Información general sobre las redes de las VMs

En este documento se ofrece una descripción general de las funciones de red de las instancias de máquina virtual. Proporciona una comprensión básica de cómo interactúan tus instancias de máquina virtual (VM) con las redes de nube privada virtual (VPC). Para obtener más información sobre las redes de VPC y las funciones relacionadas, consulta la información general sobre las redes de VPC.

Redes y subredes

Todas las máquinas virtuales forman parte de una red de VPC. Las redes de VPC proporcionan conectividad a tu instancia de VM con otros productos de Google Cloud y con Internet. Las redes de VPC pueden ser de modo automático o personalizado.

  • Las redes de VPC en modo automático tienen una subred en cada región. Todas las subredes están incluidas en este intervalo de direcciones IP: 10.128.0.0/9. Las redes de VPC en modo automático solo admiten intervalos de subredes IPv4.
  • Las redes en modo personalizado no tienen una configuración de subred específica. Tú decides qué subredes quieres crear en las regiones que elijas mediante intervalos de IP que especifiques. Las redes en modo personalizado también admiten intervalos de subredes IPv6.

A menos que decidas inhabilitarla, cada proyecto tiene una red default, que es una red de VPC de modo automático. Puedes inhabilitar la creación de redes predeterminadas creando una política de organización.

Cada subred de una red de VPC está asociada a una región y contiene uno o varios intervalos de direcciones IP. Puedes crear más de una subred por región. Cada una de las interfaces de red de tu máquina virtual debe estar conectada a una subred.

Cuando creas una VM, puedes especificar una red VPC y una subred. Si omite esta configuración, se usarán la red default y la subred. Google Cloud asigna una dirección IPv4 interna a la nueva VM del intervalo de direcciones IPv4 principal de la subred seleccionada. Si la subred también tiene un intervalo de direcciones IPv6 (denominado de doble pila) o si has creado una subred solo IPv6, puedes asignar una dirección IPv6 a la VM.

Para obtener más información sobre las redes de VPC, consulta la descripción general de las redes de VPC. Para ver un ejemplo ilustrado de máquinas virtuales que usan una red de VPC con tres subredes en dos regiones, consulta el ejemplo de red de VPC.

Controladores de interfaz de red (NICs)

Cada instancia de proceso de una red de VPC tiene una interfaz de red virtual (vNIC) predeterminada. Cuando configuras una interfaz de red virtual, seleccionas una red de VPC y una subred dentro de esa red de VPC para conectar la interfaz. Puede crear interfaces de red adicionales para sus instancias.

Las interfaces de red múltiples te permiten crear configuraciones en las que una instancia se conecta directamente a varias redes de VPC. Las interfaces de red múltiples son útiles cuando las aplicaciones que se ejecutan en una instancia requieren la separación del tráfico, como la separación del tráfico del plano de datos del tráfico del plano de gestión. Para obtener más información sobre cómo usar varias interfaces de red, consulta Varias interfaces de red.

No se admiten varias NICs virtuales con instancias de Bare Metal. Además, solo puedes añadir vNICs a una instancia durante la creación de la instancia. Con las interfaces de red dinámicas (vista previa), puedes crear subinterfaces de red basadas en VLAN para cada vNIC expuesta, lo que te permite escalar el número de interfaces de red y conexiones de red de VPC. Puedes añadir o quitar interfaces de red dinámicas sin tener que reiniciar ni volver a crear la instancia de proceso. Para obtener más información sobre las NICs dinámicas, consulta el artículo Crear VMs con varias interfaces de red.

Cuando configuras la NIC virtual de una instancia de proceso, puedes especificar el tipo de controlador de red que se va a usar con la interfaz.

Además, puedes usar el rendimiento de red Tier_1 por VM con una instancia de cálculo que utilice gVNIC o IPDF. La red de nivel 1 permite límites de rendimiento de red más altos para las transferencias de datos entrantes y salientes.

Ancho de banda de red

Google Cloud tiene en cuenta el ancho de banda por instancia de VM, no por interfaz de red o dirección IP. El ancho de banda se mide con dos dimensiones: la dirección del tráfico (entrada y salida) y el tipo de dirección IP de destino. La tasa de salida máxima posible se determina en función del tipo de máquina que se haya usado para crear la instancia. Sin embargo, solo se puede alcanzar esa tasa de salida máxima posible en situaciones concretas. Para obtener más información, consulta la sección sobre el ancho de banda de red.

Para admitir anchos de banda de red más altos, como 200 Gbps en las series de máquinas de tercera generación y posteriores, se necesita la interfaz de red virtual de Google (gVNIC).

  • Los límites de ancho de banda de salida estándar oscilan entre 1 y 100 Gbps.
  • El rendimiento de red Tier_1 por VM aumenta el límite máximo de ancho de banda de salida a 200 Gbps, en función del tamaño y el tipo de máquina de tu instancia de proceso.

Algunas series de máquinas tienen límites diferentes, tal como se indica en la tabla de resumen de ancho de banda.

Direcciones IP

A cada máquina virtual se le asigna una dirección IP de la subred asociada a la interfaz de red. En la siguiente lista se proporciona información adicional sobre los requisitos para configurar direcciones IP.

  • En las subredes solo IPv4, la dirección IP es una dirección IPv4 interna. También puedes configurar una dirección IPv4 externa para la VM.
  • Si la interfaz de red se conecta a una subred de doble pila que tiene un intervalo IPv6, debes usar una red VPC de modo personalizado. La VM tiene las siguientes direcciones IP:
    • Una dirección IPv4 interna. También puedes configurar una dirección IPv4 externa para la VM.
    • Una dirección IPv6 interna o externa, según el tipo de acceso de la subred.
  • En el caso de las subredes solo IPv6, debes usar una red de VPC en modo personalizado. La VM tiene una dirección IPv6 interna o externa, según el tipo de acceso de la subred.
  • Para crear una instancia solo con IPv6 que tenga una dirección IPv6 interna y otra externa, debes especificar dos interfaces de red al crear la VM. No puedes añadir interfaces de red a una instancia ya creada.

Las direcciones IP externas e internas pueden ser efímeras o estáticas.

Las direcciones IP internas son locales de uno de los siguientes elementos:

  • Una red de VPC
  • Una red de VPC conectada mediante el emparejamiento entre redes de VPC
  • Una red local conectada a una red de VPC mediante Cloud VPN, Cloud Interconnect o un dispositivo router

Una instancia puede comunicarse con otras instancias de la misma red de VPC o de una red conectada, tal como se especifica en la lista anterior, mediante la dirección IPv4 interna de la VM. Si la interfaz de red de la VM se conecta a una subred de doble pila o a una subred solo IPv6, puedes usar las direcciones IPv6 internas o externas de la VM para comunicarte con otras instancias de la misma red. Como práctica recomendada, usa direcciones IPv6 internas para la comunicación interna. Para obtener más información sobre las direcciones IP, consulta la descripción general de las direcciones IP de Compute Engine.

Para comunicarte con Internet o con sistemas externos, usa una dirección IPv4 externa o una dirección IPv6 externa configurada en la instancia de VM. Las direcciones IP externas son direcciones IP de enrutamiento público. Si una instancia no tiene una dirección IP externa, se puede usar Cloud NAT para el tráfico IPv4.

Si tienes varios servicios que se ejecutan en una sola instancia de VM, puedes asignar a cada servicio una dirección IPv4 interna diferente mediante intervalos de IP de alias. La red de VPC reenvía los paquetes destinados a un servicio concreto a la VM correspondiente. Para obtener más información, consulta Intervalos de IPs de alias.

Niveles de servicio de red

Los niveles de servicio de red te permiten optimizar la conectividad entre los sistemas de Internet y tus instancias de Compute Engine. El nivel Premium distribuye el tráfico por la red troncal premium de Google, mientras que el nivel Estándar usa redes de proveedores de Internet normales. Usa el nivel Premium para optimizar el rendimiento y el nivel Estándar para optimizar los costes.

Como eliges un nivel de red en el nivel de recurso (por ejemplo, la dirección IP externa de una VM), puedes usar el nivel Estándar en algunos recursos y el nivel Premium en otros. Si no especifica un nivel, se usará el nivel Premium.

Las instancias de Compute que usan direcciones IP internas para comunicarse en redes de VPC siempre usan la infraestructura de red de nivel Premium.

Cuando se usa el nivel Premium o el nivel Estándar, no se cobra por la transferencia de datos entrantes. Los precios de transferencia de datos saliente se indican por GiB suministrado y son diferentes para cada uno de los niveles de servicio de red. Para obtener información sobre los precios, consulta los precios de Niveles de servicio de red.

Los niveles de servicio de red no son lo mismo que el rendimiento de red Tier_1 por VM, que es una opción de configuración que puedes usar con tus instancias de computación. Usar la red Tier_1 conlleva un coste adicional, tal como se describe en la sección Precios de red de Tier_1 con más ancho de banda. Para obtener más información sobre la red Tier_1, consulta Configurar el rendimiento de red Tier_1 por VM.

Nivel premium

El nivel Premium envía tráfico de sistemas externos a Google Cloud recursos mediante la red mundial de baja latencia y alta fiabilidad de Google. Esta red se ha diseñado para tolerar varios fallos e interrupciones y, al mismo tiempo, seguir enviando tráfico. El nivel premium es ideal para los clientes que tienen usuarios en varias ubicaciones de todo el mundo y necesitan el mejor rendimiento y fiabilidad de la red.

La red de nivel Premium consta de una amplia red de fibra privada con más de 100 puntos de presencia (PoPs) en todo el mundo. Dentro de la red de Google, el tráfico se enruta desde ese PoP a la instancia de proceso de tu red de VPC. El tráfico saliente se envía a través de la red de Google y sale por el PoP más cercano a su destino. Este método de enrutamiento minimiza la congestión y maximiza el rendimiento al reducir el número de saltos entre los usuarios finales y los PoPs más cercanos.

Nivel estándar

La red de nivel Estándar envía el tráfico de sistemas externos a los recursos deGoogle Cloud redirigiéndolo a través de Internet. Los paquetes que salen de la red de Google se envían a través de Internet pública y están sujetos a la fiabilidad de los proveedores de tránsito y los proveedores de Internet que intervienen. El nivel Estándar ofrece una calidad y una fiabilidad de la red comparables a las de otros proveedores de servicios en la nube.

El nivel Estándar tiene un precio inferior al nivel Premium porque el tráfico de los sistemas de Internet se enruta a través de redes de tránsito (proveedor de Internet) antes de enviarse a las instancias de computación de tu red de VPC. El tráfico saliente del nivel Estándar normalmente sale de la red de Google desde la misma región que usa la instancia de proceso de envío, independientemente de su destino.

El nivel Estándar incluye 200 GB de uso gratuito al mes en cada región que utilices en todos tus proyectos, por recurso.

Nombres de sistema de nombres de dominio (DNS) internos

Cuando creas una instancia de máquina virtual, Google Cloud se crea un nombre de DNS interno a partir del nombre de la VM. A menos que especifiques un nombre de host personalizado,Google Cloud usa el nombre de DNS interno creado automáticamente como nombre de host que proporciona a la VM.

Para que las VMs de la misma red de VPC se comuniquen entre sí, puedes especificar el nombre de DNS completo (FQDN) de la instancia de destino en lugar de usar su dirección IP interna. Google Cloud resuelve automáticamente el FQDN en la dirección IP interna de la instancia.

Para obtener más información sobre los nombres de dominio completos (FQDN), consulta Nombres de DNS internos zonales y globales.

Rutas

LasGoogle Cloud rutas definen las rutas que sigue el tráfico de red desde una instancia de máquina virtual (VM) hasta otros destinos. Estos destinos pueden estar dentro de tu red de VPC (por ejemplo, en otra VM) o fuera de ella. La tabla de enrutamiento de una red de VPC se define a nivel de red de VPC. Cada instancia de VM tiene un controlador que se mantiene informado de todas las rutas aplicables de la tabla de enrutamiento de la red. Cada paquete que sale de una VM se envía al siguiente salto adecuado de una ruta aplicable en función de un orden de enrutamiento.

Las rutas de subred definen las rutas a recursos como las VMs y los balanceadores de carga internos de una red de VPC. Cada subred tiene al menos una ruta de subred cuyo destino coincide con el intervalo de IP principal de la subred. Las rutas de subred siempre tienen los destinos más específicos. No se pueden anular con otras rutas, aunque otra ruta tenga una prioridad más alta. Esto se debe a que Google Cloudtiene en cuenta la especificidad del destino antes que la prioridad al seleccionar una ruta. Para obtener más información sobre los intervalos de IP de subred, consulta la información general sobre subredes.

Reglas de reenvío

Mientras que las rutas rigen el tráfico que sale de una instancia, las reglas de reenvío dirigen el tráfico a un Google Cloud recurso de una red de VPC en función de la dirección IP, el protocolo y el puerto. Algunas reglas de reenvío dirigen el tráfico desde fuera de Google Cloud a un destino de la red, mientras que otras dirigen el tráfico desde dentro de la red.

Puedes configurar reglas de reenvío para tus instancias con el fin de implementar el alojamiento virtual por IPs, Cloud VPN, IPs virtuales privadas (VIPs) y el balanceo de carga. Para obtener más información sobre las reglas de reenvío, consulta Usar el reenvío de protocolos.

Reglas de cortafuegos

Las reglas de cortafuegos de VPC te permiten admitir o denegar conexiones a tu VM o desde ella en función de la configuración que especifiques. Google Cloud siempre se aplican las reglas de cortafuegos de VPC habilitadas, lo que protege tus VMs independientemente de su configuración y sistema operativo, incluso si la VM no se ha iniciado.

De forma predeterminada, todas las redes de VPC tienen reglas de cortafuegos de entrada y salida que bloquean todas las conexiones entrantes y permiten todas las conexiones salientes. La red default tiene reglas de cortafuegos adicionales, incluida la regla default-allow-internal, que permite la comunicación entre las instancias de la red. Si no usas la red default, debes crear explícitamente reglas de cortafuegos de entrada con mayor prioridad para permitir que las instancias se comuniquen entre sí.

Cada red de VPC funciona como un cortafuegos distribuido. Las reglas de cortafuegos se definen a nivel de VPC y se pueden aplicar a todas las instancias de la red. También puedes usar etiquetas de destino o cuentas de servicio de destino para aplicar reglas a instancias específicas. Puedes considerar que las reglas de cortafuegos de VPC no solo existen entre tus instancias y otras redes, sino también entre las instancias individuales de la misma red de VPC.

Las políticas de cortafuegos jerárquicas te permiten crear y aplicar una política de cortafuegos coherente en toda tu organización. Puedes asignar políticas de cortafuegos jerárquicas a toda la organización o a carpetas concretas. Estas políticas contienen reglas que pueden denegar o permitir conexiones de forma explícita, al igual que las reglas de cortafuegos de VPC. Además, las reglas de políticas de cortafuegos jerárquicas pueden delegar la evaluación en políticas de nivel inferior o reglas de cortafuegos de VPC con una acción goto_next. Las reglas de nivel inferior no pueden anular una regla de un nivel superior de la jerarquía de recursos. De esta forma, los administradores de toda la organización pueden gestionar las reglas de firewall críticas en un solo lugar.

Grupos de instancias gestionadas y configuraciones de red

Si usas grupos de instancias gestionadas (MIGs), la configuración de red que especifiques en la plantilla de instancia se aplicará a todas las VMs creadas con la plantilla. Si creas una plantilla de instancia en una red VPC en modo automático, Google Cloud selecciona automáticamente la subred de la región en la que has creado el grupo de instancias gestionado.

Para obtener más información, consulta Redes y subredes y Crear plantillas de instancias.

Siguientes pasos