cloud NAT aloca endereços IP externo, execute um dos seguintes comandos:
  - Para intervalos de sub-rede IPv4:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --auto-network-tier=AUTO_NETWORK_TIER
```
  - Para intervalos de sub-rede IPv6 (Prévia):
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --auto-network-tier=AUTO_NETWORK_TIER
```
    Se você estiver criando o gateway para intervalos de sub-rede IPv4 e IPv6, especifique as flags --nat-all-subnet-ip-ranges e --nat64-all-v6-subnet-ip-ranges neste comando.
  Substitua:
  - NAT_CONFIG: um nome para sua configuração de NAT
  - NAT_ROUTER: o nome do Cloud Router que você criou na etapa anterior
  - REGION: a região em que você quer usar o gateway do Cloud NAT
  - AUTO_NETWORK_TIER: o nível de rede a ser usado na alocação automática de endereços IP para o gateway do Cloud NAT. Os valores permitidos são PREMIUM e STANDARD. Se não for especificado, o nível atual padrão para envolvidos no projeto será associado ao gateway do Cloud NAT.
    
    Também é possível especificar o nível de rede com a alocação manual de endereços IP NAT. Se você atribuir vários endereços IP ao gateway, todos eles precisarão ser do mesmo nível de rede.
- Configurar a alocação de porta dinâmica. Para criar um gateway do Cloud NAT com alocação dinâmica de portas, execute um dos seguintes comandos:
  - Para intervalos de sub-rede IPv4:
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --enable-dynamic-port-allocation \
    [--min-ports-per-vm=MIN_PORTS ] \
    [--max-ports-per-vm=MAX_PORTS ]
```
  - Para intervalos de sub-rede IPv6 (Prévia):
```
gcloud compute routers nats create NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-all-v6-subnet-ip-ranges \
    --auto-allocate-nat-external-ips \
    --enable-dynamic-port-allocation \
    [--min-ports-per-vm=MIN_PORTS ] \
    [--max-ports-per-vm=MAX_PORTS ]
```
    Se você estiver criando o gateway para intervalos de sub-rede IPv4 e IPv6, especifique as flags --nat-all-subnet-ip-ranges e --nat64-all-v6-subnet-ip-ranges neste comando.
  Substitua:
  - NAT_CONFIG: um nome para sua configuração de NAT
  - NAT_ROUTER: o nome do Cloud Router que você criou na etapa anterior
  - REGION: a região em que você quer usar o gateway do Cloud NAT
  - Opcional: MIN_PORTS: o número mínimo de portas a serem alocadas para cada VM. Se a alocação dinâmica de porta estiver ativada, MIN_PORTS precisará ser uma potência de 2 e pode estar entre 32 e 32768. O padrão é 32.
  - Opcional: MAX_PORTS: o número máximo de portas a serem alocadas para cada VM. MAX_PORTS precisa ser uma potência de 2 e pode estar entre 64 e 65536. MAX_PORTS precisa ser maior que MIN_PORTS. O padrão é 65536.

Terraform

É possível usar um módulo do Terraform para criar um Cloud Router com um gateway NAT para tráfego IPv4.

module "cloud_router" {
  source  = "terraform-google-modules/cloud-router/google"
  version = "~> 7.0"
  name    = "my-cloud-router"
  project = var.project_id
  network = module.vpc.network_name
  region  = "us-central1"

  nats = [{
    name                               = "my-nat-gateway"
    source_subnetwork_ip_ranges_to_nat = "LIST_OF_SUBNETWORKS"
    subnetworks = [
      {
        name                     = module.vpc.subnets["us-central1/test-subnet-01"].id
        source_ip_ranges_to_nat  = ["PRIMARY_IP_RANGE", "LIST_OF_SECONDARY_IP_RANGES"]
        secondary_ip_range_names = module.vpc.subnets["us-central1/test-subnet-01"].secondary_ip_range[*].range_name
      }
    ]
  }]
}

O gateway NAT resultante usa os seguintes valores padrão:

enable_endpoint_independent_mapping = true
icmp_idle_timeout_sec               = 30
min_ports_per_vm                    = 0
nat_ip_allocate_option              = "AUTO_ONLY"
source_subnetwork_ip_ranges_to_nat  = "ALL_SUBNETWORKS_ALL_IP_RANGES"
tcp_established_idle_timeout_sec    = 1200
tcp_transitory_idle_timeout_sec     = 30
udp_idle_timeout_sec                = 30
log_config {
    enable = true
    filter = "ALL"
}

Ver uma configuração do Public NAT

Console

No console Trusted Cloud , acesse a página do Cloud NAT.

Acesse o Cloud NAT
Para visualizar os detalhes do gateway NAT, informações de mapeamento ou detalhes de configuração, clique no nome do gateway NAT.
Para mostrar o status do NAT, consulte a coluna Status do seu gateway NAT.

gcloud

Para ver os detalhes da configuração do NAT, execute os seguintes comandos:

Visualize a configuração de gateway do Public NAT.
```
gcloud compute routers nats describe NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION
```
Substitua:
- NAT_CONFIG: o nome da configuração NAT
- ROUTER_NAME: o nome do seu Cloud Router
- REGION: a região do NAT a ser descrito. Se não for especificado, talvez seja solicitado que você selecione uma região (apenas no modo interativo).

Veja o mapeamento de intervalos de IP:porta para cada interface de VM.

gcloud compute routers get-nat-mapping-info ROUTER_NAME \
    --region=REGION

Visualize o status do gateway do Public NAT.

gcloud compute routers get-status ROUTER_NAME \
    --region=REGION

Ver endereços IP externo atribuídos a um gateway do Cloud NAT

Por padrão, os gateways do Cloud NAT para Public NAT usam a alocação automática de endereços IP. Para conferir os endereços IP externo atribuídos a um gateway do Cloud NAT, faça o seguinte:

Console

No console Trusted Cloud , acesse a página do Cloud NAT.

Acesse o Cloud NAT
Clique no nome do gateway NAT do Cloud.
Na página Detalhes do gateway do Cloud NAT, confira os Endereços IP externo alocados.

gcloud

Para listar todos os endereços IP NAT alocados, use o seguinte comando:

gcloud compute routers get-nat-ip-info NAT_ROUTER \
    --region=REGION

Para mais exemplos, consulte o comando gcloud compute routers get-nat-ip-info.

Atualizar uma configuração do Public NAT

Depois de configurar o gateway do Cloud NAT, atualize a configuração do gateway com base nos seus requisitos. As seções a seguir listam as tarefas que podem ser executadas para atualizar o gateway do Cloud NAT.

Atualizar sub-redes configuradas com NAT

Console

No console Trusted Cloud , acesse a página do Cloud NAT.

Acesse o Cloud NAT
Clique no seu gateway do Cloud NAT.
Clique em Editar.
Em Mapeamento NAT, defina Sub-redes de origem como Personalizado.
Selecione uma sub-rede
Na lista suspensa Intervalos de IP, selecione os intervalos de IP da sub-rede a serem incluídos.
Opcional: se você quiser especificar mais intervalos, clique em Adicionar sub-rede e intervalo de IP.
Clique em Salvar.

gcloud

Use o comando gcloud compute routers nats update.

Para atualizar os intervalos de sub-rede de origem de um gateway do Cloud NAT, execute um dos seguintes comandos, dependendo da versão IP dos intervalos de sub-rede que você quer atualizar:

Atualizar intervalos de sub-rede IPv4:

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES

Atualizar intervalos de sub-rede IPv6 (prévia):

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES

Atualize os intervalos de sub-rede IPv4 e IPv6 (Pré-lançamento):

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=IPV4_SUBNET_RANGES \
    --nat64-custom-v6-subnet-ip-ranges=IPV6_SUBNET_RANGES

Substitua:

NAT_CONFIG: o nome da configuração NAT
NAT_ROUTER: o nome do seu Cloud Router
REGION: a região do gateway NAT
IPV4_SUBNET_RANGES: uma lista separada por vírgulas de nomes de sub-rede, por exemplo:
- SUBNET_NAME_1:ALL,SUBNET_NAME_2:ALL: inclui os intervalos principal e secundários das sub-redes SUBNET_NAME_1 e SUBNET_NAME_2.
- SUBNET_NAME_1,SUBNET_NAME_2: inclui apenas os intervalos principais das sub-redes SUBNET_NAME_1 e SUBNET_NAME_2.
- SUBNET_NAME:SECONDARY_RANGE_NAME: inclui o intervalo secundário especificado da sub-rede SUBNET_NAME e não inclui o intervalo principal.
- SUBNET_NAME_1,SUBNET_NAME_2:SECONDARY_RANGE_NAME: inclui o intervalo principal da sub-rede SUBNET_NAME_1 e o intervalo secundário especificado da sub-rede SUBNET_NAME_2.
IPV6_SUBNET_RANGES: uma lista separada por vírgulas de nomes de sub-redes, por exemplo, SUBNET_NAME_1,SUBNET_NAME_2

Remover sub-redes do NAT

É possível remover sub-redes do gateway do Cloud NAT que não estão mais em uso.

Console

No console Trusted Cloud , acesse a página do Cloud NAT.

Acesse o Cloud NAT
Clique no seu gateway do Cloud NAT.
Clique em Editar.
Exclua a sub-rede que você quer remover do mapeamento NAT.

Observação: se a sub-rede excluída for a única mapeada para o gateway do Public NAT, o sistema solicitará que você adicione uma sub-rede. É possível mapear uma nova sub-rede ou selecionar Intervalos principais e secundários para todas as sub-redes na lista Origem.
Clique em Salvar.

gcloud

Use o comando gcloud compute routers nats update.

É possível remover apenas intervalos de sub-rede IPv4 ou IPv6, mas não ambos.

O exemplo a seguir desativa o NAT para intervalos de sub-rede IPv6:

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --clear-nat64-subnet-ip-ranges

Substitua:

NAT_CONFIG: o nome da configuração NAT
NAT_ROUTER: o nome do seu Cloud Router
REGION: a região do gateway NAT

Atualizar endereços IP externo atribuídos ao NAT

É possível alterar a lista de endereços IP externos de um determinado gateway ou mudar da alocação de IP manual para automática. Quando você fizer isso,o Trusted Cloud removerá os endereços IP alocados anteriormente e adicionará os novos. Todas as conexões existentes nos endereços IP alocados anteriormente são encerradas imediatamente. Para permitir que as conexões atuais continuem e impedir novas conexões nesses endereços IP, consulte a seção Drenar endereços IP externo associados ao NAT deste documento.

Console

No console Trusted Cloud , acesse a página do Cloud NAT.

Acesse o Cloud NAT
Clique no seu gateway do Cloud NAT.
Clique em Editar.
Clique na lista Endereços IP de NAT e selecione Automático ou Manual.
Se você selecionar Manual, especifique um Endereço IP externo.
Para alta disponibilidade, clique em Adicionar endereço IP e adicione um segundo endereço.
Clique em Salvar.

gcloud

Use o comando gcloud compute routers nats update.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_1,IP_ADDRESS_2

Substitua:

NAT_CONFIG: o nome da configuração NAT.
NAT_ROUTER: o nome do seu Cloud Router.
REGION: a região do NAT a ser atualizada. Se não for especificado, talvez seja solicitado que você selecione uma região (apenas no modo interativo).
IP_ADDRESS_1: um endereço IP externo manual.
IP_ADDRESS_2: outro endereço IP externo manual.

Drenar endereços IP externo atribuídos ao NAT

Antes de remover um endereço IP configurado manualmente, esvazie ele para que as conexões existentes não sejam interrompidas. Quando um endereço IP é drenado, todas as conexões existentes continuam até expirarem naturalmente. É possível visualizar os registros para verificar o status das conexões existentes.

Nenhuma nova conexão é aceita nos endereços IP drenados. No entanto, o endereço IP permanece associado à configuração NAT.

É necessário ter pelo menos um endereço ativo em uma configuração NAT, ou seja, não é possível drenar todos os endereços IP em uma configuração.

Para ver o estado dos endereços IP NAT, confira a configuração do Public NAT.

Console

No console Trusted Cloud , acesse a página do Cloud NAT.

Acesse o Cloud NAT
Clique no seu gateway do Cloud NAT.
Clique em Editar.
Em Endereços IP NAT, defina o valor da Drenagem de IP ao lado do endereço IP para Ativado.
Clique em Salvar.

gcloud

Use o comando gcloud compute routers nats update.

Para drenar um endereço, mova-o do pool ativo para o pool de drenagem no mesmo comando. Se você removê-lo do pool ativo sem adicioná-lo ao pool de drenagem em um único comando, o endereço IP será excluído do serviço e as conexões existentes serão encerradas imediatamente.

Se você mover um endereço IP do pool de drenagem para o pool ativo, evita o endereço IP. Se você remover um endereço IP NAT de ambos os pools, ele será desconectado da configuração NAT.

Esse comando deixa os outros campos na configuração NAT inalterados.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    --nat-external-ip-pool=IP_ADDRESS_2 \
    --nat-external-drain-ip-pool=IP_ADDRESS_1

Em que:

--nat-external-ip-pool=IP_ADDRESS_2 atualiza o pool ativo para omitir IP_ADDRESS_1
--nat-external-drain-ip-pool=IP_ADDRESS_1 adiciona IP_ADDRESS_1 ao pool de drenagem

Substitua:

NAT_CONFIG: o nome da configuração NAT.
NAT_ROUTER: o nome do seu Cloud Router.
REGION: a região do NAT a ser atualizada. Se não for especificado, talvez seja solicitado que você selecione uma região (apenas no modo interativo).
IP_ADDRESS_2: um endereço IP.
IP_ADDRESS_1: outro endereço IP.

Atualizar mapeamento de endpoint

É possível ativar ou desativar o Mapeamento independente de endpoint no gateway. Por padrão, esta opção está desativada. Alternar o mapeamento independente de endpoint de ativado para desativado (ou de desativado para ativado) não interrompe as conexões atuais.

Não é possível ativar o mapeamento independente de endpoint se o gateway do Cloud NAT usar regras NAT ou alocação dinâmica de portas.

Console

No console Trusted Cloud , acesse a página do Cloud NAT.

Acesse o Cloud NAT
Clique no seu gateway do Cloud NAT.
Clique em Editar.
Clique em Configurações avançadas.
Para ativar o mapeamento independente de endpoint, marque a caixa de seleção Ativar mapeamento independente de endpoint. Desmarque a caixa de seleção para desativar o mapeamento independente de endpoint.
Clique em Salvar.

gcloud

Use o comando gcloud compute routers nats update.

gcloud compute routers nats update NAT_CONFIG \
    --router=NAT_ROUTER \
    --region=REGION \
    [--enable-endpoint-independent-mapping | --no-enable-endpoint-independent-mapping]

Substitua:

NAT_CONFIG: o nome da configuração NAT
NAT_ROUTER: o nome do seu Cloud Router
REGION: a região do NAT a ser atualizada. Se não for especificado, talvez seja solicitado que você selecione uma região (apenas no modo interativo).

Atualizar geração de registros

Para adicionar, modificar ou remover a geração de registros de um gateway do Cloud NAT, consulte Como configurar a geração de registros.

Excluir uma configuração do Public NAT

A exclusão de uma configuração de gateway remove a configuração NAT de um Cloud Router. A exclusão de uma configuração de gateway não exclui o roteador.

Console

No console Trusted Cloud , acesse a página do Cloud NAT.

Acesse o Cloud NAT
Marque a caixa de seleção ao lado da configuração de gateway que você quer excluir.
No Menu, clique em Excluir.

gcloud

gcloud compute routers nats delete NAT_CONFIG \
    --router=ROUTER_NAME \
    --region=REGION

Substitua:

NAT_CONFIG: o nome da configuração NAT
ROUTER_NAME: o nome do seu Cloud Router
REGION: a região do NAT a ser excluída. Se não for especificado, talvez seja solicitado que você selecione uma região (apenas no modo interativo).

Configurar e gerenciar a conversão de endereços de rede com o Public NAT

Limitações

Antes de começar

Acessar permissões do IAM

Preparar o ambiente

Console

gcloud

Configurar o DNS64

Configurar o Public NAT

Criar um gateway do Cloud NAT

Console

gcloud

Criar um gateway do Cloud NAT com configurações padrão

Personalizar as configurações de configuração de um gateway do Cloud NAT

Terraform

Ver uma configuração do Public NAT

Console

gcloud

Ver endereços IP externo atribuídos a um gateway do Cloud NAT

Console

gcloud

Atualizar uma configuração do Public NAT

Atualizar sub-redes configuradas com NAT

Console

gcloud

Remover sub-redes do NAT

Console

gcloud

Atualizar endereços IP externo atribuídos ao NAT

Console

gcloud

Drenar endereços IP externo atribuídos ao NAT

Console

gcloud

Atualizar mapeamento de endpoint

Console

gcloud

Atualizar geração de registros

Excluir uma configuração do Public NAT

Console

gcloud

Cotas e limites

Exemplos de configuração

A seguir