En esta página, se proporciona una descripción general de las herramientas de redes de Memorystore para Redis.
Memorystore usa intercambio de tráfico de VPC para conectar la red de VPC con la red interna de servicios de Google. Memorystore para Redis proporciona diferentes arquitecturas de intercambio de tráfico y características de herramientas de redes según el modo de conexión que elijas cuando crees una instancia.
Se ingresó la opción de seleccionar un modo de conexión para admitir opciones de red avanzadas en Google Cloud, como arquitecturas de VPC compartidas y una mejor administración de IP, y garantizar la compatibilidad con la arquitectura de intercambio de tráfico existente de Memorystore.
Memorystore para Redis admite dos modos de conexión, DIRECT_PEERING
y PRIVATE_SERVICE_ACCESS
.
Independientemente del modo de conexión, Memorystore para Redis siempre usa direcciones IP internas a fin de aprovisionar instancias de Redis.
Modos de conexión
Memorystore para Redis proporciona dos modos de conexión que admiten diferentes funcionalidades:
- Intercambio de tráfico directo
- Acceso privado a servicios
Para ver el modo de conexión de red de una instancia existente, ejecuta el siguiente comando y reemplaza variables por los valores apropiados:
gcloud redis instances describe instance-id --region=region
- El valor
connectMode
muestraDIRECT_PEERING
oPRIVATE_SERVICE_ACCESS
.
Para obtener instrucciones para elegir el modo de conexión durante la creación de instancias, consulta Crea una instancia de Redis con una red de VPC compartida en un proyecto de servicio o Crea una instancia de Redis con un rango de direcciones IP centralizado.
Intercambio de tráfico directo
Cuando se usa el modo de intercambio de tráfico directo, Memorystore crea un intercambio de tráfico de VPC entre la red de VPC del cliente y la red de VPC en el proyecto administrado por Google. El intercambio de tráfico se crea automáticamente durante la creación de la instancia y no requiere pasos adicionales del usuario. Otros servicios de Google Cloud no comparten el intercambio de tráfico. Memorystore para Redis usó el modo de conexión de intercambio de tráfico directo antes de la disponibilidad del modo de conexión de acceso privado a servicios.
De forma predeterminada, las instancias nuevas se crean con el modo de conexión de intercambio de tráfico directo. Cualquier secuencia de comandos existente sin el modo de conexión especificado usa el modo de intercambio de tráfico directo de forma predeterminada.
Si creas una instancia con el modo de conexión de intercambio de tráfico directo y quieres usar la marca --reserved-ip-range
de gcloud para especificar un rango de direcciones IP, consulta Cómo crear una instancia de Redis con un rango de direcciones IP específico para obtener instrucciones sobre cómo especificar un rango. El tamaño de bloque mínimo requerido es /29
para instancias sin réplicas de lectura. El tamaño de bloque mínimo requerido es /28
para las instancias que tienen réplicas de lectura.
Acceso privado a servicios
El acceso privado a servicios es otra forma de crear un intercambio de tráfico entre tu red de VPC y la red de servicios de Google.
Establecer una conexión de acceso privado a servicios para una red de VPC crea un intercambio de tráfico entre esa red de VPC y la red de servicios de Google. Una vez que se establece la conexión, puedes crear tu instancia con el modo de conexión de acceso privado a servicios.
El uso de acceso privado a servicios te permite usar las siguientes capacidades para tu instancia de Redis:
- Aprovisionar una instancia de Memorystore para Redis en un proyecto de servicio con VPC compartida
- Administrar de forma centralizada los rangos de direcciones IP en varios servicios de Google.
- Conectarse desde fuentes externas a tu red de VPC a través de un túnel VPN o Cloud Interconnect a tu red de VPC.
Uno de los beneficios adicionales del acceso privado a servicios es que el mismo intercambio de tráfico de red se comparte entre varios servicios de Google, lo que limita la cantidad de intercambios de tráfico que crean los servicios de Google.
La marca --reserved-ip-range
de gcloud tiene un propósito diferente cuando se crean instancias con el modo de conexión de acceso privado a servicios que cuando se crean instancias con el modo de conexión de intercambio de tráfico directo. Cuando crees instancias con el modo de acceso a servicios privados, si hay varios rangos de direcciones IP asignados para el acceso a servicios privados, puedes usar la marca --reserved-ip-range
de gcloud para elegir qué rangos asignados usar cuando crees tu instancia de Redis. Para obtener instrucciones sobre cómo hacerlo, consulta Cómo crear una instancia de Redis con un rango de direcciones IP específico.
Elige un modo de conexión
En la tabla que se muestra a continuación, se describen diferentes casos de uso y modos de conexión que debes usar.
Situación | Modo de conexión compatible | |
---|---|---|
Aprovisiona una instancia de Redis con una red de VPC compartida | acceso privado a servicios únicamente | |
Accede a una instancia de Redis desde redes locales con VPN | acceso privado a servicios únicamente | |
Usala administración centralizada del rango de IP para varios servicios de Google | acceso privado a servicios únicamente | |
Aprovisiona una instancia de Redis con una red de VPC dedicada | acceso privado a servicios (recomendado) o intercambio de tráfico directo |
Cambia los modos de conexión de las instancias existentes
No puedes cambiar el modo de conexión de una instancia existente. Para cambiar el modo de conexión, debes volver a crear la instancia con el nuevo modo de conexión. Esto genera un cambio en la dirección IP de la instancia.
Por ejemplo, si tienes una instancia existente que se creó antes de que el modo de conexión de acceso privado a servicios esté disponible, la propiedad del modo de conexión para esa instancia se configura como intercambio de tráfico directo. Si vuelves a crear la instancia con el modo de conexión de servicio privada, la dirección IP de la instancia cambia.
Además, Memorystore para Redis es compatible con instancias de Redis que usan acceso privado a servicios y con intercambio de tráfico directo en el mismo proyecto y en la misma red.
Acceso local con acceso privado a servicios
Puedes conectarte desde un cliente en una red local si la red local está conectada a la red de VPC a la que está conectada tu instancia de Memorystore para Redis. Para permitir conexiones desde una red local, haz lo siguiente:
- Asegúrate de que tu red de VPC compartida esté conectada a tu red local mediante una de las siguientes opciones.
- Túnel de Cloud VPN
- Un adjunto de VLAN para la interconexión dedicada o la interconexión de socio
- Asegúrate de que las sesiones de BGP en los Cloud Routers que administran los túneles de Cloud VPN y los adjuntos de Cloud Interconnect (VLAN) hayan recibido prefijos específicos (destinos) de tu red local. Las rutas predeterminadas (destino
0.0.0.0/0
) no se pueden importar a la red de VPC de Memorystore para Redis porque esa red tiene su propia ruta predeterminada local. Siempre se usan las rutas locales para un destino, incluso cuando el intercambio de tráfico de Memorystore para Redis está configurado para importar rutas personalizadas desde tu red de VPC. - Identifica el intercambio de tráfico que produce la conexión de servicios privados.
El intercambio de tráfico que usa Memorystore para Redis se llama
servicenetworking-googleapis-com
. - Actualiza la conexión de intercambio de tráfico para intercambiar rutas personalizadas mediante la marca
--import-custom-routes
y--export-custom-routes
. - Identifica el rango asignado que usa la conexión de servicios privados.
- Crea una ruta anunciada personalizada de Cloud Router para el rango asignado en los Cloud Routers que administran sesiones de BGP para los túneles de Cloud VPN o los adjuntos de Cloud Interconnect (VLAN).
Comunica los requisitos de herramientas de redes
Por lo general, el equipo de redes o el administrador de red de tu organización es responsable de configurar una conexión de acceso privado a servicios. Esto permite que el equipo de herramientas de redes se asegure de que no se superpongan los rangos o las direcciones IP de otros recursos de Google Cloud, lo que puede causar problemas de conectividad.
Te recomendamos que te comuniques con el equipo de seguridad; el equipo de seguridad de tu organización configura la conexión privada de servicio por ti, en especial si encuentras un error durante el proceso de configuración. Cuando te comuniques con tu equipo de redes, envíales la siguiente información:
The Memorystore for Redis instance cannot be created due to the following error: "Google private services access is not enabled. Enable privates service access and try again." Before an instance can be created, a private service access connection needs to be established for network <project name: network>. Please refer to the following Memorystore documentation links for more information on how to create this connection: * Networking. * Establishing a private services access connection. * Verifying a private services access connection.
Requisitos de red para instancias habilitadas para réplicas de lectura
Para usar la función de réplicas de lectura de Memorystore para Redis, tu instancia debe tener un rango de direcciones IP CIDR de /28
o superior. Los tamaños de rango más grandes, como /27
y /26
, son válidos. No se admiten rangos más pequeños, como /29
, para esta función.
Permisos necesarios para establecer una conexión de acceso privado a servicios
Para administrar una conexión de acceso a servicios privados, el usuario debe tener las siguientes funciones de IAM. Si no tienes los permisos necesarios, puedes obtener errores de permisos insuficientes. Para obtener una lista de errores comunes de herramientas de redes, consulta Situaciones de error de Herramientas de redes.
Permisos de la IU
Permisos necesarios para enumerar las redes de proyectos locales y de host en la IU:
compute.networks.list
- Se necesita en los proyectos locales y de host.
Permiso necesario para verificar la conexión de acceso privado a servicios en la IU:
compute.networks.list
- Se necesita en los proyectos locales y de host.
Permiso necesario para crear una conexión de acceso privado a servicios en la IU:
serviceusage.services.enable
- Se necesita para habilitar la API de Herramientas de redes de servicios.
compute.addresses.create
compute.addresses.list
servicenetworking.services.addPeering
Permisos de gcloud
Permisos de gcloud necesarios para verificar la conexión de acceso privado a servicios
compute.networks.list
- Se necesita en los proyectos locales y de host.
Permisos de gcloud necesarios para crear una conexión de acceso privado a servicios
serviceusage.services.enable
- Se necesita para habilitar la API de Herramientas de redes de servicios.
compute.addresses.create
compute.addresses.list
servicenetworking.services.addPeering
Redes compatibles y rangos de IP de cliente
Memorystore para Redis admite direcciones IP privadas RFC 1918 y algunas direcciones IP privadas que no son RFC 1918.
- Intervalos válidos proporciona una lista de los intervalos aceptables para Memorystore para Redis. Sin embargo, Memorystore para Redis no admite las direcciones IP públicas de uso privado (PUPI) que se indican en la tabla de rangos válidos que se vincula aquí.
- En Rangos restringidos, se proporciona una lista de rangos de direcciones IP que no se pueden usar para crear instancias de Memorystore para Redis.
- Si una instancia de Memorystore usa el modo de conexión de acceso a servicios privados, los clientes de los rangos de PUPI no pueden conectarse a la instancia de Memorystore.
Memorystore también admite redes de VPC, excepto redes heredadas, acceso local y redes de VPC compartidas.