Subredes
Las redes de nube privada virtual (VPC) son recursos globales. Cada red de VPC consta de uno o más rangos de direcciones IP llamados subredes. Las subredes son recursos regionales y tienen rangos de direcciones IP asociados.
En Google Cloud, los términos en inglés subnet y subnetwork son sinónimos. Estos términos se usan de forma indistinta en la documentación de las API, la consola de Google Cloud y los comandos de Google Cloud CLI.
Redes y subredes
Una red debe tener, al menos, una subred para que puedas usarla. Las redes de VPC de modo automático crean subredes en cada región de forma automática. Las redes de VPC de modo personalizado comienzan sin subredes, lo que te brinda el control total sobre la creación de subredes. Puedes crear más de una subred por región. Para obtener información sobre las diferencias entre las redes de VPC de modo personalizado y de modo automático, consulta los tipos de redes de VPC.
Cuando creas un recurso en Google Cloud, debes elegir una red y una subred. En el caso de otros recursos que no sean plantillas de instancias, también debes elegir una zona o una región. Cuando eliges una zona, se elige una región principal de forma implícita. Debido a que las subredes son objetos regionales, la región que eliges para un recurso determina las subredes que puede usar:
Cuando creas una instancia, debes elegir una zona para la instancia. Si no elegís una red para la VM, se usa la red de VPC predeterminada, que tiene una subred en cada región. Si elegís una red para la VM, debes elegir una red que contenga una subred en la región principal de la zona elegida.
Cuando creas un grupo de instancias administrado, elegís una zona o región, según el tipo de grupo, y una plantilla de instancias. La plantilla de la instancia define qué red de VPC usar. Por lo tanto, cuando creas un grupo de instancias administrado, debes elegir una plantilla de instancias con una configuración adecuada. La plantilla debe especificar una red de VPC que tenga subredes en la zona o región elegida. Las redes de VPC de modo automático siempre tienen una subred en cada región.
El proceso de creación de un clúster de contenedores de Kubernetes incluye la selección de una zona o región (según el tipo de clúster), una red y una subred. Debes elegir una subred que esté disponible en la zona o región elegida.
Tipos de subredes
Las redes de VPC admiten los siguientes tipos de subredes:
Subredes solo IPv4 (pila única) con rangos de subred solo IPv4
Subredes IPv4 e IPv6 (pila doble) con rangos de subred IPv4 e IPv6
Una sola red de VPC puede contener cualquier combinación de estos tipos de subredes.
Cuando creas una subred, especificas qué tipo de pila usar. También puedes actualizar una subred IPv4 existente para configurarla como una subred de pila doble.
Las subredes de pila doble solo son compatibles con las redes de VPC de modo personalizado. Las subredes de pila doble no son compatibles con redes de VPC de modo automático ni con redes heredadas.
Cuando creas un rango de subred IPv4, proporcionas la siguiente información:
| Configuración de subred | Valores válidos | Detalles |
|---|---|---|
| Rango IPv4 | Un rango válido que elijas | Obligatorio |
| Rango de IPv4 secundario | Un rango válido que elijas | Optional |
Cuando creas un rango de subred IPv6, proporcionas la siguiente información:
| Configuración de subred | Valores válidos | Detalles |
|---|---|---|
| Tipo de acceso IPv6 |
|
Un rango de direcciones IPv6
|
Propósitos de las subredes
Las subredes se pueden usar para diferentes propósitos:
- Subredes regulares: Este es el tipo de subred predeterminado. Los usuarios crean subredes regulares o se crean de forma automática en redes de modo automático para usarlas con instancias de VM. Las subredes regulares tienen un propósito de
PRIVATEen la API o la CLI de gcloud. El propósito es Ninguno en la consola de Google Cloud. - Subredes de Private Service Connect: Una subred para usar en la publicación de un servicio administrado mediante Private Service Connect.
- Subredes de solo proxy: Una subred de solo proxy que se usará con balanceadores de cargas regionales basados en Envoy.
- Subredes NAT privadas: Una subred que está reservada para que se use como rango de origen de NAT privada. Esta subred se establece en
--purpose=PRIVATE_NAT.
En la mayoría de los casos, no puedes cambiar el propósito de una subred después de crearla. Para obtener más información, consulta la referencia del comando gcloud compute networks subnets update.
Rangos de subredes IPv4
Cada subred tiene un rango de direcciones IPv4 principal. Las direcciones internas principales para los siguientes recursos provienen del rango principal de la subred: instancias de VM, balanceadores de cargas internos y reenvío de protocolo interno. De manera opcional, puedes agregar rangos de direcciones IP secundarias a una subred, que solo usan los rangos de alias de IP. Sin embargo, puedes configurar rangos de alias de IP para instancias del rango principal o secundario de una subred.
Cada rango de IPv4 principal o secundario para todas las subredes en una red de VPC debe ser un bloque CIDR válido. Consulta los límites por red para conocer la cantidad de rangos de IP secundarios que puedes definir.
No es necesario que las subredes IPv4 formen un bloque CIDR contiguo predefinido, pero puedes configurarlo si así lo deseas. Por ejemplo, las redes de VPC de modo automático sí crean subredes que se ajustan un rango de IP predefinido de modo automático.
Para obtener más información, consulta Trabaja con subredes.
Rangos de IPv4 válidos
Los rangos de direcciones IPv4 principales y secundarias de una subred son direcciones IPv4 internas regionales. En la siguiente tabla, se describen los rangos válidos.
| Rango | Descripción |
|---|---|
| Rangos de direcciones IPv4 privados | |
10.0.0.0/8172.16.0.0/12192.168.0.0/16
|
Direcciones IP privadas de RFC 1918 Para obtener información sobre el uso de |
100.64.0.0/10 |
Espacio de direcciones compartidas de RFC 6598 |
192.0.0.0/24 |
Asignaciones de protocolo IETF de RFC 6890 |
192.0.2.0/24 (TEST-NET-1)198.51.100.0/24 (TEST-NET-2)203.0.113.0/24 (TEST-NET-3) |
Documentación de RFC 5737 |
192.88.99.0/24 |
Retransmisión de IPv6 a IPv4 (obsoleta) de RFC 7526 |
198.18.0.0/15 |
Pruebas comparativas de RFC 2544 |
240.0.0.0/4 |
Reservado para uso futuro (clase E) como se indica en RFC 5735 y RFC 1112. Algunos sistemas operativos no admiten el uso de este rango, por lo que debes verificar que tu SO lo admita antes de crear subredes que usen este rango. |
| Rangos de direcciones IP públicas de uso privado | |
| Direcciones IPv4 públicas usadas de forma privada |
Direcciones IPv4 públicas usadas de forma privada:
Cuando usas estas direcciones como rangos de subred, Google Cloud no anuncia estas rutas a Internet y no enruta el tráfico desde Internet. Si importaste direcciones IP públicas a Google mediante Lleva tu propia IP (BYOIP), los rangos de BYOIP y los rangos de direcciones IP públicas de uso privado en la misma red de VPC no se deben superponer. En el intercambio de tráfico entre redes de VPC, las rutas de subredes para direcciones IP públicas no se intercambian de forma automática. Las rutas de subredes se exportan de forma automática según la configuración predeterminada, pero las redes de intercambio de tráfico deben configurarse de manera explícita para importarlas para usarlas. |
Los rangos de subredes IPv4 tienen las siguientes restricciones:
Los rangos de subredes no pueden coincidir con un rango restringido, ni ser más estrechos ni más amplios que uno de estos rangos. Por ejemplo,
169.0.0.0/8no es un rango de subred válido porque se superpone con el rango de vínculo local169.254.0.0/16(RFC 3927), que es un rango restringido.Los rangos de subred no pueden abarcar un rango RFC (descrito en la tabla anterior) ni un rango de direcciones IP públicas de uso privado. Por ejemplo,
172.0.0.0/10no es un rango de subred válido porque incluye el rango de direcciones IP privadas172.16.0.0/12y las direcciones IP públicas.Los rangos de subredes no pueden abarcar varios rangos de RFC. Por ejemplo,
192.0.0.0/8no es un rango de subred válido porque incluye192.168.0.0/16(de RFC 1918) y192.0.0.0/24(de RFC 6890). Sin embargo, puedes crear dos subredes con diferentes rangos principales, una con192.168.0.0/16y otra con192.0.0.0/24. O bien, puedes usar ambos rangos en la misma subred si haces que uno de ellos sea secundario.
Rangos de subredes IPv4 prohibidos
Entre los rangos de subred prohibidos, se incluyen las direcciones IP públicas de Google y los rangos de RFC que se suelen reservar, como se describe en la siguiente tabla. Estos rangos no se pueden usar para rangos de subredes.
| Rango | Descripción |
|---|---|
| Direcciones IP públicas para los servicios y las API de Google, incluidos los netblocks de Google Cloud. | Puedes encontrar estas direcciones IP en https://gstatic.com/ipranges/goog.txt. |
199.36.153.4/30
y 199.36.153.8/30 |
Direcciones IP virtuales específicas del acceso privado a Google |
0.0.0.0/8 |
Red actual (local) de RFC 1122 |
127.0.0.0/8 |
Host local de RFC 1122 |
169.254.0.0/16 |
Vínculo local de RFC 3927 |
224.0.0.0/4 |
Multidifusión (clase D) RFC 5771 |
255.255.255.255/32 |
Dirección de destino de transmisión limitada de RFC 8190 y RFC 919 |
Direcciones inutilizables en rangos de subred IPv4
Google Cloud usa las dos primeras y las dos últimas direcciones IPv4 en cada rango de direcciones IPv4 principal de la subred para alojarla. Google Cloud te permite usar todas las direcciones en rangos IPv4 secundarios.
| Dirección IPv4 inutilizable | Descripción | Ejemplo |
|---|---|---|
| Dirección de red | La primera dirección en el rango IPv4 principal | 10.1.2.0 del rango 10.1.2.0/24
|
| Dirección de puerta de enlace predeterminada | Segunda dirección en el rango IPv4 principal | 10.1.2.1 del rango 10.1.2.0/24
|
| Penúltima dirección | Penúltima dirección en el rango IPv4 principal
Google Cloud reserva este rango para su posible uso futuro. |
10.1.2.254 del rango 10.1.2.0/24
|
| Dirección de broadcast | Última dirección en el rango IPv4 principal | 10.1.2.255 del rango 10.1.2.0/24
|
Rangos de IPv4 de modo automático
En esta tabla, se enumeran los rangos de IPv4 para las subredes creadas de forma automática en una red de VPC de modo automático. Los rangos de IP de estas subredes se ajustan al bloque CIDR 10.128.0.0/9. Las redes de VPC de modo automático se compilan con una subred por región en el momento de la creación y reciben subredes nuevas de forma automática en las regiones nuevas. Las partes no usadas de 10.128.0.0/9 están reservadas para el uso futuro de Google Cloud.
| Región | Rango de IP (CIDR) | Puerta de enlace predeterminada | Direcciones utilizables (inclusive) |
|---|---|---|---|
| africa-south1 | 10.218.0.0/20 | 10.218.0.1 | 10.218.0.2 a 10.218.15.253 |
| asia-east1 | 10.140.0.0/20 | 10.140.0.1 | 10.140.0.2 a 10.140.15.253 |
| asia-east2 | 10.170.0.0/20 | 10.170.0.1 | 10.170.0.2 a 10.170.15.253 |
| asia-northeast1 | 10.146.0.0/20 | 10.146.0.1 | 10.146.0.2 a 10.146.15.253 |
| asia-northeast2 | 10.174.0.0/20 | 10.174.0.1 | 10.174.0.2 a 10.174.15.253 |
| asia-northeast3 | 10.178.0.0/20 | 10.178.0.1 | 10.178.0.2 a 10.178.15.253 |
| asia-south1 | 10.160.0.0/20 | 10.160.0.1 | 10.160.0.2 a 10.160.15.253 |
| asia-south2 | 10.190.0.0/20 | 10.190.0.1 | 10.190.0.2 a 10.190.15.253 |
| asia-southeast1 | 10.148.0.0/20 | 10.148.0.1 | 10.148.0.2 a 10.148.15.253 |
| asia-southeast2 | 10.184.0.0/20 | 10.184.0.1 | 10.184.0.2 to 10.184.15.253 |
| australia-southeast1 | 10.152.0.0/20 | 10.152.0.1 | 10.152.0.2 a 10.152.15.253 |
| australia-southeast2 | 10.192.0.0/20 | 10.192.0.1 | 10.192.0.2 to 10.192.15.253 |
| europe-central2 | 10.186.0.0/20 | 10.186.0.1 | 10.186.0.2 a 10.186.15.253 |
| europe-north1 | 10.166.0.0/20 | 10.166.0.1 | 10.166.0.2 a 10.166.15.253 |
| europe-west1 | 10.132.0.0/20 | 10.132.0.1 | 10.132.0.2 a 10.132.15.253 |
| europe-west2 | 10.154.0.0/20 | 10.154.0.1 | 10.154.0.2 a 10.154.15.253 |
| europe-west3 | 10.156.0.0/20 | 10.156.0.1 | 10.156.0.2 a 10.156.15.253 |
| europe-west4 | 10.164.0.0/20 | 10.164.0.1 | 10.164.0.2 a 10.164.15.253 |
| europe-west6 | 10.172.0.0/20 | 10.172.0.1 | 10.172.0.2 a 10.172.15.253 |
| europe-west8 | 10.198.0.0/20 | 10.198.0.1 | 10.198.0.2 a 10.198.15.253 |
| europe-west9 | 10.200.0.0/20 | 10.200.0.1 | 10.200.0.2 a 10.200.15.253 |
| europe-west10 | 10.214.0.0/20 | 10.214.0.1 | 10.214.0.2 a 10.214.15.253 |
| europe-west12 | 10.210.0.0/20 | 10.210.0.1 | 10.210.0.2 a 10.210.15.253 |
| europe-southwest1 | 10.204.0.0/20 | 10.204.0.1 | de 10.204.0.2 a 10.204.15.253 |
| me-central1 | 10.212.0.0/20 | 10.212.0.1 | de 10.212.0.2 a 10.212.15.253 |
| me-central2 | 10.216.0.0/20 | 10.216.0.1 | 10.216.0.2 to 10.216.15.253 |
| me-west1 | 10.208.0.0/20 | 10.208.0.1 | 10.208.0.2 a 10.208.15.253 |
| northamerica-northeast1 | 10.162.0.0/20 | 10.162.0.1 | 10.162.0.2 a 10.162.15.253 |
| northamerica-northeast2 | 10.188.0.0/20 | 10.188.0.1 | De 10.188.0.2 a 10.188.15.253 |
| southamerica-east1 | 10.158.0.0/20 | 10.158.0.1 | 10.158.0.2 a 10.158.15.253 |
| southamerica-west1 | 10.194.0.0/20 | 10.194.0.1 | de 10.194.0.2 a 10.194.15.253 |
| us-central1 | 10.128.0.0/20 | 10.128.0.1 | 10.128.0.2 a 10.128.15.253 |
| us-east1 | 10.142.0.0/20 | 10.142.0.1 | 10.142.0.2 a 10.142.15.253 |
| us-east4 | 10.150.0.0/20 | 10.150.0.1 | 10.150.0.2 a 10.150.15.253 |
| us-east5 | 10.202.0.0/20 | 10.202.0.1 | 10.202.0.2 a 10.202.15.253 |
| us-south1 | 10.206.0.0/20 | 10.206.0.1 | de 10.206.0.2 a 10.206.15.253 |
| us-west1 | 10.138.0.0/20 | 10.138.0.1 | 10.138.0.2 a 10.138.15.253 |
| us-west2 | 10.168.0.0/20 | 10.168.0.1 | 10.168.0.2 a 10.168.15.253 |
| us-west3 | 10.180.0.0/20 | 10.180.0.1 | 10.180.0.2 a 10.180.15.253 |
| us-west4 | 10.182.0.0/20 | 10.182.0.1 | 10.182.0.2 a 10.182.15.253 |
Consideraciones adicionales
Asegúrate de que todos los rangos de direcciones IPv4 principales y secundarios de la subred no entren en conflicto con los rangos de direcciones IPv4 que el software que se ejecuta dentro de las VMs debe usar. Algunos productos de Google y de terceros usan 172.17.0.0/16 para el enrutamiento dentro del sistema operativo invitado. Por ejemplo, la red predeterminada del puente Docker usa este rango. Si dependes de un producto que usa 172.17.0.0/16, no lo uses como ningún rango de dirección IPv4 principal y secundario de la subred.
Rangos de subredes IPv6
Cuando habilitas IPv6 en una subred de una red de VPC, eliges un tipo de acceso IPv6 para la subred. El tipo de acceso de IPv6 determina si la subred está configurada con direcciones IPv6 internas o direcciones IPv6 externas.
Las direcciones IPv6 internas se usan para la comunicación de VM a VM dentro de las redes de VPC. Solo se pueden enrutar dentro del alcance de las redes de VPC y no se pueden enrutar a Internet.
Las direcciones IPv6 externas se pueden usar en la comunicación de VM a VM dentro de redes de VPC y también se pueden enrutar en Internet.
Si una interfaz de VM está conectada a una subred que tiene un rango de subred IPv6, puedes configurar direcciones IPv6 en la VM. El tipo de acceso de IPv6 de la subred determina si la VM tiene asignada una dirección de IPv6 interna o externa.
Especificaciones de IPv6
Los rangos de subredes IPv6 son recursos regionales.
Los rangos de subredes IPv6 internas y externas están disponibles en todas las regiones.
A los rangos de subredes IPv6 se les asignan rangos
/64de forma automática.No puedes cambiar el tipo de acceso de IPv6 (interno o externo) de una subred.
No puedes cambiar una subred de pila doble a una de pila única si el tipo de acceso de IPv6 es interno.
Especificaciones de IPv6 internas
Los rangos de IPv6 internos usan direcciones locales únicas (ULA).
Las ULA para IPv6 son análogas a las direcciones RFC 1918 para IPv4. No se puede acceder a las ULA desde Internet ni se pueden enrutar de forma pública.
Para crear subredes con rangos de IPv6 internos, primero debes asignar un rango de IPv6 interno a la red de VPC. Se asigna un rango de IPv6
/48. Cuando creas una subred con un rango de IPv6 interno, el rango/64de la subred se asigna desde el rango de la red de VPC.El rango de IPv6 interno de una red de VPC es único dentro de Google Cloud.
Puedes permitir que Google asigne el rango de IPv6 interno de la red de VPC o elegir un rango específico. Si la red de VPC se conecta a redes fuera de Google Cloud, puedes elegir un rango que no se superponga con los rangos que se usan en esos entornos.
La asignación de un rango de IPv6 interno
/48de una red de VPC es permanente. No puedes inhabilitarlo ni cambiarlo más adelante.Puedes reservar direcciones IPv6 internas regionales estáticas.
Ninguna otra red de VPC puede usar el mismo rango, lo que elimina la posibilidad de superponer rangos de subred IPv6 cuando se usa el intercambio de tráfico entre redes de VPC.
Especificaciones de IPv6 externas
Los rangos de direcciones IPv6 externas usan direcciones de unidifusión globales (GUA).
Las direcciones IPv6 externas se pueden usar en la comunicación de VM a VM dentro de redes de VPC y también se pueden enrutar en Internet. Para controlar la salida y entrada desde Internet, configura las reglas de firewall o las políticas de firewall jerárquicas. Para inhabilitar el enrutamiento IPv6 a Internet por completo, borra la ruta predeterminada IPv6 de la red de VPC.
Las direcciones IPv6 externas solo están disponibles en el nivel Premium.
Puedes reservar direcciones IPv6 externas regionales estáticas.
Asignación de un rango de IPv6
Los rangos de IPv6 se pueden asignar a redes, subredes e instancias de máquinas virtuales (VM).
| Tipo de recurso | Tamaño del rango | Detalles |
|---|---|---|
| Red de VPC | /48 |
Para habilitar IPv6 interna en una subred, primero debes asignar un rango de IPv6 interno en la red de VPC. Se asigna un rango de ULA El rango |
| Subred | /64 |
La configuración de tipo de acceso de IPv6 controla si las direcciones IPv6 son internas o externas. Una subred puede tener direcciones IPv6 internas o externas, pero no ambas.
Cuando habilitas IPv6, ocurre lo siguiente:
|
| Instancia de máquina virtual (VM) | /96 |
Cuando habilitas IPv6 en una VM, a esta se le asigna un rango No debes configurar si una VM obtiene direcciones IPv6 internas o externas. La VM hereda el tipo de acceso IPv6 de la subred a la que está conectada. |
¿Qué sigue?
Pruébalo tú mismo
Si es la primera vez que usas Google Cloud, crea una cuenta para evaluar el rendimiento de Cloud NAT en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
Probar Cloud NAT gratis