Configura un entorno para usar grupos privados en una red de VPC

En esta página, se muestra cómo configurar el entorno de red para usar grupos privados en una red de VPC. Si no estás familiarizado con los grupos privados, consulta la descripción general de los grupos privados.

Información sobre las opciones de configuración de red

Los grupos privados se alojan en una red de nube privada virtual de Google llamada red de productor de servicios. Cuando configuras un grupo privado, puedes elegir usar la red del productor de servicios o configurar una conexión privada entre la red del productor de servicios y la red de VPC que contiene tus recursos.

Elige uno de los siguientes esquemas de configuración de red en función de las necesidades de la organización:

  • Usa la red del productor de servicios por sí sola: usa esta opción en los siguientes casos:

    Esta es la opción de red predeterminada para crear el grupo privado y no requiere ninguna configuración de red. Si te interesa esta opción, continúa con la creación del grupo privado.

  • Configura una conexión privada entre la red del productor de servicios y la red de VPC: La conexión privada permite que las instancias de VM en la red de VPC y los grupos privados se comuniquen de forma exclusiva mediante direcciones IP internas. Usa esta opción en los siguientes casos:

    • Quieres que las compilaciones accedan a recursos de tu red de VPC.
    • Deseas tipos y tamaños de máquinas configurables.

Configura una conexión privada entre tu red de VPC y la red del productor de servicios

  1. Debes tener una red de VPC existente que usarás para conectarte a la red del productor de servicios.

  2. Para usar los ejemplos de la línea de comandos de esta guía, instala y configura Google Cloud CLI.

  3. Habilita la API:

    Consola


    Habilita las API de Cloud Build and the Service Networking.

    Habilita las API

    gcloud

    Habilita las API de Cloud Build y Service Networking:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com

  4. Si quieres obtener los permisos que necesitas para configurar una conexión privada, pídele a tu administrador que te otorgue el rol de IAM de Administrador de red de Compute Engine (roles/compute.networkAdmin) en el proyecto de Google Cloud en el que reside la red de VPC. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

    Es posible que también puedas obtener los permisos necesarios mediante funciones personalizadas, o bien otras funciones predefinidas.

  5. En la red de VPC, asigna un rango de IP internas con nombre:

    El rango de IP que especifiques aquí estará sujeto a las reglas de firewall que se definen en la red de VPC.

    Cloud Build reserva los rangos de IP 192.168.10.0/24 y 172.17.0.0/16 para la red de puente Docker. Cuando asignes los rangos de IP para los recursos en tus proyectos, te recomendamos seleccionar un rango fuera de 192.168.10.0/24 y 172.17.0.0/16 en los casos en que los compiladores de Cloud Build accedan a estos recursos.

    Por ejemplo, no se podría acceder al rango de direcciones 192.168.10.96/28 del plano de control de Google Kubernetes Engine desde el compilador gke-deploy de Cloud Build debido a la superposición.

    Consola

    1. Ve a la página Redes de VPC en la consola de Google Cloud.

      Ir a la página Redes de VPC

    2. Selecciona la red de VPC que se conectará a la red de VPC del grupo privado.

    3. Selecciona la pestaña Acceso privado a servicios.

    4. En la pestaña Acceso privado a servicios, selecciona la pestaña Rangos de IP asignados para servicios.

    5. Haz clic en Asigna rangos de IP.

    6. Ingresa un Nombre y una Descripción para el rango asignado.

    7. Especifica un Rango de IP para la asignación:

      • Para especificar un rango de direcciones IP, selecciona Personalizado y, luego, ingresa un bloque CIDR.
      • Para especificar la longitud de un prefijo y permitir que Google seleccione un rango disponible, selecciona Automático y luego ingresa la longitud de un prefijo. La longitud del prefijo debe ser de /24 o inferior, como /22, /21, etcétera.

    8. Haz clic en Asignar para crear un rango asignado.

    gcloud

    Para especificar un rango de dirección y una longitud de prefijo (máscara de subred), usa las marcas addresses y prefix-length. La longitud del prefijo debe ser /24 o menor, como /22, /21, etc. Por ejemplo, para asignar el bloque CIDR 192.168.0.0/16, especifica 192.168.0.0 como la dirección y 16 como la longitud de prefijo.

      gcloud compute addresses create RESERVED_RANGE_NAME \
      --global \
      --purpose=VPC_PEERING \
      --addresses=192.168.0.0 \
      --prefix-length=16 \
      --description=DESCRIPTION \
      --network=VPC_NETWORK

    Para especificar solo una longitud de prefijo (máscara de subred), usa la marca prefix-length. Cuando omites el rango de direcciones, Google Cloud selecciona de forma automática un rango de direcciones sin usar en tu red de VPC. En el siguiente ejemplo, se selecciona un rango de direcciones IP sin usar con una longitud de prefijo de 16 bits.

      gcloud compute addresses create RESERVED_RANGE_NAME \
      --global \
      --purpose=VPC_PEERING \
      --prefix-length=16 \
      --description=DESCRIPTION \
      --network=VPC_NETWORK

    Reemplaza los valores de marcador de posición en el comando por los siguientes:

    • RESERVED_RANGE_NAME: Un nombre para el rango asignado, como my-allocated-range
    • DESCRIPTION: Una descripción para el rango, como allocated for my-service

    • VPC_NETWORK: El nombre de la red de VPC, como my-vpc-network

  6. Crea una conexión privada entre la red del productor de servicios y tu red de VPC:

    Consola

    1. Ve a la página Redes de VPC en la consola de Google Cloud.

      Ir a la página Redes de VPC

    2. Selecciona la red de VPC que se conectará a la red de VPC del grupo privado.

    3. Selecciona la pestaña Acceso privado a servicios.

    4. En la pestaña Acceso privado a servicios, selecciona la pestaña Conexiones privadas a los servicios.

    5. Haz clic en Crear una conexión para crear una conexión privada entre tu red y la red del productor de servicios.

    6. Para la Asignación designada, selecciona el rango asignado que creaste en el paso anterior.

    7. Haz clic en Conectar para crear la conexión.

    gcloud

    1. Crea una conexión privada:

      gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=ALLOCATED_RANGE_NAME \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

      Reemplaza los valores de marcador de posición en el comando por los siguientes:

      • ALLOCATED_RANGE_NAME: El rango asignado de nombre que creaste en el paso anterior.
      • VPC_NETWORK: El nombre de tu red de VPC
      • PROJECT_ID: El ID del proyecto que contiene tu red de VPC

      El comando inicia una operación de larga duración, y luego muestra un nombre de operación.

    2. Reemplaza OPERATION_NAME por el nombre de la operación que se mostró en el paso anterior para comprobar si la operación se realizó de forma correcta.

      gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME

  7. [OPCIONAL: Situación de VPC compartida]. Si usas una VPC compartida, crea el rango de IP asignado y la conexión privada en el proyecto host. Por lo general, un administrador de red en el proyecto host debe realizar estas tareas. Después de configurar el proyecto host con la conexión privada, las instancias de VM en proyectos de servicio pueden usar la conexión privada con la red del productor de servicios. El proyecto que aloja la conexión de VPC y el proyecto que contiene el grupo privado deben ser parte de la misma organización.

  8. [Opcional: Usa reglas de firewall]. Si creas una regla de firewall de entrada en la red de VPC, especifica el mismo rango de IP que asignas en filtro de origen. para la regla de entrada.

¿Qué sigue?