Redes

En esta página, se proporciona una descripción general de las herramientas de redes de Memorystore para Redis.

Memorystore usa intercambio de tráfico de VPC para conectar la red de VPC con la red interna de servicios de Google. Memorystore para Redis proporciona diferentes arquitecturas de intercambio de tráfico y características de herramientas de redes según el modo de conexión que elijas cuando crees una instancia.

Se ingresó la opción de seleccionar un modo de conexión para admitir opciones de red avanzadas en Google Cloud, como arquitecturas de VPC compartidas y una mejor administración de IP, y garantizar la compatibilidad con la arquitectura de intercambio de tráfico existente de Memorystore.

Memorystore para Redis admite dos modos de conexión, DIRECT_PEERING y PRIVATE_SERVICE_ACCESS.

Independientemente del modo de conexión, Memorystore para Redis siempre usa direcciones IP internas a fin de aprovisionar instancias de Redis.

Modos de conexión

Memorystore para Redis proporciona dos modos de conexión que admiten diferentes funcionalidades:

  • Intercambio de tráfico directo
  • Acceso privado a servicios

Para ver el modo de conexión de red de una instancia existente, ejecuta el siguiente comando y reemplaza variables por los valores apropiados:

gcloud redis instances describe instance-id --region=region
  • El valor connectMode muestra DIRECT_PEERING o PRIVATE_SERVICE_ACCESS.

Para obtener instrucciones para elegir el modo de conexión durante la creación de instancias, consulta Crea una instancia de Redis con una red de VPC compartida en un proyecto de servicio o Crea una instancia de Redis con un rango de direcciones IP centralizado.

Intercambio de tráfico directo

Cuando se usa el modo de intercambio de tráfico directo, Memorystore crea un intercambio de tráfico de VPC entre la red de VPC del cliente y la red de VPC en el proyecto administrado por Google. El intercambio de tráfico se crea automáticamente durante la creación de la instancia y no requiere pasos adicionales del usuario. Otros servicios de Google Cloud no comparten el intercambio de tráfico. Memorystore para Redis usó el modo de conexión de intercambio de tráfico directo antes de la disponibilidad del modo de conexión de acceso privado a servicios.

De forma predeterminada, las instancias nuevas se crean con el modo de conexión de intercambio de tráfico directo. Cualquier secuencia de comandos existente sin el modo de conexión especificado usa el modo de intercambio de tráfico directo de forma predeterminada.

Si creas una instancia con el modo de conexión de intercambio de tráfico directo y quieres usar la marca --reserved-ip-range de gcloud para especificar un rango de direcciones IP, consulta Cómo crear una instancia de Redis con un rango de direcciones IP específico para obtener instrucciones sobre cómo especificar un rango. El tamaño de bloque mínimo requerido es /29 para instancias sin réplicas de lectura. El tamaño de bloque mínimo requerido es /28 para las instancias que tienen réplicas de lectura.

Acceso privado a servicios

El acceso privado a servicios es otra forma de crear un intercambio de tráfico entre tu red de VPC y la red de servicios de Google.

Establecer una conexión de acceso privado a servicios para una red de VPC crea un intercambio de tráfico entre esa red de VPC y la red de servicios de Google. Una vez que se establece la conexión, puedes crear tu instancia con el modo de conexión de acceso privado a servicios.

El uso de acceso privado a servicios te permite usar las siguientes capacidades para tu instancia de Redis:

  • Aprovisionar una instancia de Memorystore para Redis en un proyecto de servicio con VPC compartida
  • Administrar de forma centralizada los rangos de direcciones IP en varios servicios de Google.
  • Conectarse desde fuentes externas a tu red de VPC a través de un túnel VPN o Cloud Interconnect a tu red de VPC.

Uno de los beneficios adicionales del acceso privado a servicios es que el mismo intercambio de tráfico de red se comparte entre varios servicios de Google, lo que limita la cantidad de intercambios de tráfico que crean los servicios de Google.

La marca --reserved-ip-range de gcloud tiene un propósito diferente cuando se crean instancias con el modo de conexión de acceso privado a servicios que cuando se crean instancias con el modo de conexión de intercambio de tráfico directo. Cuando crees instancias con el modo de acceso a servicios privados, si hay varios rangos de direcciones IP asignados para el acceso a servicios privados, puedes usar la marca --reserved-ip-range de gcloud para elegir qué rangos asignados usar cuando crees tu instancia de Redis. Para obtener instrucciones sobre cómo hacerlo, consulta Cómo crear una instancia de Redis con un rango de direcciones IP específico.

Elige un modo de conexión

En la tabla que se muestra a continuación, se describen diferentes casos de uso y modos de conexión que debes usar.

Situación Modo de conexión compatible
Aprovisiona una instancia de Redis con una red de VPC compartida acceso privado a servicios únicamente
Accede a una instancia de Redis desde redes locales con VPN acceso privado a servicios únicamente
Usala administración centralizada del rango de IP para varios servicios de Google acceso privado a servicios únicamente
Aprovisiona una instancia de Redis con una red de VPC dedicada acceso privado a servicios (recomendado) o intercambio de tráfico directo

Cambia los modos de conexión de las instancias existentes

No puedes cambiar el modo de conexión de una instancia existente. Para cambiar el modo de conexión, debes volver a crear la instancia con el nuevo modo de conexión. Esto genera un cambio en la dirección IP de la instancia.

Por ejemplo, si tienes una instancia existente que se creó antes de que el modo de conexión de acceso privado a servicios esté disponible, la propiedad del modo de conexión para esa instancia se configura como intercambio de tráfico directo. Si vuelves a crear la instancia con el modo de conexión de servicio privada, la dirección IP de la instancia cambia.

Además, Memorystore para Redis es compatible con instancias de Redis que usan acceso privado a servicios y con intercambio de tráfico directo en el mismo proyecto y en la misma red.

Acceso local con acceso privado a servicios

Puedes conectarte desde un cliente en una red local si la red local está conectada a la red de VPC a la que está conectada tu instancia de Memorystore para Redis. Para permitir conexiones desde una red local, haz lo siguiente:

  1. Asegúrate de que tu red de VPC compartida esté conectada a tu red local mediante una de las siguientes opciones.
  2. Asegúrate de que las sesiones de BGP en los Cloud Routers que administran los túneles de Cloud VPN y los adjuntos de Cloud Interconnect (VLAN) hayan recibido prefijos específicos (destinos) de tu red local. Las rutas predeterminadas (destino 0.0.0.0/0) no se pueden importar a la red de VPC de Memorystore para Redis porque esa red tiene su propia ruta predeterminada local. Siempre se usan las rutas locales para un destino, incluso cuando el intercambio de tráfico de Memorystore para Redis está configurado para importar rutas personalizadas desde tu red de VPC.
  3. Identifica el intercambio de tráfico que produce la conexión de servicios privados. El intercambio de tráfico que usa Memorystore para Redis se llama servicenetworking-googleapis-com.
  4. Actualiza la conexión de intercambio de tráfico para intercambiar rutas personalizadas mediante la marca --import-custom-routes y --export-custom-routes.
  5. Identifica el rango asignado que usa la conexión de servicios privados.
  6. Crea una ruta anunciada personalizada de Cloud Router para el rango asignado en los Cloud Routers que administran sesiones de BGP para los túneles de Cloud VPN o los adjuntos de Cloud Interconnect (VLAN).

Comunica los requisitos de herramientas de redes

Por lo general, el equipo de redes o el administrador de red de tu organización es responsable de configurar una conexión de acceso privado a servicios. Esto permite que el equipo de herramientas de redes se asegure de que no se superpongan los rangos o las direcciones IP de otros recursos de Google Cloud, lo que puede causar problemas de conectividad.

Te recomendamos que te comuniques con el equipo de seguridad; el equipo de seguridad de tu organización configura la conexión privada de servicio por ti, en especial si encuentras un error durante el proceso de configuración. Cuando te comuniques con tu equipo de redes, envíales la siguiente información:

The Memorystore for Redis instance cannot be created due to the following
error:

"Google private services access is not enabled. Enable privates service access
and try again."

Before an instance can be created, a private service access connection needs to
be established for network <project name: network>. Please refer to the
following Memorystore documentation links for more information on how to create
this connection:

* Networking.
* Establishing a private services access connection.
* Verifying a private services access connection.

Requisitos de red para instancias habilitadas para réplicas de lectura

Para usar la función de réplicas de lectura de Memorystore para Redis, tu instancia debe tener un rango de direcciones IP CIDR de /28 o superior. Los tamaños de rango más grandes, como /27 y /26, son válidos. No se admiten rangos más pequeños, como /29, para esta función.

Permisos necesarios para establecer una conexión de acceso privado a servicios

Para administrar una conexión de acceso a servicios privados, el usuario debe tener las siguientes funciones de IAM. Si no tienes los permisos necesarios, puedes obtener errores de permisos insuficientes. Para obtener una lista de errores comunes de herramientas de redes, consulta Situaciones de error de Herramientas de redes.

Permisos de la IU

Permisos necesarios para enumerar las redes de proyectos locales y de host en la IU:
  • compute.networks.list
    • Se necesita en los proyectos locales y de host.
Permiso necesario para verificar la conexión de acceso privado a servicios en la IU:
  • compute.networks.list
    • Se necesita en los proyectos locales y de host.
Permiso necesario para crear una conexión de acceso privado a servicios en la IU:
  • serviceusage.services.enable
    • Se necesita para habilitar la API de Herramientas de redes de servicios.
  • compute.addresses.create
  • compute.addresses.list
  • servicenetworking.services.addPeering

Permisos de gcloud

Permisos de gcloud necesarios para verificar la conexión de acceso privado a servicios
  • compute.networks.list
    • Se necesita en los proyectos locales y de host.
Permisos de gcloud necesarios para crear una conexión de acceso privado a servicios
  • serviceusage.services.enable
    • Se necesita para habilitar la API de Herramientas de redes de servicios.
  • compute.addresses.create
  • compute.addresses.list
  • servicenetworking.services.addPeering

Redes compatibles y rangos de IP de cliente

Memorystore para Redis admite direcciones IP privadas RFC 1918 y algunas direcciones IP privadas que no son RFC 1918.

  • Intervalos válidos proporciona una lista de los intervalos aceptables para Memorystore para Redis. Sin embargo, Memorystore para Redis no admite las direcciones IP públicas de uso privado (PUPI) que se indican en la tabla de rangos válidos que se vincula aquí.
  • En Rangos restringidos, se proporciona una lista de rangos de direcciones IP que no se pueden usar para crear instancias de Memorystore para Redis.
  • Si una instancia de Memorystore usa el modo de conexión de acceso a servicios privados, los clientes de los rangos de PUPI no pueden conectarse a la instancia de Memorystore.

Memorystore también admite redes de VPC, excepto redes heredadas, acceso local y redes de VPC compartidas.