Versión 1.4. Esta versión ya no se admite como se describe en la política de asistencia de la versión de Anthos. Actualiza a una versión compatible para obtener los parches y las actualizaciones más recientes sobre vulnerabilidades de seguridad, exposiciones y problemas que afectan a los clústeres de Anthos en VMware (GKE On-Prem). Puedes encontrar la versión más reciente aquí.

Conéctate a Google

Existen varias formas de conectar los clústeres de GKE On-Prem que se ejecutan en tu centro de datos local con la red de Google. Las posibilidades incluyen las siguientes:

Conexión a Internet regular

En algunos casos, puedes usar Internet como conexión entre Google y tu centro de datos local. Por ejemplo:

  • Tu implementación de GKE On-Prem se aloja solo en tus instalaciones y tus componentes locales rara vez se comunican con la red de Google. Debes usar la conexión en particular para la administración de clústeres. La velocidad, confiabilidad y seguridad de la conexión no son esenciales.

  • Tu clúster local es independiente, excepto por el acceso a un servicio de Google como Cloud SQL. El tráfico entre el clúster local y el servicio de Google usa direcciones IP públicas. Debes configurar reglas de firewall para proporcionar seguridad.

Cloud VPN con rutas estáticas

Con Cloud VPN, el tráfico entre Google y tu centro de datos local recorre la Internet pública, pero está encriptado. Los componentes locales pueden comunicarse con los componentes de la nube mediante direcciones IP privadas. Con las rutas estáticas, debes configurar de forma manual las rutas entre tus redes de Google Cloud y tu red local. Usa Cloud VPN si la seguridad es importante, pero la velocidad no es tan importante.

Cloud VPN con Cloud Router

Con Cloud VPN y Cloud Router, el tráfico entre Google y tu centro de datos local recorre la Internet pública, pero está encriptado. Los componentes locales pueden comunicarse con los componentes de la nube mediante direcciones IP privadas. Cloud Router intercambia rutas de forma dinámica entre tus redes de Google Cloud y tu red local. El enrutamiento dinámico es especialmente útil cuando se expande y se modifica la red, ya que garantiza que el estado de enrutamiento correcto se propague a tu centro de datos local.

Interconexión de socio

La interconexión de socio proporciona conectividad entre tu red local y la red de Google a través de un proveedor de servicios de asistencia. El tráfico entre Google y tu centro de datos local no recorre la Internet pública. Los componentes locales pueden comunicarse con los componentes de la nube mediante direcciones IP privadas. Tu conexión a Google es rápida, segura y confiable.

Interconexión dedicada

La interconexión dedicada proporciona una conexión física directa entre la red local y la de Google. Esto puede ser rentable si necesitas un ancho de banda alto. El tráfico entre Google y tu centro de datos local no recorre la Internet pública. Los componentes locales pueden comunicarse con los componentes de la nube mediante direcciones IP privadas. Tu conexión a Google es segura y confiable, y es incluso más rápida que una conexión mediante la interconexión de socio.

Elige un tipo de conexión

Para obtener más información sobre cómo elegir un tipo de conexión, consulta los siguientes vínculos:

Supervisión de red

Independientemente de cómo establezcas una conexión base con Google, puedes beneficiarte de las estadísticas que proporcionan el registro y la supervisión de la red. Si deseas obtener más información, consulta Registros y supervisión para GKE On-Prem.

Mejora la conexión base

Después de establecer la conexión base, puedes agregar funciones que mejoren el acceso, la seguridad y la visibilidad. Por ejemplo, puedes habilitar el acceso privado a Google, los controles del servicio de VPC o Connect.

En el resto de la guía en este tema, se supone que usas una de las siguientes opciones para la conexión base a Google:

Acceso privado a Google

El acceso privado a Google permite que las VM que solo tienen direcciones IP privadas alcancen las direcciones IP de las API de Google y los servicios. Esto incluye el caso de que los nodos de clústeres de GKE On-Prem solo tengan direcciones IP privadas. Puedes habilitar el Acceso privado a Google en el nivel de la subred.

Con el acceso privado a Google, las solicitudes de tu centro de datos local a los servicios de Google pasan por tu conexión de Cloud Interconnect o Cloud VPN en lugar de la Internet pública.

Usa el acceso privado a Google en las siguientes situaciones:

  • Tus VM locales sin direcciones IP públicas deben conectarse a los servicios de Google, como BigQuery, Pub/Sub o Container Registry.

  • Deseas conectarte a los servicios de Google sin atravesar la Internet pública.

Para obtener una lista de los servicios que admiten el acceso privado a Google desde las VM locales, consulta Servicios de asistencia. Para obtener información sobre el uso del acceso privado a Google desde las VM locales, consulta Configura el acceso privado a Google para hosts locales.

Servicios que no requieren acceso privado a Google

En algunos casos, no necesitas acceso privado a Google para acceder a un servicio desde una VM que solo tiene una dirección IP privada. Por ejemplo:

  • Debes crear una instancia de Cloud SQL que tenga una dirección IP pública y privada. Luego, tus componentes locales pueden acceder a la instancia de Cloud SQL mediante su dirección IP privada. No necesitas acceso privado a Google en este caso, ya que no necesitas alcanzar la dirección IP pública de un servicio de Google. Esto funciona solo si Cloud Router anuncia la dirección IP privada de la instancia de Cloud SQL en tu red local.

  • Tienes un clúster de GKE en la nube de Google y los nodos del clúster tienen direcciones IP privadas. Tus componentes locales pueden acceder a un servicio NodePort o a un servicio de balanceador de cargas interno en el clúster de GKE en la nube.

Controles del servicio de VPC

Si deseas más protección contra el robo de datos, puedes usar los controles del servicio de VPC. Con los Controles del servicio de VPC, puedes configurar perímetros de seguridad en torno a los recursos de tus servicios administrados por Google y controlar el movimiento de datos en los límites perimetrales.

Conexión

Connect te permite ver y administrar tus clústeres de usuarios locales desde Google Cloud Console.

¿Qué sigue?