Google Cloud Platform para profesionales de centros de datos: herramientas de redes

En este artículo, se analizan los servicios de redes de Google Cloud Platform y cómo estos se comparan con las tecnologías de los centros de datos tradicionales. Además, se exploran las diferencias entre ambos modelos de servicio y se describen en detalle las herramientas de redes de VPC de Cloud Platform.

Comparación de los modelos de servicio

En un centro de datos tradicional, administras una configuración de red compleja, incluidos los bastidores de servidores, los dispositivos de almacenamiento, las capas múltiples de interruptores, los balanceadores de cargas, los routers, los dispositivos de firewall, etcétera. Además de estos componentes de hardware, debes configurar, mantener y supervisar el software subyacente de la red, así como las configuraciones de dispositivo detalladas para tu entorno. Y la sobrecarga administrativa no termina aquí, también debes preocuparte de la seguridad y disponibilidad de la red, y debes planificar las actualizaciones y las expansiones de la red, un proceso que puede tardar mucho tiempo.

Por el contrario, la infraestructura de red de VPC de Cloud Platform se centra en el modelo de redes definidas por software (SDN). Con este modelo, se evita una buena parte de la sobrecarga administrativa y de mantenimiento mencionada anteriormente para que puedas personalizar y escalar los servicios más rápidamente a fin de satisfacer las necesidades de tu base de clientes en crecimiento.

Comparación entre las arquitecturas de herramientas de redes de los centros de datos y de VPC de Cloud Platform
Figura 1: Comparación entre las arquitecturas de herramientas de redes de los centros de datos y de VPC de Cloud Platform

Los servicios de herramientas de redes de VPC de Cloud Platform se diseñaron para brindar lo siguiente:

Si bien Cloud Platform elimina la necesidad de administrar componentes de redes de centros de datos físicos, muchos de los conceptos de herramientas de redes familiares, como subredes, rutas, reglas de firewall, DNS, balanceo de cargas, VPN, NAT y DHCP, siguen siendo aplicables con Cloud Platform. Cuando se trabaja con herramientas de red de VPC, el conocimiento previo de estas áreas ayuda a nivelar la curva de aprendizaje, además de aplicar las recomendaciones en el entorno de la nube.

Red de VPC

La red de VPC abarca las tecnologías de herramientas de redes fundamentales de Cloud Platform, incluidas las redes, las subredes, las direcciones IP, las rutas, los firewalls, Cloud VPN y Cloud Router. Se trata de una base que permite crear contenedores e instancias de procesamiento que comparten una sola red de VPC global y que pueden agregarse a las subredes regionales. Con Cloud Platform, cuentas con la flexibilidad de ofrecer servicios de baja latencia en regiones y zonas cercanas a los usuarios finales, además de extender los servicios entre varios dominios con fallas para mejorar la disponibilidad.

Redes de VPC

En Cloud Platform, una red de VPC es un espacio de IP RFC 1918 privado y global. Debido a que, según la configuración predeterminada, las redes de VPC de Cloud Platform son globales, no es necesario conectar y administrar varias redes privadas por separado para lograr una disponibilidad global. Si usas una red de VPC global, las instancias de máquinas virtuales (VM) de Google Compute Engine pueden detectarse dentro de la red de VPC mediante la dirección IP y el nombre, ya que el DNS interno de Compute Engine realiza un seguimiento automático de los nombres de las instancias de VM como nombres de host.

Subredes

Si necesitas agrupar las instancias por región o por zona y controlar la segmentación de los espacios entre las direcciones IP, puedes usar las subredes dentro de la red de VPC. Usa un rango de IP RFC 1918 privado para administrar tus propias subredes, o bien una red de VPC con modo automático a fin de crear subredes en cada región de Cloud Platform automáticamente. No es necesario que los rangos de IP entre las subredes sean contiguos o expandibles de forma dinámica.

A fin de controlar el aislamiento entre las subredes, puedes agregar etiquetas de instancia a las instancias de VM individuales o a las plantillas de instancias y, luego, configurar las rutas y reglas de firewall para aprovechar las etiquetas.

Redes de VPC, subredes, regiones y zonas
Figura 2: Redes de VPC, subredes, regiones y zonas

Direcciones IP

Las instancias admiten dos direcciones IP como máximo: una interna y efímera, que se usa para la comunicación dentro de la red de VPC, y una externa y opcional, que se usa en la comunicación fuera de la red de VPC. Según la configuración predeterminada, las direcciones IP externas son efímeras, pero también pueden ser estáticas. Consulta Direcciones IP para obtener más información sobre su funcionamiento en Cloud Platform.

Control

Los mecanismos de control sólidos de Cloud Platform ayudan a que los administradores de seguridad y redes de toda la organización protejan los recursos, administren las redes de VPC y autoricen el acceso a los extremos externos. En Cloud Platform, puedes usar las funciones, los firewalls y las rutas de Cloud Identity and Access Management (Cloud IAM) para implementar políticas y patrones que controlen y protejan las redes de VPC.

Cloud IAM específico de la red

Cloud IAM ofrece varias funciones relacionadas con las herramientas de redes (como administrador de red, visualizador de red, administrador de seguridad y administrador de instancias de procesamiento) a fin de distribuir con claridad el control de los recursos. Consulta el artículo sobre administración para obtener más información sobre Cloud IAM y la administración de identidades en Cloud Platform.

Firewalls

De forma similar a la DMZ de un centro de datos, según la configuración predeterminada, cada red de VPC cuenta con un firewall que bloquea todo el tráfico que ingresa del exterior de una red de VPC hacia las instancias. El acceso se puede otorgar a través de reglas de firewall. Sin embargo, los firewall de Cloud Platform se distribuyen globalmente a fin de evitar los problemas relacionados con el escalamiento del tráfico, a diferencia de las DMZ tradicionales.

Según la configuración predeterminada, las reglas de firewall se aplican a toda la red de VPC. Sin embargo, puedes aplicar una regla de firewall a un conjunto de instancias si agregas una etiqueta específica para estas, y luego aplicas la regla en las instancias etiquetadas. Las reglas de firewall también sirven para controlar el tráfico interno entre las instancias si en la regla se define un conjunto de máquinas de origen autorizadas.

Rutas

Las rutas, o reglas para desviar el tráfico, son recursos globales vinculados a una sola red de VPC. Durante su creación, las rutas se pueden aplicar a una o más instancias de la red de VPC si se incluyen etiquetas de instancia de destino. Luego, se agregarán a las instancias que también usen esas etiquetas.

Según la configuración predeterminada, cuando inicializas Compute Engine o creas una red de VPC nueva, algunas rutas se crean automáticamente. Si es necesario, también puedes agregar rutas creadas por el usuario a una red de VPC. Por ejemplo, puedes agregar una ruta que reenvíe el tráfico desde una instancia hasta otra dentro de la misma red de VPC, incluso entre subredes, sin la necesidad de direcciones IP externas.

En la configuración predeterminada, GCP crea rutas entre las subredes cuando estas se establecen dentro de una red de VPC. Sin embargo, a menos que utilices la red de VPC default, debes crear reglas de firewall para permitir el tráfico entre las instancias de tu red de VPC.

Las rutas también te permiten implementar funciones de herramientas de redes más avanzadas para las instancias de VM, como configurar many-to-one NAT y proxies transparentes. Las rutas predeterminadas se diseñan de modo que la red de VPC sepa cómo enviar tráfico a Internet y a todas las instancias que creas.

Escalamiento

En los entornos de centros de datos tradicionales, los balanceadores de cargas pueden complicar la operación y suelen carecer de escalabilidad global. Para admitir la escalabilidad y la disponibilidad de los servicios, puedes usar Cloud Load Balancing, que distribuye tus recursos de procesamiento detrás de una única IP global Anycast. Cloud Load Balancing admite el balanceo de cargas HTTP(S), TCP/SSL y UDP, así como la derivación de SSL, la afinidad de sesión, las verificaciones de estado y el registro.

Balanceo de cargas de la capa 7

El balanceo de cargas HTTP(S) (capa 7), equilibra automáticamente el tráfico entre regiones, ya que redirecciona el tráfico a las instancias más cercanas y lo aleja de las instancias en mal estado. También puedes agregar el balanceo de cargas basado en el contenido a fin de distribuir el tráfico hacia instancias optimizadas para contenido específico, como videos. También puedes combinar Cloud CDN, el servicio de red de distribución de contenidos de Cloud Platform, con el balanceo de cargas HTTP(S), a fin de disminuir la latencia y mejorar el rendimiento para los usuarios.

Balanceo de cargas entre regiones
Figura 3: Balanceo de cargas entre regiones

Balanceo de cargas de la capa 4

También está disponible el balanceo de cargas de red (capa 4) para las situaciones en que los servicios de TCP/UDP requieran instancias adicionales debido al aumento del tráfico. Esta función se puede implementar en protocolos adicionales, como el tráfico SMTP y la afinidad de sesión, y permite inspeccionar paquetes. El proxy SSL proporciona terminación SSL para el tráfico no HTTPS con balanceo de cargas, mientras que la derivación de SSL permite administrar de forma centralizada los certificados y la desencriptación SSL, liberando a las instancias de las cargas que requieren un uso intensivo del procesador.

Balanceo de cargas de red
Figura 4: Balanceo de cargas de red

Ajuste de escala automático

El balanceo de cargas cuenta con el respaldo del ajuste de escala automático de Compute Engine, que agrega y quita instancias de un grupo de instancias según la política de ajuste de escala automático. Puedes usar las métricas de Stackdriver Monitoring para definir una política personalizada, o bien elegir una de las políticas de ajuste de escala automático predefinidas del escalador automático.

Google Cloud DNS

Google Cloud DNS permite que las aplicaciones y los servicios estén disponibles a nivel global con una latencia baja y una alta disponibilidad para los usuarios. Cloud DNS escala a una gran cantidad de zonas y Registros de DNS, para que puedas crear y actualizar con confianza millones de Registros DNS.

Conectividad

Cloud Platform cuenta con una variedad de opciones de integración con el entorno externo para que puedas diseñar una arquitectura híbrida en la que algunos recursos estarán en Cloud Platform y los demás en otros lugares.

Cloud VPN

El servicio administrado de Cloud VPN permite que los datos de la nube privada se transmitan a los servicios alojados en Cloud Platform mediante túneles IPSec seguros. Cada puerta de enlace de Cloud VPN puede admitir hasta 1.5 Gbps en sus túneles. Para obtener información sobre cómo configurar Cloud VPN, consulta las guías de interoperabilidad de Cloud VPN.

Google Cloud Router

A medida que expandes las subredes en la nube, creas aplicaciones en la nube adicionales o realizas cambios en las subredes privadas en la nube, puedes usar Cloud Router para descubrir y anunciar de manera automática los cambios en la red. Cloud Router admite varios túneles VPN mediante el enrutamiento de ECMP o una configuración principal o de respaldo. Los eventos de Cloud Router, de BGP y de rutas aparecen en Stackdriver Logging, y Cloud Router publica las métricas en Stackdriver Monitoring.

Arquitectura de red híbrida
Figura 5: Arquitectura de red híbrida

Cloud Interconnect

Cloud Platform ofrece Cloud Interconnect para los clientes que necesitan una conexión de categoría empresarial con una disponibilidad mayor y una latencia menor de las que ofrecen sus conexiones actuales. El tráfico de red irá directamente a Cloud Platform, lo que evita recorridos innecesarios por redes de terceros. Cloud Interconnect proporciona los siguientes servicios:

  • Servicios de intercambio de tráfico por proveedores, que se entregan a través de un grupo de socios proveedores.
  • Servicios de intercambio de tráfico directo. El intercambio con Google se puede realizar en cualquiera de las más de 70 ubicaciones que permiten intercambiar tráfico de nube con una alta capacidad de procesamiento, siempre y cuando te puedas conectar con Google en su ubicación de intercambio de tráfico y cumplas con los requisitos.
  • CDN Interconnect permite que algunos proveedores establezcan vínculos de interconexión directos con la red perimetral de Google. Esta conexión optimiza el tráfico, ya que permite almacenar en caché archivos de gran tamaño cerca de los usuarios y disminuir la latencia de acceso al contenido que se actualiza con frecuencia.

Rendimiento

El tráfico de salida de una instancia de VM determinada está sujeto a los límites máximos de capacidad de procesamiento de salida de red. Estas limitaciones dependen de la cantidad de CPU virtuales que tenga la instancia de VM. Cada CPU virtual está sujeta a un límite de 2 Gbps para un rendimiento máximo. Cada CPU virtual adicional aumenta el límite de red hasta un máximo teórico de 32 Gbps para cada instancia. El rendimiento real que experimentes variará según la carga de trabajo. El propósito de los límites es alcanzar el máximo rendimiento posible, no un rendimiento continuo.

Usa PerfKit Benchmarker, una herramienta de código abierto para crear comparativas, a fin de medir el rendimiento de Cloud Platform y otras ofertas de la nube en comparación con el rendimiento de tu entorno de centro de datos nativo. Para crear comparativas de Cloud Platform, puedes ejecutar el conjunto llamado google_set, que incluye las comparativas iperf, netperf y ping. Consulta Cómo medir la capacidad de procesamiento de la red a fin de ver un ejemplo simple en el que PerfKit Benchmaker se usa para realizar este tipo de medición.

Costos

Consulta las siguientes páginas para ver los precios detallados de productos específicos:

Además, puedes usar la calculadora de precios de Cloud Platform para determinar los costos de una situación específica.

Próximos pasos

Siguiente: Procesamiento en Cloud Platform

Consulta las prácticas recomendadas

Revisa los artículos sobre Herramientas de redes y seguridad y prácticas recomendadas ante DSD para ver sugerencias sobre cómo asegurar tu red de VPC y tus recursos virtuales.

Prueba los instructivos prácticos

¿Estás listo para comenzar a trabajar? Revisa los Codelabs Networking 101 y Networking 102, en los que se te guiará a través de tareas de herramientas de redes básicas y, también, intermedias con los servicios de herramientas de redes de VPC de Cloud Platform.

Lee acerca de la pila de herramientas de redes de Google

Durante más de una década, Google ha realizado grandes inversiones en la innovación de las redes definidas por software en la nube, a fin de optimizar el rendimiento y los beneficios del costo. Los siguientes informes y artículos de investigación ofrecen información importante sobre diversos aspectos de la pila de herramientas de redes de Google: