En este documento del framework de arquitectura de Google Cloud, se proporcionan prácticas recomendadas para implementar el sistema en función del diseño de las herramientas de red. Aprenderás a elegir y, luego, implementar la nube privada virtual (VPC), y a probar y administrar la seguridad de la red.
Principios básicos
El diseño de la red es fundamental para lograr un diseño exitoso del sistema, ya que te ayudará a optimizar el rendimiento y proteger las comunicaciones de las aplicaciones con servicios internos y externos. Cuando eliges los servicios de la red, es importante evaluar las necesidades de tu aplicación y cómo las aplicaciones se comunicarán entre sí. Por ejemplo, aunque algunos componentes requieren servicios globales, otros componentes pueden ubicarse geográficamente en una región específica.
La red privada de Google conecta nuestras ubicaciones regionales con más de 100 puntos de presencia de redes globales. Google Cloud usa redes definidas por software y tecnologías de sistemas distribuidos para alojar y entregar tus servicios en todo el mundo. El elemento principal de Google para las herramientas de redes dentro de Google Cloud es la VPC global. VPC usa la red global de alta velocidad de Google para vincular las aplicaciones entre regiones al tiempo que se mantiene la privacidad y la confiabilidad. Google se asegura de que tu contenido se entregue con alta capacidad de procesamiento a través de tecnologías como el ancho de banda de botella y el tiempo de propagación de ida y vuelta (BBR).
Desarrollar su diseño de herramientas de redes en la nube incluye los siguientes pasos:
- Diseñe la arquitectura de cargas de trabajo de VPC. Comience por identificar cuántos proyectos de Google Cloud y redes de VPC necesita.
- Agregue conectividad entre las VPC. Diseñe la forma en que sus cargas de trabajo se conectan a otras cargas de trabajo en distintas redes de VPC.
- Diseñe la conectividad de red híbrida. Diseñe la forma en que las VPC de sus cargas de trabajo se conectan a los entornos locales y de otras nubes.
Cuando diseñe su red de Google Cloud, considere lo siguiente:
- Una VPC proporciona un entorno de redes privadas en la nube para los servicios de interconexión que se compilan en Compute Engine, Google Kubernetes Engine (GKE) y Soluciones de computación sin servidores. También se puede usar una VPC para acceder de forma privada a servicios administrados por Google como Cloud Storage, BigQuery y Cloud SQL.
- Las redes de VPC, que incluyen las reglas de firewall y rutas asociadas, son recursos globales. No están asociadas con ninguna región o zona en particular.
- Las subredes son recursos regionales. Las instancias de VM de Compute Engine que se implementan en diferentes zonas de la misma región de la nube pueden usar direcciones IP de la misma subred.
- El tráfico desde y hacia las instancias puede controlarse a través de las reglas de firewall de VPC.
- La administración de red se puede proteger a través de funciones de administración de identidades y accesos (IAM).
- Las redes de VPC pueden conectarse de forma segura en entornos híbridos a través de Cloud VPN o Cloud Interconnect.
Si deseas ver una lista completa de las especificaciones de VPC, consulta Especificaciones.
Arquitectura de VPC de cargas de trabajo
En esta sección, se proporcionan prácticas recomendadas para diseñar arquitecturas de VPC de carga de trabajo compatibles con tu sistema.
Considera diseñar la red de VPC con anticipación
El diseño de la red de VPC debe ser una de las primeras consideraciones a la hora de diseñar la configuración de la organización en Google Cloud. Las elecciones de diseño de nivel de la organización no son fáciles de modificar en etapas posteriores del proceso. Si deseas obtener más información, consulta Prácticas recomendadas y arquitecturas de referencia para el diseño de VPC y Decide el diseño de la red de tu zona de destino de Google Cloud.
Comienza con una sola red de VPC
Para muchos casos de uso que incluyen recursos con requisitos en común, una sola red de VPC ofrece las funciones necesarias. Las redes de VPC únicas son sencillas de crear, mantener y comprender. Para obtener más información, consulta Especificaciones de redes de VPC.
Mantén la topología de red de VPC simple
Para garantizar una arquitectura administrable, confiable y fácil de comprender, mantén el diseño de tu topología de red de VPC lo más simple posible.
Use las redes de VPC en el modo personalizado
Para garantizar que las herramientas de redes de Google Cloud se integren a la perfección en sus sistemas de redes existentes, recomendamos que use el modo personalizado cuando cree redes de VPC. El modo personalizado ayuda a integrar las herramientas de redes de Google Cloud en sus esquemas de administración de direcciones IP existentes y le permite controlar qué regiones de Cloud se incluyen en la VPC. Para obtener más información, consulta VPC.
Conectividad entre VPC:
En esta sección, se proporcionan prácticas recomendadas para diseñar la conectividad entre VPC para que sean compatibles con tu sistema.
Elige un método de conexión de VPC
Si decides implementar varias redes de VPC, necesita establecer conexiones con esas redes. Las redes de VPC son espacios de usuario aislados dentro de la red definida por software (SDN) Andromeda de Google. Existen varias formas en que las redes de VPC pueden comunicarse entre sí. Elige cómo conectar la red según los requisitos de ancho de banda, latencia y Acuerdo de Nivel de Servicio (ANS) de tu ancho de banda. Para obtener más información sobre las opciones de conexión, consulta Elige el método de conexión de VPC que cumpla con tus necesidades de costo, rendimiento y seguridad.
Use VPC compartida para administrar varios grupos de trabajo
En las organizaciones con varios equipos, la VPC compartida proporciona una herramienta eficaz para extender la simplicidad arquitectónica de una sola red de VPC en varios grupos de trabajo.
Use convenciones de nomenclatura sencillas
Elija convenciones de nomenclatura simples, intuitivas y coherentes. Esto ayuda a los administradores y usuarios a comprender el propósito de cada recurso, su ubicación y cómo difiere de otros recursos.
Use pruebas de conectividad para verificar la seguridad de la red
En el contexto de la seguridad de la red, puede usar pruebas de conectividad para verificar que el tráfico que se desea impedir entre dos extremos esté bloqueado. Para verificar que el tráfico está bloqueado y por qué, defina una prueba entre dos extremos y evalúe los resultados. Por ejemplo, puedes probar una función de VPC que te permite definir reglas que admitan el bloqueo del tráfico. Para obtener más información, consulta la descripción general de las pruebas de conectividad.
Use Private Service Connect para crear extremos privados
Para crear extremos privados que le permitan acceder a los servicios de Google con su propio esquema de direcciones IP, usa Private Service Connect. Puedes acceder a los extremos privados desde el interior de su VPC y a través de conectividad híbrida que finaliza en su VPC.
Protege y limita la conectividad externa
Limita el acceso a Internet solo a los recursos que lo necesitan. Los recursos que solo tengan una dirección IP interna privada pueden acceder a muchos servicios y API de Google a través del Acceso privado a Google.
Usa Network Intelligence Center para supervisar tus redes en la nube
Network Intelligence Center proporciona una vista integral de las redes de Google Cloud en todas las regiones. Te ayuda a identificar patrones de acceso y tráfico que pueden causar riesgos operativos o de seguridad.
¿Qué sigue?
Conoce las prácticas recomendadas para la administración del almacenamiento, que incluyen lo siguiente:
- Seleccionar un tipo de almacenamiento.
- Elegir patrones de acceso de almacenamiento y tipos de cargas de trabajo.
Explora otras categorías en el framework de arquitectura, como la confiabilidad, la excelencia operativa y la seguridad, la privacidad y el cumplimiento.