Arquitectura de red de concentrador y radio

En este documento, se presentan dos opciones de arquitectura para configurar una topología de red de concentrador y radio en Google Cloud. Una opción usa la capacidad de intercambio de tráfico de red de la nube privada virtual (VPC) y la otra usa Cloud VPN.

Descripción general

¿Qué es una red de concentrador y radio? ¿Cuándo es útil? Como arquitecto empresarial o administrador de red, cuando diseñas la topología de Google Cloud para una empresa grande, es posible que debas planificar el aislamiento a nivel de red de los recursos que usan las diferentes unidades de negocios, cargas de trabajo o entornos. Este aislamiento habilita un control detallado sobre el tráfico de red para cada grupo de recursos. También podría ayudarte a cumplir con los requisitos legales y de separación de datos regulatorios.

Puedes lograr un aislamiento a nivel de la red de los recursos en Google Cloud si implementas los recursos en redes de VPC independientes. Para permitir que los recursos de estas redes de VPC usen servicios compartidos (como firewalls o metadatos de configuración) y acceder de manera centralizada a la nube desde tu red local, puedes conectar cada red de VPC a una red de VPC central de concentrador. En el siguiente diagrama, se muestra un ejemplo de la red de concentrador y radio resultante, que a veces se denomina topología de estrella.

Esquema de red de concentrador y radio

En este ejemplo, se usan redes de VPC de radio independientes para las cargas de trabajo de unidades de negocios individuales dentro de una empresa grande. Cada red de VPC de radio está conectada a una red de VPC central de concentrador que contiene servicios compartidos y puede servir como el único punto de entrada a la nube desde la red local de la empresa.

Arquitectura en la que se usa el intercambio de tráfico entre redes de VPC

En el siguiente diagrama, se muestra una red de concentrador y radio mediante el intercambio de tráfico entre redes de VPC, que permite una comunicación segura entre recursos en redes de VPC independientes mediante la red interna de Google mediante direcciones IP privadas, sin el tráfico de red entre VPC que recorre la Internet pública.

Arquitectura de concentrador y radio mediante el intercambio de tráfico entre redes de VPC
  • En esta arquitectura, los recursos que necesitan aislamiento a nivel de red usan redes de VPC de radio separadas. Por ejemplo, la arquitectura muestra una VM de Compute Engine en la red de VPC de radio 1. La red de VPC de radio 2 tiene una VM de Compute Engine y un clúster de Google Kubernetes Engine (GKE).

  • Cada red de VPC de radio en esta arquitectura tiene una relación de intercambio de tráfico con una red de VPC de concentrador central.

  • Cada red de VPC de radio tiene una puerta de enlace de Cloud NAT para la comunicación saliente con Internet.

  • Las conexiones de intercambio de tráfico entre las redes de VPC de radio y la red de VPC del concentrador no permiten el tráfico transitivo, es decir, no es posible la comunicación entre radios a través del concentrador. Los recursos como las instancias de Cloud SQL y los nodos privados de GKE que tienen direcciones IP privadas requieren un proxy para acceder desde fuera de su red de VPC.

    Para evitar la restricción de no transitividad del intercambio de tráfico entre redes de VPC, la arquitectura muestra la opción de usar Cloud VPN. En este ejemplo, un túnel VPN entre la red de VPC de radio 2 y la de concentrador habilita la conectividad de la red de VPC de radio 2 a los otros radios. Si necesitas conectividad entre solo unos radios específicos, puedes intercambiar tráfico directamente entre esos pares de red de VPC.

Arquitectura en la que se usa Cloud VPN

La escalabilidad de una topología de concentrador y radio que usa intercambio de tráfico entre redes de VPC está sujeta a los límites de intercambio de tráfico entre redes de VPC. Como se señaló antes, las conexiones de intercambio de tráfico entre redes de VPC no permiten el tráfico transitorio más allá de las dos redes de VPC que tienen una relación de intercambio de tráfico. En el siguiente diagrama, se muestra una arquitectura de red de concentrador y radio alternativa que usa Cloud VPN para superar las limitaciones del intercambio de tráfico entre redes de VPC.

Arquitectura de concentrador y radio mediante Cloud VPN
  • En esta arquitectura, también, los recursos que necesitan aislamiento a nivel de red usan redes de VPC de radio separadas.
  • Un túnel VPN IPSec conecta cada red de VPC de radio a una red de VPC del concentrador.
  • Cada red de VPC de radio tiene una puerta de enlace de Cloud NAT para la comunicación saliente con la Internet pública.

Cuando elijas entre las dos arquitecturas analizadas hasta ahora, ten en cuenta los méritos relativos del intercambio de tráfico entre redes de VPC y Cloud VPN:

  • El intercambio de tráfico entre redes de VPC tiene restricción de no transitividad, pero admite el ancho de banda completo que define el tipo de máquina de las VM y otros factores que determinan el ancho de banda de la red.
  • Cloud VPN permite el enrutamiento transitivo, pero el ancho de banda total (entrada y salida) de cada túnel VPN se limita a 3 Gbps.

Alternativas de diseño

Considera las siguientes alternativas de arquitectura para la interconexión de recursos que se implementan en redes de VPC independientes en Google Cloud:

Conectividad entre radios mediante una puerta de enlace en la red de VPC del concentrador
Si deseas habilitar la comunicación entre radios, puedes implementar un dispositivo virtual de red (NVA) o un firewall de última generación (NGFW) en la red de VPC del concentrador para que funcione como puerta de enlace de radio para el tráfico de radio. Consulta Dispositivos de red centralizados en Google Cloud.
Intercambio de tráfico entre redes de VPC sin concentrador
Si no necesitas control centralizado sobre la conectividad local o los servicios de uso compartido en redes de VPC, no es necesario usar una red de VPC de concentrador. Puedes configurar el intercambio de tráfico para los pares de redes de VPC que requieren conectividad y administrar las interconexiones de forma individual. Ten en cuenta los límites para la cantidad de relaciones de intercambio de tráfico por red de VPC.
Varias redes de VPC compartidas

Crea una red de VPC compartida para cada grupo de recursos que quieras aislar a nivel de red. Por ejemplo, si deseas separar los recursos utilizados en entornos de producción y desarrollo, crea una red de VPC compartida para producción y otra red de VPC compartida para desarrollo. Luego, realiza un intercambio de tráfico entre las dos redes de VPC para habilitar la comunicación entre redes de VPC. Los recursos de proyectos individuales para cada aplicación o departamento pueden usar los servicios de la red de VPC compartida adecuada.

Para la conectividad entre las redes de VPC y tu red local, puedes usar túneles VPN independientes para cada red de VPC o adjuntos de VLAN independientes en la misma conexión de interconexión dedicada.

¿Qué sigue?