Se usó la API de Cloud Translation para traducir esta página.

Direcciones IP

Muchos Google Cloud recursos pueden tener direcciones IP internas y externas. Por ejemplo, puedes asignar una dirección IP interna y externa a las instancias de Compute Engine. Las instancias usan estas direcciones para comunicarse con otros recursos de Google Cloud y sistemas externos.

Cada interfaz de red que usa una instancia debe tener una dirección IPv4 interna principal. Cada interfaz de red también puede tener uno o más rangos IPv4 de alias y una dirección IPv4 externa. Si la instancia está conectada a una subred que admite IPv6, cada interfaz de red también puede tener asignadas direcciones IPv6 internas o externas.

Una instancia puede comunicarse con instancias en la misma red de nube privada virtual (VPC) mediante la dirección IPv4 interna de la instancia. Si las instancias tienen IPv6 configurado, también puedes usar una de las direcciones IPv6 internas o externas de la instancia. Como práctica recomendada, usa direcciones IPv6 internas para la comunicación interna.

Para comunicarte con Internet, puedes usar una dirección IPv4 externa o IPv6 externa configurada en la instancia. Si no se configura ninguna dirección externa en la instancia, se puede usar Cloud NAT para el tráfico IPv4.

Del mismo modo, debes usar la IPv4 externa o la IPv6 externa de la instancia para conectarte a instancias fuera de la misma red de VPC. Sin embargo, si las redes están conectadas de alguna manera, por ejemplo, a través del intercambio de tráfico entre redes de VPC, puedes usar la dirección IP interna de la instancia.

Si quieres obtener información sobre cómo identificar las direcciones IP interna y externa de las instancias, consulta Cómo ver la configuración de red de una instancia.

Direcciones IP internas

A las interfaces de red de una instancia se les asignan direcciones IP de la subred a la que están conectadas. Cada interfaz de red tiene una dirección IPv4 interna principal, que se asigna desde el rango IPv4 principal de la subred. Si la subred tiene un rango IPv6 interno, además de la dirección IPv4 interna principal, puedes configurar la interfaz de red con una dirección IPv6 interna principal de forma opcional.

Las direcciones IPv4 internas se pueden asignar de las siguientes maneras:

Compute Engine asigna de forma automática una dirección IPv4 única del rango de subred IPv4 principal.
Puedes asignar una dirección IPv4 interna específica cuando creas una instancia de procesamiento.

Las direcciones IPv6 internas se pueden asignar a las instancias que están conectadas a una subred que tiene un rango de IPv6 interno de las siguientes maneras:

Cuando configuras una dirección IPv6 interna en la NIC de una instancia, Compute Engine asigna un solo rango /96 de direcciones IPv6 desde el rango IPv6 interno de la subred.
Puedes asignar una dirección IPv6 interna específica cuando creas una instancia.

También puedes reservar una dirección interna estática del rango de IPv4 o IPv6 de la subred y asignarla a una instancia.

Las instancias de Compute también pueden tener rangos y direcciones IP de alias. Si tienes más de un servicio en ejecución en una instancia, puedes asignar a cada servicio su propia dirección IP única.

Nombres de DNS interno

Google Cloud resuelve automáticamente el nombre de DNS completamente calificado (FQDN) de una instancia a las direcciones IP internas de la instancia. Los nombres DNS internos solo funcionan dentro de la red de VPC de la instancia.

Para obtener más información sobre los nombres de dominio completamente calificados (FQDN), consulta DNS interno.

Direcciones IP externas

Si necesitas comunicarte con Internet o con recursos en otra red de VPC, puedes asignar una dirección IPv4 o IPv6 externa a una instancia. Si las reglas de firewall o las políticas de firewall jerárquicas permiten la conexión, las fuentes desde fuera de una red de VPC pueden llegar a un recurso específico mediante su dirección IP externa. Solo los recursos con una dirección IP externa pueden comunicarse directamente con los recursos fuera de la red de VPC. Comunicarse con un recurso a través de una dirección IP externa puede generar cargos adicionales.

Las direcciones IPv4 externas están disponibles para todas las instancias de procesamiento. Cuando configuras una dirección IPv4 externa en la vNIC de una instancia, se asigna una única dirección IPv4 de los rangos de direcciones IPv4 externas de Google. Para obtener más información, consulta Dónde puedo encontrar los rangos de IP de Compute Engine.
Las direcciones IPv6 externas están disponibles para instancias de procesamiento que están conectadas a una subred que tiene un rango de IPv6 externo. Cuando configuras una dirección IPv6 externa en la interfaz de red de la instancia, se asigna un solo rango /96 de direcciones IPv6 desde el rango de IPv6 externo de la subred.

También puedes reservar una dirección IPv6 externa estática del rango de IPv6 de la subred y asignarla a una instancia de procesamiento.

Alternativas para usar una dirección IP externa

Las direcciones IP internas o privadas proporcionan una serie de ventajas sobre las direcciones IP externas o públicas, incluidas las siguientes:

Superficie de ataque reducida. Quitar las direcciones IP externas de las instancias de procesamiento dificulta a los atacantes llegar a las instancias y explotar posibles vulnerabilidades.
Mayor flexibilidad. Agregar una capa de abstracción, como un balanceador de cargas o un servicio de NAT, permite una entrega de servicios más confiable y flexible, en comparación con las direcciones IP externas estáticas.

En la siguiente tabla, se resumen las formas en que las instancias de procesamiento pueden acceder a Internet o desde ella cuando no tienen una dirección IP externa.

Método de acceso	Solución	Se usa mejor cuando
Interactiva	Cómo configurar el reenvío de TCP para Identity-Aware Proxy (IAP)	Quieres usar servicios administrativos, como SSH y RDP, para conectarte a tus instancias de backend, pero las solicitudes deben pasar las verificaciones de autenticación y autorización antes de llegar al recurso de destino.
Recuperación	Puerta de enlace de Cloud NAT	Supongamos que deseas que tus instancias de Compute Engine que no tienen direcciones IP externas se conecten a Internet (salida), pero los hosts fuera de tu red de VPC no pueden iniciar sus propias conexiones a tus instancias de procesamiento (entrada). Puedes usar este enfoque para actualizaciones del SO o APIs externas.
Recuperación	Proxy web seguro	Debes aislar tus instancias de Compute Engine de Internet. Para ello, crea conexiones TCP nuevas en su nombre y cumple con la política de seguridad administrada.
Entrega	Crea un balanceador de cargas externo	Supongamos que deseas que los clientes se conecten a recursos sin direcciones IP externas desde cualquier lugar de Google Cloud y, al mismo tiempo, proteger tus instancias de procesamiento de ataques de DDoS y ataques directos.

Direcciones IP regionales y globales

Cuando enumeras o describes direcciones IP en tu proyecto, Google Cloud etiqueta las direcciones como globales o regionales, lo que indica cómo se usa una dirección en particular. Cuando asocias una dirección con un recurso regional, como una instancia, Google Cloud la etiqueta como regional. Las regiones son regiones de Google Cloud, como us-east4 o europe-west2.

Las direcciones IP globales se usan en las siguientes configuraciones:

Direcciones IP internas globales: Accede a las APIs de Google a través de extremos o acceso privado a servicios
Direcciones IP externas globales: Balanceadores de cargas de red de proxy externos y balanceadores de cargas de aplicaciones externos que usan una red de nivel Premium

Si deseas obtener instrucciones para crear una dirección IP global, consulta Reserva una dirección IP externa estática nueva.

Descripción general del ANS para las redes de Compute Engine

Compute Engine tiene un Acuerdo de Nivel de Servicio (ANS), que define los objetivos de nivel de servicio (SLO) para el porcentaje de tiempo de actividad mensual de los niveles de servicio de red.

Cuando creas una instancia de Compute Engine, obtienes una dirección IP interna de forma predeterminada. Además, puedes configurar una dirección IP externa con redes de nivel Premium (predeterminada) o Estándar. El nivel de servicio de red que elijas dependerá de tus requisitos de costo y calidad de servicio. Cada nivel de servicio de red tiene un SLO diferente.

Cuando creas la instancia de procesamiento, puedes configurar varias NIC conectadas a la instancia, y cada NIC puede tener una configuración de red diferente, como se muestra en el siguiente diagrama:

Una instancia con tres NIC, cada una de las cuales controla un tráfico de red diferente con diferentes niveles de servicio de red.

Figura 1. Una instancia con tres NIC, cada una de las cuales controla un tráfico de red diferente con diferentes niveles de servicio de red.

En el diagrama anterior, la instancia de ejemplo llamada Dispositivo VM tiene tres NIC, que se configuran de la siguiente manera:

nic0 se configura con una subred IP interna.
nic1 se configura con una subred IP externa y usa el nivel de red estándar.
nic2 se configura con una subred de IP externa y usa el nivel de red Premium.

En este ejemplo, la instancia de VM no es una VM con optimización de memoria. Según la NIC que sufra una pérdida de conectividad, se aplican diferentes SLO. En la siguiente lista, se describe el ANS de las diferentes NIC en este ejemplo.

nic0: Es una VM de instancia única con direcciones IP internas. El porcentaje de tiempo de actividad mensual es del 99.9%.
nic1: Una VM de instancia única con una dirección IP externa que usa el nivel de redes estándar. Esta VM no está protegida por ningún ANS. Solo las instancias múltiples de las zonas están protegidas al 99.9% con el nivel de redes estándar.
nic2: Una VM de instancia única con dirección IP externa que usa el nivel de redes premium. El porcentaje de tiempo de actividad mensual es del 99.9%. En el caso de varias instancias en diferentes zonas, el porcentaje de tiempo de actividad mensual es del 99.99% con el nivel de redes premium.