Descripción general de Cloud NAT
Cloud NAT es la evolución de la configuración de salida predeterminada del proyecto. Cloud NAT es un servicio zonal con alcance para todo el proyecto, limitado al tráfico IPv4 y que proporciona las siguientes funciones:
- Varias puertas de enlace por proyecto que pueden dirigir el tráfico de diferentes conjuntos de extremos.
- Varias IPs de salida configurables por puerta de enlace.
- Varios selectores de etiquetas de extremos configurables por puerta de enlace
- Tiempos de espera de conexión configurables por puerta de enlace.
- Mayor confiabilidad y menor radio de explosión en caso de falla del nodo de salida.
En el siguiente diagrama, se ilustra un ejemplo general de Cloud NAT. Cada puerta de enlace genera todo el tráfico dirigido a IPs no internas desde los extremos de los Pods o las VMs (en el mismo proyecto que la puerta de enlace) que tienen todas las etiquetas en el selector de etiquetas de la puerta de enlace (coincidencia Y). Los extremos de diferentes proyectos o que no coinciden por completo con el selector de etiquetas no pueden enviar tráfico a través de la puerta de enlace. Las puertas de enlace asignarán de forma estática una de sus IPs de salida a cada extremo que salga del tráfico a través de ellas. Las IPs de las subredes hoja se usan para especificar el conjunto de IPs de salida que puede usar cada puerta de enlace de Cloud NAT.
Por ejemplo, si un Pod en project-1, con la etiqueta app:aa y con la IP 192.168.0.1, emite un paquete con la IP de destino 22.22.22.22, se dirigirá a la puerta de enlace de Cloud NAT. La puerta de enlace intercambiará la IP de origen por la IP de salida asignada al extremo del Pod (34.1.22.1) y la reenviará a la VRF de datos. Si se recibe una respuesta de ese VRF, se realizará la operación inversa y se reenviará el paquete resultante al extremo del pod. El mismo mecanismo se aplicará a las VMs de ese proyecto y etiqueta.
De forma predeterminada, las conexiones de salida creadas a través de una puerta de enlace de Cloud NAT tendrán los siguientes tiempos de espera. Se pueden configurar manualmente si es necesario.
Tiempo de espera |
Valor predeterminado (segundos) |
Conexiones que no son TCP |
60 |
Conexiones TCP inactivas |
8000 |
Desconexión de conexiones TCP |
10 |
Establecimiento de conexión TCP |
60 |
Limitaciones
- Cada extremo solo puede salir a través de una única puerta de enlace de Cloud NAT con una sola dirección IP de salida. La puerta de enlace asigna automáticamente esta dirección IP a cada extremo. Esta asignación no cambiará, a menos que cambie la configuración del extremo o la puerta de enlace.
- Para garantizar que el enrutamiento entre los extremos y las puertas de enlace sea determinístico, las puertas de enlace de Cloud NAT no deben tener selectores de etiquetas superpuestos, y los extremos no deben tener etiquetas que coincidan con varias puertas de enlace.
- Si el extremo también tiene rutas desde puertas de enlace de VPN, estas tendrán preferencia sobre las rutas desde puertas de enlace de Cloud NAT.
Límites de escala
- La cantidad máxima de direcciones IP de salida por proyecto es 100. Si las subredes asignadas a la puerta de enlace de Cloud NAT superan las 100, la puerta de enlace solo usará las primeras 100 IPs.
- La cantidad máxima de conexiones paralelas por IP de salida y por protocolo a una IP y un puerto de destino específicos se limita a 32,000. Si se supera este límite, fallarán las conexiones.
- La cantidad máxima de asignaciones de NAT es de 1,000 por VPC y por zona. Se crea un mapeo para cada extremo asignado a cada puerta de enlace de Cloud NAT. Dado que solo se puede asignar un extremo a una sola puerta de enlace NAT, la cantidad máxima de extremos que pueden usar Cloud NAT en una zona es de 1,000. Las asignaciones de NAT NO se ajustan a la cantidad de conexiones.
Comportamiento de conmutación por error
En caso de que un nodo de salida deje de estar disponible, las puertas de enlace de Cloud NAT que usen ese nodo de salida migrarán automáticamente sus IPs externas del nodo no disponible a otros nodos de salida disponibles. Luego, las puertas de enlace reconfigurarán el sistema para que el tráfico de salida use los otros nodos disponibles. Una vez que se complete la reconfiguración, los extremos que usaban el nodo no disponible podrán restablecer las conexiones de salida.