En este documento se proporciona una arquitectura de referencia que puede usar para implementar una topología de red de tipo estrella de Cross-Cloud Network que utilice dispositivos virtuales de red (NVAs) para transferir tráfico.
Este documento está dirigido a administradores de redes que crean conectividad de red y arquitectos de la nube que planifican cómo se implementan las cargas de trabajo. En este documento se presupone que tienes conocimientos básicos sobre el enrutamiento, la conectividad a Internet y el software de la NVA que quieres implementar. Para usar esta arquitectura de referencia, debes conocer la guía de diseño de Cross-Cloud Network.
Este diseño admite varias conexiones externas a ubicaciones on-premise o de proveedores de servicios en la nube (CSP) y varias redes de VPC de cargas de trabajo.
Este diseño presupone una implementación en una sola región. Ofrece afinidad regional, pero no conmutación por error regional. Si quieres desplegar en más de una región, puedes usar el Google Cloud arquetipo de despliegue multirregional.
Este diseño coloca las NVAs en todos los flujos, excepto en los que se producen dentro de las redes de VPC de las cargas de trabajo y entre ellas. Puedes hacer que los flujos omitan las VAs añadiendo las rutas basadas en políticas de omisión adecuadas. Solo los flujos entre la red externa y la red de VPC de acceso a servicios necesitan NVAs, ya que Cloud Next Generation Firewall puede inspeccionar todos los demás flujos.
Arquitectura
En el siguiente diagrama se muestra una vista general de la arquitectura de las redes y los flujos que admite.
La arquitectura contiene los siguientes elementos de alto nivel:
| Componente | Finalidad | Interacciones |
|---|---|---|
| Redes externas (on-premise u otra red de CSP) | Aloja los clientes de las cargas de trabajo que se ejecutan en las VPCs de cargas de trabajo y en las VPCs de acceso a servicios. Las redes externas también pueden alojar servicios. | Intercambia datos con las redes de VPC de Google Clouda través de las NVAs alojadas en la red de VPC de enrutamiento. Se conecta a la red de VPC de enrutamiento mediante Cloud Interconnect o VPN de alta disponibilidad. Termina uno de los extremos de los siguientes flujos:
|
| Red de VPC de enrutamiento (también conocida como red de VPC de tránsito) | Actúa como un centro de la red externa, la red de VPC de acceso a servicios y las redes de VPC de cargas de trabajo. Aloja las NVAs que se usan para procesar el tráfico entre redes. | Conecta la red externa, la red de VPC de acceso a servicios y las redes de VPC de cargas de trabajo mediante una combinación de Cloud Interconnect, VPN de alta disponibilidad y emparejamiento entre redes de VPC. Cuando el tráfico de las redes externas, de acceso a servicios y de cargas de trabajo pasa por la red de enrutamiento, las rutas basadas en políticas envían el tráfico a las NVAs. |
| Red de VPC de acceso a servicios | Proporciona puntos de acceso a servicios gestionados alojados en otras redes. La red de acceso a servicios también puede alojar servicios directamente si es necesario. | Intercambia datos con las redes externas y de cargas de trabajo a través de la red de enrutamiento. Se conecta a la VPC de enrutamiento mediante una VPN de alta disponibilidad. El enrutamiento transitivo, que proporciona la VPN de alta disponibilidad, permite que el tráfico externo llegue a las VPCs de los servicios gestionados a través de la red de VPC de acceso a servicios. Si la red de VPC de acceso a servicios aloja servicios directamente, finaliza un extremo de los flujos de todas las demás redes. |
| Red de VPC de servicios gestionados | Aloja servicios gestionados que necesitan los clientes de otras redes. | Intercambia datos con las redes externas, de acceso a servicios y de cargas de trabajo. Se conecta a la red de VPC de acceso a servicios mediante el acceso privado a servicios, que usa el emparejamiento entre redes de VPC, o mediante Private Service Connect. Termina un extremo de los flujos de todas las demás redes. |
| Redes de VPC de cargas de trabajo | Aloja cargas de trabajo que necesitan los clientes de otras redes. | Intercambia datos con las redes de VPC externas y de acceso a servicios a través de la red de VPC de enrutamiento. Se conecta a la red de enrutamiento mediante el emparejamiento entre redes de VPC. Se conecta a otras redes de VPC de cargas de trabajo mediante Network Connectivity Center. Termina uno de los extremos de los siguientes flujos:
|
| Red de VPC con acceso a Internet | Proporciona acceso a Internet a las cargas de trabajo que lo necesiten. | Proporciona acceso saliente a Internet para las cargas de trabajo que necesitan descargar actualizaciones u otros datos de Internet. Los datos se transfieren a través de las NVAs y salen a través de Cloud NAT. Termina uno de los extremos de los siguientes flujos:
|
Descripciones de las conexiones
En el siguiente diagrama se muestra una vista detallada de la arquitectura que destaca las cuatro conexiones entre las redes:
En esta sección se describen las cuatro conexiones que se muestran en el diagrama anterior.
Conexión 1: entre redes externas y la red de VPC de enrutamiento
Esta conexión entre redes externas y redes de VPC de enrutamiento se produce a través de Cloud Interconnect o de una VPN de alta disponibilidad. Los routers de Cloud Router de la red de VPC de enrutamiento y los routers externos de la red externa intercambian rutas mediante BGP.
- Los routers de las redes externas anuncian las rutas de las subredes externas a los routers de Cloud Router de la VPC de enrutamiento. La preferencia de las rutas se puede expresar mediante métricas y atributos de BGP.
- Los routers de Cloud Router de la red de VPC de enrutamiento anuncian rutas de prefijos de las VPCs de Google Clouda las redes externas. Estas rutas deben anunciarse mediante anuncios de rutas personalizadas de Cloud Router.
Conexión 2: entre redes de VPC de enrutamiento y redes de VPC de acceso a servicios
Esta conexión entre las redes de VPC de enrutamiento y las redes de VPC de acceso a servicios se produce a través de una VPN de alta disponibilidad. Las rutas se intercambian mediante BGP entre los routers de Cloud regionales de las redes de VPC de enrutamiento y las redes de VPC de acceso a servicios.
- Enrutamiento de Cloud Routers de VPN de alta disponibilidad de VPC Los Cloud Routers anuncian rutas para prefijos de redes externas, VPCs de cargas de trabajo y otras VPCs de acceso a servicios al Cloud Router de la VPC de acceso a servicios. Estas rutas deben anunciarse mediante anuncios de rutas personalizadas de Cloud Router.
- La red de VPC de acceso a servicios anuncia sus subredes y las subredes de las redes de VPC de servicios gestionados conectadas a la red de VPC de routing. Las rutas de VPC de servicios gestionados deben anunciarse mediante anuncios de rutas personalizadas de Cloud Router.
Conexión 3: entre redes de VPC de enrutamiento y redes de VPC de cargas de trabajo
Esta conexión entre las redes de VPC de enrutamiento y las redes de VPC de cargas de trabajo se implementa mediante el emparejamiento entre redes de VPC. Esta conexión permite la comunicación entre las redes de VPC de la carga de trabajo y las demás redes conectadas a la red de VPC de enrutamiento. Estas otras redes incluyen las redes externas y las redes de VPC de acceso a servicios.
- La red de VPC de la carga de trabajo exporta automáticamente las subredes a la red de VPC de enrutamiento.
Conexión 4: entre redes de VPC de cargas de trabajo
Las redes de VPC de carga de trabajo se conectan mediante los radios de VPC del mismo hub de Network Connectivity Center. Por lo tanto, el tráfico de una red de VPC de carga de trabajo a otra se desplaza directamente entre las redes. El tráfico no transita por la red de VPC de enrutamiento.
Flujos de tráfico
En el siguiente diagrama se muestran los cuatro flujos que se habilitan con esta arquitectura de referencia.
En la siguiente tabla se describen los flujos del diagrama:
| Fuente | Destino | Descripción |
|---|---|---|
| Red externa | Red de VPC de acceso a servicios |
|
| Red de VPC de acceso a servicios | Red externa |
|
| Red externa | Red VPC de la carga de trabajo |
|
| Red VPC de la carga de trabajo | Red externa |
|
| Red VPC de la carga de trabajo | Red de VPC de acceso a servicios |
|
| Red de VPC de acceso a servicios | Red VPC de la carga de trabajo |
|
| Red VPC de la carga de trabajo | Red VPC de la carga de trabajo | El tráfico que sale de una red de VPC de carga de trabajo sigue la ruta más específica a la otra red de VPC de carga de trabajo a través de Network Connectivity Center. El tráfico de retorno invierte esta ruta. Este tráfico no pasa por las NVAs. |
Productos usados
Esta arquitectura de referencia usa los siguientes Google Cloud productos:
- Nube privada virtual (VPC): un sistema virtual que proporciona funciones de red globales y escalables para tus Google Cloud cargas de trabajo. VPC incluye el intercambio de tráfico entre redes de VPC, Private Service Connect, el acceso a servicios privados y la VPC compartida.
- Network Connectivity Center: un marco de orquestación que simplifica la conectividad de red entre los recursos de radio que están conectados a un recurso de gestión central llamado eje.
- Cloud Interconnect: un servicio que amplía tu red externa a la red de Google a través de una conexión de alta disponibilidad y baja latencia.
- Cloud VPN: un servicio que amplía de forma segura tu red de emparejamiento a la red de Google a través de un túnel VPN IPsec.
- Cloud Router: una oferta distribuida y totalmente gestionada que proporciona funciones de altavoz y de respuesta del protocolo de pasarela fronteriza (BGP). Cloud Router funciona con Cloud Interconnect, Cloud VPN y los dispositivos router para crear rutas dinámicas en redes de VPC basadas en rutas aprendidas personalizadas y recibidas por BGP.
- Compute Engine: un servicio de computación seguro y personalizable con el que puedes crear y ejecutar máquinas virtuales en la infraestructura de Google.
- Cloud Load Balancing: una cartera de balanceadores de carga de alto rendimiento, escalables, globales y regionales.
- Cloud Next Generation Firewall: un servicio de cortafuegos totalmente distribuido con funciones de protección avanzadas, microsegmentación y gestión simplificada para proteger tus Google Cloud cargas de trabajo frente a ataques internos y externos.
Consideraciones de diseño
En esta sección se describen los factores de diseño, las prácticas recomendadas y las recomendaciones de diseño que debes tener en cuenta al usar esta arquitectura de referencia para desarrollar una topología que cumpla tus requisitos específicos de seguridad, fiabilidad y rendimiento.
Seguridad y cumplimiento
En la siguiente lista se describen las consideraciones de seguridad y cumplimiento de esta arquitectura de referencia:
- Por motivos de cumplimiento, puede que solo quieras implementar Cloud Interconnect en una región. Si quieres mantener todo el tráfico en una sola región, puedes usar una topología del 99,9 %. Para obtener más información, consulta Establecer un 99,9% de disponibilidad en la interconexión dedicada y Establecer un 99,9% de disponibilidad en Partner Interconnect.
- Usa Cloud Next Generation Firewall para proteger el tráfico que se desplaza entre redes de VPC de cargas de trabajo.
- Si necesitas inspeccionar el tráfico de la capa 7, habilita el servicio de detección y prevención de intrusiones (opcionalmente con compatibilidad con la inspección de TLS) para bloquear la actividad maliciosa y proteger tus cargas de trabajo frente a las amenazas. El servicio ayuda a ofrecer protección contra vulnerabilidades, spyware y virus. El servicio funciona creando endpoints de firewall zonales gestionados por Google que usan tecnología de interceptación de paquetes para inspeccionar las cargas de trabajo de forma transparente sin necesidad de reestructurar ninguna ruta. Cloud Next Generation Firewall Enterprise incurre en cargos por endpoint de firewall zonal y por tratamiento de datos.
- Habilita Inteligencia frente a amenazas de Google para las reglas de la política de cortafuegos para permitir o bloquear conexiones en función de los datos de Inteligencia frente a amenazas de Google.
- Usa objetos de geolocalización para las reglas de políticas de cortafuegos para permitir el tráfico solo de los países permitidos y bloquear los países sometidos a embargo.
- Habilita el registro y la monitorización según tus necesidades de tráfico y cumplimiento. Puedes usar registros de flujo de VPCs para obtener información valiosa sobre tus patrones de tráfico.
- Usa Cloud IDS para obtener más información sobre tu tráfico.
- Si las NVAs deben conectarse a ubicaciones de Internet para descargar actualizaciones, configura Cloud NAT en la red de VPC de acceso a Internet.
- Si quieres que los clientes de tu red externa accedan directamente a las APIs de Google, crea una ruta basada en políticas en la red VPC de enrutamiento de la siguiente manera:
- Intervalo de origen: un intervalo agregado de tu red externa.
- Intervalo de destino:
199.36.153.4/30 - Siguiente salto:
default-internet-gateway
Si quieres que tus Google Cloud VMs accedan a las APIs de Google a través de conexiones privadas, haz lo siguiente:
- En cada red de VPC, habilita Acceso privado de Google.
- En cada red de carga de trabajo, crea una ruta basada en políticas para acceder a las APIs de Google:
- Intervalo de origen: el intervalo de direcciones de la subred de la VPC de la carga de trabajo.
- Intervalo de destino:
199.36.153.4/30 - Siguiente salto:
default-internet-gateway
- Crea una política de respuestas de DNS para el acceso privado de Google que se aplique a la red de VPC de enrutamiento y a todas las redes de VPC de cargas de trabajo.
En la política de respuesta de DNS, crea una regla de la siguiente manera:
- Nombre de DNS:
*.googleapis.com. Datos locales:
name="*.googleapis.com.",type="A",ttl=3600,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
- Nombre de DNS:
Fiabilidad
En la siguiente lista se describen las consideraciones sobre la fiabilidad de esta arquitectura de referencia:
- Para obtener una disponibilidad del 99,99% en Cloud Interconnect, debes conectarte a dos regiones Google Cloud diferentes, aunque solo tengas máquinas virtuales en una región.
- Para mejorar la fiabilidad y minimizar la exposición a fallos regionales, puedes duplicar tu implementación en varias regiones mediante el Google Cloud arquetipo de implementación multirregional.
- Para gestionar el tráfico previsto entre la VPC de acceso a servicios y otras redes, crea un número suficiente de túneles VPN. Los túneles VPN individuales tienen límites de ancho de banda. Las mismas directrices se aplican si usas una VPN de alta disponibilidad entre tus redes externas y la red VPC de enrutamiento.
Optimización del rendimiento
En la siguiente lista se describen los aspectos relacionados con el rendimiento de esta arquitectura de referencia:
- Puedes mejorar el rendimiento de la red aumentando la unidad de transmisión máxima (MTU) de tus redes y conexiones. Para obtener más información, consulta Unidad máxima de transmisión.
- La comunicación entre la VPC de enrutamiento y los recursos de la carga de trabajo se realiza a través del emparejamiento de redes de VPC, que proporciona un rendimiento de velocidad de línea completa para todas las máquinas virtuales de la red sin coste adicional. Ten en cuenta las cuotas y los límites del emparejamiento entre redes de VPC al planificar tu implementación.
- Puedes conectar tu red externa a la red de VPC de enrutamiento mediante VPN de alta disponibilidad o Cloud Interconnect. Para obtener más información sobre cómo equilibrar los costes y el rendimiento, consulta Elegir un producto de conectividad de red.
Implementación
La arquitectura de este documento crea tres conjuntos de conexiones a una red de VPC de enrutamiento central, además de una conexión diferente entre las redes de VPC de las cargas de trabajo. Una vez que se hayan configurado todas las conexiones, todas las redes de la implementación podrán comunicarse entre sí.
En esta implementación se presupone que vas a crear conexiones entre la red externa y las redes de VPC de enrutamiento en una región. Sin embargo, las subredes de cargas de trabajo pueden estar en cualquier región. Si solo vas a colocar cargas de trabajo en una región, solo tienes que crear subredes en esa región.
Para implementar esta arquitectura de referencia, completa las siguientes tareas:
- Identificar las regiones en las que se colocarán la conectividad y las cargas de trabajo
- Crea tus redes y subredes de VPC
- Crear etiquetas de recursos para controlar las reglas de cortafuegos
- Crear y asociar políticas de cortafuegos de red
- Crear conexiones entre redes externas y tu red de VPC de enrutamiento
- Crear conexiones entre tu red de VPC de enrutamiento y las redes de VPC de acceso a servicios
- Crea conexiones entre tu red de VPC de enrutamiento y las redes de VPC de las cargas de trabajo.
- Conecta tus redes de VPC de cargas de trabajo
- Instalar NVAs
- Crear un enrutamiento de servicio
- Configurar el acceso a Internet en la red de acceso a Internet
- Probar la conectividad con las cargas de trabajo
Identificar las regiones en las que colocar la conectividad y las cargas de trabajo
Por lo general, te conviene colocar la conectividad, las subredes de VPC y las Google Cloud cargas de trabajo cerca de tus redes on-premise u otros clientes de la nube. Para obtener más información sobre cómo colocar cargas de trabajo, consulta Google Cloud Selector de regiones y Prácticas recomendadas para seleccionar regiones de Compute Engine.
Crea tus redes y subredes de VPC
Para crear tus redes y subredes de VPC, completa las siguientes tareas:
- Crea o identifica los proyectos en los que crearás tus redes VPC. Necesitas un proyecto de enrutamiento en el que alojar tu conectividad externa y otro proyecto para alojar tus redes de VPC de acceso a servicios y de cargas de trabajo. Para obtener más información, consulta Segmentación de red y estructura de proyectos. Si tienes previsto usar redes de VPC compartida, aprovisiona tus proyectos como proyectos host de VPC compartida.
- Planifica las asignaciones de direcciones IP de tus redes. Puedes preasignar y reservar tus intervalos creando intervalos internos. Asignar bloques de direcciones que se puedan agregar facilita la configuración y las operaciones posteriores.
- Crea una red de VPC y una subred de VPC de enrutamiento en el proyecto de enrutamiento. Si crees que vas a tener más de una región, habilita el enrutamiento global.
- Crea una red VPC y una subred con acceso a Internet en el proyecto de enrutamiento.
- Crea una red de VPC y una subred de acceso a servicios en el proyecto host. Si crees que vas a tener más de una región, habilita el enrutamiento global.
- Crea redes y subredes de VPC de cargas de trabajo en los proyectos host. Si crees que vas a tener más de una región, habilita el enrutamiento global.
Crear etiquetas de recursos para controlar las reglas de Cloud Next Generation Firewall
Crea las siguientes etiquetas. Puedes ponerles el nombre que quieras. Los nombres que se indican son solo ejemplos.
- En la red de VPC de enrutamiento:
- Clave:
routing-vpc-tags - Valor:
routing-vpc-multinic - Objetivo:
GCE_FIREWALL - Purpose-data: el nombre de la red VPC de enrutamiento.
- Clave:
En cada red de VPC de carga de trabajo:
Clave:
WORKLOAD_NAME-tagsSustituye
WORKLOAD_NAMEpor el nombre de la red VPC de la carga de trabajo.Valores:
WORKLOAD_NAME-clients,WORKLOAD_NAME-wwwSustituye
WORKLOAD_NAMEpor el nombre de la red VPC de la carga de trabajo.Objetivo:
GCE_FIREWALLPurpose-data: nombre de la red de VPC de la carga de trabajo.
Para la red de acceso a Internet:
- Clave:
internet-tag - Valor:
internet-vpc - Objetivo:
GCE_FIREWALL - Purpose-data: el nombre de la red de acceso a Internet.
- Clave:
Crear y asociar políticas de cortafuegos de red
En esta sección se muestran las reglas de Cloud NGFW que debe crear y asociar a su implementación.
- Crea una política de cortafuegos de red global en el proyecto de enrutamiento.
- Crea las siguientes reglas de cortafuegos en la política:
- Regla para permitir el tráfico de entrada de los intervalos de IPs de comprobación de estado para los puertos en uso, como
tcp:80,443. - Regla para permitir el tráfico de Identity-Aware Proxy.
- Regla para permitir el tráfico entrante de intervalos internos, como las redes de acceso a servicios, de cargas de trabajo y externas.
- Regla para permitir el tráfico de entrada de los intervalos de IPs de comprobación de estado para los puertos en uso, como
- Asocia la política a la red de VPC de enrutamiento.
- En función de las cargas de trabajo de tus VPCs de cargas de trabajo y de acceso a servicios, crea políticas y reglas de cortafuegos en el proyecto de alojamiento de cargas de trabajo para controlar ese tráfico.
Crear conexiones entre redes externas y tu red de VPC de enrutamiento
En esta sección se presupone que la conectividad se da en una sola región.
- Configura la conectividad entre las redes externas y tu red de routing. Para saber cómo abordar esta cuestión, consulta Conectividad externa e híbrida. Para obtener ayuda sobre cómo elegir un producto de conectividad, consulta Elegir un producto de conectividad de red.
- Configura BGP de la siguiente manera:
- Configure el router de la ubicación externa indicada de la siguiente manera:
- Anuncia todas las subredes de esa ubicación externa usando el mismo MED de BGP en ambas interfaces, como 100. Si ambas interfaces anuncian el mismo MED, Google Cloud puede usar ECMP para equilibrar la carga del tráfico entre ambas conexiones.
- Configure el router de Cloud Router orientado al exterior en la VPC de enrutamiento de la región conectada de la siguiente manera:
- Con los anuncios de rutas personalizadas, anuncia todos los intervalos de subredes de todas las regiones a través de ambas interfaces de Cloud Router orientadas al exterior. Agrégalos si es posible. Usa el mismo MED en ambas interfaces, como 100.
- Configure el router de la ubicación externa indicada de la siguiente manera:
Crear conexiones entre tu red de VPC de enrutamiento y las redes de VPC de acceso a servicios
La VPC de acceso a servicios usa la VPN de alta disponibilidad para conectarse a la VPC de enrutamiento. La VPN permite el enrutamiento transitivo entre la VPC de acceso a servicios y las redes externas y de cargas de trabajo.
- Calcula la cantidad de tráfico que debe desplazarse entre las VPCs de enrutamiento y de acceso a servicios. Ajusta el número de túneles previsto en consecuencia.
- Configura la VPN de alta disponibilidad entre la VPC de enrutamiento y la VPC de acceso a servicios siguiendo las instrucciones que se indican en el artículo Crear pasarelas de VPN de alta disponibilidad para conectar redes de VPC. Crea un router de Cloud Router de alta disponibilidad dedicado en la red de enrutamiento. Deja el router orientado a la red externa para las conexiones de red externa.
- Configuración de Cloud Router de VPC de enrutamiento:
- Para anunciar subredes de VPC de cargas de trabajo y de redes externas a la VPC de acceso a servicios, usa anuncios de rutas personalizadas en Cloud Router de la VPC de enrutamiento.
- Configuración de Cloud Router de VPC de acceso a servicios:
- Para anunciar subredes de VPC de acceso a servicios a la VPC de enrutamiento, usa anuncios de rutas personalizadas en el Cloud Router de la VPC de acceso a servicios.
- Si usas acceso a servicios privados para conectar una VPC de servicios gestionados a la VPC de acceso a servicios, usa rutas personalizadas para anunciar esas subredes también.
- Configuración de Cloud Router de VPC de enrutamiento:
- Si conectas una VPC de servicios gestionados a la VPC de acceso a los servicios mediante acceso privado a los servicios, una vez que se haya establecido la conexión de emparejamiento entre redes de VPC, actualiza el lado de la VPC de acceso a los servicios de la conexión de emparejamiento entre redes de VPC para exportar rutas personalizadas.
Crear conexiones entre tu red de VPC de enrutamiento y las redes de VPC de las cargas de trabajo
Crea conexiones de emparejamiento de redes de VPC entre tu VPC de enrutamiento y cada una de tus VPCs de carga de trabajo:
- Habilita la opción Exportar rutas personalizadas en la VPC de enrutamiento de cada conexión.
- Habilita Importar rutas personalizadas en la parte de la VPC de la carga de trabajo de cada conexión.
- En el caso predeterminado, solo se exportan a la VPC de enrutamiento las rutas de subred de la VPC de carga de trabajo. No es necesario que exportes rutas personalizadas de las VPCs de la carga de trabajo.
Conectar tus redes de VPC de cargas de trabajo
Conecta las redes de VPC de las cargas de trabajo mediante radios de VPC de Network Connectivity Center. Haz que todos los radios formen parte del mismo grupo de radios de Network Connectivity Center. Usa un grupo de pares principal para permitir la comunicación de malla completa entre las VPCs.
Usa Cloud Next Generation Firewall para controlar el tráfico dentro de las redes de VPC de las cargas de trabajo y entre ellas.
La conexión de Network Connectivity Center anuncia rutas específicas entre las redes de VPC de la carga de trabajo. El tráfico entre estas redes sigue esas rutas.
Instalar NVAs
En estas instrucciones se presupone que tienes una imagen de VM que quieres usar para tus NVAs.
Crea un grupo de NVAs con balanceo de carga. Para obtener más información, consulta el artículo sobre cómo configurar un balanceador de carga de red interno de transferencia para aplicaciones de terceros.
Crea una plantilla de instancia basada en tu imagen de NVA con el siguiente parámetro:
Etiqueta de red:
nva-REGIONSustituye
REGIONpor el nombre de la región.Etiqueta Resource Manager:
routing-vpc-tags=routing-vpc-multinic.Una interfaz de red para la red de VPC de enrutamiento sin dirección IP externa.
Una interfaz de red para la red de VPC de acceso a Internet sin dirección IP externa.
Define
can IP forwardpara la VM y el sistema operativo.Crea rutas
ip routey reglasiptablespara enviar tráfico entre las redes de enrutamiento y de acceso a Internet.
Crea un grupo de instancias gestionado (MIG) regional con suficientes máquinas virtuales para gestionar el tráfico previsto.
Crear enrutamiento de servicio
En esta sección se describe cómo enviar tráfico a través de las NVAs o cómo omitirlas, según corresponda.
- En la red de VPC de enrutamiento, crea una ruta basada en políticas con los siguientes parámetros:
- Intervalo de origen:
0.0.0.0/0 - Intervalo de destino:
0.0.0.0/0 - Siguiente salto: la dirección IP de la regla de reenvío del balanceador de carga de red de paso a través interno.
- Etiquetas de red: no especifiques ninguna etiqueta de red. Estos parámetros crean una regla que se aplica a todo el tráfico procedente de una vinculación de VLAN, un túnel VPN u otra VM de la red.
- Intervalo de origen:
En la red de enrutamiento, crea una ruta basada en políticas de omisión con los siguientes parámetros:
- Intervalo de origen:
0.0.0.0/0 - Intervalo de destino:
0.0.0.0/0 - Siguiente salto: define el siguiente salto para omitir otras rutas basadas en políticas y usar el enrutamiento predeterminado.
Etiquetas de red:
nva-REGIONSustituye
REGIONpor el nombre de la región.
Estos parámetros crean una regla que solo se aplica al tráfico que sale de las VMs de NVA. Esto hace que el tráfico omita la primera ruta basada en políticas que hayas creado y, en su lugar, siga la tabla de enrutamiento de la VPC.
- Intervalo de origen:
En cada red de carga de trabajo, crea rutas basadas en políticas para cada subred con la siguiente configuración:
- Intervalo de origen: el intervalo de direcciones de la subred de la VPC de la carga de trabajo.
- Intervalo de destino:
0.0.0.0/0 - Siguiente salto: la dirección IP de la regla de reenvío del balanceador de carga de red de paso a través interno de la red de enrutamiento
En cada red de carga de trabajo, crea una ruta basada en una política de omisión para el tráfico entre subredes:
- Intervalo de origen: el intervalo de direcciones de la subred de la VPC de la carga de trabajo.
- Intervalo de destino: intervalo de direcciones de la subred de la VPC de la carga de trabajo.
- Siguiente salto: define el siguiente salto para omitir otras rutas basadas en políticas y usar el enrutamiento predeterminado.
En cada red de carga de trabajo, crea una ruta basada en políticas de omisión para el tráfico entre subredes. Se debe crear una ruta para cada subred de carga de trabajo, a menos que se puedan agregar las rutas:
- Intervalo de origen: el intervalo de direcciones de la subred de la VPC de la carga de trabajo.
- Intervalo de destino: el intervalo de las otras subredes de cargas de trabajo.
- Siguiente salto: define el siguiente salto para omitir otras rutas basadas en políticas y usar el enrutamiento predeterminado.
En estas instrucciones se da por hecho que todo el tráfico, excepto el que se produce en una subred de VPC y entre subredes de VPC de cargas de trabajo, se enruta a través de las NVAs. Si quieres que el tráfico entre las VPCs de carga de trabajo y la VPC de acceso a servicios omita las NVAs, instala rutas de omisión de enrutamiento basadas en políticas adicionales y configura reglas de Cloud NGFW adicionales para este tráfico.
Configurar el acceso a Internet en la red de acceso a Internet
Para configurar el acceso saliente a Internet, configura Cloud NAT en la red de acceso a Internet.
Probar la conectividad con las cargas de trabajo
Si ya has desplegado cargas de trabajo en tus redes de VPC, prueba el acceso a ellas ahora. Si has conectado las redes antes de implementar las cargas de trabajo, puedes implementarlas ahora y hacer pruebas.
Siguientes pasos
- Consulta más información sobre los Google Cloud productos que se usan en esta guía de diseño:
- Para ver más arquitecturas de referencia, diagramas y prácticas recomendadas, consulta el centro de arquitectura de Cloud.
Colaboradores
Autores:
- Osvaldo Costa | Ingeniero de clientes especializado en redes
- Deepak Michael | Ingeniero de clientes especialista en redes
- Victor Moreno | Product Manager, Cloud Networking
- Mark Schlagenhauf | Redactor técnico de redes
Otro colaborador: Ammett Williams | Ingeniero de relaciones con desarrolladores