Descripción general de Cloud NAT

Cloud NAT proporciona traducción de direcciones de red (NAT) para el tráfico saliente a Internet, redes de nube privada virtual (VPC) redes, redes locales y otras redes de proveedores de servicios en la nube.

Cloud NAT traduce direcciones para los siguientes recursos:

La NAT se aplica automáticamente a los recursos que coinciden con tu configuración de Cloud NAT después de crear una puerta de enlace de Cloud NAT y configurarla para que entregue las subredes en las que se ejecutan esos recursos.

Cloud NAT solo admite la traducción de direcciones para los paquetes de respuesta entrantes establecidos. No permite conexiones entrantes no solicitadas.

Tipos de Cloud NAT

Para configurar Cloud NAT, crea una puerta de enlace de Cloud NAT en la región de las subredes que requieren NAT. Luego, la puerta de enlace entrega cada subred que especificas en su configuración.

Cloud NAT admite dos tipos de NAT:

  • NAT pública
  • NAT privada

Una sola puerta de enlace de Cloud NAT proporciona NAT pública o NAT privada. Si creas dos puertas de enlace independientes, puedes usar ambos tipos de NAT para entregar la misma subred.

Tanto la NAT pública como la NAT privada pueden traducir direcciones de IPv4 a IPv4 y de IPv6 a IPv4.

NAT pública

La NAT pública permite que los recursos que no tienen direcciones IPv4 externas se comuniquen con destinos IPv4 en Internet. Google Cloud Estas VMs usan un conjunto de direcciones IP externas compartidas para conectarse a Internet. Cloud NAT no depende de las VMs de proxy. En cambio, una puerta de enlace de Cloud NAT asigna un conjunto de direcciones IP externas y puertos de origen a cada VM que usa la puerta de enlace para crear conexiones salientes a Internet.

Considera una situación en la que tienes VM-1 en subnet-1 cuya interfaz de red no tiene una dirección IP externa. Sin embargo, VM-1 necesita conectarse a Internet para descargar actualizaciones. Para habilitar la conectividad a Internet, puedes crear una puerta de enlace de Cloud NAT configurada para aplicarse al rango de direcciones IP de subnet-1. Ahora, VM-1 puede enviar tráfico a Internet con la dirección IP interna de subnet-1.

Para obtener más información, consulta NAT pública.

NAT privada

La NAT privada permite la traducción de direcciones privadas a privadas para los siguientes destinos.

Destino Descripción
Otra red de VPC red

La NAT privada admite NAT para redes de VPC conectadas a un hub de Network Connectivity Center. Para obtener más información, consulta la siguiente documentación:

La misma red de VPC

La NAT privada admite NAT para el tráfico IPv6 dentro de la misma red de VPC (vista previa). Para obtener más información, consulta NAT64 en NAT privada.

Red local o de otro proveedor de servicios en la nube

La NAT privada admite las siguientes opciones para tráfico entre redes de VPC y redes locales o de otros proveedores de servicios en la nube:

Si tu red de VPC tiene subredes IPv4 que se superponen con la red de destino, puedes usar la NAT privada para habilitar la comunicación entre las redes. La puerta de enlace NAT traduce el tráfico de origen a direcciones IP únicas, lo que permite que tus Google Cloud recursos se conecten a cualquier subred no superpuesta de la red de destino.

Para obtener más información, consulta NAT privada.

Recursos admitidos

En la siguiente tabla, se enumeran los Google Cloud recursos que admite cada tipo de Cloud NAT. La marca de verificación indica que el recurso es compatible.

Recurso NAT pública NAT privada
Instancias de VM de Compute Engine
Clústeres de GKE
Cloud Run, Cloud Run functions y App Engine1
NEGs de Internet regionales No aplicable
1 Se admiten los siguientes extremos sin servidores:
  • Instancias de Cloud Run (servicios y trabajos) y de Cloud Run functions a través de la salida directa de VPC (recomendado) o el Acceso a VPC sin servidores
  • Instancias de entorno estándar de App Engine a través del Acceso a VPC sin servidores

Arquitectura

Cloud NAT es un servicio administrado distribuido y definido por software. No se basa en los dispositivos o VM del proxy. Cloud NAT configura el software Andromeda que potencia tu red de nube privada virtual (VPC) de manera que proporcione la traducción de direcciones de red de origen (NAT de origen o SNAT) para los recursos. Cloud NAT también proporciona la traducción de direcciones de red de destino (NAT de destino o DNAT) para los paquetes de respuesta entrantes establecidos.

Comparación de la NAT tradicional con Cloud NAT
NAT tradicional comparada con Cloud NAT (haz clic para ampliar).

Beneficios

Cloud NAT proporciona los siguientes beneficios:

  • Seguridad

    Cuando usas una puerta de enlace de Cloud NAT para la NAT pública, puedes reducir la necesidad de que cada VM tenga direcciones IP externas. Sujeto a las reglas de firewall de salida, las VM sin direcciones IP externas pueden acceder a los destinos en Internet. Por ejemplo, es posible que tengas VMs que solo necesiten acceso a Internet para descargar actualizaciones o completar el aprovisionamiento.

    Si usas la asignación de dirección IP de NAT manual para configurar una puerta de enlace de Cloud NAT para la NAT pública, puedes compartir de forma segura un conjunto de direcciones IP de origen externas comunes con un destinatario. Por ejemplo, un servicio de destino solo puede permitir conexiones desde direcciones IP externas conocidas.

    La NAT privada permite la NAT privada a privada entre redes de VPC o entre VPC y redes locales o de otros proveedores de servicios en la nube. Cuando se configura la NAT privada, la puerta de enlace de Cloud NAT realiza la NAT con direcciones IP del rango de subred de NAT privada.

  • Disponibilidad

    Cloud NAT es un servicio administrado distribuido y definido por software. No depende de ninguna VM de tu proyecto ni de un solo dispositivo de puerta de enlace física. Configura una puerta de enlace NAT en un Cloud Router, que proporciona el plano de control para NAT, con los parámetros de configuración que especifiques. Google Cloud ejecuta y mantiene procesos en las máquinas físicas que ejecutan tus Google Cloud VMs.

  • Escalabilidad

    Cloud NAT se puede configurar para escalar automáticamente la cantidad de direcciones IP de NAT que usa y admite VMs que pertenecen a grupos de instancias administrados, incluidos los grupos con el ajuste de escala automático habilitado.

  • Rendimiento

    Cloud NAT no reduce el ancho de banda de la red por VM. Cloud NAT se implementa mediante las redes definidas por software de Andromeda de Google. Para obtener más información, consulta Ancho de banda de red en la documentación de Compute Engine.

  • Logging

    Para el tráfico de Cloud NAT, puedes hacer un seguimiento de las conexiones y el ancho de banda para fines de cumplimiento, depuración, análisis y contabilidad.

  • Supervisión

    Cloud NAT expone métricas clave en Cloud Monitoring que te brindan estadísticas sobre el uso de las puertas de enlace NAT de tu flota. Las métricas se envían automáticamente a Cloud Monitoring. Allí, podrás crear paneles personalizados, configurar alertas y consultar las métricas.

    Además, Network Analyzer publica estadísticas de Cloud NAT. Network Analyzer supervisa automáticamente tu configuración de Cloud NAT para detectar y generar estas estadísticas.

Interacciones de productos

Para obtener más información sobre las interacciones importantes entre Cloud NAT y otros Google Cloud productos, consulta Interacciones de productos de Cloud NAT.

¿Qué sigue?