Información general sobre la nube privada virtual (VPC)
La nube privada virtual (VPC) proporciona funciones de red a las instancias de máquina virtual (VM) de Compute Engine, los clústeres de Google Kubernetes Engine (GKE) y las cargas de trabajo sin servidor.
La VPC proporciona redes para tus recursos y servicios basados en la nube que son globales, escalables y flexibles.
En esta página se ofrece una descripción general de los conceptos y las funciones de las VPCs.
Redes de VPC
Puedes considerar una red de VPC como una red física, pero virtualizada en Google Cloud. Una red de VPC es un recurso global que consta de una lista de subredes virtuales regionales en centros de datos, todas ellas conectadas por una red de área amplia global. Las redes de VPC están aisladas lógicamente entre sí en Google Cloud.
Una red de VPC hace lo siguiente:
- Proporciona conectividad a tus instancias de máquina virtual (VM) de Compute Engine, incluidos los clústeres de Google Kubernetes Engine (GKE), las cargas de trabajo sin servidor y otros Google Cloud productos creados en VMs de Compute Engine.
- Ofrece balanceadores de carga de red con paso a través internos y sistemas proxy integrados para balanceadores de carga de aplicaciones internos.
- Se conecta a redes on-premise mediante túneles de Cloud VPN y vinculaciones de VLAN para Cloud Interconnect.
- Distribuye el tráfico de los Google Cloud balanceadores de carga externos a los backends.
Para obtener más información, consulta el artículo Redes de VPC.
Reglas de cortafuegos
Cada red de VPC implementa un cortafuegos virtual distribuido que puedes configurar. Las reglas de cortafuegos te permiten controlar qué paquetes pueden ir a qué destinos. Todas las redes de VPC tienen dos reglas de cortafuegos implícitas que bloquean todas las conexiones entrantes y permiten todas las conexiones salientes.
La reddefault
tiene reglas de cortafuegos adicionales, incluida la regla default-allow-internal
, que permite la comunicación entre las instancias de la red.
Para obtener más información, consulta el artículo Reglas de cortafuegos de VPC.
Rutas
Las rutas indican a las instancias de VM y a la red de VPC cómo enviar tráfico desde una instancia a un destino, ya sea dentro de la red o fuera deGoogle Cloud. Cada red de VPC incluye algunas rutas generadas por el sistema para enrutar el tráfico entre sus subredes y enviar tráfico desde instancias aptas a Internet.
Puedes crear rutas estáticas personalizadas para dirigir algunos paquetes a destinos específicos.
Para obtener más información, consulta Rutas.
Reglas de reenvío
Mientras que las rutas rigen el tráfico que sale de una instancia, las reglas de reenvío dirigen el tráfico a un Google Cloud recurso de una red de VPC según la dirección IP, el protocolo y el puerto.
Algunas reglas de reenvío dirigen el tráfico desde fuera de Google Cloud a un destino de la red, mientras que otras dirigen el tráfico desde dentro de la red. Los destinos de las reglas de reenvío son instancias de destino, destinos de balanceador de carga (servicios de backend, proxies de destino y grupos de destino) y pasarelas VPN clásicas.
Para obtener más información, consulta el resumen de las reglas de reenvío.
Interfaces y direcciones IP
Las redes de VPC proporcionan las siguientes configuraciones para las direcciones IP y las interfaces de red de las VMs.
Direcciones IP
LosGoogle Cloud recursos, como las instancias de máquina virtual de Compute Engine, las reglas de reenvío y los contenedores de GKE, dependen de las direcciones IP para comunicarse.
Para obtener más información, consulta el artículo Direcciones IP.
Intervalos de IP de alias
Si tienes varios servicios ejecutándose en una sola instancia de VM, puedes asignar a cada servicio una dirección IP interna diferente mediante intervalos de IP de alias. La red de VPC reenvía los paquetes destinados a un servicio concreto a la VM correspondiente.
Para obtener más información, consulta Intervalos de IPs alias.
Varias interfaces de red
Puedes añadir varias interfaces de red a una instancia de VM, donde cada interfaz reside en una red de VPC única. Varias interfaces de red permiten que una VM de dispositivo de red actúe como una pasarela para proteger el tráfico entre diferentes redes de VPC o hacia y desde Internet.
Para obtener más información, consulta Varias interfaces de red.
Uso compartido y emparejamiento de VPCs
Google Cloud ofrece las siguientes configuraciones para compartir redes de VPC entre proyectos y conectar redes de VPC entre sí.
VPC compartida
Puedes compartir una red de VPC de un proyecto (llamado proyecto host) con otros proyectos de tu Google Cloud organización. Puede conceder acceso a redes de VPC compartidas completas o seleccionar subredes de estas redes mediante permisos de IAM específicos. De esta forma, puedes controlar de forma centralizada una red común y, al mismo tiempo, mantener la flexibilidad de la organización. La VPC compartida es especialmente útil en organizaciones grandes.
Para obtener más información, consulta VPC compartida.
Emparejamiento entre redes VPC
El emparejamiento entre redes de VPC te permite crear ecosistemas de software como servicio (SaaS) en Google Cloud, lo que hace que los servicios estén disponibles de forma privada en diferentes redes de VPC, tanto si las redes están en el mismo proyecto como en proyectos diferentes o en proyectos de organizaciones distintas.
Con el emparejamiento entre redes de VPC, toda la comunicación se realiza mediante direcciones IP internas. Las instancias de VM de cada red emparejada pueden comunicarse entre sí sin usar direcciones IP externas, siempre que se cumplan las reglas de cortafuegos.
Las redes emparejadas intercambian automáticamente rutas de subred para intervalos de direcciones IP privadas. El emparejamiento entre redes de VPC te permite configurar si se intercambian los siguientes tipos de rutas:
- Rutas de subred para intervalos de IP públicas reutilizadas de forma privada
- Rutas estáticas y dinámicas personalizadas
La administración de la red de cada red emparejada no cambia: las políticas de IAM nunca se intercambian mediante el emparejamiento entre redes de VPC. Por ejemplo, los administradores de red y de seguridad de una red VPC no obtienen automáticamente esos roles en la red emparejada.
Para obtener más información, consulta Emparejamiento entre redes de VPC.
Nube híbrida
Google Cloud proporciona las siguientes configuraciones que te permiten conectar tus redes de VPC a redes on-premise y a redes de otros proveedores de servicios en la nube.
Cloud VPN
Cloud VPN te permite conectar tu red de VPC a tu red física local o a otro proveedor de servicios en la nube mediante una red privada virtual segura.
Para obtener más información, consulta Cloud VPN.
Cloud Interconnect
Cloud Interconnect te permite conectar tu red de VPC a tu red on-premise mediante una conexión física de alta velocidad.
Para obtener más información, consulta Cloud Interconnect.
Cloud Load Balancing
Google Cloud ofrece varias configuraciones de balanceo de carga para distribuir el tráfico y las cargas de trabajo entre muchos tipos de backend.
Para obtener más información, consulta la descripción general de Cloud Load Balancing.
Acceso privado a servicios
Puedes usar Private Service Connect, Acceso privado de Google y acceso a servicios privados para permitir que las VMs que no tienen una dirección IP externa se comuniquen con los servicios admitidos.
Para obtener más información, consulta el artículo Opciones de acceso privado a servicios.