Descripción general de las redes para VMs

En este documento, se proporciona una descripción general de la funcionalidad de herramientas de redes de las instancias de máquina virtual (VM). Se proporciona un conocimiento básico esencial sobre la interacción de las VMs con las redes de nube privada virtual (VPC) de Google Cloud. Para obtener más información sobre las redes de VPC y las características relacionadas, consulta la descripción general de redes de VPC.

Redes y subredes

Cada VM es parte de una red de VPC. Las redes de VPC proporcionan conectividad a tu instancia de VM a otros productos de Google Cloud y a Internet. Las redes de VPC pueden ser de modo automático o personalizado.

  • Las redes de modo automático tienen una subred en cada región. Todas las subred están incluidas en este rango de direcciones IP: 10.128.0.0/9. Las redes de modo automático solo son compatibles con rangos de subred IPv4.
  • Las redes de modo personalizado no tienen una configuración de subred especificada; tú decides qué subredes crear en las regiones que elijas mediante los rangos IPv4 que especifiques. Las redes en modo personalizado también admiten rangos de subredes IPv6.

A menos que decidas inhabilitarla, cada proyecto tiene una red default, que es una red de modo automático

Cada subred en una red de VPC está asociada con una región y contiene uno o más rangos de direcciones IP. Puedes crear más de una subred por región. Cada una de las interfaces de red para tu VM debe estar conectada a una subred.

Cuando creas una VM, puedes especificar una red y subred de VPC. Si omites esta configuración, se usan la red y la subred default. Google Cloud asigna una dirección IPv4 interna a la VM nueva desde el rango de direcciones IPv4 principal de la subred seleccionada. Si la subred también tiene un rango de direcciones IPv6, puedes elegir asignar una dirección IPv6.

Si deseas obtener más información sobre las redes de VPC, consulta la descripción general de la red de VPC. Para ver un ejemplo ilustrado de VMs que usan una red de VPC con tres subredes en dos regiones, consulta Ejemplo de red de VPC.

Controladores de interfaz de red (NICs)

Cada VM de una red de VPC tiene una interfaz de red predeterminada. Puedes crear más interfaces de red adicionales conectadas para tus VMs, pero cada interfaz debe conectarse a una red de VPC distinta. Con las interfaces de red múltiples, puedes crear configuraciones en las que una instancia se conecta directamente a varias redes de VPC. Para obtener más información sobre el uso de varias NICs, consulta la descripción general de interfaces de red múltiples.

Direcciones IP

Cada interfaz de VM tiene una dirección IPv4 interna, que se asigna desde la subred. De manera opcional, puedes configurar una dirección IPv4 externa. Si la interfaz se conecta a una subred que tiene un rango IPv6, puedes configurar una dirección IPv6 de forma opcional. Las VMs usan estas direcciones IP para comunicarse con otros recursos de Google Cloud y sistemas externos. Las direcciones IP externas son direcciones IP enrutables de forma pública que pueden comunicarse con Internet. Las direcciones IP internas y externas pueden ser efímeras o estáticas.

Las direcciones IP internas son locales para una de las siguientes opciones:

  • Una red de VPC
  • Una red de VPC conectada mediante el intercambio de tráfico entre redes de VPC
  • Una red local conectada a una red de VPC mediante Cloud VPN, Cloud Interconnect o un dispositivo de router

Una instancia puede comunicarse con instancias en la misma red de VPC o con una red conectada como se especifica en la lista anterior mediante la dirección IPv4 interna de la VM. Si las VMs tienen IPv6 configurado, también puedes usar una de las direcciones IPv6 internas o externas de la VM. Como práctica recomendada, usa direcciones IPv6 internas para la comunicación interna. Para obtener más información sobre las direcciones IP, consulta la descripción general de Direcciones IP para Compute Engine.

Para comunicarte con Internet, puedes usar una dirección IPv4 externa o IPv6 externa configurada en la instancia. Si la instancia no tiene una dirección externa, se puede usar Cloud NAT para el tráfico IPv4.

Si tienes varios servicios que se ejecutan en una sola instancia de VM, puedes asignar una dirección IPv4 interna diferente a cada uno mediante rangos de alias de IP. La red de VPC reenvía los paquetes destinados a un servicio específico a la VM correspondiente. Para obtener más información, consulta Rangos de IP de alias.

Nombres de sistema de nombres de dominio (DNS) internos

Cuando creas una instancia de máquina virtual (VM), Google Cloud crea un nombre de DNS interno a partir del nombre de la VM. A menos que especifiques un nombre de host personalizado, Google Cloud usa el nombre de DNS interno que se creó de forma automática como el nombre de host que proporciona a la VM.

Para la comunicación entre las VMs en la misma red de VPC, puedes especificar el nombre de DNS (FQDN) de la instancia de destino completamente calificado en lugar de usar su dirección IP interna. Google Cloud resuelve automáticamente el FQDN a la dirección IP interna de la instancia.

Para obtener más información sobre los nombres de dominio completamente calificados (FQDN), consulta los nombres de DNS internos zonales y globales.

Rutas

Las rutas de Google Cloud definen las rutas de acceso que recorre el tráfico de red de una instancia de máquina virtual (VM) a otros destinos. Estos destinos pueden estar dentro de tu red de VPC (por ejemplo, en otra VM) o fuera de ella. La tabla de enrutamiento para una red de VPC se define a nivel de la red de VPC. Cada instancia de VM tiene un controlador que se mantiene informado sobre todas las rutas aplicables desde la tabla de enrutamiento de la red. Cada paquete que sale de una VM se entrega al siguiente salto apropiado de una ruta aplicable en función de un orden de enrutamiento.

Las rutas de subred definen las rutas de acceso a recursos como VM y balanceadores de cargas internos en una red de VPC. Cada subred tiene al menos una ruta de subred cuyo destino coincide con el rango de IP principal de la subred. Las rutas de subred siempre tienen los destinos más específicos. Las otras rutas no pueden anularlos, incluso aunque otra ruta tenga mayor prioridad. Esto se debe a que Google Cloud considera la especificidad del destino antes que la prioridad cuando se selecciona una ruta. Para obtener más información sobre los rangos de IP de subred, consulta la descripción general de las subredes.

Reglas de reenvío

Si bien las rutas regulan el tráfico que sale de las instancias, las reglas de reenvío direccionan el tráfico a un recurso de Google Cloud en una red de VPC según la dirección IP, el protocolo y el puerto. Algunas reglas de reenvío direccionan el tráfico desde fuera de Google Cloud hasta un destino ubicado dentro de la red; otras lo hacen desde la red.

Puedes configurar reglas de reenvío para tus instancias a fin de implementar hosting virtual por IP, Cloud VPN, IP virtuales privadas (VIP) y balanceo de cargas. Para obtener más información sobre las reglas de reenvío, consulta Usa el reenvío de protocolos.

Reglas de firewall

Las reglas de firewall de VPC permiten o rechazan las conexiones hacia o desde las instancias de VM según la configuración que especifiques. Google Cloud siempre aplica reglas de firewall de VPC habilitadas para proteger las VMs, sin importar la configuración ni el sistema operativo, incluso si la VM no se inició.

De forma predeterminada, cada red de VPC tiene reglas de firewall entrantes (entrada) y salientes (salida) que bloquean todas las conexiones entrantes y permiten todas las conexiones salientes. La red default tiene reglas de firewall adicionales, incluida la regla default-allow-internal, que permiten la comunicación entre las instancias de la red. Si no usas la red default, debes crear reglas de firewall de entrada de prioridad más alta de forma explícita para permitir que las instancias se comuniquen entre sí.

Cada red de VPC funciona como un firewall distribuido. Las reglas de firewall se definen a nivel de VPC y se pueden aplicar a todas las instancias de la red, o puedes usar etiquetas de objetivo o cuentas de servicio de objetivo para aplicar reglas a instancias específicas. Se puede considerar que las reglas de firewall de VPC existen entre las instancias y otras redes y, también, entre instancias individuales dentro de la misma red de VPC.

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Puedes asignar políticas de firewall jerárquicas a toda la organización o a carpetas individuales. Estas políticas contienen reglas que pueden rechazar o permitir las conexiones de forma explícita, al igual que las reglas de firewall de VPC. Además, las reglas de políticas de firewall jerárquicas pueden delegar la evaluación a políticas de nivel inferior o a las reglas de firewall de la red de VPC con una acción goto_next. Las reglas de nivel inferior no pueden anular una regla de un nivel superior en la jerarquía de recursos. Esto permite que los administradores de toda la organización administren las reglas de firewall fundamentales en un solo lugar.

Ancho de banda de red

Google Cloud incluye el ancho de banda por instancia de máquina virtual (VM), no por interfaz de red (NIC) o dirección IP. El ancho de banda se mide mediante dos dimensiones: la dirección del tráfico (entrada y salida) y el tipo de dirección IP de destino. El tipo de máquina de una VM define su tasa de salida máxima posible; sin embargo, solo puedes alcanzarla en situaciones específicas. Para obtener más información, consulta Ancho de banda de red.

El NIC Virtual de Google (gVNIC) es una interfaz de red virtual diseñada específicamente para Compute Engine. gVNIC es una alternativa al controlador de ethernet basado en virtIO. La gVNIC es necesaria para admitir anchos de banda de red más altos, como velocidades de 50 a 100 Gbps que se pueden usar para cargas de trabajo distribuidas en VMs que tienen GPU adjuntas. Además, gVNIC es necesaria cuando se trabaja con algunos tipos de máquinas diseñados para lograr un rendimiento óptimo. Para obtener más información, consulta Usa la NIC virtual de Google.

Grupos de instancias administrados y configuración de herramientas de redes

Si usas grupos de instancias administrados (MIG), la configuración de red que especificas en la plantilla de instancias se aplica a todas las VMs creadas con la plantilla. Si creas una plantilla de instancias en una red de VPC de modo automático, Google Cloud selecciona de forma automática la subred para la región en la que creaste el grupo de instancias administrado.

Para obtener más información, consulta Redes y subredes y Crea plantillas de instancias.

Próximos pasos