Descripción general de las rutas

Las rutas de Google Cloud Platform (GCP) definen las rutas de acceso que el tráfico de red lleva desde una instancia de VM a otros destinos. Estos destinos pueden estar dentro de tu red de VPC (por ejemplo, en otra VM) o fuera de ella.

Cada ruta tiene un destino y un salto siguiente. El tráfico cuya IP de destino se encuentra dentro del rango de destino se envía al salto siguiente para la entrega. En esta página, se brinda una descripción general de cómo funcionan las rutas en GCP.

Cómo enrutar en GCP

Cada red de VPC utiliza un mecanismo de enrutamiento virtual, distribuido y escalable. Aunque algunas rutas se pueden aplicar de forma selectiva, la tabla de enrutamiento para una red de VPC se define a nivel de la red de VPC.

Cada instancia de VM tiene un controlador que se mantiene informado sobre todas las rutas aplicables desde la tabla de enrutamiento de la red. Cada paquete que sale de una VM se entrega al salto siguiente apropiado de una ruta aplicable en función de una orden de enrutamiento. Cuando agregas o quitas una ruta, el conjunto de cambios se propaga a los controladores de la VM con un diseño de coherencia eventual.

Tipos de ruta

GCP tiene cuatro tipos diferentes de rutas en dos categorías. Las rutas generadas por el sistema se crean automáticamente cuando creas una red, agregas una subred o modificas el rango de IP secundaria de una subred. Las rutas personalizadas son aquellas que creas y mantienes, ya sea directamente o con el uso de Cloud Router. En la siguiente tabla se resumen los diferentes tipos de rutas:

Tipo Categoría Destino Siguiente salto Extraíble Se aplica a
ruta predeterminada generada por el sistema 0.0.0.0/0 default-internet-gateway Todas las instancias de la red
ruta de subred generada por el sistema Rangos de IP de subred principales y secundarios
Red de VPC, que reenvía paquetes a VM en sus subredes Solo cuando se borra la subred o cuando cambias los rangos de IP secundarios de la subred Todas las instancias de la red
ruta estática personalizada • Rango de IP que no se superpone en parte o exactamente con ningún rango de IP de subred
• Rango de IP más amplio que un rango de IP de subred
Uno de los siguientes:
• una instancia por nombre
• una instancia por su dirección IP
• un túnel VPN de Cloud
Todas las instancias en la red, a menos que estén restringidas a instancias específicas por etiqueta de red
ruta dinámica personalizada • Rango de IP que no se superpone en parte o exactamente con ningún rango de IP de subred
• Rango de IP más amplio que un rango de IP de subred
Dirección IP del par BGP de Cloud Router Solo por Cloud Router si ya no recibe la ruta de su par BGP • Instancias en la misma región que Cloud Router si la red de VPC está en modo de enrutamiento dinámico regional
• Todas las instancias si la red de VPC está en modo de enrutamiento dinámico global

Ruta predeterminada

Cuando creas una red de VPC, GCP crea una ruta predeterminada generada por el sistema. Esta ruta tiene dos propósitos:

  • Define la ruta de acceso fuera de la red de VPC, incluida la ruta de acceso a Internet. Además de tener esta ruta, las instancias deben cumplir con requisitos adicionales si necesitan acceso a Internet.

  • Brinda la ruta de acceso estándar para el acceso privado a Google.

La ruta predeterminada generada por el sistema tiene una prioridad de 1000. Debido a que su destino es el más amplio posible (0.0.0.0/0), GCP solo lo usará si una ruta con un destino más específico no se aplica a un paquete. Consulta orden de enrutamiento para obtener detalles sobre cómo se utilizan la especificidad de un destino y la prioridad de una ruta cuando se selecciona una.

Puedes quitar la ruta predeterminada si deseas aislar completamente tu red de Internet o si necesitas reemplazarla con una ruta personalizada:

  • Puedes reemplazar la ruta predeterminada con una ruta estática o dinámica personalizada si deseas enrutar el “tráfico de Internet” a un siguiente salto diferente. Por ejemplo, podrías reemplazarla con una ruta estática personalizada cuyo próximo salto sea otra instancia o un túnel VPN de Cloud, como un servidor proxy.

  • Si quitas la ruta predeterminada y no la reemplazas, los paquetes destinados a rangos de IP que no están cubiertos por otras rutas se quitarán.

Rutas de subred

Las rutas de subred son rutas generadas por el sistema que definen rutas de acceso a cada subred en la red de VPC.

Cada subred tiene al menos una ruta de subred cuyo destino coincide con el rango de IP principal de la subred. Si la subred tiene rangos de IP secundarios, GCP crea una ruta de subred con un destino correspondiente para cada rango secundario. Consulta redes y subredes para obtener más detalles sobre los rangos de IP de subred.

Ninguna otra ruta puede tener un destino que coincida o sea más específico que el destino de la ruta de subred. Puedes crear una ruta personalizada que tenga un rango de destino más amplio que contiene el rango de destino de la ruta de subred. En los casos de superposición del rango de IP: como GCP utiliza la especificidad del destino como primer criterio para el orden de enrutamiento, la ruta de la subred siempre será el siguiente salto preferido de los paquetes cuyos destinos se ajusten a su rango de destino. Esto es cierto incluso si otra ruta cuyo destino “contiene” el destino de la ruta de subred tiene una prioridad de ruta más alta.

En los siguientes puntos se describe cómo se crean y quitan las rutas de subred:

  • Cuando se crea una subred, también se crea una ruta de subred correspondiente para el rango de IP principal de la subred.

    • Si agregas un rango de IP secundario a una subred, se crea una ruta de subred correspondiente para ese rango.
  • Las redes de VPC en modo automático crean una ruta de subred para los rangos de IP principales de cada una de sus subredes creadas automáticamente. Puedes quitar estas subredes solo si conviertes la red del modo automático al modo personalizado. Consulta tipos de redes de VPC para obtener detalles adicionales.

  • No puedes borrar una ruta de subred, a menos que modifiques o borres la propia subred:

    • Cuando borras un rango secundario de una subred, la ruta de subred para ese rango secundario se quita automáticamente.

    • Cuando quitas una subred, todas las rutas de subred para los rangos principal y secundario se borran automáticamente. No puedes quitar la ruta de subred para el rango principal de la subred de ninguna otra manera.

  • Cuando las redes se conectan mediante el intercambio de tráfico entre redes de VPC, las rutas de subred de una red se importan a otra red y viceversa. Por lo tanto, todos los rangos de IP de subred principales y secundarios deben ser únicos.

    • Las rutas de subred para las subredes en redes de intercambio de tráfico no pueden quitarse, a menos que rompas la relación de intercambio de tráfico. Cuando la rompes, todas las rutas de subred importadas de la otra red se borran automáticamente.

Las reglas de firewall pueden bloquear la comunicación entre instancias. Para obtener más detalles sobre la comunicación de instancia a instancia, consulta comunicación dentro de la red.

Rutas personalizadas

Las rutas personalizadas son rutas estáticas que creas manualmente o rutas dinámicas mantenidas automáticamente por uno o más de tus Cloud Routers.

Los destinos de las rutas personalizadas no pueden coincidir o ser más específicos que cualquier ruta de subred en la red.

Si estás usando una red de VPC de modo automático, no uses destinos que se encuentran en el bloque CIDR 10.128.0.0/9 porque ese bloque define el espacio de las direcciones actual y futura para las rutas de subred. Consulta los rangos de IP de modo automático para obtener más información. Las rutas estáticas con destinos dentro de 10.128.0.0/9 pueden inhabilitarse en cualquier momento en una red de VPC de modo automático. Esto puede suceder si una nueva región de GCP está disponible y se crea una nueva subred automáticamente (junto con su ruta de subred). Revisa con atención las consideraciones de las redes de modo automático para obtener más información.

Rutas estáticas

Las rutas estáticas pueden utilizar cualquiera de los saltos siguientes de las rutas estáticas. Puedes crear rutas estáticas de dos maneras:

  • Puedes crearlas manualmente.

  • Si usas GCP Console para crear un túnel VPN de Cloud que utiliza un enrutamiento basado en políticas o uno que es una VPN basada en rutas, se crean rutas estáticas para los selectores de tráfico remotos. Consulta la documentación de Cloud VPN para obtener información sobre redes y enrutamiento de túneles.

Consulta los parámetros de ruta estática para obtener más información.

Rutas dinámicas

Las rutas dinámicas son administradas por uno o más Cloud Routers. Sus destinos siempre representan rangos de IP fuera de tu red de VPC y sus siguientes saltos son siempre direcciones de par de BGP. Un Cloud Router puede administrar rutas dinámicas para lo siguiente:

Aplicabilidad y orden

Rutas aplicables

Las rutas se aplican a las instancias de acuerdo con las siguientes reglas:

  • Las rutas generadas por el sistema se aplican a todas las instancias en una red de VPC. El alcance de las instancias a las que se aplican las rutas de subred no se puede modificar; sin embargo, puedes reemplazar la ruta predeterminada.

  • Las rutas estáticas personalizadas pueden aplicarse a todas las instancias o a instancias específicas, según el atributo de etiqueta de la ruta. Las rutas estáticas con un atributo de etiqueta se aplican a las instancias que tienen una etiqueta de red correspondiente. Si no se especifica ningún atributo de etiqueta, la ruta estática se aplica a todas las instancias de la red.

  • Las rutas dinámicas se aplican a las instancias según el modo de enrutamiento dinámico de la red de VPC. Si la red de VPC está en modo de enrutamiento dinámico regional, todos los Cloud Routers aplican rutas que procesan dentro de sus respectivas regiones. Si la red está en modo de enrutamiento dinámico global, todos los Cloud Routers aplican rutas que procesan en toda la red.

Orden de enrutamiento

GCP utiliza el siguiente procedimiento para seleccionar el siguiente salto de un paquete del grupo de rutas aplicables:

  1. Las rutas de subred se consideran primero porque GCP requiere que las rutas de subred tengan los destinos más específicos que coincidan con los rangos de direcciones IP de sus respectivas subredes. Si el destino de un paquete se encuentra dentro del destino de una ruta de subred, se entrega a la subred de GCP. No puedes anular una ruta de subred con ningún otro tipo de ruta.

    • GCP no permite que una ruta estática tenga un destino igual o más específico que una ruta de subred.

    • Para las rutas dinámicas, cada Cloud Router ignora las rutas que recibe que tienen destinos iguales o más específicos que cualquier ruta de subred.

  2. Si el paquete no se ajusta en el destino de una ruta de subred, GCP busca otra ruta con el destino más específico.

    • Imaginemos que el destino de un paquete que sale de una VM es 10.240.1.4 y hay dos rutas con destinos diferentes: 10.240.1.0/24 y 10.240.0.0/16. Debido a que el destino más específico para 10.240.1.4 es 10.240.1.0/24, la ruta cuyo destino es 10.240.1.0/24 define el siguiente salto del paquete.
  3. Si más de una ruta tiene el mismo destino más específico, GCP considera la prioridad de la ruta:

    • Si una única ruta con la prioridad más alta está disponible, el paquete se envía a su siguiente salto.

    • Si más de una ruta tienen la misma prioridad más alta y está disponible, el tráfico se distribuye entre los siguientes saltos mediante un hash quíntuple para afinidad, con la implementación de un diseño de enrutamiento ECMP. El hash se calcula a partir del protocolo, las direcciones IP de origen y destino y los puertos de origen y destino del paquete que se envía, y se vuelve a calcular si cambia la cantidad de rutas disponibles.

  4. Si no se encuentra un destino aplicable, GCP descarta el paquete y responde con un destino ICMP o un error de red inalcanzable.

Parámetros de ruta estática

Cada ruta estática consta de los siguientes componentes:

  • Nombre y Descripción: estos campos identifican a la ruta. El nombre es obligatorio, pero la descripción es opcional. Cada ruta en tu proyecto debe tener un nombre único.

  • Red: cada ruta debe estar asociada con exactamente una red de VPC.

  • Rango de destino: el rango de destino es un bloque único IPv4 CIDR que contiene las direcciones IP de los sistemas que reciben paquetes de contenido nuevo. GCP no admite rangos de destino de IPv6. Los destinos se deben expresar en notación CIDR y el destino más amplio posible es 0.0.0.0/0.

  • Prioridad: la prioridad se usa para determinar qué ruta se debe usar si varias rutas tienen destinos idénticos. Los números más bajos indican prioridades mayores, por ejemplo, una ruta con un valor de prioridad de 100 tiene una prioridad mayor que una con un valor de prioridad de 200.

  • Siguiente salto: las rutas estáticas pueden tener siguientes saltos que apuntan a la puerta de enlace predeterminada de Internet, una instancia de GCP o un túnel VPN de Cloud. Consulta siguientes saltos de rutas estáticas para obtener más información.

  • Etiquetas: puedes especificar una lista de etiquetas de red para que la ruta solo se aplique a las instancias que tengan al menos una de las etiquetas de la lista. Si no especificas etiquetas, GCP aplica la ruta a todas las instancias en la red.

Siguientes saltos de las rutas estáticas

Estos son los siguientes saltos válidos para rutas estáticas. Consulta la documentación de referencia de gcloud para obtener más información sobre cada tipo.

  • Puerta de enlace del siguiente salto (next-hop-gateway): puedes especificar una puerta de enlace de Internet predeterminada para definir una ruta de acceso a direcciones IP públicas.

  • Instancia de siguiente salto (next-hop-instance): puedes dirigir el tráfico a una instancia existente en GCP si especificas el nombre y la zona de la instancia. El tráfico se dirige a la dirección IP interna principal en la red.

    • Si la dirección IP interna de la interfaz de red principal de la instancia cambia, GCP actualizará las tablas de enrutamiento automáticamente para que el tráfico continúe enviándose a esa instancia con su nueva dirección IP.

    • Si la instancia se reemplaza por una nueva instancia con el mismo nombre en la misma zona, GCP actualizará las tablas de enrutamiento automáticamente para que el tráfico se dirija a la instancia de reemplazo. No importa si la instancia se reemplazó automática o manualmente.

  • IP de siguiente salto (next-hop-address): puedes hacer referencia a una instancia existente en GCP con la dirección IP interna de su interfaz de red principal.

    • Si la instancia se reemplaza por una nueva, el reemplazo debe usar la misma dirección IP interna. GCP dirigirá el tráfico a cualquier instancia que tenga actualmente la dirección IP interna especificada para el siguiente salto.

    • La dirección IP del siguiente salto debe ser una instancia existente en tu red de VPC. Las direcciones IP públicas y las direcciones IP privadas en las redes conectadas a tu red de VPC no son válidas en los siguientes saltos.

  • Túnel VPN de siguiente salto (next-hop-vpn-tunnel): para los túneles VPN de Cloud que usan enrutamiento basado en políticas y VPN basadas en rutas, puedes dirigir el tráfico hacia el túnel de VPN si creas rutas cuyos siguientes saltos se refieran al túnel por su nombre y región.

Las instancias como siguientes saltos

Cuando creas rutas estáticas cuyo siguiente salto es una instancia, ya sea por el uso de instancia de siguiente salto o IP de siguiente salto, la instancia que actúa como el siguiente salto se debe configurar para recibir tráfico con contenido nuevo de otras instancias:

  • Las instancias que actúan como siguientes saltos deben configurarse para permitir el reenvío de IP. Puedes habilitar el reenvío de IP por VM solo cuando creas la VM. Si necesitas habilitar el reenvío de IP para VM creadas automáticamente como parte de un grupo de instancias administrado, debes habilitar el reenvío de IP en la plantilla de instancias utilizada por el grupo de instancias.

  • Las instancias que actúan como siguientes saltos deben tener reglas de firewall configuradas adecuadamente. La configuración de una ruta y la especificación de una instancia como siguiente salto no ajustan las reglas de firewall automáticamente. La regla implícita de acceso denegado bloquea el tráfico con contenido nuevo, a menos que tengas reglas de firewall creadas para permitirlo. Consulta la descripción general de las reglas de firewall para obtener más información.

  • Las reglas de firewall se aplican a los orígenes y destinos del paquete, no a la instancia del siguiente salto. Una instancia de siguiente salto debe configurarse para dejar los orígenes y destinos del paquete sin cambios. Por ejemplo, si el origen de una regla de firewall de entrada incluye el rango de IP 10.240.0.3/32, los paquetes con ese origen, enrutados a través de una instancia NAT configurada adecuadamente, serían admitidos por la regla de firewall aunque la dirección IP de la instancia de NAT no sea 10.240.0.3.

  • Cuando uses una instancia como siguiente salto, recuerda que la instancia es un recurso zonal. Seleccionar una zona implica que has seleccionado una región. GCP no considera la distancia regional para las rutas, por lo que es posible crear una ruta que envíe tráfico a una instancia de siguiente salto en una región diferente. Esta acción agregará costos de salida y luego ingresará latencia de red.

  • GCP considera que una ruta cuyo siguiente salto es una instancia es válida siempre que la instancia esté en ejecución. Si el software está dentro de la instancia, como su sistema operativo o el proceso responsable de enrutar paquetes, errores o fallas, los paquetes se abandonarán. Considera el uso de grupos de instancias administrados y la reparación automática para indicarle a GCP que vuelva a crear las instancias de siguiente paso cuando no pasen las verificaciones de estado configurables.

  • Inhabilitar una interfaz de red con la configuración del sistema operativo invitado de la instancia no indica a GCP que deje de considerarla como el siguiente salto de una ruta.

Pasos siguientes

¿Te ha resultado útil esta página? Enviar comentarios: