Descripción general de los rangos de alias de IP

Los rangos de alias de IP de Google Cloud te permiten asignar rangos de direcciones IP internas como alias a las interfaces de red de una máquina virtual (VM). Esto es útil si tienes varios servicios que se ejecutan en una VM y deseas asignar una dirección IP distinta a cada uno. Los rangos de alias de IP también funcionan con pods de GKE.

Descripción general

Si solo ejecutas un servicio en una VM, puedes hacer referencia a él mediante la dirección IP principal de la interfaz. Si ejecutas varios servicios en una VM, tienes la opción de asignarle a cada uno una dirección IP interna distinta. Puedes hacerlo mediante rangos de alias de IP.

Rangos de CIDR principales y secundarios de la subred

Todas las subredes tienen un rango de CIDR principal, que es el rango de direcciones IP internas que define la subred. Cada instancia de VM obtiene su dirección IP interna principal a partir de este rango. Puedes asignar rangos de alias de IP desde ese rango principal o agregar un rango secundario a la subred y asignar rangos de alias de IP desde el rango secundario. El uso de rangos de alias de IP no requiere rangos de subredes secundarios. Estos rangos de subredes secundarios proporcionan una herramienta organizativa.

Rangos de alias de IP definidos en una interfaz de red de VM

Mediante los alias de IP, puedes configurar varias direcciones IP internas que representen contenedores o aplicaciones alojadas en una VM, sin tener que definir una interfaz de red diferente. Puedes asignar rangos de alias de IP de la VM desde los rangos principales o secundarios de la subred.

En Configura rangos de alias de IP, se describen los comandos necesarios para configurar una subred con rangos secundarios y asignar alias de direcciones IP a las VM.

En el siguiente diagrama, se muestra una ilustración básica de rangos de CIDR principales y secundarios, y rangos de alias de IP de la VM en la interfaz principal:

Rangos de CIDR principales y secundarios, y rangos de alias de IP de la VM (haz clic para ampliar)
Rangos de CIDR principales y secundarios, y rangos de alias de IP de la VM (haz clic para ampliar)
  • Un rango de CIDR principal 10.1.0.0/16 se configura como parte de una subred.
  • Un rango de CIDR secundario 10.2.0.0/20 se configura como parte de una subred.
  • La IP principal de la VM 10.1.0.2 se asigna desde el rango de CIDR principal, 10.1.0.0/16, mientras que el rango de alias de IP, 10.2.1.0/24, se asigna en la VM desde el rango de CIDR secundario, 10.2.0.0/20.
  • Las direcciones del rango de alias de IP se usan como las direcciones IP de los contenedores alojados en la VM.

Beneficios clave de los rangos de alias de IP

Cuando se configuran rangos de alias de IP, Google Cloud instala de forma automática rutas de redes de nube privada virtual (VPC) para los rangos de alias de IP y los rangos de IP principales para la subred de la interfaz de red principal. El organizador de contenedores no necesita especificar la conectividad de la red de VPC de esas rutas. Esto simplifica el enrutamiento del tráfico y la administración de los contenedores. Deberás realizar la configuración de invitado, como se describe en Propiedades clave de los rangos de alias de IP.

Cuando Google Cloud asigna las direcciones IP del contenedor, los procesos de validación de este servicio garantizan que las direcciones IP del pod de contenedores no entren en conflicto con las direcciones IP de la VM.

Cuando se configuran alias de direcciones IP, se realizan verificaciones de falsificación de identidad en el tráfico para garantizar que el tráfico que salga de las VM use las direcciones IP de las VM y del pod como direcciones de origen. Las verificaciones de falsificación de identidad controlan que las VM no envíen tráfico con direcciones IP de origen arbitrarias. El uso de rutas estáticas para las redes de contenedores sería un enfoque menos seguro en comparación con los alias de IP, ya que requeriría que las verificaciones de falsificación de identidad se inhabiliten en las VM del host del contenedor (estas verificaciones se inhabilitan cuando el reenvío de IP está habilitado).

Los rangos de alias de IP se pueden enrutar dentro de la red virtual de Google Cloud sin necesidad de usar rutas adicionales. No es necesario que agregues una ruta por cada alias de IP, y no debes tener en cuenta las cuotas de rutas.

Cloud Router puede anunciar los alias de direcciones IP a una red local conectada mediante VPN o Interconnect.

Asignar rangos de alias de IP desde un rango de CIDR secundario tiene ciertas ventajas. Cuando asignas desde un rango distinto del que se usa para las direcciones IP principales, puedes separar la infraestructura (VM) de los servicios (contenedores). Cuando configuras espacios de direcciones diferentes en la infraestructura y los servicios, puedes configurar por separado controles de firewall para los alias de direcciones IP de la VM y para las direcciones IP principales de la VM. Por ejemplo, puedes permitir cierto tráfico para los pods de contenedores y denegar tráfico similar para las direcciones IP principales de la VM.

Arquitectura de los contenedores en Google Cloud

Imagina una situación en la que desees configurar servicios en contenedores en Google Cloud. Debes crear las VM que alojarán los servicios y, además, los contenedores.

En este caso, deseas enrutar el tráfico desde y hacia los contenedores, y desde y hacia las ubicaciones locales que están conectadas a través de una VPN. Sin embargo, no quieres que las direcciones IP principales de la VM sean accesibles a través de la VPN. Para crear esta configuración, el rango de IP del contenedor se debe poder enrutar a través de la VPN, pero no el rango de IP principal de la VM. Durante la creación de la VM, también deseas asignar de forma automática un grupo de direcciones IP que se usen para el contenedor.

Para crear esta configuración, haz lo siguiente:

  • Cuando crees la subred, deberás configurar los siguientes elementos:
    • Un rango de CIDR principal, por ejemplo, 10.128.0.0/16
    • Un rango de CIDR secundario, por ejemplo, 172.16.0.0/16
  • Usa una plantilla de instancias para crear VM y asígnale de forma automática a cada una lo siguiente:
    • Una IP principal del rango 10.128.0.0/16
    • Un rango de alias de /24 del espacio 172.16.0.0/16 de CIDR secundario, de modo que puedas asignar a cada contenedor de una VM una IP del rango de CIDR secundario /24
  • Crea dos reglas de firewall.
    • Una regla que no permita que el tráfico que pasa a través de la VPN desde la ubicación local pueda alcanzar el rango de CIDR principal de la subred.
    • Una regla que permita que el tráfico que pasa a través de la VPN desde la ubicación local pueda alcanzar el rango de CIDR secundario de la subred.

Ejemplo: Configura contenedores con rangos de alias de IP

Mediante los rangos de alias de IP, se pueden asignar las direcciones IP del contenedor desde un rango de CIDR secundario y configurarlas como alias de direcciones IP en la VM que aloja al contenedor.

Configura contenedores con alias de direcciones IP (haz clic para ampliar)
Configura contenedores con alias de direcciones IP (haz clic para ampliar)

Para crear esta configuración, haz lo siguiente:

  1. Crea una subred con un rango de CIDR 10.128.0.0/16, desde el que se asignan las direcciones IP de la VM, y un rango de CIDR secundario 172.16.0.0/20 para uso exclusivo de los contenedores, que se configurará como rangos de alias de IP en la VM que los aloja:

    gcloud compute networks subnets create subnet-a \
            --network network-a \
            --range 10.128.0.0/16 \
            --secondary-range container-range=172.16.0.0/20
        
  2. Crea VM con una IP principal del rango 10.128.0.0/16 y un rango de alias de IP 172.16.0.0/24 del rango de CIDR secundario 172.16.0.0/20 para que usen los contenedores en esa VM:

    gcloud compute instances create vm1 [...] \
            --network-interface subnet=subnet-a,aliases=container-range:172.16.0.0/24
        gcloud compute instances create vm2 [...] \
            --network-interface subnet=subnet-a,aliases=container-range:172.16.1.0/24
        
  3. Las direcciones IP de los contenedores se configuran en Google Cloud como alias de direcciones IP. En esta configuración, se podrá acceder a las IP principales y a los alias mediante el túnel VPN. Si Cloud Router está configurado, anunciará de forma automática el rango de subredes secundario 172.16.0.0/20. Para obtener más información sobre cómo usar la VPN con Cloud Router, consulta Crea un túnel VPN con el enrutamiento dinámico.

Consulta Configura alias y rangos de direcciones IP si deseas obtener más información sobre los comandos que se usaron para crear esta configuración.

Ejemplo: Varios rangos de alias de IP configurados en una sola instancia de VM

Los rangos de alias de IP te permiten administrar la asignación de IP para aplicaciones que se ejecutan dentro de las VM, incluidos los contenedores.

Es posible que tengas una implementación en la que algunos contenedores se puedan migrar entre VM y otros no. Los contenedores que se pueden migrar pueden configurarse mediante rangos de /32, lo que facilita la migración individual. Los contenedores que no se pueden migrar pueden configurarse mediante un rango mayor, ya que se mantendrán juntos.

En estos tipos de implementaciones, es posible que necesites más de un rango de alias de IP por instancia de VM; por ejemplo, un /27 para los contenedores que no se pueden migrar y varios /32 para los que sí se pueden migrar.

Configura VM con varios rangos de alias de IP (haz clic para ampliar)
Configura VM con varios rangos de alias de IP (haz clic para ampliar)

Para configurar este ejemplo, usa los siguientes comandos de gcloud:

    gcloud compute networks create vpc1 --subnet-mode custom
    
    gcloud compute networks subnets create subnet1 --region us-central1 --network vpc1 --range 10.128.0.0/16 --secondary-range secondaryrange1=172.16.0.0/20
    
    gcloud compute instances create vm1 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.0/27;secondaryrange1:172.16.1.0/32"
    
    gcloud compute instances create vm2 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.32/27;secondaryrange1:172.16.1.1/32"
    

Alias de direcciones IP en redes y subredes de VPC de modo automático

En las redes de VPC de modo automático, hay una subred en cada región. Cada una de estas subredes creadas de forma automática tiene un rango de CIDR principal, pero no uno secundario. Para usar un alias de IP con una red de VPC de modo automático, puedes asignar rangos de alias de IP desde el rango de CIDR principal de la subred creada de forma automática o agregar un rango secundario a la subred creada automáticamente y asignar rangos de alias de IP desde el nuevo rango secundario.

Además, puedes crear una subred nueva con rangos secundarios en la red de VPC de modo automático, siempre y cuando ninguno de esos rangos se superponga con 10.128.0.0/9. Luego puedes crear instancias de VM en la subred nueva y asignar rangos de alias de IP desde cualquier rango en esa subred.

Consulta Agrega rangos de CIDR secundarios a una subred existente si deseas agregar rangos secundarios en la subred.

Alias de direcciones IP en redes y subredes de modo personalizado

En redes en modo personalizado:

  • Todas las subredes se crean manualmente.
  • Tener un rango CIDR principal es obligatorio.
  • Tienes la opción de crear rangos CIDR secundarios.

Propiedades clave de los rangos de IP de alias

Las siguientes propiedades se aplican a rangos de alias de IP configurados en VM:

  • Desde la perspectiva del SO de la VM, la dirección IP principal y la puerta de enlace predeterminada se suelen asignar mediante DHCP. Los alias de direcciones IP se pueden configurar en el SO de la VM, que, por lo general, es Linux o Windows, de forma manual o mediante secuencias de comandos.
  • La dirección IP principal y el rango de alias de IP de la interfaz deben asignarse desde los rangos de CIDR configurados como parte de la misma subred. Ten en cuenta los siguientes requisitos:
    • La dirección IP principal debe asignarse desde el rango de CIDR principal.
    • El rango de alias de IP puede asignarse desde el rango de CIDR principal o desde el rango de CIDR secundario de esa misma subred.
    • En el caso de una interfaz de red de VM, el alias de IP debe ser del mismo recurso de subred que proporciona la dirección IP para la interfaz de red principal. No puedes seleccionar un rango de CIDR principal o secundario de otro recurso de subred.
    • El usuario puede configurar la dirección IP principal con una dirección IP privada estática, o bien la puede asignar de forma automática el sistema con una dirección IP estática efímera.
    • Los rangos de alias de IP son opcionales y no se agregan de forma automática. Se puede configurar un rango de alias de IP durante la creación o modificación de una instancia.
    • Un rango de alias de IP se puede configurar como un rango de CIDR explícito (por ejemplo, 10.128.1.0/24), una única dirección IP (por ejemplo, 10.128.7.29) o una máscara de red (/24). Para especificar o asignar de forma automática un rango de alias de IP, debes especificar la máscara de red.
    • Debido a que todas las subredes en una red de VPC comparten una única puerta de enlace predeterminada, todos los alias de direcciones IP dentro de una interfaz comparten la misma puerta de enlace predeterminada que la dirección IP principal.
Los alias de IP dentro de una interfaz comparten la misma puerta de enlace predeterminada que la dirección IP principal (haz clic para ampliar)
Los alias de IP dentro de una interfaz comparten la misma puerta de enlace predeterminada que la dirección IP principal (haz clic para ampliar)

DNS con alias de direcciones IP

Google Cloud configura de forma automática el DNS interno para la IP principal de la interfaz principal de cada instancia de VM. Esto asocia el nombre de host de la instancia con la dirección IP principal de la interfaz principal. Sin embargo, la búsqueda de DNS en ese nombre de host solo funciona en la red que contiene la interfaz principal.

Google Cloud no asocia de forma automática ninguna otra dirección IP con el nombre de host. Google Cloud no asocia los alias de direcciones IP de la interfaz principal ni las direcciones IP de las interfaces secundarias con el nombre de host.

Puedes configurar de forma manual el DNS para asociar otras direcciones IP.

Firewalls

Las etiquetas de origen de firewall no son compatibles con los alias de direcciones IP. Cuando configuras etiquetas de origen en reglas de firewall, estas coinciden con la dirección IP principal de la VM, pero no con los alias de direcciones IP. Usa rangos de origen para permitir o denegar el tráfico de entrada de alias de direcciones IP.

Rutas estáticas

En una ruta estática, la dirección IP de salto siguiente debe ser la dirección IP principal de la instancia de la máquina virtual. No se admite un alias de dirección IP como la dirección IP de salto siguiente.

Intercambio de tráfico entre redes de VPC

Con este proceso, puedes intercambiar tráfico entre dos redes de VPC para que las VM de ambas redes puedan comunicarse mediante direcciones IP internas privadas.

Se puede acceder a los rangos de IP principales y secundarios de una subred mediante instancias de VM en una red con intercambio de tráfico.

Las verificaciones de superposición de subredes en las redes con intercambio de tráfico garantizan que el rango principal y el secundario no se superpongan con los rangos con intercambio de tráfico.

Alias de IP con intercambio de tráfico entre redes (haz clic para ampliar)
Alias de IP con intercambio de tráfico entre redes (haz clic para ampliar)

Próximos pasos