Configura un entorno para usar grupos privados en una red de VPC

En esta página, se muestra cómo configurar tu entorno de red para usar grupos privados en una red de VPC. Si no estás familiarizado con los grupos privados, consulta la descripción general de los grupos privados.

Información sobre las opciones de configuración de red

Los grupos privados se alojan en una red de nube privada virtual de Google llamada red de productor de servicios. Cuando configuras un grupo privado, puedes elegir usar la red del productor de servicios o configurar una conexión privada entre la red del productor de servicios y la red de VPC que contiene tus recursos.

Elige uno de los siguientes esquemas de configuración de red en función de las necesidades de la organización:

  • Usa la red del productor de servicios por sí sola: usa esta opción en los siguientes casos:

    Esta es la opción de red predeterminada para crear el grupo privado y no requiere ninguna configuración de red. Si te interesa esta opción, continúa con la creación del grupo privado.

  • Configurar una conexión privada entre la red del productor de servicios y la Red de VPC: la conexión privada habilita las instancias de VM tu red de VPC y los grupos privados se comuniquen de forma exclusiva con direcciones IP internas. Usa esta opción en los siguientes casos:

    • Quieres que las compilaciones accedan a recursos de tu red de VPC.
    • Deseas tipos y tamaños de máquinas configurables.

Configura una conexión privada entre tu red de VPC y la red del productor de servicios

  1. Debes tener una red de VPC existente que usarás para conectarte a la red del productor de servicios.

  2. Para usar los ejemplos de la línea de comandos de esta guía, instala y configura Google Cloud CLI.

  3. Habilita la API:

    Console


    Enable the Cloud Build and the Service Networking APIs.

    Enable the APIs

    gcloud

    Habilita las API de Cloud Build y Service Networking:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com
    
  4. Para obtener los permisos que necesitas para configurar una conexión privada, pídele a tu administrador que te otorgue el rol de IAM de administrador de red de Compute Engine (roles/compute.networkAdmin) en el proyecto de Google Cloud en el que reside la red de VPC. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

  5. En la red de VPC, asigna un rango de IP interno con nombre:

    El rango de IP que especifiques aquí estará sujeto a las reglas de firewall que se definen en la red de VPC.

    Cloud Build reserva los rangos de IP 192.168.10.0/24 y 172.17.0.0/16 para la red de puente Docker. Cuando asignes la IP para los recursos de tus proyectos, te recomendamos que selecciones un rango fuera de 192.168.10.0/24 y 172.17.0.0/16 en los casos en que Los compiladores de Cloud Build deben acceder a estos recursos.

    Por ejemplo, no se podría acceder al rango de direcciones del plano de control 192.168.10.96/28 de Google Kubernetes Engine desde el compilador gke-deploy de Cloud Build debido a la superposición.

    Console

    1. Ve a la página Redes de VPC en la consola de Google Cloud.

      Ir a la página Redes de VPC

    2. Selecciona la red de VPC que se conectará a la red de VPC del grupo privado.

    3. Selecciona la pestaña Acceso privado a servicios.

    4. En la pestaña Acceso a servicios privados, selecciona la pestaña Rangos de IP asignados para servicios.

    5. Haz clic en Asigna rangos de IP.

    6. Ingresa un Nombre y una Descripción para el rango asignado.

    7. Especifica un Rango de IP para la asignación:

      • Para especificar un rango de direcciones IP, selecciona Personalizado y, luego, ingresa un bloque CIDR.
      • Para especificar la longitud de un prefijo y permitir que Google seleccione un rango disponible, selecciona Automático y luego ingresa la longitud de un prefijo. El prefijo La longitud debe ser de /24 o menor, como /22, /21, etcétera.
    8. Haz clic en Asignar para crear un rango asignado.

    gcloud

    Para especificar un rango de dirección y una longitud de prefijo (máscara de subred), usa las marcas addresses y prefix-length. La longitud del prefijo debe ser de /24 o inferiores, como /22, /21, etc. Por ejemplo, para asignar el CIDR bloque 192.168.0.0/16, especifica 192.168.0.0 para la dirección y 16 para la longitud del prefijo.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --addresses=192.168.0.0 \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Para especificar solo una longitud de prefijo (máscara de subred), usa la marca prefix-length. Cuando omites el rango de direcciones, Google Cloud selecciona de forma automática un rango de direcciones sin usar en tu red de VPC. En el siguiente ejemplo, se selecciona un rango de direcciones IP sin usar con una longitud de prefijo de 16 bits.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Reemplaza los valores de marcador de posición en el comando por los siguientes:

    • RESERVED_RANGE_NAME: Un nombre para el rango asignado, como my-allocated-range
    • DESCRIPTION: Una descripción para el rango, como allocated for my-service
    • VPC_NETWORK: El nombre de la red de VPC, como my-vpc-network

  6. Crea una conexión privada entre la red del productor de servicios y tu red de VPC:

    Console

    1. Ve a la página Redes de VPC en la consola de Google Cloud.

      Ir a la página Redes de VPC

    2. Selecciona la red de VPC que se conectará a la red de VPC del grupo privado.

    3. Selecciona la pestaña Acceso privado a servicios.

    4. En la pestaña Acceso privado a servicios, selecciona la opción Acceso privado Conexiones a servicios.

    5. Haz clic en Crear una conexión para crear una conexión privada entre tu red y la red del productor de servicios.

    6. Para la Asignación designada, selecciona el rango asignado que creaste en el paso anterior.

    7. Haz clic en Conectar para crear la conexión.

    gcloud

    1. Crea una conexión privada:

      gcloud services vpc-peerings connect \
          --service=servicenetworking.googleapis.com \
          --ranges=ALLOCATED_RANGE_NAME \
          --network=VPC_NETWORK \
          --project=PROJECT_ID
      

      Reemplaza los valores de marcador de posición en el comando por los siguientes:

      • ALLOCATED_RANGE_NAME: El rango asignado de nombre que creaste en el paso anterior.
      • VPC_NETWORK: El nombre de tu red de VPC
      • PROJECT_ID: El ID del proyecto que contiene tu red de VPC

      El comando inicia una operación de larga duración, y luego muestra un nombre de operación.

    2. Reemplaza OPERATION_NAME por el nombre de la operación que se mostró en el paso anterior para comprobar si la operación se realizó de forma correcta.

      gcloud services vpc-peerings operations describe \
          --name=OPERATION_NAME
      
  7. [OPCIONAL: Situación de VPC compartida]. Si usas una VPC compartida, crea el rango de IP asignado y la conexión privada en el proyecto host. Por lo general, un administrador de red en el proyecto host debe realizar estas tareas. Después de configurar el proyecto host con la conexión privada, las instancias de VM en proyectos de servicio pueden usar la conexión privada con la red del productor de servicios. El proyecto que aloja la conexión de VPC y el proyecto que contiene el grupo privado deben ser parte de la misma organización.

  8. [Opcional: Usa reglas de firewall]. Si creas una regla de firewall de entrada en la red de VPC, especifica el mismo rango de IP que asignas en filtro de origen. para la regla de entrada.

¿Qué sigue?