Usa el intercambio de tráfico entre redes de VPC

El intercambio de tráfico entre redes de VPC de Google Cloud habilita la conectividad de las direcciones IP internas entre dos redes de nube privada virtual (VPC), sin importar si pertenecen al mismo proyecto o a la misma organización. El intercambio de tráfico admite la conectividad entre redes que tienen subredes de pila doble.

Para obtener más información, consulta Intercambio de tráfico entre redes de VPC.

Crea una configuración de intercambio de tráfico

Antes de comenzar, debes tener el nombre de la red de VPC con la que realizarás el intercambio de tráfico. Si esa red está ubicada en otro proyecto, también debes tener el ID del proyecto.

Una configuración de intercambio de tráfico establece el intent para conectarse a otra red de VPC. Tu red y la otra red no están conectadas hasta que cada una tenga una configuración de intercambio de tráfico para la otra. Después de que la otra red tenga la configuración correspondiente para establecer el intercambio de tráfico con tu red, el estado de intercambio de tráfico cambia a ACTIVE en ambas redes y se conectan. Si no hay ninguna configuración de intercambio de tráfico que coincida en la otra red, el estado de intercambio de tráfico seguirá siendo INACTIVE, lo que indica que la red no está conectada a la otra red.

Una vez conectadas, las dos redes siempre intercambian rutas de subred. De forma opcional, puedes importar rutas personalizadas IPv4 estáticas y dinámicas, además de rutas personalizadas IPv6 dinámicas, desde una red de intercambio de tráfico si se configuró para exportarlas. Para obtener más información, consulta Importar y exportar rutas personalizadas.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 9.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Actualizar conexión de intercambio de tráfico

Cuando actualizas una conexión de intercambio de tráfico entre redes de VPC existente, puedes hacer lo siguiente:

• Cambia si en tu red de VPC se exportan o importan rutas personalizadas o rutas de subredes IPv4 públicas usadas de forma privada hacia o desde la red de VPC de intercambio de tráfico.
• Actualiza una conexión de intercambio de tráfico existente para habilitar o inhabilitar el intercambio de rutas IPv6 entre las redes de intercambio de tráfico.

Tu red importa rutas solo si la red de intercambio de tráfico también las exporta y la red de intercambio de tráfico recibe rutas solo si las importa.

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

Enumera las conexiones de intercambio de tráfico

Enumera las conexiones de intercambio de tráfico existentes para ver su estado y si están importando o exportando rutas personalizadas.

gcloud compute networks peerings list

Enumera rutas de conexiones de intercambio de tráfico

Puedes enumerar las rutas dinámicas que tu red de VPC importa desde una red de VPC de intercambio de tráfico o las que exporta hacia alguna. En el caso de las rutas exportadas, puedes comprobar si una red de intercambio de tráfico acepta o rechaza las rutas personalizadas. En el caso de las rutas importadas, puedes comprobar si la red acepta o rechaza rutas personalizadas desde una red de intercambio de tráfico.

Es posible que no veas la misma cantidad de rutas para cada región. Si deseas obtener más información, consulta Solución de problemas.

gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Borra una conexión de intercambio de tráfico entre redes de VPC

Tú o un administrador de red de VPC de intercambio de tráfico pueden borrar una configuración de intercambio de tráfico. Cuando se borra una configuración de intercambio de tráfico, la conexión de intercambio de tráfico cambia a INACTIVE en la otra red y se quitan todas las rutas compartidas entre las redes.

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Ejemplo de configuración de intercambio de tráfico entre redes de VPC

Considera una organización organization-a que necesita establecer el intercambio de tráfico en las redes de VPC entre network-a en project-a y network-b en project-b. Para que el intercambio de tráfico entre redes de VPC se establezca de manera correcta, los administradores de network-a y network-b deben configurar la asociación de intercambio de tráfico de manera independiente.

Paso 1: Establece el intercambio de tráfico de network-a a network-b

Un usuario con los permisos de IAM adecuados en project-a configura network-a para que intercambie tráfico con network-b. Por ejemplo, los usuarios con la función roles/editor o roles/compute.networkAdmin pueden configurar el intercambio de tráfico.

Antes de empezar, necesitas los ID de proyecto y los nombres de las redes que quieres que intercambien el tráfico.

gcloud compute networks peerings create peer-ab \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --import-custom-routes \
    --export-custom-routes

En este momento, el estado de intercambio de tráfico permanece INACTIVE debido a la ausencia de una configuración coincidente en network-b en project-b.

Cuando el estado de intercambio de tráfico cambia a ACTIVE, el intercambio de tráfico entre redes de VPC intercambia de forma automática las rutas de subred. Google Cloud también intercambia rutas personalizadas (rutas estáticas y dinámicas) si las importas o exportas a través de la conexión de intercambio de tráfico. Ambas redes deben estar configuradas para intercambiar rutas personalizadas antes de que se compartan. Para obtener más información, consulta Importa y exporta rutas personalizadas.

Para ver el estado de intercambio de tráfico actual, consulta la conexión de intercambio de tráfico:

gcloud compute networks peerings list --network network-a

Paso 2: Establece el intercambio de tráfico de network-b a network-a

En project-b, un NetworkAdmin, o un usuario con permisos de IAM adecuados, debe establecer la configuración coincidente de network-b a network-a para que el intercambio de tráfico esté ACTIVE en ambos extremos.

gcloud compute networks peerings create peer-ba \
     --network=network-b \
     --peer-project=project-a \
     --peer-network=network-a \
     --import-custom-routes \
     --export-custom-routes

Paso 3: El intercambio de tráfico entre redes de VPC se vuelve ACTIVE

Apenas el intercambio de tráfico cambia a un estado ACTIVE, se intercambian las rutas de subred y las rutas personalizadas. Se configuran los siguientes flujos de tráfico:

• Entre instancias de VM en las redes con intercambio de tráfico: conectividad de red en malla completa.
• De instancias de VM en una red a extremos del balanceador de cargas de red de transferencia interno en la red con intercambio de tráfico

gcloud compute networks peerings list --network network-a

Las rutas a los prefijos CIDR de las redes con intercambio de tráfico ahora son visibles en todos los intercambios de tráfico de la red de VPC. Estas son rutas implícitas que se generaron para conexiones de intercambio de tráfico activas. No tienen los recursos de ruta correspondientes. En el siguiente procedimiento, se muestran rutas para todas las redes de VPC de project-a.

gcloud compute routes list --project project-a

Crea varias conexiones de intercambio de tráfico

Considera la situación en la que las instancias de VM en network-a necesitan acceder a los servicios de dos organizaciones externas diferentes: SaaS1 y SaaS2. Para acceder a ambos con direcciones IP internas, se requieren dos conexiones de intercambio de tráfico:

• network-a intercambia tráfico con network-b, que está en SaaS1.
• network-a intercambia tráfico con network-c, que está en SaaS2.

Con el intercambio de tráfico entre redes de VPC, no importa que network-b y network-c estén en proyectos y organizaciones diferentes.

Si deseas obtener esta configuración, crea dos sesiones de intercambio de tráfico distintas.

Restricciones

No se permite la superposición de rangos de IP de subredes entre redes de intercambio de tráfico de VPC

Ningún rango de IP de una subred puede superponerse con el rango de IP de otra subred en una red de intercambio de tráfico de VPC. Cuando se intercambia tráfico, Google Cloud comprueba si existen subredes con rangos de IP que se superpongan. De ser así, el intercambio de tráfico falla. En el caso de una red de intercambio de tráfico, si intentas crear una subred de VPC o expandir un rango de IP de la subred, Google Cloud realiza una verificación a fin de garantizar que los rangos de subredes nuevos no se superpongan con los existentes.

Para obtener más información sobre las verificaciones de superposición, consulta los siguientes vínculos:

• Subredes que se superponen al momento del intercambio de tráfico
• Subredes que se superponen durante la creación o expansión de subredes

El intercambio de tráfico entre redes de VPC no es compatible con las redes heredadas

Las redes heredadas son redes que no tienen subredes. No pueden intercambiar el tráfico con ninguna otra red y no son compatibles con el intercambio de tráfico entre redes de VPC.

DNS de Compute Engine no disponible de un proyecto a otro

Los nombres de DNS internos de Compute Engine creados en una red no son accesibles para las redes de intercambio de tráfico. Debe usarse la dirección IP de la VM para acceder a las instancias de VM en redes de intercambio de tráfico.

Las etiquetas y las cuentas de servicio no pueden pasarse de una red de intercambio de tráfico a otra

No puedes hacer referencia a una etiqueta o cuenta de servicio que pertenezca a una VM de una red de intercambio de tráfico en una regla de firewall de la otra red con intercambio de tráfico. Por ejemplo, si una regla de entrada en una red con intercambio de tráfico filtra su origen en función de una etiqueta, solo permitirá la aplicación al tráfico de VM que se origina dentro de esa red, no al de sus pares, incluso si una VM en una red con intercambio de tráfico tiene esa etiqueta. Esta situación es similar para las cuentas de servicio.

GKE con intercambio de tráfico entre redes de VPC

El intercambio de tráfico entre redes de VPC con GKE es compatible cuando se usa con alias de IP o rutas personalizadas. Los servicios de Kubernetes, si se exponen a través de un balanceador de cargas de red de transferencia interno, y las direcciones IP de pods son accesibles en las redes de VPC.

Cloud Load Balancing con intercambio de tráfico entre redes de VPC

Cloud Load Balancing no admite tener frontends y backends del balanceador de cargas en diferentes redes de VPC, incluso si intercambian tráfico con el intercambio de tráfico entre redes de VPC.

Los balanceadores de cargas de red de transferencia internos y los balanceadores de cargas de aplicaciones internos admiten el intercambio de tráfico entre redes de VPC solo para el acceso de cliente desde la red de VPC con intercambio de tráfico.

Límites

Consulta Límites de intercambio de tráfico entre redes de VPC.

Soluciona problemas

P.: Mi conexión de intercambio de tráfico está configurada, pero no puedo acceder a las VMs de intercambio de tráfico o a los balanceadores de cargas internos.

Una vez que la conexión de intercambio de tráfico tenga el estado ACTIVE, los flujos de tráfico entre las redes de intercambio de tráfico pueden tomar hasta un minuto en configurarse. Este tiempo depende del tamaño de las redes involucradas en el intercambio de tráfico. Si configuraste la conexión de intercambio de tráfico recientemente, espera hasta un minuto y vuelve a intentarlo. Además, asegúrate de que no haya ninguna regla de firewall que impida el acceso hacia o desde los CIDR de las subredes de la red de VCP de intercambio de tráfico.

P.: Cuando intento configurar la conexión de intercambio de tráfico, obtengo un error que indica que hay otra operación de intercambio de tráfico en curso.

Para evitar discrepancias entre las actualizaciones de enrutamiento y similares, Google Cloud solo permite una actividad relacionada con el intercambio de tráfico a la vez en las redes de intercambio de tráfico. Por ejemplo, si configuras el intercambio de tráfico con una red y tratas de configurar otra red de inmediato, es posible que aún no se hayan completado todas las tareas del primer intercambio de tráfico. Puede pasar un minuto hasta que se completen todas las tareas. Otra posibilidad es que tu red de intercambio de tráfico existente esté agregando un balanceador de cargas interno o una VM, tareas que pueden afectar lo que puede alcanzarse de alguna de las redes. En la mayoría de los casos, deberías esperar uno o dos minutos y, luego, reintentar la operación de intercambio de tráfico.

P.: Cuando intento borrar una red de VPC con intercambios de tráfico ACTIVE, obtengo un error.

Para poder borrar una red de VPC, primero debes borrar cualquier configuración de intercambio de tráfico en la red. Consulta borra una conexión de intercambio de tráfico entre redes de VPC.

P.: ¿Se puede realizar un intercambio de tráfico entre redes de VPC que tienen subredes con rangos de IP principales o secundarios superpuestos?

No. Solo puedes intercambiar tráfico entre redes de VPC cuyas subredes tengan rangos de IP de subred principales y secundarios únicos.

P.: ¿Cómo me aseguro de que las subredes nuevas que creo en mi red de VPC no tengan rangos de IP de subred que entren en conflicto con subredes o rutas en redes de intercambio de tráfico?

Antes de crear subredes nuevas, puedes enumerar las rutas de las conexiones de intercambio de tráfico. Asegúrate de no usar ninguno de sus destinos como rangos de IP principales o secundarios cuando crees subredes nuevas en la red de VPC.

P.: Tengo una red de VPC que intercambia el tráfico con otra red de VPC. Quiero crear una subred en mi red. ¿Cómo creo esta subred de modo que no se superponga con las subredes de intercambio de tráfico de la red de intercambio de tráfico?

Por ahora, no existe un comando que te ayude a encontrarlo. Puedes pedirle al administrador de la red de intercambio de tráfico que averigüe las rutas de subredes que ya están en esa red.

P.: ¿Hay riesgos de seguridad o privacidad relacionados con el intercambio de tráfico de la red de VPC?

Después de configurar el intercambio de tráfico, cada red de VPC conoce los rangos de subredes de la otra red. Además, cada red de VPC de intercambio de tráfico puede enviar y recibir tráfico de todas las VM de la otra red, a no ser que haya alguna regla de firewall que lo impida. Por fuera de esto, las redes de intercambio de tráfico no tienen visibilidad entre sí.

P: ¿Cómo verifico que el tráfico pasa entre redes de VPC con intercambio de tráfico?

Puedes usar los registros de flujo de VPC para ver los flujos de red que envían y reciben las instancias de VM. También puedes usar el registro de reglas de firewall para verificar que el tráfico pase entre las redes. Crea reglas de firewall de VPC que permitan (o rechacen) el tráfico entre redes de intercambio de tráfico y activa el registro de las reglas de firewall para esas reglas. Luego, puedes ver qué reglas de firewall tuvieron hits mediante Cloud Logging.

P.: ¿Cómo puedo determinar si hay solicitudes de otras redes de VPC para conectarse a la mía mediante el intercambio de tráfico entre redes de VPC?

No puedes enumerar ninguna solicitud de intercambio de tráfico para tu red de VPC. Solo puedes ver la configuración de intercambio de tráfico que hayas creado.

El intercambio de tráfico entre redes de VPC requiere que tanto tu red como otra red creen una configuración de intercambio de tráfico entre sí antes de establecer una conexión. Incluso si un administrador de otra red de VPC crea una configuración de intercambio de tráfico para la tuya, no se crea una conexión de intercambio de tráfico, a menos que crees una para esa red.

P.: ¿Cómo puedo hacer que las rutas de una red de intercambio de tráfico estén disponibles para una red local conectada a mi red de VPC mediante Cloud VPN o Cloud Interconnect?

El intercambio de tráfico entre redes de VPC no admite el enrutamiento de transición; es decir, Cloud Routers no anuncia de forma automática las rutas importadas de otras redes en tu red de VPC. Sin embargo, puedes usar los anuncios de rangos de IP personalizados de Cloud Routers en tu red de VPC para compartir rutas a destinos en la red de intercambio de tráfico.

En el caso de los túneles de VPN clásica que usan enrutamiento estático, debes configurar rutas estáticas para los rangos de destino de la red de intercambio de tráfico en la red local. Ten en cuenta que algunos casos de uso de túneles de VPN clásica son obsoletos.

P.: ¿Por qué no se intercambian rutas personalizadas entre redes de intercambio de tráfico?

Primero, enumera las rutas de tus conexiones de intercambio de tráfico. Si no ves las rutas a los destinos que esperas, comprueba lo siguiente:

• Enumera las conexiones de intercambio de tráfico. Busca la red con los rangos de destino deseados y asegúrate de que su estado de intercambio de tráfico sea ACTIVE. Si la conexión de intercambio de tráfico está INACTIVE, no existe una configuración de intercambio de tráfico para tu red en la otra red. Si no administras la otra red, tendrás que coordinar con un administrador de red que sí lo haga.

• Actualiza la configuración de intercambio de tráfico en tu red a fin de que esté configurada para importar rutas personalizadas de la otra red. Asegúrate de que la otra red esté configurada para exportar sus rutas personalizadas.

P.: ¿Por qué se descarta el tráfico destinado a una red de intercambio de tráfico?

En primer lugar, enumera las conexiones de intercambio de tráfico para asegurarte de que tu red siga conectada a la otra. Si el estado de intercambio de tráfico es INACTIVE, no existe una configuración de intercambio de tráfico para tu red en la otra red. Si no administras la otra red, deberás comunicarte con un administrador de red que sí lo haga.

A continuación, enumera las rutas de las conexiones de intercambio de tráfico. Solo puedes importar la cantidad de rutas que se permitan según los límites de intercambio de tráfico entre redes de VPC.

P.: ¿Por qué se envía el tráfico a un siguiente salto inesperado?

Revisa el orden de enrutamiento para ver si se eligió otra ruta.

P.: ¿Por qué mi red de VPC no puede intercambiar tráfico con una red de VPC determinada?

Si no puedes crear una configuración de intercambio de tráfico con ciertas redes de VPC, es posible que una política de la organización esté restringiendo las redes de VPC con las que tu red puede intercambiar tráfico. En la política de la organización, agrega la red a la lista de redes de intercambio de tráfico permitidas o comunícate con el administrador de la organización. Para obtener más información, consulta la restricción constraints/compute.restrictVpcPeering.

P.: Tengo una red de VPC en la que se intercambia el tráfico con otra red de VPC. Cambié el valor de stack_type para el intercambio de tráfico a IPV4_IPV6. Sin embargo, no veo el intercambio de rutas de subred IPv6 en el intercambio de tráfico.

Asegúrate de que el valor de stack_type para la conexión de intercambio de tráfico coincidente también esté configurado como IPV4_IPV6. Ambos lados de una conexión de intercambio de tráfico deben tener stack_type configurado como IPV4_IPV6 antes de que se puedan intercambiar las rutas IPv6 y el tráfico.

P.: Tengo una red de VPC en la que se intercambia el tráfico con otra red de VPC. Cambié el valor de stack_type para el intercambio de tráfico a IPV4_IPV6. Sin embargo, no se exportan las rutas IPv6 dinámicas.

Para exportar rutas IPv6 dinámicas y estáticas, debes habilitar las marcas –export-custom-route y –import-custom-route en las conexiones de intercambio de tráfico coincidentes.

P.: Habilité la importación y exportación de rutas personalizadas. Sin embargo, no se intercambian rutas IPv6 estáticas ni dinámicas.

Asegúrate de que ambos intercambios de tráfico tengan stack_type configurado como IPV4_IPV6.

P.: La operación de actualización de intercambio de tráfico para cambiar stack_type a IPV4_IPV6 falla debido a los límites de cuota.

Si IPv6 está habilitado en el intercambio de tráfico, la cantidad de rutas que importa una de las redes puede hacer que se supere la cuota por grupo de intercambio de tráfico para esa red. Presenta una solicitud para aumentar la cuota por intercambio de tráfico por grupo o quita algunas rutas de una de las redes a fin de permanecer dentro de la cuota. Para obtener más información sobre los límites, consulta Límites de intercambio de tráfico entre redes de VPC.

P.: Algunas rutas dinámicas se importan, pero no las veo todas.

Ten en cuenta lo siguiente:

• Es posible que no veas la misma cantidad de rutas para cada región. Si se intercambian varias rutas con los mismos rangos de direcciones IP, se importarán solo las rutas con la prioridad más alta. Si estas rutas se intercambian en la misma región, se importan todas las rutas.

• Cuando una red alcanza el límite por grupo de intercambio de tráfico de las rutas dinámicas, no se importan más rutas. Sin embargo, no es posible determinar qué rutas se omiten.

P.: ¿Las marcas –import-subnet-routes-with-public-ip y –export-subnet-routes-with-public-ip afectan el intercambio de rutas de subred IPv6?

No. Estas marcas solo afectan el intercambio de rutas de subredes IPv4.

¿Qué sigue?

• Para obtener más información sobre el enrutamiento de VPC, consulta Rutas.
• Para conocer los límites relacionados con el intercambio de tráfico entre redes de VPC, consulta Límites de intercambio de tráfico entre redes de VPC.
• Para obtener información sobre cómo usar un balanceador de cargas de red de transferencia interno como el próximo salto para una ruta estática personalizada, consulta Usa un balanceador de cargas de red de transferencia interno como el próximo salto.