En este documento, se proporciona una arquitectura de referencia que puedes usar para implementar una topología de red de concentrador y radio de Cross-Cloud Network que usa dispositivos virtuales de red (NVA) para pasar tráfico.
El público objetivo de este documento son los administradores de red que crean conectividad de red y los arquitectos de la nube que planifican cómo se implementan las cargas de trabajo. En este documento, se supone que tienes conocimientos básicos sobre el enrutamiento, la conectividad a Internet y el software de la NVA que deseas implementar. Para usar esta arquitectura de referencia, debes conocer la guía de diseño de Cross-Cloud Network.
Este diseño admite varias conexiones externas a ubicaciones locales o de proveedores de servicios en la nube (CSP) y varias redes de VPC de cargas de trabajo.
Este diseño supone una implementación de una sola región. Proporciona afinidad regional, pero no conmutación por error regional. Si deseas realizar la implementación en más de una región, puedes usar el arquetipo de implementación multirregionalGoogle Cloud .
Este diseño coloca los NVA en todos los flujos, excepto en los que se encuentran dentro de las redes de VPC de cargas de trabajo y entre ellas. Puedes hacer que los flujos omitan los NVA agregando las rutas basadas en políticas de omisión adecuadas. Solo los flujos entre la red externa y la red de VPC de acceso a los servicios necesitan AVN, ya que el firewall de nueva generación de Cloud puede inspeccionar todos los demás flujos.
Arquitectura
En el siguiente diagrama, se muestra una vista de alto nivel de la arquitectura de las redes y los flujos que admite esta arquitectura.
La arquitectura contiene los siguientes elementos de alto nivel:
| Componente | Objetivo | Interacciones |
|---|---|---|
| Redes externas (red local o de otro CSP) | Aloja los clientes de las cargas de trabajo que se ejecutan en las VPC de carga de trabajo y en las VPC de acceso a los servicios. Las redes externas también pueden alojar servicios. | Intercambia datos con las redes de VPC de Google Clouda través de las AVS que se alojan en la red de VPC de enrutamiento. Se conecta a la red de VPC de enrutamiento con Cloud Interconnect o VPN de alta disponibilidad. Finaliza un extremo de los siguientes flujos:
|
| Red de VPC de enrutamiento (también conocida como red de VPC de tránsito) | Actúa como un centro para la red externa, la red de VPC de acceso a servicios y las redes de VPC de cargas de trabajo. Aloja las APV que se usan para procesar el tráfico entre redes. | Conecta la red externa, la red de VPC de acceso a los servicios y las redes de VPC de la carga de trabajo a través de una combinación de Cloud Interconnect, VPN con alta disponibilidad y el intercambio de tráfico entre redes de VPC. Cuando el tráfico de las redes externas, de acceso a los servicios y de cargas de trabajo pasa por la red de enrutamiento, las rutas basadas en políticas envían el tráfico a los NVA. |
| Red de VPC de acceso a servicios | Proporciona puntos de acceso a los servicios administrados que se alojan en otras redes. La red de acceso a los servicios también puede alojar servicios directamente si es necesario. | Intercambia datos con las redes externas y de carga de trabajo a través de la red de enrutamiento. Se conecta a la VPC de enrutamiento a través de la VPN con alta disponibilidad. El enrutamiento transitivo, que proporciona la VPN con alta disponibilidad, permite que el tráfico externo llegue a las VPC de servicios administrados a través de la red de VPC de acceso a los servicios. Si la red de VPC de acceso a los servicios aloja servicios directamente, finaliza un extremo de los flujos de todas las demás redes. |
| Red de VPC de servicios administrados | Aloja servicios administrados que necesitan los clientes en otras redes. | Intercambia datos con las redes externas, de acceso a servicios y de cargas de trabajo. Se conecta a la red de VPC de acceso a servicios con el acceso privado a servicios, que usa el intercambio de tráfico entre redes de VPC, o con Private Service Connect. Finaliza un extremo de los flujos de todas las demás redes. |
| Redes de VPC de carga de trabajo | Aloja las cargas de trabajo que necesitan los clientes en otras redes. | Intercambia datos con las redes de VPC externas y de acceso a servicios a través de la red de VPC de enrutamiento. Se conecta a la red de enrutamiento a través del intercambio de tráfico entre redes de VPC. Se conecta a otras redes de VPC de cargas de trabajo a través de Network Connectivity Center. Finaliza un extremo de los siguientes flujos:
|
| Red de VPC con acceso a Internet | Proporciona acceso a Internet para las cargas de trabajo que lo necesitan. | Proporciona acceso saliente a Internet para las cargas de trabajo que necesitan descargar actualizaciones o cualquier otro tipo de datos de Internet. Los datos viajan a través de las ANV y salen a través de Cloud NAT. Finaliza un extremo de los siguientes flujos:
|
Descripciones de las conexiones
En el siguiente diagrama, se muestra una vista detallada de la arquitectura que destaca las cuatro conexiones entre las redes:
En esta sección, se describen las cuatro conexiones que se muestran en el diagrama anterior.
Conexión 1: Entre redes externas y la red de VPC de enrutamiento
Esta conexión entre las redes externas y las redes de VPC de enrutamiento se realiza a través de Cloud Interconnect o la VPN de alta disponibilidad. Los Cloud Routers en la red de VPC de enrutamiento y los routers externos en la red externa intercambian rutas a través de BGP.
- Los routers de las redes externas anuncian las rutas para las subredes externas a los Cloud Routers de la VPC de enrutamiento. La preferencia de las rutas se puede expresar con las métricas y los atributos de BGP.
- Los Cloud Routers en la red de VPC de enrutamiento anuncian rutas para los prefijos en las VPC de Google Clouda las redes externas. Estas rutas se deben anunciar con los anuncios de ruta personalizados de Cloud Router.
Conexión 2: Entre las redes de VPC de enrutamiento y las redes de VPC de acceso a servicios
Esta conexión entre las redes de VPC de enrutamiento y las redes de VPC de acceso a servicios se realiza a través de la VPN con alta disponibilidad. Las rutas se intercambian a través de BGP entre los Cloud Routers regionales en las redes de VPC de enrutamiento y las redes de VPC de acceso a los servicios.
- Los Cloud Routers de VPN con HA de la VPC de enrutamiento anuncian rutas para prefijos de redes externas, VPCs de carga de trabajo y otras VPCs de acceso a servicios al Cloud Router de la VPC de acceso a servicios. Estas rutas se deben anunciar con los anuncios de ruta personalizados de Cloud Router.
- La red de VPC de acceso a servicios anuncia sus subredes y las subredes de cualquier red de VPC de servicios administrados adjunta a la red de VPC de enrutamiento. Las rutas de VPC de los servicios administrados se deben anunciar con los anuncios de rutas personalizadas de Cloud Router.
Conexión 3: Entre las redes de VPC de enrutamiento y las redes de VPC de carga de trabajo
Esta conexión entre las redes de VPC de enrutamiento y las redes de VPC de cargas de trabajo se implementa con el intercambio de tráfico entre redes de VPC. Esta conexión permite la comunicación entre las redes de VPC de la carga de trabajo y las otras redes que están conectadas a la red de VPC de enrutamiento. Estas otras redes incluyen las redes externas y las redes de VPC de acceso a servicios.
- La red de VPC de la carga de trabajo exporta automáticamente las subredes a la red de VPC de enrutamiento.
Conexión 4: Entre redes de VPC de carga de trabajo
Las redes de VPC de cargas de trabajo se conectan a través de radios de VPC de Network Connectivity Center del mismo concentrador. Por lo tanto, el tráfico de una red de VPC de carga de trabajo a otra viaja directamente entre las redes. El tráfico no transita por la red de VPC de enrutamiento.
Flujos de tráfico
En el siguiente diagrama, se muestran los cuatro flujos que habilita esta arquitectura de referencia.
En la siguiente tabla, se describen los flujos del diagrama:
| Fuente | Destino | Descripción |
|---|---|---|
| Red externa | Red de VPC de acceso a servicios |
|
| Red de VPC de acceso a servicios | Red externa |
|
| Red externa | Red de VPC de carga de trabajo |
|
| Red de VPC de carga de trabajo | Red externa |
|
| Red de VPC de carga de trabajo | Red de VPC de acceso a servicios |
|
| Red de VPC de acceso a servicios | Red de VPC de carga de trabajo |
|
| Red de VPC de carga de trabajo | Red de VPC de carga de trabajo | El tráfico que sale de una red de VPC de carga de trabajo sigue la ruta más específica hacia la otra red de VPC de carga de trabajo a través de Network Connectivity Center. El tráfico de retorno invierte esta ruta. Este tráfico no pasa por las APN. |
Productos usados
En esta arquitectura de referencia, se usan los siguientes productos Google Cloud :
- Nube privada virtual (VPC): Es un sistema virtual que proporciona funcionalidad de red global y escalable para tus cargas de trabajo de Google Cloud . La VPC incluye el intercambio de tráfico entre redes de VPC, Private Service Connect, el acceso privado a servicios y la VPC compartida.
- Network Connectivity Center: Es un framework de orquestación que simplifica la conectividad de red entre los recursos de radio que están conectados a un recurso de administración central llamado concentrador.
- Cloud Interconnect: Es un servicio que extiende tu red externa a la red de Google a través de una conexión de latencia baja y alta disponibilidad.
- Cloud VPN: Es un servicio que extiende de forma segura tu red de intercambio de tráfico a la red de Google a través de un túnel VPN con IPsec.
- Cloud Router: Es una oferta distribuida y completamente administrada que proporciona capacidades de emisor y receptor del Protocolo de Puerta de Enlace Fronteriza (BGP). Cloud Router funciona con Cloud Interconnect, Cloud VPN y las máquinas de routers para crear rutas dinámicas en redes de VPC según las rutas que se reciben de BGP y las que se aprenden de forma personalizada.
- Compute Engine: Un servicio de procesamiento seguro y personalizable que te permite crear y ejecutar VMs en la infraestructura de Google.
- Cloud Load Balancing: Una cartera de balanceadores de cargas escalables, globales y regionales de alto rendimiento.
- Cloud Next Generation Firewall: Es un servicio de firewall completamente distribuido con capacidades de protección avanzada, microsegmentación y administración simplificada para proteger tus cargas de trabajo de Google Cloud contra ataques internos y externos.
Consideraciones de diseño
En esta sección, se describen los factores de diseño, las prácticas recomendadas y las recomendaciones de diseño que debes tener en cuenta cuando usas esta arquitectura de referencia para desarrollar una topología que cumpla con tus requisitos específicos de seguridad, confiabilidad y rendimiento.
Seguridad y cumplimiento
En la siguiente lista, se describen las consideraciones de seguridad y cumplimiento para esta arquitectura de referencia:
- Por motivos de cumplimiento, es posible que desees implementar Cloud Interconnect solo en una región. Si deseas mantener todo el tráfico en una sola región, puedes usar una topología del 99.9%. Para obtener más información, consulta Establece el 99.9% de disponibilidad para la interconexión dedicada y Establece el 99.9% de disponibilidad para la interconexión de socio.
- Usa Cloud Next Generation Firewall para proteger el tráfico que viaja entre las redes de VPC de las cargas de trabajo.
- Si necesitas inspeccionar el tráfico de L7, habilita el servicio de detección y prevención de intrusiones (opcionalmente con compatibilidad con la inspección de TLS) para bloquear la actividad maliciosa y proteger tus cargas de trabajo contra amenazas. El servicio ayuda a brindar protección contra vulnerabilidades, software espía y virus. El servicio funciona creando extremos de firewall zonales administrados por Google que usan tecnología de interceptación de paquetes para inspeccionar con transparencia las cargas de trabajo sin necesidad de volver a diseñar ninguna ruta. Cloud Next Generation Firewall Enterprise genera cargos por el extremo de firewall zonal y el procesamiento de datos.
- Habilita Google Threat Intelligence para reglas de políticas de firewall para permitir o bloquear conexiones según los datos de Google Threat Intelligence.
- Usa objetos de ubicación geográfica para las reglas de políticas de firewall para permitir el tráfico solo de los países permitidos y bloquear los países embargados.
- Habilita el registro y la supervisión según corresponda a tus necesidades de tráfico y cumplimiento. Puedes usar los registros de flujo de VPC para obtener estadísticas sobre tus patrones de tráfico.
- Usa IDS de Cloud para obtener estadísticas adicionales sobre tu tráfico.
- Si las AVN deben conectarse a ubicaciones de Internet para descargar actualizaciones, configura Cloud NAT en la red de VPC con acceso a Internet.
- Si quieres que los clientes de tu red externa accedan directamente a las APIs de Google, crea una ruta basada en políticas en la red de VPC de enrutamiento de la siguiente manera:
- Rango de origen: Es un rango agregado para tu red externa.
- Rango de destino:
199.36.153.4/30 - Próximo salto:
default-internet-gateway
Si quieres que tus VMs de Google Cloud accedan a las APIs de Google a través de conexiones privadas, haz lo siguiente:
- En cada red de VPC, habilita el Acceso privado a Google.
- En cada red de carga de trabajo, crea una ruta basada en políticas para acceder a las APIs de Google:
- Rango de origen: Es el rango de direcciones de la subred de VPC de la carga de trabajo.
- Rango de destino:
199.36.153.4/30 - Próximo salto:
default-internet-gateway
- Crea una política de respuesta de DNS para el Acceso privado a Google que se aplique a la red de VPC de enrutamiento y a todas las redes de VPC de cargas de trabajo.
En la política de respuesta de DNS, crea una regla de la siguiente manera:
- Nombre de DNS:
*.googleapis.com. Datos locales:
name="*.googleapis.com.",type="A",ttl=3600,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
- Nombre de DNS:
Confiabilidad
En la siguiente lista, se describen las consideraciones de confiabilidad para esta arquitectura de referencia:
- Para obtener una disponibilidad del 99.99% para Cloud Interconnect, debes conectarte a dos Google Cloud regiones diferentes, incluso si solo tienes VMs en una región.
- Para mejorar la confiabilidad y minimizar la exposición a fallas regionales, puedes duplicar tu implementación en varias regiones con el arquetipo de implementación multirregional.Google Cloud
- Para controlar el tráfico esperado entre la VPC de acceso a los servicios y otras redes, crea una cantidad suficiente de túneles VPN. Los túneles VPN individuales tienen límites de ancho de banda. La misma guía se aplica si usas la VPN con alta disponibilidad entre tus redes externas y la red de VPC de enrutamiento.
Optimización del rendimiento
En la siguiente lista, se describen las consideraciones de rendimiento para esta arquitectura de referencia:
- Es posible que puedas mejorar el rendimiento de la red si aumentas la unidad de transmisión máxima (MTU) de tus redes y conexiones. Para obtener más información, consulta Unidad de transmisión máxima.
- La comunicación entre la VPC de enrutamiento y los recursos de carga de trabajo se realiza a través del intercambio de tráfico entre redes de VPC, que proporciona una capacidad de procesamiento de velocidad de línea completa para todas las VMs de la red sin costo adicional. Ten en cuenta las cuotas y los límites del intercambio de tráfico entre redes de VPC cuando planifiques tu implementación.
- Puedes conectar tu red externa a la red de VPC de enrutamiento con HA VPN o Cloud Interconnect. Para obtener más información sobre cómo equilibrar las consideraciones de costo y rendimiento, consulta Elige un producto de Conectividad de red.
Implementación
La arquitectura de este documento crea tres conjuntos de conexiones a una red de VPC de enrutamiento central, además de una conexión diferente entre las redes de VPC de carga de trabajo. Después de configurar por completo todas las conexiones, todas las redes de la implementación podrán comunicarse entre sí.
En esta implementación, se supone que crearás conexiones entre la red externa y las redes de VPC de enrutamiento en una región. Sin embargo, las subredes de cargas de trabajo pueden estar en cualquier región. Si colocas cargas de trabajo en una sola región, solo necesitas crear subredes en esa región.
Para implementar esta arquitectura de referencia, completa las siguientes tareas:
- Identifica las regiones en las que se colocarán la conectividad y las cargas de trabajo
- Crea tus redes y subredes de VPC
- Crea etiquetas de recursos para regir las reglas de firewall
- Crea y asocia políticas de firewall de red
- Crea conexiones entre redes externas y tu red de VPC de enrutamiento
- Crea conexiones entre tu red de VPC de enrutamiento y las redes de VPC de acceso a servicios
- Crea conexiones entre tu red de VPC de enrutamiento y las redes de VPC de carga de trabajo
- Conecta tus redes de VPC de carga de trabajo
- Instala las NVA
- Crea el enrutamiento de servicio
- Configura el acceso a Internet en la red de acceso a Internet
- Prueba la conectividad con las cargas de trabajo
Identifica las regiones en las que se colocarán la conectividad y las cargas de trabajo
En general, te conviene colocar la conectividad, las subredes de VPC y las cargas de trabajo de Google Cloud cerca de tus redes locales o de otros clientes de la nube. Si deseas obtener más información para colocar cargas de trabajo, consulta el Google Cloud Selector de regiones y las Prácticas recomendadas para la selección de regiones de Compute Engine.
Crea tus redes y subredes de VPC
Para crear tus redes y subredes de VPC, completa las siguientes tareas:
- Crea o identifica los proyectos en los que crearás tus redes de VPC. Necesitas un proyecto de enrutamiento en el que se aloje tu conectividad externa y otro proyecto para alojar tus redes de VPC de acceso a servicios y cargas de trabajo. Para obtener orientación, consulta Segmentación de red y estructura del proyecto. Si planeas usar redes de VPC compartida, aprovisiona tus proyectos como proyectos host de VPC compartida.
- Planifica la asignación de direcciones IP para tus redes. Puedes preasignar y reservar tus rangos creando rangos internos. La asignación de bloques de direcciones que se pueden agregar facilita la configuración y las operaciones posteriores.
- Crea una red y una subred de VPC de enrutamiento en el proyecto de enrutamiento. Si crees que tendrás más de una región, habilita el enrutamiento global.
- Crea una red y una subred de VPC con acceso a Internet en el proyecto de enrutamiento.
- Crea una red de VPC y una subred con acceso a los servicios en el proyecto host. Si crees que tendrás más de una región, habilita el enrutamiento global.
- Crea redes y subredes de VPC de cargas de trabajo en los proyectos host. Si crees que tendrás más de una región, habilita el enrutamiento global.
Crea etiquetas de recursos para controlar las reglas de Cloud Next Generation Firewall
Crea las siguientes etiquetas. Puedes nombrarlos como quieras. Los nombres que se muestran son solo ejemplos.
- Para la red de VPC de enrutamiento, haz lo siguiente:
- Key:
routing-vpc-tags - Value:
routing-vpc-multinic - Propósito:
GCE_FIREWALL - Purpose-data: Es el nombre de la red de VPC de enrutamiento.
- Key:
Para cada red de VPC de carga de trabajo, haz lo siguiente:
Key:
WORKLOAD_NAME-tagsReemplaza
WORKLOAD_NAMEpor el nombre de la red de VPC de la carga de trabajo.Valores:
WORKLOAD_NAME-clients,WORKLOAD_NAME-wwwReemplaza
WORKLOAD_NAMEpor el nombre de la red de VPC de la carga de trabajo.Propósito:
GCE_FIREWALLPurpose-data: Es el nombre de la red de VPC de la carga de trabajo.
Para la red de acceso a Internet:
- Key:
internet-tag - Value:
internet-vpc - Propósito:
GCE_FIREWALL - Purpose-data: Es el nombre de la red de acceso a Internet.
- Key:
Crea y asocia políticas de firewall de red
En esta sección, se muestran las reglas del NGFW de Cloud que debes crear y asociar para tu implementación.
- Crea una política de firewall de red global en el proyecto de enrutamiento.
- Crea las siguientes reglas de firewall en la política:
- Regla para permitir el tráfico de entrada desde los rangos de IP de verificación de estado para los puertos en uso, como
tcp:80,443. - Regla para permitir el tráfico de Identity-Aware Proxy.
- Regla para permitir el tráfico de entrada desde rangos internos, como las redes de acceso a servicios, de cargas de trabajo y externas.
- Regla para permitir el tráfico de entrada desde los rangos de IP de verificación de estado para los puertos en uso, como
- Asocia la política con la red de VPC de enrutamiento.
- Según las cargas de trabajo en tus VPCs de acceso a servicios y cargas de trabajo, crea políticas y reglas de firewall en el proyecto de hosting de cargas de trabajo para controlar ese tráfico.
Crea conexiones entre redes externas y tu red de VPC de enrutamiento
En esta sección, se supone que hay conectividad en una sola región.
- Configura la conectividad entre las redes externas y tu red de enrutamiento. Para comprender cómo abordar este tema, consulta Conectividad externa e híbrida. Para obtener orientación sobre cómo elegir un producto de conectividad, consulta Elige un producto de Conectividad de red.
- Configura BGP de la siguiente manera:
- Configura el router en la ubicación externa determinada de la siguiente manera:
- Anuncia todas las subredes para esa ubicación externa con el mismo MED de BGP en ambas interfaces, como 100. Si ambas interfaces anuncian el mismo MED, Google Cloud puede usar ECMP para balancear la carga del tráfico en ambas conexiones.
- Configura el Cloud Router externo en la VPC de enrutamiento de la región conectada de la siguiente manera:
- Con los anuncios de rutas personalizadas, anuncia todos los rangos de subredes de todas las regiones a través de ambas interfaces de Cloud Router externas. Agrégalos si es posible. Usa el mismo MED en ambas interfaces, por ejemplo, 100.
- Configura el router en la ubicación externa determinada de la siguiente manera:
Crea conexiones entre tu red de VPC de enrutamiento y las redes de VPC de acceso a servicios
La VPC de acceso a los servicios usa la VPN con alta disponibilidad para conectarse a la VPC de enrutamiento. La VPN permite el enrutamiento transitivo entre la VPC de acceso a los servicios y las redes externas y de carga de trabajo.
- Estima la cantidad de tráfico que debe viajar entre las VPC de enrutamiento y de acceso a los servicios. Ajusta la cantidad esperada de túneles según corresponda.
- Configura la VPN con alta disponibilidad entre la VPC de enrutamiento y la VPC de acceso a los servicios siguiendo las instrucciones que se indican en Crea puertas de enlace de VPN con alta disponibilidad para conectar redes de VPC. Crea un Cloud Router de VPN con alta disponibilidad dedicado en la red de enrutamiento. Deja el router orientado a la red externa para las conexiones de red externa.
- Configuración del Cloud Router de la VPC de enrutamiento:
- Para anunciar subredes de VPC de carga de trabajo y de red externa a la VPC de acceso a servicios, usa anuncios de ruta personalizados en el Cloud Router de la VPC de enrutamiento.
- Configuración del Cloud Router de la VPC de acceso a los servicios:
- Para anunciar subredes de VPC de acceso a servicios en la VPC de enrutamiento, usa anuncios de ruta personalizados en el Cloud Router de la VPC de acceso a servicios.
- Si usas el acceso privado a servicios para conectar una VPC de servicios administrados a la VPC de acceso a servicios, usa rutas personalizadas para anunciar también esas subredes.
- Configuración del Cloud Router de la VPC de enrutamiento:
- Si conectas una VPC de servicios administrados a la VPC de acceso a servicios con el acceso privado a servicios, después de que se establezca la conexión de intercambio de tráfico entre redes de VPC, actualiza el lado de la VPC de acceso a servicios de la conexión de intercambio de tráfico entre redes de VPC para exportar rutas personalizadas.
Crea conexiones entre tu red de VPC de enrutamiento y las redes de VPC de carga de trabajo
Crea conexiones de intercambio de tráfico entre redes de VPC entre tu VPC de enrutamiento y cada una de tus VPC de carga de trabajo:
- Habilita Export custom routes para el lado de la VPC de enrutamiento de cada conexión.
- Habilita Importar rutas personalizadas para el lado de la VPC de la carga de trabajo de cada conexión.
- En la situación predeterminada, solo se exportan las rutas de subred de la VPC de carga de trabajo a la VPC de enrutamiento. No es necesario que exportes rutas personalizadas desde las VPC de carga de trabajo.
Conecta tus redes de VPC de carga de trabajo
Conecta las redes de VPC de carga de trabajo entre sí con los radios de VPC de Network Connectivity Center. Haz que todos los radios formen parte del mismo grupo de pares de radios de Network Connectivity Center. Usa un grupo de intercambio de tráfico principal para permitir la comunicación de malla completa entre las VPC.
Usa Cloud Next Generation Firewall para controlar el tráfico dentro de las redes de VPC de cargas de trabajo y entre ellas.
La conexión de Network Connectivity Center anuncia rutas específicas entre las redes de VPC de la carga de trabajo. El tráfico entre estas redes sigue esas rutas.
Instala las NVA
En estas instrucciones, se supone que tienes una imagen de VM que quieres usar para tus APV.
Crea un grupo de APV con balanceo de cargas. Consulta Configura un balanceador de cargas de red de transferencia interno para dispositivos de terceros para obtener más detalles.
Crea una plantilla de instancias basada en tu imagen de la NVA con el siguiente parámetro:
Etiqueta de red:
nva-REGIONReemplaza
REGIONpor el nombre de la región.Etiqueta de Resource Manager:
routing-vpc-tags=routing-vpc-multinic.Es una interfaz de red para la red de VPC de enrutamiento sin dirección IP externa.
Es una interfaz de red para la red de VPC de acceso a Internet sin dirección IP externa.
Establece
can IP forwardpara la VM y el sistema operativo.Crea rutas
ip routey reglasiptablespara enviar tráfico entre las redes de acceso a Internet y de enrutamiento.
Crea un grupo de instancias administrado (MIG) regional con suficientes VMs para controlar el tráfico esperado.
Crea el enrutamiento del servicio
En esta sección, se describe cómo enviar tráfico a través de las NVA o cómo omitirlas según corresponda.
- En la red de VPC de enrutamiento, crea una ruta basada en políticas con los siguientes parámetros:
- Rango de origen:
0.0.0.0/0 - Rango de destino:
0.0.0.0/0 - Próximo salto: La dirección IP de la regla de reenvío del balanceador de cargas de red de transferencia interno
- Etiquetas de red: No especifiques ninguna etiqueta de red. Estos parámetros crean una regla que se aplica a todo el tráfico proveniente de un adjunto de VLAN, un túnel de VPN o cualquier otra VM de la red.
- Rango de origen:
En la red de enrutamiento, crea una ruta basada en políticas de omisión con los siguientes parámetros:
- Rango de origen:
0.0.0.0/0 - Rango de destino:
0.0.0.0/0 - Siguiente salto: Establece el siguiente salto para omitir otras rutas basadas en políticas y usar el enrutamiento predeterminado.
Etiquetas de red:
nva-REGIONReemplaza
REGIONpor el nombre de la región.
Estos parámetros crean una regla que se aplica solo al tráfico que sale de las VMs de la NVA. Esto hace que ese tráfico omita la primera ruta basada en políticas que creaste y, en cambio, siga la tabla de enrutamiento de la VPC.
- Rango de origen:
En cada red de carga de trabajo, crea rutas basadas en políticas para cada subred con la siguiente configuración:
- Rango de origen: Es el rango de direcciones de la subred de VPC de la carga de trabajo.
- Rango de destino:
0.0.0.0/0 - Próximo salto: La dirección IP de la regla de reenvío del balanceador de cargas de red de transferencia interno en la red de enrutamiento
En cada red de carga de trabajo, crea una ruta basada en políticas de omisión para el tráfico dentro de la subred:
- Rango de origen: Es el rango de direcciones de la subred de VPC de la carga de trabajo.
- Rango de destino: Es el rango de direcciones de la subred de VPC de la carga de trabajo.
- Siguiente salto: Establece el siguiente salto para omitir otras rutas basadas en políticas y usar el enrutamiento predeterminado.
En cada red de carga de trabajo, crea una ruta basada en políticas de omisión para el tráfico entre subredes. Se debe crear una ruta para cada otra subred de carga de trabajo, a menos que las rutas se puedan agregar:
- Rango de origen: Es el rango de direcciones de la subred de VPC de la carga de trabajo.
- Rango de destino: Es el rango de las otras subredes de la carga de trabajo.
- Siguiente salto: Establece el siguiente salto para omitir otras rutas basadas en políticas y usar el enrutamiento predeterminado.
En estas instrucciones, se supone que todo el tráfico, excepto el que se encuentra dentro de una subred de VPC y entre subredes de VPC de carga de trabajo, se enruta a través de las AVM. Si quieres que el tráfico entre las VPC de carga de trabajo y la VPC de acceso a los servicios omita las APV, instala rutas de omisión de enrutamiento basadas en políticas adicionales y configura reglas adicionales del NGFW de Cloud para este tráfico.
Configura el acceso a Internet en la red de acceso a Internet
Para configurar el acceso saliente a Internet, configura Cloud NAT en la red de acceso a Internet.
Prueba la conectividad con las cargas de trabajo
Si ya tienes cargas de trabajo implementadas en tus redes de VPC, prueba el acceso a ellas ahora. Si conectaste las redes antes de implementar cargas de trabajo, puedes implementarlas ahora y realizar pruebas.
¿Qué sigue?
- Obtén más información sobre los productos de Google Cloud que se usan en esta guía de diseño:
- Para obtener más información sobre las arquitecturas de referencia, los diagramas y las prácticas recomendadas, explora Cloud Architecture Center.
Colaboradores
Autores:
- Osvaldo Costa | Ingeniero de Atención al cliente especializado en herramientas de redes
- Deepak Michael | Ingeniero de Atención al cliente especializado en herramientas de redes
- Victor Moreno | Gerente de producto, Herramientas de redes de Cloud
- Mark Schlagenhauf | Escritor técnico, Herramientas de redes
Otro colaborador: Ammett Williams | Ingeniero de Relaciones con Desarrolladores