Configurar el entorno para usar grupos privados en una red de VPC

En esta página se explica cómo configurar tu entorno de red para usar grupos privados en una red de VPC. Si no conoces las piscinas privadas, consulta el artículo sobre las piscinas privadas.

Descripción de las opciones de configuración de red

Los grupos privados se alojan en una red de nube privada virtual propiedad de Google llamada red de productor de servicios. Cuando configures un grupo privado, puedes usar la red del productor de servicios o configurar una conexión privada entre la red del productor de servicios y la red de VPC que contiene tus recursos.

Elige uno de los siguientes esquemas de configuración de red en función de las necesidades de tu organización:

  • Usar solo la red del productor de servicios: elige esta opción si:

    Esta es la opción de red predeterminada para crear el grupo privado y no requiere ninguna configuración de red. Si te interesa esta opción, ve a la sección sobre cómo crear el grupo privado.

  • Configura una conexión privada entre la red del productor de servicios y tu red de VPC: la conexión privada permite que las instancias de VM de tu red de VPC y los grupos privados se comuniquen exclusivamente mediante direcciones IP internas. Usa esta opción si:

    • Quieres que las compilaciones accedan a los recursos de tu red de VPC
    • Quieres tipos y tamaños de máquinas configurables

Configurar una conexión privada entre tu red de VPC y la red del productor de servicios

  1. Debes tener una red de VPC que vayas a usar para conectarte a la red del productor de servicios.

  2. Para usar los ejemplos de línea de comandos de esta guía, instala y configura la CLI de Google Cloud.

  3. Habilita la API:

    Consola


    Enable the Cloud Build and the Service Networking APIs.

    Enable the APIs

    gcloud

    Habilita las APIs Cloud Build y Service Networking:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com

  4. Para obtener los permisos que necesitas para configurar una conexión privada, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de red de Compute Engine (roles/compute.networkAdmin) en el proyecto Google Cloud en el que se encuentra la red VPC. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

    También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

  5. En la red VPC, asigna un intervalo de IP internas con nombre:

    El intervalo de IPs que especifiques aquí estará sujeto a las reglas de cortafuegos definidas en la red de VPC.

    Cloud Build reserva los intervalos de IP 192.168.10.0/24 y 172.17.0.0/16 para la red de puente de Docker. Al asignar los intervalos de IP a los recursos de tus proyectos, te recomendamos que selecciones un intervalo que no esté incluido en 192.168.10.0/24 ni en 172.17.0.0/16 en los casos en los que los compiladores de Cloud Build deban acceder a estos recursos.

    Por ejemplo, el intervalo de direcciones del plano de control de Google Kubernetes Engine 192.168.10.96/28 no sería accesible desde el compilador gke-deploy de Cloud Build debido a la superposición.

    Consola

    1. Ve a la página Redes de VPC de la Google Cloud consola.

      Ir a la página Redes de VPC

    2. Selecciona la red de VPC que se conectará a la red de VPC del grupo privado.

    3. Seleccione la pestaña Acceso a servicios privados.

    4. En la pestaña Acceso a servicios privados, seleccione la pestaña Intervalos de IPs asignados a servicios.

    5. Haz clic en Asignar intervalo de IPs.

    6. Escriba un Nombre y una Descripción para el intervalo asignado.

    7. Especifica un intervalo de direcciones IP para la asignación:

      • Para especificar un intervalo de direcciones IP, selecciona Personalizado y, a continuación, introduce un bloque CIDR.
      • Para especificar la longitud del prefijo y dejar que Google seleccione un intervalo disponible, selecciona Automático y, a continuación, introduce la longitud del prefijo. La longitud del prefijo debe ser /24 o inferior (por ejemplo, /22 o /21).

    8. Haga clic en Asignar para crear el intervalo asignado.

    gcloud

    Para especificar un intervalo de direcciones y una longitud de prefijo (máscara de subred), usa las marcas addresses y prefix-length. La longitud del prefijo debe ser /24 o inferior (por ejemplo, /22 o /21). Por ejemplo, para asignar el bloque CIDR 192.168.0.0/16, especifica 192.168.0.0 para la dirección y 16 para la longitud del prefijo.

      gcloud compute addresses create RESERVED_RANGE_NAME \
      --global \
      --purpose=VPC_PEERING \
      --addresses=192.168.0.0 \
      --prefix-length=16 \
      --description=DESCRIPTION \
      --network=VPC_NETWORK

    Para especificar solo la longitud del prefijo (máscara de subred), usa la marca prefix-length. Si omites el intervalo de direcciones, Google Cloud se seleccionará automáticamente un intervalo de direcciones sin usar en tu red de VPC. En el siguiente ejemplo se selecciona un intervalo de direcciones IP sin usar con una longitud de prefijo de 16 bits.

      gcloud compute addresses create RESERVED_RANGE_NAME \
      --global \
      --purpose=VPC_PEERING \
      --prefix-length=16 \
      --description=DESCRIPTION \
      --network=VPC_NETWORK

    Sustituye los valores de marcador de posición del comando por los siguientes:

    • RESERVED_RANGE_NAME: un nombre para el intervalo asignado, como my-allocated-range.
    • DESCRIPTION: una descripción del intervalo, como allocated for my-service.

    • VPC_NETWORK: el nombre de tu red de VPC, como my-vpc-network.

  6. Crea una conexión privada entre la red del productor de servicios y tu red de VPC:

    Consola

    1. Ve a la página Redes de VPC de la Google Cloud consola.

      Ir a la página Redes de VPC

    2. Selecciona la red de VPC que se conectará a la red de VPC del grupo privado.

    3. Seleccione la pestaña Acceso a servicios privados.

    4. En la pestaña Acceso privado a servicios, seleccione la pestaña Conexiones privadas a servicios.

    5. Haz clic en Crear conexión para crear una conexión privada entre tu red y la red del productor de servicios.

    6. En Asignación asignada, selecciona el intervalo asignado que has creado en el paso anterior.

    7. Haz clic en Conectar para crear la conexión.

    gcloud

    1. Para crear una conexión privada, sigue estos pasos:

      gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=ALLOCATED_RANGE_NAME \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

      Sustituye los valores de marcador de posición del comando por los siguientes:

      • ALLOCATED_RANGE_NAME: el intervalo de nombres asignado que has creado en el paso anterior.
      • VPC_NETWORK: el nombre de tu red de VPC.
      • PROJECT_ID: el ID del proyecto que contiene tu red VPC.

      El comando inicia una operación de larga duración y devuelve un nombre de operación.

    2. Comprueba si la operación se ha completado correctamente. Para ello, sustituye OPERATION_NAME por el nombre de la operación que se ha devuelto en el paso anterior.

      gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME

  7. [OPCIONAL: escenario de VPC compartida]. Si utilizas la VPC compartida, crea el intervalo de IP asignado y la conexión privada en el proyecto host. Normalmente, un administrador de red del proyecto host debe realizar estas tareas. Una vez que el proyecto host se haya configurado con la conexión privada, las instancias de VM de los proyectos de servicio podrán usar la conexión privada con la red del productor de servicios. El proyecto que aloja la conexión de VPC y el proyecto que contiene el grupo privado deben formar parte de la misma organización.

  8. [OPCIONAL: Usar reglas de cortafuegos]. Si vas a crear una regla de cortafuegos de entrada en la red de VPC, especifica el mismo intervalo de IPs que asignes aquí en el filtro de origen de la regla de entrada.

Siguientes pasos