Descripción general de la nube privada virtual (VPC)
La nube privada virtual (VPC) proporciona funcionalidad de herramientas de redes para las instancias de máquina virtual (VM) de Compute Engine, los clústeres de Google Kubernetes Engine (GKE) y cargas de trabajo sin servidores. La VPC brinda herramientas de redes globales, escalables y flexibles a los recursos y servicios basados en la nube.
En esta página, se proporciona una descripción general de alto nivel de los conceptos y las características de la VPC.
Redes de VPC
Una red de VPC es como una red física que se virtualiza dentro de Google Cloud. Una red de VPC es un recurso global compuesto por una lista de subredes virtuales regionales (subredes) en centros de datos, todas conectadas por una red de área extensa global. Las redes de VPC están aisladas de forma lógica unas de otras dentro de Google Cloud.
Una red de VPC hace lo siguiente:
- Proporciona conectividad para tusInstancias de máquina virtual (VM) de Compute Engine , lo que incluyeClústeres de Google Kubernetes Engine (GKE) ,Cargas de trabajo sin servidores y otros productos de Google Cloud compilados en VM de Compute Engine.
- Ofrece balanceadores de cargas de red de transferencia internos y sistemas proxy para los balanceadores de cargas de aplicaciones internos.
- Se conecta a redes locales a través de túneles de Cloud VPN y adjuntos de VLAN para Cloud Interconnect.
- Distribuye el tráfico de los balanceadores de cargas externos de Google Cloud a los backends.
Obtén más información de las redes de VPC.
Reglas de firewall
Cada red de VPC implementa un firewall virtual distribuido que puedes configurar. Las reglas de firewall te permiten controlar qué paquetes pueden trasladarse a qué destinos. Cada red de VPC tiene dos reglas de firewall implícitas que bloquean todas las conexiones entrantes y permiten todas las conexiones salientes.
La red default
tiene reglas de firewall adicionales, incluida la regla default-allow-internal
, que permiten la comunicación entre las instancias de la red.
Obtén más información de las reglas de firewall.
Rutas
Las rutas indican a las instancias de VM y a la red de VPC cómo enviar el tráfico de una instancia a un destino, ya sea dentro de la red o fuera de Google Cloud. Las redes de VPC incluyen algunas rutas generadas por el sistema para enrutar el tráfico entre sus subredes y enviarlo de las instancias aptas a Internet.
Puedes crear rutas estáticas personalizadas para dirigir algunos paquetes a destinos específicos.
Obtén más información de las rutas.
Reglas de reenvío
Si bien las rutas regulan el tráfico que sale de las instancias, las reglas de reenvío direccionan el tráfico a un recurso de Google Cloud en una red de VPC según la dirección IP, el protocolo y el puerto.
Algunas reglas de reenvío direccionan el tráfico desde fuera de Google Cloud hasta un destino ubicado dentro de la red; otras lo hacen desde la red. Para las reglas de reenvío, los destinos son las instancias de destino, los objetivos del balanceador de cargas (los proxies y los grupos de destino, y los servicios de backend) y las puertas de enlace de Cloud VPN.
Obtén más información de las reglas de reenvío.
Interfaces y direcciones IP
Direcciones IP
Los recursos de Google Cloud, como las instancias de VM de Compute Engine, las reglas de reenvío, App Engine y los contenedores de GKE, usan direcciones IP para comunicarse.
Obtén más información de las direcciones IP.
Rangos de alias de IP
Si tienes varios servicios que se ejecutan en una sola instancia de VM, puedes asignar una dirección IP interna diferente a cada uno a través de rangos de alias de IP. La red de VPC reenvía los paquetes destinados a un servicio específico a la VM correspondiente.
Obtén más información de los rangos de IP de alias.
Interfaces de red múltiples
Puedes agregar múltiples interfaces de red a una instancia de VM, en la que cada interfaz se encuentra en una red de VPC única. Las interfaces de red permiten que una VM de dispositivo de red funcione como puerta de enlace para proteger el tráfico entre diferentes redes de VPC, o desde y hacia Internet.
Obtén más información de las interfaces de red múltiples.
Intercambio de tráfico y uso compartido de VPC
VPC compartida
Puedes compartir una red de VPC de un proyecto (denominado proyecto host) a otros que se encuentren en la organización de Google Cloud. Puedes otorgar acceso a un conjunto de redes de VPC compartidas o seleccionar las subredes correspondientes a través de permisos de IAM específicos. Esto te permite controlar de manera centralizada una red común y, a la vez, mantener la flexibilidad en el nivel organizacional. La VPC compartida es en especial útil en organizaciones grandes.
Obtén más información acerca de la VPC compartida.
Intercambio de tráfico entre redes de VPC
El intercambio de tráfico entre redes de VPC te permite compilar ecosistemas de software como servicio (SaaS) en Google Cloud, lo que hace que los servicios estén disponibles de forma privada en diferentes redes de VPC, ya sea que las redes estén en el mismo proyecto, en proyectos diferentes o en proyectos en diferentes organizaciones.
Con el intercambio de tráfico entre redes de VPC, todas las comunicaciones se realizan mediante direcciones IP internas. Según las reglas de firewall, las instancias de VM en cada red de intercambio de tráfico pueden comunicarse entre sí sin usar direcciones IP externas.
Las redes de intercambio de tráfico intercambian rutas de subredes por rangos de direcciones IP privadas de manera automática. El intercambio de tráfico entre redes de VPC te permite configurar si se intercambian los siguientes tipos de rutas:
- Rutas de subredes para rangos de IP públicos que se reutilizan de forma privada
- Rutas personalizadas estáticas y dinámicas
La administración de red para cada red de intercambio de tráfico es la misma: el intercambio de tráfico de red de VPC nunca intercambia las políticas de IAM. Por ejemplo, los administradores de red y de seguridad de una red de VPC no obtienen esas funciones para la red de intercambio de tráfico de forma automática.
Obtén más información del intercambio de tráfico entre redes de VPC.
Nube híbrida
Cloud VPN
Cloud VPN te permite conectar tu red de VPC a tu red física local o a otro proveedor de servicios en la nube a través de una red privada virtual segura.
Obtén más información de Cloud VPN.
Cloud Interconnect
Cloud Interconnect te permite conectar tu red de VPC a tu red local a través de una conexión física de alta velocidad.
Obtén más información de Cloud Interconnect.
Cloud Load Balancing
Google Cloud ofrece varias opciones de configuración de balanceo de cargas global y regional para distribuir el tráfico y las cargas de trabajo en muchos tipos de backend. Para obtener más información, consulta Descripción general de Cloud Load Balancing.
Configuración especial
Acceso privado a Google
Cuando habilitas el acceso privado a Google en una subred, las instancias en una subred dentro de una red de VPC pueden comunicarse con los servicios y las API de Google a través de direcciones IP privadas en lugar de direcciones IP externas.
Obtén más información del Acceso privado a Google.