Se usó la API de Cloud Translation para traducir esta página.

Descripción general de la red para VMs

En este documento, se proporciona una descripción general de la funcionalidad de las redes de tus instancias de máquina virtual (VM). Se proporciona un conocimiento básico esencial sobre la interacción de las instancias de máquina virtual (VM) con las redes de nube privada virtual (VPC). Para obtener más información sobre las redes de VPC y las funciones relacionadas, consulta la descripción general de las redes de VPC.

Redes y subredes

Cada VM forma parte de una red de VPC. Las redes de VPC proporcionan conectividad para tu instancia de VM a otros productos Google Cloud y a Internet. Las redes de VPC pueden ser de modo automático o personalizado.

Las redes de VPC de modo automático tienen una subred en cada región. Todas las subredes están incluidas en este rango de direcciones IP: 10.128.0.0/9. Las redes de VPC de modo automático solo son compatibles con rangos de subred IPv4.
Las redes de modo personalizado no tienen una configuración de subred especificada; tú decides qué subredes crear en las regiones que elijas mediante los rangos de IP que especifiques. Las redes del modo personalizado también admiten rangos de subredes IPv6.

A menos que decidas inhabilitarla, cada proyecto tiene una red default, que es una red de VPC de modo automático. Si deseas inhabilitar la creación de redes predeterminadas, crea una política de la organización.

Cada subred de una red de VPC está asociada con una región y contiene uno o más rangos de direcciones IP. Puedes crear más de una subred por región. Cada una de las interfaces de red de tu VM debe estar conectada a una subred.

Cuando creas una VM, puedes especificar una red y una subred de VPC. Si omites esta configuración, se usarán la red y la subred default. Google Cloud asigna una dirección IPv4 interna a la VM nueva del rango de direcciones IPv4 principal de la subred seleccionada. Si la subred también tiene un rango de direcciones IPv6 (denominado pila doble) o si creaste una subred solo IPv6 (versión preliminar), puedes asignar una dirección IPv6 a la VM.

Para obtener más información sobre las redes de VPC, consulta la descripción general de las redes de VPC. Para ver un ejemplo ilustrado de VMs que usan una red de VPC con tres subredes en dos regiones, consulta Ejemplo de red de VPC.

Controladores de interfaz de red (NICs)

Cada instancia de procesamiento en una red de VPC tiene una interfaz de red predeterminada. Puedes definir interfaces de red solo cuando creas una instancia de procesamiento. Cuando configuras una interfaz de red, debes elegir una red de VPC y una subred dentro de esa red de VPC para conectar la interfaz. Puedes crear más interfaces de red adicionales para tus instancias, pero cada interfaz debe conectarse a una red de VPC distinta.

Con las interfaces de red múltiples, puedes crear parámetros de configuración en los que una instancia se conecta directamente a varias redes de VPC. Las interfaces de red múltiples son útiles cuando las aplicaciones que se ejecutan en una instancia requieren una separación del tráfico, como la separación del tráfico del plano de datos del de administración. Para obtener más información sobre el uso de varias NICs, consulta la descripción general de interfaces de red múltiples.

Cuando configuras la interfaz de red de una instancia de procesamiento, puedes specificar el tipo de controlador de red que se usará con la interfaz, ya sea VirtIO o Google Virtual NIC (gVNIC). Para las series de máquinas de primera y segunda generación, la opción predeterminada es VirtIO. Las series de máquinas de tercera generación y posteriores están configuradas para usar gVNIC de forma predeterminada y no admiten VirtIO para la interfaz de red. Las instancias de Bare Metal usan IDPF.

Además, puedes optar por usar el rendimiento de red de nivel 1 por VM con una instancia de procesamiento que use gVNIC o IPDF. Las redes de Tier_1 permiten límites de capacidad de procesamiento de red más altos para las transferencias de datos entrantes y salientes.

Ancho de banda de red

Google Cloud considera el ancho de banda por instancia de VM, no por interfaz de red (NIC) ni dirección IP. El ancho de banda se mide con dos dimensiones: la dirección del tráfico (entrada y salida) y el tipo de dirección IP de destino. El tipo de máquina que se usó para crear la instancia determina la tasa de salida máxima posible. Sin embargo, solo puedes alcanzarla en situaciones específicas. Para obtener más información, consulta Ancho de banda de red.

Para admitir anchos de banda de red más altos, como 200 Gbps para las series de máquinas de tercera generación y posteriores, se requiere la NIC virtual de Google (gVNIC).

Los límites máximos estándar de ancho de banda de salida varían de 1 Gbps a 100 Gbps.
El rendimiento de red de nivel 1 por VM aumenta el límite máximo de ancho de banda de salida a 200 Gbps, según el tamaño y el tipo de máquina de tu instancia de procesamiento.

Algunas series de máquinas tienen límites diferentes, como se documenta en la tabla de resumen de ancho de banda.

Direcciones IP

A cada VM se le asigna una dirección IP de la subred asociada con la interfaz de red. En la siguiente lista, se proporciona información adicional sobre los requisitos para configurar direcciones IP.

En el caso de las subredes solo IPv4, la dirección IP es una dirección IPv4 interna. De manera opcional, puedes configurar una dirección IPv4 externa para la VM.
Si la interfaz de red se conecta a una subred de pila doble que tiene un rango de IPv6, debes usar una red de VPC en modo personalizado. La VM tiene las siguientes direcciones IP:
- Una dirección IPv4 interna De manera opcional, puedes configurar una dirección IPv4 externa para la VM.
- Una dirección IPv6 interna o externa, según el tipo de acceso de la subred
Para subredes de solo IPv6 (versión preliminar), debes usar una red de VPC en modo personalizado. La VM tiene una dirección IPv6 interna o externa, según el tipo de acceso de la subred.
Para crear una instancia solo de IPv6 (versión preliminar) con una dirección IPv6 interna y externa, debes especificar dos interfaces de red cuando crees la VM. No puedes agregar interfaces de red a una instancia existente.

Las direcciones IP internas y externas pueden ser efímeras o estáticas.

Las direcciones IP internas son locales a una de las siguientes opciones:

Una red de VPC
Una red de VPC conectada mediante el intercambio de tráfico entre redes de VPC
Una red local conectada a una red de VPC mediante Cloud VPN, Cloud Interconnect o un dispositivo de router

Una instancia puede comunicarse con instancias en la misma red de VPC, o una red conectada como se especifica en la lista anterior, mediante la dirección IPv4 interna de la VM. Si la interfaz de red de la VM se conecta a una subred de pila doble o a una subred solo IPv6, puedes usar las direcciones IPv6 internas o externas de la VM para comunicarte con otras instancias en la misma red. Como práctica recomendada, usa direcciones IPv6 internas para la comunicación interna. Para obtener más información sobre las direcciones IP, lee la descripción general de las direcciones IP de Compute Engine.

Para comunicarte con Internet o sistemas externos, usa una dirección IPv4 o IPv6 externa configurada en la instancia de la VM. Las direcciones IP externas son direcciones IP enrutables de forma pública. Si una instancia no tiene una dirección IP externa, se puede usar Cloud NAT para el tráfico IPv4.

Si tienes varios servicios que se ejecutan en una sola instancia de VM, puedes asignar una dirección IPv4 interna diferente a cada uno mediante rangos de alias de IP. La red de VPC reenvía los paquetes destinados a un servicio específico a la VM correspondiente. Para obtener más información, consulta Rangos de IP de alias.

Niveles de servicio de red

Los niveles de servicio de red te permiten optimizar la conectividad entre los sistemas en Internet y las instancias de Compute Engine. El nivel Premium envía el tráfico en la red troncal premium de Google, mientras que el nivel Estándar usa las redes ISP regulares. Usa el nivel Premium para optimizar el rendimiento y usa el nivel Estándar para optimizar el costo.

Como los niveles de red se eligen a nivel de recurso, como la dirección IP externa para una VM, puedes usar el nivel Estándar en algunos recursos y el nivel Premium en otros. Si no especificas un nivel, se usará el nivel Premium.

Las instancias de Compute que usan direcciones IP internas para comunicarse dentro de redes de VPC siempre usan la infraestructura de red de nivel Premium.

Cuando usas el nivel Premium o Estándar, no se cobra por la transferencia de datos entrantes. Los precios de la transferencia de datos de salida se determinan por GiB entregado y son diferentes para cada uno de los niveles de servicio de red. Para obtener información sobre los precios, consulta los precios de los niveles de servicio de red.

Los niveles de servicio de red no son iguales que el rendimiento de las redes de nivel 1 por VM, que es una opción de configuración que puedes usar con tus instancias de procesamiento. Existe un costo adicional asociado con el uso de las redes Tier_1, como se describe en Precios de red de ancho de banda más alto de Tier_1. Para obtener más información sobre las redes Tier_1, consulta Configura el rendimiento de red Tier_1 por VM.

Nivel Premium

El nivel Premium envía el tráfico de sistemas externos a los recursos de Google Cloud mediante la red global de alta confiabilidad y baja latencia de Google. Esta red está diseñada para tolerar varias fallas y alteraciones mientras se entrega el tráfico. El nivel Premium es ideal para clientes con usuarios en varias ubicaciones a nivel mundial que necesitan el rendimiento y la confiabilidad de red de mayor calidad.

La red del nivel Premium consiste en una gran red privada de fibra óptica, con más de 100 puntos de presencia (PoP) en todo el mundo. Dentro de la red de Google, el tráfico se enruta desde ese PoP a la instancia de procesamiento en tu red de VPC. El tráfico de salida se envía a través de la red de Google y sale desde el PoP más cercano a su destino. Este método de enrutamiento minimiza la congestión y maximiza el rendimiento, ya que reduce la cantidad de saltos entre los usuarios finales y los PoP más cercanos a ellos.

Nivel Estándar

La red del nivel Estándar entrega el tráfico de sistemas externos a los recursos deGoogle Cloud mediante el enrutamiento a través de Internet. Los paquetes que salen de la red de Google se entregan a través de la Internet pública y están sujetos a la confiabilidad de los ISP y los proveedores de tránsito que participan. El nivel Estándar brinda una calidad y una confiabilidad de red comparables al de otros proveedores de servicios en la nube.

El nivel Estándar tiene un precio inferior al del nivel Premium, ya que el tráfico de los sistemas en Internet se enruta a través de redes de tránsito (ISP) antes de enviarse a las instancias de procesamiento en tu red de VPC. Por lo general, el tráfico de salida del nivel Estándar sale de la red de Google desde la misma región que usa la instancia de procesamiento de envío, sin importar el destino.

El nivel Estándar incluye 200 GB de uso gratuito por mes en cada región que uses en todos los proyectos, por recurso.

Nombres de sistema de nombres de dominio (DNS) internos

Cuando creas una instancia de máquina virtual (VM), Google Cloud crea un nombre de DNS interno a partir del nombre de la VM. A menos que especifiques un nombre de host personalizado,Google Cloud usa el nombre de DNS interno que se creó automáticamente como el nombre de host que proporciona a la VM.

Para la comunicación entre las VMs en la misma red de VPC, puedes especificar el nombre de DNS (FQDN) de la instancia de destino completamente calificado en lugar de usar su dirección IP interna. Google Cloud resuelve automáticamente el FQDN en la dirección IP interna de la instancia.

Para obtener más información sobre los nombres de dominio completamente calificados (FQDN), consulta los nombres de DNS internos zonales y globales.

Rutas

LasGoogle Cloud rutas definen las rutas de acceso que recorre el tráfico de red desde una instancia de máquina virtual (VM) hacia otros destinos. Estos destinos pueden estar dentro de tu red de VPC (por ejemplo, en otra VM) o fuera de ella. La tabla de enrutamiento para una red de VPC se define a nivel de la red de VPC. Cada instancia de VM tiene un controlador que se mantiene informado sobre todas las rutas aplicables desde la tabla de enrutamiento de la red. Cada paquete que sale de una VM se entrega al siguiente salto apropiado de una ruta aplicable en función de un orden de enrutamiento.

Las rutas de subred definen las rutas de acceso a recursos como VM y balanceadores de cargas internos en una red de VPC. Cada subred tiene al menos una ruta de subred cuyo destino coincide con el rango de IP principal de la subred. Las rutas de subred siempre tienen los destinos más específicos. Las otras rutas no pueden anularlos, incluso aunque otra ruta tenga mayor prioridad. Esto se debe a que Google Cloudconsidera la especificidad del destino antes que la prioridad cuando se selecciona una ruta. Para obtener más información sobre los rangos de IP de subred, consulta la descripción general de las subredes.

Reglas de reenvío

Si bien las rutas rigen el tráfico que sale de las instancias, las reglas de reenvío dirigen el tráfico a un recurso de Google Cloud en una red de VPC según la dirección IP, el protocolo y el puerto. Algunas reglas de reenvío dirigen el tráfico desde fuera de Google Cloud a un destino en la red; otras dirigen el tráfico desde dentro de la red.

Puedes configurar reglas de reenvío para tus instancias a fin de implementar hosting virtual por IP, Cloud VPN, IP virtuales privadas (VIP) y balanceo de cargas. Si deseas obtener más información sobre las reglas de reenvío, consulta Cómo usar el reenvío de protocolos.

Reglas de firewall

Las reglas de firewall de VPC te permiten permitir o rechazar las conexiones hacia o desde la VM según la configuración que especifiques. Google Cloud siempre aplica reglas de firewall de VPC habilitadas para proteger las VMs, sin importar la configuración ni el sistema operativo, incluso si la VM no se inició.

De forma predeterminada, cada red de VPC tiene reglas de firewall entrantes (entrada) y salientes (salida) que bloquean todas las conexiones entrantes y permiten todas las conexiones salientes. La red default tiene reglas de firewall adicionales, incluida la regla default-allow-internal, que permiten la comunicación entre las instancias de la red. Si no usas la red default, debes crear de forma explícita reglas de firewall de entrada de prioridad más alta para permitir que las instancias se comuniquen entre sí.

Cada red de VPC funciona como un firewall distribuido. Las reglas de firewall se definen a nivel de la VPC y se pueden aplicar a todas las instancias de la red, o bien puedes usar etiquetas de destino o cuentas de servicio de destino para aplicar reglas a instancias específicas. Se puede considerar que las reglas de firewall de VPC existen entre las instancias y otras redes y, también, entre instancias individuales dentro de la misma red de VPC.

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Puedes asignar políticas de firewall jerárquicas a toda la organización o a carpetas individuales. Estas políticas contienen reglas que pueden rechazar o permitir las conexiones de forma explícita, al igual que las reglas de firewall de VPC. Además, las reglas de políticas de firewall jerárquicas pueden delegar la evaluación a políticas de nivel inferior o a las reglas de firewall de la red de VPC con una acción goto_next. Las reglas de nivel inferior no pueden anular una que está un nivel superior en la jerarquía de recursos. Esto permite que los administradores de toda la organización administren las reglas de firewall fundamentales en un solo lugar.

Grupos de instancias administrados y configuración de herramientas de redes

Si usas grupos de instancias administrados (MIG), la configuración de red que especificas en la plantilla de instancias se aplica a todas las VMs creadas con la plantilla. Si creas una plantilla de instancias en una red de VPC en modo automático, Google Cloud selecciona automáticamente la subred de la región en la que creaste el grupo de instancias administrado.

Para obtener más información, consulta Redes y subredes y Crea plantillas de instancias.

Próximos pasos

Obtén información para crear y administrar redes de VPC.
Obtén información para crear y administrar rutas para redes de VPC.
Obtén información para crear e iniciar una instancia de Compute Engine.
Obtén información para crear un grupo de instancias administrado (MIG) .
Obtén información para escalar tus VMs y optimizar la latencia de las aplicaciones con el balanceo de cargas.