Descripción general de la nube privada virtual (VPC)
La nube privada virtual (VPC) proporciona funcionalidad de herramientas de redes para las instancias de máquina virtual (VM) de Compute Engine, los clústeres de Google Kubernetes Engine (GKE) y cargas de trabajo sin servidores.
La VPC brinda herramientas de redes globales, escalables y flexibles a los recursos y servicios basados en la nube.
En esta página, se proporciona una descripción general de alto nivel de los conceptos y las características de la VPC.
Redes de VPC
Una red de VPC es como una red física que se virtualiza dentro de Google Cloud. Una red de VPC es un recurso global compuesto por una lista de subredes virtuales regionales (subredes) en centros de datos, todas conectadas por una red de área extensa global. Las redes de VPC están aisladas de forma lógica unas de otras dentro de Google Cloud.
Una red de VPC hace lo siguiente:
- Proporciona conectividad para tusInstancias de máquina virtual (VM) de Compute Engine , lo que incluyeClústeres de Google Kubernetes Engine (GKE) ,Cargas de trabajo sin servidores y otros productos de Google Cloud compilados en VM de Compute Engine.
- Ofrece balanceadores de cargas de red de transferencia internos y sistemas proxy para los balanceadores de cargas de aplicaciones internos.
- Se conecta a redes locales a través de túneles de Cloud VPN y adjuntos de VLAN para Cloud Interconnect.
- Distribuye el tráfico de los balanceadores de cargas externos de Google Cloud a los backends.
Para obtener más información, consulta Redes de VPC.
Reglas de firewall
Cada red de VPC implementa un firewall virtual distribuido que puedes configurar. Las reglas de firewall te permiten controlar qué paquetes pueden trasladarse a qué destinos. Cada red de VPC tiene dos reglas de firewall implícitas que bloquean todas las conexiones entrantes y permiten todas las conexiones salientes.
La reddefault
tiene reglas de firewall adicionales, incluida la regla default-allow-internal
, que permiten la comunicación entre las instancias de la red.
Para obtener más información, consulta las Reglas de firewall de VPC.
Rutas
Las rutas indican a las instancias de VM y a la red de VPC cómo enviar el tráfico de una instancia a un destino, ya sea dentro de la red o fuera de Google Cloud. Las redes de VPC incluyen algunas rutas generadas por el sistema para enrutar el tráfico entre sus subredes y enviarlo de las instancias aptas a Internet.
Puedes crear rutas estáticas personalizadas para dirigir algunos paquetes a destinos específicos.
Para obtener más información, consulta Rutas.
Reglas de reenvío
Si bien las rutas regulan el tráfico que sale de las instancias, las reglas de reenvío direccionan el tráfico a un recurso de Google Cloud en una red de VPC según la dirección IP, el protocolo y el puerto.
Algunas reglas de reenvío direccionan el tráfico desde fuera de Google Cloud hasta un destino ubicado dentro de la red; otras lo hacen desde la red. Los destinos de las reglas de reenvío son las instancias de destino, los objetivos del balanceador de cargas (servicios de backend, proxies de destino y grupos de destino) y las puertas de enlace de VPN clásicas.
Para obtener más información, consulta Descripción general de las reglas de reenvío.
Interfaces y direcciones IP
Las redes de VPC proporcionan las siguientes configuraciones para las direcciones IP y las interfaces de red de las VMs.
Direcciones IP
Los recursos de Google Cloud, como las instancias de VM de Compute Engine, las reglas de reenvío y los contenedores de GKE, usan direcciones IP para comunicarse.
Para obtener más información, consulta Direcciones IP.
Rangos de alias de IP
Si tienes varios servicios que se ejecutan en una sola instancia de VM, puedes asignar una dirección IP interna diferente a cada uno a través de rangos de alias de IP. La red de VPC reenvía los paquetes destinados a un servicio específico a la VM correspondiente.
Para obtener más información, consulta Rangos de IP de alias.
Interfaces de red múltiples
Puedes agregar múltiples interfaces de red a una instancia de VM, en la que cada interfaz se encuentra en una red de VPC única. Las interfaces de red permiten que una VM de dispositivo de red funcione como puerta de enlace para proteger el tráfico entre diferentes redes de VPC, o desde y hacia Internet.
Para obtener más información, consulta Interfaces de red múltiples.
Intercambio de tráfico y uso compartido de VPC
Google Cloud proporciona los siguientes parámetros de configuración para compartir redes de VPC entre proyectos y conectar redes de VPC entre sí.
VPC compartida
Puedes compartir una red de VPC de un proyecto (denominado proyecto host) a otros que se encuentren en la organización de Google Cloud. Puedes otorgar acceso a un conjunto de redes de VPC compartidas o seleccionar las subredes correspondientes a través de permisos de IAM específicos. Esto te permite controlar de manera centralizada una red común y, a la vez, mantener la flexibilidad en el nivel organizacional. La VPC compartida es útil, sobre todo, en las organizaciones grandes.
Para obtener más información, consulta VPC compartida.
Intercambio de tráfico entre redes de VPC
El intercambio de tráfico entre redes de VPC te permite compilar ecosistemas de software como servicio (SaaS) en Google Cloud, lo que hace que los servicios estén disponibles de forma privada en diferentes redes de VPC, ya sea que las redes estén en el mismo proyecto, en proyectos diferentes o en proyectos en diferentes organizaciones.
Con el intercambio de tráfico entre redes de VPC, todas las comunicaciones se realizan a través de direcciones IP internas. Según las reglas de firewall, las instancias de VM en cada red de intercambio de tráfico pueden comunicarse entre sí sin usar direcciones IP externas.
Las redes de intercambio de tráfico intercambian rutas de subredes por rangos de direcciones IP privadas de manera automática. El intercambio de tráfico entre redes de VPC te permite configurar si se intercambian los siguientes tipos de rutas:
- Rutas de subredes para rangos de IP públicos que se reutilizan de forma privada
- Rutas personalizadas estáticas y dinámicas
La administración de red para cada red de intercambio de tráfico es la misma: el intercambio de tráfico de red de VPC nunca intercambia las políticas de IAM. Por ejemplo, los administradores de red y de seguridad de una red de VPC no obtienen esas funciones para la red de intercambio de tráfico de forma automática.
Para obtener más información, consulta Intercambio de tráfico entre redes de VPC.
Nube híbrida
Google Cloud proporciona las siguientes configuraciones que te permiten conectar tus redes de VPC a redes locales y redes de otros proveedores de servicios en la nube.
Cloud VPN
Cloud VPN te permite conectar tu red de VPC a tu red física local o a otro proveedor de servicios en la nube a través de una red privada virtual segura.
Para obtener más información, consulta Cloud VPN.
Cloud Interconnect
Cloud Interconnect te permite conectar tu red de VPC a tu red local a través de una conexión física de alta velocidad.
Para obtener más información, consulta Cloud Interconnect.
Cloud Load Balancing
Google Cloud ofrece varias opciones de configuración de balanceo de cargas para distribuir el tráfico y las cargas de trabajo en muchos tipos de backend.
Para obtener más información, consulta Descripción general de Cloud Load Balancing.
Acceso privado a servicios
Puedes usar Private Service Connect, Acceso privado a Google y acceso privado a servicios para permitir que las VMs que no tienen una dirección IP externa se comuniquen con los servicios admitidos.
Si deseas obtener más información, consulta Opciones de acceso privado a los servicios.