Información general sobre Cloud NAT
Cloud NAT es la evolución de la configuración de salida predeterminada del proyecto. Cloud NAT es un servicio zonal con ámbito de proyecto limitado al tráfico IPv4 y ofrece las siguientes funciones:
- Varias pasarelas por proyecto que pueden enviar tráfico desde diferentes conjuntos de endpoints.
- Varias IPs de salida configurables por pasarela.
- Varios selectores de etiquetas de endpoint configurables por pasarela.
- Tiempos de espera de conexión configurables por pasarela.
- Mayor fiabilidad y menor radio de explosión en caso de fallo del nodo de salida.
En el siguiente diagrama se muestra un ejemplo de descripción general de Cloud NAT. Cada gateway envía todo el tráfico dirigido a IPs no internas desde los endpoints de pods o VMs (en el mismo proyecto que el gateway) que tienen todas las etiquetas del selector de etiquetas del gateway (coincidencia AND). Los endpoints de proyectos diferentes o que no coincidan completamente con el selector de etiquetas no pueden enviar tráfico a través de la pasarela. Las pasarelas asignarán de forma estática una de sus IPs de salida a cada endpoint que envíe tráfico a través de ellas. Las IPs de las subredes hoja se usan para especificar el conjunto de IPs de salida que puede usar cada pasarela Cloud NAT.
Por ejemplo, si un pod de project-1, con la etiqueta app:aa y con la IP 192.168.0.1 envía un paquete con la IP de destino 22.22.22.22, se dirigirá a la pasarela de Cloud NAT. La pasarela cambiará la IP de origen por la IP de salida asignada al endpoint del pod (34.1.22.1) y la reenviará al VRF de datos. Si se recibe una respuesta de ese VRF, se realizará la operación inversa y se reenviará el paquete resultante al endpoint del pod. El mismo mecanismo se aplicará a las VMs de ese proyecto y etiqueta.
De forma predeterminada, las conexiones de salida creadas a través de una pasarela de Cloud NAT tendrán los siguientes tiempos de espera. Se pueden configurar manualmente si es necesario.
Tiempo de espera |
Valor predeterminado (segundos) |
Conexiones no TCP |
60 |
Conexiones TCP inactivas |
8000 |
Desconexión de conexiones TCP |
10 |
Establecimiento de conexión TCP |
60 |
Limitaciones
- Cada endpoint solo puede salir a través de una única puerta de enlace de Cloud NAT con una única dirección IP de salida. La pasarela asigna automáticamente esta dirección IP a cada endpoint. Esta asignación no cambiará a menos que cambie la configuración del endpoint o de la pasarela.
- Para asegurarse de que el enrutamiento entre los endpoints y las pasarelas sea determinista, las pasarelas de Cloud NAT no deben tener selectores de etiquetas superpuestos y los endpoints no deben tener etiquetas que coincidan con varias pasarelas.
- Si el endpoint también tiene rutas de pasarelas VPN, estas tendrán preferencia sobre las rutas de las pasarelas Cloud NAT.
Límites de escala
- El número máximo de direcciones IP de salida por proyecto es 100. Si el número de subredes asignadas a la pasarela Cloud NAT supera las 100, la pasarela solo usará las primeras 100 IPs.
- El número máximo de conexiones paralelas por IP de salida y por protocolo a una IP y un puerto de destino específicos es de 32.000. Si se supera este límite, las conexiones fallarán.
- El número máximo de asignaciones de NAT es de 1000 por VPC y por zona. Se crea una asignación por cada endpoint asignado a cada pasarela Cloud NAT. Como solo se puede asignar un endpoint a una pasarela de NAT, el número máximo de endpoints que pueden usar Cloud NAT en una zona es de 1000. Las asignaciones de NAT NO se escalan con el número de conexiones.
Comportamiento de conmutación por error
Si un nodo de salida deja de estar disponible, las pasarelas de Cloud NAT que lo utilicen migrarán automáticamente sus IPs externas del nodo no disponible a otros nodos de salida disponibles. A continuación, las pasarelas reconfigurarán el sistema para que el tráfico de salida utilice los otros nodos disponibles. Una vez que se haya completado la reconfiguración, los endpoints que usaban el nodo no disponible podrán restablecer las conexiones de salida.