Muchos Google Cloud recursos pueden tener direcciones IP internas y direcciones IP externas. Por ejemplo, puedes asignar una dirección IP interna y otra externa a las instancias de Compute Engine. Las instancias usan estas direcciones para comunicarse con otros recursos de Google Cloud y sistemas externos.
Cada interfaz de red que use una instancia debe tener una dirección IPv4 interna principal. Cada interfaz de red también puede tener uno o varios intervalos de IPv4 de alias y una dirección IPv4 externa. Si la instancia está conectada a una subred que admite IPv6, cada interfaz de red también puede tener asignadas direcciones IPv6 internas o externas.
Una instancia puede comunicarse con otras instancias de la misma red de nube privada virtual (VPC) mediante la dirección IPv4 interna de la instancia. Si las instancias tienen configurado IPv6, también puedes usar una de las direcciones IPv6 internas o externas de la instancia. Como práctica recomendada, utiliza direcciones IPv6 internas para la comunicación interna.
Para comunicarte con Internet, puedes usar una dirección IPv4 externa o una dirección IPv6 externa configurada en la instancia. Si no se configura ninguna dirección externa en la instancia, se puede usar Cloud NAT para el tráfico IPv4.
Del mismo modo, debes usar la dirección IPv4 externa o la dirección IPv6 externa de la instancia para conectarte a instancias que no estén en la misma red de VPC. Sin embargo, si las redes están conectadas de alguna forma, por ejemplo, mediante el emparejamiento entre redes de VPC, puedes usar la dirección IP interna de la instancia.
Para obtener información sobre cómo identificar las direcciones IP internas y externas de tus instancias, consulta Ver la configuración de red de una instancia.
Direcciones IP internas
A las interfaces de red de una instancia se les asignan direcciones IP de la subred a la que están conectadas. Cada interfaz de red tiene una dirección IPv4 interna principal, que se asigna desde el intervalo IPv4 principal de la subred. Si la subred tiene un intervalo IPv6 interno, además de la dirección IPv4 interna principal, puedes configurar opcionalmente la interfaz de red con una dirección IPv6 interna principal.
Las direcciones IPv4 internas se pueden asignar de las siguientes formas:
- Compute Engine asigna automáticamente una sola dirección IPv4 de los intervalos de subred IPv4 principales.
- Cuando creas una instancia de computación, le asignas una dirección IPv4 interna específica. Para ello, puedes usar una dirección IPv4 interna estática reservada o especificar una dirección IPv4 interna efímera personalizada.
Las direcciones IPv6 internas se pueden asignar a instancias conectadas a una subred que tenga un intervalo IPv6 interno de las siguientes formas:
- Cuando configuras una dirección IPv6 interna en la interfaz de red virtual de una instancia, Compute Engine asigna automáticamente un único intervalo
/96
de direcciones IPv6 del intervalo IPv6 interno de la subred. - Cuando creas una instancia, le asignas una dirección IPv6 interna específica. Para ello, puedes usar una dirección IPv6 interna estática reservada o especificar una dirección IPv6 interna efímera personalizada.
También puedes reservar una dirección interna estática del intervalo IPv4 o IPv6 de la subred y asignarla a una instancia más adelante.
Las instancias de Compute también pueden tener direcciones y rangos de IP de alias. Si tienes más de un servicio en ejecución en una instancia, puedes asignar a cada servicio su propia dirección IP única.
Nombres de DNS internos
Google Cloud resuelve automáticamente el nombre de DNS completo (FQDN) de una instancia en las direcciones IP internas de la instancia. Los nombres de DNS internos solo funcionan en la red de VPC de la instancia.
Para obtener más información sobre los nombres de dominio completos (FQDN), consulta DNS interno.
Direcciones IP externas
Si necesitas comunicarte con Internet o con recursos de otra red VPC, puedes asignar una dirección IPv4 o IPv6 externa a una instancia. Si las reglas de cortafuegos o las políticas de cortafuegos de jerarquía permiten la conexión, las fuentes externas a una red de VPC pueden acceder a un recurso específico mediante su dirección IP externa. Solo los recursos con una dirección IP externa pueden comunicarse directamente con recursos que no pertenezcan a la red VPC. Comunicarse con un recurso mediante una dirección IP externa puede conllevar cargos adicionales.
Las direcciones IPv4 externas se pueden asignar de las siguientes formas:
- Compute Engine asigna automáticamente una dirección IPv4 de los intervalos de direcciones IPv4 externas de Google.
Asigna una dirección IPv4 externa específica cuando creas una instancia mediante una dirección IPv4 externa estática reservada.
Para obtener más información, consulta Dónde puedo encontrar los intervalos de IPs de Compute Engine.
Las direcciones IPv6 externas se pueden asignar a instancias conectadas a una subred que tenga un intervalo IPv6 externo de las siguientes formas:
- Cuando configuras una dirección IPv6 externa en la interfaz de red virtual de una instancia, Compute Engine asigna automáticamente un único intervalo
/96
de direcciones IPv6 del intervalo IPv6 externo de la subred. - Cuando creas una instancia, le asignas una dirección IPv6 externa específica. Para ello, puedes usar una dirección IPv6 externa estática reservada o especificar una dirección IPv6 externa efímera personalizada.
Alternativas al uso de una dirección IP externa
Las direcciones IP internas o privadas ofrecen varias ventajas con respecto a las direcciones IP externas o públicas, entre las que se incluyen las siguientes:
- Superficie de ataque reducida. Al eliminar las direcciones IP externas de las instancias de proceso, los atacantes tienen más dificultades para acceder a las instancias y aprovechar posibles vulnerabilidades.
- Mayor flexibilidad. Al introducir una capa de abstracción, como un balanceador de carga o un servicio NAT, se consigue una entrega de servicios más fiable y flexible en comparación con las direcciones IP externas estáticas.
En la siguiente tabla se resumen las formas en las que las instancias de computación pueden acceder a Internet o recibir acceso desde Internet cuando no tienen una dirección IP externa.
Método de acceso | Solución | Se recomienda usarlo cuando |
---|---|---|
Interactivo | Configurar el reenvío de TCP para Identity-Aware Proxy (IAP) | Quieres usar servicios administrativos, como SSH y RDP, para conectarte a tus instancias de backend, pero las solicitudes deben superar las comprobaciones de autenticación y autorización antes de llegar al recurso de destino. |
Obteniendo | Pasarela de Cloud NAT | Quieres que tus instancias de Compute Engine que no tengan direcciones IP externas se conecten a Internet (saliente), pero que los hosts que estén fuera de tu red de VPC no puedan iniciar sus propias conexiones con tus instancias de proceso (entrante). Puedes usar este enfoque para las actualizaciones del SO o las APIs externas. |
Proxy web seguro | Debes aislar tus instancias de Compute Engine de Internet creando nuevas conexiones TCP en su nombre, al tiempo que cumples la política de seguridad administrada. | |
sirviendo | Crear un balanceador de carga externo | Quieres que los clientes se conecten a los recursos sin direcciones IP externas en cualquier lugar, Google Cloud mientras proteges tus instancias de proceso frente a ataques DDoS y ataques directos. |
Direcciones IP regionales y globales
Cuando incluyes o describes direcciones IP en tu proyecto, Google Cloud
etiqueta las direcciones como globales o regionales, lo que indica cómo se usa una dirección concreta. Cuando asocias una dirección a un recurso regional, como una instancia, Google Cloud la etiqueta como regional.
Las regiones son Google Cloud
regiones, como us-east4
o europe-west2
.
Las direcciones IP globales se usan en las siguientes configuraciones:
- Direcciones IP internas globales: acceder a las APIs de Google a través de endpoints o acceso a servicios privados
- Direcciones IP externas globales: balanceadores de carga de red con proxy externo y balanceadores de carga de aplicación externos que usan una red de nivel Premium
Para obtener instrucciones sobre cómo crear una dirección IP global, consulta el artículo Reservar una dirección IP externa estática nueva.
Información general sobre el ANS de las redes de Compute Engine
Compute Engine tiene un Acuerdo de Nivel de Servicio (ANS), que define los objetivos de nivel de servicio (ONS) del porcentaje de tiempo de actividad mensual de los niveles de servicio de red.
Cuando creas una instancia de Compute Engine, se te asigna una dirección IP interna de forma predeterminada. También puedes configurar una dirección IP externa con la red de nivel Premium (opción predeterminada) o de nivel Estándar. El nivel de servicio de red que elijas dependerá de tus requisitos de coste y calidad del servicio. Cada nivel de servicio de red tiene un SLO diferente.
Cuando creas la instancia de proceso, puedes configurar varias NICs conectadas a la instancia. Cada NIC puede tener una configuración de red diferente, como se muestra en el siguiente diagrama:
Imagen 1. Una instancia con tres NICs, cada uno de los cuales gestiona un tráfico de red diferente con diferentes niveles de servicio de red.
En el diagrama anterior, la instancia de ejemplo llamada VM appliance tiene tres NICs, que se han configurado de la siguiente manera:
nic0
se configura con una subred de IP interna.nic1
está configurado con una subred de IPs externas y usa el nivel de red Estándar.nic2
se configura con una subred IP externa y usa el nivel de red Premium.
En este ejemplo, la instancia de VM no es una VM optimizada para memoria. En función de la NIC que sufra una pérdida de conectividad, se aplicarán diferentes SLOs. En la siguiente lista se describe el SLA de las diferentes NICs de este ejemplo.
nic0
: una VM de una sola instancia con direcciones IP internas. El porcentaje de tiempo de actividad mensual es del 99,9%.nic1
: una VM de una sola instancia con una dirección IP externa que usa el nivel de red Estándar. Esta máquina virtual no está protegida por ningún SLA. Solo se protegen al 99,9% las instancias en varias zonas con el nivel de red Estándar.nic2
: una VM de una sola instancia con una dirección IP externa que usa el nivel de red Premium. El porcentaje de tiempo de actividad mensual es del 99,9%. Si tienes varias instancias en distintas zonas, el porcentaje de tiempo de actividad mensual es del 99,99% con el nivel de red Premium.
Siguientes pasos
- Ver la configuración de red de una instancia.
- Reserva una dirección IP externa estática nueva.
- Asignar una IP externa estática a una instancia nueva.
- Elegir una dirección IP interna al crear una instancia.
- Promocionar una dirección IP externa efímera.
- Consulta cómo usar nombres de DNS internos para dirigirte a las instancias a través de la red VPC interna.
- Más información sobre las direcciones IP
- Más información sobre IPv6
- Más información sobre las direcciones IP y el balanceo de carga
- Consulta los precios de las direcciones IP externas.