Preguntas frecuentes de Cloud Interconnect

En este documento, se abarcan las preguntas frecuentes sobre las características y la arquitectura de Cloud Interconnect agrupadas en las siguientes secciones:

Tráfico en Cloud Interconnect

En esta sección, se cubren las preguntas sobre los tipos de tráfico, el ancho de banda y la encriptación en Cloud Interconnect.

¿Qué tipos de paquetes se transmiten en Cloud Interconnect?

El circuito de Cloud Interconnect transmite marcos Ethernet 802.1q con paquetes IPv4 en la carga útil. Estos marcos también se conocen como marcos Ethernet con etiquetas VLAN.

El campo del valor del ID del VLAN de 12 bits del encabezado 802.1q es el mismo que el valor del ID de VLAN asignado por Google Cloud Platform cuando se crea un adjunto de interconexión (VLAN). Para obtener más información, consulta los siguientes documentos:

¿Cómo puedo encriptar mi tráfico en Cloud Interconnect?

Según el servicio al que se accede con Cloud Interconnect, tu tráfico puede estar ya encriptado sin necesidad de hacer nada en particular. Por ejemplo, si accedes a una de las API de Google Cloud Platform accesible desde Cloud Interconnect, el tráfico ya se encuentra encriptado con TLS del mismo modo que si se accede a las API desde la Internet pública.

También puedes usar la solución TLS para servicios que crees. Por ejemplo, un servicio que ofreces en una instancia de Compute Engine o en un pod de Google Kubernetes Engine que es compatible con el protocolo HTTPS.

Si necesitas encriptar en la capa de la IP, puedes crear una o más puertas de enlace VPN autoadministradas (no en GCP) en tu red de nube privada virtual y asignar una dirección IP privada a cada puerta de enlace. Por ejemplo, ejecutar una VPN StrongSwan en una instancia de Compute Engine. Puedes finalizar los túneles IPsec a esas puertas de enlace de VPN con Cloud Interconnect desde la actividad local.

Para obtener más detalles, consulta la Documentación de encriptación en tránsito.

¿Puedo crear una canalización de 100 G en una interconexión dedicada?

Desde diciembre de 2018, el tamaño máximo de una sola Cloud Interconnect es 80 G, que se implementa como un vínculo del canal del puerto 8x10GE (grupo de LAG). Puedes pedir más de una Cloud Interconnect y usarla de forma activa si aprovechas las funciones de enrutamiento de BGP de Cloud Router. Para obtener la información más reciente, verifica con tu representante de ventas de Google la disponibilidad de un puerto 100GE.

Desde diciembre de 2018, la capacidad de procesamiento máxima de un adjunto de interconexión (VLAN) es 10 Gbps. Para obtener información actualizada, consulta la página de cuotas de Cloud Interconnect.

¿Puedo alcanzar mis instancias con IPv6 en Cloud Interconnect?

VPC no ofrece una función nativa para finalizar el tráfico IPv6 a las instancias.

¿Puedo especificar la dirección IP de intercambio de tráfico de BGP?

  • Para la interconexión de socio, no. Google elige las direcciones IP de intercambio de tráfico.
  • Para la interconexión dedicada, puedes especificar un rango de direcciones IP (bloque CIDR) que Google selecciona cuando creas un adjunto de interconexión (VLAN). Este bloque CIDR debe estar en el rango de direcciones IP de vínculo local 169.254.0.0/0.

¿Puedo conservar los valores DSCP de IP en la interconexión dedicada?

La interconexión dedicada mantiene los valores DSCP de la IP originales de extremo a extremo.

Si estableces el valor DSCP de la IP en el tráfico que envías a tu red de VPC en la interconexión dedicada, este valor se mantiene y llega sin cambios a tu instancia.

Si estableces el valor DSCP de la IP en el tráfico saliente generado de una instancia que atraviesa la interconexión dedicada, el valor se mantiene en el extremo de destino.

Si usas la interconexión de socio, verifica con tu socio si los valores DSCP de la IP se mantienen en tu conexión de socio.

¿Puedo alcanzar las API de Google a través de Cloud Interconnect desde la actividad local? ¿Qué servicios o API están disponibles?

Hay dos maneras de alcanzar las API de Google.

En la Opción 1, habilitas el acceso privado a Google para una o más subredes en la red de VPC y, luego, implementas una o más instancias de proxy inverso en esas subredes. Estos proxies inversos tienen solo la IP privada de VPC configurada, por lo tanto, son alcanzables a través del vínculo de Cloud Interconnect desde la actividad local. Con esta solución, se otorgan la mayoría de los accesos a las API de Cloud, las API de desarrollador y los servicios de GCP.

Consulta Configura el acceso privado a Google para obtener más detalles, incluida una lista de servicios de GCP compatibles con el acceso privado a Google.

Con la Opción 2, puedes aprovechar el acceso privado a Google para hosts locales. En este caso, las solicitudes de hosts locales deben enviarse a restricted.googleapis.com, que resuelve de manera persistente al rango de IP 199.36.153.4/30, también conocido como el rango VIP restringido.

Agrega una ruta personalizada a Cloud Router para anunciar el rango VIP restringido. Esto garantiza que el tráfico a la VIP restringida (como un destino) se enruta desde la actividad local a los extremos de la API en Cloud Interconnect. Con esta solución, solo se alcanzan las API de Google y los servicios compatibles con la VIP restringida.

A fin de obtener la información más reciente sobre los detalles de configuración y los servicios compatibles, consulta Configura el acceso privado a Google para hosts locales.

¿Puedo usar Cloud Interconnect como un canal privado para acceder a todos los servicios de G Suite a través de un navegador?

Desde diciembre de 2018, no es posible alcanzar aplicaciones de G Suite con Cloud Interconnect.

¿Por qué mis sesiones de BGP varían continuamente luego de un determinado intervalo?

Busca una máscara de subred incorrecta en tu rango de IP de BGP local. Por ejemplo, en lugar de configurar 169.254.10.0/29, quizás configuraste 169.254.10.0/30.

Arquitectura de Cloud Interconnect

En esta sección, se tratan preguntas frecuentes que pueden surgir durante el diseño o el uso de una arquitectura de Cloud Interconnect.

¿Puedo usar Cloud Interconnect para conectar a la Internet pública?

Desde diciembre de 2018, las rutas de Internet no se anuncian en Cloud Interconnect.

¿Cómo puedo conectarme a GCP si me encuentro en una ubicación POP no incluida en la lista en la página de instalaciones de colocación de Cloud Interconnect?

Tienes dos opciones, luego de las cuales puedes proseguir con el proceso normal de orden y aprovisionamiento para la interconexión dedicada:

  • Puedes ordenar líneas arrendadas de un proveedor para conectarte desde tu ubicación de punto de presencia (POP) a una instalación de colocación de Cloud Interconnect de Google. Por lo general, es mejor que te comuniques con tu proveedor de instalación de colocación existente y obtengas una lista de proveedores en la red. Un proveedor en la red es un proveedor que ya tiene la infraestructura en la compilación en la que te encuentras, lo que hace que esta opción sea más barata y rápida que usar un proveedor diferente que debe compilar infraestructura para adaptarse a tus necesidades en tu ubicación POP existente.
  • Otra opción es que uses la interconexión de socio con un proveedor socio que pueda proporcionarte un circuito de último tramo para adaptarse a tus necesidades. Por lo general, los proveedores de colocación no pueden proporcionar este tipo de servicios, ya que tienen ubicaciones fijas en las que ya debes encontrarte.

¿Cómo creo arquitectura redundante que aprovecha Cloud Interconnect?

Según el ANS deseado, hay arquitecturas específicas que deben implementarse para la interconexión dedicada y la interconexión de socio.

Las topologías de las arquitecturas listas para la producción con un ANS de 99.99% y de aplicaciones no críticas con un ANS de 99.9% se encuentran disponibles en https://cloud.google.com/interconnect/docs/tutorials.

Estos niveles de ANS hacen referencia a la disponibilidad de Cloud Interconnect, que es la disponibilidad de la conexión enrutada entre la ubicación local y la red de VPC. Por ejemplo, si creas un servicio en instancias de Compute Engine que es alcanzable a través de Cloud Interconnect, la disponibilidad del servicio depende de la disponibilidad combinada del servicio de Cloud Interconnect y del servicio de Compute Engine.

¿Puedo desviar el tráfico de Cloud Interconnect entre mi aplicación heredada local y mis backends del balanceador de cargas interno?

En este caso, implementaste una aplicación de dos niveles: un nivel local que todavía no se migró a GCP (nivel heredado) y un nivel en la nube que se ejecuta en instancias de VPC, que también son backends de un balanceador de cargas interno (ILB) de GCP.

Puedes usar Cloud Interconnect para desviar el tráfico entre estos dos niveles de aplicación, siempre y cuando implementes las rutas necesarias entre Cloud Router y tu router local. El Cloud Router que usas para la Cloud Interconnect que administra el tráfico de esta aplicación debe residir en la misma región que la subred que contiene los backends de ILB. Esto se debe a que un ILB solo admite el enrutamiento regional y el acceso ILB se pierde cuando el enrutamiento global para la VPC usa un túnel fuera de la región en la que se encuentran los backends de ILB. Consulta Implementa el balanceo de cargas interno con clientes en la VPN o la interconexión para obtener más información.

Si el tráfico local entra a la red de VPC desde una región diferente, puedes implementar un ILB con los backends respectivos en la otra región, o enrutan el tráfico a un proxy inverso desde el que se puede alcanzar el VIP de ILB.

¿Puedo mover una o más instancias de Cloud Interconnect entre organizaciones o proyectos de GCP?

Si quieres mover un proyecto a una organización de GCP nueva, puedes abrir un caso de ayuda y la asistencia de Cloud puede ayudarte a hacerlo.

Las interconexiones dedicadas y los adjuntos de interconexión (VLAN) no se ven afectados por los cambios de organización, siempre y cuando el proyecto se mantenga igual.

Para cambios en el proyecto, si quieres realizar una activación de Cloud Interconnect y ya tienes una LOA, pero no completaste la activación, cancela la activación actual y crea una nueva en el proyecto correcto. Google crea una LOA nueva, que puedes darle a tu proveedor de interconexión.

Sin embargo, una Cloud Interconnect activa no puede moverse entre proyectos, ya que es un objeto secundario del proyecto y no tiene la habilidad de migrar de manera automática los objetos entre proyectos. Si es posible, deberías iniciar una solicitud para una Cloud Interconnect nueva.

¿Cómo puedo usar la misma Cloud Interconnect para conectarme a múltiples redes de VPC en múltiples proyectos dentro de la misma organización de GCP?

Se admite la especificación de una Cloud Interconnect que existe en un proyecto distinto al proyecto en el que se crea el adjunto de interconexión (VLAN).

Si tienes muchos proyectos, puedes dar un adjunto de interconexión (VLAN) y un Cloud Router a cada proyecto mientras configuras todos los adjuntos para que usen la misma Cloud Interconnect física en un proyecto especificado.

El adjunto de interconexión (VLAN), además de ser un VLAN con un ID 802.1q, es el objeto secundario de una Cloud Interconnect existente en un proyecto.

En este modelo, cada red de VPC tiene su propia configuración de enrutamiento. Si quieres centralizar las políticas de enrutamiento, puedes revisar el modelo de VPC compartida y las consideraciones de VPC compartida y finalizar el adjunto de interconexión (VLAN) en la red de VPC del proyecto host de la VPC compartida. Tu proyecto host tiene una cuota para la cantidad máxima de adjuntos de interconexión (VLAN) por Cloud Interconnect. Para obtener más detalles, consulta la página de cuotas de Cloud Interconnect.

¿Cómo puedo usar una sola Cloud Interconnect para conectar múltiples sitios locales a mi red de VPC?

Es muy fácil de hacer. Por ejemplo, si múltiples sitios son parte de una red de VPN de MPLS, autoadministrada o administrada por un proveedor, puedes “agregar de forma lógica” la red de VPC como un sitio adicional con un enfoque similar a la opción A de VPN de MPLS de Inter-AS, consulta RFC 4364, párrafo 10.

Esta solución se describe en la respuesta para que una red de VPC se muestre en el servicio de VPN de MPLS de un socio. Si aprovechas las funciones de BGP de Cloud Router, es posible incorporar rutas de VPC dentro de la estructura de conexión de una IP existente con técnicas y arquitecturas similares a las usadas para importar rutas de Internet.

¿Puedo “conectar” físicamente Cloud Interconnect y una interconexión de otro proveedor de servicios en la nube?

Si usas otro proveedor de servicios en la nube que ofrece un servicio de funcionamiento equivalente a Cloud Interconnect, no existe una configuración acordada entre los proveedores de servicios en la nube para “conectar” las dos interconexiones, una provista por GCP y la otra por el otro proveedor de servicios en la nube. Sin embargo, puedes enrutar entre el espacio de dirección privada de la red de VPC y la red de otro proveedor de servicios en la nube.

Si el punto de transferencia del servicio del otro proveedor de servicios en la nube se encuentra en la misma ubicación de Cloud Interconnect, puedes aprovisionar tu propio router en la ubicación para finalizar los dos servicios de interconexión. Entonces, el router enrutará entre la red de VPC y la red del otro proveedor de servicios en la nube. Esta configuración te permite enrutar directamente desde las dos redes de nube hasta tu red local con un retraso mínimo.

Algunos proveedores de interconexión de socio pueden ofrecer esto como un servicio administrado, basado en un router virtual. Si GCP y otros proveedores de servicios en la nube finalizan los servicios de interconexión en diferentes ubicaciones, entonces debes proveer un circuito que conecte las dos ubicaciones.

¿Cómo puedo conectar AWS y GCP sin colocar equipo en una instalación de colocación próxima a la red perimetral de Google?

Megaport ofrece su propia solución de Cloud Router para clientes de GCP que no quieren colocar su hardware cerca de la red perimetral de Google. Consulta las instrucciones de configuración que tratan sobre la configuración de este producto con GCP.

Adjuntos de interconexión (VLAN)

En esta sección, se tratan preguntas sobre los adjuntos de interconexión (VLAN).

¿Cómo puedo elegir el ID de VLAN que se usa para un adjunto de interconexión (VLAN)?

Para un adjunto de interconexión creado con la interconexión de socio, el socio elige el ID de VLAN durante el proceso de creación o te permite elegirlo. Verifica con tu socio si te permite elegir el ID de VLAN para los adjuntos de interconexión.

Para un adjunto de interconexión creado con una interconexión dedicada, puedes usar el comando gcloud compute interconnects attachments create con la marca --vlan o puedes seguir las instrucciones de Google Cloud Platform Console.

El siguiente ejemplo muestra cómo usar el comando de gcloud para cambiar el ID de VLAN a 5:

gcloud compute interconnects attachments dedicated create my-attachment \
  --router my-router \
  --interconnect my-interconnect \
  --vlan 5 \
  --region us-central1

Para obtener las instrucciones completas, consulta uno de los documentos a continuación:

¿Puedo usar el Cloud Router con más de un adjunto de interconexión?

Sí, esta es una configuración compatible.

MPLS

En esta sección, se tratan preguntas sobre Cloud Interconnect y MPLS.

¿Puedo usar Cloud Interconnect para finalizar un LSP de MPLS en mi red de VPC?

Desde diciembre de 2018, VPC no ofrece la función nativa en GCP de finalizar el LSP de MPLS.

Para un servicio de VPN de MPLS autoadministrado, ¿puedo hacer que mi red de VPC se muestre como un sitio adicional?

Si tienes un servicio de VPN de MPLS que administras, puedes hacer que tu propia red de VPC se muestre como un sitio adicional consistente de solo una VPN autoadministrada.

Esta situación supone que no compras un servicio de VPN de MPLS a un proveedor. En cambio, tienes un entorno de VPN de MPLS en el que administras y configuras los routers de P y PE de la red de MPLS.

Esto es lo que debes hacer para que tu red de VPC se muestre como un sitio adicional en tu servicio de VPN de MPLS autoadministrado.

  1. Conecta uno de tus dispositivos perimetrales de PE de VPN de MPLS a tu dispositivo perimetral de intercambio de tráfico para una Cloud Interconnect dedicada con un modelo similar a la opción A de VPN de MPLS de Inter-AS, consulta RFC 4364, párrafo 10. En otras palabras, puedes finalizar la VPN de VPN-MPLS obligatoria, por ejemplo, VRF_A, en tu dispositivo perimetral de PE y, luego, usar la asignación VLAN a VRF para “unir” el adjunto de interconexión (VLAN) de GCP a esta VPN, lo que esencialmente asigna este VLAN a VRF_A en el dispositivo perimetral de PE.

  2. Crea una sesión BGP IPv4 estándar entre el router de PE y Cloud Router para garantizar que las rutas se intercambian entre ellos. Las rutas enviadas por Cloud Router aparecerán solo en la tabla de enrutamiento de VPN (dentro de VRF_A) y no en la tabla de enrutamiento global del dispositivo perimetral de PE.

    Puedes administrar la superposición de rangos de IP si creas múltiples VPN separadas. Por ejemplo, VRF_A y VRF_B, cada una con una sesión BGP a Cloud Router en una red de VPC específica (por ejemplo, VPC_A y VPC_B). Este procedimiento no requiere un encapsulamiento de MPLS entre tu dispositivo perimetral de PE y el dispositivo perimetral de intercambio de tráfico para la interconexión dedicada.

¿Puedo hacer que mi red de VPC se muestre como un sitio adicional en mi VPN de MPLS de un proveedor que también es un socio de interconexión de socio?

Si compras un servicio de VPN de MPLS de un proveedor que también es un socio oficial de una interconexión de socio, puedes hacer que tu red de VPC se muestre como un sitio adicional en tu VPN de MPLS.

En este caso, el proveedor administra y configura los routers de P y PE de su red de MPLS. Como la interconexión de socio usa exactamente el mismo modelo de conectividad que la interconexión dedicada, el proveedor puede aprovechar un modelo muy similar a la opción A de VPN de MPLS de Inter-AS, consulta RFC 4364, párrafo 10.

Esencialmente, el proveedor te proporciona un servicio de interconexión de socio de capa 3 y “vincula” tu adjunto de interconexión (VLAN) con el VPN de MPLS correcto en el dispositivo perimetral del proveedor. Consulta la descripción general de la interconexión de socio para obtener más detalles. Debido a que este es un modelo de servicio de capa 3, la sesión BGP se establece entre tu Cloud Router y tu VRF dentro del dispositivo perimetral del proveedor.

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…