Configura tu entorno

En esta página, se muestra cómo configurar el entorno de red antes de crear y usar grupos privados. Si no estás familiarizado con los grupos privados, lee Descripción general de los grupos privados.

Información sobre las opciones de configuración de red

Los grupos privados se alojan en una red de nube privada virtual de Google llamada red del productor de servicios. Cuando configuras un grupo privado, puedes elegir usar la red del productor de servicios o configurar una conexión privada entre la red del productor de servicios y la Red de VPC que contiene tus recursos.

Elige uno de los siguientes esquemas de configuración de red según las necesidades de tu organización:

  • Usar la red del productor de servicios por sí sola: usa esta opción si se cumplen estas condiciones:

    Esta es la opción de red predeterminada para crear el grupo privado y no requiere que se configure ninguna red. Si te interesa esta opción, continúa con la creación del grupo privado.

  • Configura una conexión privada entre la red del productor de servicios y la red de VPC: La conexión privada permite que las instancias de VM en la red de VPC y los grupos privados se comuniquen de forma exclusiva mediante una IP interna. direcciones. Usa esta opción en los siguientes casos:

    • deseas que las compilaciones accedan a los recursos de tu red de VPC
    • deseas tipos y tamaños de máquina configurables

Configura una conexión privada entre tu red de VPC y la red del productor de servicios

  1. Debes tener una red de VPC existente que usarás para conectarte a la red del productor de servicios.

  2. Para usar los ejemplos de la línea de comandos de esta guía, instala y configura el SDK de Cloud.

  3. Habilita la API:

    Console


    Habilita las API de Cloud Build and the Service Networking.

    Habilita las API

    gcloud

    Habilita las API de Cloud Build y Service Networking:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com
    
  4. Asegúrate de tener la función de IAM Administrador de red de Compute Engine para el proyecto en el que reside tu red de VPC. esta función es necesaria para configurar la conexión privada.

  5. En la red de VPC, asigna un rango de IP con nombre:

    El rango de IP que especifiques aquí estará sujeto a las reglas de firewall que se definen en la red de VPC.

    Cloud Build reserva el rango de IP 192.168.10.0/24 para la red de puente Docker. Cuando asignes los rangos de IP para recursos en tus proyectos, te recomendamos seleccionar un rango fuera de 192.168.10.0/24 en casos en los que los compiladores de Cloud Build accedan a estos recursos.

    Por ejemplo, la superposición 192.168.10.96/28 del plano de control de Google Kubernetes Engine no sería accesible desde el compilador gke_deploy de Cloud Build debido a la superposición.

    Console

    1. Ve a la página Redes de VPC en Google Cloud Console.

      Ir a la página Redes de VPC

    2. Selecciona la red de VPC que se conectará a la red de VPC del grupo privado.

    3. Selecciona la pestaña Conexión privada a servicios.

    4. En la pestaña Conexión privada a servicios, selecciona la pestaña Rangos de IP asignados para servicios.

    5. Haz clic en Asigna rangos de IP.

    6. Ingresa un Nombre y una Descripción para el rango asignado.

    7. Especifica un Rango de IP para la asignación:

      • Para especificar un rango de direcciones IP, selecciona Personalizado y luego ingresa un bloque CIDR.
      • Para especificar la longitud de un prefijo y permitir que Google seleccione un rango disponible, selecciona Automático y luego ingresa la longitud de un prefijo. La longitud del prefijo debe ser de /23 o inferior, como /22, /21, etc.
    8. Haz clic en Asignar para crear un rango asignado.

    gcloud

    Para especificar un rango de dirección y una longitud de prefijo (máscara de subred), usa las marcas addresses y prefix-length. La longitud del prefijo debe ser /23 o menor, como /22, /21, etc. Por ejemplo, a fin de asignar el bloque CIDR 192.168.0.0/16, especifica 192.168.0.0 para la dirección y 16 para la longitud de prefijo.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --addresses=192.168.0.0 \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Para especificar solo una longitud de prefijo (máscara de subred), usa la marca prefix-length. Cuando omites el rango de direcciones, Google Cloud selecciona de forma automática un rango de direcciones sin usar en tu red de VPC. En el siguiente ejemplo, se selecciona un rango de direcciones IP sin usar con una longitud de prefijo de 16 bits.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Reemplaza los valores de marcador de posición en el comando por los siguientes:

    • RESERVED_RANGE_NAME: Un nombre para el rango asignado, como my-allocated-range
    • DESCRIPTION: Una descripción para el rango, como allocated for my-service
    • VPC_NETWORK: El nombre de la red de VPC, como my-vpc-network
  6. Crea una conexión privada entre la red del productor de servicios y tu red de VPC:

    Console

    1. Ve a la página Redes de VPC en Cloud Console.

      Ir a la página Redes de VPC

    2. Selecciona la red de VPC que se conectará a la red de VPC del grupo privado.

    3. Selecciona la pestaña Conexión privada a servicios.

    4. En la pestaña Conexión privada a servicios, selecciona la pestaña Conexiones privadas a los servicios.

    5. Haz clic en Crear conexión para crear una conexión privada entre tu red y la red del productor de servicios.

    6. Para la Asignación designada, selecciona el rango asignado que creaste en el paso anterior.

    7. Haz clic en Conectar para crear la conexión.

    gcloud

    1. Crea una conexión privada:

      gcloud services vpc-peerings connect \
          --service=servicenetworking.googleapis.com \
          --ranges=ALLOCATED_RANGE_NAME \
          --network=VPC_NETWORK \
          --project=PROJECT_ID
      

      Reemplaza los valores de marcador de posición en el comando por los siguientes:

      • ALLOCATED_RANGE_NAME: El rango asignado de nombres que creaste en el paso anterior.
      • VPC_NETWORK: El nombre de tu red de VPC
      • PROJECT_ID: El ID del proyecto que contiene tu red de VPC

      El comando inicia una operación de larga duración, y luego muestra un nombre de operación.

    2. Reemplaza OPERATION_NAME por el nombre de la operación que se mostró en el paso anterior para comprobar si la operación se realizó de forma correcta.

      gcloud services vpc-peerings operations describe \
          --name=OPERATION_NAME
      
  7. [OPCIONAL: caso de VPC compartida]. Si usas una VPC compartida, crea el rango de IP asignado y la conexión privada en el proyecto host. Por lo general, un administrador de red en el proyecto host debe realizar estas tareas. Después de configurar el proyecto host con la conexión privada, las instancias de VM en proyectos de servicio pueden usar la conexión privada con la red del productor de servicios. El proyecto que aloja la conexión de VPC y el que contiene el grupo privado deben ser parte de la misma organización.

  8. [OPCIONAL: Usar reglas de firewall]. Si creas una regla de firewall de entrada en la red de VPC, especifica el mismo rango de IP que asignas aquí en el filtro de origen. para la regla de entrada.

¿Qué sigue?