Implementa el diseño de red de tu zona de destino de Google Cloud

En este documento, se proporcionan pasos y orientación para implementar el diseño de red que elegiste después de revisar Decide el diseño de red de la zona de destino de Google Cloud. Si aún no lo hiciste, revisa el diseño de la zona de destino en Google Cloud antes de elegir una opción.

Estas instrucciones están destinadas a ingenieros de red, arquitectos y profesionales técnicos que participan en la creación del diseño de red para la zona de destino de tu organización.

Opciones de diseño de la red

Según el diseño de red que hayas elegido, realiza una de las siguientes acciones:

• Opción de creación 1: Red de VPC compartida para cada entorno
• Opción de creación 2: Topología de concentrador y radio con dispositivos centralizados
• Opción de creación 3: Topología de concentrador y radio sin dispositivos
• Opción de creación 4: Expón servicios en un modelo de productor y consumidor con Private Service Connect

Opción de creación 1: Red de VPC compartida para cada entorno

Si elegiste crear la red de VPC compartida para cada entorno en “Decide el diseño de red de tu zona de destino de Google Cloud”, sigue este procedimiento.

Mediante los siguientes pasos, se crea una sola instancia de una zona de destino. Si necesitas más de una zona de destino, una para el desarrollo y otra para la producción, repite los pasos para cada zona de destino.

Limita el acceso externo mediante una política de la organización

Te recomendamos limitar el acceso directo a Internet solo a los recursos que lo necesitan. Los recursos sin direcciones externas aún pueden acceder a muchas APIs y servicios de Google a través del Acceso privado a Google. El Acceso privado a Google está habilitado a nivel de la subred y permite que los recursos interactúen con los servicios clave de Google, mientras los aíslan de la Internet pública.

Para mayor usabilidad, la funcionalidad predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre que tengan los permisos de IAM correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados para los tipos de recursos que pueden causar acceso a Internet no deseado. Luego, puedes autorizar proyectos específicos solo para permitir la creación de estos recursos. Usa las instrucciones que se encuentran en Crea y administra políticas de la organización para establecer las siguientes restricciones.

Restringir el reenvío de protocolo en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una VM.

La restricción Restringir el reenvío de protocolo en función del tipo de dirección IP evita que se creen reglas de reenvío con direcciones IP externas para toda la organización. Para los proyectos autorizados a usar reglas de reenvío externas, puedes modificar la restricción a nivel de carpeta o de proyecto.

Establece los siguientes valores para configurar esta restricción:

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Personalizados
• Tipo de política: Denegar
• Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad saliente y entrante con Internet.

La aplicación de la restricción Definir IP externas permitidas para instancias de VM evita el uso de direcciones IP externas con instancias de VM. Para las cargas de trabajo que requieren direcciones IP externas en instancias de VMs individuales, modifica la restricción a nivel de carpeta o de proyecto a fin de especificar las instancias de VMs individuales. O bien, anula la restricción para los proyectos relevantes.

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Rechazar todo

Inhabilita el uso externo de IPv6 en VPC

La restricción Inhabilitar el uso de IPv6 externa de VPC, cuando se establece en True, evita la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

• Se aplica a: Personalizar
• Aplicación: Activado

Inhabilita la creación de redes predeterminada

Cuando se crea un proyecto nuevo, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración en un entorno de red empresarial más grande.

Configura la restricción Omitir creación de red predeterminada para inhabilitar la creación de VPC predeterminada en proyectos nuevos. Puedes crear la red predeterminada dentro de un proyecto de forma manual, si es necesario.

• Se aplica a: Personalizar
• Aplicación: Activado

Diseña reglas de firewall

Las reglas de firewall permiten o rechazan el tráfico desde o hacia tus VMs según la configuración que definas. Las políticas de firewall jerárquicas se implementan a nivel de la organización y de la carpeta, y las políticas de firewall de red se implementan a nivel de la red de VPC en la jerarquía de recursos. En conjunto, estos proporcionan una capacidad importante para ayudar a proteger tus cargas de trabajo.

Sin importar dónde se apliquen las políticas de firewall, usa las siguientes pautas cuando diseñes y evalúes las reglas de firewall:

• Implementa los principios de privilegio mínimo (también conocido como microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesitas. Esto incluye limitar las reglas solo a los protocolos y puertos que necesites para cada carga de trabajo.
• Habilita el registro de reglas de firewall para obtener visibilidad del comportamiento del firewall y usar las Estadísticas de firewall.
• Define una metodología de numeración para asignar prioridades de reglas de firewall. Por ejemplo, se recomienda reservar un rango de números bajos en cada política para las reglas necesarias durante la respuesta ante el incidente. También te recomendamos priorizar las reglas más específicas que las reglas más generales, para asegurarte de que las reglas generales no estén bloqueadas. En el siguiente ejemplo, se muestra un enfoque posible para las prioridades de las reglas de firewall:

Rango de prioridad de las reglas de firewall	Objetivo
0-999	Reservado para la respuesta ante incidentes
1000-1999	Tráfico que siempre está bloqueado
2000-1999999999	Reglas específicas de la carga de trabajo
2000000000-2100000000	Reglas genéricas
2100000001-2147483643	Reservado

Configura políticas jerárquicas de firewall

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Para ver ejemplos de uso de políticas jerárquicas de firewall, consulta Ejemplos de políticas jerárquicas de firewall.

Define políticas jerárquicas de firewall para implementar los siguientes controles de acceso a la red:

• Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP está permitido a través de una política de seguridad que permite el tráfico de entrada desde el rango de IP 35.235.240.0/20 para los puertos TCP 22 y 3389.
• Verificaciones de estado para Cloud Load Balancing. Se permiten los rangos conocidos que se usan para las verificaciones de estado.
  • Para la mayoría de las instancias de Cloud Load Balancing, incluidos el balanceo de cargas TCP/UDP interno, el balanceo de cargas HTTP(S) interno, el balanceo de cargas de proxy TCP externo, el balanceo de cargas de proxy SSL externo y el balanceo de cargas HTTP(S), se define una política de seguridad que permite el tráfico de entrada de los rangos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
  • Para el balanceo de cargas de red, se define una política de seguridad que permite verificaciones de estado heredadas mediante la habilitación del tráfico de entrada de rangos de IP 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configura tu entorno de VPC compartida

Antes de implementar un diseño de VPC compartida, decide cómo compartir subredes con proyectos de servicio. Adjunta un proyecto de servicio a un proyecto host. A fin de determinar qué subredes están disponibles para el proyecto de servicio, asigna permisos de IAM al proyecto host o a las subredes individuales. Por ejemplo, puedes optar por dedicar una subred diferente a cada proyecto de servicio o compartir las mismas subredes entre proyectos de servicio.

1. Crea un proyecto nuevo para la VPC compartida. Más adelante en este proceso, este proyecto se convierte en el proyecto host y contiene los recursos de red y las redes que se compartirán con los proyectos de servicio.
2. Habilita la API de Compute Engine para el proyecto host.
3. Configura una VPC compartida para el proyecto.
4. Crea la red de VPC en modo personalizado en el proyecto host.
5. Crea subredes en las regiones en las que planeas implementar cargas de trabajo. Para cada subred, habilita el Acceso privado a Google a fin de permitir que las instancias de VM sin direcciones IP externas lleguen a los servicios de Google.

Configura Cloud NAT

Sigue estos pasos si las cargas de trabajo en regiones específicas requieren acceso a Internet saliente, por ejemplo, para descargar paquetes o actualizaciones de software.

1. Crea una puerta de enlace de Cloud NAT en las regiones en las que las cargas de trabajo requieren acceso a Internet saliente. Puedes personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas, si es necesario.
2. Como mínimo, habilita el registro de Cloud NAT para que la puerta de enlace registre ERRORS_ONLY. Si deseas incluir registros de traducciones que realiza Cloud NAT, configura cada puerta de enlace para que registre ALL.

Configura la conectividad híbrida

Puedes usar interconexión dedicada, interconexión de socio o Cloud VPN para proporcionar conectividad híbrida a tu zona de destino. En los siguientes pasos, se crean los recursos iniciales de conectividad híbrida necesarios para esta opción de diseño:

1. Si usas la interconexión dedicada, haz lo siguiente. Si usas la interconexión de socio o Cloud VPN, puedes omitir estos pasos.
   1. Crea un proyecto independiente para los puertos de interconexión físicos.
   2. Habilita la API de Compute Engine para el proyecto.
   3. Crear conexiones de interconexión dedicada
2. Para cada región en la que finalices la conectividad híbrida en la red de VPC, haz lo siguiente:
   1. Crea dos adjuntos de VLAN dedicados o de socio, uno para cada zona de disponibilidad perimetral. Como parte de este proceso, selecciona Cloud Routers y crea sesiones de BGP.
   2. Configura los routers de red de intercambio de tráfico (locales o en otra nube).

Configura proyectos de carga de trabajo

Crea un proyecto de servicio independiente para cada carga de trabajo:

1. Crea un proyecto nuevo a fin de que funcione como uno de los proyectos de servicio para la VPC compartida.
2. Habilita la API de Compute Engine para el proyecto de servicio.
3. Conecta el proyecto al proyecto host.
4. Configura el acceso a todas las subredes del proyecto host o a algunas subredes del proyecto host.

Configura la observabilidad

Network Intelligence Center proporciona una experiencia cohesiva para supervisar y visualizar los entornos de redes en la nube, así como para solucionar problemas relacionados con ellos. Úsala para asegurarte de que el diseño funcione con el intent deseado.

Las siguientes configuraciones admiten el análisis de registros y las métricas habilitados.

• Debes habilitar la API de Network Management antes de ejecutar las pruebas de conectividad. Es necesario habilitar la API para usar la API directamente, Google Cloud CLI o la consola de Google Cloud.
• Debes habilitar la API de Firewall Insights antes de poder realizar cualquier tarea con las Estadísticas de firewall.

Próximos pasos

Se completó la configuración inicial para esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar una instancia adicional del entorno de la zona de destino, como un entorno de etapa de pruebas o de producción, o continuar con Decide la seguridad de tu zona de destino de Google Cloud

Opción de creación 2: Topología de concentrador y radio con dispositivos centralizados

Si elegiste crear la topología de concentrador y radio con dispositivos centralizados en “Decide el diseño de red para la zona de destino de Google Cloud”, sigue este procedimiento.

Mediante los siguientes pasos, se crea una sola instancia de una zona de destino. Si necesitas más de una zona de destino, una para el desarrollo y otra para la producción, repite los pasos para cada zona de destino.

Limita el acceso externo mediante una política de la organización

Te recomendamos limitar el acceso directo a Internet solo a los recursos que lo necesitan. Los recursos sin direcciones externas aún pueden acceder a muchas APIs y servicios de Google a través del Acceso privado a Google. El Acceso privado a Google está habilitado a nivel de la subred y permite que los recursos interactúen con los servicios clave de Google, mientras los aíslan de la Internet pública.

Para mayor usabilidad, la funcionalidad predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre que tengan los permisos de IAM correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados para los tipos de recursos que pueden causar acceso a Internet no deseado. Luego, puedes autorizar proyectos específicos solo para permitir la creación de estos recursos. Usa las instrucciones que se encuentran en Crea y administra políticas de la organización para establecer las siguientes restricciones.

Restringir el reenvío de protocolo en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una VM.

La restricción Restringir el reenvío de protocolo en función del tipo de dirección IP evita que se creen reglas de reenvío con direcciones IP externas para toda la organización. Para los proyectos autorizados a usar reglas de reenvío externas, puedes modificar la restricción a nivel de carpeta o de proyecto.

Establece los siguientes valores para configurar esta restricción:

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Personalizados
• Tipo de política: Denegar
• Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad saliente y entrante con Internet.

La aplicación de la restricción Definir IP externas permitidas para instancias de VM evita el uso de direcciones IP externas con instancias de VM. Para las cargas de trabajo que requieren direcciones IP externas en instancias de VMs individuales, modifica la restricción a nivel de carpeta o de proyecto a fin de especificar las instancias de VMs individuales. O bien, anula la restricción para los proyectos relevantes.

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Rechazar todo

Inhabilita el uso externo de IPv6 en VPC

La restricción Inhabilitar el uso de IPv6 externa de VPC, cuando se establece en True, evita la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

• Se aplica a: Personalizar
• Aplicación: Activado

Inhabilita la creación de redes predeterminada

Cuando se crea un proyecto nuevo, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración en un entorno de red empresarial más grande.

Configura la restricción Omitir creación de red predeterminada para inhabilitar la creación de VPC predeterminada en proyectos nuevos. Puedes crear la red predeterminada dentro de un proyecto de forma manual, si es necesario.

• Se aplica a: Personalizar
• Aplicación: Activado

Diseña reglas de firewall

Las reglas de firewall permiten o rechazan el tráfico desde o hacia tus VMs según la configuración que definas. Las políticas de firewall jerárquicas se implementan a nivel de la organización y de la carpeta, y las políticas de firewall de red se implementan a nivel de la red de VPC en la jerarquía de recursos. En conjunto, estos proporcionan una capacidad importante para ayudar a proteger tus cargas de trabajo.

Sin importar dónde se apliquen las políticas de firewall, usa las siguientes pautas cuando diseñes y evalúes las reglas de firewall:

• Implementa los principios de privilegio mínimo (también conocido como microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesitas. Esto incluye limitar las reglas solo a los protocolos y puertos que necesites para cada carga de trabajo.
• Habilita el registro de reglas de firewall para obtener visibilidad del comportamiento del firewall y usar las Estadísticas de firewall.
• Define una metodología de numeración para asignar prioridades de reglas de firewall. Por ejemplo, se recomienda reservar un rango de números bajos en cada política para las reglas necesarias durante la respuesta ante el incidente. También te recomendamos priorizar las reglas más específicas que las reglas más generales, para asegurarte de que las reglas generales no estén bloqueadas. En el siguiente ejemplo, se muestra un enfoque posible para las prioridades de las reglas de firewall:

Rango de prioridad de las reglas de firewall	Objetivo
0-999	Reservado para la respuesta ante incidentes
1000-1999	Tráfico que siempre está bloqueado
2000-1999999999	Reglas específicas de la carga de trabajo
2000000000-2100000000	Reglas genéricas
2100000001-2147483643	Reservado

Configura políticas jerárquicas de firewall

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Para ver ejemplos de uso de políticas jerárquicas de firewall, consulta Ejemplos de políticas jerárquicas de firewall.

Define políticas jerárquicas de firewall para implementar los siguientes controles de acceso a la red:

• Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP está permitido a través de una política de seguridad que permite el tráfico de entrada desde el rango de IP 35.235.240.0/20 para los puertos TCP 22 y 3389.
• Verificaciones de estado para Cloud Load Balancing. Se permiten los rangos conocidos que se usan para las verificaciones de estado.
  • Para la mayoría de las instancias de Cloud Load Balancing, incluidos el balanceo de cargas TCP/UDP interno, el balanceo de cargas HTTP(S) interno, el balanceo de cargas de proxy TCP externo, el balanceo de cargas de proxy SSL externo y el balanceo de cargas HTTP(S), se define una política de seguridad que permite el tráfico de entrada de los rangos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
  • Para el balanceo de cargas de red, se define una política de seguridad que permite verificaciones de estado heredadas mediante la habilitación del tráfico de entrada de rangos de IP 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configura tu entorno de VPC

Las redes de VPC de tránsito y de concentrador proporcionan los recursos de red para habilitar la conectividad entre redes de VPC de radio de carga de trabajo y redes locales o de múltiples nubes.

1. Crea un proyecto nuevo para las redes de VPC de tránsito y de concentrador. Ambas redes de VPC son parte del mismo proyecto para admitir la conectividad a través de los dispositivos de red virtual.
2. Habilita la API de Compute Engine para el proyecto.
3. Crea la red de VPC en modo personalizado de tránsito.
4. En la red de VPC de tránsito, crea una subred en las regiones en las que planeas implementar los dispositivos de red virtuales.
5. Crea la red de VPC del modo personalizado de concentrador.
6. En la red de VPC central, crea una subred en las regiones en las que planeas implementar los dispositivos de red virtuales.
7. Configura políticas de firewall de red globales o regionales para permitir el tráfico de entrada y salida para los dispositivos virtuales de red.
8. Crea un grupo de instancias administrado para los dispositivos de red virtual.
9. Configura los recursos de balanceo de cargas TCP/UDP interno para la VPC de tránsito. Este balanceador de cargas se usa para enrutar el tráfico desde la VPC de tránsito hacia la VPC de concentrador a través de los dispositivos de red virtual.
10. Configura los recursos de balanceo de cargas TCP/UDP interno para la VPC de concentrador. Este balanceador de cargas se usa para enrutar el tráfico desde la VPC del concentrador hacia la VPC de tránsito a través de los dispositivos de red virtual.
11. Configura Private Service Connect para las APIs de Google para la VPC de concentrador.
12. Modifica las rutas de VPC para enviar todo el tráfico a través de los dispositivos virtuales de red:
    1. Borra la ruta 0.0.0.0/0 con el siguiente salto default-internet-gateway de la VPC central.
    2. Configura una ruta nueva con destino 0.0.0.0/0 y un siguiente salto de la regla de reenvío para el balanceador de cargas en la VPC de concentrador.

Configura Cloud NAT

Sigue estos pasos si las cargas de trabajo en regiones específicas requieren acceso a Internet saliente, por ejemplo, para descargar paquetes o actualizaciones de software.

1. Crea una puerta de enlace de Cloud NAT en las regiones en las que las cargas de trabajo requieren acceso a Internet saliente. Puedes personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas, si es necesario.
2. Como mínimo, habilita el registro de Cloud NAT para que la puerta de enlace registre ERRORS_ONLY. Si deseas incluir registros de traducciones que realiza Cloud NAT, configura cada puerta de enlace para que registre ALL.

Configura la conectividad híbrida

Puedes usar interconexión dedicada, interconexión de socio o Cloud VPN para proporcionar conectividad híbrida a tu zona de destino. En los siguientes pasos, se crean los recursos iniciales de conectividad híbrida necesarios para esta opción de diseño:

1. Si usas la interconexión dedicada, haz lo siguiente. Si usas la interconexión de socio o Cloud VPN, puedes omitir estos pasos.
   1. Crea un proyecto independiente para los puertos de interconexión físicos.
   2. Habilita la API de Compute Engine para el proyecto.
   3. Crear conexiones de interconexión dedicada
2. Para cada región en la que finalices la conectividad híbrida en la red de VPC, haz lo siguiente:
   1. Crea dos adjuntos de VLAN dedicados o de socio, uno para cada zona de disponibilidad perimetral. Como parte de este proceso, selecciona Cloud Routers y crea sesiones de BGP.
   2. Configura los routers de red de intercambio de tráfico (locales o en otra nube).
   3. Configura anuncios de ruta personalizados en los Cloud Routers para los rangos de subredes en las VPC de concentrador y carga de trabajo.

Configura proyectos de carga de trabajo

Crea una VPC de radio separada para cada carga de trabajo:

1. Crea un proyecto nuevo para alojar la carga de trabajo.
2. Habilita la API de Compute Engine para el proyecto.
3. Configura el intercambio de tráfico de red VPC entre la VPC del radio de la carga de trabajo y la VPC del concentrador con la siguiente configuración:
   • Habilita la exportación de rutas personalizadas en la VPC central.
   • Habilita la importación de rutas personalizadas en la VPC de radio de carga de trabajo.
4. Crea subredes en las regiones en las que planeas implementar cargas de trabajo. Para cada subred, habilita el Acceso privado a Google a fin de permitir que las instancias de VM que solo tengan direcciones IP internas lleguen a los servicios de Google.
5. Configura Private Service Connect para las APIs de Google.
6. Para enrutar todo el tráfico a través de los dispositivos de red virtual en la VPC del concentrador, borra la ruta 0.0.0.0/0 con el siguiente salto default-internet-gateway de la VPC del radio de carga de trabajo.
7. Configura políticas de firewall de red globales o regionales para permitir el tráfico de entrada y salida para la carga de trabajo.

Configura la observabilidad

Network Intelligence Center proporciona una experiencia cohesiva para supervisar y visualizar los entornos de redes en la nube, así como para solucionar problemas relacionados con ellos. Úsala para asegurarte de que el diseño funcione con el intent deseado.

Las siguientes configuraciones admiten el análisis de registros y las métricas habilitados.

• Debes habilitar la API de Network Management antes de ejecutar las pruebas de conectividad. Es necesario habilitar la API para usar la API directamente, Google Cloud CLI o la consola de Google Cloud.
• Debes habilitar la API de Firewall Insights antes de poder realizar cualquier tarea con las Estadísticas de firewall.

Próximos pasos

Se completó la configuración inicial para esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar una instancia adicional del entorno de la zona de destino, como un entorno de etapa de pruebas o de producción, o continuar con Decide la seguridad de tu zona de destino de Google Cloud

Opción de creación 3: Topología de concentrador y radio sin dispositivos

Si elegiste crear la topología de concentrador y radio sin dispositivos en “Decide el diseño de red para la zona de destino de Google Cloud”, sigue este procedimiento.

Mediante los siguientes pasos, se crea una sola instancia de una zona de destino. Si necesitas más de una zona de destino, una para el desarrollo y otra para la producción, repite los pasos para cada zona de destino.

Limita el acceso externo mediante una política de la organización

Te recomendamos limitar el acceso directo a Internet solo a los recursos que lo necesitan. Los recursos sin direcciones externas aún pueden acceder a muchas APIs y servicios de Google a través del Acceso privado a Google. El Acceso privado a Google está habilitado a nivel de la subred y permite que los recursos interactúen con los servicios clave de Google, mientras los aíslan de la Internet pública.

Para mayor usabilidad, la funcionalidad predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre que tengan los permisos de IAM correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados para los tipos de recursos que pueden causar acceso a Internet no deseado. Luego, puedes autorizar proyectos específicos solo para permitir la creación de estos recursos. Usa las instrucciones que se encuentran en Crea y administra políticas de la organización para establecer las siguientes restricciones.

Restringir el reenvío de protocolo en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una VM.

La restricción Restringir el reenvío de protocolo en función del tipo de dirección IP evita que se creen reglas de reenvío con direcciones IP externas para toda la organización. Para los proyectos autorizados a usar reglas de reenvío externas, puedes modificar la restricción a nivel de carpeta o de proyecto.

Establece los siguientes valores para configurar esta restricción:

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Personalizados
• Tipo de política: Denegar
• Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad saliente y entrante con Internet.

La aplicación de la restricción Definir IP externas permitidas para instancias de VM evita el uso de direcciones IP externas con instancias de VM. Para las cargas de trabajo que requieren direcciones IP externas en instancias de VMs individuales, modifica la restricción a nivel de carpeta o de proyecto a fin de especificar las instancias de VMs individuales. O bien, anula la restricción para los proyectos relevantes.

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Rechazar todo

Inhabilita el uso externo de IPv6 en VPC

La restricción Inhabilitar el uso de IPv6 externa de VPC, cuando se establece en True, evita la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

• Se aplica a: Personalizar
• Aplicación: Activado

Inhabilita la creación de redes predeterminada

Cuando se crea un proyecto nuevo, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración en un entorno de red empresarial más grande.

Configura la restricción Omitir creación de red predeterminada para inhabilitar la creación de VPC predeterminada en proyectos nuevos. Puedes crear la red predeterminada dentro de un proyecto de forma manual, si es necesario.

• Se aplica a: Personalizar
• Aplicación: Activado

Diseña reglas de firewall

Las reglas de firewall permiten o rechazan el tráfico desde o hacia tus VMs según la configuración que definas. Las políticas de firewall jerárquicas se implementan a nivel de la organización y de la carpeta, y las políticas de firewall de red se implementan a nivel de la red de VPC en la jerarquía de recursos. En conjunto, estos proporcionan una capacidad importante para ayudar a proteger tus cargas de trabajo.

Sin importar dónde se apliquen las políticas de firewall, usa las siguientes pautas cuando diseñes y evalúes las reglas de firewall:

• Implementa los principios de privilegio mínimo (también conocido como microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesitas. Esto incluye limitar las reglas solo a los protocolos y puertos que necesites para cada carga de trabajo.
• Habilita el registro de reglas de firewall para obtener visibilidad del comportamiento del firewall y usar las Estadísticas de firewall.
• Define una metodología de numeración para asignar prioridades de reglas de firewall. Por ejemplo, se recomienda reservar un rango de números bajos en cada política para las reglas necesarias durante la respuesta ante el incidente. También te recomendamos priorizar las reglas más específicas que las reglas más generales, para asegurarte de que las reglas generales no estén bloqueadas. En el siguiente ejemplo, se muestra un enfoque posible para las prioridades de las reglas de firewall:

Rango de prioridad de las reglas de firewall	Objetivo
0-999	Reservado para la respuesta ante incidentes
1000-1999	Tráfico que siempre está bloqueado
2000-1999999999	Reglas específicas de la carga de trabajo
2000000000-2100000000	Reglas genéricas
2100000001-2147483643	Reservado

Configura políticas jerárquicas de firewall

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Para ver ejemplos de uso de políticas jerárquicas de firewall, consulta Ejemplos de políticas jerárquicas de firewall.

Define políticas jerárquicas de firewall para implementar los siguientes controles de acceso a la red:

• Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP está permitido a través de una política de seguridad que permite el tráfico de entrada desde el rango de IP 35.235.240.0/20 para los puertos TCP 22 y 3389.
• Verificaciones de estado para Cloud Load Balancing. Se permiten los rangos conocidos que se usan para las verificaciones de estado.
  • Para la mayoría de las instancias de Cloud Load Balancing, incluidos el balanceo de cargas TCP/UDP interno, el balanceo de cargas HTTP(S) interno, el balanceo de cargas de proxy TCP externo, el balanceo de cargas de proxy SSL externo y el balanceo de cargas HTTP(S), se define una política de seguridad que permite el tráfico de entrada de los rangos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
  • Para el balanceo de cargas de red, se define una política de seguridad que permite verificaciones de estado heredadas mediante la habilitación del tráfico de entrada de rangos de IP 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configura el entorno de VPC central

La VPC de concentrador proporciona los recursos de red para habilitar la conectividad entre redes de VPC de radio de carga de trabajo y redes locales o de múltiples nubes.

1. Crea un proyecto nuevo para la red de VPC del concentrador.
2. Habilita la API de Compute Engine para el proyecto.
3. Crea la red de VPC del modo personalizado de concentrador.
4. Configura Private Service Connect para las APIs de Google para la VPC de concentrador.

Configura la conectividad híbrida

Puedes usar interconexión dedicada, interconexión de socio o Cloud VPN para proporcionar conectividad híbrida a tu zona de destino. En los siguientes pasos, se crean los recursos iniciales de conectividad híbrida necesarios para esta opción de diseño:

1. Si usas la interconexión dedicada, haz lo siguiente. Si usas la interconexión de socio o Cloud VPN, puedes omitir estos pasos.
   1. Crea un proyecto independiente para los puertos de interconexión físicos.
   2. Habilita la API de Compute Engine para el proyecto.
   3. Crear conexiones de interconexión dedicada
2. Para cada región en la que finalices la conectividad híbrida en la red de VPC, haz lo siguiente:
   1. Crea dos adjuntos de VLAN dedicados o de socio, uno para cada zona de disponibilidad perimetral. Como parte de este proceso, selecciona Cloud Routers y crea sesiones de BGP.
   2. Configura los routers de red de intercambio de tráfico (locales o en otra nube).
   3. Configura anuncios de ruta personalizados en los Cloud Routers para los rangos de subredes en las VPC de concentrador y carga de trabajo.

Configura proyectos de carga de trabajo

Crea una VPC de radio separada para cada carga de trabajo:

1. Crea un proyecto nuevo para alojar la carga de trabajo.
2. Habilita la API de Compute Engine para el proyecto.
3. Configura el intercambio de tráfico entre redes de VPC entre la VPC del radio de carga de trabajo y la VPC del concentrador, con la siguiente configuración:
   • Habilita la exportación de rutas personalizadas en la VPC central.
   • Habilita la importación de rutas personalizadas en la VPC de radio de carga de trabajo.
4. Crea subredes en las regiones en las que planeas implementar cargas de trabajo. Para cada subred, habilita el Acceso privado a Google a fin de permitir que las instancias de VM que solo tengan direcciones IP internas lleguen a los servicios de Google.
5. Configura Private Service Connect para las APIs de Google.

Configura Cloud NAT

Sigue estos pasos si las cargas de trabajo en regiones específicas requieren acceso a Internet saliente, por ejemplo, para descargar paquetes o actualizaciones de software.

1. Crea una puerta de enlace de Cloud NAT en las regiones en las que las cargas de trabajo requieren acceso a Internet saliente. Puedes personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas, si es necesario.
2. Como mínimo, habilita el registro de Cloud NAT para que la puerta de enlace registre ERRORS_ONLY. Si deseas incluir registros de traducciones que realiza Cloud NAT, configura cada puerta de enlace para que registre ALL.

Configura la observabilidad

Network Intelligence Center proporciona una experiencia cohesiva para supervisar y visualizar los entornos de redes en la nube, así como para solucionar problemas relacionados con ellos. Úsala para asegurarte de que el diseño funcione con el intent deseado.

Las siguientes configuraciones admiten el análisis de registros y las métricas habilitados.

• Debes habilitar la API de Network Management antes de ejecutar las pruebas de conectividad. Es necesario habilitar la API para usar la API directamente, Google Cloud CLI o la consola de Google Cloud.
• Debes habilitar la API de Firewall Insights antes de poder realizar cualquier tarea con las Estadísticas de firewall.

Próximos pasos

Se completó la configuración inicial para esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar una instancia adicional del entorno de la zona de destino, como un entorno de etapa de pruebas o de producción, o continuar con Decide la seguridad de tu zona de destino de Google Cloud

Opción de creación 4: Expón servicios en un modelo de productor y consumidor con Private Service Connect

Si elegiste exponer los servicios en un modelo del productor y el consumidor de Private Service Connect para tu zona de destino, como se describe en “Decide el diseño de red de tu zona de destino de Google Cloud”, sigue este procedimiento.

Mediante los siguientes pasos, se crea una sola instancia de una zona de destino. Si necesitas más de una zona de destino, una para el desarrollo y otra para la producción, repite los pasos para cada zona de destino.

Limita el acceso externo mediante una política de la organización

Te recomendamos limitar el acceso directo a Internet solo a los recursos que lo necesitan. Los recursos sin direcciones externas aún pueden acceder a muchas APIs y servicios de Google a través del Acceso privado a Google. El Acceso privado a Google está habilitado a nivel de la subred y permite que los recursos interactúen con los servicios clave de Google, mientras los aíslan de la Internet pública.

Para mayor usabilidad, la funcionalidad predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre que tengan los permisos de IAM correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados para los tipos de recursos que pueden causar acceso a Internet no deseado. Luego, puedes autorizar proyectos específicos solo para permitir la creación de estos recursos. Usa las instrucciones que se encuentran en Crea y administra políticas de la organización para establecer las siguientes restricciones.

Restringir el reenvío de protocolo en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una VM.

La restricción Restringir el reenvío de protocolo en función del tipo de dirección IP evita que se creen reglas de reenvío con direcciones IP externas para toda la organización. Para los proyectos autorizados a usar reglas de reenvío externas, puedes modificar la restricción a nivel de carpeta o de proyecto.

Establece los siguientes valores para configurar esta restricción:

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Personalizados
• Tipo de política: Denegar
• Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad saliente y entrante con Internet.

La aplicación de la restricción Definir IP externas permitidas para instancias de VM evita el uso de direcciones IP externas con instancias de VM. Para las cargas de trabajo que requieren direcciones IP externas en instancias de VMs individuales, modifica la restricción a nivel de carpeta o de proyecto a fin de especificar las instancias de VMs individuales. O bien, anula la restricción para los proyectos relevantes.

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Rechazar todo

Inhabilita el uso externo de IPv6 en VPC

La restricción Inhabilitar el uso de IPv6 externa de VPC, cuando se establece en True, evita la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

• Se aplica a: Personalizar
• Aplicación: Activado

Inhabilita la creación de redes predeterminada

Cuando se crea un proyecto nuevo, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración en un entorno de red empresarial más grande.

Configura la restricción Omitir creación de red predeterminada para inhabilitar la creación de VPC predeterminada en proyectos nuevos. Puedes crear la red predeterminada dentro de un proyecto de forma manual, si es necesario.

• Se aplica a: Personalizar
• Aplicación: Activado

Diseña reglas de firewall

Las reglas de firewall permiten o rechazan el tráfico desde o hacia tus VMs según la configuración que definas. Las políticas de firewall jerárquicas se implementan a nivel de la organización y de la carpeta, y las políticas de firewall de red se implementan a nivel de la red de VPC en la jerarquía de recursos. En conjunto, estos proporcionan una capacidad importante para ayudar a proteger tus cargas de trabajo.

Sin importar dónde se apliquen las políticas de firewall, usa las siguientes pautas cuando diseñes y evalúes las reglas de firewall:

• Implementa los principios de privilegio mínimo (también conocido como microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesitas. Esto incluye limitar las reglas solo a los protocolos y puertos que necesites para cada carga de trabajo.
• Habilita el registro de reglas de firewall para obtener visibilidad del comportamiento del firewall y usar las Estadísticas de firewall.
• Define una metodología de numeración para asignar prioridades de reglas de firewall. Por ejemplo, se recomienda reservar un rango de números bajos en cada política para las reglas necesarias durante la respuesta ante el incidente. También te recomendamos priorizar las reglas más específicas que las reglas más generales, para asegurarte de que las reglas generales no estén bloqueadas. En el siguiente ejemplo, se muestra un enfoque posible para las prioridades de las reglas de firewall:

Rango de prioridad de las reglas de firewall	Objetivo
0-999	Reservado para la respuesta ante incidentes
1000-1999	Tráfico que siempre está bloqueado
2000-1999999999	Reglas específicas de la carga de trabajo
2000000000-2100000000	Reglas genéricas
2100000001-2147483643	Reservado

Configura políticas jerárquicas de firewall

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Para ver ejemplos de uso de políticas jerárquicas de firewall, consulta Ejemplos de políticas jerárquicas de firewall.

Define políticas jerárquicas de firewall para implementar los siguientes controles de acceso a la red:

• Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP está permitido a través de una política de seguridad que permite el tráfico de entrada desde el rango de IP 35.235.240.0/20 para los puertos TCP 22 y 3389.
• Verificaciones de estado para Cloud Load Balancing. Se permiten los rangos conocidos que se usan para las verificaciones de estado.
  • Para la mayoría de las instancias de Cloud Load Balancing, incluidos el balanceo de cargas TCP/UDP interno, el balanceo de cargas HTTP(S) interno, el balanceo de cargas de proxy TCP externo, el balanceo de cargas de proxy SSL externo y el balanceo de cargas HTTP(S), se define una política de seguridad que permite el tráfico de entrada de los rangos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
  • Para el balanceo de cargas de red, se define una política de seguridad que permite verificaciones de estado heredadas mediante la habilitación del tráfico de entrada de rangos de IP 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configura el entorno de VPC

La VPC de tránsito proporciona los recursos de red para habilitar la conectividad entre las redes de VPC de radio de carga de trabajo y las redes locales o de múltiples nubes.

1. Crea un proyecto nuevo para la red de VPC de tránsito.
2. Habilita la API de Compute Engine para el proyecto.
3. Crea la red de VPC en modo personalizado de tránsito.
4. Crea una subred de Private Service Connect en cada región en la que planeas publicar servicios que se ejecutan en la VPC de concentrador o en el entorno local. Considera el tamaño de la subred de Private Service Connect cuando decidas tu plan de direccionamiento IP.
5. Para cada servicio local que desees exponer a las cargas de trabajo que se ejecutan en Google Cloud, crea un balanceador de cargas de proxy HTTP(S) o TCP(S) interno y expón los servicios mediante Private Service Connect
6. Configura Private Service Connect para las APIs de Google para la VPC de tránsito.

Configura la conectividad híbrida

Puedes usar interconexión dedicada, interconexión de socio o Cloud VPN para proporcionar conectividad híbrida a tu zona de destino. En los siguientes pasos, se crean los recursos iniciales de conectividad híbrida necesarios para esta opción de diseño:

1. Si usas la interconexión dedicada, haz lo siguiente. Si usas la interconexión de socio o Cloud VPN, puedes omitir estos pasos.
   1. Crea un proyecto independiente para los puertos de interconexión físicos.
   2. Habilita la API de Compute Engine para el proyecto.
   3. Crear conexiones de interconexión dedicada
2. Para cada región en la que finalices la conectividad híbrida en la red de VPC, haz lo siguiente:
   1. Crea dos adjuntos de VLAN dedicados o de socio, uno para cada zona de disponibilidad perimetral. Como parte de este proceso, selecciona Cloud Routers y crea sesiones de BGP.
   2. Configura los routers de red de intercambio de tráfico (locales o en otra nube).

Configura proyectos de carga de trabajo

Crea una VPC independiente para cada carga de trabajo:

1. Crea un proyecto nuevo para alojar la carga de trabajo.
2. Habilita la API de Compute Engine para el proyecto.
3. Crea una red de VPC en modo personalizado.
4. Crea subredes en las regiones en las que planeas implementar cargas de trabajo. Para cada subred, habilita el Acceso privado a Google a fin de permitir que las instancias de VM que solo tengan direcciones IP internas lleguen a los servicios de Google.
5. Configura Private Service Connect para las APIs de Google.
6. Para cada carga de trabajo que consumas de una VPC diferente o de tu entorno local, crea un extremo de consumidor de Private Service Connect.
7. En cada carga de trabajo que produzcas para una VPC diferente o tu entorno local, crea un balanceador de cargas interno y un adjunto de servicio para el servicio. Considera el tamaño de la subred de Private Service Connect cuando decidas tu plan de direccionamiento IP.
8. Si se debe poder acceder al servicio desde el entorno local, crea un extremo de consumidor de Private Service Connect en la VPC de tránsito.

Configura Cloud NAT

Sigue estos pasos si las cargas de trabajo en regiones específicas requieren acceso a Internet saliente, por ejemplo, para descargar paquetes o actualizaciones de software.

1. Crea una puerta de enlace de Cloud NAT en las regiones en las que las cargas de trabajo requieren acceso a Internet saliente. Puedes personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas, si es necesario.
2. Como mínimo, habilita el registro de Cloud NAT para que la puerta de enlace registre ERRORS_ONLY. Si deseas incluir registros de traducciones que realiza Cloud NAT, configura cada puerta de enlace para que registre ALL.

Configura la observabilidad

Network Intelligence Center proporciona una experiencia cohesiva para supervisar y visualizar los entornos de redes en la nube, así como para solucionar problemas relacionados con ellos. Úsala para asegurarte de que el diseño funcione con el intent deseado.

Las siguientes configuraciones admiten el análisis de registros y las métricas habilitados.

• Debes habilitar la API de Network Management antes de ejecutar las pruebas de conectividad. Es necesario habilitar la API para usar la API directamente, Google Cloud CLI o la consola de Google Cloud.
• Debes habilitar la API de Firewall Insights antes de poder realizar cualquier tarea con las Estadísticas de firewall.

Próximos pasos

Se completó la configuración inicial para esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar una instancia adicional del entorno de la zona de destino, como un entorno de etapa de pruebas o de producción, o continuar con Decide la seguridad de tu zona de destino de Google Cloud

¿Qué sigue?

• Decide la seguridad de tu zona de destino de Google Cloud (siguiente documento de esta serie).
• Lee Prácticas recomendadas para el diseño de redes de VPC.
• Aprende a usar dispositivos de red centralizados en Google Cloud.
• Obtén más información sobre Private Service Connect.