Google Cloud para profesionales de centros de datos: Herramientas de redes

En este artículo, se analizan los servicios de Herramientas de redes de Google Cloud y cómo se comparan con las tecnologías de los centros de datos tradicionales. Además, se exploran las diferencias entre ambos modelos de servicio y se describen en detalle las Herramientas de redes de VPC de Cloud Platform.

Comparación de los modelos de servicio

En un centro de datos tradicional, administras una configuración de red compleja, incluidos los bastidores de servidores, los dispositivos de almacenamiento, las capas múltiples de interruptores, los balanceadores de cargas, los routers, los dispositivos de firewall, etc. Además de estos componentes de hardware, debes configurar, mantener y supervisar el software subyacente de la red, así como las configuraciones de dispositivo detalladas para tu entorno. Y la sobrecarga administrativa no termina aquí; también debes preocuparte de la seguridad y la disponibilidad de la red, y debes planificar sus actualizaciones y expansiones, un proceso que puede tardar mucho tiempo.

Por el contrario, la infraestructura de las Herramientas de red de VPC de Google Cloud se basa en el modelo de redes definidas por software (SDN). Con este modelo, se evita una buena parte de la sobrecarga administrativa y de mantenimiento que se mencionó antes para que puedas personalizar y escalar los servicios con mayor rapidez a fin de satisfacer las necesidades de tu base de clientes en crecimiento.

Comparación entre las arquitecturas de las Herramientas de redes de VPC y los centros de datos de Google Cloud
Figura 1: Comparación entre las arquitecturas de las Herramientas de redes de VPC y los centros de datos de Google Cloud

Los servicios de Herramientas de redes de VPC de Google Cloud se diseñaron para proporcionar las siguientes características:

Si bien Google Cloud elimina la necesidad de administrar componentes de las Herramientas de redes de centros de datos físicos, muchos de los conceptos de Herramientas de redes familiares, como subredes, rutas, reglas de firewall, DNS, balanceo de cargas, VPN, NAT y DHCP, permanecen aplicables con Google Cloud. Cuando se trabaja con Herramientas de redes de VPC, el conocimiento previo de estas áreas ayuda a nivelar la curva de aprendizaje, además de aplicar las prácticas recomendadas en el entorno de la nube.

Red de VPC

La red de VPC abarca las tecnologías de las Herramientas de redes fundamentales de Google Cloud, que incluyen redes, subredes, direcciones IP, rutas, firewalls, Cloud VPN y Cloud Router. Se trata de una base que permite crear instancias y contenedores de procesamiento que comparten una sola red de VPC global y que pueden agregarse a las subredes regionales. Con Google Cloud, tienes la flexibilidad de ofrecer servicios de latencia baja en regiones y zonas cercanas a los usuarios finales, además de extender los servicios entre varios dominios con fallas para mejorar la disponibilidad.

Redes de VPC

En Google Cloud, una red de VPC es un espacio de IP de RFC 1918 privado y global. Debido a que, según la configuración predeterminada, las redes de VPC de Google Cloud son globales, no es necesario conectar y administrar varias redes privadas por separado para lograr una disponibilidad global. Si usas una red de VPC global, las instancias de máquinas virtuales (VM) de Compute Engine se pueden detectar dentro de la red de VPC mediante la dirección IP y el nombre, ya que el DNS interno de Compute Engine rastrea los nombres de las instancias de VM de forma automática como nombres de host.

Subredes

Si necesitas agrupar las instancias por región o por zona y controlar la segmentación de los espacios entre las direcciones IP, puedes usar las subredes dentro de la red de VPC. Usa un rango de IP RFC 1918 privado para administrar tus propias subredes, o bien una red de VPC con modo automático a fin de crear subredes en cada región de Google Cloud de forma automática. No es necesario que los rangos de IP entre las subredes sean contiguos o expandibles de forma dinámica.

A fin de controlar el aislamiento entre las subredes, puedes agregar etiquetas de instancia a las instancias de VM individuales o a las plantillas de instancias y, luego, configurar las rutas y las reglas de firewall para aprovechar las etiquetas.

Redes de VPC, subredes, regiones y zonas
Figura 2: Redes de VPC, subredes, regiones y zonas

Direcciones IP

Las instancias admiten dos direcciones IP como máximo: una interna y efímera, que se usa para la comunicación dentro de la red de VPC, y una externa y opcional, que se usa en la comunicación fuera de la red de VPC. Según la configuración predeterminada, las direcciones IP externas son efímeras, pero también pueden ser estáticas. Para obtener más información sobre cómo funcionan las direcciones IP en Google Cloud, consulta Direcciones IP.

Control

Google Cloud brinda mecanismos de control sólidos que ayudan a que los administradores de seguridad y redes de toda la organización protejan los recursos, administren las redes de VPC y autoricen el acceso a los extremos externos. En Google Cloud, puedes usar las funciones, los firewalls y las rutas de la administración de identidades y accesos (IAM), que te ayudan a implementar políticas y patrones para controlar y proteger las redes de VPC.

IAM específica de la red

IAM ofrece varias funciones relacionadas con las Herramientas de redes (como administrador de red, visualizador de red, administrador de seguridad y administrador de instancias de Compute) a fin de distribuir el control de los recursos con claridad. Para obtener más información sobre IAM y la administración de identidades en Google Cloud, consulta el artículo sobre Administración.

Firewalls

De forma similar a la DMZ de un centro de datos, según la configuración predeterminada, cada red de VPC cuenta con un firewall que bloquea todo el tráfico que ingresa del exterior de una red de VPC hacia las instancias. El acceso se puede otorgar a través de reglas de firewall. Sin embargo, a diferencia de las DMZ tradicionales, los firewalls de Google Cloud se distribuyen de forma global para evitar problemas relacionados con el escalamiento del tráfico.

Según la configuración predeterminada, las reglas de firewall se aplican a toda la red de VPC. Sin embargo, puedes aplicar una regla de firewall a un conjunto de instancias si agregas una etiqueta específica para estas, y luego aplicas la regla en las instancias etiquetadas. Las reglas de firewall también sirven para controlar el tráfico interno entre las instancias si en la regla se define un conjunto de máquinas de origen autorizadas.

Rutas

Las rutas, o reglas para desviar el tráfico, son recursos globales vinculados a una sola red de VPC. Durante su creación, las rutas se pueden aplicar a una o más instancias de la red de VPC si se incluyen etiquetas de instancia de destino. Luego, se agregarán a las instancias que también usen esas etiquetas.

Según la configuración predeterminada, cuando inicializas Compute Engine o creas una red de VPC nueva, algunas rutas se crean de forma automática. Si es necesario, también puedes agregar rutas creadas por el usuario a una red de VPC. Por ejemplo, puedes agregar una ruta que desvíe el tráfico desde una instancia hasta otra dentro de la misma red de VPC, incluso entre subredes, sin la necesidad de direcciones IP externas.

En la configuración predeterminada, GCP crea rutas entre las subredes cuando estas se establecen dentro de una red de VPC. Sin embargo, a menos que uses la red de VPC default, debes crear reglas de firewall para permitir el tráfico entre las instancias de tu red de VPC.

Las rutas también te permiten implementar funciones de Herramientas de redes más avanzadas para las instancias de VM, como configurar NAT de varios a uno y proxies transparentes. Las rutas predeterminadas se diseñan de modo que la red de VPC sepa cómo enviar tráfico a Internet y a todas las instancias que creas.

Escalamiento

En los entornos de centros de datos tradicionales, los balanceadores de cargas pueden generar complejidad operativa y suelen carecer de escalabilidad global. Para admitir la escalabilidad y la disponibilidad de los servicios, puedes usar Cloud Load Balancing, que distribuye tus recursos de procesamiento detrás de una única IP global Anycast. Cloud Load Balancing admite el balanceo de cargas HTTP(S), TCP/SSL y UDP, así como la derivación de SSL, la afinidad de sesión, las verificaciones de estado y el registro.

Balanceo de cargas de la capa 7

El balanceo de cargas de HTTP(S) (capa 7), equilibra el tráfico entre regiones de forma automática, ya que redirecciona el tráfico a las instancias más cercanas y lo aleja de las instancias en mal estado. También puedes agregar el balanceo de cargas basado en el contenido a fin de distribuir el tráfico hacia instancias optimizadas para contenido específico, como videos. También puedes combinar Cloud CDN, el servicio de red de distribución de contenidos de Google Cloud, con balanceo de cargas de HTTP(S), a fin de disminuir la latencia y mejorar el rendimiento para los usuarios.

Balanceo de cargas interregional
Figura 3: Balanceo de cargas entre regiones

Balanceo de cargas de la capa 4

También está disponible el balanceo de cargas de red (capa 4) para las situaciones en que los servicios de TCP/UDP requieran instancias adicionales debido al aumento del tráfico. Esta función se puede implementar en protocolos adicionales, como el tráfico SMTP y la afinidad de sesión, y permite inspeccionar paquetes. El proxy SSL proporciona terminación SSL para el tráfico no HTTPS con balanceo de cargas, mientras que la derivación de SSL permite administrar de forma centralizada los certificados y la desencriptación SSL, liberando a las instancias de las cargas que requieren un uso intensivo del procesador.

Balanceo de cargas de red
Figura 4: Balanceo de cargas de red

Ajuste de escala automático

El balanceo de cargas cuenta con el respaldo del ajuste de escala automático de Compute Engine, que agrega y quita instancias de un grupo de instancias según la política de ajuste de escala automático. Puedes elegir una de las políticas de ajuste de escala automático predefinidas del escalador automático o definir una política personalizada basada en las métricas de Cloud Monitoring.

Cloud DNS

Puedes usar Cloud DNS si deseas que las aplicaciones y los servicios estén disponibles para los usuarios de forma global con una disponibilidad alta y una latencia baja. Cloud DNS escala a una gran cantidad de zonas y registros DNS, para que puedas crear y actualizar millones de registros DNS con confianza.

Conectividad

Si diseñas una arquitectura híbrida en la que tendrás algunos recursos en Google Cloud y otros en otros lugares, Google Cloud ofrece una variedad de opciones para integrarla al entorno externo.

Cloud VPN

El servicio administrado de Cloud VPN permite que los datos de la nube privada se transmitan a los servicios alojados en Google Cloud mediante túneles IPSec seguros. Cada puerta de enlace de Cloud VPN puede admitir hasta 1.5 Gbps en sus túneles. Para obtener información sobre cómo configurar Cloud VPN, consulta las guías de interoperabilidad de Cloud VPN.

Google Cloud Router

A medida que expandes las subredes en la nube, creas aplicaciones en la nube adicionales o realizas cambios en las subredes privadas en la nube, puedes usar Cloud Router para descubrir y anunciar de manera automática los cambios en la red. Cloud Router admite varios túneles VPN mediante el enrutamiento ECMP o una configuración principal o de respaldo. Los eventos de Cloud Router, BGP y de ruta aparecen en Cloud Logging, y Cloud Router publica métricas para Cloud Monitoring.

Arquitectura de red híbrida
Figura 5: Arquitectura de red híbrida

Cloud Interconnect

Cloud Platform ofrece Cloud Interconnect para los clientes que necesitan una conexión de categoría empresarial con una disponibilidad mayor y una latencia menor de las que ofrecen sus conexiones actuales. El tráfico de red irá directamente a Google Cloud, por lo que se evitan recorridos innecesarios por redes de terceros. Cloud Interconnect proporciona los siguientes servicios:

  • Servicios de intercambio de tráfico por proveedores que se entregan a través de un grupo de socios proveedores.
  • Servicios de intercambio de tráfico directo. El intercambio de tráfico con Google se puede realizar en cualquiera de las más de 70 ubicaciones que permiten intercambiar tráfico de nube con una alta capacidad de procesamiento, siempre y cuando te puedas conectar con Google en su ubicación de intercambio de tráfico y cumplas con los requisitos.
  • CDN Interconnect permite que algunos proveedores establezcan vínculos de interconexión directos con la red perimetral de Google. Esta conexión optimiza el tráfico, ya que permite almacenar en caché archivos de gran tamaño cerca de los usuarios y disminuir la latencia de acceso al contenido que se actualiza con frecuencia.

Rendimiento

El tráfico de salida de una instancia de VM determinada está sujeto a los límites máximos de capacidad de procesamiento de salida de red. Estas limitaciones dependen de la cantidad de CPU virtuales que tenga la instancia de VM. Cada CPU virtual está sujeta a un límite de 2 Gbps para un rendimiento máximo. Cada CPU virtual adicional aumenta el límite de red hasta un máximo teórico de 32 Gbps para cada instancia. El rendimiento real que experimentes variará según la carga de trabajo. El propósito de los límites es alcanzar el máximo rendimiento posible, no uno continuo.

Usa PerfKit Benchmarker, una herramienta de código abierto para crear comparativas, a fin de medir el rendimiento de Google Cloud y otras ofertas de la nube en comparación con el rendimiento del entorno del centro de datos nativo. Para crear comparativas de Google Cloud, puedes ejecutar el conjunto llamado google_set, que incluye las comparativas iperf, netperf y ping. Consulta Mide la capacidad de procesamiento de la red a fin de ver un ejemplo simple en el que PerfKit Benchmaker se usa para realizar este tipo de medición.

Costos

Consulta las siguientes páginas para ver los precios detallados de productos específicos:

Además, puedes usar la calculadora de precios de Google Cloud para determinar los costos de una situación específica.

Próximos pasos

Siguiente: Procesamiento en Google Cloud

Consulta las prácticas recomendadas

Revisa los artículos Herramientas de redes y seguridad y Prácticas recomendadas ante DSD para ver sugerencias sobre cómo asegurar tu red de VPC y tus recursos virtuales.

Prueba los instructivos prácticos

¿Estás listo para comenzar a trabajar? Revisa los codelabs Networking 101 y Networking 102, en los que se te guiará a través de tareas de Herramientas de redes básicas e intermedias mediante los servicios de Herramientas de redes de VPC de Google Cloud.

Lee acerca de la pila de Herramientas de redes de Google

Durante más de una década, Google ha realizado grandes inversiones en la innovación de las redes definidas por software en la nube, a fin de optimizar el rendimiento y los beneficios del costo. Los siguientes informes y artículos de investigación ofrecen información importante sobre diversos aspectos de la pila de herramientas de redes de Google: