Implementa el diseño de red de tu zona de destino de Google Cloud

Last reviewed 2024-10-31 UTC

En este documento, se proporcionan pasos y orientación para implementar el diseño de red que elegiste después de revisar Elige el diseño de red de tu Google Cloud zona de destino. Si aún no lo hiciste, revisa el diseño de la zona de destino en Google Cloud antes de elegir una opción.

Estas instrucciones están destinadas a ingenieros de red, arquitectos y profesionales técnicos que participan en la creación del diseño de red para la zona de destino de tu organización.

Opciones de diseño de la red

Según el diseño de red que hayas elegido, completa una de las siguientes opciones:

Opción de creación 1: Red de VPC compartida para cada entorno

Si elegiste crear la red de VPC compartida para cada entorno en "Decide el diseño de red para tu Google Cloud zona de destino", sigue este procedimiento.

En los siguientes pasos, se crea una sola instancia de una VPC. Cuando necesites varias instancias de una VPC, como para entornos de desarrollo y producción, repite los pasos para cada VPC.

Limita el acceso externo con una política de la organización

Te recomendamos que limites el acceso directo a Internet solo a los recursos que lo necesiten. Los recursos sin direcciones externas aún pueden acceder a muchas APIs y servicios de Google a través del Acceso privado a Google. El Acceso privado a Google está habilitado a nivel de la subred y permite que los recursos interactúen con los servicios clave de Google, mientras se los aísla de la Internet pública.

Para mejorar la usabilidad, la funcionalidad predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre y cuando tengan los permisos de IAM correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados de los tipos de recursos que pueden causar accesos no deseados a Internet. Luego, puedes autorizar proyectos específicos solo para permitir la creación de estos recursos. Usa las instrucciones que se indican en Crea y administra políticas de la organización para establecer las siguientes restricciones.

Restringir el reenvío de protocolo en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una VM.

La restricción Restrict Protocol Forwarding Based on type of IP Address impide la creación de reglas de reenvío con direcciones IP externas para toda la organización. En el caso de los proyectos autorizados para usar reglas de reenvío externas, puedes modificar la restricción a nivel de la carpeta o del proyecto.

Establece los siguientes valores para configurar esta restricción:

  • Se aplica a: Personalizar
  • Aplicación de políticas: Reemplazar
  • Valores de la política: Personalizados
  • Tipo de política: Rechazar
  • Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad saliente y entrante con Internet.

La aplicación forzosa de la restricción Define IP externas permitidas para instancias de VM evita el uso de direcciones IP externas con instancias de VM. Para las cargas de trabajo que requieren direcciones IP externas en instancias de VMs individuales, modifica la restricción a nivel de carpeta o de proyecto a fin de especificar las instancias de VMs individuales. O bien, anula la restricción para los proyectos relevantes.

  • Se aplica a: Personalizar
  • Aplicación de políticas: Reemplazar
  • Valores de la política: Rechazar todo

Inhabilita el uso externo de IPv6 en VPC

La restricción Inhabilitar el uso de IPv6 externa de VPC, cuando se establece en True, impide la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

  • Se aplica a: Personalizar
  • Aplicación: Activada

Inhabilita la creación de redes predeterminadas

Cuando se crea un proyecto nuevo, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración en un entorno de red empresarial más grande.

Configura la limitación Omitir creación de red predeterminada para inhabilitar la creación de VPC predeterminada para proyectos nuevos. Si es necesario, puedes crear la red predeterminada manualmente dentro de un proyecto.

  • Se aplica a: Personalizar
  • Aplicación: Activada

Diseña reglas de firewall

Las reglas de firewall permiten o rechazan el tráfico desde o hacia tus VMs según la configuración que definas. Las políticas de firewall jerárquicas se implementan a nivel de la organización y de la carpeta, y las políticas de firewall de red se implementan a nivel de la red de VPC en la jerarquía de recursos. Juntos, proporcionan una función importante para ayudar a proteger tus cargas de trabajo.

Independientemente de dónde se apliquen las políticas de firewall, usa los siguientes lineamientos cuando diseñes y evalúes las reglas de firewall:

  • Implementa los principios de privilegio mínimo (también conocidos como microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesitas. Esto incluye limitar las reglas solo a los protocolos y puertos que necesites para cada carga de trabajo.
  • Habilita el registro de reglas de firewall para obtener visibilidad sobre el comportamiento del firewall y usar las Estadísticas de firewall.
  • Define una metodología de numeración para asignar prioridades a las reglas de firewall. Por ejemplo, se recomienda reservar un rango de números bajos en cada política para las reglas necesarias durante la respuesta ante incidentes. También te recomendamos que priorices las reglas más específicas antes que las más generales para asegurarte de que las reglas específicas no se vean afectadas por las generales. En el siguiente ejemplo, se muestra un posible enfoque para las prioridades de las reglas de firewall:

Rango de prioridad de la regla de firewall
Objetivo

0-999
Reservado para la respuesta ante incidentes

1000-1999
Tráfico que siempre está bloqueado

2000-1999999999
Reglas específicas de la carga de trabajo

2000000000-2100000000
Reglas de captura general

2100000001-2147483643
Reservado

Configura políticas de firewall jerárquicas

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Para ver ejemplos del uso de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.

Define políticas de firewall jerárquicas para implementar los siguientes controles de acceso a la red:

  • Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP está permitido a través de una política de seguridad que permite el tráfico de entrada desde el rango de IP 35.235.240.0/20 para los puertos TCP 22 y 3389.
  • Verificaciones de estado para Cloud Load Balancing. Se permiten los rangos conocidos que se usan para las verificaciones de estado.
    • Para la mayoría de las instancias de Cloud Load Balancing, incluidos el balanceo de cargas TCP/UDP interno, el balanceo de cargas HTTP(S) interno, el balanceo de cargas de proxy TCP externo, el balanceo de cargas de proxy SSL externo y el balanceo de cargas HTTP(S), se define una política de seguridad que permite el tráfico de entrada de los rangos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
    • Para el balanceo de cargas de red, se define una política de seguridad que permite verificaciones de estado heredadas mediante la habilitación del tráfico de entrada de rangos de IP 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configura tu entorno de VPC compartida

Antes de implementar un diseño de VPC compartida, decide cómo compartir las subredes con proyectos de servicio. Vinculas un proyecto de servicio a un proyecto host. Para determinar qué subredes están disponibles para el proyecto de servicio, asigna permisos de IAM al proyecto host o a subredes individuales. Por ejemplo, puedes dedicar una subred diferente a cada proyecto de servicio o compartir las mismas subredes entre proyectos de servicio.

  1. Crea un proyecto nuevo para la VPC compartida. Más adelante en este proceso, este proyecto se convierte en el proyecto host y contiene las redes y los recursos de red que se compartirán con los proyectos de servicio.
  2. Habilita la API de Compute Engine para el proyecto host.
  3. Configura la VPC compartida para el proyecto.
  4. Crea la red de VPC en modo personalizado en el proyecto host.
  5. Crea subredes en la región en la que planeas implementar cargas de trabajo. Para cada subred, habilita el Acceso privado a Google para permitir que las instancias de VM sin direcciones IP externas accedan a los servicios de Google.

Configura Cloud NAT

Sigue estos pasos si las cargas de trabajo en regiones específicas requieren acceso a Internet saliente, por ejemplo, para descargar paquetes o actualizaciones de software.

  1. Crea una puerta de enlace de Cloud NAT en las regiones en las que las cargas de trabajo requieren acceso a Internet saliente. Puedes personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas, si es necesario.
  2. Como mínimo, habilita el registro de Cloud NAT para que la puerta de enlace registre ERRORS_ONLY. Si deseas incluir registros de traducciones que realiza Cloud NAT, configura cada puerta de enlace para que registre ALL.

Configura la conectividad híbrida

Puedes usar interconexión dedicada, interconexión de socio o Cloud VPN para proporcionar conectividad híbrida a tu zona de destino. En los siguientes pasos, se crean los recursos de conectividad híbrida iniciales necesarios para esta opción de diseño:

  1. Si usas la interconexión dedicada, haz lo siguiente. Si usas la interconexión de socio o Cloud VPN, puedes omitir estos pasos.
    1. Crea un proyecto independiente para los puertos de interconexión física.
    2. Habilita la API de Compute Engine para el proyecto.
    3. Crear conexiones de interconexión dedicada
  2. Para cada región en la que finalices la conectividad híbrida en la red de VPC, haz lo siguiente:
    1. Crea dos adjuntos de VLAN de socio o dedicados, uno para cada zona de disponibilidad perimetral. Como parte de este proceso, selecciona Cloud Routers y crea sesiones de BGP.
    2. Configura los routers de red de intercambio de tráfico (locales o en otra nube).

Configura proyectos de cargas de trabajo

Crea un proyecto de servicio independiente para cada carga de trabajo:

  1. Crea un proyecto nuevo para que funcione como uno de los proyectos de servicio de la VPC compartida.
  2. Habilita la API de Compute Engine para el proyecto de servicio.
  3. Adjunta el proyecto al proyecto host.
  4. Configura el acceso a todas las subredes del proyecto host o a algunas subredes del proyecto host.

Configura la observabilidad

Network Intelligence Center proporciona una experiencia cohesiva para supervisar, solucionar problemas y visualizar tu entorno de redes en la nube. Úsala para asegurarte de que tu diseño funcione con el intent deseado.

Las siguientes configuraciones admiten el análisis de registros y métricas habilitados.

Próximos pasos

Se completó la configuración inicial para esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar una instancia adicional del entorno de la zona de destino, como un entorno de etapa de pruebas o de producción, o continuar con Decide la seguridad de tu Google Cloud zona de destino.

Opción de creación 2: Topología de concentrador y radio con dispositivos centralizados

Si elegiste crear la topología de concentrador y radio con dispositivos centralizados en “Decide el diseño de red de tu Google Cloud zona de destino”, sigue este procedimiento.

En los siguientes pasos, se crea una sola instancia de una VPC. Cuando necesites varias instancias de una VPC, como para entornos de desarrollo y producción, repite los pasos para cada VPC.

Limita el acceso externo con una política de la organización

Te recomendamos que limites el acceso directo a Internet solo a los recursos que lo necesiten. Los recursos sin direcciones externas aún pueden acceder a muchas APIs y servicios de Google a través del Acceso privado a Google. El Acceso privado a Google está habilitado a nivel de la subred y permite que los recursos interactúen con los servicios clave de Google, mientras se los aísla de la Internet pública.

Para mejorar la usabilidad, la funcionalidad predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre y cuando tengan los permisos de IAM correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados de los tipos de recursos que pueden causar accesos no deseados a Internet. Luego, puedes autorizar proyectos específicos solo para permitir la creación de estos recursos. Usa las instrucciones que se indican en Crea y administra políticas de la organización para establecer las siguientes restricciones.

Restringir el reenvío de protocolo en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una VM.

La restricción Restrict Protocol Forwarding Based on type of IP Address impide la creación de reglas de reenvío con direcciones IP externas para toda la organización. En el caso de los proyectos autorizados para usar reglas de reenvío externas, puedes modificar la restricción a nivel de la carpeta o del proyecto.

Establece los siguientes valores para configurar esta restricción:

  • Se aplica a: Personalizar
  • Aplicación de políticas: Reemplazar
  • Valores de la política: Personalizados
  • Tipo de política: Rechazar
  • Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad saliente y entrante con Internet.

La aplicación forzosa de la restricción Define IP externas permitidas para instancias de VM evita el uso de direcciones IP externas con instancias de VM. Para las cargas de trabajo que requieren direcciones IP externas en instancias de VMs individuales, modifica la restricción a nivel de carpeta o de proyecto a fin de especificar las instancias de VMs individuales. O bien, anula la restricción para los proyectos relevantes.

  • Se aplica a: Personalizar
  • Aplicación de políticas: Reemplazar
  • Valores de la política: Rechazar todo

Inhabilita el uso externo de IPv6 en VPC

La restricción Inhabilitar el uso de IPv6 externa de VPC, cuando se establece en True, impide la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

  • Se aplica a: Personalizar
  • Aplicación: Activada

Inhabilita la creación de redes predeterminadas

Cuando se crea un proyecto nuevo, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración en un entorno de red empresarial más grande.

Configura la limitación Omitir creación de red predeterminada para inhabilitar la creación de VPC predeterminada para proyectos nuevos. Si es necesario, puedes crear la red predeterminada manualmente dentro de un proyecto.

  • Se aplica a: Personalizar
  • Aplicación: Activada

Diseña reglas de firewall

Las reglas de firewall permiten o rechazan el tráfico desde o hacia tus VMs según la configuración que definas. Las políticas de firewall jerárquicas se implementan a nivel de la organización y de la carpeta, y las políticas de firewall de red se implementan a nivel de la red de VPC en la jerarquía de recursos. Juntos, proporcionan una función importante para ayudar a proteger tus cargas de trabajo.

Independientemente de dónde se apliquen las políticas de firewall, usa los siguientes lineamientos cuando diseñes y evalúes las reglas de firewall:

  • Implementa los principios de privilegio mínimo (también conocidos como microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesitas. Esto incluye limitar las reglas solo a los protocolos y puertos que necesites para cada carga de trabajo.
  • Habilita el registro de reglas de firewall para obtener visibilidad sobre el comportamiento del firewall y usar las Estadísticas de firewall.
  • Define una metodología de numeración para asignar prioridades a las reglas de firewall. Por ejemplo, se recomienda reservar un rango de números bajos en cada política para las reglas necesarias durante la respuesta ante incidentes. También te recomendamos que priorices las reglas más específicas antes que las más generales para asegurarte de que las reglas específicas no se vean afectadas por las generales. En el siguiente ejemplo, se muestra un posible enfoque para las prioridades de las reglas de firewall:

Rango de prioridad de la regla de firewall
Objetivo

0-999
Reservado para la respuesta ante incidentes

1000-1999
Tráfico que siempre está bloqueado

2000-1999999999
Reglas específicas de la carga de trabajo

2000000000-2100000000
Reglas de captura general

2100000001-2147483643
Reservado

Configura políticas de firewall jerárquicas

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Para ver ejemplos del uso de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.

Define políticas de firewall jerárquicas para implementar los siguientes controles de acceso a la red:

  • Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP está permitido a través de una política de seguridad que permite el tráfico de entrada desde el rango de IP 35.235.240.0/20 para los puertos TCP 22 y 3389.
  • Verificaciones de estado para Cloud Load Balancing. Se permiten los rangos conocidos que se usan para las verificaciones de estado.
    • Para la mayoría de las instancias de Cloud Load Balancing, incluidos el balanceo de cargas TCP/UDP interno, el balanceo de cargas HTTP(S) interno, el balanceo de cargas de proxy TCP externo, el balanceo de cargas de proxy SSL externo y el balanceo de cargas HTTP(S), se define una política de seguridad que permite el tráfico de entrada de los rangos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
    • Para el balanceo de cargas de red, se define una política de seguridad que permite verificaciones de estado heredadas mediante la habilitación del tráfico de entrada de rangos de IP 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configura tu entorno de VPC

Las redes de VPC de tránsito y concentrador proporcionan los recursos de red para habilitar la conectividad entre las redes de VPC de radio de carga de trabajo y las redes locales o de múltiples nubes.

  1. Crea un proyecto nuevo para las redes de VPC de tránsito y concentrador. Ambas redes de VPC forman parte del mismo proyecto para admitir la conectividad a través de los dispositivos de red virtual.
  2. Habilita la API de Compute Engine para el proyecto.
  3. Crea la red de VPC en modo personalizado de tránsito.
  4. En la red de VPC de tránsito, crea una subred en las regiones en las que planeas implementar los dispositivos virtuales de red.
  5. Crea la red de VPC del modo personalizado del concentrador.
  6. En la red de VPC del concentrador, crea una subred en las regiones en las que planeas implementar los dispositivos de red virtual.
  7. Configura políticas de firewall de red globales o regionales para permitir el tráfico de entrada y salida de las máquinas virtuales de red.
  8. Crea un grupo de instancias administrado para los dispositivos de red virtual.
  9. Configura los recursos de balanceo de cargas TCP/UDP internos para el VPC de tránsito. Este balanceador de cargas se usa para enrutar el tráfico de la VPC de tránsito a la VPC central a través de los dispositivos de red virtual.
  10. Configura los recursos de balanceo de cargas TCP/UDP internos para la VPC del concentrador. Este balanceador de cargas se usa para enrutar el tráfico de la VPC central a la VPC de tránsito a través de los dispositivos de red virtual.
  11. Configura Private Service Connect para las APIs de Google para la VPC de concentrador.
  12. Modifica las rutas de VPC para enviar todo el tráfico a través de los dispositivos virtuales de red:
    1. Borra la ruta 0.0.0.0/0 con el siguiente salto default-internet-gateway de la VPC del concentrador.
    2. Configura una ruta nueva con el destino 0.0.0.0/0 y un siguiente salto de la regla de reenvío para el balanceador de cargas en la VPC del concentrador.

Configura Cloud NAT

Sigue estos pasos si las cargas de trabajo en regiones específicas requieren acceso a Internet saliente, por ejemplo, para descargar paquetes o actualizaciones de software.

  1. Crea una puerta de enlace de Cloud NAT en las regiones en las que las cargas de trabajo requieren acceso a Internet saliente. Puedes personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas, si es necesario.
  2. Como mínimo, habilita el registro de Cloud NAT para que la puerta de enlace registre ERRORS_ONLY. Si deseas incluir registros de traducciones que realiza Cloud NAT, configura cada puerta de enlace para que registre ALL.

Configura la conectividad híbrida

Puedes usar interconexión dedicada, interconexión de socio o Cloud VPN para proporcionar conectividad híbrida a tu zona de destino. En los siguientes pasos, se crean los recursos de conectividad híbrida iniciales necesarios para esta opción de diseño:

  1. Si usas la interconexión dedicada, haz lo siguiente. Si usas la interconexión de socio o Cloud VPN, puedes omitir estos pasos.
    1. Crea un proyecto independiente para los puertos de interconexión física.
    2. Habilita la API de Compute Engine para el proyecto.
    3. Crear conexiones de interconexión dedicada
  2. Para cada región en la que finalices la conectividad híbrida en la red de VPC, haz lo siguiente:
    1. Crea dos adjuntos de VLAN de socio o dedicados, uno para cada zona de disponibilidad perimetral. Como parte de este proceso, selecciona Cloud Routers y crea sesiones de BGP.
    2. Configura los routers de red de intercambio de tráfico (locales o en otra nube).
    3. Configura rutas anunciadas personalizadas en los Cloud Routers para los rangos de subredes en las VPC de concentrador y carga de trabajo.

Configura proyectos de cargas de trabajo

Crea una VPC de radio independiente para cada carga de trabajo:

  1. Crea un proyecto nuevo para alojar tu carga de trabajo.
  2. Habilita la API de Compute Engine para el proyecto.
  3. Configura el intercambio de tráfico entre redes de VPC entre la VPC del radio de la carga de trabajo y la VPC del concentrador con la siguiente configuración:
    • Habilita la exportación de rutas personalizadas en la VPC central.
    • Habilita la importación de rutas personalizadas en la VPC de la unidad central de la carga de trabajo.
  4. Crea subredes en las regiones en las que planeas implementar cargas de trabajo. Para cada subred, habilita el Acceso privado a Google para permitir que las instancias de VM con solo direcciones IP internas lleguen a los servicios de Google.
  5. Configura Private Service Connect para las APIs de Google.
  6. Para enrutar todo el tráfico a través de los dispositivos de red virtual en la VPC del concentrador, borra la ruta 0.0.0.0/0 con el siguiente salto default-internet-gateway de la VPC de radio de la carga de trabajo.
  7. Configura políticas de firewall de red global o regional para permitir el tráfico de entrada y salida de tu carga de trabajo.

Configura la observabilidad

Network Intelligence Center proporciona una experiencia cohesiva para supervisar, solucionar problemas y visualizar tu entorno de redes en la nube. Úsala para asegurarte de que tu diseño funcione con el intent deseado.

Las siguientes configuraciones admiten el análisis de registros y métricas habilitados.

Próximos pasos

Se completó la configuración inicial para esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar una instancia adicional del entorno de la zona de destino, como un entorno de etapa de pruebas o de producción, o continuar con Decide la seguridad de tu Google Cloud zona de destino.

Crea la opción 3: Topología de concentrador y radio sin dispositivos

Si elegiste crear la topología de concentrador y radio sin dispositivos en “Decide el diseño de red de tu Google Cloud zona de destino”, sigue este procedimiento.

En los siguientes pasos, se crea una sola instancia de una VPC. Cuando necesites varias instancias de una VPC, como para entornos de desarrollo y producción, repite los pasos para cada VPC.

Limita el acceso externo con una política de la organización

Te recomendamos que limites el acceso directo a Internet solo a los recursos que lo necesiten. Los recursos sin direcciones externas aún pueden acceder a muchas APIs y servicios de Google a través del Acceso privado a Google. El Acceso privado a Google está habilitado a nivel de la subred y permite que los recursos interactúen con los servicios clave de Google, mientras se los aísla de la Internet pública.

Para mejorar la usabilidad, la funcionalidad predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre y cuando tengan los permisos de IAM correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados de los tipos de recursos que pueden causar accesos no deseados a Internet. Luego, puedes autorizar proyectos específicos solo para permitir la creación de estos recursos. Usa las instrucciones que se indican en Crea y administra políticas de la organización para establecer las siguientes restricciones.

Restringir el reenvío de protocolo en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una VM.

La restricción Restrict Protocol Forwarding Based on type of IP Address impide la creación de reglas de reenvío con direcciones IP externas para toda la organización. En el caso de los proyectos autorizados para usar reglas de reenvío externas, puedes modificar la restricción a nivel de la carpeta o del proyecto.

Establece los siguientes valores para configurar esta restricción:

  • Se aplica a: Personalizar
  • Aplicación de políticas: Reemplazar
  • Valores de la política: Personalizados
  • Tipo de política: Rechazar
  • Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad saliente y entrante con Internet.

La aplicación forzosa de la restricción Define IP externas permitidas para instancias de VM evita el uso de direcciones IP externas con instancias de VM. Para las cargas de trabajo que requieren direcciones IP externas en instancias de VMs individuales, modifica la restricción a nivel de carpeta o de proyecto a fin de especificar las instancias de VMs individuales. O bien, anula la restricción para los proyectos relevantes.

  • Se aplica a: Personalizar
  • Aplicación de políticas: Reemplazar
  • Valores de la política: Rechazar todo

Inhabilita el uso externo de IPv6 en VPC

La restricción Inhabilitar el uso de IPv6 externa de VPC, cuando se establece en True, impide la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

  • Se aplica a: Personalizar
  • Aplicación: Activada

Inhabilita la creación de redes predeterminadas

Cuando se crea un proyecto nuevo, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración en un entorno de red empresarial más grande.

Configura la limitación Omitir creación de red predeterminada para inhabilitar la creación de VPC predeterminada para proyectos nuevos. Si es necesario, puedes crear la red predeterminada manualmente dentro de un proyecto.

  • Se aplica a: Personalizar
  • Aplicación: Activada

Diseña reglas de firewall

Las reglas de firewall permiten o rechazan el tráfico desde o hacia tus VMs según la configuración que definas. Las políticas de firewall jerárquicas se implementan a nivel de la organización y de la carpeta, y las políticas de firewall de red se implementan a nivel de la red de VPC en la jerarquía de recursos. Juntos, proporcionan una función importante para ayudar a proteger tus cargas de trabajo.

Independientemente de dónde se apliquen las políticas de firewall, usa los siguientes lineamientos cuando diseñes y evalúes las reglas de firewall:

  • Implementa los principios de privilegio mínimo (también conocidos como microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesitas. Esto incluye limitar las reglas solo a los protocolos y puertos que necesites para cada carga de trabajo.
  • Habilita el registro de reglas de firewall para obtener visibilidad sobre el comportamiento del firewall y usar las Estadísticas de firewall.
  • Define una metodología de numeración para asignar prioridades a las reglas de firewall. Por ejemplo, se recomienda reservar un rango de números bajos en cada política para las reglas necesarias durante la respuesta ante incidentes. También te recomendamos que priorices las reglas más específicas antes que las más generales para asegurarte de que las reglas específicas no se vean afectadas por las generales. En el siguiente ejemplo, se muestra un posible enfoque para las prioridades de las reglas de firewall:

Rango de prioridad de la regla de firewall
Objetivo

0-999
Reservado para la respuesta ante incidentes

1000-1999
Tráfico que siempre está bloqueado

2000-1999999999
Reglas específicas de la carga de trabajo

2000000000-2100000000
Reglas de captura general

2100000001-2147483643
Reservado

Configura políticas de firewall jerárquicas

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Para ver ejemplos del uso de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.

Define políticas de firewall jerárquicas para implementar los siguientes controles de acceso a la red:

  • Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP está permitido a través de una política de seguridad que permite el tráfico de entrada desde el rango de IP 35.235.240.0/20 para los puertos TCP 22 y 3389.
  • Verificaciones de estado para Cloud Load Balancing. Se permiten los rangos conocidos que se usan para las verificaciones de estado.
    • Para la mayoría de las instancias de Cloud Load Balancing, incluidos el balanceo de cargas TCP/UDP interno, el balanceo de cargas HTTP(S) interno, el balanceo de cargas de proxy TCP externo, el balanceo de cargas de proxy SSL externo y el balanceo de cargas HTTP(S), se define una política de seguridad que permite el tráfico de entrada de los rangos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
    • Para el balanceo de cargas de red, se define una política de seguridad que permite verificaciones de estado heredadas mediante la habilitación del tráfico de entrada de rangos de IP 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configura el entorno de la VPC del concentrador

La VPC central proporciona los recursos de red para habilitar la conectividad entre las redes de VPC de radio de cargas de trabajo y las redes locales o de varias nubes.

  1. Crea un proyecto nuevo para la red de VPC del concentrador.
  2. Habilita la API de Compute Engine para el proyecto.
  3. Crea la red de VPC del modo personalizado de concentrador.
  4. Configura Private Service Connect para las APIs de Google para la VPC de concentrador.

Configura la conectividad híbrida

Puedes usar interconexión dedicada, interconexión de socio o Cloud VPN para proporcionar conectividad híbrida a tu zona de destino. En los siguientes pasos, se crean los recursos de conectividad híbrida iniciales necesarios para esta opción de diseño:

  1. Si usas la interconexión dedicada, haz lo siguiente. Si usas la interconexión de socio o Cloud VPN, puedes omitir estos pasos.
    1. Crea un proyecto independiente para los puertos de interconexión física.
    2. Habilita la API de Compute Engine para el proyecto.
    3. Crear conexiones de interconexión dedicada
  2. Para cada región en la que finalices la conectividad híbrida en la red de VPC, haz lo siguiente:
    1. Crea dos adjuntos de VLAN de socio o dedicados, uno para cada zona de disponibilidad perimetral. Como parte de este proceso, selecciona Cloud Routers y crea sesiones de BGP.
    2. Configura los routers de red de intercambio de tráfico (locales o en otra nube).
    3. Configura rutas anunciadas personalizadas en los Cloud Routers para los rangos de subredes en las VPC de concentrador y carga de trabajo.

Configura proyectos de cargas de trabajo

Crea una VPC de radio independiente para cada carga de trabajo:

  1. Crea un proyecto nuevo para alojar tu carga de trabajo.
  2. Habilita la API de Compute Engine para el proyecto.
  3. Configura el intercambio de tráfico entre redes de VPC entre la VPC del radio de la carga de trabajo y la VPC del concentrador con la siguiente configuración:
    • Habilita la exportación de rutas personalizadas en la VPC central.
    • Habilita la importación de rutas personalizadas en la VPC de la unidad central de la carga de trabajo.
  4. Crea subredes en las regiones en las que planeas implementar cargas de trabajo. Para cada subred, habilita el Acceso privado a Google para permitir que las instancias de VM con solo direcciones IP internas lleguen a los servicios de Google.
  5. Configura Private Service Connect para las APIs de Google.

Configura Cloud NAT

Sigue estos pasos si las cargas de trabajo en regiones específicas requieren acceso a Internet saliente, por ejemplo, para descargar paquetes o actualizaciones de software.

  1. Crea una puerta de enlace de Cloud NAT en las regiones en las que las cargas de trabajo requieren acceso a Internet saliente. Puedes personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas, si es necesario.
  2. Como mínimo, habilita el registro de Cloud NAT para que la puerta de enlace registre ERRORS_ONLY. Si deseas incluir registros de traducciones que realiza Cloud NAT, configura cada puerta de enlace para que registre ALL.

Configura la observabilidad

Network Intelligence Center proporciona una experiencia cohesiva para supervisar, solucionar problemas y visualizar tu entorno de redes en la nube. Úsala para asegurarte de que tu diseño funcione con el intent deseado.

Las siguientes configuraciones admiten el análisis de registros y métricas habilitados.

Próximos pasos

Se completó la configuración inicial para esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar una instancia adicional del entorno de la zona de destino, como un entorno de etapa de pruebas o de producción, o continuar con Decide la seguridad de tu Google Cloud zona de destino.

Opción de creación 4: Expón servicios en un modelo de productor y consumidor con Private Service Connect

Si elegiste exponer los servicios en un modelo del productor y el consumidor de Private Service Connect para tu zona de destino, como se describe en “Decide el diseño de red de tu zona de destino deGoogle Cloud ”, sigue este procedimiento.

En los siguientes pasos, se crea una sola instancia de una VPC. Cuando necesites varias instancias de una VPC, como para entornos de desarrollo y producción, repite los pasos para cada VPC.

Limita el acceso externo con una política de la organización

Te recomendamos que limites el acceso directo a Internet solo a los recursos que lo necesiten. Los recursos sin direcciones externas aún pueden acceder a muchas APIs y servicios de Google a través del Acceso privado a Google. El Acceso privado a Google está habilitado a nivel de la subred y permite que los recursos interactúen con los servicios clave de Google, mientras se los aísla de la Internet pública.

Para mejorar la usabilidad, la funcionalidad predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre y cuando tengan los permisos de IAM correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados de los tipos de recursos que pueden causar accesos no deseados a Internet. Luego, puedes autorizar proyectos específicos solo para permitir la creación de estos recursos. Usa las instrucciones que se indican en Crea y administra políticas de la organización para establecer las siguientes restricciones.

Restringir el reenvío de protocolo en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una VM.

La restricción Restrict Protocol Forwarding Based on type of IP Address impide la creación de reglas de reenvío con direcciones IP externas para toda la organización. En el caso de los proyectos autorizados para usar reglas de reenvío externas, puedes modificar la restricción a nivel de la carpeta o del proyecto.

Establece los siguientes valores para configurar esta restricción:

  • Se aplica a: Personalizar
  • Aplicación de políticas: Reemplazar
  • Valores de la política: Personalizados
  • Tipo de política: Rechazar
  • Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad saliente y entrante con Internet.

La aplicación forzosa de la restricción Define IP externas permitidas para instancias de VM evita el uso de direcciones IP externas con instancias de VM. Para las cargas de trabajo que requieren direcciones IP externas en instancias de VMs individuales, modifica la restricción a nivel de carpeta o de proyecto a fin de especificar las instancias de VMs individuales. O bien, anula la restricción para los proyectos relevantes.

  • Se aplica a: Personalizar
  • Aplicación de políticas: Reemplazar
  • Valores de la política: Rechazar todo

Inhabilita el uso externo de IPv6 en VPC

La restricción Inhabilitar el uso de IPv6 externa de VPC, cuando se establece en True, impide la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

  • Se aplica a: Personalizar
  • Aplicación: Activada

Inhabilita la creación de redes predeterminadas

Cuando se crea un proyecto nuevo, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración en un entorno de red empresarial más grande.

Configura la limitación Omitir creación de red predeterminada para inhabilitar la creación de VPC predeterminada para proyectos nuevos. Si es necesario, puedes crear la red predeterminada manualmente dentro de un proyecto.

  • Se aplica a: Personalizar
  • Aplicación: Activada

Diseña reglas de firewall

Las reglas de firewall permiten o rechazan el tráfico desde o hacia tus VMs según la configuración que definas. Las políticas de firewall jerárquicas se implementan a nivel de la organización y de la carpeta, y las políticas de firewall de red se implementan a nivel de la red de VPC en la jerarquía de recursos. Juntos, proporcionan una función importante para ayudar a proteger tus cargas de trabajo.

Independientemente de dónde se apliquen las políticas de firewall, usa los siguientes lineamientos cuando diseñes y evalúes las reglas de firewall:

  • Implementa los principios de privilegio mínimo (también conocidos como microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesitas. Esto incluye limitar las reglas solo a los protocolos y puertos que necesites para cada carga de trabajo.
  • Habilita el registro de reglas de firewall para obtener visibilidad sobre el comportamiento del firewall y usar las Estadísticas de firewall.
  • Define una metodología de numeración para asignar prioridades a las reglas de firewall. Por ejemplo, se recomienda reservar un rango de números bajos en cada política para las reglas necesarias durante la respuesta ante incidentes. También te recomendamos que priorices las reglas más específicas antes que las más generales para asegurarte de que las reglas específicas no se vean afectadas por las generales. En el siguiente ejemplo, se muestra un posible enfoque para las prioridades de las reglas de firewall:

Rango de prioridad de la regla de firewall
Objetivo

0-999
Reservado para la respuesta ante incidentes

1000-1999
Tráfico que siempre está bloqueado

2000-1999999999
Reglas específicas de la carga de trabajo

2000000000-2100000000
Reglas de captura general

2100000001-2147483643
Reservado

Configura políticas de firewall jerárquicas

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Para ver ejemplos del uso de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.

Define políticas de firewall jerárquicas para implementar los siguientes controles de acceso a la red:

  • Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP está permitido a través de una política de seguridad que permite el tráfico de entrada desde el rango de IP 35.235.240.0/20 para los puertos TCP 22 y 3389.
  • Verificaciones de estado para Cloud Load Balancing. Se permiten los rangos conocidos que se usan para las verificaciones de estado.
    • Para la mayoría de las instancias de Cloud Load Balancing, incluidos el balanceo de cargas TCP/UDP interno, el balanceo de cargas HTTP(S) interno, el balanceo de cargas de proxy TCP externo, el balanceo de cargas de proxy SSL externo y el balanceo de cargas HTTP(S), se define una política de seguridad que permite el tráfico de entrada de los rangos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
    • Para el balanceo de cargas de red, se define una política de seguridad que permite verificaciones de estado heredadas mediante la habilitación del tráfico de entrada de rangos de IP 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configura el entorno de VPC

La VPC de tránsito proporciona los recursos de red para habilitar la conectividad entre las redes de VPC de los picos de cargas de trabajo y las redes locales o de múltiples nubes.

  1. Crea un proyecto nuevo para la red de VPC de tránsito.
  2. Habilita la API de Compute Engine para el proyecto.
  3. Crea la red de VPC del modo personalizado de tránsito.
  4. Crea una subred de Private Service Connect en cada región en la que planeas publicar servicios que se ejecutan en tu VPC del concentrador o en tu entorno local. Ten en cuenta el tamaño de la subred de Private Service Connect cuando decidas tu plan de direcciones IP.
  5. Para cada servicio local que desees exponer a las cargas de trabajo que se ejecutan enGoogle Cloud, crea un balanceador de cargas de proxy HTTP(S) o TCP(S) interno y expón los servicios mediante Private Service Connect.
  6. Configura Private Service Connect para las APIs de Google para la VPC de tránsito.

Configura la conectividad híbrida

Puedes usar interconexión dedicada, interconexión de socio o Cloud VPN para proporcionar conectividad híbrida a tu zona de destino. En los siguientes pasos, se crean los recursos de conectividad híbrida iniciales necesarios para esta opción de diseño:

  1. Si usas la interconexión dedicada, haz lo siguiente. Si usas la interconexión de socio o Cloud VPN, puedes omitir estos pasos.
    1. Crea un proyecto independiente para los puertos de interconexión física.
    2. Habilita la API de Compute Engine para el proyecto.
    3. Crear conexiones de interconexión dedicada
  2. Para cada región en la que finalices la conectividad híbrida en la red de VPC, haz lo siguiente:
    1. Crea dos adjuntos de VLAN de socio o dedicados, uno para cada zona de disponibilidad perimetral. Como parte de este proceso, selecciona Cloud Routers y crea sesiones de BGP.
    2. Configura los routers de red de intercambio de tráfico (locales o en otra nube).

Configura proyectos de cargas de trabajo

Crea una VPC independiente para cada carga de trabajo:

  1. Crea un proyecto nuevo para alojar tu carga de trabajo.
  2. Habilita la API de Compute Engine para el proyecto.
  3. Crea una red de VPC en modo personalizado.
  4. Crea subredes en las regiones en las que planeas implementar cargas de trabajo. Para cada subred, habilita el Acceso privado a Google para permitir que las instancias de VM con solo direcciones IP internas lleguen a los servicios de Google.
  5. Configura Private Service Connect para las APIs de Google.
  6. Para cada carga de trabajo que consumas desde una VPC diferente o tu entorno local, crea un extremo de consumidor de Private Service Connect.
  7. Para cada carga de trabajo que produzcas para una VPC diferente o tu entorno local, crea un balanceador de cargas interno y un archivo de conexión de servicio para el servicio. Ten en cuenta el tamaño de la subred de Private Service Connect cuando decidas tu plan de direcciones IP.
  8. Si se debe poder acceder al servicio desde tu entorno local, crea un extremo de consumidor de Private Service Connect en la VPC de tránsito.

Configura Cloud NAT

Sigue estos pasos si las cargas de trabajo en regiones específicas requieren acceso a Internet saliente, por ejemplo, para descargar paquetes o actualizaciones de software.

  1. Crea una puerta de enlace de Cloud NAT en las regiones en las que las cargas de trabajo requieren acceso a Internet saliente. Puedes personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas, si es necesario.
  2. Como mínimo, habilita el registro de Cloud NAT para que la puerta de enlace registre ERRORS_ONLY. Si deseas incluir registros de traducciones que realiza Cloud NAT, configura cada puerta de enlace para que registre ALL.

Configura la observabilidad

Network Intelligence Center proporciona una experiencia cohesiva para supervisar, solucionar problemas y visualizar tu entorno de redes en la nube. Úsala para asegurarte de que tu diseño funcione con el intent deseado.

Las siguientes configuraciones admiten el análisis de registros y métricas habilitados.

Próximos pasos

Se completó la configuración inicial para esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar una instancia adicional del entorno de la zona de destino, como un entorno de etapa de pruebas o de producción, o continuar con Decide la seguridad de tu Google Cloud zona de destino.

¿Qué sigue?