En este documento se proporciona una arquitectura de referencia que puede usar para desplegar una topología de red de tipo concentrador-radio de Cross-Cloud Network en Google Cloud. Este diseño de red permite desplegar servicios de software en redes internas Google Cloud y externas, como centros de datos locales u otros proveedores de servicios en la nube.
Este diseño admite varias conexiones externas, varias redes de nube privada virtual (VPC) de acceso a servicios y varias redes de VPC de cargas de trabajo.
Este documento está dirigido a administradores de redes que crean conectividad de red y arquitectos de la nube que planifican cómo se implementan las cargas de trabajo. Se presupone que el lector tiene conocimientos básicos sobre el enrutamiento y la conectividad a Internet.
Arquitectura
En el siguiente diagrama se muestra una vista general de la arquitectura de las redes y los cuatro flujos de paquetes que admite esta arquitectura.
La arquitectura contiene los siguientes elementos de alto nivel:
| Componente | Finalidad | Interacciones |
|---|---|---|
| Redes externas (redes locales u otras redes de CSP) | Aloja los clientes de las cargas de trabajo que se ejecutan en las VPCs de cargas de trabajo y en las VPCs de acceso a servicios. Las redes externas también pueden alojar servicios. | Intercambia datos con las redes de nube privada virtual de Google Clouda través de la red de tránsito. Se conecta a la red de tránsito mediante Cloud Interconnect o VPN de alta disponibilidad. Termina uno de los extremos de los siguientes flujos:
|
| Red de VPC de tránsito | Actúa como centro de la red externa, la red de VPC de acceso a servicios y las redes de VPC de cargas de trabajo. | Conecta la red externa, la red VPC de acceso a servicios y las redes VPC de carga de trabajo mediante una combinación de Cloud Interconnect, VPN de alta disponibilidad y emparejamiento entre redes VPC. |
| Red de VPC de acceso a servicios | Proporciona acceso a los servicios que necesitan las cargas de trabajo que se ejecutan en las redes de VPC de cargas de trabajo o en redes externas. También proporciona puntos de acceso a servicios gestionados alojados en otras redes. | Intercambia datos con las redes externas y de cargas de trabajo a través de la red de tránsito. Se conecta a la VPC de tránsito mediante una VPN de alta disponibilidad. El enrutamiento transitivo que proporciona la VPN de alta disponibilidad permite que el tráfico externo llegue a las VPCs de los servicios gestionados a través de la red de VPC de acceso a servicios. Termina uno de los extremos de los siguientes flujos:
|
| Red de VPC de servicios gestionados | Aloja servicios gestionados que necesitan los clientes de otras redes. | Intercambia datos con las redes externas, de acceso a servicios y de cargas de trabajo. Se conecta a la red de VPC de acceso a servicios mediante el acceso a servicios privados, que usa el emparejamiento entre redes de VPC, o mediante Private Service Connect. Termina un extremo de los flujos de todas las demás redes. |
| Redes de VPC de cargas de trabajo | Aloja cargas de trabajo que necesitan los clientes de otras redes. | Intercambia datos con las redes de VPC externas y de acceso a servicios a través de la red de VPC de tránsito. Se conecta a la red de tránsito mediante el emparejamiento entre redes de VPC. Se conecta a otras redes de VPC de cargas de trabajo mediante radios de VPC de Network Connectivity Center. Termina uno de los extremos de los siguientes flujos:
|
En el siguiente diagrama se muestra una vista detallada de la arquitectura que destaca las cuatro conexiones entre las redes:
Descripciones de las conexiones
En esta sección se describen las cuatro conexiones que se muestran en el diagrama anterior.
Conexión 1: entre redes externas y la red de VPC de tránsito
Esta conexión entre redes externas y redes de VPC de tránsito se produce a través de Cloud Interconnect o HA VPN. Las rutas se intercambian mediante BGP entre los routers de Cloud de la red de VPC de tránsito y los routers externos de la red externa.
- Los routers de las redes externas anuncian las rutas de las subredes externas a los routers de Cloud de la VPC de tránsito. Por lo general, los routers externos de una ubicación determinada anuncian rutas de la misma ubicación externa como más preferidas que las rutas de otras ubicaciones externas. La preferencia de las rutas se puede expresar mediante métricas y atributos de BGP.
- Los routers de Cloud Router de la red de VPC de tránsito anuncian rutas de prefijos de las VPCs de Google Clouda las redes externas. Estas rutas se deben anunciar mediante anuncios de rutas personalizadas de Cloud Router.
Conexión 2: entre redes de VPC de tránsito y redes de VPC de acceso a servicios
Esta conexión entre las redes de VPC de tránsito y las redes de VPC de acceso a servicios se produce a través de una VPN de alta disponibilidad con túneles independientes para cada región. Las rutas se intercambian mediante BGP entre los routers de Cloud regionales de las redes de VPC de tránsito y las redes de VPC de acceso a servicios.
- Los routers de Cloud de la VPN de alta disponibilidad de la VPC de tránsito anuncian rutas para prefijos de redes externas, VPCs de cargas de trabajo y otras VPCs de acceso a servicios al router de Cloud de la VPC de acceso a servicios. Estas rutas deben anunciarse mediante anuncios de rutas personalizadas de Cloud Router.
- La red de VPC de acceso a servicios anuncia sus subredes y las subredes de las redes de VPC de servicios gestionados conectadas a la red de VPC de tránsito. Las rutas de VPC de servicios gestionados y las rutas de subred de VPC de acceso a servicios se deben anunciar mediante anuncios de rutas personalizadas de Cloud Router.
Conexión 3: entre redes de VPC de tránsito y redes de VPC de carga de trabajo
Esta conexión entre las redes de VPC de tránsito y las redes de VPC de carga de trabajo se implementa mediante el emparejamiento entre redes de VPC. Las subredes y las rutas de prefijo se intercambian mediante mecanismos de emparejamiento de VPC. Esta conexión permite la comunicación entre las redes de VPC de la carga de trabajo y las demás redes conectadas a la red de VPC de tránsito, incluidas las redes externas y las redes de VPC de acceso a servicios.
- La red de VPC de tránsito usa el emparejamiento entre redes de VPC para exportar rutas personalizadas. Estas rutas personalizadas incluyen todas las rutas dinámicas que ha aprendido la red de VPC de tránsito. Las redes de VPC de la carga de trabajo importan esas rutas personalizadas.
- La red VPC de la carga de trabajo exporta automáticamente las subredes a la red VPC de tránsito. No se exportan rutas personalizadas de las VPCs de carga de trabajo a la VPC de tránsito.
Conexión 4: entre redes de VPC de cargas de trabajo
- Las redes de VPC de cargas de trabajo se pueden conectar entre sí mediante radios de VPC de Network Connectivity Center. Esta es una configuración opcional. Puedes omitirlo si no quieres que las redes de VPC de las cargas de trabajo se comuniquen entre sí.
Flujos de tráfico
En el siguiente diagrama se muestran los cuatro flujos que se habilitan con esta arquitectura de referencia.
En la siguiente tabla se describen los flujos del diagrama:
| Fuente | Destino | Descripción |
|---|---|---|
| Red externa | Red de VPC de acceso a servicios |
|
| Red de VPC de acceso a servicios | Red externa |
|
| Red externa | Red VPC de la carga de trabajo |
|
| Red VPC de la carga de trabajo | Red externa |
|
| Red VPC de la carga de trabajo | Red de VPC de acceso a servicios |
|
| Red de VPC de acceso a servicios | Red VPC de la carga de trabajo |
|
| Red VPC de la carga de trabajo | Red VPC de la carga de trabajo | El tráfico que sale de una VPC de carga de trabajo sigue la ruta más específica a la otra VPC de carga de trabajo a través de Network Connectivity Center. El tráfico de retorno invierte esta ruta. |
Productos usados
Esta arquitectura de referencia usa los siguientes Google Cloud productos:
- Nube privada virtual (VPC): un sistema virtual que proporciona funciones de red globales y escalables para tus Google Cloud cargas de trabajo. VPC incluye el intercambio de tráfico entre redes de VPC, Private Service Connect, el acceso a servicios privados y la VPC compartida.
- Network Connectivity Center: un marco de orquestación que simplifica la conectividad de red entre los recursos de radio que están conectados a un recurso de gestión central llamado eje.
- Cloud Interconnect: un servicio que amplía tu red externa a la red de Google a través de una conexión de alta disponibilidad y baja latencia.
- Cloud VPN: un servicio que amplía de forma segura tu red de emparejamiento a la red de Google a través de un túnel VPN IPsec.
- Cloud Router: una oferta distribuida y totalmente gestionada que proporciona funciones de altavoz y de respuesta del protocolo de pasarela fronteriza (BGP). Cloud Router funciona con Cloud Interconnect, Cloud VPN y los dispositivos router para crear rutas dinámicas en redes de VPC basadas en rutas aprendidas personalizadas y recibidas por BGP.
Consideraciones de diseño
En esta sección se describen los factores de diseño, las prácticas recomendadas y las recomendaciones de diseño que debes tener en cuenta al usar esta arquitectura de referencia para desarrollar una topología que cumpla tus requisitos específicos de seguridad, fiabilidad y rendimiento.
Seguridad y cumplimiento
En la siguiente lista se describen las consideraciones de seguridad y cumplimiento de esta arquitectura de referencia:
- Por motivos de cumplimiento, es posible que solo quieras desplegar cargas de trabajo en una región. Si quieres mantener todo el tráfico en una sola región, puedes usar una topología del 99,9 %. Para obtener más información, consulta Establecer un 99,9% de disponibilidad en la interconexión dedicada y Establecer un 99,9% de disponibilidad en Partner Interconnect.
- Usa Cloud Next Generation Firewall para proteger el tráfico que entra y sale de las redes de VPC de acceso a servicios y de cargas de trabajo. Para proteger el tráfico que pasa entre redes externas y la red de tránsito, debes usar cortafuegos externos o cortafuegos de NVA.
- Habilita el registro y la monitorización según tus necesidades de tráfico y cumplimiento. Puedes usar registros de flujo de VPCs para obtener información valiosa sobre tus patrones de tráfico.
- Usa Cloud IDS para obtener más información sobre tu tráfico.
Fiabilidad
En la siguiente lista se describen las consideraciones sobre la fiabilidad de esta arquitectura de referencia:
- Para obtener una disponibilidad del 99,99% en Cloud Interconnect, debe conectarse a dos regiones diferentes. Google Cloud
- Para mejorar la fiabilidad y minimizar la exposición a fallos regionales, puedes distribuir las cargas de trabajo y otros recursos de la nube entre regiones.
- Para gestionar el tráfico previsto, crea un número suficiente de túneles VPN. Los túneles VPN individuales tienen límites de ancho de banda.
Optimización del rendimiento
En la siguiente lista se describen los aspectos relacionados con el rendimiento de esta arquitectura de referencia:
- Puedes mejorar el rendimiento de la red aumentando la unidad de transmisión máxima (MTU) de tus redes y conexiones. Para obtener más información, consulta Unidad máxima de transmisión.
- La comunicación entre la VPC de tránsito y los recursos de carga de trabajo se realiza a través del emparejamiento de redes de VPC, que proporciona un rendimiento de velocidad de línea completa para todas las máquinas virtuales de la red sin coste adicional. Ten en cuenta las cuotas y los límites del emparejamiento entre redes de VPC al planificar tu implementación. Tienes varias opciones para conectar tu red externa a la red de tránsito. Para obtener más información sobre cómo equilibrar los costes y el rendimiento, consulta Elegir un producto de conectividad de red.
Implementación
La arquitectura de este documento crea tres conjuntos de conexiones a una red de VPC de tránsito central, además de una conexión diferente entre las redes de VPC de las cargas de trabajo. Una vez que se hayan configurado todas las conexiones, todas las redes de la implementación podrán comunicarse entre sí.
En esta implementación se presupone que vas a crear conexiones entre las redes externas y de tránsito en dos regiones. Sin embargo, las subredes de cargas de trabajo pueden estar en cualquier región. Si solo vas a colocar cargas de trabajo en una región, solo tienes que crear subredes en esa región.
Para implementar esta arquitectura de referencia, completa las siguientes tareas:
- Identificar las regiones en las que se colocarán la conectividad y las cargas de trabajo
- Crea tus redes y subredes de VPC
- Crear conexiones entre redes externas y tu red de VPC de tránsito
- Crear conexiones entre tu red de VPC de tránsito y las redes de VPC de acceso a servicios
- Crear conexiones entre tu red de VPC de tránsito y las redes de VPC de las cargas de trabajo
- Conecta tus redes de VPC de cargas de trabajo
- Probar la conectividad con las cargas de trabajo
Identificar las regiones en las que colocar la conectividad y las cargas de trabajo
En general, te recomendamos que coloques la conectividad y las cargas de trabajo cerca de tus redes on-premise u otros clientes de la nube. Google Cloud Para obtener más información sobre cómo colocar cargas de trabajo, consulta Google Cloud Selector de regiones y Prácticas recomendadas para seleccionar regiones de Compute Engine.
Crea tus redes y subredes de VPC
Para crear tus redes y subredes de VPC, completa las siguientes tareas:
- Crea o identifica los proyectos en los que crearás tus redes VPC. Para obtener más información, consulta Segmentación de red y estructura de proyectos. Si tienes previsto usar redes de VPC compartida, aprovisiona tus proyectos como proyectos host de VPC compartida.
- Planifica las asignaciones de direcciones IP de tus redes. Puedes preasignar y reservar tus intervalos creando intervalos internos. Asignar bloques de direcciones que se puedan agregar facilita la configuración y las operaciones posteriores.
- Crea una red de VPC de tránsito con el enrutamiento global habilitado.
- Crea redes de VPC de servicio. Si vas a tener cargas de trabajo en varias regiones, habilita el enrutamiento global.
- Crea redes de VPC de carga de trabajo. Si vas a tener cargas de trabajo en varias regiones, habilita el enrutamiento global.
Crear conexiones entre redes externas y tu red de VPC de tránsito
En esta sección se presupone que hay conectividad en dos regiones y que las ubicaciones externas están conectadas y pueden conmutar por error entre sí. También se presupone que los clientes de la ubicación externa A prefieren acceder a los servicios de la región A, y así sucesivamente.
- Configura la conectividad entre las redes externas y tu red de tránsito. Para saber cómo abordar esta cuestión, consulta Conectividad externa e híbrida. Para obtener ayuda a la hora de elegir un producto de conectividad, consulta Elegir un producto de conectividad de red.
- Configura BGP en cada región conectada de la siguiente manera:
- Configure el router de la ubicación externa indicada de la siguiente manera:
- Anuncia todas las subredes de esa ubicación externa usando el mismo MED de BGP en ambas interfaces, como 100. Si ambas interfaces anuncian el mismo MED, Google Cloud puede usar ECMP para equilibrar la carga del tráfico entre ambas conexiones.
- Anuncia todas las subredes de la otra ubicación externa usando un MED de menor prioridad que el de la primera región (por ejemplo, 200). Anunciar el mismo MED desde ambas interfaces.
- Configure el router de Cloud Router orientado al exterior en la VPC de tránsito de la región conectada de la siguiente manera:
- Define el ASN de tu router de Cloud como 16550.
- Con los anuncios de rutas personalizadas, anuncia todos los intervalos de subredes de todas las regiones a través de ambas interfaces de Cloud Router orientadas al exterior. Agrégalos si es posible. Usa el mismo MED en ambas interfaces, como 100.
- Configure el router de la ubicación externa indicada de la siguiente manera:
Crear conexiones entre tu red de VPC de tránsito y las redes de VPC de acceso a servicios
Para proporcionar un enrutamiento transitivo entre las redes externas y la VPC de acceso a servicios, y entre las VPCs de carga de trabajo y la VPC de acceso a servicios, esta última usa una VPN de alta disponibilidad para la conectividad.
- Calcula la cantidad de tráfico que debe desplazarse entre las VPCs de tránsito y de acceso a servicios de cada región. Ajusta el número de túneles previsto en consecuencia.
- Configura la VPN de alta disponibilidad entre la VPC de tránsito y la VPC de acceso a servicios de la región A siguiendo las instrucciones de Crear pasarelas de VPN de alta disponibilidad para conectar redes de VPC. Crea un Cloud Router de VPN de alta disponibilidad dedicado en la red de tránsito. Deja el router orientado a la red externa para las conexiones de red externa.
- Configuración de Cloud Router de la VPC de tránsito:
- Para anunciar subredes de VPC de carga de trabajo y de red externa a la VPC de acceso a servicios, usa anuncios de rutas personalizadas en Cloud Router en la VPC de tránsito.
- Configuración de Cloud Router de VPC de acceso a servicios:
- Para anunciar subredes de VPC de acceso a servicios a la VPC de tránsito, usa anuncios de rutas personalizadas en el Cloud Router de la VPC de acceso a servicios.
- Si usas acceso a servicios privados para conectar una VPC de servicios gestionados a la VPC de acceso a servicios, usa rutas personalizadas para anunciar esas subredes también.
- Configuración de Cloud Router de la VPC de tránsito:
- Si conectas una VPC de servicios gestionados a la VPC de acceso a los servicios mediante acceso privado a los servicios, una vez que se haya establecido la conexión de emparejamiento entre redes de VPC, actualiza el lado de la VPC de acceso a los servicios de la conexión de emparejamiento entre redes de VPC para exportar rutas personalizadas.
Crear conexiones entre tu red de VPC de tránsito y las redes de VPC de las cargas de trabajo
Crea conexiones de peering de redes de VPC entre tu VPC de tránsito y cada una de tus VPCs de carga de trabajo:
- Habilita la opción Exportar rutas personalizadas en la VPC de tránsito de cada conexión.
- Habilita Importar rutas personalizadas en la parte de la VPC de la carga de trabajo de cada conexión.
- En el escenario predeterminado, solo se exportan a la VPC de tránsito las rutas de subred de la VPC de carga de trabajo. No es necesario que exportes rutas personalizadas de las VPCs de la carga de trabajo.
Conectar tus redes de VPC de cargas de trabajo
Conecta las redes de VPC de las cargas de trabajo mediante radios de VPC de Network Connectivity Center. Haz que todos los radios formen parte del mismo grupo de radios de Network Connectivity Center. Usa un grupo de pares principal para permitir la comunicación de malla completa entre las VPCs.
La conexión de Network Connectivity Center anuncia rutas específicas entre las redes de VPC de la carga de trabajo. El tráfico entre estas redes sigue esas rutas.
Probar la conectividad con las cargas de trabajo
Si ya has desplegado cargas de trabajo en tus redes de VPC, prueba el acceso a ellas ahora. Si has conectado las redes antes de implementar las cargas de trabajo, puedes implementarlas ahora y hacer pruebas.
Siguientes pasos
- Consulta más información sobre los Google Cloud productos que se usan en esta guía de diseño:
- Para ver más arquitecturas de referencia, diagramas y prácticas recomendadas, consulta el centro de arquitectura de Cloud.
Colaboradores
Autores:
- Deepak Michael | Ingeniero de clientes especialista en redes
- Victor Moreno | Product Manager, Cloud Networking
- Osvaldo Costa | Ingeniero de clientes especializado en redes
Otros colaboradores:
- Mark Schlagenhauf | Redactor técnico de redes
- Ammett Williams | Ingeniero de Relaciones con Desarrolladores
- Ghaleb Al-habian | Especialista en redes