Descripción general de los rangos de IP de alias

Los rangos de IP de alias de Google Cloud Platform (GCP) te permiten asignar rangos de direcciones IP internas como alias de las interfaces de red de una máquina virtual (VM). Esto es útil si tienes múltiples servicios ejecutándose en una VM y deseas asignarle a cada servicio una dirección IP distinta. Los rangos de IP de alias también funcionan con pods de GKE.

Descripción general

Si solo ejecutas un servicio en una VM, puedes consultarlo mediante la dirección IP principal de la interfaz. Si ejecutas múltiples servicios en una VM, tienes la opción de asignarle a cada uno una dirección IP interna distinta. Puedes hacer esto con rangos de IP de alias.

Rangos de CIDR principales y secundarios de la subred

Todas las subredes tienen un rango CIDR principal, que es el rango de direcciones IP internas que define la subred. Cada instancia de VM obtiene su dirección IP interna principal de este rango. Puedes asignar rangos de IP de alias desde ese rango principal, o puedes agregar un rango secundario a la subred y asignar rangos IP de alias desde el rango secundario. El uso de rangos de IP de alias no requiere rangos de subred secundarios. Estos rangos de subred secundarios simplemente proporcionan una herramienta organizativa.

Rangos de IP de alias definidos en una interfaz de red de VM

Mediante el alias de IP, puedes configurar múltiples direcciones IP internas que representen contenedores o aplicaciones alojadas en una VM, sin tener que definir una interfaz de red separada. Puedes asignar rangos de IP de alias de VM desde los rangos principales o secundarios de la subred.

En Cómo configurar rangos de IP de alias, se describen los comandos necesarios a fin de configurar una subred con rangos secundarios y para asignar alias de direcciones IP a las VM.

En el siguiente diagrama, se proporciona una ilustración básica de rangos principales y secundarios de CIDR y rangos de IP de alias de la VM en la interfaz principal de la VM:

Rangos CIDR principales y secundarios, y rangos de IP de alias de la VM (haz clic para agrandar)
Rangos CIDR principales y secundarios, y rangos de IP de alias de la VM (haz clic para agrandar)
  • Un rango CIDR principal 10.1.0.0/16 se configura como parte de una subred.
  • Un rango CIDR secundario 10.2.0.0/20 se configura como parte de una subred.
  • La IP principal de la VM 10.1.0.2 se asigna del rango CIDR principal, 10.1.0.0/16, mientras que el rango de IP de alias, 10.2.1.0/24, se asigna en la VM desde el rango CIDR secundario, 10.2.0.0/20.
  • Las direcciones en el rango de IP de alias se utilizan como las direcciones IP de los contenedores alojados en la VM.

Beneficios clave de los rangos de IP de alias

En la configuración de los rangos de IP de alias, GCP instala automáticamente rutas de redes de VPC para rangos de IP principales y de alias para la subred de la interfaz de la red principal. El organizador de tu contenedor no necesita especificar la conectividad de la red de VPC de esas rutas. Esto simplifica el tráfico de enrutamiento y la administración de tus contenedores. Deberás realizar la configuración como invitado, tal como se describe en Propiedades clave de los rangos de IP de alias.

Cuando GCP asigna las direcciones IP del contenedor, los procesos de validación en GCP garantizan que las direcciones IP del pod del contenedor no entren en conflicto con las direcciones IP de la VM.

Cuando se configuran las direcciones IP de alias, se realizan verificaciones de falsificación de identidad en el tráfico a fin de garantizar que el tráfico saliente de las VM utilice direcciones IP de VM y direcciones IP del pod como direcciones de origen. Las verificaciones de falsificación de identidad controlan que las VM no envíen tráfico con direcciones IP de origen arbitrarias. El uso de rutas estáticas para la red de contenedores sería un enfoque menos seguro en comparación con los alias de IP, ya que requeriría que las verificaciones de falsificación de identidad se inhabiliten en las VM del host del contenedor (las verificaciones de falsificación de identidad se desactivan cuando el reenvío de IP está habilitado).

Los rangos de IP de alias se pueden enrutar dentro de la red virtual de GCP sin la necesidad de rutas adicionales. No es necesario que agregues una ruta por cada alias de IP, y no debes tener en cuenta las cuotas de la ruta.

Cloud Router puede anunciar las direcciones IP de alias a una red local conectada mediante VPN o Interconnect.

Asignar rangos de IP de alias desde un rango CIDR secundario presenta ventajas. Cuando haces la asignación desde un rango separado del rango que se utiliza para las direcciones IP principales, puedes separar la infraestructura (VM) de los servicios (contenedores). Cuando configuras espacios de direcciones separadas para la infraestructura y los servicios, puedes configurar controles de firewall para las direcciones IP de alias de VM por separado de los controles de firewall para las direcciones IP principales de la VM. Por ejemplo, puedes permitir cierto tráfico para pods de contenedores y denegar tráfico similar para las direcciones IP principales de la VM.

Arquitectura de los contenedores en GCP

Considera una situación en la cual deseas configurar servicios en contenedores dentro de GCP. Necesitas crear las VM en las que se alojarán los servicios y, además, los contenedores.

En esta situación, debes enrutar el tráfico desde y hacia los contenedores hacia y desde las ubicaciones locales que están conectadas mediante una VPN. Sin embargo, las direcciones IP de la VM principal no deben ser accesibles mediante la VPN. A fin de crear esta configuración, el rango IP del contenedor debe ser enrutable mediante la VPN, pero no mediante el rango de IP principal de la VM. En el momento de la creación de la VM, también deberás asignar automáticamente un grupo de direcciones IP que se utilizan para el contenedor.

A fin de crear esta configuración, haz lo siguiente:

  • Cuando creas la subred, debes configurar
    • Un rango CIDR principal, por ejemplo, 10.128.0.0/16
    • Un rango CIDR secundario, por ejemplo, 172.16.0.0/16
  • Utiliza una plantilla de instancias para crear VM y asígnale automáticamente a cada una lo siguiente:
    • Una IP principal del rango 10.128.0.0/16
    • Un rango de Alias /24 del espacio CIDR 172.16.0.0/16 secundario, a fin de que puedas asignarle a cada pod en una VM una IP del rango CIDR /24 secundario.
  • Crea dos reglas de firewall.
    • Una regla que deniegue que el tráfico que viaja entre la VPN desde la ubicación local pueda alcanzar el rango CIDR principal de la subred.
    • Una regla que permita que el tráfico que viaja entre la VPN desde la ubicación local pueda alcanzar el rango CIDR secundario de la subred.

Ejemplo: cómo configurar contenedores con rangos de IP de alias

Mediante rangos de IP de alias, las direcciones IP del contenedor pueden asignarse desde un rango CIDR secundario y configurarse como direcciones IP de alias en la VM donde se aloja el contenedor.

Cómo configurar contenedores con direcciones IP de alias (haz clic para agrandar)
Cómo configurar contenedores con direcciones IP de alias (haz clic para agrandar)

Para crear la configuración antes ilustrada, haz lo siguiente:

  1. Crea una subred con un rango CIDR 10.128.0.0/16, desde la cual se asignan las direcciones IP de la VM, y un rango CIDR secundario 172.16.0.0/20 para uso exclusivo del contenedor, que se configurará como rangos de IP de alias en la VM que los aloja:

    gcloud compute networks subnets create subnet-a \
        --network network-a \
        --range 10.128.0.0/16 \
        --secondary-range container-range=172.16.0.0/20
    
  2. Crea VM con una IP principal del rango 10.128.0.0/16 y un rango de IP de alias 172.16.0.0/24 del rango CIDR secundario 172.16.0.0/20 para que utilicen los contenedores en esa VM:

    gcloud compute instances create vm1 [...] \
        --network-interface subnet=subnet-a,aliases=container-range:172.16.0.0/24
    gcloud compute instances create vm2 [...] \
        --network-interface subnet=subnet-a,aliases=container-range:172.16.1.0/24
    
  3. Las direcciones IP del contenedor se configuran en GCP como direcciones IP de alias. En esta configuración, se podrá acceder tanto a las IP principales como de alias mediante el túnel VPN. Si Cloud Router está configurado, anunciará automáticamente el rango de la subred secundario 172.16.0.0/20. Para obtener más información sobre cómo utilizar VPN con Cloud Router, consulta Cómo crear un túnel VPN con enrutamiento dinámico.

Consulta Cómo configurar direcciones IP de alias y rangos para obtener más información sobre los comandos que se utilizan a fin de crear esta configuración.

Ejemplo: Diferentes rangos de IP de alias configurados en una sola instancia de VM

Los rangos de IP de alias te permiten administrar la asignación de IP para aplicaciones que se ejecutan dentro de las VM, incluidos los contenedores.

Puede ser que tengas una implementación en la que algunos contenedores se pueden migrar entre VM, y otros no. Los contenedores que sí se pueden migrar pueden configurarse mediante rangos /32, lo que facilita la migración individual. Los contenedores que no se pueden migrar pueden configurarse mediante un rango mayor, ya que se mantendrán juntos.

En estos tipos de implementaciones, es posible que necesites más de un rango de IP de alias por instancia de VM; por ejemplo, un /27 para contenedores no migrables y varios /32 para contenedores migrables.

Cómo configurar VM con múltiples rangos de IP de alias (haz clic para agrandar)
Cómo configurar VM con múltiples rangos de IP de alias (haz clic para agrandar)

A fin de configurar este ejemplo, utiliza los siguientes comandos de gcloud:

gcloud compute networks create vpc1 --mode custom
gcloud compute networks subnets create subnet1 --region us-central1 --network vpc1 --range 10.128.0.0/16 --secondary-range secondaryrange1=172.16.0.0/20
gcloud compute instances create vm1 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.0/27;secondaryrange1:172.16.1.0/32"
gcloud compute instances create vm2 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.32/27;secondaryrange1:172.16.1.1/32"

Direcciones IP de alias en redes y subredes de VPC de modo automático

En las redes de VPC de modo automático, existe una subred en cada región. Cada una de estas subredes creadas automáticamente tiene un rango CIDR, pero no un rango secundario. A fin de utilizar un IP de alias con una red de VPC de modo automático, puedes asignar rangos de IP de alias desde el rango CIDR principal de la subred creada automáticamente, o agregar un rango secundario a la subred creada automáticamente y asignar rangos de IP de alias desde el nuevo rango secundario.

Además, puedes crear una nueva subred con rangos secundarios en la red de VPC de modo automático, siempre y cuando ninguno de esos rangos se superponga con 10.128.0.0/9. Luego, puedes crear instancias de VM en la nueva subred y asignar rangos de IP de alias desde cualquier rango en esa subred.

Consulta Cómo agregar rangos CIDR secundarios a una subred existente si deseas agregar rangos secundarios en tu subred.

Direcciones IP de alias en redes y subredes en modo personalizado

En redes en modo personalizado:

  • Todas las subredes se crean manualmente.
  • Tener un rango CIDR principal es obligatorio.
  • Tienes la opción de crear rangos CIDR secundarios.

Propiedades clave de los rangos de IP de alias

Las siguientes propiedades se aplican a rangos de IP de alias configurados en VM:

  • Desde la perspectiva del SO de la VM, la dirección IP principal y la puerta de enlace predeterminada se asignan normalmente mediante DHCP. Las direcciones IP de alias se pueden configurar en el SO de la VM, que generalmente es Linux o Windows, de forma manual o mediante secuencias de comandos.
  • La dirección IP principal y el rango de IP de alias de la interfaz deben asignarse desde los rangos CIDR configurados como parte de la misma subred. Ten en cuenta los siguientes requisitos:
    • La dirección IP principal debe asignarse desde el rango CIDR principal.
    • El rango de IP de alias puede asignarse ya sea desde el rango CIDR principal o desde el rango CIDR secundario de esa misma subred.
    • Para una interfaz de red de la VM, la IP de alias debe ser del mismo recurso de subred que proporciona la dirección IP para la interfaz de la red principal. No puedes seleccionar un rango CIDR principal o secundario de otro recurso de subred.
    • El usuario puede configurar la dirección IP principal con una dirección IP privada estática, o la puede asignar automáticamente el sistema con una dirección IP estática efímera.
    • Los rangos de IP de alias son opcionales y no se agregan de forma automática. Un rango de IP de alias puede configurarse durante la creación o modificación de una instancia.
    • Un rango de IP de alias puede configurarse como un rango CIDR explícito (por ejemplo, 10.128.1.0/24), como una sola dirección IP (por ejemplo, 10.128.7.29) o como una máscara de red (/24). Un rango de IP de alias se puede especificar completamente o asignar de forma automática mediante la especificación de la máscara de red.
    • Debido a que todas las subredes en una red de VPC comparten una única puerta de enlace predeterminada, todas las direcciones IP de alias dentro de esa interfaz comparten la misma puerta de enlace predeterminada que la dirección IP principal.
Las IP de alias dentro de una interfaz comparten la misma puerta de enlace predeterminada que la dirección IP principal (haz clic para agrandar)
Las IP de alias dentro de una interfaz comparten la misma puerta de enlace predeterminada que la dirección IP principal (haz clic para agrandar)

DNS con direcciones IP de alias

GCP configura automáticamente el DNS interno para la IP principal de la interfaz principal de cada instancia de VM. Esto asocia el nombre de host de la instancia con la dirección IP principal de la interfaz principal. Sin embargo, la búsqueda de DNS sobre ese nombre de host solo funciona en la red que contiene la interfaz principal.

GCP no asocia automáticamente ninguna otra dirección IP con el nombre de host. GCP no asocia direcciones IP de alias en la interfaz principal ni direcciones IP de interfaces secundarias con el nombre de host.

Puedes configurar manualmente el DNS para asociar otras direcciones IP.

Firewalls

Las etiquetas de origen de firewall no son compatibles con las direcciones IP de alias. Cuando configuras etiquetas de origen en reglas de firewall, la etiqueta de origen coincide con la dirección IP principal de la VM, pero no con las direcciones IP de alias. Utiliza rangos de origen para permitir o denegar el tráfico de entrada de direcciones IP de alias.

Rutas estáticas

En una ruta estática, la dirección IP del salto siguiente debe ser la dirección IP principal de la instancia de la máquina virtual. Una dirección IP de alias no se admite como la dirección IP del salto siguiente.

Intercambio de tráfico entre redes de VPC

El intercambio de tráfico entre redes de VPC te permite intercambiar dos redes de VPC a fin de que las VM de ambas redes puedan comunicarse mediante direcciones IP internas y privadas.

Se puede acceder tanto a los rangos de IP principales como secundarios de una subred mediante instancias de VM en una red con intercambio de tráfico.

La verificación de superposición entre subredes en redes con intercambio de tráfico garantiza que los rangos principales y secundarios no se superpongan con ningún rango con intercambio de tráfico.

Configuración de alias de IP con intercambio de tráfico entre redes (haz clic para agrandar)
Configuración de alias de IP con intercambio de tráfico entre redes (haz clic para agrandar)

¿Qué sigue?

¿Te ha resultado útil esta página? Enviar comentarios: