Implementar el diseño de red de la zona de aterrizaje de Google Cloud

Last reviewed 2024-10-31 UTC

En este documento se describen los pasos y las directrices para implementar el diseño de red que haya elegido después de consultar el artículo Decidir el diseño de red de su zona de aterrizaje Google Cloud . Si aún no lo ha hecho, consulte el artículo sobre el diseño de la zona de aterrizaje Google Cloud antes de elegir una opción.

Estas instrucciones están dirigidas a ingenieros, arquitectos y profesionales técnicos de redes que participan en la creación del diseño de la red de la zona de aterrizaje de tu organización.

Opciones de diseño de la red

En función del diseño de red que hayas elegido, haz una de las siguientes acciones:

Opción 1: crear una red de VPC compartida para cada entorno

Si has decidido crear la red de VPC compartida para cada entorno en "Decide el diseño de la red de tu zona de aterrizaje de Google Cloud ", sigue este procedimiento.

En los siguientes pasos se crea una sola instancia de una VPC. Si necesitas varias instancias de una VPC, como para entornos de desarrollo y producción, repite los pasos con cada VPC.

Limitar el acceso externo mediante una política de organización

Te recomendamos que limites el acceso directo a Internet solo a los recursos que lo necesiten. Los recursos sin direcciones externas pueden seguir accediendo a muchas APIs y servicios de Google mediante el acceso privado de Google. El acceso privado de Google se habilita a nivel de subred y permite que los recursos interactúen con servicios clave de Google, al tiempo que los aísla de Internet público.

Para que sea más fácil de usar, la función predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre que tengan los permisos de gestión de identidades y accesos correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados de los tipos de recursos que puedan provocar un acceso a Internet no deseado. Después, puede autorizar solo proyectos específicos para permitir la creación de estos recursos. Sigue las instrucciones de la sección Crear y gestionar políticas de organización para definir las siguientes restricciones.

Restricción del reenvío de protocolos en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una máquina virtual.

La restricción Restricción del reenvío de protocolos en función del tipo de dirección IP impide la creación de reglas de reenvío con direcciones IP externas para toda la organización. En los proyectos autorizados para usar reglas de reenvío externas, puede modificar la restricción a nivel de carpeta o de proyecto.

Defina los siguientes valores para configurar esta restricción:

  • Aplicable a: personalizar
  • Medidas por incumplimiento de políticas: sustitución
  • Valores de política: personalizado
  • Tipo de política: Denegar
  • Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad de salida y de entrada con Internet.

Si se aplica la restricción Define allowed external IPs for VM instances (Definir las IPs externas permitidas para las instancias de VM), no se podrán usar direcciones IP externas con las instancias de VM. En el caso de las cargas de trabajo que requieren direcciones IP externas en instancias de VM concretas, modifica la restricción a nivel de carpeta o de proyecto para especificar las instancias de VM concretas. También puedes anular la restricción en los proyectos correspondientes.

  • Aplicable a: personalizar
  • Medidas por incumplimiento de políticas: sustitución
  • Valores de la política: Denegar todo

Inhabilitar el uso de IPv6 externo de VPC

La restricción Inhabilitar el uso de IPv6 externo de VPC, cuando se define como True, impide la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

  • Aplicable a: personalizar
  • Aplicación: activado

Inhabilitar la creación de redes predeterminadas

Cuando se crea un proyecto, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración con un entorno de red empresarial más grande.

Configura la restricción Saltar creación de red predeterminada para inhabilitar la creación de VPC predeterminada en los proyectos nuevos. Si es necesario, puedes crear manualmente la red predeterminada en un proyecto.

  • Aplicable a: personalizar
  • Aplicación: activado

Diseñar reglas de cortafuegos

Las reglas de cortafuegos te permiten permitir o rechazar el tráfico hacia o desde tus VMs según la configuración que definas. Las políticas de cortafuegos jerárquicas se implementan a nivel de organización y de carpeta, y las políticas de cortafuegos de red se implementan a nivel de red de VPC en la jerarquía de recursos. En conjunto, ofrecen una función importante para proteger tus cargas de trabajo.

Independientemente de dónde se apliquen las políticas de cortafuegos, sigue estas directrices al diseñar y evaluar tus reglas de cortafuegos:

  • Implementa principios de mínimos accesos (también denominados microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesites. Esto incluye limitar las reglas a los protocolos y puertos que necesites para cada carga de trabajo.
  • Habilita el registro de reglas de cortafuegos para ver el comportamiento del cortafuegos y usar Estadísticas del cortafuegos.
  • Define una metodología de numeración para asignar prioridades a las reglas de cortafuegos. Por ejemplo, es una práctica recomendada reservar un intervalo de números bajos en cada política para las reglas que se necesiten durante la respuesta a incidentes. También te recomendamos que asignes una prioridad más alta a las reglas más específicas que a las más generales para asegurarte de que las reglas específicas no se vean eclipsadas por las generales. En el siguiente ejemplo se muestra un posible enfoque para las prioridades de las reglas de cortafuegos:

Intervalo de prioridad de las reglas de cortafuegos
Finalidad

0-999
Reservado para la respuesta a incidentes

1000-1999
Tráfico siempre bloqueado

2000-1999999999
Reglas específicas de la carga de trabajo

2000000000-2100000000
Reglas generales

2100000001-2147483643
Reservado

Configurar políticas de cortafuegos jerárquicas

Las políticas de cortafuegos jerárquicas te permiten crear y aplicar una política de cortafuegos coherente en toda tu organización. Para ver ejemplos de cómo usar políticas de cortafuegos jerárquicas, consulta Ejemplos de políticas de cortafuegos jerárquicas.

Define políticas de cortafuegos jerárquicas para implementar los siguientes controles de acceso a la red:

  • Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP se permite mediante una política de seguridad que permite el tráfico entrante del intervalo de IPs 35.235.240.0/20 para los puertos TCP 22 y 3389.
  • Comprobaciones de estado de Cloud Load Balancing. Se permiten los intervalos conocidos que se usan para las comprobaciones de estado.
    • En la mayoría de las instancias de Cloud Load Balancing (incluidas las de balanceo de carga TCP/UDP interno, HTTP(S) interno, proxy TCP externo, proxy SSL externo y HTTP(S)), se define una política de seguridad que permite el tráfico de entrada de los intervalos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
    • En el caso del balanceo de carga de red, se define una política de seguridad que habilita las comprobaciones del estado antiguas permitiendo el tráfico entrante de los intervalos de IPs 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configurar el entorno de VPC compartida

Antes de implementar un diseño de VPC compartida, decide cómo compartir las subredes con los proyectos de servicio. Vinculas un proyecto de servicio a un proyecto del host. Para determinar qué subredes están disponibles para el proyecto de servicio, asigna permisos de IAM al proyecto del host o a subredes concretas. Por ejemplo, puedes dedicar una subred diferente a cada proyecto de servicio o compartir las mismas subredes entre proyectos de servicio.

  1. Crea un proyecto para la VPC compartida. Más adelante en este proceso, este proyecto se convierte en el proyecto del host y contiene las redes y los recursos de redes que se compartirán con los proyectos de servicio.
  2. Habilita la API de Compute Engine en el proyecto host.
  3. Configura la VPC compartida en el proyecto.
  4. Crea la red de VPC en modo personalizado en el proyecto host.
  5. Crea subredes en la región en la que tengas previsto desplegar cargas de trabajo. En cada subred, habilita el acceso privado de Google para permitir que las instancias de VM sin direcciones IP externas accedan a los servicios de Google.

Configurar Cloud NAT

Sigue estos pasos si las cargas de trabajo de regiones específicas requieren acceso saliente a Internet (por ejemplo, para descargar paquetes de software o actualizaciones).

  1. Crea una pasarela de Cloud NAT en las regiones en las que las cargas de trabajo requieran acceso saliente a Internet. Si es necesario, puede personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas.
  2. Como mínimo, habilita el almacenamiento de registros de Cloud NAT para que la pasarela registre ERRORS_ONLY. Para incluir los registros de las traducciones realizadas por Cloud NAT, configura cada pasarela para que registre ALL.

Configurar la conectividad híbrida

Puedes usar Interconexión dedicada, Partner Interconnect o Cloud VPN para proporcionar conectividad híbrida a tu zona de aterrizaje. En los pasos siguientes se crean los recursos de conectividad híbrida iniciales necesarios para esta opción de diseño:

  1. Si usas Interconexión dedicada, sigue estos pasos. Si usas Partner Interconnect o Cloud VPN, puedes saltarte estos pasos.
    1. Crea un proyecto independiente para los puertos de interconexión física.
    2. Habilita la API de Compute Engine en el proyecto.
    3. Crea conexiones de interconexión dedicada.
  2. En cada región en la que termines la conectividad híbrida en la red de VPC, haz lo siguiente:
    1. Crea dos vinculaciones de VLAN dedicadas o de partner, una para cada zona de disponibilidad de borde. Como parte de este proceso, debes seleccionar Cloud Routers y crear sesiones BGP.
    2. Configura los routers de la red de peer (on-premise u otra nube).

Configurar proyectos de carga de trabajo

Crea un proyecto de servicio independiente para cada carga de trabajo:

  1. Crea un proyecto que actúe como uno de los proyectos de servicio de la VPC compartida.
  2. Habilita la API Compute Engine en el proyecto de servicio.
  3. Adjunta el proyecto al proyecto del host.
  4. Configura el acceso a todas las subredes del proyecto del host o a algunas subredes del proyecto del host.

Configurar la observabilidad

Network Intelligence Center ofrece una única plataforma desde la que monitorizar, solucionar problemas y visualizar tu entorno de red en la nube. Úsala para asegurarte de que tu diseño funciona con la intención deseada.

Las siguientes configuraciones admiten el análisis de los registros y las métricas habilitados.

Pasos siguientes

Ya se ha completado la configuración inicial de esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar otra instancia del entorno de la zona de aterrizaje, como un entorno de preproducción o de producción, o bien continuar con la sección Decide la seguridad de tu zona de aterrizaje Google Cloud .

Opción de creación 2: topología de concentrador y radios con dispositivos centralizados

Si has elegido crear la topología de concentrador y radios con dispositivos centralizados en "Decide el diseño de la red de tu zona de aterrizaje de Google Cloud ", sigue este procedimiento.

En los siguientes pasos se crea una sola instancia de una VPC. Si necesitas varias instancias de una VPC, como para entornos de desarrollo y producción, repite los pasos con cada VPC.

Limitar el acceso externo mediante una política de organización

Te recomendamos que limites el acceso directo a Internet solo a los recursos que lo necesiten. Los recursos sin direcciones externas pueden seguir accediendo a muchas APIs y servicios de Google mediante el acceso privado de Google. El acceso privado de Google se habilita a nivel de subred y permite que los recursos interactúen con servicios clave de Google, al tiempo que los aísla de Internet público.

Para que sea más fácil de usar, la función predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre que tengan los permisos de gestión de identidades y accesos correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados de los tipos de recursos que puedan provocar un acceso a Internet no deseado. Después, puede autorizar solo proyectos específicos para permitir la creación de estos recursos. Sigue las instrucciones de la sección Crear y gestionar políticas de organización para definir las siguientes restricciones.

Restricción del reenvío de protocolos en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una máquina virtual.

La restricción Restricción del reenvío de protocolos en función del tipo de dirección IP impide la creación de reglas de reenvío con direcciones IP externas para toda la organización. En los proyectos autorizados para usar reglas de reenvío externas, puede modificar la restricción a nivel de carpeta o de proyecto.

Defina los siguientes valores para configurar esta restricción:

  • Aplicable a: personalizar
  • Medidas por incumplimiento de políticas: sustitución
  • Valores de política: personalizado
  • Tipo de política: Denegar
  • Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad de salida y de entrada con Internet.

Si se aplica la restricción Define allowed external IPs for VM instances (Definir las IPs externas permitidas para las instancias de VM), no se podrán usar direcciones IP externas con las instancias de VM. En el caso de las cargas de trabajo que requieren direcciones IP externas en instancias de VM concretas, modifica la restricción a nivel de carpeta o de proyecto para especificar las instancias de VM concretas. También puedes anular la restricción en los proyectos correspondientes.

  • Aplicable a: personalizar
  • Medidas por incumplimiento de políticas: sustitución
  • Valores de la política: Denegar todo

Inhabilitar el uso de IPv6 externo de VPC

La restricción Inhabilitar el uso de IPv6 externo de VPC, cuando se define como True, impide la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

  • Aplicable a: personalizar
  • Aplicación: activado

Inhabilitar la creación de redes predeterminadas

Cuando se crea un proyecto, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración con un entorno de red empresarial más grande.

Configura la restricción Saltar creación de red predeterminada para inhabilitar la creación de VPC predeterminada en los proyectos nuevos. Si es necesario, puedes crear manualmente la red predeterminada en un proyecto.

  • Aplicable a: personalizar
  • Aplicación: activado

Diseñar reglas de cortafuegos

Las reglas de cortafuegos te permiten permitir o rechazar el tráfico hacia o desde tus VMs según la configuración que definas. Las políticas de cortafuegos jerárquicas se implementan a nivel de organización y de carpeta, y las políticas de cortafuegos de red se implementan a nivel de red de VPC en la jerarquía de recursos. En conjunto, ofrecen una función importante para proteger tus cargas de trabajo.

Independientemente de dónde se apliquen las políticas de cortafuegos, sigue estas directrices al diseñar y evaluar tus reglas de cortafuegos:

  • Implementa principios de mínimos accesos (también denominados microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesites. Esto incluye limitar las reglas a los protocolos y puertos que necesites para cada carga de trabajo.
  • Habilita el registro de reglas de cortafuegos para ver el comportamiento del cortafuegos y usar Estadísticas del cortafuegos.
  • Define una metodología de numeración para asignar prioridades a las reglas de cortafuegos. Por ejemplo, es una práctica recomendada reservar un intervalo de números bajos en cada política para las reglas que se necesiten durante la respuesta a incidentes. También te recomendamos que asignes una prioridad más alta a las reglas más específicas que a las más generales para asegurarte de que las reglas específicas no se vean eclipsadas por las generales. En el siguiente ejemplo se muestra un posible enfoque para las prioridades de las reglas de cortafuegos:

Intervalo de prioridad de las reglas de cortafuegos
Finalidad

0-999
Reservado para la respuesta a incidentes

1000-1999
Tráfico siempre bloqueado

2000-1999999999
Reglas específicas de la carga de trabajo

2000000000-2100000000
Reglas generales

2100000001-2147483643
Reservado

Configurar políticas de cortafuegos jerárquicas

Las políticas de cortafuegos jerárquicas te permiten crear y aplicar una política de cortafuegos coherente en toda tu organización. Para ver ejemplos de cómo usar políticas de cortafuegos jerárquicas, consulta Ejemplos de políticas de cortafuegos jerárquicas.

Define políticas de cortafuegos jerárquicas para implementar los siguientes controles de acceso a la red:

  • Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP se permite mediante una política de seguridad que permite el tráfico entrante del intervalo de IPs 35.235.240.0/20 para los puertos TCP 22 y 3389.
  • Comprobaciones de estado de Cloud Load Balancing. Se permiten los intervalos conocidos que se usan para las comprobaciones de estado.
    • En la mayoría de las instancias de Cloud Load Balancing (incluidas las de balanceo de carga TCP/UDP interno, HTTP(S) interno, proxy TCP externo, proxy SSL externo y HTTP(S)), se define una política de seguridad que permite el tráfico de entrada de los intervalos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
    • En el caso del balanceo de carga de red, se define una política de seguridad que habilita las comprobaciones del estado antiguas permitiendo el tráfico entrante de los intervalos de IPs 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configurar el entorno de VPC

Las redes de VPC de tránsito y de concentrador proporcionan los recursos de red para habilitar la conectividad entre las redes de VPC de radio de carga de trabajo y las redes on-premise o multicloud.

  1. Crea un proyecto para las redes de VPC de tránsito y de concentrador. Ambas redes de VPC forman parte del mismo proyecto para admitir la conectividad a través de los dispositivos de red virtual.
  2. Habilita la API de Compute Engine en el proyecto.
  3. Crea la red de VPC en modo personalizado de tránsito.
  4. En la red de VPC de tránsito, crea una subred en las regiones en las que tienes previsto desplegar los dispositivos de red virtual.
  5. Crea la red de VPC en modo personalizado del centro de conectividad.
  6. En la red de VPC de centro de conectividad, crea una subred en las regiones en las que tienes previsto implementar los dispositivos de red virtual.
  7. Configura políticas de cortafuegos de red globales o regionales para permitir el tráfico de entrada y salida de los dispositivos virtuales de red.
  8. Crea un grupo de instancias gestionado para los dispositivos de red virtual.
  9. Configura los recursos de balanceo de carga TCP/UDP interno de la VPC de tránsito. Este balanceador de carga se usa para enrutar el tráfico desde la VPC de tránsito a la VPC de concentrador a través de los dispositivos de red virtual.
  10. Configura los recursos de balanceo de carga TCP/UDP interno de la VPC de centro de conectividad. Este balanceador de carga se usa para enrutar el tráfico desde la VPC de centro de conectividad a la VPC de tránsito a través de los dispositivos de red virtual.
  11. Configura Private Service Connect para las APIs de Google en la VPC de concentrador.
  12. Modifica las rutas de la VPC para enviar todo el tráfico a través de los dispositivos virtuales de red:
    1. Elimina la ruta 0.0.0.0/0 con el siguiente salto default-internet-gateway de la VPC de concentrador.
    2. Configura una nueva ruta con el destino 0.0.0.0/0 y un salto siguiente de la regla de reenvío del balanceador de carga en la VPC de concentrador.

Configurar Cloud NAT

Sigue estos pasos si las cargas de trabajo de regiones específicas requieren acceso saliente a Internet (por ejemplo, para descargar paquetes de software o actualizaciones).

  1. Crea una pasarela de Cloud NAT en las regiones en las que las cargas de trabajo requieran acceso saliente a Internet. Si es necesario, puede personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas.
  2. Como mínimo, habilita el almacenamiento de registros de Cloud NAT para que la pasarela registre ERRORS_ONLY. Para incluir los registros de las traducciones realizadas por Cloud NAT, configura cada pasarela para que registre ALL.

Configurar la conectividad híbrida

Puedes usar Interconexión dedicada, Partner Interconnect o Cloud VPN para proporcionar conectividad híbrida a tu zona de aterrizaje. En los pasos siguientes se crean los recursos de conectividad híbrida iniciales necesarios para esta opción de diseño:

  1. Si usas Interconexión dedicada, sigue estos pasos. Si usas Partner Interconnect o Cloud VPN, puedes saltarte estos pasos.
    1. Crea un proyecto independiente para los puertos de interconexión física.
    2. Habilita la API de Compute Engine en el proyecto.
    3. Crea conexiones de interconexión dedicada.
  2. En cada región en la que termines la conectividad híbrida en la red de VPC, haz lo siguiente:
    1. Crea dos vinculaciones de VLAN dedicadas o de partner, una para cada zona de disponibilidad de borde. Como parte de este proceso, debes seleccionar Cloud Routers y crear sesiones BGP.
    2. Configura los routers de la red de peer (on-premise u otra nube).
    3. Configura rutas anunciadas personalizadas en los routers de Cloud Router para los intervalos de subredes de las VPCs de hub y de carga de trabajo.

Configurar proyectos de carga de trabajo

Crea una VPC de radio independiente para cada carga de trabajo:

  1. Crea un proyecto para alojar tu carga de trabajo.
  2. Habilita la API de Compute Engine en el proyecto.
  3. Configura el emparejamiento entre redes de VPC entre la VPC de radio de la carga de trabajo y la VPC de hub con los siguientes ajustes:
    • Habilita la exportación de rutas personalizadas en la VPC de centro de conectividad.
    • Habilita la importación de rutas personalizadas en la VPC de spoke de la carga de trabajo.
  4. Crea subredes en las regiones en las que quieras desplegar cargas de trabajo. En cada subred, habilita Acceso privado de Google para permitir que las instancias de VM que solo tienen direcciones IP internas accedan a los servicios de Google.
  5. Configura Private Service Connect para las APIs de Google.
  6. Para dirigir todo el tráfico a través de los dispositivos de red virtual de la VPC de concentrador, elimina la ruta 0.0.0.0/0 con el siguiente salto default-internet-gateway de la VPC de radio de la carga de trabajo.
  7. Configura políticas de cortafuegos de red globales o regionales para permitir el tráfico de entrada y salida de tu carga de trabajo.

Configurar la observabilidad

Network Intelligence Center ofrece una única plataforma desde la que monitorizar, solucionar problemas y visualizar tu entorno de red en la nube. Úsala para asegurarte de que tu diseño funciona con la intención deseada.

Las siguientes configuraciones admiten el análisis de los registros y las métricas habilitados.

Pasos siguientes

Ya se ha completado la configuración inicial de esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar otra instancia del entorno de la zona de aterrizaje, como un entorno de preproducción o de producción, o bien continuar con la sección Decide la seguridad de tu zona de aterrizaje Google Cloud .

Opción de creación 3: topología de concentrador y radios sin dispositivos

Si has elegido crear la topología de concentrador y radios sin dispositivos en "Decide el diseño de red de tu zona de aterrizaje de Google Cloud ", sigue este procedimiento.

En los siguientes pasos se crea una sola instancia de una VPC. Si necesitas varias instancias de una VPC, como para entornos de desarrollo y producción, repite los pasos con cada VPC.

Limitar el acceso externo mediante una política de organización

Te recomendamos que limites el acceso directo a Internet solo a los recursos que lo necesiten. Los recursos sin direcciones externas pueden seguir accediendo a muchas APIs y servicios de Google mediante el acceso privado de Google. El acceso privado de Google se habilita a nivel de subred y permite que los recursos interactúen con servicios clave de Google, al tiempo que los aísla de Internet público.

Para que sea más fácil de usar, la función predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre que tengan los permisos de gestión de identidades y accesos correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados de los tipos de recursos que puedan provocar un acceso a Internet no deseado. Después, puede autorizar solo proyectos específicos para permitir la creación de estos recursos. Sigue las instrucciones de la sección Crear y gestionar políticas de organización para definir las siguientes restricciones.

Restricción del reenvío de protocolos en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una máquina virtual.

La restricción Restricción del reenvío de protocolos en función del tipo de dirección IP impide la creación de reglas de reenvío con direcciones IP externas para toda la organización. En los proyectos autorizados para usar reglas de reenvío externas, puede modificar la restricción a nivel de carpeta o de proyecto.

Defina los siguientes valores para configurar esta restricción:

  • Aplicable a: personalizar
  • Medidas por incumplimiento de políticas: sustitución
  • Valores de política: personalizado
  • Tipo de política: Denegar
  • Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad de salida y de entrada con Internet.

Si se aplica la restricción Define allowed external IPs for VM instances (Definir las IPs externas permitidas para las instancias de VM), no se podrán usar direcciones IP externas con las instancias de VM. En el caso de las cargas de trabajo que requieren direcciones IP externas en instancias de VM concretas, modifica la restricción a nivel de carpeta o de proyecto para especificar las instancias de VM concretas. También puedes anular la restricción en los proyectos correspondientes.

  • Aplicable a: personalizar
  • Medidas por incumplimiento de políticas: sustitución
  • Valores de la política: Denegar todo

Inhabilitar el uso de IPv6 externo de VPC

La restricción Inhabilitar el uso de IPv6 externo de VPC, cuando se define como True, impide la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

  • Aplicable a: personalizar
  • Aplicación: activado

Inhabilitar la creación de redes predeterminadas

Cuando se crea un proyecto, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración con un entorno de red empresarial más grande.

Configura la restricción Saltar creación de red predeterminada para inhabilitar la creación de VPC predeterminada en los proyectos nuevos. Si es necesario, puedes crear manualmente la red predeterminada en un proyecto.

  • Aplicable a: personalizar
  • Aplicación: activado

Diseñar reglas de cortafuegos

Las reglas de cortafuegos te permiten permitir o rechazar el tráfico hacia o desde tus VMs según la configuración que definas. Las políticas de cortafuegos jerárquicas se implementan a nivel de organización y de carpeta, y las políticas de cortafuegos de red se implementan a nivel de red de VPC en la jerarquía de recursos. En conjunto, ofrecen una función importante para proteger tus cargas de trabajo.

Independientemente de dónde se apliquen las políticas de cortafuegos, sigue estas directrices al diseñar y evaluar tus reglas de cortafuegos:

  • Implementa principios de mínimos accesos (también denominados microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesites. Esto incluye limitar las reglas a los protocolos y puertos que necesites para cada carga de trabajo.
  • Habilita el registro de reglas de cortafuegos para ver el comportamiento del cortafuegos y usar Estadísticas del cortafuegos.
  • Define una metodología de numeración para asignar prioridades a las reglas de cortafuegos. Por ejemplo, es una práctica recomendada reservar un intervalo de números bajos en cada política para las reglas que se necesiten durante la respuesta a incidentes. También te recomendamos que asignes una prioridad más alta a las reglas más específicas que a las más generales para asegurarte de que las reglas específicas no se vean eclipsadas por las generales. En el siguiente ejemplo se muestra un posible enfoque para las prioridades de las reglas de cortafuegos:

Intervalo de prioridad de las reglas de cortafuegos
Finalidad

0-999
Reservado para la respuesta a incidentes

1000-1999
Tráfico siempre bloqueado

2000-1999999999
Reglas específicas de la carga de trabajo

2000000000-2100000000
Reglas generales

2100000001-2147483643
Reservado

Configurar políticas de cortafuegos jerárquicas

Las políticas de cortafuegos jerárquicas te permiten crear y aplicar una política de cortafuegos coherente en toda tu organización. Para ver ejemplos de cómo usar políticas de cortafuegos jerárquicas, consulta Ejemplos de políticas de cortafuegos jerárquicas.

Define políticas de cortafuegos jerárquicas para implementar los siguientes controles de acceso a la red:

  • Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP se permite mediante una política de seguridad que permite el tráfico entrante del intervalo de IPs 35.235.240.0/20 para los puertos TCP 22 y 3389.
  • Comprobaciones de estado de Cloud Load Balancing. Se permiten los intervalos conocidos que se usan para las comprobaciones de estado.
    • En la mayoría de las instancias de Cloud Load Balancing (incluidas las de balanceo de carga TCP/UDP interno, HTTP(S) interno, proxy TCP externo, proxy SSL externo y HTTP(S)), se define una política de seguridad que permite el tráfico de entrada de los intervalos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
    • En el caso del balanceo de carga de red, se define una política de seguridad que habilita las comprobaciones del estado antiguas permitiendo el tráfico entrante de los intervalos de IPs 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configurar el entorno de VPC de concentrador

La VPC de concentrador proporciona los recursos de red para habilitar la conectividad entre las redes de VPC de los radios de carga de trabajo y las redes on-premise o multinube.

  1. Crea un proyecto para la red de VPC de concentrador.
  2. Habilita la API de Compute Engine en el proyecto.
  3. Crea la red de VPC en modo personalizado del centro de conectividad.
  4. Configura Private Service Connect para las APIs de Google en la VPC de concentrador.

Configurar la conectividad híbrida

Puedes usar Interconexión dedicada, Partner Interconnect o Cloud VPN para proporcionar conectividad híbrida a tu zona de aterrizaje. En los pasos siguientes se crean los recursos de conectividad híbrida iniciales necesarios para esta opción de diseño:

  1. Si usas Interconexión dedicada, sigue estos pasos. Si usas Partner Interconnect o Cloud VPN, puedes saltarte estos pasos.
    1. Crea un proyecto independiente para los puertos de interconexión física.
    2. Habilita la API de Compute Engine en el proyecto.
    3. Crea conexiones de interconexión dedicada.
  2. En cada región en la que termines la conectividad híbrida en la red de VPC, haz lo siguiente:
    1. Crea dos vinculaciones de VLAN dedicadas o de partner, una para cada zona de disponibilidad de borde. Como parte de este proceso, debes seleccionar Cloud Routers y crear sesiones BGP.
    2. Configura los routers de la red de peer (on-premise u otra nube).
    3. Configura rutas anunciadas personalizadas en los routers de Cloud Router para los intervalos de subredes de las VPCs de hub y de carga de trabajo.

Configurar proyectos de carga de trabajo

Crea una VPC de radio independiente para cada carga de trabajo:

  1. Crea un proyecto para alojar tu carga de trabajo.
  2. Habilita la API de Compute Engine en el proyecto.
  3. Configura el emparejamiento entre redes de VPC entre la VPC de radio de la carga de trabajo y la VPC de hub con los siguientes ajustes:
    • Habilita la exportación de rutas personalizadas en la VPC de centro de conectividad.
    • Habilita la importación de rutas personalizadas en la VPC de spoke de la carga de trabajo.
  4. Crea subredes en las regiones en las que quieras desplegar cargas de trabajo. En cada subred, habilita Acceso privado de Google para permitir que las instancias de VM que solo tienen direcciones IP internas accedan a los servicios de Google.
  5. Configura Private Service Connect para las APIs de Google.

Configurar Cloud NAT

Sigue estos pasos si las cargas de trabajo de regiones específicas requieren acceso saliente a Internet (por ejemplo, para descargar paquetes de software o actualizaciones).

  1. Crea una pasarela de Cloud NAT en las regiones en las que las cargas de trabajo requieran acceso saliente a Internet. Si es necesario, puede personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas.
  2. Como mínimo, habilita el almacenamiento de registros de Cloud NAT para que la pasarela registre ERRORS_ONLY. Para incluir los registros de las traducciones realizadas por Cloud NAT, configura cada pasarela para que registre ALL.

Configurar la observabilidad

Network Intelligence Center ofrece una única plataforma desde la que monitorizar, solucionar problemas y visualizar tu entorno de red en la nube. Úsala para asegurarte de que tu diseño funciona con la intención deseada.

Las siguientes configuraciones admiten el análisis de los registros y las métricas habilitados.

Pasos siguientes

Ya se ha completado la configuración inicial de esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar otra instancia del entorno de la zona de aterrizaje, como un entorno de preproducción o de producción, o bien continuar con la sección Decide la seguridad de tu zona de aterrizaje Google Cloud .

Opción de creación 4: exponer servicios en un modelo de consumidor-productor con Private Service Connect

Si has elegido exponer servicios en un modelo de consumidor-productor con Private Service Connect para tu zona de aterrizaje, tal como se describe en "Decide el diseño de red de tuGoogle Cloud zona de aterrizaje", sigue este procedimiento.

En los siguientes pasos se crea una sola instancia de una VPC. Si necesitas varias instancias de una VPC, como para entornos de desarrollo y producción, repite los pasos con cada VPC.

Limitar el acceso externo mediante una política de organización

Te recomendamos que limites el acceso directo a Internet solo a los recursos que lo necesiten. Los recursos sin direcciones externas pueden seguir accediendo a muchas APIs y servicios de Google mediante el acceso privado de Google. El acceso privado de Google se habilita a nivel de subred y permite que los recursos interactúen con servicios clave de Google, al tiempo que los aísla de Internet público.

Para que sea más fácil de usar, la función predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre que tengan los permisos de gestión de identidades y accesos correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados de los tipos de recursos que puedan provocar un acceso a Internet no deseado. Después, puede autorizar solo proyectos específicos para permitir la creación de estos recursos. Sigue las instrucciones de la sección Crear y gestionar políticas de organización para definir las siguientes restricciones.

Restricción del reenvío de protocolos en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una máquina virtual.

La restricción Restricción del reenvío de protocolos en función del tipo de dirección IP impide la creación de reglas de reenvío con direcciones IP externas para toda la organización. En los proyectos autorizados para usar reglas de reenvío externas, puede modificar la restricción a nivel de carpeta o de proyecto.

Defina los siguientes valores para configurar esta restricción:

  • Aplicable a: personalizar
  • Medidas por incumplimiento de políticas: sustitución
  • Valores de política: personalizado
  • Tipo de política: Denegar
  • Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad de salida y de entrada con Internet.

Si se aplica la restricción Define allowed external IPs for VM instances (Definir las IPs externas permitidas para las instancias de VM), no se podrán usar direcciones IP externas con las instancias de VM. En el caso de las cargas de trabajo que requieren direcciones IP externas en instancias de VM concretas, modifica la restricción a nivel de carpeta o de proyecto para especificar las instancias de VM concretas. También puedes anular la restricción en los proyectos correspondientes.

  • Aplicable a: personalizar
  • Medidas por incumplimiento de políticas: sustitución
  • Valores de la política: Denegar todo

Inhabilitar el uso de IPv6 externo de VPC

La restricción Inhabilitar el uso de IPv6 externo de VPC, cuando se define como True, impide la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

  • Aplicable a: personalizar
  • Aplicación: activado

Inhabilitar la creación de redes predeterminadas

Cuando se crea un proyecto, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración con un entorno de red empresarial más grande.

Configura la restricción Saltar creación de red predeterminada para inhabilitar la creación de VPC predeterminada en los proyectos nuevos. Si es necesario, puedes crear manualmente la red predeterminada en un proyecto.

  • Aplicable a: personalizar
  • Aplicación: activado

Diseñar reglas de cortafuegos

Las reglas de cortafuegos te permiten permitir o rechazar el tráfico hacia o desde tus VMs según la configuración que definas. Las políticas de cortafuegos jerárquicas se implementan a nivel de organización y de carpeta, y las políticas de cortafuegos de red se implementan a nivel de red de VPC en la jerarquía de recursos. En conjunto, ofrecen una función importante para proteger tus cargas de trabajo.

Independientemente de dónde se apliquen las políticas de cortafuegos, sigue estas directrices al diseñar y evaluar tus reglas de cortafuegos:

  • Implementa principios de mínimos accesos (también denominados microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesites. Esto incluye limitar las reglas a los protocolos y puertos que necesites para cada carga de trabajo.
  • Habilita el registro de reglas de cortafuegos para ver el comportamiento del cortafuegos y usar Estadísticas del cortafuegos.
  • Define una metodología de numeración para asignar prioridades a las reglas de cortafuegos. Por ejemplo, es una práctica recomendada reservar un intervalo de números bajos en cada política para las reglas que se necesiten durante la respuesta a incidentes. También te recomendamos que asignes una prioridad más alta a las reglas más específicas que a las más generales para asegurarte de que las reglas específicas no se vean eclipsadas por las generales. En el siguiente ejemplo se muestra un posible enfoque para las prioridades de las reglas de cortafuegos:

Intervalo de prioridad de las reglas de cortafuegos
Finalidad

0-999
Reservado para la respuesta a incidentes

1000-1999
Tráfico siempre bloqueado

2000-1999999999
Reglas específicas de la carga de trabajo

2000000000-2100000000
Reglas generales

2100000001-2147483643
Reservado

Configurar políticas de cortafuegos jerárquicas

Las políticas de cortafuegos jerárquicas te permiten crear y aplicar una política de cortafuegos coherente en toda tu organización. Para ver ejemplos de cómo usar políticas de cortafuegos jerárquicas, consulta Ejemplos de políticas de cortafuegos jerárquicas.

Define políticas de cortafuegos jerárquicas para implementar los siguientes controles de acceso a la red:

  • Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP se permite mediante una política de seguridad que permite el tráfico entrante del intervalo de IPs 35.235.240.0/20 para los puertos TCP 22 y 3389.
  • Comprobaciones de estado de Cloud Load Balancing. Se permiten los intervalos conocidos que se usan para las comprobaciones de estado.
    • En la mayoría de las instancias de Cloud Load Balancing (incluidas las de balanceo de carga TCP/UDP interno, HTTP(S) interno, proxy TCP externo, proxy SSL externo y HTTP(S)), se define una política de seguridad que permite el tráfico de entrada de los intervalos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
    • En el caso del balanceo de carga de red, se define una política de seguridad que habilita las comprobaciones del estado antiguas permitiendo el tráfico entrante de los intervalos de IPs 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configurar el entorno de VPC

La VPC de tránsito proporciona los recursos de red para habilitar la conectividad entre las redes de VPC de los radios de las cargas de trabajo y las redes on-premise o multinube.

  1. Crea un proyecto para la red de VPC de tránsito.
  2. Habilita la API de Compute Engine en el proyecto.
  3. Crea la red de VPC en modo personalizado de tránsito.
  4. Crea una subred de Private Service Connect en cada región en la que quieras publicar servicios que se ejecuten en tu VPC de centro de conectividad o en tu entorno local. Ten en cuenta el tamaño de la subred de Private Service Connect al decidir tu plan de direccionamiento IP.
  5. Para cada servicio local que quieras exponer a las cargas de trabajo que se ejecutan enGoogle Cloud, crea un balanceador de carga de proxy TCP o HTTP(S) interno y expón los servicios mediante Private Service Connect.
  6. Configura Private Service Connect para APIs de Google en la VPC de tránsito.

Configurar la conectividad híbrida

Puedes usar Interconexión dedicada, Partner Interconnect o Cloud VPN para proporcionar conectividad híbrida a tu zona de aterrizaje. En los pasos siguientes se crean los recursos de conectividad híbrida iniciales necesarios para esta opción de diseño:

  1. Si usas Interconexión dedicada, sigue estos pasos. Si usas Partner Interconnect o Cloud VPN, puedes saltarte estos pasos.
    1. Crea un proyecto independiente para los puertos de interconexión física.
    2. Habilita la API de Compute Engine en el proyecto.
    3. Crea conexiones de interconexión dedicada.
  2. En cada región en la que termines la conectividad híbrida en la red de VPC, haz lo siguiente:
    1. Crea dos vinculaciones de VLAN dedicadas o de partner, una para cada zona de disponibilidad de borde. Como parte de este proceso, debes seleccionar Cloud Routers y crear sesiones BGP.
    2. Configura los routers de la red de peer (on-premise u otra nube).

Configurar proyectos de carga de trabajo

Crea una VPC independiente para cada carga de trabajo:

  1. Crea un proyecto para alojar tu carga de trabajo.
  2. Habilita la API de Compute Engine en el proyecto.
  3. Crea una red de VPC en modo personalizado.
  4. Crea subredes en las regiones en las que quieras desplegar cargas de trabajo. En cada subred, habilita Acceso privado de Google para permitir que las instancias de VM que solo tienen direcciones IP internas accedan a los servicios de Google.
  5. Configura Private Service Connect para las APIs de Google.
  6. Por cada carga de trabajo que consumas desde una VPC diferente o desde tu entorno local, crea un punto final de consumidor de Private Service Connect.
  7. Por cada carga de trabajo que produzcas para una VPC diferente o para tu entorno local, crea un balanceador de carga interno y una vinculación de servicio para el servicio. Ten en cuenta el tamaño de la subred de Private Service Connect al decidir tu plan de direccionamiento IP.
  8. Si el servicio debe ser accesible desde tu entorno local, crea un punto final de consumidor de Private Service Connect en la VPC de tránsito.

Configurar Cloud NAT

Sigue estos pasos si las cargas de trabajo de regiones específicas requieren acceso saliente a Internet (por ejemplo, para descargar paquetes de software o actualizaciones).

  1. Crea una pasarela de Cloud NAT en las regiones en las que las cargas de trabajo requieran acceso saliente a Internet. Si es necesario, puede personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas.
  2. Como mínimo, habilita el almacenamiento de registros de Cloud NAT para que la pasarela registre ERRORS_ONLY. Para incluir los registros de las traducciones realizadas por Cloud NAT, configura cada pasarela para que registre ALL.

Configurar la observabilidad

Network Intelligence Center ofrece una única plataforma desde la que monitorizar, solucionar problemas y visualizar tu entorno de red en la nube. Úsala para asegurarte de que tu diseño funciona con la intención deseada.

Las siguientes configuraciones admiten el análisis de los registros y las métricas habilitados.

Pasos siguientes

Ya se ha completado la configuración inicial de esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar otra instancia del entorno de la zona de aterrizaje, como un entorno de preproducción o de producción, o bien continuar con la sección Decide la seguridad de tu zona de aterrizaje Google Cloud .

Siguientes pasos