Subredes

Las redes de nube privada virtual (VPC) son recursos globales. Cada red de VPC consta de uno o más rangos de direcciones IP llamados subredes. Las subredes son recursos regionales y tienen rangos de direcciones IP asociados.

En Google Cloud, los términos en inglés subnet y subnetwork son sinónimos. Estos términos se usan de forma indistinta en la documentación de las API, la consola de Google Cloud y los comandos de Google Cloud CLI.

Redes y subredes

Una red debe tener, al menos, una subred para que puedas usarla. Las redes de VPC de modo automático crean subredes en cada región de forma automática. Las redes de VPC de modo personalizado comienzan sin subredes, lo que te brinda el control total sobre la creación de subredes. Puedes crear más de una subred por región. Para obtener información sobre las diferencias entre las redes de VPC de modo personalizado y de modo automático, consulta los tipos de redes de VPC.

Cuando creas un recurso en Google Cloud, debes elegir una red y una subred. En el caso de otros recursos que no sean plantillas de instancias, también debes elegir una zona o una región. Cuando eliges una zona, se elige una región principal de forma implícita. Debido a que las subredes son objetos regionales, la región que eliges para un recurso determina las subredes que puede usar:

  • Cuando creas una instancia, debes elegir una zona para la instancia. Si no elegís una red para la VM, se usa la red de VPC predeterminada, que tiene una subred en cada región. Si elegís una red para la VM, debes elegir una red que contenga una subred en la región principal de la zona elegida.

  • Cuando creas un grupo de instancias administrado, elegís una zona o región, según el tipo de grupo, y una plantilla de instancias. La plantilla de la instancia define qué red de VPC usar. Por lo tanto, cuando creas un grupo de instancias administrado, debes elegir una plantilla de instancias con una configuración adecuada. La plantilla debe especificar una red de VPC que tenga subredes en la zona o región elegida. Las redes de VPC de modo automático siempre tienen una subred en cada región.

  • El proceso de creación de un clúster de contenedores de Kubernetes incluye la selección de una zona o región (según el tipo de clúster), una red y una subred. Debes elegir una subred que esté disponible en la zona o región elegida.

Tipos de subredes

Las redes de VPC admiten los siguientes tipos de subredes:

  • Subredes solo IPv4 (pila única) con rangos de subred solo IPv4

  • Subredes IPv4 e IPv6 (pila doble) con rangos de subred IPv4 e IPv6

Una sola red de VPC puede contener cualquier combinación de estos tipos de subredes.

Cuando creas una subred, especificas qué tipo de pila usar. También puedes actualizar una subred IPv4 existente para configurarla como una subred de pila doble.

Las subredes de pila doble solo son compatibles con las redes de VPC de modo personalizado. Las subredes de pila doble no son compatibles con redes de VPC de modo automático ni con redes heredadas.

Cuando creas un rango de subred IPv4, proporcionas la siguiente información:

Configuración de subred Valores válidos Detalles
Rango IPv4 Un rango válido que elijas Obligatorio
Rango de IPv4 secundario Un rango válido que elijas Opcional

Cuando creas un rango de subred IPv6, proporcionas la siguiente información:

Configuración de subred Valores válidos Detalles
Tipo de acceso IPv6

  • Interno
  • Externo

Un rango de direcciones IPv6 /64 se asigna de forma automática a la subred.

Propósitos de las subredes

Las subredes se pueden usar para diferentes propósitos:

  • Subredes regulares: Este es el tipo de subred predeterminado. Los usuarios crean subredes regulares o se crean de forma automática en redes de VPC de modo automático para usarlas con instancias de VM. Las subredes regulares tienen un propósito de PRIVATE en gcloud CLI o en la API. El propósito es Ninguno en la consola de Google Cloud.
  • Subredes de Private Service Connect: Una subred para usar en la publicación de un servicio administrado mediante Private Service Connect.
  • Subredes de solo proxy: Una subred de solo proxy que se usará con balanceadores de cargas regionales basados en Envoy.
  • Subredes NAT privadas: Una subred que está reservada para que se use como rango de origen de NAT privada. Esta subred se establece en --purpose=PRIVATE_NAT.

En la mayoría de los casos, no puedes cambiar el propósito de una subred después de crearla. Para obtener más información, consulta la referencia del comando gcloud compute networks subnets update.

Limitaciones para nombrar subredes

Los nombres de las subredes tienen las siguientes limitaciones:

  • Dentro de un proyecto de Google Cloud, una subred no puede tener el mismo nombre que una red de VPC, a menos que sea miembro de esa red. Dentro de un proyecto, las subredes en la misma región deben tener nombres únicos. Por ejemplo, una red llamada production puede tener varias subredes también llamadas production, siempre que cada una de esas subredes esté en una región única.

  • No puedes cambiar el nombre ni la región de una subred luego de crearla. Sin embargo, puedes borrar una subred y reemplazarla, siempre y cuando no haya recursos que la usen.

Rangos de subredes IPv4

Las subredes deben tener un rango de direcciones IPv4 principal. Cuando el propósito de una subred es PRIVATE o NONE, el rango IPv4 principal se puede usar de la siguiente manera:

De manera opcional, las subredes pueden tener uno o más rangos de direcciones IPv4 secundarios, que solo pueden usar los rangos de alias de IP. Un rango de IP de alias puede provenir del rango IPv4 principal o de un rango IPv4 secundario de una subred.

No es necesario que las subredes IPv4 formen un bloque CIDR contiguo predefinido, pero puedes configurarlo si así lo deseas. Por ejemplo, las redes de VPC de modo automático sí crean subredes que se ajustan un rango de IP predefinido de modo automático. Sin embargo, el rango principal de una subred puede ser 10.0.0.0/24, mientras que el rango principal de otra subred en la misma red puede ser 192.168.0.0/16.

Limitaciones para los rangos de subredes IPv4

Los rangos de subredes IPv4 tienen las siguientes limitaciones:

  • Cada rango de IPv4 principal o secundario para todas las subredes en una red de VPC debe ser un bloque CIDR válido.

  • La cantidad de rangos de direcciones IP secundarios que puedes definir se describe en los límites por red.

  • Después de crear una subred, el rango IPv4 principal para la subred se puede expandir, pero no se puede reemplazar ni reducir.

  • Puedes quitar y reemplazar el rango de direcciones IPv4 secundario de una subred solo si no hay instancias que usen ese rango.

  • El tamaño mínimo de rango principal o secundario es de ocho direcciones IPv4. En otras palabras, la máscara de subred más larga que puedes usar es /29.

  • La máscara de subred más corta que puedes usar es /4. Sin embargo, para la mayoría de los rangos de direcciones IP /4, las validaciones adicionales evitan que crees una subred que sea tan grande. Por ejemplo, un rango de subred no puede superponerse con un rango IPv4 privado ni otro rango reservado. Para minimizar la posibilidad de elegir un rango de subred no válido, te recomendamos que limites el tamaño máximo de la subred a /8.

  • No puedes crear rangos principales y secundarios para subredes que se superpongan con cualquierrango asignado, cualquier rango principal o secundario de otra subred en la misma red o cualquier rango IPv4 de subredes enredes con intercambio de tráfico. Google Cloud evita la creación de rangos de subred superpuestos en estas situaciones.

  • Google Cloud crea las rutas de subred correspondientes para los rangos de IP principal y secundario. Las rutas de subred y, por lo tanto, los rangos de IP de la subred deben tener los rangos de IP más específicos por definición.

  • Los rangos de subredes no pueden coincidir con un rango restringido, ni ser más estrechos ni más amplios que uno de estos rangos. Por ejemplo, 169.0.0.0/8 no es un rango de subred válido porque se superpone con el rango de vínculo local 169.254.0.0/16 (RFC 3927), que es un rango restringido.

  • Los rangos de subred no pueden abarcar un rango RFC (descrito en la tabla anterior) ni un rango de direcciones IP públicas de uso privado. Por ejemplo, 172.0.0.0/10 no es un rango de subred válido porque incluye el rango de direcciones IP privadas 172.16.0.0/12 y las direcciones IP públicas.

  • Los rangos de subredes no pueden abarcar varios rangos de RFC. Por ejemplo, 192.0.0.0/8 no es un rango de subred válido porque incluye 192.168.0.0/16 (de RFC 1918) y 192.0.0.0/24 (de RFC 6890). Sin embargo, puedes crear dos subredes con diferentes rangos principales, una con 192.168.0.0/16 y otra con 192.0.0.0/24. O bien, puedes usar ambos rangos en la misma subred si haces que uno de ellos sea secundario.

Rangos de IPv4 válidos

Los rangos de direcciones IPv4 principales y secundarias de una subred son direcciones IPv4 internas regionales. En la siguiente tabla, se describen los rangos válidos.

Rango Descripción
Rangos de direcciones IPv4 privados
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Direcciones IP privadas de RFC 1918

Para obtener información sobre el uso de 172.17.0.0/16, consulta Consideraciones adicionales.

100.64.0.0/10 Espacio de direcciones compartidas de RFC 6598
192.0.0.0/24 Asignaciones de protocolo IETF de RFC 6890
192.0.2.0/24 (TEST-NET-1)
198.51.100.0/24 (TEST-NET-2)
203.0.113.0/24 (TEST-NET-3)
Documentación de RFC 5737
192.88.99.0/24 Retransmisión de IPv6 a IPv4 (obsoleta) de RFC 7526
198.18.0.0/15 Pruebas comparativas de RFC 2544
240.0.0.0/4

Reservado para uso futuro (clase E) como se indica en RFC 5735 y RFC 1112.

Algunos sistemas operativos no admiten el uso de este rango, por lo que debes verificar que tu SO lo admita antes de crear subredes que usen este rango.

Rangos de direcciones IP públicas de uso privado
Direcciones IPv4 públicas usadas de forma privada Direcciones IPv4 públicas usadas de forma privada:
  • Son direcciones IPv4 que se pueden enrutar de forma normal en Internet, pero que se usan de forma privada en una red de VPC.
  • No puede pertenecer a un rango de subred prohibido

Cuando usas estas direcciones como rangos de subred, Google Cloud no anuncia estas rutas a Internet y no enruta el tráfico desde Internet.

Si importaste direcciones IP públicas a Google mediante Lleva tu propia IP (BYOIP), los rangos de BYOIP y los rangos de direcciones IP públicas de uso privado en la misma red de VPC no se deben superponer.

En el intercambio de tráfico entre redes de VPC, las rutas de subredes para direcciones IP públicas no se intercambian de forma automática. Las rutas de subredes se exportan de forma automática según la configuración predeterminada, pero las redes de intercambio de tráfico deben configurarse de manera explícita para importarlas para usarlas.

Rangos de subredes IPv4 prohibidos

Entre los rangos de subred prohibidos, se incluyen las direcciones IP públicas de Google y los rangos de RFC que se suelen reservar, como se describe en la siguiente tabla. Estos rangos no se pueden usar para rangos de subredes.

Rango Descripción
Direcciones IP públicas para los servicios y las API de Google, incluidos los netblocks de Google Cloud. Puedes encontrar estas direcciones IP en https://gstatic.com/ipranges/goog.txt.
199.36.153.4/30
y
199.36.153.8/30
Direcciones IP virtuales específicas del acceso privado a Google
0.0.0.0/8 Red actual (local) de RFC 1122
127.0.0.0/8 Host local de RFC 1122
169.254.0.0/16 Vínculo local de RFC 3927
224.0.0.0/4 Multidifusión (clase D) RFC 5771
255.255.255.255/32 Dirección de destino de transmisión limitada de RFC 8190 y RFC 919

Direcciones inutilizables en rangos de subred IPv4

Google Cloud usa las dos primeras y las dos últimas direcciones IPv4 en cada rango de direcciones IPv4 principal de la subred para alojar la subred. Google Cloud te permite usar todas las direcciones en rangos IPv4 secundarios.

Dirección IPv4 inutilizable Descripción Ejemplo
Dirección de red La primera dirección en el rango IPv4 principal 10.1.2.0 del rango 10.1.2.0/24
Dirección de puerta de enlace predeterminada Segunda dirección en el rango IPv4 principal 10.1.2.1 del rango 10.1.2.0/24
Penúltima dirección Penúltima dirección en el rango IPv4 principal

Google Cloud reserva este rango para su posible uso en el futuro.

10.1.2.254 del rango 10.1.2.0/24
Dirección de broadcast Última dirección en el rango IPv4 principal 10.1.2.255 del rango 10.1.2.0/24

Rangos de IPv4 de modo automático

En esta tabla, se enumeran los rangos de IPv4 para las subredes creadas de forma automática en una red de VPC de modo automático. Los rangos de IP de estas subredes se ajustan al bloque CIDR 10.128.0.0/9. Las redes de VPC de modo automático se compilan con una subred por región en el momento de la creación y reciben subredes nuevas de forma automática en las regiones nuevas. Las partes no usadas de 10.128.0.0/9 están reservadas para el uso futuro de Google Cloud.

Región Rango de IP (CIDR) Puerta de enlace predeterminada Direcciones utilizables (inclusive)
africa-south1 10.218.0.0/20 10.218.0.1 10.218.0.2 a 10.218.15.253
asia-east1 10.140.0.0/20 10.140.0.1 10.140.0.2 a 10.140.15.253
asia-east2 10.170.0.0/20 10.170.0.1 10.170.0.2 a 10.170.15.253
asia-northeast1 10.146.0.0/20 10.146.0.1 10.146.0.2 a 10.146.15.253
asia-northeast2 10.174.0.0/20 10.174.0.1 10.174.0.2 a 10.174.15.253
asia-northeast3 10.178.0.0/20 10.178.0.1 10.178.0.2 a 10.178.15.253
asia-south1 10.160.0.0/20 10.160.0.1 10.160.0.2 a 10.160.15.253
asia-south2 10.190.0.0/20 10.190.0.1 10.190.0.2 a 10.190.15.253
asia-southeast1 10.148.0.0/20 10.148.0.1 10.148.0.2 a 10.148.15.253
asia-southeast2 10.184.0.0/20 10.184.0.1 10.184.0.2 to 10.184.15.253
australia-southeast1 10.152.0.0/20 10.152.0.1 10.152.0.2 a 10.152.15.253
australia-southeast2 10.192.0.0/20 10.192.0.1 10.192.0.2 to 10.192.15.253
europe-central2 10.186.0.0/20 10.186.0.1 10.186.0.2 a 10.186.15.253
europe-north1 10.166.0.0/20 10.166.0.1 10.166.0.2 a 10.166.15.253
europe-west1 10.132.0.0/20 10.132.0.1 10.132.0.2 a 10.132.15.253
europe-west2 10.154.0.0/20 10.154.0.1 10.154.0.2 a 10.154.15.253
europe-west3 10.156.0.0/20 10.156.0.1 10.156.0.2 a 10.156.15.253
europe-west4 10.164.0.0/20 10.164.0.1 10.164.0.2 a 10.164.15.253
europe-west6 10.172.0.0/20 10.172.0.1 10.172.0.2 a 10.172.15.253
europe-west8 10.198.0.0/20 10.198.0.1 10.198.0.2 a 10.198.15.253
europe-west9 10.200.0.0/20 10.200.0.1 10.200.0.2 a 10.200.15.253
europe-west10 10.214.0.0/20 10.214.0.1 10.214.0.2 a 10.214.15.253
europe-west12 10.210.0.0/20 10.210.0.1 10.210.0.2 a 10.210.15.253
europe-southwest1 10.204.0.0/20 10.204.0.1 de 10.204.0.2 a 10.204.15.253
me-central1 10.212.0.0/20 10.212.0.1 de 10.212.0.2 a 10.212.15.253
me-central2 10.216.0.0/20 10.216.0.1 10.216.0.2 to 10.216.15.253
me-west1 10.208.0.0/20 10.208.0.1 10.208.0.2 a 10.208.15.253
northamerica-northeast1 10.162.0.0/20 10.162.0.1 10.162.0.2 a 10.162.15.253
northamerica-northeast2 10.188.0.0/20 10.188.0.1 De 10.188.0.2 a 10.188.15.253
southamerica-east1 10.158.0.0/20 10.158.0.1 10.158.0.2 a 10.158.15.253
southamerica-west1 10.194.0.0/20 10.194.0.1 de 10.194.0.2 a 10.194.15.253
us-central1 10.128.0.0/20 10.128.0.1 10.128.0.2 a 10.128.15.253
us-east1 10.142.0.0/20 10.142.0.1 10.142.0.2 a 10.142.15.253
us-east4 10.150.0.0/20 10.150.0.1 10.150.0.2 a 10.150.15.253
us-east5 10.202.0.0/20 10.202.0.1 10.202.0.2 a 10.202.15.253
us-south1 10.206.0.0/20 10.206.0.1 de 10.206.0.2 a 10.206.15.253
us-west1 10.138.0.0/20 10.138.0.1 10.138.0.2 a 10.138.15.253
us-west2 10.168.0.0/20 10.168.0.1 10.168.0.2 a 10.168.15.253
us-west3 10.180.0.0/20 10.180.0.1 10.180.0.2 a 10.180.15.253
us-west4 10.182.0.0/20 10.182.0.1 10.182.0.2 a 10.182.15.253

Consideraciones adicionales

Asegúrate de que todos los rangos de direcciones IPv4 principales y secundarios de la subred no entren en conflicto con los rangos de direcciones IPv4 que el software que se ejecuta dentro de las VMs debe usar. Algunos productos de Google y de terceros usan 172.17.0.0/16 para el enrutamiento dentro del sistema operativo invitado. Por ejemplo, la red predeterminada del puente Docker usa este rango. Si dependes de un producto que usa 172.17.0.0/16, no lo uses como ningún rango de direcciones IPv4 principal y secundario de la subred.

Rangos de subredes IPv6

Cuando habilitas IPv6 en una subred de una red de VPC, eliges un tipo de acceso IPv6 para la subred. El tipo de acceso de IPv6 determina si la subred está configurada con direcciones IPv6 internas o direcciones IPv6 externas. La subred se convierte en una subred de pila doble.

  • Las direcciones IPv6 internas se usan para la comunicación de VM a VM dentro de las redes de VPC. Solo se pueden enrutar dentro del alcance de las redes de VPC y no se pueden enrutar a Internet.

  • Las direcciones IPv6 externas se pueden usar en la comunicación de VM a VM dentro de redes de VPC y también se pueden enrutar en Internet.

Si una interfaz de VM está conectada a una subred que tiene un rango de subred IPv6, puedes configurar direcciones IPv6 en la VM. El tipo de acceso de IPv6 de la subred determina si la VM tiene asignada una dirección de IPv6 interna o externa.

Especificaciones de IPv6

Las subredes de pila doble están disponibles en todas las regiones y admiten rangos de subredes IPv6 internos y externos:

  • Google Cloud siempre asigna automáticamente los rangos de subredes IPv6.
  • Los rangos de subredes IPv6 siempre son rangos /64.

Las subredes de pila doble tienen las siguientes limitaciones:

  • No puedes cambiar el tipo de acceso de IPv6 (interno o externo) de una subred.
  • No puedes cambiar una subred de pila doble a una de pila única si el tipo de acceso de IPv6 es interno.

Especificaciones de IPv6 internas

Los rangos de IPv6 internos son direcciones locales únicas (ULA). Las ULAs para IPv6 son análogas a las direcciones RFC 1918 para IPv4. No se puede acceder a las ULA desde Internet ni se pueden enrutar de forma pública.

Para crear subredes con rangos de IPv6 internos, primero debes asignar un rango de IPv6 ULA /48 a la red de VPC. Ten en cuenta lo siguiente cuando asignes un rango IPv6 de ULA /48 a una red de VPC:

  • El rango de IPv6 de ULA /48 para cada red de VPC debe ser único en Google Cloud. Esto elimina la posibilidad de superponer rangos de subred IPv6 cuando se usa el intercambio de tráfico entre redes de VPC.

  • Puedes permitir que Google Cloud asigne automáticamente el rango de IPv6 ULA /48 de la red de VPC o proporcionar un rango de IPv6 ULA /48 para usarlo. Si otra red de VPC de Google Cloud ya usa el rango de IPv6 ULA /48 que proporcionas, recibirás un error.

  • La opción de proporcionar un rango de IPv6 ULA /48 es útil para evitar conflictos entre tu red de VPC y las redes locales conectadas o las redes de otros proveedores de servicios en la nube.

  • Una vez que se asigna un rango de IPv6 de ULA /48 a una red de VPC, no puedes quitar ni cambiar el rango de IPv6 de ULA /48.

Cuando creas una subred con un rango de IPv6 interno, Google Cloud selecciona automáticamente un rango de IPv6 /64 sin usar del rango de IPv6 ULA /48 de la red de VPC. Los siguientes elementos pueden usar los rangos IPv6 /64 internos de la subred:

También puedes reservar rangos de direcciones /96 IPv6 internos regionales estáticos.

Especificaciones de IPv6 externas

Los rangos de direcciones IPv6 externas usan direcciones de unidifusión globales (GUA). Las direcciones IPv6 externas solo están disponibles en el nivel Premium.

Cuando creas una subred con un rango de direcciones IPv6 externo, Google Cloud selecciona automáticamente un rango de IPv6 /64 sin usar. Los siguientes elementos pueden usar los rangos de direcciones IPv6 /64 externos de la subred:

También puedes reservar rangos de direcciones /96 IPv6 externas regionales estáticos.

Asignación de un rango de IPv6

Los rangos de direcciones IPv6 se asignan a redes, subredes, instancias de máquinas virtuales (VM) y reglas de reenvío.

Tipo de recurso Tamaño del rango Detalles
Red de VPC /48

Para habilitar IPv6 interna en una subred, primero debes asignar un rango de IPv6 interno en la red de VPC.

Se asigna un rango de ULA /48 perteneciente a fd20::/20 a la red. Todos los rangos de subredes IPv6 internas de la red se asignan a partir de este rango /48.

El rango /48 se puede asignar de forma automática o puedes elegir un rango específico desde fd20::/20.

Subred /64

La configuración de tipo de acceso de IPv6 controla si las direcciones IPv6 son internas o externas.

Una subred puede tener direcciones IPv6 internas o externas, pero no ambas.

Cuando habilitas IPv6, ocurre lo siguiente:

  • Si habilitas IPv6 interna en una subred, se asigna un rango /64 de ULA internas perteneciente al rango /48 de tu red de VPC.

  • Si habilitas IPv6 externo en una subred, se asigna un rango /64 de GUA externas.
Instancia de máquina virtual (VM) o regla de reenvío /96

Cuando habilitas IPv6 en una VM, a esta se le asigna un rango /96 desde la subred a la que está conectada. La primera dirección IP de ese rango se asigna a la interfaz principal mediante DHCPv6.

No debes configurar si una VM obtiene direcciones IPv6 internas o externas. La VM hereda el tipo de acceso IPv6 de la subred a la que está conectada.

¿Qué sigue?

Pruébalo tú mismo

Si es la primera vez que usas Google Cloud, crea una cuenta para evaluar el rendimiento de Cloud NAT en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Probar Cloud NAT gratis