Preguntas frecuentes de Cloud Interconnect

En este documento, se abordan las preguntas frecuentes sobre las características y la arquitectura de Cloud Interconnect agrupadas en las siguientes secciones:

Tráfico en Cloud Interconnect

En esta sección, se cubren las preguntas sobre los tipos de tráfico, el ancho de banda y la encriptación en Cloud Interconnect.

¿Qué tipos de paquetes se transmiten en Cloud Interconnect?

El circuito de Cloud Interconnect transmite marcos Ethernet 802.1q con paquetes IPv4 en la carga útil. Estos marcos también se conocen como marcos Ethernet con etiquetas VLAN.

El valor del campo ID de VLAN (VID) de 12 bit del encabezado 802.1q es el mismo que el valor de ID de VLAN que asigna Google Cloud cuando se crea un adjunto de VLAN. Para obtener más información, consulta los siguientes documentos:

¿Cómo puedo encriptar mi tráfico en Cloud Interconnect?

Según el servicio al que se accede con Cloud Interconnect, tu tráfico ya puede estar encriptado sin necesidad de hacer nada en particular. Por ejemplo, si accedes a una de las API de Google Cloud a las que se puede acceder en Cloud Interconnect, ese tráfico ya se encriptó con TLS de la misma manera que si se accediera a las API a través de la Internet pública.

También puedes usar la solución TLS para servicios que crees; por ejemplo, un servicio que ofreces en una instancia de Compute Engine o en un pod de Google Kubernetes Engine que es compatible con el protocolo HTTPS.

Si necesitas encriptar la capa de la IP, puedes crear una o más puertas de enlace de VPN (que no sean de Google Cloud) que se administran a sí mismas en tu red de la nube privada virtual (VPC) y asignar una dirección IP privada a cada puerta de enlace. Por ejemplo, puedes ejecutar una VPN de strongSwan en una instancia de Compute Engine. Luego, puedes finalizar los túneles IPsec a esas puertas de enlace de VPN con Cloud Interconnect desde un entorno local.

Para obtener más detalles, consulta Encriptación en tránsito.

¿Puedo crear una conexión de 100 Gbps en la interconexión dedicada?

Sí, puedes escalar la conexión a Google según tus necesidades.

Una conexión de interconexión consiste en uno o más circuitos implementados como un grupo de vínculos de canal del puerto Ethernet (LAG). Los circuitos de una conexión pueden ser de 10 Gbps o 100 Gbps, pero no ambos.

Una conexión puede tener una de las siguientes capacidades máximas:

  • 8 circuitos de 10 Gbps (80 Gbps en total)
  • 2 circuitos de 100 Gbps (200 Gbps en total)

La interconexión dedicada y la interconexión de socio admiten capacidades de adjuntos de VLAN de 50 Mbps a 50 Gbps. Si bien el tamaño máximo admitido del adjunto para la interconexión de socio es de 50 Gbps, es posible que no todos los tamaños estén disponibles, según lo que ofrezca el proveedor de servicios elegido en la ubicación seleccionada.

Puedes pedir más de una conexión y usarlas de activo a activo mediante las capacidades de enrutamiento del protocolo de puerta de enlace fronteriza (BGP) de Cloud Router.

Para obtener una lista detallada de las capacidades, las cuotas y los límites, consulta Precios y Cuotas y límites de Cloud Interconnect.

¿Puedo alcanzar mis instancias con IPv6 en Cloud Interconnect?

VPC no ofrece una función integrada para finalizar el tráfico IPv6 a las instancias.

¿Puedo especificar la dirección IP de intercambio de tráfico de BGP?

  • En el caso de la interconexión de socio, no. Google elige las direcciones IP de intercambio de tráfico.
  • En la interconexión dedicada, puedes especificar un rango de direcciones IP (bloque CIDR) que Google seleccionará cuando crees un adjunto de VLAN. Este bloque CIDR debe estar dentro del rango de direcciones IP local 169.254.0.0/16 del vínculo.

¿Puedo alcanzar las API de Google a través de Cloud Interconnect desde la actividad local? ¿Qué servicios o API están disponibles?

Hay dos maneras de alcanzar las API de Google:

  • Opción 1: Puedes habilitar el Acceso privado a Google para una o más subredes en la red de VPC y, luego, implementar una o más instancias de proxy inverso en esos subredes. Estos proxies inversos solo tienen configuradas las direcciones IP privadas de VPC, por lo que se pueden alcanzar a través del vínculo de Cloud Interconnect desde las instalaciones locales. Con esta solución, se otorgan la mayoría de los accesos a las API de Google Cloud, a las API del desarrollador y a la mayoría de los servicios de Google Cloud.

    Para obtener más detalles, incluida una lista de los servicios de Google Cloud compatibles con el Acceso privado a Google, consulta Cómo configurar el Acceso privado a Google.

  • Opción 2: Puedes usar el Acceso privado a Google para los hosts locales. En este caso, las solicitudes de los hosts locales deben enviarse a restricted.googleapis.com, que se resuelve de manera persistente en el rango de IP 199.36.153.4/30, también conocido como el rango VIP restringido.

    Para anunciar el rango VIP restringido, agrega una ruta personalizada en Cloud Router. Esto garantiza que el tráfico a la VIP restringida (como un destino) se enruta desde la actividad local a los extremos de la API en Cloud Interconnect. Con esta solución, solo se alcanzan las API de Google y los servicios compatibles con la VIP restringida.

A fin de obtener la información más reciente sobre los detalles de configuración y los servicios compatibles, consulta Configura el Acceso privado a Google para hosts locales.

¿Puedo usar Cloud Interconnect como un canal privado para acceder a todos los servicios de Google Workspace a través de un navegador?

Desde diciembre de 2018, no es posible acceder a las aplicaciones de Google Workspace mediante Cloud Interconnect.

¿Por qué mis sesiones de BGP varían continuamente luego de un determinado intervalo?

Busca si hay una máscara de subred incorrecta en tu rango de IP de BGP local. Por ejemplo, en lugar de configurar 169.254.10.0/29, quizás configuraste 169.254.10.0/30.

¿Puedo enviar y aprender valores MED mediante una conexión de interconexión de socio L3?

Si utilizas una conexión de interconexión de socio en la que un proveedor de servicios de capa 3 se encarga del BGP, Cloud Router no puede aprender los valores MED de tu router local ni enviar valores MED a ese router. Esto se debe a que los valores MED no pueden pasar por sistemas autónomos. En este tipo de conexión, no puedes establecer prioridades de ruta para las rutas que anuncia Cloud Router a tu router local. Además, no puedes establecer prioridades de ruta para las rutas que anuncia tu router local a la red de VPC.

Arquitectura de Cloud Interconnect

En esta sección, se abordan preguntas frecuentes que pueden surgir durante el diseño o el uso de una arquitectura de Cloud Interconnect.

¿Puedo cambiar el nombre de las conexiones de interconexión dedicada o moverlas a otro proyecto?

No. Después de que nombras una conexión de interconexión dedicada, no puedes cambiarle el nombre ni moverla a otro proyecto de Google Cloud. En su lugar, debes borrar la conexión y volver a crearla con un nombre nuevo o en un proyecto diferente.

¿Puedo usar Cloud Interconnect para conectarme a la Internet pública?

Desde diciembre de 2018, las rutas de Internet no se anuncian en Cloud Interconnect.

¿Cómo puedo conectarme a Google Cloud si me encuentro en una ubicación POP que no aparece en las ubicaciones de las instalaciones de colocación?

Tienes dos opciones, luego de las cuales puedes seguir con el proceso normal de pedido y aprovisionamiento para la interconexión dedicada:

  • Opción 1: Puedes pedirle líneas de asignación de tiempo a un proveedor para conectarte desde tu ubicación de punto de presencia (POP) a una instalación de colocación de Cloud Interconnect de Google. Por lo general, es mejor que te comuniques con tu proveedor de instalación de colocación existente y obtengas una lista de proveedores en la red. Un proveedor en la red es un proveedor que ya tiene infraestructura en el edificio en el que te encuentras. El uso de un proveedor en la red es más económico y rápido que usar un proveedor diferente que deba compilar una infraestructura para adaptarse a tus necesidades en tu ubicación de PoP existente.
  • Opción 2: Puedes usar la interconexión de socio con un proveedor de servicios que puede proporcionarte un circuito de red de acceso para adaptarse a tus necesidades. Por lo general, los proveedores de colocación no pueden proporcionar este tipo de servicios, ya que tienen ubicaciones fijas en las que ya debes encontrarte.

Si uso la interconexión de socio, ¿podré ver la conexión en el proyecto en el que creo el adjunto de VLAN?

Cuando usas el servicio de interconexión de socio, el objeto para la conexión de interconexión se crea en el proyecto del proveedor de servicios y no es visible en tu proyecto. El adjunto de VLAN (interconnectAttachment) continúa visible en tu proyecto, como en el caso de Cloud Interconnect.

¿Cómo creo arquitectura redundante que aproveche Cloud Interconnect?

Según el ANS deseado, hay arquitecturas específicas que deben implementarse para la interconexión dedicada y la interconexión de socio.

Las topologías de las arquitecturas listas para la producción con un ANS del 99.99% y de las aplicaciones no críticas con un ANS del 99.9% se encuentran disponibles en los instructivos de Cloud Interconnect.

Estos niveles de ANS hacen referencia a la disponibilidad de la conexión de interconexión, que es la disponibilidad de la conexión enrutada entre la ubicación local y la red de VPC. Por ejemplo, si creas un servicio en instancias de Compute Engine que es alcanzable a través de Cloud Interconnect, la disponibilidad del servicio depende de la disponibilidad combinada del servicio de Cloud Interconnect y del servicio de Compute Engine.

  • En la interconexión dedicada, existe una única interconexión (paquete LACP) Sin ANS de tiempo de actividad.
  • En la interconexión de socio, existe un único adjunto de VLAN Sin ANS de tiempo de actividad.

Los problemas con fallas de conexión o de paquete individuales se tratan con una prioridad de los casos de ayuda que no es superior a P3: impacto medio: uso del servicio afectado de forma parcial, por lo que no puedes esperar que se resuelvan rápido o que se haga un análisis adicional de la causa raíz.

Debido al mantenimiento planificado o no planificado, los vínculos o paquetes individuales pueden desviarse incluso durante largos períodos de tiempo, como horas o días.

¿Puedo desviar el tráfico en Cloud Interconnect entre mi aplicación heredada local y mis backends del balanceador de cargas interno?

En esta situación, implementaste una aplicación que consta de dos niveles: un nivel local que aún no se migró a Google Cloud (nivel heredado) y un nivel de nube que se ejecuta en instancias de VPC que son los backends de un balanceador de cargas interno de Google Cloud.

Puedes usar Cloud Interconnect para desviar el tráfico entre estos dos niveles de aplicación, siempre y cuando implementes las rutas necesarias entre Cloud Router y tu router local. El Cloud Router que usas para la conexión de interconexión que controla el tráfico de esta aplicación debe residir en la misma región que la subred que contiene los backends del balanceador de cargas. Esto se debe a que el balanceador de cargas interno solo admite enrutamiento regional. El acceso del balanceador de cargas interno se pierde cuando el enrutamiento global para la VPC usa un túnel fuera de la región en la que se encuentran los backends del balanceador de cargas. Para obtener más información, consulta Uso de Cloud VPN y Cloud Interconnect.

Si el tráfico local entra a la red de VPC desde una región diferente, puedes implementar un balanceador de cargas interno con los backends respectivos en la otra región o enrutar el tráfico a un proxy inverso desde el que se pueda alcanzar el VIP del balanceador de cargas interno.

¿Puedo mover una o más instancias de Cloud Interconnect entre organizaciones o proyectos de Google Cloud?

Si deseas mover un proyecto a una nueva organización de Google Cloud, puedes abrir un caso de ayuda para que el equipo de asistencia de Google Cloud facilite el traslado.

Los cambios de organización no afectan a las interconexiones dedicadas ni a los adjuntos de VLAN, siempre y cuando el proyecto sea el mismo.

Para cambios en el proyecto, si quieres realizar una activación de Cloud Interconnect y ya tienes una LOA, pero no completaste la activación, cancela la activación actual y crea una nueva en el proyecto correcto. Google genera una LOA nueva, que puedes darle a tu proveedor de conexión de interconexión. Para conocer los pasos, consulta Solicita una conexión y Recupera LOA-CFA.

Una conexión de interconexión activa no se puede mover entre proyectos porque es un objeto secundario del proyecto, y no hay capacidad para migrar objetos entre proyectos de forma automática. Si es posible, deberías iniciar una solicitud para una nueva conexión de interconexión.

¿Cómo puedo usar la misma conexión de interconexión para conectar varias redes de VPC en varios proyectos dentro de la misma organización de Google Cloud?

En la interconexión dedicada o en la interconexión de socio, puedes usar la VPC compartida o el intercambio de tráfico entre redes de VPC para compartir un adjunto único entre varias redes de VPC. Si deseas conocer los pasos, consulta Habilita varias redes de VPC para acceder al mismo adjunto de VLAN.

Para interconexión de socio

Si no puedes usar la VPC compartida o el intercambio de tráfico entre redes de VPC, por ejemplo, porque necesitas mantener las redes de VPC separadas, debes crear adjuntos de VLAN adicionales. Crear más adjuntos puede generar costos adicionales.

Si tienes varios adjuntos de VLAN, incluidos los adjuntos en diferentes proyectos, puedes vincularlos con una interconexión de socio del mismo proveedor de servicios o con interconexiones de socio de diferentes proveedores de servicios.

Para interconexión dedicada

Puedes crear varios adjuntos, uno para cada proyecto o red de VPC a la que deseas conectarte.

Si tienes muchos proyectos, puedes proporcionar un adjunto de VLAN y un Cloud Router a cada proyecto, a la vez que configuras todos los adjuntos para que usen la misma conexión de interconexión dedicada en un proyecto especificado.

El adjunto de VLAN, además de ser un VLAN con un ID 802.1q, es el objeto secundario de una conexión de interconexión que existe en un proyecto.

En este modelo, cada red de VPC tiene su propia configuración de enrutamiento. Si deseas centralizar las políticas de enrutamiento, puedes revisar el Modelo de VPC compartida y las consideraciones de VPC compartida. Puedes finalizar el adjunto de VLAN en la red de VPC del proyecto host de la VPC compartida. Tu proyecto host tiene una cuota para la cantidad máxima de adjuntos de VLAN por conexión de interconexión. Para obtener más detalles, consulta Cuotas y límites de Cloud Interconnect.

¿Puedo usar una sola conexión de interconexión para conectar varios sitios locales a mi red de VPC?

Es muy fácil de hacer. Por ejemplo, si varios sitios son parte de una red de VPN de MPLS, autoadministrada o administrada por un proveedor, puedes agregar de forma lógica la red de VPC como un sitio adicional si usas un enfoque similar a la opción A de VPN de MPLS de Inter-AS (para obtener más información, consulta RFC 4364, párrafo 10).

Esta solución se describe en la respuesta para que una red de VPC se muestre en el servicio de VPN de MPLS de un socio. Si aprovechas las funciones de BGP de Cloud Router, es posible incorporar rutas de VPC dentro de la estructura de conexión de una IP existente con técnicas y arquitecturas similares a las usadas para importar rutas de Internet.

¿Puedo unir físicamente una conexión de interconexión con una interconexión de otro proveedor de servicios en la nube?

Si ya usas otro proveedor de servicios en la nube que ofrece un servicio funcionalmente equivalente a Cloud Interconnect, no existe una configuración acordada entre los proveedores de servicios en la nube para unir de manera física dos conexiones, una proporcionada por Google Cloud y otra del proveedor de servicios en la nube. Sin embargo, puedes enrutar entre el espacio de dirección privada de la red de VPC y la red de otro proveedor de servicios en la nube.

Si el punto de transferencia del servicio del otro proveedor de servicios en la nube se encuentra en la misma ubicación de Cloud Interconnect, puedes aprovisionar tu propio router en la ubicación para finalizar los dos servicios de conexión. Luego, el router enrutará entre la red de VPC y la red del otro proveedor de servicios en la nube. Esta configuración te permite enrutar directamente desde las dos redes de nube hasta tu red local con un retraso mínimo.

Algunos proveedores de interconexiones de socio pueden ofrecer esta configuración como un servicio administrado, basado en un router virtual. Si Google Cloud y el otro proveedor de servicios en la nube finalizan los servicios de conexión en diferentes ubicaciones, entonces debes proporcionar un circuito que conecte las dos ubicaciones.

¿Cómo puedo conectar AWS y Google Cloud sin colocar el equipo en una instalación de colocación cerca del perímetro de Google?

Megaport ofrece su propia solución de Cloud Router para los clientes de Google Cloud que no quieren colocar hardware cerca del perímetro de Google. Para obtener información sobre cómo configurar este producto con Google Cloud, consulta las instrucciones de configuración.

Adjuntos de VLAN

En esta sección, se abordan las preguntas sobre los adjuntos de VLAN.

¿Cómo puedo elegir el ID de VLAN que se usa para un adjunto de VLAN?

Para un adjunto de VLAN creado con la interconexión de socio, el proveedor de servicios elige el ID de VLAN durante el proceso de creación o te permite elegirlo. Comunícate con tu proveedor de servicios para determinar si te permite elegir el ID de VLAN para los adjuntos de VLAN.

En un adjunto de VLAN creado con la interconexión dedicada, puedes usar el comando gcloud compute interconnects attachments create con la marca --vlan o puedes seguir las instrucciones de Google Cloud Console.

En el siguiente ejemplo, se muestra cómo usar el comando gcloud para cambiar el ID de VLAN a 5:

gcloud compute interconnects attachments dedicated create my-attachment \
  --router my-router \
  --interconnect my-interconnect \
  --vlan 5 \
  --region us-central1

Para obtener las instrucciones completas, consulta uno de los siguientes documentos:

¿Puedo usar un Cloud Router con más de un adjunto de VLAN?

Sí, esta es una configuración compatible.

¿Puedo configurar adjuntos cuyos anchos de banda combinados superen el ancho de banda de mi conexión de interconexión?

Sí, pero crear adjuntos con un ancho de banda combinado superior al de la conexión de interconexión no proporciona más que el ancho de banda máximo admitido de la conexión.

MPLS

En esta sección, se abordan las preguntas sobre Cloud Interconnect y la conmutación de etiquetas multiprotocolo (MPLS).

¿Puedo usar Cloud Interconnect para finalizar un LSP de MPLS en mi red de VPC?

Desde diciembre de 2018, VPC no cuenta con una función integrada en Google Cloud para finalizar el LSP de MPLS.

En un servicio de VPN de MPLS autoadministrado, ¿puedo hacer que mi red de VPC se muestre como un sitio adicional?

Si tienes un servicio de VPN de MPLS que administras, puedes hacer que tu red de VPC se muestre como un sitio adicional que consta de una VPN autoadministrada.

Esta situación supone que no compras un servicio de VPN de MPLS a un proveedor. En cambio, tienes un entorno de VPN de MPLS en el que administras y configuras los routers de P y PE de la red de MPLS.

Esto es lo que debes hacer para que tu red de VPC se muestre como un sitio adicional en tu servicio de VPN de MPLS autoadministrado:

  1. Conecta uno de tus dispositivos perimetrales de PE de VPN de MPLS a tu dispositivo perimetral de intercambio de tráfico para la interconexión dedicada mediante un modelo similar a la opción A de VPN de MPLA de Inter-AS (Consulta RFC 4,364, párrafo 10). En otras palabras, puedes finalizar la VPN de MPLS-VPN requerida, por ejemplo, VRF_A, en tu dispositivo perimetral de PE y, luego, usar la asignación de VLAN a VRF para “unirse” al adjunto de VLAN de Google Cloud en esta VPN, básicamente mapeando VLAN a VRF_A en el dispositivo perimetral de PE.

  2. Crea una sesión de BGP IPv4 estándar entre el router de PE y Cloud Router a fin de garantizar que las rutas se intercambian entre ellos. Las rutas que envía Cloud Router se muestran solo en la tabla de enrutamiento de VPN (dentro de VRF_A) y no en la tabla de enrutamiento global del dispositivo perimetral de PE.

    Puedes administrar la superposición de rangos de IP si creas múltiples VPN separadas. Por ejemplo, VRF_A y VRF_B, cada una con una sesión BGP a Cloud Router en una red de VPC específica (por ejemplo, VPC_A y VPC_B). Este procedimiento no requiere un encapsulamiento de MPLS entre tu dispositivo perimetral de PE y el dispositivo perimetral de intercambio de tráfico para la interconexión dedicada.

¿Puedo hacer que mi red de VPC se muestre como un sitio adicional en mi VPN de MPLS de un proveedor que también es un proveedor de servicios de interconexión de socio?

Si compras un servicio de VPN de MPLS de un proveedor que también es un proveedor de servicios oficial de la interconexión de socio, puedes hacer que tu red de VPC se muestre como un sitio adicional en tu VPN de MPLS.

En este caso, el proveedor administra y configura los routers de P y PE de su red de MPLS. Como la interconexión de socio usa el mismo modelo de conectividad que la interconexión dedicada, el proveedor puede usar un modelo similar a la opción A de VPN de MPLS de Inter-AS (Consulta RFC 4364, párrafo 10).

En esencia, el proveedor te proporciona un servicio de capa 3 de interconexión de socio y “vincula” tu adjunto de VLAN con la VPN de MPLS correcta en el dispositivo perimetral del proveedor. Debido a que este es un modelo de servicio de capa 3, la sesión BGP se establece entre tu Cloud Router y tu VRF dentro del dispositivo perimetral del proveedor. Para obtener más detalles, consulta la descripción general de la interconexión de socio.

Eventos de mantenimiento de infraestructura

¿Qué son los eventos de mantenimiento de infraestructura?

Es posible que Cloud Interconnect deba realizar tareas de mantenimiento programadas que podrían afectar a tu red. Los eventos de mantenimiento de emergencia o no programados también pueden generan que los circuitos queden inactivos. Google recomienda crear topologías de red híbrida de alta disponibilidad.

¿Con qué frecuencia ocurren los eventos programados de mantenimiento de infraestructura?

Los eventos de mantenimiento de infraestructura no tienen un intervalo establecido entre los casos, pero, por lo general, se realizan varias veces al año.

¿Cómo sé cuándo se generará un evento de mantenimiento de infraestructura?

Antes de un evento de mantenimiento de infraestructura programado, recibirás las siguientes notificaciones:

  • Se enviará un correo electrónico a todos los propietarios del proyecto en cuanto se programe un mantenimiento.
  • Se envía un correo electrónico a la dirección que aparece en el campo nocContactEmail del objeto de Cloud Interconnect. Puedes encontrar y editar este objeto en Google Cloud Console en la página de detalles de Cloud Interconnect o con el siguiente comando de gcloud:

    gcloud compute interconnects describe my-interconnect
    
  • Aparecerá una notificación en la pestaña Actividad de Cloud Console y en el área Notificaciones.

Un vínculo único en un dominio de disponibilidad perimetral no proporciona un ANS. Para evitar la pérdida del acceso a tus servicios durante el mantenimiento, asegúrate de aprovisionar dos vínculos en diferentes dominios de disponibilidad perimetral.