Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Redes

En esta página, se proporciona una descripción general de las herramientas de redes de Memorystore para Redis.

Memorystore usa intercambio de tráfico de VPC para conectar la red de VPC con la red interna de servicios de Google. Memorystore para Redis proporciona diferentes arquitecturas de intercambio de tráfico y características de herramientas de redes según el modo de conexión que elijas cuando crees una instancia.

Se ingresó la opción de seleccionar un modo de conexión para admitir opciones de red avanzadas en Google Cloud, como arquitecturas de VPC compartidas y una mejor administración de IP, y garantizar la compatibilidad con la arquitectura de intercambio de tráfico existente de Memorystore.

Memorystore para Redis admite dos modos de conexión, DIRECT_PEERING y PRIVATE_SERVICE_ACCESS.

Independientemente del modo de conexión, Memorystore para Redis siempre usa direcciones IP internas a fin de aprovisionar instancias de Redis.

Modos de conexión

Memorystore para Redis proporciona dos modos de conexión que admiten diferentes funcionalidades:

  • Intercambio de tráfico directo
  • Acceso privado a servicios

Para ver el modo de conexión de red de una instancia existente, ejecuta el siguiente comando y reemplaza variables por los valores apropiados:

gcloud redis instances describe instance-id --region=region
  • El valor connectMode muestra DIRECT_PEERING o PRIVATE_SERVICE_ACCESS.

Para obtener instrucciones para elegir el modo de conexión durante la creación de instancias, consulta Crea una instancia de Redis con una red de VPC compartida en un proyecto de servicio o Crea una instancia de Redis con un rango de direcciones IP centralizado.

Intercambio de tráfico directo

Cuando se usa el modo de intercambio de tráfico directo, Memorystore crea un intercambio de tráfico de VPC entre la red de VPC del cliente y la red de VPC en el proyecto administrado por Google. El intercambio de tráfico se crea automáticamente durante la creación de la instancia y no requiere pasos adicionales del usuario. Otros servicios de Google Cloud no comparten el intercambio de tráfico. Memorystore para Redis usó el modo de conexión de intercambio de tráfico directo antes de la disponibilidad del modo de conexión de acceso privado a servicios.

De forma predeterminada, las instancias nuevas se crean con el modo de conexión de intercambio de tráfico directo. Cualquier secuencia de comandos existente sin el modo de conexión especificado usa el modo de intercambio de tráfico directo de forma predeterminada.

Acceso privado a servicios

El acceso privado a servicios es otra forma de crear un intercambio de tráfico entre tu red de VPC y la red de servicios de Google.

Establecer una conexión de acceso privado a servicios para una red de VPC crea un intercambio de tráfico entre esa red de VPC y la red de servicios de Google. Una vez que se establece la conexión, puedes crear tu instancia con el modo de conexión de acceso privado a servicios.

El uso de acceso privado a servicios te permite usar las siguientes capacidades para tu instancia de Redis:

  • Aprovisionar una instancia de Memorystore para Redis en un proyecto de servicio con VPC compartida
  • Administrar de forma centralizada los rangos de direcciones IP en varios servicios de Google.
  • Conectarse desde fuentes externas a tu red de VPC a través de un túnel VPN o Cloud Interconnect a tu red de VPC.

Actualmente, solo puedes crear instancias con el modo de conexión de acceso privado a servicios con la herramienta de línea de comandos de gcloud.

Uno de los beneficios adicionales del acceso privado a servicios es que el mismo intercambio de tráfico de red se comparte entre varios servicios de Google, lo que limita la cantidad de intercambios de tráfico que crean los servicios de Google.

Elige un modo de conexión

En la tabla que se muestra a continuación, se describen diferentes casos de uso y modos de conexión que debes usar.

Situación Modo de conexión compatible
Aprovisiona una instancia de Redis con una red de VPC compartida acceso privado a servicios únicamente
Accede a una instancia de Redis desde redes locales con VPN acceso privado a servicios únicamente
Usala administración centralizada del rango de IP para varios servicios de Google acceso privado a servicios únicamente
Aprovisiona una instancia de Redis con una red de VPC dedicada acceso privado a servicios (recomendado) o intercambio de tráfico directo

Cambia los modos de conexión de las instancias existentes

No puedes cambiar el modo de conexión de una instancia existente. Para cambiar el modo de conexión, debes volver a crear la instancia con el nuevo modo de conexión. Esto genera un cambio en la dirección IP de la instancia.

Por ejemplo, si tienes una instancia existente que se creó antes de que el modo de conexión de acceso privado a servicios esté disponible, la propiedad del modo de conexión para esa instancia se configura como intercambio de tráfico directo. Si vuelves a crear la instancia con el modo de conexión de servicio privada, la dirección IP de la instancia cambia.

Además, Memorystore para Redis es compatible con instancias de Redis que usan acceso privado a servicios y con intercambio de tráfico directo en el mismo proyecto y en la misma red.

Acceso local con acceso privado a servicios

Puedes conectarte desde un cliente en una red local si la red local está conectada a la red de VPC a la que está conectada tu instancia de Memorystore para Redis. Para permitir conexiones desde una red local, haz lo siguiente:

  1. Asegúrate de que tu red de VPC compartida esté conectada a tu red local mediante una de las siguientes opciones.
  2. Identifica el intercambio de tráfico que produce la conexión de servicios privados. El intercambio de tráfico que usa Memorystore para Redis se llama servicenetworking-googleapis-com.
  3. Actualiza la conexión de intercambio de tráfico para intercambiar rutas personalizadas mediante la marca --import-custom-routes y --export-custom-routes.
  4. Identifica el rango asignado que usa la conexión de servicios privados.
  5. Crea un anuncio de ruta personalizado de Cloud Router para el rango asignado en los Cloud Routers que administran sesiones de BGP para los túneles de Cloud VPN o los adjuntos de Cloud Interconnect (VLAN).

Configura un rango de IP personalizado

Existen dos formas de designar un rango de IP personalizado con Memorystore para Redis:

  • Método de acceso a servicios privados

    • Usa este método si tu instancia de Redis usa el modo de conexión PRIVATE_SERVICE_ACCESS
  • Método de intercambio de tráfico directo

    • Usa este método si tu instancia de Redis usa el modo de conexión DIRECT_PEERING

Los rangos de direcciones IP se expresan mediante notación CIDR.

Rango de IP personalizado con modo de conexión de acceso a servicios privados

Puedes usar Cloud Console y la herramienta de gcloud para designar un rango personalizado. Para obtener instrucciones sobre cómo asignar un rango, consulta Cómo crear rangos de direcciones IP asignados.

Rango de IP personalizado con intercambio de tráfico directo

Si tu instancia usa el modo de conexión DIRECT_PEERING, solo puedes designar un rango de direcciones IP personalizado para Memorystore para Redis mediante el parámetro de gcloud --reserved-ip-range con el comando gcloud redis instances create. No puedes modificar el rango reservado después de la creación de la instancia o agregar un rango reservado a una instancia de Redis existente.

A continuación, se muestra un ejemplo de un valor aceptable para este parámetro:

--reserved-ip-range=10.0.0.0/29

Comunica los requisitos de herramientas de redes

Por lo general, el equipo de redes o el administrador de red de tu organización es responsable de configurar una conexión de acceso privado a servicios. Esto permite que el equipo de herramientas de redes se asegure de que no se superpongan los rangos o las direcciones IP de otros recursos de Google Cloud, lo que puede causar problemas de conectividad.

Te recomendamos que te comuniques con el equipo de seguridad; el equipo de seguridad de tu organización configura la conexión privada de servicio por ti, en especial si encuentras un error durante el proceso de configuración. Cuando te comuniques con tu equipo de redes, envíales la siguiente información:

The Memorystore for Redis instance cannot be created due to the following
error:

"Google private services access is not enabled. Enable privates service access
and try again."

Before an instance can be created, a private service access connection needs to
be established for network <project name: network>. Please refer to the
following Memorystore documentation links for more information on how to create
this connection:

* Networking.
* Establishing a private services access connection.
* Verifying a private services access connection.

Permisos necesarios para establecer una conexión de acceso privado a servicios

Para administrar una conexión de acceso a servicios privados, el usuario debe tener las siguientes funciones de IAM. Si no tienes los permisos necesarios, puedes obtener errores de permisos insuficientes. Para obtener una lista de errores comunes de herramientas de redes, consulta Situaciones de error de Herramientas de redes.

Permisos de la IU

Permisos necesarios para enumerar las redes de proyectos locales y de host en la IU:
  • compute.networks.list
    • Se necesita en los proyectos locales y de host.
Permiso necesario para verificar la conexión de acceso privado a servicios en la IU:
  • compute.networks.list
    • Se necesita en los proyectos locales y de host.
Permiso necesario para crear una conexión de acceso privado a servicios en la IU:
  • serviceusage.services.enable
    • Se necesita para habilitar la API de Herramientas de redes de servicios.
  • compute.addresses.create
  • compute.addresses.list
  • servicenetworking.services.addPeering

Permisos de gcloud

Permisos de gcloud necesarios para verificar la conexión de acceso privado a servicios
  • compute.networks.list
    • Se necesita en los proyectos locales y de host.
Permisos de gcloud necesarios para crear una conexión de acceso privado a servicios
  • serviceusage.services.enable
    • Se necesita para habilitar la API de Herramientas de redes de servicios.
  • compute.addresses.create
  • compute.addresses.list
  • servicenetworking.services.addPeering

Redes compatibles y rangos de IP de cliente

Se admiten las siguientes instancias o redes con direcciones IP RFC 1918: