Descripción general de los radios de VPC

En esta página, se proporciona una descripción general de la compatibilidad con los radios de nube privada virtual (VPC) en Network Connectivity Center.

Radios de VPC

Network Connectivity Center proporciona conectividad de red entre VPC a gran escala con la asistencia para radios de VPC. Los radios de VPC reducen la complejidad operativa de la administración de las conexiones de intercambio de tráfico de red de VPC individuales en pares con el uso de radios de VPC y un modelo de administración de conectividad centralizado. Los radios de VPC exportan e importan todas las rutas de subred IPv4 desde otras VPC de radio en un concentrador de Network Connectivity Center. Esto garantiza una conectividad IPv4 completa entre todas las cargas de trabajo que residen en todas estas redes de VPC. El tráfico de red entre VPC permanece dentro de la red de Google Cloud y no se transmite a través de Internet, lo que ayuda a garantizar la privacidad y la seguridad.

Los radios de VPC pueden estar en el mismo proyecto y la misma organización, o en un proyecto y una organización diferentes desde el concentrador de Network Connectivity Center. Los radios de VPC se pueden conectar a un concentrador a la vez.

Para obtener información sobre cómo crear un radio de VPC, consulta Crea un radio de VPC.

Comparación con el intercambio de tráfico entre redes de VPC

Los radios de VPC están diseñados con el fin de admitir los requisitos de cargas de trabajo empresarial de medianas a grandes para la conectividad enrutada entre rangos de subred IPv4 ubicados en muchas redes de VPC distintas.

Una red de VPC puede ser un radio de VPC de Network Connectivity Center y conectarse a otras redes de VPC mediante el intercambio de tráfico entre redes de VPC. Sin embargo, las rutas de subred que la red de VPC de radio importa mediante el intercambio de tráfico entre redes de VPC no se comparten con otros radios de VPC que están conectados al concentrador de Network Connectivity Center. En consecuencia, no se puede acceder de manera predeterminada a los servicios administrados con la tecnología del acceso privado a servicios de forma transitiva mediante otros radios de VPC de un concentrador de Network Connectivity Center. En este caso, puedes hacer que el servicio administrado sea accesible con un radio de VPC del productor (versión preliminar).

Función	Intercambio de tráfico entre redes de VPC	Radios de VPC
Redes de VPC	Hasta 25 (requiere una disminución de otras cuotas de VPC).	Hasta 250 radios de VPC activos por concentrador.
Instancias de VM	Instancias por grupo de intercambio de tráfico.	Network Connectivity Center admite el máximo por red de VPC (no se necesitan cuotas adicionales de grupos de intercambio de tráfico).
Rangos de subred (rutas de subred)	Rangos de subredes por grupo de intercambio de tráfico.	Rutas de subred por tabla de rutas.
Rutas estáticas y dinámicas	Rutas estáticas por grupo de intercambio de tráfico. Rutas dinámicas por región por grupo de intercambio de tráfico.	500 rutas dinámicas por concentrador. No se admite el intercambio de rutas estáticas.
Filtros de exportación	No se admiten filtros específicos. Consulta Opciones de intercambio de rutas en la documentación de intercambio de tráfico entre redes de VPC.	Hasta 16 rangos CIDR compatibles con cada radio de VPC.
Direccionamiento IP	Direcciones IP internas, incluidas las direcciones IP privadas y las direcciones IPv4 públicas usadas de forma privada. Consulta Rangos de IPv4 válidos.	Direcciones IPv4 internas, incluidas las direcciones IP privadas y sin incluir las direcciones IPv4 públicas de uso privado. Consulta Rangos de IPv4 válidos.
Familias de direcciones IP	Direcciones IPv4 y IPv6/IPv4 de pila doble.	Solo direcciones IPv4.
Rendimiento y capacidad de procesamiento (en comparación con otros mecanismos de conectividad de VPC)	La latencia más baja y la mayor capacidad de procesamiento (equivalente a VM a VM).	La latencia más baja y la mayor capacidad de procesamiento (equivalente a VM a VM).

Radios de VPC en un proyecto diferente del de un concentrador

Con Network Connectivity Center, puedes conectar redes de VPC, representadas como radios de VPC, a un solo concentrador en un proyecto diferente, incluido un proyecto en una organización diferente. Esto te permite conectar tus redes de VPC en varios proyectos y organizaciones a gran escala.

Puedes ser uno de los siguientes tipos de usuarios:

Un administrador de concentrador que es propietario de un concentrador en un proyecto
Un administrador de radio de red de VPC o un administrador de red que desee agregar su red de VPC en un proyecto diferente como un radio al concentrador

El administrador del concentrador controla quién puede crear un radio de VPC en un proyecto diferente asociado con su concentrador mediante permisos de Identity and Access Management (IAM). El administrador del radio de la red de VPC crea un radio en un proyecto diferente del concentrador. Estos radios están inactivos cuando se crean. El administrador del concentrador debe revisarlos y puede aceptar o rechazar el radio. Si el administrador del concentrador acepta el radio, este se activa.

Network Connectivity Center siempre acepta de forma automática los radios creados en el mismo proyecto que el concentrador.

Para obtener información detallada sobre cómo administrar los concentradores que tienen radios de VPC en un proyecto diferente del concentrador, consulta Descripción general de la administración del concentrador. Para obtener información detallada para los administradores de radios, consulta la Descripción general de la administración de radios.

Conectividad VPC con filtros de exportación

Network Connectivity Center te permite limitar la conectividad de todas las redes de VPC de radio a solo un subconjunto de subredes en la VPC de radio. Para limitar la conectividad, especifica los rangos de direcciones IP que no se deben anunciar y establece una lista de rangos CIDR que se pueden anunciar desde la red de VPC. También puedes limitar la conectividad especificando una lista de rangos CIDR permitidos, lo que bloqueará todos los rangos excepto los permitidos.

Excluye rangos de exportación

Puedes evitar que se anuncie un rango de direcciones IP con la marca --exclude-export-ranges en Google Cloud CLI o el campo excludeExportRanges en la API. Se excluyen las subredes que coincidan con el rango especificado para que no se exporten al concentrador. Este filtrado es útil cuando tienes subredes que deben ser privadas dentro de la red de VPC o que pueden superponerse con otras subredes en la tabla de rutas del concentrador.

Incluye rangos de exportación

Puedes establecer una lista de rangos CIDR que se pueden anunciar desde un radio de VPC con la marca include-export-ranges o el campo includeExportRanges en la API. Se establece una conectividad más precisa cuando lo usas junto con el rango de direcciones IP del filtro de exportación excluido. Este filtrado determina si se puede anunciar un rango de subred en particular desde la red de VPC.

Consideraciones

Ten en cuenta lo siguiente cuando uses los filtros de rangos de exportación de exclusión y de inclusión:

Los rangos de inclusión deben ser exclusivos entre sí, lo que significa que los rangos de inclusión no deben superponerse. Por ejemplo, supongamos que hay tres rangos de direcciones IP:

Range 1: 10.100.64.0/18

Range 2: 10.100.250.0/21

Range 3: 10.100.100.0/22

Range 1 y range 2 son rangos de inclusión válidos porque no se superponen. Sin embargo, range 3 está debajo de range 1, lo que puede causar superposiciones, por lo que range 3 no es válido.
Debido a que Network Connectivity Center ya tiene filtros de exclusión de exportación disponibles en la política de configuración de red, tanto los filtros de inclusión como los de exclusión de exportación afectan los rangos CIDR de configuración de red válidos. Cuando se usan los filtros de exportación de inclusión y exclusión, los rangos de direcciones IP incluidos deben ser un superconjunto de los rangos de direcciones IP excluidos.
De forma predeterminada, todas las políticas de conectividad de VPC tienen un rango de CIDR de inclusión de 0.0.0.0/0, lo que significa que, si no especificas el filtro de inclusión cuando creas el radio de VPC, el Centro de conectividad de red establece el rango de inclusión predeterminado para todas las direcciones IPv4 privadas válidas, como se define en Rangos de IPv4 válidos.
Para definir mejor un rango de inclusión, puedes agregar varios rangos de exclusión. Por ejemplo, si especificas 10.1.0.0/16 como un rango de inclusión y 10.1.100.0/24 y 10.1.200.0/24 como los rangos de exclusión, el resultado es una conectividad refinada con la combinación de los filtros de inclusión y exclusión. Este rango incluye todo, desde 10.1.0.0/24 hasta 10.1.99.0/24, desde 10.1.101.0/24 hasta 10.1.199.0/24 y desde 10.1.201.0/24 hasta 10.1.255.0/24.
Los rangos de subred existentes siguen funcionando como se espera. Si se superponen los rangos de inclusión y exclusión cuando se crean nuevos rangos de subredes, se produce un error.

Ejemplos de rangos de subred nuevos no válidos

En los siguientes ejemplos, se muestran rangos de subredes no válidos:

Superposición con el rango excluido: Supongamos que hay los siguientes rangos de direcciones IP.

Incluir rango: 10.0.0.0/8

Exclude range 4: 10.1.1.0/24

Subnet range 4: 10.1.0.0/16

En este caso, el rango de inclusión contiene subnet range 4. Sin embargo, es un superconjunto de exclude range 4. Por lo tanto, subnet range 4 no es válido.
Superposición con el rango de inclusión: Supongamos que hay los siguientes rangos de direcciones IP.

Incluir rango: 10.1.1.0/24

Subnet range 5: 10.1.0.0/16

Subnet range 5 se superpone con el rango de inclusión, por lo que no es válido.

Cuando ingresas un rango de subred no válido durante el proceso de creación de la subred, recibes un error Invalid IPCiderRange, similar al siguiente:

Invalid IPCidrRange: CIDR_RANGE conflicts with existing subnetwork SUBNET_RANGE in region REGION

Topologías predeterminadas

Network Connectivity Center te permite especificar la configuración de conectividad deseada en todos los radios de VPC. Puedes elegir una de las siguientes dos topologías predeterminadas:

Topología de malla
Topología en estrella

Cuando crees un concentrador con el comando gcloud network-connectivity hubs create, elige la topología de malla o estrella predeterminada. Si no se especifica la topología, el valor predeterminado es malla. Una vez establecida durante la creación del concentrador, no puedes cambiar la topología de un concentrador determinado.

Para cambiar la configuración de topología de un nodo, puedes borrarlo y crear uno nuevo con un concentrador nuevo que use una topología diferente.

Topología de malla

La topología de malla proporciona conectividad de red a gran escala entre los radios de VPC. Esta topología permite que todos los radios se conecten y se comuniquen entre sí. Se puede acceder por completo a las subredes dentro de estos radios de VPC, a menos que especifiques exclude export filters. De forma predeterminada, cuando se configuran dos o más redes de VPC de carga de trabajo para unirse a un concentrador de Network Connectivity Center como radios, Network Connectivity Center construye automáticamente una malla completa de conectividad entre cada radio.

Todos los radios dentro de la topología de malla pertenecen a un solo grupo predeterminado. La topología de malla se admite en los tipos de radios híbridos y de VPC.

En el siguiente diagrama, se muestra la conectividad de la topología de malla en Network Connectivity Center.

Conectividad de topología de malla de Network Connectivity Center. — Conectividad de la topología de malla de Network Connectivity Center (haz clic para ampliar).

Topología en estrella

La topología en estrella solo es compatible con radios de VPC. Cuando usas una topología de estrella para la conectividad, los radios periféricos y sus subredes asociadas solo llegan a los radios centrales designados, mientras que los radios centrales pueden llegar a todos los demás radios. Esto ayuda a garantizar la segmentación y la separación de la conectividad en las redes de VPC perimetrales.

Debido a que los radios de VPC se pueden conectar a un concentrador en un proyecto diferente, los radios de VPC pueden provenir de diferentes dominios administrativos. Es posible que estos radios que se encuentran en un proyecto diferente del concentrador no necesiten comunicarse con todos los demás radios del concentrador de Network Connectivity Center.

Puedes elegir la topología de estrella para el siguiente caso de uso:

Cargas de trabajo que se ejecutan en diferentes redes de VPC que no requieren conectividad entre sí, pero sí requieren acceso solo a las redes de VPC a través de la red de VPC de servicios compartidos central.
Control de seguridad sobre la comunicación entre varias redes de VPC que requiere que el tráfico pase a través de un conjunto de dispositivos virtuales de red (NVA) centralizados.

En el siguiente diagrama, se muestra la conectividad de topología de estrella en Network Connectivity Center. center-vpc-a y center-vpc-b están asociados con el grupo central, y edge-vpc-c y edge-vpc-d están asociados con el grupo perimetral. En este caso, el uso de la topología de estrella permite que edge-vpc-c y edge-vpc-d se conecten a center-vpc-a y center-vpc-b, y propaguen sus subredes al grupo central, pero no se conecten entre sí (no hay accesibilidad directa entre edge-vpc-c y edge-vpc-d). Mientras tanto, center-vpc-a y center-vpc-b están conectados entre sí y a edge-vpc-c y edge-vpc-d, lo que permite la accesibilidad completa desde las VPC del grupo central a las VPC del grupo perimetral.

Conectividad de topología en estrella de Network Connectivity Center. — Conectividad de topología de estrella de Network Connectivity Center (haz clic para ampliar)

Grupos de radios

Un grupo de radios es un subconjunto de radios conectados a un concentrador. Para configurar Network Connectivity Center con una topología de estrella, debes separar todos los radios de VPC en dos grupos diferentes, también conocidos como dominios de enrutamiento:

Un grupo de radios central, que se comunican con todos los demás radios conectados al concentrador
Un grupo de radios periférico, que se comunica solo con radios que pertenecen al grupo central

Un radio de VPC puede pertenecer a un solo grupo a la vez. Los grupos se crean automáticamente cuando creas un concentrador.

Un administrador del concentrador puede actualizar un grupo de radios mediante el comando gcloud network-connectivity hubs groups update. El administrador del concentrador puede agregar una lista de IDs o números de proyectos para habilitar la aceptación automática de radios. Cuando la aceptación automática está habilitada, el radio del proyecto de aceptación automática se conecta de forma automática al concentrador sin necesidad de realizar una revisión de propuestas de radio individuales.

Puedes enumerar los grupos centro y perímetro como recursos anidados para un concentrador específico con el comando gcloud network-connectivity hubs groups list --hub. En los concentradores creados con topología de malla, el resultado muestra el grupo predeterminado. En el caso de los concentradores creados con topología de estrella, el resultado muestra los grupos centro y perímetro.

Para obtener información detallada sobre cómo configurar la topología de malla o estrella para tus radios de VPC, consulta Configura un concentrador.

Limitaciones

En esta sección, se describen las limitaciones de los radios de VPC en general y cuando se conectan a un concentrador en un proyecto diferente. Estas limitaciones también se aplican a los radios de VPC de productor (versión preliminar).

Limitaciones de los radios de VPC

Las redes de VPC pueden conectarse entre sí de forma exclusiva a través del concentrador de Network Connectivity Center o del intercambio de tráfico entre redes de VPC.
No puedes usar el intercambio de tráfico entre redes de VPC entre dos radios de VPC que están conectados al mismo concentrador de Network Connectivity Center. Sin embargo, ten en cuenta lo siguiente:
- Un radio de VPC de productor requiere una conexión de intercambio de tráfico con un radio de VPC en el mismo concentrador. No se establece la conectividad a través de Network Connectivity Center entre el radio de VPC del productor y su radio de VPC vinculado.
- Puedes tener un radio de VPC conectado a Network Connectivity Center que intercambia tráfico a través del intercambio de tráfico entre redes de VPC con una VPC independiente que no forma parte de Network Connectivity Center.
Las VPC conectadas a través de Network Connectivity Center y el intercambio de tráfico entre redes de VPC en cualquier combinación no son transitivas.
No se admite el intercambio de rutas estáticas IPv4 entre radios de VPC.
No se admiten rutas que apunten a direcciones IP virtuales del balanceador de cargas de red de transferencia interna en otros radios de VPC.
Las subredes superpuestas deben enmascararse con filtros de exportación de exclusión.
No se admite la actualización de export range filters después de la creación del radio de VPC.
Para un radio en un proyecto diferente del concentrador, cuando se agrega un nuevo perímetro de Controles del servicio de VPC, no puedes agregar radios nuevos que infrinjan el perímetro, pero los radios existentes continúan funcionando.
La conectividad de topología en estrella no admite radios híbridos ni el intercambio de rutas dinámico.

Requisitos de período de inactividad después de borrar un radio de VPC

Para un radio nuevo en la misma red de VPC conectada a un concentrador diferente, debes esperar el período de inactividad de al menos 10 minutos. Si no se permite el período de inactividad adecuado, es posible que la nueva configuración no se aplique. No se necesita este período de inactividad si la red de VPC se agrega como un radio al mismo concentrador.

Cuotas y límites

Para obtener información detallada sobre las cuotas, consulta Cuotas y límites.

Facturación

Horas de radio

Las horas de radio se cobran al proyecto en el que se encuentra el recurso de radio y siguen los precios estándar de las horas de radio. Las horas de radio solo se cobran cuando el radio está en el estado ACTIVE.

Tráfico saliente

El tráfico de salida se cobra al proyecto del recurso de radio desde el que se origina el tráfico. Los precios son los mismos sin importar si el tráfico cruza los límites del proyecto.

Acuerdo de nivel de servicio

Para obtener información sobre el Acuerdo de Nivel de Servicio (ANS) de Network Connectivity Center, consulta Acuerdo de Nivel de Servicio (ANS) de Network Connectivity Center.

Precios

Para obtener información sobre los precios, consulta los precios de Network Connectivity Center.

¿Qué sigue?

Para crear concentradores y radios, consulta Trabaja con concentradores y radios.
Para ver una lista de socios cuyas soluciones están integradas en Network Connectivity Center, consulta Socios de Network Connectivity Center.
Para encontrar soluciones a problemas comunes, consulta Solución de problemas.
Para obtener detalles sobre los comandos de la API y gcloud, consulta API y referencia.