Conectividad entre VPCs de Red Multinube mediante Network Connectivity Center

En este documento se proporciona una arquitectura de referencia que puede usar para implementar una topología de red entre VPCs de Red Multinube en Google Cloud. Este diseño de red permite implementar servicios de software en redes internas y externas, como centros de datos locales u otros proveedores de servicios en la nube. Google Cloud

Este documento está dirigido a administradores de redes, arquitectos de nube y arquitectos empresariales que vayan a desarrollar la conectividad de red. También incluye arquitectos de nube que planifican cómo se implementan las cargas de trabajo. Se presupone que el lector tiene conocimientos básicos sobre enrutamiento y conectividad a Internet.

Este diseño admite varias conexiones externas, varias redes de nube privada virtual (VPC) de acceso a servicios que contienen servicios y puntos de acceso a servicios, así como varias redes de VPC de cargas de trabajo.

En este documento, el término puntos de acceso a servicios hace referencia a los puntos de acceso a servicios disponibles mediante el acceso a servicios privados y Private Service Connect. Google Cloud Network Connectivity Center es un modelo de plano de control de tipo eje y radio para gestionar la conectividad de red enGoogle Cloud. El recurso de hub proporciona una gestión de la conectividad centralizada para los radios de VPC de Network Connectivity Center.

Un hub de Network Connectivity Center es un plano de control global que aprende y distribuye rutas entre los distintos tipos de radios conectados a él. Los radios de VPC suelen insertar rutas de subred en la tabla de rutas del centro de conectividad centralizado. Los radios híbridos suelen insertar rutas dinámicas en la tabla de rutas del centro de conectividad centralizado. Con la información del plano de control del centro de conectividad de red, Google Cloud se establece automáticamente la conectividad del plano de datos entre los radios de Network Connectivity Center.

Network Connectivity Center es el método recomendado para interconectar VPCs y conseguir un crecimiento escalable en Google Cloud. Si debes insertar dispositivos virtuales de red (NVAs) en la ruta del tráfico, puedes usar la función de dispositivo de router para las rutas dinámicas o usar rutas estáticas o basadas en políticas junto con el emparejamiento de redes de VPC para interconectar VPCs. Para obtener más información, consulta el artículo Conectividad entre VPCs de Red Multinube con el emparejamiento entre redes de VPC.

Arquitectura

En el siguiente diagrama se muestra una vista general de la arquitectura de las redes y los diferentes flujos de paquetes que admite esta arquitectura.

La arquitectura contiene los siguientes elementos de alto nivel:

Componente	Finalidad	Interacciones
Redes externas (redes locales u otras redes de CSP)	Aloja los clientes de las cargas de trabajo que se ejecutan en las VPCs de cargas de trabajo y en las VPCs de acceso a servicios. Las redes externas también pueden alojar servicios.	Intercambia datos con las redes de VPC de Google Clouda través de la red de tránsito. Se conecta a la red de tránsito mediante Cloud Interconnect o VPN de alta disponibilidad. Termina uno de los extremos de los siguientes flujos: De externo a externo External-to-services-access External-to-Private-Service-Connect-consumer Externo a la carga de trabajo
Red de VPC de tránsito (también conocida como red de VPC de enrutamiento en Network Connectivity Center)	Actúa como un centro de la red externa, la red de VPC de acceso a servicios y las redes de VPC de cargas de trabajo.	Conecta la red externa, la red de VPC de acceso a servicios, la red de consumidor de Private Service Connect y las redes de VPC de cargas de trabajo mediante una combinación de Cloud Interconnect, VPN de alta disponibilidad y Network Connectivity Center.
Red de VPC de acceso a servicios	Proporciona acceso a los servicios que necesitan las cargas de trabajo que se ejecutan en las redes de VPC de las cargas de trabajo o en redes externas. También proporciona puntos de acceso a servicios gestionados que están alojados en otras redes.	Intercambia datos con las redes externas, de cargas de trabajo y de consumidores de Private Service Connect a través de la red de tránsito. Se conecta a la VPC de tránsito mediante una VPN de alta disponibilidad. El enrutamiento transitivo proporcionado por la VPN de alta disponibilidad permite que el tráfico externo llegue a las VPCs de los servicios gestionados a través de la red de VPC de acceso a los servicios. Termina uno de los extremos de los siguientes flujos: External-to-services-access Workload-to-services-access Services-access-to-Private-Service-Connect-consumer
Red de VPC de servicios gestionados	Aloja servicios gestionados que necesitan los clientes de otras redes.	Intercambia datos con las redes externas, de acceso a servicios, de consumidor de Private Service Connect y de cargas de trabajo. Se conecta a la red de VPC de acceso a servicios mediante el acceso a servicios privados, que usa el emparejamiento entre redes de VPC. La VPC de servicios gestionados también puede conectarse a la VPC de consumidor de Private Service Connect mediante Private Service Connect o el acceso a servicios privados. Termina un extremo de los flujos de todas las demás redes.
VPC de consumidor de Private Service Connect	Aloja los endpoints de Private Service Connect a los que se puede acceder desde otras redes. Esta VPC también puede ser una VPC de carga de trabajo.	Intercambia datos con las redes de VPC externas y de acceso a servicios a través de la red de VPC de tránsito. Se conecta a la red de tránsito y a otras redes de VPC de cargas de trabajo mediante radios de VPC de Network Connectivity Center.
Redes de VPC de cargas de trabajo	Aloja cargas de trabajo que necesitan los clientes de otras redes. Esta arquitectura permite tener varias redes de VPC de cargas de trabajo.	Intercambia datos con las redes de VPC externas y de acceso a servicios a través de la red de VPC de tránsito. Se conecta a la red de tránsito, a las redes de consumidores de Private Service Connect y a otras redes de VPC de cargas de trabajo mediante radios de VPC de Network Connectivity Center. Termina uno de los extremos de los siguientes flujos: Externo a la carga de trabajo Workload-to-services-access Workload-to-Private-Service-Connect-consumer De carga de trabajo a carga de trabajo
Network Connectivity Center	El eje de Network Connectivity Center incorpora una base de datos de enrutamiento global que sirve de plano de control de red para las rutas de subredes de VPC y conexiones híbridas en cualquier región de Google Cloud .	Interconecta varias redes de VPC e híbridas en una topología de cualquier a cualquier elemento mediante la creación de una ruta de datos que utilice la tabla de enrutamiento del plano de control.

En el siguiente diagrama se muestra una vista detallada de la arquitectura que destaca las cuatro conexiones entre los componentes:

Descripciones de las conexiones

En esta sección se describen las cuatro conexiones que se muestran en el diagrama anterior. En la documentación de Network Connectivity Center, la red de VPC de tránsito se denomina "VPC de enrutamiento". Aunque estas redes tienen nombres diferentes, cumplen el mismo propósito.

Conexión 1: entre redes externas y redes de VPC de tránsito

Esta conexión entre las redes externas y las redes de VPC de tránsito se produce a través de Cloud Interconnect o de una VPN de alta disponibilidad. Las rutas se intercambian mediante BGP entre los routers de Cloud Router de la red de VPC de tránsito y entre los routers externos de la red externa.

• Los routers de las redes externas anuncian las rutas de las subredes externas a los routers de Cloud de la VPC de tránsito. Por lo general, los routers externos de una ubicación determinada anuncian rutas de la misma ubicación externa como más preferidas que las rutas de otras ubicaciones externas. La preferencia de las rutas se puede expresar mediante métricas y atributos de BGP.
• Los routers de Cloud Router de la red de VPC de tránsito anuncian rutas de prefijos en las VPCs de Google Clouda las redes externas. Estas rutas deben anunciarse mediante anuncios de rutas personalizadas de Cloud Router.
• Network Connectivity Center te permite transferir datos entre diferentes redes on-premise mediante la red troncal de Google. Cuando configures las vinculaciones de VLAN de interconexión como radios híbridos de Network Connectivity Center, debes habilitar la transferencia de datos de sitio a sitio.
• Las vinculaciones de VLAN de Cloud Interconnect que proceden de los mismos prefijos de red externa se configuran como un solo radio de Network Connectivity Center.

Conexión 2: entre redes de VPC de tránsito y redes de VPC de acceso a servicios

Esta conexión entre las redes de VPC de tránsito y las redes de VPC de acceso a servicios se produce a través de una VPN de alta disponibilidad con túneles independientes para cada región. Las rutas se intercambian mediante BGP entre los routers de Cloud regionales de las redes de VPC de tránsito y de las redes de VPC de acceso a servicios.

• Los routers de Cloud de la VPN de alta disponibilidad de la VPC de tránsito anuncian rutas para prefijos de redes externas, VPCs de cargas de trabajo y otras VPCs de acceso a servicios al router de Cloud de la VPC de acceso a servicios. Estas rutas deben anunciarse mediante anuncios de rutas personalizadas de Cloud Router.
• La VPC de acceso a servicios anuncia sus subredes y las subredes de las redes de VPC de servicios gestionados conectadas a la red de VPC de tránsito. Las rutas de VPC de servicios gestionados y las rutas de subred de VPC de acceso a servicios se deben anunciar mediante anuncios de rutas personalizadas de Cloud Router.

Conexión 3: entre la red de VPC de tránsito, las redes de VPC de carga de trabajo y las redes de VPC de acceso a servicios de Private Service Connect

La conexión entre la red de VPC de tránsito, las redes de VPC de carga de trabajo y las redes de VPC de consumidor de Private Service Connect se produce cuando se intercambian subredes y rutas de prefijo mediante Network Connectivity Center. Esta conexión permite la comunicación entre las redes de VPC de cargas de trabajo, las redes de VPC de acceso a servicios que están conectadas como radios de VPC de Network Connectivity Center y otras redes que están conectadas como radios híbridos de Network Connectivity Center. Estas otras redes incluyen las redes externas y las redes de VPC de acceso a servicios que usan las conexiones 1 y 2, respectivamente.

• Los adjuntos de Cloud Interconnect o de VPN de alta disponibilidad de la red de VPC de tránsito usan Network Connectivity Center para exportar rutas dinámicas a las redes de VPC de la carga de trabajo.
• Cuando configuras la red VPC de la carga de trabajo como un radio del hub de Network Connectivity Center, la red VPC de la carga de trabajo exporta automáticamente sus subredes a la red VPC de tránsito. También puedes configurar la red de VPC de tránsito como una VPC de radio. No se exportan rutas estáticas de la red de VPC de la carga de trabajo a la red de VPC de tránsito. No se exportan rutas estáticas desde la red de VPC de tránsito a la red de VPC de la carga de trabajo.

Conexión 4: VPC de consumidor de Private Service Connect con propagación de Network Connectivity Center

• Los puntos finales de Private Service Connect se organizan en una VPC común que permite a los consumidores acceder a servicios gestionados propios y de terceros.
• La red de VPC del consumidor de Private Service Connect se configura como un spoke de VPC de Network Connectivity Center. Este radio habilita la propagación de Private Service Connect en el centro de Network Connectivity Center. La propagación de Private Service Connect anuncia el prefijo de host del endpoint de Private Service Connect como una ruta en la tabla de enrutamiento del centro de conectividad de red.
• Las redes de VPC de consumidor de acceso a servicios de Private Service Connect se conectan a redes de VPC de cargas de trabajo y a redes de VPC de tránsito. Estas conexiones permiten la conectividad transitiva a los endpoints de Private Service Connect. El centro de conectividad de red debe tener habilitada la propagación de la conexión de Private Service Connect.
• Network Connectivity Center crea automáticamente una ruta de datos desde todos los radios hasta el endpoint de Private Service Connect.

Flujos de tráfico

En el siguiente diagrama se muestran los flujos que se habilitan con esta arquitectura de referencia.

En la siguiente tabla se describen los flujos del diagrama:

Fuente	Destino	Descripción
Red externa	Red de VPC de acceso a servicios	El tráfico sigue las rutas a través de las conexiones externas a la red de tránsito. Las rutas las anuncia el Cloud Router orientado al exterior. El tráfico sigue la ruta personalizada hasta la red de VPC de acceso a servicios. La ruta se anuncia en la conexión VPN de alta disponibilidad. Si el destino está en una red de VPC de servicios gestionados conectada a la red de VPC de acceso a servicios mediante acceso a servicios privados, el tráfico sigue las rutas personalizadas de Network Connectivity Center hasta la red de servicios gestionados.
Red de VPC de acceso a servicios	Red externa	El tráfico sigue una ruta personalizada a través de los túneles de VPN de alta disponibilidad hasta la red de tránsito. El tráfico sigue las rutas a través de las conexiones externas de vuelta a la red externa. Las rutas se obtienen de los routers externos a través de BGP.
Red externa	Red de VPC de la carga de trabajo o red de VPC de consumidor de Private Service Connect	El tráfico sigue las rutas a través de las conexiones externas a la red de tránsito. Las rutas las anuncia el Cloud Router orientado al exterior. El tráfico sigue la ruta de la subred hasta la red de VPC de la carga de trabajo correspondiente. La ruta se obtiene a través de Network Connectivity Center.
Red de VPC de la carga de trabajo o red de VPC de consumidor de Private Service Connect	Red externa	El tráfico sigue una ruta dinámica de vuelta a la red de tránsito. La ruta se obtiene mediante una exportación de ruta personalizada de Network Connectivity Center. El tráfico sigue las rutas a través de las conexiones externas de vuelta a la red externa. Las rutas se obtienen de los routers externos a través de BGP.
Red VPC de la carga de trabajo	Red de VPC de acceso a servicios	El tráfico sigue las rutas hasta la red de VPC de tránsito. Las rutas se obtienen mediante una exportación de rutas personalizadas de Network Connectivity Center. El tráfico sigue una ruta a través de uno de los túneles VPN de alta disponibilidad hasta la red de VPC de acceso a servicios. Las rutas se aprenden de los anuncios de rutas personalizadas de BGP.
Red de VPC de acceso a servicios	Red VPC de la carga de trabajo	El tráfico sigue una ruta personalizada hasta la red de tránsito. La ruta se anuncia en los túneles de VPN de alta disponibilidad. El tráfico sigue la ruta de la subred hasta la red de VPC de la carga de trabajo correspondiente. La ruta se obtiene a través de Network Connectivity Center.
Red VPC de la carga de trabajo	Red VPC de la carga de trabajo	El tráfico que sale de una VPC de carga de trabajo sigue la ruta más específica a la otra VPC de carga de trabajo a través de Network Connectivity Center. El tráfico de retorno invierte esta ruta.

Productos usados

• Nube privada virtual (VPC): un sistema virtual que proporciona funciones de red globales y escalables para tus Google Cloud cargas de trabajo. VPC incluye el intercambio de tráfico entre redes de VPC, Private Service Connect, el acceso a servicios privados y la VPC compartida.
• Network Connectivity Center: un marco de orquestación que simplifica la conectividad de red entre los recursos de radio que están conectados a un recurso de gestión central llamado eje.
• Cloud Interconnect: un servicio que amplía tu red externa a la red de Google a través de una conexión de alta disponibilidad y baja latencia.
• Cloud VPN: un servicio que amplía de forma segura tu red de emparejamiento a la red de Google a través de un túnel VPN IPsec.
• Cloud Router: una oferta distribuida y totalmente gestionada que proporciona funciones de altavoz y de respuesta del protocolo de pasarela fronteriza (BGP). Cloud Router funciona con Cloud Interconnect, Cloud VPN y los dispositivos router para crear rutas dinámicas en redes de VPC basadas en rutas aprendidas personalizadas y recibidas por BGP.
• Cloud Next Generation Firewall: un servicio de cortafuegos totalmente distribuido con funciones de protección avanzadas, microsegmentación y gestión simplificada para proteger tus Google Cloud cargas de trabajo frente a ataques internos y externos.

Factores del diseño

En esta sección se describen los factores de diseño, las prácticas recomendadas y las recomendaciones de diseño que debes tener en cuenta al usar esta arquitectura de referencia para desarrollar una topología que cumpla tus requisitos específicos de seguridad, fiabilidad y rendimiento.

Seguridad y cumplimiento

En la siguiente lista se describen las consideraciones de seguridad y cumplimiento de esta arquitectura de referencia:

• Por motivos de cumplimiento, es posible que solo quieras desplegar cargas de trabajo en una región. Si quieres mantener todo el tráfico en una sola región, puedes usar una topología del 99,9 %.
• Usa Cloud Next Generation Firewall (NGFW de Cloud) para proteger el tráfico que entra y sale de las redes de VPC de acceso a servicios y de cargas de trabajo. Para inspeccionar el tráfico que pasa entre redes híbridas a través de la red de tránsito o entre redes externas y servicios gestionados por Google, debe usar firewalls externos o firewalls de NVA.
• Si necesitas inspeccionar el tráfico de la capa 7, habilita el servicio de detección y prevención de intrusiones (opcionalmente con compatibilidad con la inspección TLS) para bloquear la actividad maliciosa y proteger tus cargas de trabajo frente a las amenazas, con compatibilidad con vulnerabilidades, antispyware y antivirus. El servicio funciona creando endpoints de firewall zonales gestionados por Google que usan tecnología de interceptación de paquetes para inspeccionar las cargas de trabajo de forma transparente sin necesidad de reestructurar ninguna ruta. Cloud Next Generation Firewall Enterprise incurre en cargos por endpoint de firewall zonal y por tratamiento de datos.
• Si quieres permitir o bloquear el tráfico en función de los datos de Inteligencia de amenazas de Google, utiliza esta función. Se te aplican cargos por tratamiento de datos estándar de Cloud Next Generation Firewall.
• Habilita Almacenamiento de registros de reglas de cortafuegos y usa Firewall Insights para auditar, verificar el efecto, comprender y optimizar tus reglas de cortafuegos. El almacenamiento de registros de reglas de cortafuegos puede generar costes, por lo que te recomendamos que lo uses de forma selectiva.
• Habilita las pruebas de conectividad para asegurarte de que el tráfico se comporta como es debido.
• Habilita el registro y la monitorización según corresponda a tu tráfico y a tus necesidades de cumplimiento. Para obtener información valiosa sobre tus patrones de tráfico, usa VPC Flow Logs junto con Flow Analyzer.
• Usa Cloud IDS o el servicio de prevención de intrusos de Cloud NGFW Enterprise en modo de alerta para obtener más información sobre tu tráfico.

Fiabilidad

En la siguiente lista se describen las consideraciones sobre la fiabilidad de esta arquitectura de referencia:

• Para obtener una disponibilidad del 99,99% en Cloud Interconnect, debes conectarte a dos regiones de Google Cloud diferentes desde diferentes áreas metropolitanas en dos zonas distintas.
• Para mejorar la fiabilidad y minimizar la exposición a fallos regionales, puedes distribuir las cargas de trabajo y otros recursos de la nube entre regiones.
• Para gestionar el tráfico previsto, crea un número suficiente de túneles VPN. Los túneles VPN individuales tienen límites de ancho de banda.

Optimización del rendimiento

En la siguiente lista se describen los aspectos relacionados con el rendimiento de esta arquitectura de referencia:

• Puedes mejorar el rendimiento de la red aumentando la unidad de transmisión máxima (MTU) de tus redes y conexiones. Para obtener más información, consulta Unidad máxima de transmisión.
• La comunicación entre la VPC de tránsito y los recursos de carga de trabajo se realiza a través de una conexión de Network Connectivity Center. Esta conexión proporciona un rendimiento de velocidad de línea completa para todas las máquinas virtuales de la red sin coste adicional. Tienes varias opciones para conectar tu red externa a la red de tránsito. Para obtener más información sobre cómo equilibrar los costes y el rendimiento, consulta el artículo Elegir un producto de conectividad de red.

Implementación

En esta sección se explica cómo implementar la conectividad entre VPCs de Cross-Cloud Network mediante la arquitectura de Network Connectivity Center descrita en este documento.

La arquitectura de este documento crea tres tipos de conexiones a una VPC de tránsito central, además de una conexión entre redes de VPC de cargas de trabajo y redes de VPC de cargas de trabajo. Una vez que Network Connectivity Center esté completamente configurado, establecerá la comunicación entre todas las redes.

En esta implementación se presupone que vas a crear conexiones entre las redes externas y de tránsito de dos regiones, aunque las subredes de las cargas de trabajo pueden estar en otras regiones. Si las cargas de trabajo se colocan en una sola región, las subredes solo se deben crear en esa región.

Para implementar esta arquitectura de referencia, completa las siguientes tareas:

1. Crear segmentación de redes con Network Connectivity Center
2. Identificar las regiones en las que se colocarán la conectividad y las cargas de trabajo
3. Crea tus redes y subredes de VPC
4. Crear conexiones entre redes externas y tu red de VPC de tránsito
5. Crear conexiones entre tu red de VPC de tránsito y las redes de VPC de acceso a servicios
6. Establecer la conectividad entre la red de VPC de tránsito y las redes de VPC de las cargas de trabajo
7. Configurar políticas de Cloud NGFW
8. Probar la conectividad con las cargas de trabajo

Crear segmentación de red con Network Connectivity Center

Antes de crear un centro de conectividad de red por primera vez, debes decidir si quieres usar una topología de malla completa o una topología de estrella. La decisión de comprometerse con una malla completa de VPCs interconectadas o con una topología de estrella de VPCs es irreversible. Sigue estas directrices generales para tomar esta decisión irreversible:

• Si la arquitectura empresarial de tu organización permite el tráfico entre cualquiera de tus redes de VPC, utiliza la malla de Network Connectivity Center.
• Si no se permite el flujo de tráfico entre determinados radios de VPC, pero estos radios de VPC pueden conectarse a un grupo principal de radios de VPC, utiliza una topología de estrella de Network Connectivity Center.

Identificar las regiones en las que colocar la conectividad y las cargas de trabajo

En general, te recomendamos que coloques la conectividad y las cargas de trabajo cerca de tus redes on-premise u otros clientes de la nube. Google Cloud Para obtener más información sobre cómo colocar cargas de trabajo, consulta Google Cloud Selector de regiones y Prácticas recomendadas para seleccionar regiones de Compute Engine.

Crea tus redes y subredes de VPC

Para crear tus redes y subredes de VPC, completa las siguientes tareas:

1. Crea o identifica los proyectos en los que crearás tus redes de VPC. Para obtener más información, consulta el artículo Segmentación de red y estructura de proyectos. Si tienes previsto usar redes de VPC compartida, aprovisiona tus proyectos como proyectos host de VPC compartida.

2. Planifica las asignaciones de direcciones IP de tus redes. Puedes preasignar y reservar tus intervalos creando intervalos internos. De esta forma, la configuración y las operaciones posteriores serán más sencillas.

3. Crea una red de VPC de tránsito con el enrutamiento global habilitado.

4. Crea redes de VPC de acceso a servicios. Si tienes previsto tener cargas de trabajo en varias regiones, habilita el enrutamiento global.

5. Crea redes de VPC de carga de trabajo. Si vas a tener cargas de trabajo en varias regiones, habilita el enrutamiento global.

Crear conexiones entre redes externas y tu red de VPC de tránsito

En esta sección se presupone que hay conectividad en dos regiones y que las ubicaciones externas están conectadas y pueden conmutar por error entre sí. También se presupone que los clientes de una ubicación externa prefieren acceder a los servicios de la región en la que se encuentra la ubicación externa.

1. Configura la conectividad entre las redes externas y tu red de tránsito. Para saber cómo abordar esta cuestión, consulta el artículo Conectividad externa e híbrida. Para obtener ayuda sobre cómo elegir un producto de conectividad de red, consulta el artículo Elegir un producto de conectividad de red.

2. Configura BGP en cada región conectada de la siguiente manera:

   • Configure el router de la ubicación externa indicada de la siguiente manera:
     • Anuncia todas las subredes de esa ubicación externa usando el mismo MED de BGP en ambas interfaces, como 100. Si ambas interfaces anuncian la misma MED, Google Cloud puede usar ECMP para equilibrar la carga del tráfico entre ambas conexiones.
     • Anuncia todas las subredes de la otra ubicación externa usando un MED de menor prioridad que el de la primera región (por ejemplo, 200). Anunciar el mismo MED desde ambas interfaces.
   • Configure el Cloud Router orientado al exterior en la VPC de tránsito de la región conectada de la siguiente manera:
     • Define un ASN privado para tu Cloud Router.
     • Usa anuncios de rutas personalizadas para anunciar todos los intervalos de subredes de todas las regiones a través de ambas interfaces de Cloud Router orientadas al exterior. Agrégalos si es posible. Usa el mismo MED en ambas interfaces, como 100.

3. Trabaja con hubs y spokes híbridos de Network Connectivity Center con los parámetros predeterminados.

   • Crea un hub de Network Connectivity Center. Si tu organización permite el tráfico entre todas tus redes de VPC, usa la configuración de malla completa predeterminada.
   • Si usas Partner Interconnect, Interconexión dedicada, VPN de alta disponibilidad o un dispositivo de router para acceder a prefijos locales, configura estos componentes como radios híbridos de Network Connectivity Center diferentes.
     • Para anunciar las subredes de la tabla de rutas del hub de Network Connectivity Center a los vecinos BGP remotos, defina un filtro que incluya todos los intervalos de direcciones IPv4.
     • Si la conectividad híbrida finaliza en un Cloud Router de una región que admite la transferencia de datos, configure el spoke híbrido con la transferencia de datos de sitio a sitio habilitada. De esta forma, se admite la transferencia de datos entre sitios que utiliza la red troncal de Google.

Crear conexiones entre tu red de VPC de tránsito y las redes de VPC de acceso a servicios

Para proporcionar un enrutamiento transitivo entre las redes externas y la VPC de acceso a servicios, y entre las VPCs de carga de trabajo y la VPC de acceso a servicios, esta última usa una VPN de alta disponibilidad para la conectividad.

1. Calcula la cantidad de tráfico que debe desplazarse entre las VPCs de tránsito y de acceso a servicios de cada región. Ajusta el número de túneles previsto en consecuencia.

2. Configura una VPN de alta disponibilidad entre la red de VPC de tránsito y la red de VPC de acceso a servicios de la región A siguiendo las instrucciones que se indican en el artículo Crear pasarelas de VPN de alta disponibilidad para conectar redes de VPC. Crea un Cloud Router de VPN de alta disponibilidad dedicado en la red VPC de tránsito. Deja el router orientado a la red externa para las conexiones de red externas.

   • Configuración de Cloud Router de la VPC de tránsito:
     • Para anunciar subredes de VPC de redes externas y cargas de trabajo a la VPC de acceso a servicios, usa anuncios de rutas personalizadas en Cloud Router en la VPC de tránsito.
   • Configuración de Cloud Router de VPC de acceso a servicios:
     • Para anunciar las subredes de la red de VPC de acceso a servicios a la VPC de tránsito, usa anuncios de ruta personalizada en el Cloud Router de la red de VPC de acceso a servicios.
     • Si usas acceso a servicios privados para conectar una red de VPC de servicios gestionados a la VPC de acceso a servicios, usa rutas personalizadas para anunciar también esas subredes.
   • En el lado de la VPC de tránsito del túnel VPN de alta disponibilidad, configure el par de túneles como un spoke híbrido de Network Connectivity Center:
     • Para admitir la transferencia de datos entre regiones, configura el spoke híbrido con la transferencia de datos de sitio a sitio habilitada.
     • Para anunciar las subredes de la tabla de rutas del hub de Network Connectivity Center a los vecinos BGP remotos, define un filtro que incluya todos los intervalos de direcciones IPv4. Esta acción anuncia todas las rutas de subred IPv4 al vecino.
       • Para instalar rutas dinámicas cuando la capacidad del router externo sea limitada, configure Cloud Router para que anuncie una ruta de resumen con un anuncio de ruta personalizado. Usa este método en lugar de anunciar la tabla de rutas completa del centro de conectividad de red.

3. Si conectas una VPC de servicios gestionados a la VPC de acceso a servicios mediante el acceso a servicios privados después de establecer la conexión de emparejamiento entre redes de VPC, también debes actualizar el lado de la VPC de acceso a servicios de la conexión de emparejamiento entre redes de VPC para exportar rutas personalizadas.

Establecer la conectividad entre tu red de VPC de tránsito y las redes de VPC de las cargas de trabajo

Para establecer la conectividad entre VPCs a gran escala, usa Network Connectivity Center con radios de VPC. Network Connectivity Center admite dos tipos de modelos de plano de datos: el modelo de plano de datos de malla completa y el modelo de plano de datos de topología de estrella.

• Si todas tus redes pueden comunicarse entre sí, establece una conectividad de malla completa.
• Si la arquitectura de tu empresa requiere una topología punto a multipunto, establece la conectividad de topología de estrella.

Establecer una conectividad de malla completa

Los radios de VPC de Network Connectivity Center incluyen las VPCs de tránsito, las VPCs de consumidor de Private Service Connect y todas las VPCs de carga de trabajo.

• Aunque Network Connectivity Center crea una red totalmente mallada de radios de VPC, los operadores de red deben permitir el flujo de tráfico entre las redes de origen y las de destino mediante reglas o políticas de cortafuegos.
• Configura todas las VPCs de carga de trabajo, de tránsito y de consumidor de Private Service Connect como radios de VPC de Network Connectivity Center. No puede haber solapamientos de subredes entre las VPC de spoke.
  • Cuando configures la VPC de spoke, anuncia los intervalos de subredes de direcciones IP no superpuestas a la tabla de rutas del hub de Network Connectivity Center:
    • Incluye los intervalos de subred exportados.
    • Excluir intervalos de subredes de exportación.
• Si los radios de VPC están en proyectos diferentes y los administran administradores distintos de los del hub de Network Connectivity Center, los administradores de los radios de VPC deben iniciar una solicitud para unirse al hub de Network Connectivity Center en los otros proyectos.
  • Usa los permisos de gestión de identidades y accesos (IAM) en el proyecto de centro de conectividad de red para asignar el rol roles/networkconnectivity.groupUser a ese usuario.
• Para que las conexiones de servicio privadas sean accesibles de forma transitiva y global desde otros radios de Network Connectivity Center, habilita la propagación de las conexiones de Private Service Connect en el centro de conectividad de red.

Si no se permite la comunicación entre VPCs de carga de trabajo con una topología de malla completa, considera la posibilidad de usar una topología de estrella de Network Connectivity Center.

Establecer la conectividad de la topología de estrella

Las arquitecturas empresariales centralizadas que requieren una topología punto a multipunto pueden usar una topología de estrella de Network Connectivity Center.

Para usar una topología de estrella de Network Connectivity Center, completa las siguientes tareas:

1. En Network Connectivity Center, crea un hub y especifica una topología de estrella.
2. Para permitir que las conexiones de servicio privadas sean accesibles de forma transitiva y global desde otros radios de Network Connectivity Center, habilita la propagación de las conexiones de Private Service Connect en el centro de conectividad de red.
3. Cuando configuras el hub de Network Connectivity Center para una topología de estrella, puedes agrupar las VPCs en uno de los dos grupos predeterminados: grupos centrales o grupos periféricos.

4. Para agrupar las VPCs en el grupo central, configura la VPC de tránsito y las VPCs de consumidor de Private Service Connect como radios de VPC de Network Connectivity Center en el grupo central.

   Network Connectivity Center crea una red totalmente mallada entre los radios de VPC que se colocan en el grupo central.

5. Para agrupar las VPCs de las cargas de trabajo en el grupo de perímetro, configura cada una de estas redes como radios de VPC de Network Connectivity Center en ese grupo.

   Network Connectivity Center crea una ruta de datos punto a punto desde cada radio de VPC de Network Connectivity Center a todas las VPCs del grupo central.

Configurar políticas de Cloud NGFW

Además de las directrices de Seguridad y cumplimiento, consulta las prácticas recomendadas para las reglas de firewall.

Más consideraciones:

• Te recomendamos que uses políticas de cortafuegos de red en lugar de reglas de cortafuegos de VPC si tus cargas de trabajo se ejecutan en máquinas virtuales de Compute Engine. Las políticas de cortafuegos de red ofrecen ventajas como la seguridad granular y el control de acceso mediante el uso de etiquetas, la gestión simplificada de reglas, la facilidad de las operaciones, un conjunto de funciones más completo y la residencia de datos flexible. Si ya tienes reglas de cortafuegos de VPC, puedes usar la herramienta de migración de reglas de cortafuegos de VPC para facilitar la migración a una política de cortafuegos de red global.
• Google Kubernetes Engine crea y gestiona automáticamente determinadas reglas de firewall de VPC para permitir el tráfico esencial, por lo que te recomendamos que no modifiques ni elimines esas reglas. Sin embargo, las políticas de cortafuegos de red se pueden seguir usando junto con las reglas de cortafuegos de VPC y, opcionalmente, cambiar el orden de aplicación de las políticas.
• Te recomendamos que uses etiquetas en lugar de etiquetas de red con reglas de cortafuegos debido a los controles de gestión de identidades y accesos, la mejora de la escalabilidad y la compatibilidad con las políticas de cortafuegos de red. Sin embargo, las etiquetas no son compatibles con las políticas de cortafuegos jerárquicas ni con las redes emparejadas de Network Connectivity Center, por lo que, en esos casos, debe crear reglas basadas en intervalos CIDR.

1. Si quieres habilitar la inspección de nivel 7 en Cloud NGFW, configura el servicio de prevención de intrusiones, incluidos los perfiles de seguridad, el endpoint del cortafuegos y la asociación de VPC.
2. Crea una política de cortafuegos de red global y las reglas de cortafuegos que necesites. Ten en cuenta las reglas implícitas para permitir el tráfico de salida y denegar el de entrada que hay en todas las redes de VPC.
3. Asocia la política a las redes de VPC.
4. Si ya usas reglas de cortafuegos de VPC en tus redes, puede que quieras cambiar el orden de evaluación de las políticas y las reglas para que las nuevas reglas se evalúen antes que las reglas de cortafuegos de VPC.
5. Si quiere, habilite el registro de reglas de cortafuegos.

Probar la conectividad con las cargas de trabajo

Si ya has desplegado cargas de trabajo en tus redes de VPC, prueba el acceso a ellas ahora. Si has conectado las redes antes de implementar las cargas de trabajo, puedes hacerlo ahora y probarlas.

Siguientes pasos

• Consulta más información sobre los Google Cloud productos que se usan en esta guía de diseño:
  • Redes de VPC
  • Network Connectivity Center
  • Cloud Interconnect
  • VPN de alta disponibilidad
• Para ver más arquitecturas de referencia, diagramas y prácticas recomendadas, consulta el centro de arquitectura de Cloud.

Colaboradores

Autores:

• Eric Yu | Ingeniero de clientes especialista en redes
• Deepak Michael | Ingeniero de clientes especialista en redes
• Victor Moreno | Product Manager, Cloud Networking
• Osvaldo Costa | Ingeniero de clientes especializado en redes

Otros colaboradores:

• Mark Schlagenhauf | Redactor técnico de redes
• Ammett Williams | Ingeniero de Relaciones con Desarrolladores
• Ghaleb Al-habian | Especialista en redes
• Tony Sarathchandra | Responsable de producto sénior