Conectar dos sitios mediante radios de VPN

En este tutorial, se explica cómo usar un eje de Network Connectivity Center y radios de VPN de Cloud para configurar transferencias de datos entre dos oficinas.

Para obtener más información sobre cómo crear centros de conectividad y radios, consulta el artículo Trabajar con centros de conectividad y radios.

Antes de empezar

Antes de empezar, consulta las siguientes secciones.

Crea o escoge un proyecto.

Para facilitar la configuración de Network Connectivity Center, empieza por identificar un proyecto válido.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

1. Si usas la CLI de Google Cloud, define el ID de tu proyecto con el comando gcloud config set.

   gcloud config set project PROJECT_ID

   Sustituye PROJECT_ID por el ID de tu proyecto único.

   En las instrucciones de la CLI gcloud de esta página se presupone que ya has definido el ID de tu proyecto.

2. Para confirmar que has definido el ID de proyecto correctamente, usa el comando gcloud config list.

   gcloud config list --format='text(core.project)'

Convenciones para identificar recursos

Cuando hagas referencia a recursos mediante la CLI de gcloud o la API, utiliza las convenciones descritas en la siguiente tabla.

Convención	Compatible con	Notas	Ejemplo
URI completo	Todos los recursos	Usa uno de estos métodos para hacer referencia a las instancias de dispositivos router.	"https://www.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
Nombre de recurso relativo	Todos los recursos		"projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
Nombre	Recursos regionales y globales	Usa este método para los centros de conectividad, los radios, los túneles VPN y las vinculaciones de VLAN.	"HUB_NAME"

Topología de ejemplo

En el siguiente diagrama se describen los recursos de ejemplo que se usan en este tutorial.






Configurar la conectividad de la transferencia de datos

Para configurar la conectividad de la transferencia de datos, sigue estos pasos:

1. Crea Google Cloud recursos, como una red de nube privada virtual (VPC), pasarelas y túneles de VPN de alta disponibilidad, y Cloud Routers.
2. Crea un centro de control.
3. Define un spoke para la primera y la segunda sucursal. Cada radio debe usar un túnel VPN como recurso subyacente.
4. Verifica la configuración.

Crear Google Cloud recursos

En este tutorial se da por hecho que ya has creado los siguientesGoogle Cloud recursos:

• Una red de VPC cuyo modo de enrutamiento dinámico esté configurado como global
• En la región más cercana a Office1, una subred, una pasarela de VPN de alta disponibilidad, un Cloud Router y un túnel que conecta la interfaz de la pasarela con Office1
• En la región más cercana a Office2, una subred, una pasarela de VPN de alta disponibilidad, un Cloud Router y un túnel que conecta la interfaz de la pasarela con Office2

Si necesitas crear estos recursos, consulta los siguientes documentos:

• Para crear una red de VPC, consulta Crear redes. Como esta configuración usa radios en diferentes regiones, define el modo de enrutamiento dinámico de la red como global.
• Para crear subredes, consulta el artículo Añadir subredes.
• Para crear pasarelas y túneles de VPN de alta disponibilidad, así como un Cloud Router, consulta el artículo Crear una pasarela de VPN de alta disponibilidad a una pasarela de VPN de par.

Una vez que haya identificado los recursos Google Cloud o creado otros nuevos, vaya a la siguiente sección.

Crear el centro

Primero, crea un centro. Más adelante, puedes conectar radios a este centro.

Permisos que se necesitan para completar esta tarea

Para llevar a cabo esta tarea, debes tener los siguientes permisos o los siguientes roles de gestión de identidades y accesos.

Permisos

• networkconnectivity.hubs.create
• Si trabajas en la Google Cloud consola:
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.list
  • networkconnectivity.spokes.list
  • compute.projects.get

Roles

• Administrador de Hub y Spoke (roles/networkconnectivity.hubAdmin)

• Si estás trabajando en la Google Cloud consola: Lector de red de Compute (roles/compute.networkViewer)

Consola

1. En la Google Cloud consola, ve a la página Network Connectivity Center.

   Ir a Network Connectivity Center

2. En el menú desplegable de proyectos, selecciona uno. En el diagrama de ejemplo, el proyecto es my-project.

3. Introduce un nombre de centro de control. En este caso, my-hub.

4. Añade una Descripción (opcional).

5. Verifica el ID del proyecto. Si el ID del proyecto es incorrecto, selecciona otro proyecto en el menú desplegable situado en la parte superior de la pantalla.

6. Haz clic en Continuar.

7. Para añadir el spoke Office1 al centro de control, ve a la sección Crear el spoke de la oficina 1.

gcloud

Para crear un centro de control, usa el comando gcloud network-connectivity hubs create.

  gcloud network-connectivity hubs create HUB_NAME \
     --description="DESCRIPTION" \
     --labels="KEY"="VALUE"

Sustituye los siguientes valores:

• HUB_NAME: el nombre del nuevo centro de control (en este caso, my-hub)
• DESCRIPTION: texto opcional que describe el centro de control.
• KEY: la clave del par clave-valor del texto de la etiqueta opcional.
• VALUE: el valor del par clave-valor del texto de la etiqueta opcional

Para añadir el spoke Office1 al centro de control, ve a la sección Crear el spoke de la oficina 1.

API

Para crear un centro, usa el método networkconnectivity.hubs.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/hubs
  {
    "name":"HUB_NAME",
    "description":"DESCRIPTION",
    "labels": {
      "KEY": "VALUE"
    }
  }

Sustituye los siguientes valores:

• PROJECT_ID: el ID del proyecto que contiene el nuevo centro de control. Por ejemplo, my-project.
• HUB_NAME: el nombre del nuevo centro de control. Por ejemplo: my-hub
• DESCRIPTION: texto opcional que describe el centro de control.
• KEY: la clave del par clave-valor del texto de la etiqueta opcional.
• VALUE: el valor del par clave-valor del texto de la etiqueta opcional

Para añadir el spoke Office1 al centro de control, ve a la sección Crear el spoke de la oficina 1.

Crea el radio de la oficina 1

Crea un radio para Office1. Utiliza dos túneles de VPN de alta disponibilidad como recursos subyacentes del radio. Cada túnel debe proceder de una pasarela de VPN de alta disponibilidad de la región más cercana a la oficina. En el diagrama de ejemplo, estos túneles se representan como vpn-tunnel1-office1 y vpn-tunnel2-office1.

Permisos que se necesitan para completar esta tarea

Para llevar a cabo esta tarea, debes tener los siguientes permisos o los siguientes roles de gestión de identidades y accesos.

Permisos

• networkconnectivity.spokes.create
• compute.routers.get
• compute.vpnTunnels.get
• Si trabajas en la Google Cloud consola, necesitas permiso para ver determinados recursos de red. Para obtener más información, consulta el artículo sobre roles y permisos.

Roles

• Puede tener estos valores:
  • Administrador de Spoke (roles/networkconnectivity.spokeAdmin)
  • Administrador de Hub y Spoke (roles/networkconnectivity.hubAdmin)
• Un rol, como Lector de redes de Compute (roles/compute.networkViewer)), que te concede permiso para leer recursos de Cloud Router y el tipo de recurso de tu spoke (en este caso, túneles VPN).
• Si estás trabajando en la Google Cloud consola, Lector de red de Compute (roles/compute.networkViewer)

Consola

Los pasos que se indican a continuación continúan desde Crear el centro de control. En ellos se explica cómo crear un radio inmediatamente después de especificar el nombre y la descripción del centro.

1. En el formulario New spoke (Nuevo spoke), defina el campo Spoke type (Tipo de spoke) como VPN tunnel (Túnel VPN).
2. Escribe un nombre de Spoke. En este caso, escribe office-1-spoke.
3. Si quieres, puedes introducir una Descripción del radio.
4. Selecciona la región del spoke. En el diagrama de ejemplo, el spoke se encuentra en us-west1.
5. En Transferencia de datos de sitio a sitio, selecciona Activado.
6. Selecciona la red de VPC adecuada. En el diagrama de ejemplo, el spoke se encuentra en network-a.
7. Selecciona un túnel VPN. Si procede, haz clic en Añadir túnel para añadir otro campo Túnel VPN. En el diagrama de ejemplo, se usan dos túneles: vpn-tunnel1-office1 y vpn-tunnel2-office1. Cuando hayas terminado de añadir túneles, haz clic en Hecho.
8. Haz clic en Crear.

La página Network Connectivity Center se actualiza para mostrar detalles sobre los radios que has creado. Para añadir el Office2 al centro de control, ve a Crear el spoke de Office 2.

gcloud

Para crear el spoke, usa el comando gcloud network-connectivity spokes linked-vpn-tunnels create.

  gcloud network-connectivity spokes linked-vpn-tunnels create SPOKE_NAME \
    --hub=HUB_NAME \
    --description="DESCRIPTION" \
    --vpn-tunnels=TUNNEL_NAME,TUNNEL_NAME_2 \
    --region=REGION \
    --labels="KEY"="VALUE" \
    --site-to-site-data-transfer

Sustituye los siguientes valores:

• SPOKE_NAME: el nombre del radio (en este caso, office-1-spoke).
• HUB_NAME: el nombre del centro al que vas a conectar el radio. En este caso, my-hub.
• DESCRIPTION: texto opcional que describe el radio.
• TUNNEL_NAME: el nombre del primer túnel de VPN de alta disponibilidad. En este caso, vpn-tunnel1-office1.
• TUNNEL_NAME_2: el nombre del túnel redundante (en este caso, vpn-tunnel2-office1). Cuando incluyas un segundo túnel, no uses un espacio entre la coma y el nombre del segundo túnel.
• REGION: la Google Cloud región en la que se encuentra el spoke. En este caso, us-west1.
• KEY: la clave del par clave-valor del texto de la etiqueta opcional.
• VALUE: el valor del par clave-valor del texto de la etiqueta opcional

Para añadir el Office2 al centro de control, ve a Crear el Office2 para la oficina 2.

API

Para crear el radio, usa el método networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME
  {
    "hub": "HUB_NAME",
    "labels": {"KEY": "VALUE"},
    "linkedVpnTunnels": {
      "uris: [
        "TUNNEL_NAME",
        "TUNNEL_NAME_2"
      ],
      "siteToSiteDataTransfer": true
    }
  }

Sustituye los siguientes valores:

• PROJECT_ID: el ID de tu proyecto
• REGION: la región Google Cloud en la que quieres ubicar el spoke. En este caso, us-west1.
• SPOKE_NAME: el nombre del spoke.
• HUB_NAME: el nombre del centro al que vas a conectar el spoke
• KEY: la clave del par clave-valor del texto de etiqueta opcional
• VALUE: el valor del par clave-valor del texto de la etiqueta opcional
• TUNNEL_NAME: el nombre del primer túnel de VPN de alta disponibilidad. En este caso, vpn-tunnel1-office1.
• TUNNEL_NAME_2: el nombre del túnel redundante (en este caso, vpn-tunnel2-office1). Cuando incluyas un segundo túnel, no uses un espacio entre la coma y el nombre del segundo túnel.

Crea el radio de Office 2

Crea un radio para Office2. Utiliza dos túneles de VPN de alta disponibilidad como recursos subyacentes del radio. Cada túnel debe proceder de una pasarela de VPN de alta disponibilidad de la región más cercana a la oficina. En el diagrama de ejemplo, estos túneles se representan como vpn-tunnel1-office2 y vpn-tunnel2-office2.

Permisos que se necesitan para completar esta tarea

Para llevar a cabo esta tarea, debes tener los siguientes permisos o los siguientes roles de gestión de identidades y accesos.

Permisos

• networkconnectivity.spokes.create
• compute.routers.get
• compute.vpnTunnels.get
• Si trabajas en la Google Cloud consola, necesitas permiso para ver determinados recursos de red. Para obtener más información, consulta el artículo sobre roles y permisos.

Roles

• Puede tener estos valores:
  • Administrador de Spoke (roles/networkconnectivity.spokeAdmin)
  • Administrador de Hub y Spoke (roles/networkconnectivity.hubAdmin)
• Un rol, como Lector de redes de Compute (roles/compute.networkViewer)), que te concede permiso para leer recursos de Cloud Router y el tipo de recurso de tu spoke (en este caso, túneles VPN).
• Si estás trabajando en la Google Cloud consola, Lector de red de Compute (roles/compute.networkViewer)

Consola

Para crear el segundo radio, haz lo siguiente:

1. Ve a la página Network Connectivity Center.

   Ir a Network Connectivity Center

2. En el menú desplegable de proyectos, selecciona uno. En el diagrama de ejemplo, el proyecto es my-project.

3. Haz clic en la pestaña Portavoces.

4. Haz clic en Añadir radios para abrir la página Añadir radios.

5. En el formulario New spoke (Nuevo spoke), defina el campo Spoke type (Tipo de spoke) como VPN tunnel (Túnel VPN).

6. Escribe un nombre de Spoke. En este caso, escribe office-2-spoke.

7. Si quieres, puedes introducir una Descripción del radio.

8. Selecciona la región del spoke. En el diagrama de ejemplo, el spoke se encuentra en us-east1.

9. En Transferencia de datos de sitio a sitio, selecciona Activado.

10. Comprueba que el campo Red VPC esté configurado en la misma red que el último radio que hayas creado. En el diagrama de ejemplo, es network-a.

11. Selecciona un túnel VPN. Si procede, haz clic en Añadir túnel para añadir otro campo Túnel VPN. En el diagrama de ejemplo, se usan dos túneles: vpn-tunnel1-office2 y vpn-tunnel2-office2. Cuando hayas terminado de añadir túneles, haz clic en Hecho.

12. Haz clic en Crear.

gcloud

Para crear el spoke, usa el comando gcloud network-connectivity spokes linked-vpn-tunnels create.

  gcloud network-connectivity spokes linked-vpn-tunnels create SPOKE_NAME \
    --hub=HUB_NAME \
    --description="DESCRIPTION" \
    --vpn-tunnels=TUNNEL_NAME,TUNNEL_NAME_2 \
    --region=REGION \
    --labels="KEY"="VALUE" \
    --site-to-site-data-transfer

Sustituye los siguientes valores:

• SPOKE_NAME: el nombre del radio (en este caso, office-2-spoke).
• HUB_NAME: el nombre del centro al que vas a conectar el radio. En este caso, my-hub.
• DESCRIPTION: texto opcional que describe el radio.
• TUNNEL_NAME: el nombre del primer túnel de VPN de alta disponibilidad. En este caso, vpn-tunnel1-office2.
• TUNNEL_NAME_2: el nombre del túnel redundante (en este caso, vpn-tunnel2-office2). Cuando incluyas un segundo túnel, no uses un espacio entre la coma y el nombre del segundo túnel.
• REGION: la Google Cloud región en la que se encuentra el spoke. En este caso, enus-east1.
• KEY: la clave del par clave-valor del texto de la etiqueta opcional.

• VALUE: el valor del par clave-valor del texto de la etiqueta opcional

  Para añadir el Office2 al centro de control, ve a Crear el Office2 para la oficina 2.

API

Para crear el radio, usa el método networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME
  {
    "hub": "HUB_NAME",
    "labels": {"KEY": "VALUE"},
    "linkedVpnTunnels": {
      "uris": [
        "TUNNEL_NAME",
        "TUNNEL_NAME_2"
      ],
      "siteToSiteDataTransfer": true
    }
  }

Sustituye los siguientes valores:

• PROJECT_ID: el ID de tu proyecto
• REGION: la región Google Cloud en la que quieres ubicar el spoke. En este caso, us-east1.
• SPOKE_NAME: el nombre del spoke.
• HUB_NAME: el nombre del centro al que vas a conectar el spoke
• KEY: la clave del par clave-valor del texto de etiqueta opcional
• VALUE: el valor del par clave-valor del texto de la etiqueta opcional
• TUNNEL_NAME: el nombre del primer túnel de VPN de alta disponibilidad. En este caso, vpn-tunnel1-office2.
• TUNNEL_NAME_2: el nombre del túnel redundante (en este caso, vpn-tunnel2-office2). Cuando incluyas un segundo túnel, no uses un espacio entre la coma y el nombre del segundo túnel.

Verificar la configuración

Después de configurar el centro y sus radios, deberías poder transferir tráfico desde la instancia de máquina virtual (VM) de una oficina a la instancia de VM de la otra oficina. Para ello, cada máquina virtual debe tener acceso al túnel VPN de su región.

Limpiar la configuración

Sigue los pasos que se indican en las siguientes secciones para limpiar la configuración de muestra. Para evitar que se te siga facturando, elimina los recursos que hayas creado.

Eliminar el proyecto

Si quieres eliminar el proyecto que has creado, sigue estos pasos. También puedes conservar el proyecto y eliminar recursos concretos, tal y como se describe en las siguientes secciones.

1. In the Google Cloud console, go to the Manage resources page.

   Go to Manage resources

2. In the project list, select the project that you want to delete, and then click Delete.
3. In the dialog, type the project ID, and then click Shut down to delete the project.

Eliminar ambos radios

Debes eliminar todos los radios antes de eliminar un centro.

Permisos que se necesitan para completar esta tarea

Para llevar a cabo esta tarea, debes tener los siguientes permisos o los siguientes roles de gestión de identidades y accesos.

Permisos

• networkconnectivity.spokes.delete
• Además, si trabajas en la Google Cloud consola:
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.list
  • networkconnectivity.spokes.list
  • compute.projects.get

Roles

• Una de las siguientes:
  • Administrador de Spoke (roles/networkconnectivity.spokeAdmin
  • Administrador de Hub y Spoke (roles/networkconnectivity.hubAdmin)

• Además, si trabajas en la Google Cloud consola:

  • Lector de red de Compute (roles/compute.networkViewer)

Consola

1. Ve a la página Network Connectivity Center.

   Ir a Network Connectivity Center

2. En el menú desplegable de proyectos, selecciona uno. En el diagrama de ejemplo, el proyecto es my-project.

3. Haz clic en la pestaña Portavoces.

4. Consulta la lista de nombres de Spoke del proyecto.

5. Marca las casillas de los radios que quieras eliminar (en este caso, office-1-spoke y office-2-spoke).

6. Haz clic en deleteEliminar radios.

7. En el cuadro de diálogo de confirmación, haz clic en Eliminar.

gcloud

Para eliminar radios, usa el comando gcloud network-connectivity spokes delete. Usa el comando dos veces: una para eliminar office-1-spoke y otra para eliminar office-2-spoke.

  gcloud network-connectivity spokes delete SPOKE_NAME \
    --region=REGION

Sustituye los siguientes valores:

• SPOKE_NAME: el nombre del spoke que quieres eliminar. En este caso, office-1-spoke y office-2-spoke.
• REGION: la Google Cloud región en la que se encuentra el spoke

API

Para eliminar radios, usa el método networkconnectivity.spokes.delete. Usa este método dos veces: una para eliminar office-1-spoke y otra para eliminar office-2-spoke.

  DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME

Sustituye los siguientes valores:

• PROJECT_ID: el ID del proyecto que contiene el spoke. En el diagrama de ejemplo, el proyecto es my-project.
• REGION: la Google Cloud región en la que se encuentra el spoke
• SPOKE_NAME: el nombre del spoke que quieres eliminar. En este caso, office-1-spoke y office-2-spoke.

Eliminar el centro

Una vez que hayas eliminado los radios, podrás eliminar el centro.

Permisos que se necesitan para completar esta tarea

Para llevar a cabo esta tarea, debes tener los siguientes permisos o los siguientes roles de gestión de identidades y accesos.

Permisos

• networkconnectivity.hubs.delete
• Además, si trabajas en la Google Cloud consola:
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.list
  • networkconnectivity.spokes.list
  • compute.projects.get

Roles

• Administrador de Hub y Spoke (roles/networkconnectivity.hubAdmin)

• Además, si trabajas en la Google Cloud consola, Lector de red de Compute (roles/compute.networkViewer)

Consola

1. En la Google Cloud consola, ve a la página Network Connectivity Center.

   Ir a Network Connectivity Center

2. En el menú desplegable de proyectos, selecciona uno (en el diagrama de ejemplo, el proyecto es my-project).

3. Haz clic en deleteEliminar centro de control.

4. En el cuadro de diálogo de confirmación, haz clic en Eliminar para eliminar el centro.

gcloud

Para eliminar el centro de control, usa el comando gcloud network-connectivity hubs delete.

  gcloud network-connectivity hubs delete HUB_NAME /
    --project=PROJECT_ID

Sustituye los siguientes valores:

• HUB_NAME: el nombre del centro que se va a eliminar. En este caso, my-hub.
• PROJECT_ID: el ID del proyecto que contiene el centro de control. En el diagrama de ejemplo, el proyecto es my-project.

API

Para eliminar el centro de control, usa el método networkconnectivity.hubs.delete.

  DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/hubs/HUB_NAME

Sustituye los siguientes valores:

• PROJECT_ID: el ID del proyecto que contiene el centro de control. En el diagrama de ejemplo, el proyecto es my-project.
• HUB_NAME: el nombre del centro que quieres eliminar

Eliminar la red de VPC y la subred

Elimina la red y la subred de VPC que has configurado para este tutorial.

Siguientes pasos

• Para ver una topología de ejemplo, consulta el artículo Topología de ejemplo para la transferencia de datos de sitio a sitio.
• Para obtener más información sobre cómo Network Connectivity Center habilita la conectividad de malla completa, consulta Intercambio de rutas con transferencia de datos de sitio a sitio.
• Para obtener información sobre los requisitos de alta disponibilidad, consulta Requisitos de alta disponibilidad para recursos de spoke.
• Para crear ejes y radios, consulta Trabajar con ejes y radios.
• Para encontrar soluciones a problemas de Network Connectivity Center, consulta la sección Solución de problemas.