En este documento, se proporciona una descripción general de la funcionalidad de redes de tus instancias de máquina virtual (VM). Se proporciona un conocimiento básico esencial sobre la interacción de las VMs con las redes de nube privada virtual (VPC) de Google Cloud. Para obtener más información sobre las redes de VPC y las funciones relacionadas, consulta la descripción general de las redes de VPC.
Redes y subredes
Cada VM forma parte de una red de VPC. Las redes de VPC proporcionan conectividad para tu instancia de VM a otros productos de Google Cloud y a Internet. Las redes de VPC pueden ser de modo automático o personalizado.
- Las redes de modo automático tienen una subred en cada región. Todas las subred están incluidas en este rango de direcciones IP:
10.128.0.0/9
. Las redes de modo automático solo son compatibles con rangos de subred IPv4. - Las redes de modo personalizado no tienen una configuración de subred especificada; tú decides qué subredes crear en las regiones que elijas mediante los rangos IPv4 que especifiques. Las redes del modo personalizado también admiten rangos de subredes IPv6.
A menos que decidas inhabilitarla, cada proyecto tiene una red default
, que es una red de modo automático
Cada subred de una red de VPC está asociada con una región y contiene uno o más rangos de direcciones IP. Puedes crear más de una subred por región. Cada una de las interfaces de red de tu VM debe estar conectada a una subred.
Cuando creas una VM, puedes especificar una red y una subred de VPC.
Si omites esta configuración, se usarán la red y la subred de default
.
Google Cloud asigna una dirección IPv4 interna a la VM nueva del rango de direcciones IPv4 principal de la subred seleccionada. Si la subred también tiene un rango de direcciones IPv6, puedes asignar una dirección IPv6.
Para obtener más información sobre las redes de VPC, consulta la descripción general de las redes de VPC. Para ver un ejemplo ilustrado de VMs que usan una red de VPC con tres subredes en dos regiones, consulta Ejemplo de red de VPC.
Controladores de interfaz de red (NICs)
Cada VM de una red de VPC tiene una interfaz de red predeterminada. Puedes crear más interfaces de red adicionales conectadas para tus VMs, pero cada interfaz debe conectarse a una red de VPC distinta. Con las interfaces de red múltiples, puedes crear configuraciones en las que una instancia se conecta directamente a varias redes de VPC. Para obtener más información sobre el uso de varias NICs, consulta la descripción general de interfaces de red múltiples.
Direcciones IP
Cada interfaz de VM tiene una dirección IPv4 interna, que se asigna desde la subred. De forma opcional, puedes configurar una dirección IPv4 externa. Si la interfaz se conecta a una subred que tiene un rango IPv6, puedes configurar una dirección IPv6 de forma opcional. Las VMs usan estas direcciones IP para comunicarse con otros recursos de Google Cloud y sistemas externos. Las direcciones IP externas son direcciones IP que se pueden enrutar de forma pública y que pueden comunicarse con Internet. Las direcciones IP internas y externas pueden ser efímeras o estáticas.
Las direcciones IP internas son locales a una de las siguientes opciones:
- Una red de VPC
- Una red de VPC conectada mediante el intercambio de tráfico entre redes de VPC
- Una red local conectada a una red de VPC mediante Cloud VPN, Cloud Interconnect o un dispositivo de router
Una instancia puede comunicarse con instancias en la misma red de VPC, o una red conectada como se especifica en la lista anterior, mediante la dirección IPv4 interna de la VM. Si las VMs tienen IPv6 configurado, también puedes usar una de las direcciones IPv6 internas o externas de la VM. Como práctica recomendada, usa direcciones IPv6 internas para la comunicación interna. Para obtener más información sobre las direcciones IP, lee la descripción general de las direcciones IP de Compute Engine.
Para comunicarte con Internet, puedes usar una dirección IPv4 externa o IPv6 externa configurada en la instancia. Si la instancia no tiene una dirección externa, se puede usar Cloud NAT para el tráfico IPv4.
Si tienes varios servicios que se ejecutan en una sola instancia de VM, puedes asignar una dirección IPv4 interna diferente a cada uno mediante rangos de alias de IP. La red de VPC reenvía los paquetes destinados a un servicio específico a la VM correspondiente. Para obtener más información, consulta Rangos de IP de alias.
Nombres de sistema de nombres de dominio (DNS) internos
Cuando creas una instancia de máquina virtual (VM), Google Cloud crea un nombre de DNS interno a partir del nombre de la VM. A menos que especifiques un nombre de host personalizado, Google Cloud usa el nombre de DNS interno que se creó de forma automática como el nombre de host que proporciona a la VM.
Para la comunicación entre las VMs en la misma red de VPC, puedes especificar el nombre de DNS (FQDN) de la instancia de destino completamente calificado en lugar de usar su dirección IP interna. Google Cloud resuelve automáticamente el FQDN a la dirección IP interna de la instancia.
Para obtener más información sobre los nombres de dominio completamente calificados (FQDN), consulta los nombres de DNS internos zonales y globales.
Rutas
Las rutas de Google Cloud definen las rutas de acceso que recorre el tráfico de red de una instancia de máquina virtual (VM) a otros destinos. Estos destinos pueden estar dentro de tu red de VPC (por ejemplo, en otra VM) o fuera de ella. La tabla de enrutamiento para una red de VPC se define a nivel de la red de VPC. Cada instancia de VM tiene un controlador que se mantiene informado sobre todas las rutas aplicables desde la tabla de enrutamiento de la red. Cada paquete que sale de una VM se entrega al siguiente salto apropiado de una ruta aplicable en función de un orden de enrutamiento.
Las rutas de subred definen las rutas de acceso a recursos como VM y balanceadores de cargas internos en una red de VPC. Cada subred tiene al menos una ruta de subred cuyo destino coincide con el rango de IP principal de la subred. Las rutas de subred siempre tienen los destinos más específicos. Las otras rutas no pueden anularlos, incluso aunque otra ruta tenga mayor prioridad. Esto se debe a que Google Cloud considera la especificidad del destino antes que la prioridad cuando se selecciona una ruta. Para obtener más información sobre los rangos de IP de subred, consulta la descripción general de las subredes.
Reglas de reenvío
Si bien las rutas regulan el tráfico que sale de las instancias, las reglas de reenvío direccionan el tráfico a un recurso de Google Cloud en una red de VPC según la dirección IP, el protocolo y el puerto. Algunas reglas de reenvío direccionan el tráfico desde fuera de Google Cloud hasta un destino ubicado dentro de la red; otras lo hacen desde la red.
Puedes configurar reglas de reenvío para tus instancias a fin de implementar hosting virtual por IP, Cloud VPN, IP virtuales privadas (VIP) y balanceo de cargas. Si deseas obtener más información sobre las reglas de reenvío, consulta Cómo usar el reenvío de protocolos.
Reglas de firewall
Las reglas de firewall de VPC permiten o rechazan las conexiones hacia o desde las instancias de VM según la configuración que especifiques. Google Cloud siempre aplica reglas de firewall de VPC habilitadas para proteger las VMs, sin importar la configuración ni el sistema operativo, incluso si la VM no se inició.
De forma predeterminada, cada red de VPC tiene reglas de firewall entrantes (entrada) y salientes (salida) que bloquean todas las conexiones entrantes y permiten todas las conexiones salientes. La red default
tiene reglas de firewall adicionales, incluida la regla default-allow-internal
, que permiten la comunicación entre las instancias de la red. Si no usas la red default
, debes crear de forma explícita reglas de firewall de entrada de prioridad más alta para permitir que las instancias se comuniquen entre sí.
Cada red de VPC funciona como un firewall distribuido. Las reglas de firewall se definen a nivel de la VPC y se pueden aplicar a todas las instancias de la red, o bien puedes usar etiquetas de destino o cuentas de servicio de destino para aplicar reglas a instancias específicas. Se puede considerar que las reglas de firewall de VPC existen entre las instancias y otras redes y, también, entre instancias individuales dentro de la misma red de VPC.
Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización.
Puedes asignar políticas de firewall jerárquicas a toda la organización o a carpetas individuales. Estas políticas contienen reglas que pueden rechazar o permitir las conexiones de forma explícita, al igual que las reglas de firewall de VPC. Además, las reglas de políticas de firewall jerárquicas pueden delegar la evaluación a políticas de nivel inferior o a las reglas de firewall de la red de VPC con una acción goto_next
.
Las reglas de nivel inferior no pueden anular una que está un nivel superior en la jerarquía de recursos. Esto permite que los administradores de toda la organización administren las reglas de firewall fundamentales en un solo lugar.
Ancho de banda de red
Google Cloud incluye el ancho de banda por instancia de máquina virtual (VM), no por interfaz de red (NIC) o dirección IP. El ancho de banda se mide con dos dimensiones: la dirección del tráfico (entrada y salida) y el tipo de dirección IP de destino. El tipo de máquina de una VM define su tasa de salida máxima posible; sin embargo, solo puedes alcanzarla en situaciones específicas. Para obtener más información, consulta Ancho de banda de red.
El NIC Virtual de Google (gVNIC) es una interfaz de red virtual diseñada específicamente para Compute Engine. gVNIC es una alternativa al controlador de ethernet basado en virtIO. La gVNIC es necesaria para admitir anchos de banda de red más altos, como velocidades de 50 a 100 Gbps que se pueden usar para cargas de trabajo distribuidas en VMs que tienen GPU adjuntas. Además, gVNIC es necesaria cuando se trabaja con algunos tipos de máquinas diseñados para lograr un rendimiento óptimo. Para obtener más información, consulta Usa la NIC virtual de Google.
Grupos de instancias administrados y configuración de herramientas de redes
Si usas grupos de instancias administrados (MIG), la configuración de red que especificas en la plantilla de instancias se aplica a todas las VMs creadas con la plantilla. Si creas una plantilla de instancias en una red de VPC en modo automático, Google Cloud selecciona automáticamente la subred de la región en la que creaste el grupo de instancias administrado.
Para obtener más información, consulta Redes y subredes y Crea plantillas de instancias.
Próximos pasos
- Obtén información para crear y modificar redes de nube privada virtual (VPC).
- Aprender a crear una VM.
- Obtén más información para crear un MIG.
- Obtén información a fin de crear y administrar rutas para las VMs en Google Cloud.
- Aprende cómo balancear cargas y escalar tus VMs.