Google Cloud Platform para profesionales de centros de datos: redes

En este artículo se analizan los servicios de red de Google Cloud Platform y cómo se comparan con las tecnologías tradicionales de centros de datos. Además, se exploran las diferencias entre los dos modelos de servicio y se describen en detalle las funciones de red VPC de Cloud Platform.

Comparación del modelo de servicio

En un centro de datos tradicional, se administra una configuración de red compleja compuesta por bastidores de servidores, dispositivos de almacenamiento, varias capas de conmutadores, enrutadores, balanceadores de carga, dispositivos de cortafuegos y más. Además de estos componentes de hardware, debes configurar, mantener y supervisar el software subyacente de la red, así como las configuraciones detalladas del dispositivo para el entorno. Pero esto no es todo lo que implica la sobrecarga de administración: también tienes que velar por la seguridad y la disponibilidad de la red, así como programar las actualizaciones y las ampliaciones de la red, lo que constituye un proceso largo y lento.

Por otra parte, la infraestructura de red VPC de Cloud Platform se basa en un modelo de redes definidas mediante software (SDN). Este modelo elimina gran parte del mantenimiento y la sobrecarga administrativa mencionada anteriormente, de modo que puedes personalizar y escalar los servicios de forma más rápida para ayudar a satisfacer las necesidades de tu creciente base de clientes.

Comparación de las arquitecturas de redes de centros de datos y VPC de Cloud Platform
Figura 1: Comparación de las arquitecturas de redes de centros de datos y VPC de Cloud Platform

Los servicios de red VPC de Cloud Platform están diseñados para proporcionar estas prestaciones:

Aunque Cloud Platform elimina la necesidad de administrar los componentes físicos de red del centro de datos, muchos conceptos conocidos de redes, entre ellos, las subredes, las rutas, las reglas de cortafuegos, DNS, el balanceo de carga, VPN, NAT y DHCP, siguen siendo compatibles con Cloud Platform. El conocimiento previo en estas áreas reducirá la curva de aprendizaje al trabajar con redes VPC y te ayudará a poner en marcha las mejores prácticas en tu entorno de nube.

Red VPC

La red VPC comprende las tecnologías de redes fundamentales de Cloud Platform, entre las que se incluyen redes, subredes, direcciones IP, rutas, cortafuegos, VPN y Cloud Router. Esta base te permite crear instancias de recursos informáticos y contenedores que comparten una única red VPC global y se pueden añadir a subredes regionales. Con Cloud Platform, dispones de la flexibilidad de ofrecer servicios de baja latencia en regiones y zonas cercanas a los usuarios finales, así como de ampliar los servicios en múltiples dominios de fallos para que estén disponibles.

Redes VPC

En Cloud Platform, una red VPC es un espacio de IP RFC1918 global y privado. Debido a que las redes VPC de Cloud Platform son globales de forma predeterminada, ya no es necesario conectarse y administrar múltiples redes privadas por separado para conseguir disponibilidad global. Al usar una red VPC global, las instancias de la máquina virtual (VM) de Google Compute Engine se pueden dirigir en la red VPC tanto por dirección IP como por nombre, ya se realiza un seguimiento automático de los nombres de las instancias de VM como nombres de host mediante el DNS interno de Compute Engine.

Subredes

Puedes usar subredes dentro de la red VPC para agrupar las instancias por región o zona y para controlar la segmentación de los espacios de direcciones IP. Puedes administrar tus propias subredes mediante cualquier intervalo privado de RFC1918, o puedes usar una red VPC de modo automático, que crea automáticamente subredes en cada región de Cloud Platform. Los intervalos de IP entre subredes no tienen que ser contiguos y se pueden ampliar de forma dinámica.

Si quieres ayudar a controlar el aislamiento entre subredes, puedes añadir etiquetas de instancia a instancias de VM individuales o a plantillas de instancia y, a continuación, configurar las rutas y reglas de cortafuegos para hacer uso de estas etiquetas.

Redes VPC, subredes, regiones y zonas
Figura 2: Redes VPC, subredes, regiones y zonas

Direcciones IP

Las instancias admiten hasta dos direcciones IP: una dirección IP interna efímera, que se usa para comunicarse dentro de la red VPC, y una dirección IP externa opcional, que se usa para comunicarse fuera de la red VPC. Las direcciones IP externas son efímeras de forma predeterminada, pero también pueden ser estáticas. Si deseas obtener más información sobre cómo funcionan las direcciones IP en Cloud Platform, consulta el apartado sobre direcciones IP.

Control

Cloud Platform proporciona mecanismos de control sólidos para ayudar a la red de toda la organización y a los administradores de seguridad a proteger los recursos, administrar las redes VPC y autorizar el acceso a los puntos de conexión externos. En Cloud Platform, puedes usar funciones, cortafuegos y rutas de gestión de identidades y accesos (IAM) para que te ayuden a desplegar políticas y patrones con el fin de controlar y proteger las redes VPC.

IAM específica de la red

Google Cloud IAM proporciona varias funciones relacionadas con la red, entre ellas, las de administrador de red, visualizador de red, administrador de seguridad y administrador de instancias de Compute, para dividir claramente el control de recursos. Si quieres obtener más información sobre Cloud IAM y la gestión de identidades en Cloud Platform, consulta el artículo sobre administración.

Cortafuegos

De forma similar a la DMZ del centro de datos, cada red VPC tiene un cortafuegos que bloquea todo el tráfico entrante desde el exterior de una red VPC a las instancias de forma predeterminada; puedes permitir el acceso si configuras las reglas de cortafuegos. A diferencia de en las DMZ tradicionales, sin embargo, los cortafuegos de Cloud Platform están distribuidos de forma global para ayudar a evitar problemas relacionados con la ampliación del tráfico.

De forma predeterminada, las reglas de cortafuegos se aplican a toda la red VPC. No obstante, puedes aplicar una regla de cortafuegos a un conjunto de instancias si añades una etiqueta específica a las instancias y, a continuación, aplicas la regla de cortafuegos a las instancias con esa etiqueta. También puedes usar reglas de cortafuegos para controlar el tráfico interno entre instancias al definir un conjunto de máquinas de origen permitidas en la regla.

Si deseas bloquear paquetes salientes de una instancia, debes configurar otro tipo de tecnología, como iptables, en tus instancias.

Rutas

Las rutas o reglas para reenviar el tráfico son recursos globales que están vinculados a una única red VPC. Puedes aplicar rutas a una o más instancias de la red VPC al incluir etiquetas de instancia de destino cuando creas las rutas. Las rutas se añaden después a cualquier instancia que también use dichas etiquetas de instancia.

Cuando inicializas Compute Engine o creas una nueva red VPC, algunas rutas se crean automáticamente de forma predeterminada. También puedes agregar rutas creadas por el usuario a una red VPC según sea necesario. Por ejemplo, puedes añadir una ruta que reenvíe el tráfico de una instancia a otra en la misma red VPC, incluso a través de subredes, sin tener que usar direcciones IP externas.

Cuando configuras subredes dentro de una red VPC, GCP crea rutas entre las subredes de forma predeterminada. Sin embargo, a menos que estés usando la red VPC default, debes crear reglas de cortafuegos para permitir la circulación de tráfico entre instancias en la red VPC.

Las rutas también permiten desplegar funciones de red más avanzadas en las instancias de máquina virtual, como la configuración de NAT de varias a una y los proxies transparentes. Las rutas predeterminadas están diseñadas para que la red VPC sepa cómo enviar tráfico a Internet y a todas las instancias que crees.

Escalado

En entornos de centros de datos tradicionales, los balanceadores de carga pueden crear complejidad operativa y, por lo general, carecen de escalabilidad global. Si quieres respaldar la escalabilidad y la disponibilidad de los servicios, puedes usar Cloud Load Balancing, que distribuye los recursos informáticos mediante de una única IP global de difusión por proximidad. Cloud Load Balancing admite HTTP y HTTPS, TCP/SSL y balanceo de carga UDP, así como descarga de SSL, afinidad de sesión, comprobaciones de estado y almacenamiento de registros.

Balanceo de carga del nivel 7

El balanceo de carga HTTP y HTTPS (nivel 7) equilibra el tráfico entre regiones de forma automática mediante la dirección del tráfico a las instancias más cercanas y en dirección contraria a las instancias en mal estado. También puedes añadir balanceo de carga en función del contenido para enviar el tráfico a instancias optimizadas para un contenido específico, como vídeo. Si quieres reducir la latencia y mejorar el rendimiento de los usuarios, también puedes combinar Cloud CDN, el servicio de red de distribución de contenido de Cloud Platform, con el balanceo de carga HTTP o HTTPS.

Balanceo de carga interregional
Figura 3: Balanceo de carga entre regiones

Balanceo de carga del nivel 4

El balanceo de carga de red (nivel 4) también está disponible para cuando los servicios TCP/UDP necesitan instancias adicionales en casos de mucho tráfico. Con el balanceo de carga de red, puedes equilibrar la carga de protocolos adicionales, como el tráfico SMTP, añadir afinidad de sesión e inspeccionar paquetes. El proxy SSL proporciona terminación SSL para el tráfico no HTTPS con balanceo de carga, mientras que la descarga SSL permite administrar de forma centralizada los certificados SSL y el descifrado, por lo que exime a las instancias de estos trabajos que consumen un gran uso del procesador.

Balanceo de carga de red
Figura 4: Balanceo de carga de red

Autoescalado

El balanceo de carga está respaldado por el autoescalado de Compute Engine, que añade instancias y las elimina de forma automática de un grupo de instancias según la política de autoescalado. Puedes elegir una de las políticas de autoescalado predeterminadas de la herramienta de adaptación dinámica o definir una política personalizada basada en las métricas de Stackdriver Monitoring.

Google Cloud DNS

Puedes usar Google Cloud DNS para que tus aplicaciones y servicios estén disponibles de forma global para usuarios con alta disponibilidad y baja latencia. Cloud DNS escala a un gran número de zonas DNS y registros para que puedas crear y actualizar millones de registros DNS de forma fiable.

Conexión

Si estás diseñando una arquitectura híbrida en la que vas a mantener algunos recursos en Cloud Platform y otros recursos en distintas ubicaciones, Cloud Platform ofrece una gran variedad de formas de integrarse con el entorno externo.

Cloud VPN

El servicio administrado Cloud VPN permite que los datos de la nube privada se alimenten de los servicios alojados en Cloud Platform a través de túneles de IPSec seguros. Cada pasarela VPN de la nube puede soportar hasta 1,5 GB/s en sus túneles. Si deseas obtener instrucciones sobre la configuración de Cloud VPN, consulta las guías de interoperabilidad de VPN.

Google Cloud Router

A medida que amplías las subredes en la nube, creas aplicaciones adicionales en la nube o realizas cambios en dichas subredes de nube privada, puedes usar Google Cloud Router para descubrir y publicitar automáticamente los cambios en la red. Cloud Router es compatible con varios túneles VPN a través del enrutamiento ECMP o de una configuración primaria o de copia de seguridad. Los eventos de router, BGP y de ruta se muestran en Stackdriver Logging, y Cloud Router publica métricas en Stackdriver Monitoring.

Arquitectura de red híbrida
Figura 5: Arquitectura de red híbrida

Cloud Interconnect

En el caso de los clientes que requieren una conexión de nivel empresarial con mayor disponibilidad y menor latencia que las conexiones existentes, Cloud Platform ofrece Cloud Interconnect. Tu tráfico de red irá directamente a Cloud Platform, sin recorrer distancias innecesarias a través de redes de terceros. Cloud Interconnect brinda los siguientes servicios:

  • Servicios de interconexión de operador, que se proporcionan a través de un grupo de partners proveedores de servicios.
  • Servicios de emparejamiento directo. Puedes realizar emparejamientos con Google en cualquiera de sus más de 70 ubicaciones de emparejamiento para intercambiar tráfico de nube de alto rendimiento, siempre que puedas encontrar a Google en la ubicación de emparejamiento y cumplir con los requisitos de emparejamiento de Google.
  • CDN Interconnect te permite elegir distintos proveedores de CDN para establecer enlaces de interconexión directos con la red perimetral de Google en varias ubicaciones. Esta conexión de borde te permite optimizar el tráfico, de forma que puedes almacenar en caché grandes archivos de datos en ubicaciones cercanas a los usuarios y reducir la latencia de acceso al contenido que se actualiza con frecuencia.

Rendimiento

El tráfico de salida de una instancia de VM determinada está sujeto a límites máximos de rendimiento de salida de red. Estos límites dependen de la cantidad de núcleos que tenga la instancia de VM. Cada núcleo está sujeto a un límite de 2 GB/s para disfrutar de un rendimiento máximo. Cada núcleo adicional aumenta el límite de red hasta un máximo teórico de 16 GB/s para cada instancia. El rendimiento real que experimentes puede variar según la carga de trabajo. Todos los límites están diseñados para constituir el máximo rendimiento posible, no el rendimiento soportado.

Si deseas medir el rendimiento de Cloud Platform y otras ofertas en la nube en comparación con el rendimiento del entorno del centro de datos nativo, puedes usar PerfKit Benchmarker, una herramienta de evaluación comparativa de código abierto. Si deseas realizar una evaluación comparativa de Cloud Platform, puedes ejecutar el conjunto denominado google_set, que incluye comparativas iperf, netperf y ping. En el caso de un ejemplo simple en el que PerfKit Benchmarker se usa para medir el rendimiento de la red, consulta el apartado sobre medición del rendimiento de la red.

Costes

Si deseas obtener detalles sobre precios específicos del producto, consulta estas páginas:

También puedes usar la calculadora de precios de Cloud Platform para simular los costes de una situación concreta.

¿Qué debes hacer ahora?

Siguiente: Compute en Cloud Platform

Revisar las prácticas recomendadas

Consulta las prácticas recomendadas de redes y seguridad, así como de DDoS para obtener consejos acerca de cómo proteger la red VPC y los recursos virtuales.

Probar tutoriales prácticos

¿Te has preparado para ensuciarte las manos? Echa un vistazo a los laboratorios de programación Networking 101 y Networking 102, que te guiarán por las tareas de red básicas e intermedias mediante los servicios de red VPC de Cloud Platform.

Leer sobre la pila de redes de Google

Durante más de una década, en Google hemos invertido mucho para innovar en redes definidas mediante software en la nube para obtener un rendimiento óptimo y beneficios de coste. Los siguientes artículos y documentos de investigación proporcionan información sobre diversos aspectos de la pila de redes de Google: