Configura y administra el intercambio de tráfico entre redes de VPC

El intercambio de tráfico entre redes de VPC de Google Cloud habilita la conectividad de las direcciones IP internas entre dos redes de nube privada virtual (VPC), sin importar si pertenecen al mismo proyecto o a la misma organización. El intercambio de tráfico admite la conectividad entre redes que tienen subredes de pila doble.

Para obtener más información, consulta Intercambio de tráfico entre redes de VPC.

Crea una configuración de intercambio de tráfico

Antes de comenzar, debes tener el nombre de la red de VPC con la que realizarás el intercambio de tráfico. Si esa red está ubicada en otro proyecto, también debes tener el ID del proyecto. No puedes enumerar solicitudes de intercambio de tráfico para tu red de VPC. Si es necesario, pídele al administrador de la red con la que deseas intercambiar tráfico para obtener los nombres de la red y del proyecto.

Una configuración de intercambio de tráfico establece el intent para conectarse a otra red de VPC. Tu red y la otra red no están conectadas hasta que cada una tenga una configuración de intercambio de tráfico para la otra. Después de que la otra red tenga la configuración correspondiente para establecer el intercambio de tráfico con tu red, el estado de intercambio de tráfico cambia a ACTIVE en ambas redes y se conectan. Si no hay ninguna configuración de intercambio de tráfico que coincida en la otra red, el estado de intercambio de tráfico seguirá siendo INACTIVE, lo que indica que la red no está conectada a la otra red.

Google Cloud solo permite una actividad relacionada con el intercambio de tráfico a la vez en las redes de intercambio de tráfico. Por ejemplo, si configuras el intercambio de tráfico con una red y tratas de configurar otra red de inmediato, la operación falla con lo siguiente: Error: There is a peering operation in progress on the local or peer network. Try again later.

Una vez conectadas, las dos redes siempre intercambian rutas de subred. De forma opcional, puedes importar rutas personalizadas IPv4 estáticas y dinámicas, además de rutas personalizadas IPv6 dinámicas, desde una red de intercambio de tráfico si se configuró para exportarlas. Para obtener más información, consulta Importar y exportar rutas personalizadas.

Console

  1. En la consola de Google Cloud, ve a la página Intercambio de tráfico entre redes de VPC.
    Ve a Intercambio de tráfico entre redes de VPC
  2. Haz clic en Crear conexión (Create connection).
  3. Haz clic en Continuar.
  4. En el campo Nombre, ingresa un nombre para la configuración de intercambio de tráfico.
  5. En Tu red de VPC, selecciona una red con la que quieras realizar el intercambio de tráfico.

  6. Selecciona la red con la que deseas intercambiar tráfico.

    • Si la red con la que deseas intercambiar tráfico está en el mismo proyecto, selecciona En el proyecto [NAME-OF-YOUR-PROJECT] y, luego, la red con la que deseas intercambiar tráfico.
    • Si la red con la que deseas intercambiar tráfico está en un proyecto diferente, selecciona En otro proyecto. Especifica el ID del proyecto que incluye la red con la que deseas intercambiar tráfico y el nombre de la red de VPC.

  7. En Tipo de pila de IP, especifica qué rutas de subred se deben intercambiar entre las redes con intercambio de tráfico:

    • IPv4 (pila única): Se intercambian solo rutas IPv4.
    • IPv4 e IPv6 (pila doble): Se intercambian rutas IPv4 e IPv6.

  8. Para importar o exportar tanto rutas personalizadas IPv4 como IPv6, elige una o ambas opciones:

    • Importar rutas personalizadas: Importa rutas personalizadas desde la red de intercambio de tráfico. En la red de intercambio de tráfico se debe habilitar la exportación de rutas personalizadas para las rutas que se importarán.
    • Exportar rutas personalizadas: Exporta rutas personalizadas a la red de intercambio de tráfico. En la red de intercambio de tráfico se debe habilitar la importación de rutas personalizadas para que se exporten las rutas.

  9. Si tu red o la red de intercambio de tráfico usan rangos IPv4 públicas de uso privado en sus subredes, estas rutas se exportan por defecto, pero no se importan de forma predeterminada. Para importar rutas de subred de IPv4 pública usadas de forma privada, selecciona lo siguiente:

    • Importar rutas de subred con IP pública para importar de forma privada las rutas de subred de IP pública que exporta la otra red

  10. Haz clic en Crear.

gcloud

Crea una conexión de intercambio de tráfico entre redes de VPC.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

Reemplaza lo siguiente:

  • PEERING_NAME: Es el nombre de la configuración del intercambio de tráfico.
  • NETWORK: Es el nombre de la red en tu proyecto en la que deseas intercambiar tráfico.
  • PEER_PROJECT_ID: Es el ID del proyecto que contiene la red con la que deseas intercambiar tráfico.
  • PEER_NETWORK_NAME: Es el nombre de la red con la que deseas intercambiar tráfico.
  • STACK_TYPE: Es el tipo de pila para la conexión de intercambio de tráfico. Especifica IPV4_ONLY a fin de intercambiar solo rutas IPv4. También puedes especificar IPV4_IPV6 para intercambiar tanto rutas IPv4 como IPv6. IPV4_ONLY es el valor predeterminado.
  • --import-custom-routes indica a la red que acepte rutas personalizadas desde la red de intercambio de tráfico. En la red de intercambio de tráfico primero se deben exportar las rutas.
  • --export-custom-routes indica a la red que exporte rutas personalizadas a la red con intercambio de tráfico. La red de intercambio de tráfico debe configurarse para importar las rutas.
  • --import-subnet-routes-with-public-ip le indica a la red que acepte rutas de subred desde la red de intercambio de tráfico si esa red usa direcciones IPv4 públicas de forma privada en sus subredes. En la red de intercambio de tráfico primero se deben exportar las rutas.
  • --export-subnet-routes-with-public-ip le indica a la red que exporte rutas de subred que contengan direcciones IP públicas usadas de forma privada. La red de intercambio de tráfico debe configurarse para importar las rutas.

Terraform

Puedes usar un módulo de Terraform para crear una configuración de intercambio de tráfico.

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 9.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Para las dos redes de VPC con intercambio de tráfico, cada vínculo propio incluye un ID de proyecto y el nombre de la red de VPC. Para obtener el vínculo propio de una red de VPC, puedes usar el comando gcloud compute networks describe o el método networks.get en cada proyecto de la red de VPC.

Cuando creas un intercambio de tráfico de local_network a peer_network, la relación de intercambio de tráfico es bidireccional. El intercambio de tráfico de peer_network a local_network se crea de forma automática.

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

Verifica que el tráfico pase entre redes de VPC con intercambio de tráfico

Puedes usar los registros de flujo de VPC para ver los flujos de red que envían y reciben las instancias de VM. También puedes usar el registro de reglas de firewall para verificar que el tráfico pase entre las redes. Crea reglas de firewall de VPC que permitan (o rechacen) el tráfico entre redes de intercambio de tráfico y activa el registro de las reglas de firewall para esas reglas. Luego, puedes ver qué reglas de firewall tuvieron hits mediante Cloud Logging.

Actualizar conexión de intercambio de tráfico

Cuando actualizas una conexión de intercambio de tráfico entre redes de VPC existente, puedes hacer lo siguiente:

  • Cambia si en tu red de VPC se exportan o importan rutas personalizadas o rutas de subredes IPv4 públicas usadas de forma privada hacia o desde la red de VPC de intercambio de tráfico.
  • Actualiza una conexión de intercambio de tráfico existente para habilitar o inhabilitar el intercambio de rutas IPv6 entre las redes de intercambio de tráfico.

Tu red importa rutas solo si la red de intercambio de tráfico también las exporta y la red de intercambio de tráfico recibe rutas solo si las importa.

Console

  1. En la consola de Google Cloud, ve a la página Intercambio de tráfico entre redes de VPC.
    Ve a Intercambio de tráfico entre redes de VPC
  2. Selecciona la conexión de intercambio de tráfico que quieres actualizar.
  3. Haz clic en Editar.
  4. Actualiza la selección en Tipo de pila de IP para especificar qué rutas de subred se deben intercambiar entre las redes con intercambio de tráfico:
    • IPv4 (pila única): Detén el intercambio existente de rutas IPv6 en el intercambio de tráfico y continúa solo el intercambio de rutas IPv4.
    • IPv4 e IPv6 (pila doble): Comienza a intercambiar tanto rutas IPv4 como IPv6 siempre que la conexión de intercambio de tráfico coincidente también tenga el tipo de pila IP configurado como IPv4 e IPv6 (pila doble).
  5. Para importar o exportar tanto rutas personalizadas IPv4 como IPv6, elige una o ambas opciones:
    • Importar rutas personalizadas para importar rutas personalizadas que la otra red exportó
    • Exportar rutas personalizadas para exportar rutas personalizadas a la otra red La otra red debe importar las rutas para que se puedan visualizar.
  6. Si tu red o la red de intercambio de tráfico usan rangos IPv4 públicas de uso privado en sus subredes, estas rutas se exportan por defecto, pero no se importan de forma predeterminada. Para importar rutas de subred de IPv4 pública usadas de forma privada, selecciona lo siguiente:
    • Importar rutas de subred con IP pública para importar de forma privada las rutas de subred de IP pública que exporta la otra red
    • Haz clic en Guardar.

gcloud 

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

Actualiza lo siguiente:

  • PEERING_NAME: Es el nombre de la conexión de intercambio de tráfico existente.
  • NETWORK: Es el nombre de la red en tu proyecto en la que se intercambia tráfico.
  • STACK_TYPE: Es el tipo de pila para la conexión de intercambio de tráfico.
    • Especifica IPV4_ONLY para detener el intercambio existente de rutas IPv6 en el intercambio de tráfico y continúa solo el intercambio de rutas IPv4.
    • Especifica IPV4_IPV6 para comenzar a intercambiar tanto rutas IPv4 como IPv6 siempre que la conexión de intercambio de tráfico coincidente también tenga stack_type configurado como IPV4_IPV6.
  • --import-custom-routes indica a la red que acepte rutas personalizadas desde la red de intercambio de tráfico. En la red de intercambio de tráfico primero se deben exportar las rutas.
  • --export-custom-routes indica a la red que exporte rutas personalizadas a la red con intercambio de tráfico. La red de intercambio de tráfico debe configurarse para importar las rutas.
  • --import-subnet-routes-with-public-ip le indica a la red que acepte rutas de subred desde la red de intercambio de tráfico si esa red usa direcciones IPv4 públicas de forma privada en sus subredes. En la red de intercambio de tráfico primero se deben exportar las rutas.
  • --export-subnet-routes-with-public-ip le indica a la red que exporte rutas de subred que contengan direcciones IP públicas usadas de forma privada. La red de intercambio de tráfico debe configurarse para importar las rutas.

Enumera las conexiones de intercambio de tráfico

Enumera las conexiones de intercambio de tráfico existentes para ver su estado y si están importando o exportando rutas personalizadas.

Console

  1. En la consola de Google Cloud, ve a la página Intercambio de tráfico entre redes de VPC.
    Ve a Intercambio de tráfico entre redes de VPC
  2. Selecciona la conexión de intercambio de tráfico para ver sus detalles.

gcloud 

gcloud compute networks peerings list

Enumera las rutas de intercambio de tráfico

Console

Usa la pestaña Rutas efectivas para ver todos los tipos de ruta aplicables en una red de VPC, incluidas las rutas de subred de intercambio de tráfico importada, la estática de intercambio de tráfico y la dinámica de intercambio de tráfico.

  1. En la consola de Google Cloud, ve a la página Rutas.

    Ir a Rutas

  2. En la pestaña Effective routes, haz lo siguiente:

    • Selecciona una red de VPC.
    • Selecciona una Región.

  3. Haz clic en Ver.

  4. Haz clic en el campo de texto Filtro y haz lo siguiente:

    • Selecciona Tipo en el menú Propiedades.
    • Elige una de las siguientes opciones en el menú Valores.
      • Subred de intercambio de tráfico: para ver rutas de subred de redes de VPC de intercambio de tráfico.
      • Intercambio de tráfico estático: para ver las rutas estáticas importadas de las redes de VPC de intercambio de tráfico.
      • Dinámico de intercambio de tráfico: Para ver las rutas dinámicas importadas desde las redes de VPC de intercambio de tráfico.

  5. De manera opcional, haz clic en Mostrar rutas suprimidas para ver las rutas supuestas. Coloca el cursor sobre el ícono en la columna Estado para ver el motivo por el que se suprimió una ruta. El motivo incluye un vínculo a la documentación sobre orden de enrutamiento con una explicación.

gcloud

Usa el siguiente comando de Google Cloud CLI para hacer lo siguiente:

  • Enumera las exportaciones de rutas enviadas desde tu red de VPC a redes de VPC de intercambio de tráfico.
  • Enumera las opciones de importación de ruta para la red de VPC.
gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Reemplaza lo siguiente:

  • PEERING_NAME: Es el nombre de una conexión de intercambio de tráfico existente.
  • NETWORK: Es el nombre de la red en tu proyecto en la que se intercambia tráfico.
  • REGION: Es la región en la que quieres enumerar todas las rutas dinámicas. Las rutas estáticas y de subred son globales y se muestran para todas las regiones.
  • DIRECTION: Especifica si se deben enumerar las rutas importadas (incoming) o exportadas (outgoing).

Borra una conexión de intercambio de tráfico entre redes de VPC

Tú o un administrador de red de VPC de intercambio de tráfico pueden borrar una configuración de intercambio de tráfico. Cuando se borra una configuración de intercambio de tráfico, la conexión de intercambio de tráfico cambia a INACTIVE en la otra red y se quitan todas las rutas compartidas entre las redes.

Console

  1. Ve a la página Intercambio de tráfico de red de VPC en la consola de Google Cloud.
    Ve a Intercambio de tráfico entre redes de VPC
  2. Selecciona la casilla de verificación que aparece junto al intercambio de tráfico que quieres quitar.
  3. Haz clic en Borrar.

gcloud 

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Actualiza lo siguiente:

  • PEERING_NAME: Es el nombre de la conexión de intercambio de tráfico que se borrará.
  • NETWORK: Es el nombre de la red en tu proyecto en la que se intercambia tráfico.

Cuotas y límites

Consulta Cuotas y límites del intercambio de tráfico entre redes de VPC.

Soluciona problemas

En las siguientes secciones, se describe cómo solucionar problemas con el intercambio de tráfico entre redes de VPC.

No se puede acceder a las VM de intercambio de tráfico

Una vez que la conexión de intercambio de tráfico tenga el estado ACTIVE, los flujos de tráfico entre las redes de intercambio de tráfico pueden tomar hasta un minuto en configurarse. Este tiempo depende del tamaño de las redes involucradas en el intercambio de tráfico. Si configuraste la conexión de intercambio de tráfico recientemente, espera hasta un minuto y vuelve a intentarlo. Además, asegúrate de que no haya ninguna regla de firewall que impida el acceso hacia o desde los CIDR de las subredes de la red de VCP de intercambio de tráfico.

Faltan rutas personalizadas

En esta sección, se describe cómo solucionar problemas con las rutas personalizadas faltantes.

Verifica el estado de conexión de intercambio de tráfico

Para verificar el estado de tu conexión de intercambio de tráfico, haz lo siguiente:

  1. Enumera las conexiones de intercambio de tráfico.
  2. Identifica la conexión de intercambio de tráfico para solucionar problemas y revisa su estado de intercambio de tráfico.
    1. Si el estado es ACTIVE, sigue los pasos en la siguiente sección.
    2. Si el estado de intercambio de tráfico es INACTIVE, un administrador de red de la otra red debe crear una configuración de intercambio de tráfico en la red de VPC.

Soluciona problemas de una conexión ACTIVE

Para solucionar problemas con las rutas personalizadas que faltan en una conexión de intercambio de tráfico ACTIVE, sigue estos pasos:

  1. Enumera las rutas de intercambio de tráfico en tu red de VPC. En la pestaña Effective routes, haz lo siguiente:

    1. Ten en cuenta que las regiones en las que se programan las rutas dinámicas dependen del modo de enrutamiento dinámico de la red de VPC que exporta rutas personalizadas. Para obtener más detalles, consulta Efectos del modo de enrutamiento dinámico. En el modo de enrutamiento dinámico global, solo la ruta dinámica que tiene la mejor clasificación se programa en regiones que no coinciden con la región del próximo salto.

    2. Haz clic en el botón de activación Mostrar rutas suprimidas a la posición activada y, luego, verifica tu ruta. Para ver el motivo por el que se suprimió una ruta, coloca el cursor sobre el ícono en la columna Estado. Google Cloud proporciona resolución de conflictos de rutas por región en la red de VPC que importa rutas mediante el intercambio de tráfico entre redes de VPC.

    3. Busca una advertencia que indique que tu red de VPC alcanzó el límite para las rutas dinámicas por región por cuota de grupo de intercambio de tráfico. Si tu red de VPC alcanzó el límite de esta cuota, no se programarán una o más rutas dinámicas de intercambio de tráfico. Debido a que no es posible mostrar con exactitud qué rutas dinámicas de intercambio de tráfico no están programadas, solicita un aumento del límite de cuota para las rutas dinámicas por región por cuota de grupo de intercambio de tráfico.

  2. Si aún no ves la ruta que esperabas, haz lo siguiente:

    1. Revisa la configuración de intercambio de tráfico y actualízala si es necesario para que importe rutas personalizadas.

    2. Asegúrate de que la ruta no sea uno de los siguientes tipos de ruta que no se pueden intercambiar mediante el intercambio de tráfico entre redes de VPC:

      • La subred de intercambio de tráfico, las rutas estáticas de intercambio de tráfico y las rutas dinámicas de intercambio de tráfico en una red de VPC con intercambio de tráfico que se reciben de sus otras redes de intercambio de tráfico no se pueden intercambiar con tu red de VPC mediante el intercambio de tráfico entre redes de VPC.

      • Las rutas estáticas que usan el próximo salto de la puerta de enlace de Internet predeterminada y las rutas estáticas con etiquetas de red no se pueden intercambiar mediante el intercambio de tráfico entre redes de VPC.

      Para obtener más información, consulta Opciones de intercambio de rutas.

    3. Pídele a un administrador de red de la red de VPC con intercambio de tráfico que haga lo siguiente:

      1. Enumera las rutas en su red de VPC y busca la ruta que esperas.

      2. Revisa la configuración de intercambio de tráfico y actualízala si es necesario para que exporte las rutas personalizadas.

El tráfico destinado a una red de intercambio de tráfico se descarta.

Puedes usar las pruebas de conectividad para determinar por qué se descarta el tráfico destinado a una red de intercambio de tráfico. Si se debe enviar tráfico mediante rutas personalizadas, consulta Faltan rutas personalizadas.

El tráfico se envía a un próximo salto inesperado

Puedes usar las pruebas de conectividad para determinar por qué se envía el tráfico a un siguiente próximo salto. Si se debe enviar tráfico mediante rutas personalizadas, consulta Faltan rutas personalizadas.

No se puede intercambiar tráfico con una red de VPC en particular

Si no puedes crear una configuración de intercambio de tráfico con ciertas redes de VPC, es posible que una política de la organización esté restringiendo las redes de VPC con las que tu red puede intercambiar tráfico. En la política de la organización, agrega la red a la lista de redes de intercambio de tráfico permitidas o comunícate con el administrador de la organización. Para obtener más información, consulta la restricción constraints/compute.restrictVpcPeering.

Rutas de subred IPv6 que no se intercambian después de actualizar el stack_type del intercambio de tráfico a IPV4_IPV6

Asegúrate de que el valor de stack_type para la conexión de intercambio de tráfico coincidente también esté configurado como IPV4_IPV6. Ambos lados de una conexión de intercambio de tráfico deben tener stack_type configurado como IPV4_IPV6 antes de que se puedan intercambiar las rutas IPv6 y el tráfico.

Rutas dinámicas IPv6 que no se exportaron después de actualizar el stack_type del intercambio de tráfico a IPV4_IPV6

Para exportar rutas IPv6 dinámicas y estáticas, debes habilitar las marcas –export-custom-route y –import-custom-route en las conexiones de intercambio de tráfico coincidentes.

Las rutas IPv6 estáticas y dinámicas que no se intercambian después de habilitar la importación y exportación de rutas personalizadas

Asegúrate de que ambos intercambios de tráfico tengan stack_type configurado como IPV4_IPV6.

¿Qué sigue?